安全仪表系统设计实施过程中的几个重要环节

潘 颖，李忠军

（1.众一阿美科福斯特惠勒工程有限公司，上海 200235；2.赢创（上海）投资管理有限公司，上海 201108）

随着工艺装置自动化水平的提高，从最早出现的简单仪表到智能仪表、总线仪表；从最初的盘装二次显示仪表、控制仪表到小型PLC，再到大型集散控制系统BPCS，直到具有功能安全完整性的安全仪表系统（SIS）的出现，仪表控制系统在工业生产中的重要性越来越显著。

SIS在保证装置安全生产中起着重要的作用，国家应急管理部（前国家安全监管总局）关于加强化工安全仪表系统管理的指导意见安监总管三[2014]116号的颁布，对于石化、化工、炼油等领域的SIS设计提出更明确的要求。116号文中强调：“目前，我国安全仪表系统及其相关安全保护措施在设计、安装、操作和维护管理等生命周期各阶段，还存在危险与风险分析不足、设计选型不当、冗余容错结构不合理、缺乏明确的检验测试周期、预防性维护策略针对性不强等问题[8]。”这一系列的问题均对安全仪表系统在整个生命周期中的安全功能有直接影响。本文将针对安全仪表系统设计过程中的几个重要环节：HAZOP分析、SIL评估、SIS设计、SIL验证，从概念、方法、作用以及面临的问题等方面进行详细的阐述。

图1 SIS的构成Fig.1 Composition of SIS

1 术语

1.1 安全功能SF（Safety Function）

由SIS或其它技术的安全系统，或外部风险减低设施执行的功能，用以应对特定的危险事件，使工艺过程取得或保持安全状态[6]。

1.2 安全仪表功能SIF（Safety Instrumented Function）

具有特定的安全仪表完整性等级的安全功能，对功能安全的实现是不可缺少的，可以是安全仪表保护功能，也可以是安全仪表减轻抑制功能，一个基本的SIF回路由检测元件、逻辑控制器和最终执行元件组成[6]。

1.3 安全仪表系统SIS（Safety Instrumented System）

安全仪表系统（SIS）是用于执行一个或多个安全仪表功能的仪表系统。

如图1所示，安全仪表系统由一个或多个具有安全仪表功能的安全仪表功能（SIF）组成，每个SIF都具有特定安全完整等级的安全功能，对于取得功能安全是不可或缺的，它可以是安全仪表保护功能，也可以是安全仪表抑制减轻功能[6]。

1.4 安全生命周期SLC（Safety Life Cycle）

从设计开始到安全仪表功能结束的整个时间段，一般石化化工装置的生产生命周期通常为15～20年[2]。

1.5 安全保护层SPL（Safety Protection Layer）

安全保护层也叫独立保护层IPL（Independent Protection Layer），作为一种风险降低措施，用于防止危险事件发生（降低发生频率）或者减轻后果严重程度。每一层保护层都有一定的风险降低能力，层与层之间保持独立，从内而外，在不同的时间节点发挥作用，从而构成风险降低的安全屏障[6]。

图2 SIS内各SIF的关系Fig.2 Relationship between the SIF in SIS

1.6 保护层分析LOPA（Layer of Protection Analysis）

保护层分析法是IEC61511推荐的过程风险分析工具之一，是通过分析危险来确定是否需要SIF以及需要的SIF的安全完整性等级的一种评估分析方法[1]。

2 SIS设计、实施阶段的几个重要环节

2.1 HAZOP分析

安全仪表系统设计的目的是为了降低运行装置中存在的风险，所以首先需要对装置进行HAZOP（Hazard and Operability Analysis）——“危险与可操作性分析”，这是起源于20世纪60年代英国帝国化学工业公司（ICI）的一种以系统工程为基础，针对化工装置而开发的定性的危险性分析方法，用以识别出工艺过程安全方面的危险以及操作性问题[1]。

IEC508/IEC61511和ANSI/ISA-84.01-1996等功能安全标准中并未包含风险和可操作性分析HAZOP相关的内容，但是在安全仪表系统的整个生命周期中，HAZOP是至关重要的组成部分。只有充分地辨识出工艺生产过程中存在的风险，才能够有针对性的设计出降低风险的措施[1]。

HAZOP整个分析过程以头脑风暴的形式，由HAZOP主席领导，参与人员包括记录员、工艺专家、仪表专家、现场操作和生产专家等。通过对确定的工艺过程划分节点，选择合适的引导词和偏差来进行分析，发现潜在的风险，最终形成HAZOP分析报告，报告中会包含一个很重要的部分就是HAZOP分析记录表，表格中记录针对所有偏差分析的记录，同时给出每个场景风险发生的频率、人员伤亡的情况、级别定义。至此，装置中的所有可能潜在的风险已经被一一分析记录下来。

