功能安全评估在工艺安全管理中的应用

吕永辉

(浙江医药股份有限公司，浙江 绍兴 312000)

化工装置中的安全仪表系统(SIS)与其他独立保护层(IPL)，如基本过程控制系统(BPCS)、报警、安全泄压系统等共同构成了装置的安全保护系统。每一个保护层都能够独立于其他系统，独自实现安全功能。各保护层的风险削减能力取决于其功能性、独立性、可用性及存活能力。各保护层的设施完整性包含了可靠性、可检测性等要求。为了合理地设置各保护层的风险削减能力，有效地保持其完整性，必须进行高质量的功能安全评估，从而使各个保护层发挥其最大作用遏制重大事故，并有效推动工艺安全管理的实施。

1 功能安全评估与管理概述

和功能安全相关的标准主要有： IEC 61508[1]，对应中国国家标准为GB/T 20438[2]，是功能安全的基础标准，涵盖了继电器、固态和可编程逻辑，包括现场仪表。该标准适用于核工业、铁路、医疗、家电、机械及流程工业领域，IEC 61508针对由电气/电子/可编程电子组件构成的、起安全作用的电气/电子/可编程电子系统(E/E/PE)整体安全生命周期的开发设计过程，提供一个基础的评价方法，针对采用电气/电子/可编程电子技术来实现预期功能安全设计的安全相关产品或安全相关系统，给出分阶段、具体的、分等级的技术解决方案。IEC 61511[3]，对应中国国家标准为GB/T 21109[4]，适用于过程工业领域安全仪表系统的功能安全，描述了流程工业功能安全系统的工程设计、评估计划、工程实施、运行管理与维护校验的细节要求与做法。其他如GB/T 50770—2013《石油化工安全仪表系统设计规范》[5]主要侧重于指导设计。

功能安全评估需依托相关标准开展，通过工艺危害分析充分辨识事故场景，分析初始发生概率及最严重后果，并根据各个保护层的设置情况，进而确定功能安全回路安全仪表功能(SIF)的安全关断动作要求及合理的安全完整性水平，该过程被称为安全完整性等级(SIL)定级。SIL定级后，需编制安全要求规格书(SRS)，以指导SIS整个生命周期内的设计要求、性能要求及操作要求。SIL验算可以帮助确认系统的配置是否满足安全完整性水平及SRS中的细节要求。

功能安全评估不合理可能会导致两类问题发生： 一类是导致投资过度，管理及维护负荷重，装置误动作停车频繁；另一类更严重的问题是SIS拒动，无法实现预期的功能安全保护作用，发生严重安全事故。

基于以上标准，功能安全生命周期的功能安全管理活动如图1所示，各阶段的管理活动是互相关联的，需合理安排功能安全生命周期内各个环节的管理活动，使各环节的输入输出数据与信息有效衔接，管理上纵向保证没有环节的缺失，横向充分覆盖整个功能安全系统，才能有效发挥功能安全作用，从根本上提高工艺安全管理水平。

图1 功能安全生命周期的功能安全管理活动示意

SIL定级通常是以头脑风暴会议的形式进行，参会人员主要包括： 操作、工艺、自控、电气、HSE等多个专业的人员参加。团队主席需严格遵循评估规则，引导团队发挥各自知识和经验，系统评估每一个高后果严重性的初始场景。

SIL定级的方法有很多，如图表法、风险矩阵法、保护层分析(LOPA)法等。在IEC 61511—2016附录F中推荐使用LOPA分析法[6]。LOPA是一种半定量分析方法，其评估内容包括： 确定初始事件场景、事件严重性、事件发生的初始原因、初始原因发生的概率、辨识独立保护层、各独立保护层削减风险的程度，并判断现有保护层是否可以将风险降低到可接受范围内，以及判断是否需要增设额外的保护措施及SIF回路的SIL等级。

IPL包含一组设备或管理措施，如： 过程控制、报警、其他功能安全回路、安全泄压系统等。IPL应同时具备以下4个特征，缺一不可： 有效性，至少能够避免初始事件发展为事件后果；独立性，各保护层都应当独立于其他保护层，不依赖其他保护层发挥安全功能；可靠性，保护层的随机失效和系统性综合失效频率不大于1×10-1；可审核性，保护层的功能可以进行定期或在线校验[7]。

