郑 威
(杭州汉德质量认证服务有限公司 上海分公司,上海 200072)
随着国际电工委员会IEC61511-2016 版标准在全世界范围内的不断实践,安全仪表系统(SIS)安全保护的作用越来受到加倍的重视,特别是在石油化工、炼油、天然气以及煤化工等高风险的过程行业。全国工业过程测量控制和自动化标准化技术委员会系统及功能安全分技术委员会对这一标准的转化GB/T 21109《过程工业领域安全仪表系统的功能安全》标准已进入委员审核阶段。此前,IEC61508-2010 已经转化为国家标准GB/T20438-2016《电气/电子/可编程电子安全相关系统的功能安全》标准。广泛的过程行业典型事故案例分析显示,合理的安全仪表系统可以避免大部分事故的发生。因此,进行安全仪表系统验证,保证安全仪表系统的合理设置,在使用HAZOP、LOPA 等方法进行风险分析、安全分配工作后,作为安全仪表系统生命周期的重要环节,目前越来越多的受到重视,也变得十分紧迫和必要。
安全仪表系统验证必须是基于完整安全生命周期(SLC)的验证。安全生命周期从概念设计开始,直到SIS退役后才结束[1]。这里的关键是,必须从概念流程设计的一开始就考虑功能安全,并且必须始终贯穿在所有设计、操作和维护活动期间。SLC 包含了安全仪表系统的概念、设计、操作和维护等实现功能安全所需的全部步骤。安全生命周期(SLC)设置的主要目的有两个:一是明确安全仪表系统设计的流程,二是减少工业过程中产生的系统失效(systematic failure)。
IEC 61508 标准的安全生命周期基本划分为3 个阶段:分析和风险评估阶段、实现阶段和操作阶段。
1)分析和风险评估阶段的大部分活动是按照逻辑顺序安排的,在进行危害和风险分析之后,确定系统的安全要求。一些安全要求是通过外部风险降低设施来满足的,包括过程设计的修正、物理防护屏障、堤坝和应急管理计划等。一些安全要求是通过安全相关技术而不是SIS 来满足的,包括安全阀、爆破盘、警报和其他特殊安全装置。其余的安全功能则使用安全仪表化系统中的安全仪表功能。
2)所有维护测试和维护活动的计划必须在实现阶段完成。在一定程度上,这项工作可以与安全仪表系统设计并行进行。这个安全生命周期还表明了操作和维护职责集中于定期测试和检查,以及修改、改造和最终退役的管理。
3)操作阶段,在步骤11 和步骤12 方面,可能会出现实现和操作活动的重叠。
IEC 61511 标准的安全生命周期如图1 所示。尽管IEC 61511 的安全生命周期看起来与IEC61508 有很大的不同,但是基本的目的是基本相同的。同样,有明确的分析、实现和操作阶段。
IEC 61511 的安全生命周期是专门为过程工业而设计的,因此许多要求是为过程应用而定制的。其中,重点在功能安全管理,特别是在安全生命周期的结构与规划,以及对整个生命周期的验证:IEC61511 标准和IEC61508 标准的安全生命周期都强调对功能安全的良好管理,包括对安全生命周期的每一步实施严格的计划和验证活动。
安全仪表系统验证的目标是验证包括全部安全仪表功能(SIF)的整个安全仪表系统(SIS)。
图1 IEC 61511安全生命周期Fig.1 IEC 61511 Safety life cycle
安全仪表功能(SIF)指具有某个特定安全完整性等级(SIL),用以达到功能安全的安全功能。它既可以是一个仪表安全保护功能,也是仪表安全控制功能。
这其中有个关键点:一般理解认为SIF 只是特指仪表的安全保护功能,例如常见的急停。但随着功能安全技术的不断深入应用,越来越多的SIF 被用于控制功能,并指定了特定的SIL 等级。同时,SIF 可能用来负责关闭、允许,甚至后果减少。举例来说:可以作为一种主动行动以避免危险状况(比如说,停止一个泵的运行),也可以指采取预防行为的功能 (比如说,阻止一个泵启动)。
所有这些功能都有一个共同的属性——它们都能降低风险。因此,SIF 定义的另一种常见解释是“自动风险降低系统”。通常来说,SIF 旨在通过降低潜在危险的可能性来降低风险。在某些特殊情况下,SIF 将通过降低后果的严重性来降低风险。
在SIF 基础上,“实现一个或多个SIF 的仪表系统”叫做安全仪表系统[2]。需要说明的是:不同SIF 可能包括相同或不同的传感单元或执行单元。这其中,有3 个关键点:①SIS 包含任何传感单元、逻辑单元和最终单元,也包含通讯和其他辅助设备(例如:电缆、穿线管、电源、跳线,伴热);②SIS 可能包含软件;③SIS 可能包含人的行为作为SIF 的一部分。