2.2 SIL评估

HAZOP分析的目的是识别风险，进而通过相应的安全功能（SF）有效地控制风险，是一种定性的分析方法。

图3 洋葱图Fig.3 Onion chart

图4 风险图Fig.4 Risk diagram

SIL评估是在HAZOP分析的基础上，一种半定量的风险分析和评估方法。通过初始事件、后果严重程度和发生的频率来表征场景的风险，如果风险达到一定程度，需进行对存在风险和现有保护措施进行评估来确认是否需要增加其它的保护措施，以及保护措施的安全级别。再此之前，需要首先根据企业情况确定风险矩阵，确定可接受风险。

SIL评估的方法有很多，例如：安全层矩阵、风险图、保护层分析（LOPA）、故障树分析（FTA）、事件树分析（ETA），其中保护层分析（LOPA）是目前采用比较多的一种评估方法。

保护层分析（LOPA）是通过分析危险来确定是否需要SIF以及需要的SIF的安全完整性等级的一种评估分析方法。采用保护层模型，如图3所示，对需要评估的风险场景，分析其触发原因及相应的保护层，找出风险缺口，确定由SIF承担的风险降低量值（RRF），进而确定所需SIF的安全仪表级别SIL（Safety Instrumented Level）。

如图4所示，向右的箭头表示过程固有风险，向左的箭头表示保护层及其降低风险的量级，包括BPCS、其它保护层，当现有的保护层无法将风险减低到可接受范围之内的时候，需增加安全仪表功能。

SIF是所有安全功能（SF）中，相对比较复杂、PFD范围可以选择的一个保护层，IEC61511第1部分（3.2.74）中定义安全完整性等级是一种离散水平，用于规定分配到安全仪表系统中安全功能的安全完整性等级[1]。共分为4个等级：SIL1、SIL2、SIL3、SIL4。SIL4是最高的安全完整性等级，SIL1为最低级别的安全完整性等级[3,5]。

通过SIL评估，需要的SIF回路已经被识别出来，并确定了相应的安全完整性等级。至此，SIS设计目标已经确定。

2.3 SIS设计

SIS的设计是安全仪表功能落实的步骤，针对SIL评估中确定的SIF编写安全要求规格书SRS（Safety Requirement Specification），规格书中针对SIS系统包含的所有SIF的功能性和安全完整性给出描述和规定，体现了HAZOP分析和LOPA的最终意图，为SIS生命周期的后续活动提供依据，例如SIS的设计选型、工程实施、安全完整性验证计算、维护、检验测试等[1]。

2.3.1 功能要求

功能要求包括安全状态的定义，工艺输入点及其联锁关停设定点、工艺参数正常操作范围，工艺输出点及其动作，输入与输出之间的逻辑关系，安全状态的相应时间要求，操作员接口要求，是否需要手动停车、旁路、复位等[4,6]。

2.3.2 完整性要求

完整性要求是指安全回路完成相应安全功能的能力。在SRS中应列出的完整性要求包括每个SIF必须的SIL等级，为取得必须的SIL等级对诊断的要求，为取得相应的SIL等级对维护和测试的要求，最大允许误关停率的要求，对安全功能的隔离要求等。

2.3.3 SRS的内容提纲[4,6]

1）SIF描述。

2）确定共因失效及其消除措施的要求。

3）SIF安全状态定义。

4）当存在多个SIF同时动作可能产生额外危险的情况时，要对其安全操作和安全状态分别进行定义。

5）预估SIF的要求源和要求率。

6）检验测试时间间隔的要求。

7）安全联锁动作系统相应时间要求。

8）每个SIF的SIL及其操作模式（高要求操作模式、低要求操作模式、连续操作模式）。

9）工艺过程测量值的量程及其预报警和联锁设定值。

10）SIF输出动作以及最终状态要求。

11）输入与输出之间的逻辑关系，包括逻辑、数学运算、许可和旁路等。

12）手动关停要求。

13）得电联锁（Energize to trip 励磁动作）或失电联锁（De-Energize to trip 去磁动作）要求。

14）SIS启动、联锁后动作复位、再启动允许（Startup Permissive）和顺序等要求。

表1 SIL验证中牵涉的主要参数Table 1 Main parameters involved in SIL validation

15）最大允许误关停率（Spurious Trip Rate）的要求。

16）SIS的失效模式及其失效的期望响应要求（例如：报警、隔离、自动关停等）。

17）SIS与其它系统之间的所有接口，包括和BPCS以及操作员的接口。

18）工艺装置在不同的操作模式和操作状态（包括试车、开车、正常操作模式、工艺单元切换等）下，对SIF的要求。

19）应用软件安全要求。

20）旁路和禁止（Override/Inhibits/Bypass）及其取消操作的要求。

21）平均修复时间MTTR（Mean Time to Repair）要求。

22）应避免的SIS输出状态的危险组合。

23）对SIS运行环境状态的要求，例如：温度、湿度、电磁干扰、接地、防爆等。

24）在主要意外发生时，SIF操作的特殊要求，例如在火灾发生时，阀门的动作要保持多长时间。

在SRS中关于SIF的SIL有明确的定义，例如SIF-01是一个SIL1的回路，采用一选一的结构，SIL评估中得出的风险降低因子RRF要求是50；SIF-02是一个SIL的回路，采用二选一的结构，SIL评估中得出的风险降低因子RRF要求是2000。所有的这些信息将指导后续的SIS系统详细设计工作，包括仪表选型、仪表和系统冗余结构的搭建等（本文不做详细描述）。