SIL验算采用可靠性框图(RBD)与马尔可夫算法进行可靠性建模。根据各功能安全回路的结构配置、操作模式信息，构建各功能安全回路的可靠性框图。确定出各器件失效率数据λDD，λDU，λSD，λSU，结合检验测试周期(TI)、检验测试覆盖率(CTI)、平均修复时间(MTTR)等分析计算出各功能安全回路的要求操作模式时平均失效概率(PFDavg)、平均误动作停车时间间隔(MTTF)、安全失效分数(SFF)、硬件故障裕度(HFT)等参数，从而确定该安全功能回路满足要求[8-11]。

2 功能安全管理中的误区与问题

在功能安全管理的实践活动中，存在以下几类问题：

1)基本概念理解不足。对功能安全系统的基本概念理解不足导致很多片面或者错误的行为，如： 将DCS与SIS的功能、硬件、管理内容等不做任何区分；认为SIF回路的SIL等级为SIL2，则回路中所有的元器件都必须是经过SIL2认证的；另外，只关心SIF回路能否可靠性关断，不重视误动作停车；或反之，不重视系统整体性能与冗余结构配置等。

2)重设计、轻评估。重设计、轻评估或不评估导致设计缺乏依据，随意性很高。设计与实施的过程缺失了国内外相关标准中要求的多个管理环节，技术上不满足标准要求，执行程序上不满足安监总局的法规要求，无论是业主单位或设计单位相关人员将承担很大合规性的责任。

3)重建设、轻管理。项目建设阶段已经设置SIS，但忽略了安装调试与校验测试多个环节的技术要求、也不重视电磁干扰(EMC)等因素对SIS可靠性的影响，并且在运行阶段忽视了SIS的维护校验与变更管理，从而导致SIS发生误动作或拒动。更严重的是以SIS发生误动作为理由，随意进行变更，简单地把回路停用或随意改变设定点及延时，而不从根本上解决系统配置与可用性问题[9]。装置运行期间的检维修测试间隔及检验测试覆盖率要求，应遵守SIL验算中所使用的相关数据。应重视检测测试间隔对SIL等级的影响，如同样硬件与结构配置的SIF回路若采用12个月与48个月2个不同的检测周期，其回路可靠性相差1个SIL等级。

4)强调硬件忽视工程人员能力。一流的装置、一流的硬件更需要一流的工程人员能力，定级、验算、设计、安装、校验等多个功能安全管理环节都对执行人员的能力提出了要求，人员能力的不足会导致功能安全管理每个环节的执行效果变差，经过多个环节的传递放大，最终的结果必背离初衷。

5)重视SIS忽视其他IPL。不同的IPL按一定顺序触发，各自发挥其作用，与SIS共同承担了避免初始事件发展为后果场景的风险削减任务。因此，当总风险削减任务不变时，IPL的数量变化及需求时失效概率变化将直接影响到SIF回路的完整性。IPL对SIL的影响如图2所示。

图2 IPL对SIL的影响示意

除了变更、人为禁用或拆除等原因导致IPL失效外，为了进一步理解影响各IPL的需求时失效概率发生变化的原因，依据IEC 60812： 2006对各IPL做系统FMEA失效模式及影响分析[12]，其中失效模式及代码依据ISO 14424： 2004编制[13]，见表1所列。

3 通过功能安全评估带动提高工艺安全管理水平的措施

针对SIS管理过程中发现的问题提出以下措施，以期通过功能安全评估带动提高工艺安全管理水平。

表1 独立保护层的失效模式及影响分析

1)加强相关人员能力培养与制度建设。配置专业仪表工程师进行仪表及联锁系统管理，相关人员需经过功能安全的专业培训；编制汇总性的功能安全管理计划即联锁系统管理规定，将SIS生命周期内各项管理任务进一步明确，特别是所要求的输入文件、具体任务、成果文件、执行时机等；优先编制SIS及各个SIL回路的SRS，在开车前对SIF回路逐一进行测试，在投产前的安全分析中进行复审；编制安全设施禁用与变更管理的实施细则，明确禁用权限。

2)完善工艺安全信息管理。应满足IEC 61511—2016中规定的SIL等级，包含对信息完整性的要求，如： P&ID图中报警及联锁应与实际情况符合，报警和联锁标识正确清晰；操作手册应明确报警及联锁后的人员响应要求；联锁值和报警值一览表清晰准确；仪表与联锁系统的关键文件，如管理台账、调试记录表、投用率台账、联锁解除单完备；事件事故有完整记录，并经过事故分析，变更管理的记录台账清晰。