在这里重点强调人员作为安全仪表功能的部分。操作层面上,许多人从不认为人是安全仪表功能的一部分。实践来说,在违反正常流程操作条件采取行动时,操作员通常从警报中对这些违规行为做出反应。因此,操作员的动作通常被认为是报警保护层的一部分,而不是SIS 的一部分。因此,操作员动作的SIL 确定通常不完成。然而,IEC61511-2016 中的说明指出:“当人为操作是SIS 的一部分时,操作人员操作的可用性和可靠性必须在SRS 中指定,并包括在SIS 的性能计算中。”这意味着SIF 的广义定义包括了人的行为。
安全仪表系统验证流程必须包含下列步骤:
1)概念设计
过程安全仪表功能的概念设计过程始于安全需求规范(SRS)。SRS 是一份非常重要的文件。它是包含安全仪表功能(SIF)的所有功能要求和相关SIL 等级的规范。按照IEC61511-2016 标准,应包括SIS 一般要求、SIF 一般要求、SIF 特定要求等共计29 个详细要求。这其中,一份和每一个SIF 有关的,已通过设备识别方法识别的工厂输入输出设备的列表、周期性测试执行等两个要求是新增的。作为安全仪表系统验证的结果,SRS 的全部要求必须被验证。
2)仪表设备选择
必须谨慎选择用于安全仪表功能的设备。仪表必须能够完全执行功能要求,所有的设备都必须经过验证,这样最终用户才能完全确信该仪表能够在预期的应用中正常工作。仪器中使用的材料必须与工艺材料兼容,工艺环境条件不得超过仪表额定值;必须对仪表的功能安全要求进行评估;所有的论证决策都必须记录为项目记录的一部分;必须特别注意公用系统,例如:电力供应、气源供应、布线方法。
3)冗余
选定仪表设备后,设计过程的下一步是决定使用多个仪表来实现冗余。冗余配置的目的是提供持续的系统操作,即使一个或多个特定的仪表可能出现失效,一些冗余架构提供了对它的容错能力。其中,一些冗余架构提供了对危险失效的容错能力,而另一些架构则提供了对多种失效模式的容错能力。各种冗余体系结构需要被严格验证使用。
4)需求模式的确认
提供安全仪表功能的仪表设备的有3 种操作模式:连续需求模式、高需求模式和低需求模式。之所以定义这3种模式,是因为SIF 可根据模式不同来量化评分。不同模式本质上的区别是由于危险状态(需求)和诊断测试之间的关系。必须知道对应的时间间隔,以确定自动诊断测试和周期验证测试的设计合理性。
5)可靠性和安全性度量计算
在完成以上步骤之后,可以使用简化方程、故障树、马尔科夫模型或其他方法进行量化计算。
6)SIF 识别
计算过程的第一步是正确识别每个安全仪表功能所需的设备。所有与特定SIF 相关的设备都必须归类为“主要”设备和“辅助”设备。“主要”设备用于提供必要的防护,以抵御识别出的危害,而“辅助”设备则提供有用的功能,但不用于抵御危害。这种分类很重要,因为要求时平均失效概率(PFDavg)分析和安全失效分数(SFF)分析中只包含主要设备。
7)验证架构约束
IEC61511-2016 标准要求了不同需求模式下最低水平的“硬件容错”作为对应SIL 级别的要求。这意味着,为了实现安全功能,必须根据SIF 的SIL 级别目标进行冗余。
安全仪表系统验证中,最重要的是SIL 验算,也就是每个SIF 的PFD/PFH 计算。然而,这一计算依赖于失效数据的准确获取。
行业失效数据库可以提供失效数据信息。虽然这些失效数据不是特定于产品的,但它帮助设计人员识别设计中的问题[3]。最流行的失效数据库之一是OREDA 数据库,OREDA 是“离岸可靠性数据”的缩写,介绍了多种工艺设备的统计分析,许多工程师将其作为失效率数据的来源来执行安全验证计算。对于所有做数据分析的人来说,这是一个极好的参考。
失效率的其它来源渠道还包括:制造商FMEDA 分析、制造商现场失效研究、公司产品失效记录或其他来源获得的失效率,结果与行业失效数据库描述不同。一般来说,越不具体的数据会被证明越是保守的。
近年来,行业失效数据库开始包括系统失效,这自然导致这些来源的数字很高,一般来说,来自行业数据库源的失效率数字明显与FMEDA 报告的应该比较接近。一些分析机构编制了综合失效数据的书籍和电子数据库。这些信息经过格式化,将失效率作为失效模式的函数,提供了产品更多的附加信息,这有利于安全仪表系统的验证。
安全仪表系统验证是安全仪表系统安全生命周期的重要环节,是对安全仪表系统实现的验证,是对早期风险分析结果、安全功能分配合理性的回应。最终用户、设计院和系统集成商只有互相配合,参照IEC61511-2016 等国际标准和规范设计要求进行安全仪表系统验证,才能有效地降低风险。只有完成了安全仪表系统验证,安全的闭环才是完整的。