2.4 SIL验证

2.4.1 定义

SIL验证是基于IEC61508/IEC61511，针对已经设计的SIS系统，通过一定的计算方法对SIS系统的设计进行检验，以保证SIS所有回路在整个安全生命周期中均能满足风险分析中所需要承担的风险降低要求。

2.4.2 SIL验证的作用

SIL验证在整个安全生命周期中具有重要的作用，前期设计中设计选型不当、冗余容错结构不合理、缺乏明确的检验测试周期等问题都可以在SIL验证的过程中发现并指导调整[8]。

1）通过可靠性建模检验SIS系统的每一个安全回路的配置是否满足设计以及与生产、维护兼容的要求。

2）根据验证结果对后续设计进行必要的调整。

3）指导相关安全仪表厂商的选择。

4）最终确保安全回路设计满足作为独立保护层的要求。

2.4.3 SIL验证中牵涉的主要参数见表1[4,6]

2.4.4 SIL验证中主要计算的几个指标

1）根据失效数据和可靠性模型，结合SIF定义的检验测试周期，计算要求时的失效概率PFD。

2）计算安全失效分数（SFF），结合硬件故障裕（HFT），得出结构约束的安全完整性等级；SIF的安全完整性等级不仅仅取决于PFD值，同时也受架构约束，只有两者同时满足安全完整性的要求，才意味着回路的配置满足SIF的安全完整性要求。

3）核实安全仪表的系统能力SC（Systematic Capability），确认选择的仪表是否满足用于该安全级别的回路。

4）还可根据企业需求，计算关键工艺过程的误停车率（STR），误停车是指由于SIS本身的故障导致的停车，虽然仍然会把整个过程导向安全位置，但也会因为停车而给企业带来一定的经济损失，这也是企业关注的一个指标。

IEC61511中提供了用于计算PFD和STR的简单公式。

2.4.5 PFDavg简单计算公式[4,6]

由此可见，安全性从高到低的排序为：1oo3 ＞ 1oo2 ＞2oo3 ＞ 1oo1 ＞ 2oo2。

2.4.6 STR简单计算公式[4,6]

由此可见，可用性从高到低的排序为：2oo2 ＞ 2oo3 ＞1oo1 ＞ 1oo2 ＞ 1oo3。

2.4.7 设备安全参数的获取途径

SIL验证所需设备的安全参数的可靠性直接影响SIL验证计算的结果，进而影响SIS系统的设计准确性，目前设备的安全参数有如下几种获取途径。

最可靠的也最难获得的是终端用户的现场安全数据，包括：

◇ 维修活动。

◇ 预防和校正性维护。

◇ 性能测试（标定）。

◇ 投诉中心等。

大数据时代，随着智能化工厂的普及，安全数据的积累将更容易实现，随着SIS管理体系的完善，期望未来现场安全数据将会成为获取安全数据的主要来源进而取代第三方的认证，这些来自现场的真实的故障率数据更真实可靠。

1）当然这对于中小型工厂来说存在很大的困难，记录的数据量不足以支撑计算失效概率，但也并不是无解的，可以考虑通过专门的组织来统一收集、整理，当然这要建立在安全仪表系统的管理体系已经标准化的基础之上，各家企业仪表管理和数据采集的流程都是标准化的，也许这还需要一个漫长的发展过程。

2）其次，第三方评估（例如由TUV、Exida等）机构颁发的认证证书，这也是目前最多被采用的一种方式。

3）第三，工业数据库或文献。

4）第四，设备供货商给出的数据（Package厂商），例如鼓风机厂家，提供鼓风机的同时也会成套提供仪表设备和小型的控制系统，同种类型的仪表随着设备有大量的使用，具备大量收集数据的基础。

3 结束语

安全仪表系统是工艺生产过程中至关重要的安全保护措施，以上各环节的落实可以确保其在设计、实施阶段满足相应的功能安全及其完全完整性的要求，为进入生产阶段的SIL保持提供基础。

安全仪表系统提出的是全生命周期的概念，无论是本文提及的前期的设计实施，还是后期的现场管理，每一个环节的落实都是不可或缺的，都必须严谨对待，这样才能真正实现其安全功能。