3)积累失效数据能有效地帮助企业进行安全与可靠性管理。对SIS的误动作、拒动作应在大事记或仪表专业专项文件中进行记录；企业对仪表、SIS及控制阀的故障进行记录，并对各元件的失效模式进行统计，通过大样本数据的积累，指导可靠性维修、预防性维护及关键备件计划，建立仪表准入制度及失效数据库。

4)重视其他IPL的管理。认真评估工艺控制回路的设计意图与控制逻辑，将自控回路投用率纳入工艺安全管理指标；根据原国家安监总局安监总管三〔2014〕116 号文《关于加强化工安全仪表系统管理的指导意见》中关于开展报警优化工作的内容，对控制系统报警实行分级管理，梳理报警设定值，实施各类报警抑制措施，减少报警泛滥；优化报警的显示颜色、闪烁频率、文字提示、声音等人机界面；明确报警响应动作要求并细化到具体步骤；对报警设置管理指标并持续优化报警管理；依据压力容器管理法规对安全阀等安全附件按期进行严格校验，在工艺变更中特别关注安全阀等安全设施的适用性，放空与火炬系统的完整性；将围堰作为储罐的一部分进行完整性管理。

5)建立SIS与IPL的管理指标，见表2所列。管理指标可以参考图2，分为不同级别进行设置，并考虑不同的关注点。关注点应包含： 独立性、功能性、可用性、可靠性、可检测性、数据安全与授权、变更管理共七个方面。

a)独立性。独立性是SIF与IPL的重要特征，是在功能、物理、人员上都应做到独立性，不依赖其他保护层发挥功能，避免控制、联锁、报警等共用执行元件，避免共因失效。如保护同一场景的不同SIF，应使用同样的检测元件，在进入不同卡件安装时避免布置在同一接线槽等。操作人员与定期仪表校验的人员应尽量独立，避免惯性思维导致检验测试时漏检。

表2 SIS与IPL的管理指标

b)功能性。功能性就是SIF与IPL在需求时的风险削减能力，特别是当发生工艺变更、SIF与IPL变更时，应特别关注是否依然能够具备要求的风险削减能力。

c)可用性。SIF回路的可用性即误动作停车，往往容易被忽略。在实际生产中过度保护易导致频繁停车，而开停车阶段事故发生概率最高。在IEC61511： 2016中，可用性与可靠性指标被同时提出。不同冗余配置时的可靠性关系如图3所示。

图3 最佳冗余设置示意

d)可靠性。实际生产中独立保护层如控制回路、报警、SIF、安全阀等可能被旁路或摘除，SIF回路所承担的风险任务会相应增加，导致不满足要求。因此，IPL摘除应设置管理权限，并在摘除期间采取临时性的管理措施， 如： 当某一关键控制回路由自动改为手动后，该保护层失效，可能采取的临时措施包括： 现场巡检的频率增加或人员在现场值守；将相关报警的级别提高；操作程序内明确手动操作的详细步骤、时间、工艺参数；提前进行SIF回路功能测试等。

e)可检测性。SIF与独立保护层都应该针对其失效模式进行定期的校验测试。可测试性体现在测试计划与测试记录中，包含： 测试周期、覆盖率、测试人员能力与资质、测试设备要求、不符合项处理等。在线检测，如： 关断阀门的部分行程测试功能可以提高测试频率，提供有预测性的维护数据、延长阀门全行程测试周期、减少旁路设置。

6)进行周期性的功能安全审计与评估。在IEC 61511： 2016中明确要求在役装置的SIS与IPL应定期进行功能安全分析/审核，推荐周期不长于5 a。这是一个阶段性的审核与验算，需考虑过去1个周期内的所有变更、事故事件，并由独立方实施。

4 结束语

作为管控重大工艺安全事件的关键安全设施，SIS必须与其他IPL作为一个整体进行管理，做到： 人员技能有保障，制度完整可实施；功能安全评估，充分辨识与评估风险场景，合理分配各个保护层的分线削减任务；系统配置兼顾可靠性与可用性；重视联锁系统也重视其他保护层；新建设施的设计优化、实施质量有保证；在役设施的校验计划合理、执行有保证；建立指导性的管理指标，定期进行阶段性管理审核。通过功能安全系统的各项管理活动，将工艺安全管理的诸多要素， 如： 工艺安全信息、工艺危害分析、变更管理、操作程序、投产前安全分析、机械完整性、培训等有机串联起来，真正提高工艺安全管理水平，有效控制重大事故的发生。