浅议SIS的安全完整性管理

张建国

(中石化-霍尼韦尔(天津)有限公司，天津 300308)

原国家安监总局安监总管三〔2014〕116号文的发布是一个标志，意味着安全仪表系统(SIS)被国家安全监管部门明确认定作为涉及“两重点一重大”化工生产装置和危险化学品储存设施过程安全的重要保护措施之一。近几年来，对于SIS的角色和定位，各级安全监管部门、工程领域以及最终用户逐步形成共识。根据国家安全监管要求，涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，普遍进行了以危险与可操作性分析(HAZOP)/保护层分析(LOPA)为主导的过程危险分析和风险评估、安全完整性等级(SIL)定级，以及对辨识出的安全仪表功能(SIF)回路进行以PFDavg为核心指标的量化验证计算。新建涉及“两重点一重大”的化工装置和危险化学品储存设施，也按照原国家安监总局安监总管三〔2014〕116号文的要求，设计符合相关标准规范规定的安全仪表系统。

在SIS的工程实践中，也面对着很多困惑和挑战。比如，SIS的功能安全标准： GB/T 21109—2007《过程工业领域安全仪表系统的功能安全》(等同采用IEC61511)，它以SIS的SIL和安全生命周期为基础，建立了一套方法论，不过只规定出“应该做什么”，而并没有给出“如何做”，在不同的应用场合，需要用户自行“量身定制”实施准则和方法，因此，面对的最大挑战是缺乏实际工程应用的指引。该标准的前身，来自ANSI/ISA-84.01： 1996，在美国它与OSHA 1910.119，以及《化工过程安全自动化指南》(GuidelinesforSafeAutomationofChemicalProcesses，1993版)”相衔接，被公认作为SIS设计、操作、维护、检验以及测试的良好工程实践准则。

另一个标准： GB/T 20438—2017《电气电子可编程电子安全相关系统的功能安全》(等同采用IEC61508)主要面向仪表和系统制造商。基于SIL验证的需要，大家对SIS仪表和安全控制系统的功能安全认证给予了很高的重视。对于认证机构的资质如何认定，尽管各企业或服务机构在实践中积累了很多好的做法，时至今日还没有形成明确的统一规定。原国家安监总局安监总管三〔2014〕116号文中“推动形成并完善符合中国国情的功能安全认证体制机制。……，逐步建立相关人员、产品以及组织机构功能安全认证服务体系。”的要求仍待落实。需要说明，上述两个标准本身并未强制要求认证， GB/T 21109—2007(IEC61511)甚至更看重基于“以往使用(prior use)”原则确定仪表选型。在美国，诸如OSHA，对SIL认证建立了特定的管理程序，批准了可以进行“IEC61508认证”的机构，即“国家认可测试实验室NRTL(nationally recognized testing laboratory)”。笔者认为，从国内的现状出发，对于安全监管机构“批准”意义上的HAZOP/LOPA以及SIL验证所依据的方法、数据来源、计算软件、从业人员的资质和服务机构的能力，有必要建立“认可/批准”程序，以便管控工作质量，一些大型企业也在这样做。另一方面，也有必要鼓励企业依据SIS标准规范的“以往使用”规则，探索“建立安全仪表准入和评审制度，类似于欧美企业的“用户批准”管理体系。

在安全监管部门、工程领域、最终用户、厂商的共同努力下，对涉及“两重点一重大”的在役生产装置和储存设施，普遍进行了SIS的SIL评估，至少收获了两个成果： 一是摸清了SIS在过程安全中应有的作用、是否存在“隐患”，以及如何完善，为确保安全生产打下了基础；二是依据原国家安监总局安监总管三〔2014〕116号文中“加强化工安全仪表系统管理的基础工作”的要求，初步培养了一批具备专业技术能力、掌握相关标准规范的工程技术人员，满足开展和加强化工安全仪表系统功能安全管理工作的需要，这是一个巨大的进步。

审视对在役SIS的评估，毋庸讳言，大体上仍存在以下的突出问题：

1)侧重于SIS的硬件构成，对于SIS功能安全管理体系和人员能力对SIS操作和维护的影响很少涉及。

2)HAZOP/LOPA，以及PFDavg计算所基于的假设条件，采用的都是文献/认证报告/工业数据库中的数据，由于缺乏现场第一手资料的支持，评估给出的是侧重于“设计”是否合理的理论结果。

SIL由技术、管理体系以及人员能力三个方面予以保证。对于用户来说，需要建立管理体系，管理SIS设备和系统的检验、维护、测试以及操作，确保所需的风险降低能力持续保持。

1 平均失效概率计算中的问题讨论

对于化工装置的SIS应用，大都为“要求(demand)”操作模式的系统，SIL等级的硬件评估采用PFDavg计算。影响PFDavg量值的主要有6个因素： 失效率(λ)，表决形式(MooN)，诊断覆盖率(DC)，检验测试周期/间隔时间(TI)，(在线)平均恢复时间(MTTR)，共因失效因子(β)。这6个参数对PFDavg的实际影响与企业的现场管理水平息息相关。

1.1 失效率

IEC61511-1： 2016(该IEC标准版本仍未转化为国内GB/T 21109新版，因此本文引用时仍用IEC 61511-1： 2016，下同)中11.9.3条规定： 在量化随机失效影响时采用的可靠性数据，应该可信、可追溯、文档化、对其合理性进行了适当评判，并且基于来自在类似操作环境下应用的、同类设备的现场反馈。该规定至少说明： 数据来自于现场实际应用，有适合的数据收集方法和体系，有足够的样本数量，需要有书面的正式基础数据记录。

毋庸置疑，最好的数据来自于现场的实际性能信息源。而认证数据大多来自厂商基于FMEDA等可靠性分析技术的理论推导，并没有顾及实际现场应用场合的过程连接和环境影响。而现场条件对仪表设备安全性能的影响是有目共睹的，有文献表明，实际性能比认证“声称的” 可能差一个数量级。因此，如何遵循原国家安监总局安监总管三〔2014〕116号文中“要加强安全仪表系统相关设备故障管理(包括设备失效、联锁动作、误动作情况等)和分析处理，逐步建立相关设备失效数据库” 等要求，获取实际的性能数据，成为未来的关注点之一。关于这方面GB/T 20438—2017，GB/T 21109—2007都给出了指导原则。

对于新建项目、或者现阶段只能采用认证数据，IEC61511-1： 2016中5.2.5.3款规定： 监视并评估SIS的可靠性参数是否符合设计时的假设；进一步地，如果实际失效率大于设计时的假设，要确定应采取的必要校正措施。因此，有必要建立机制，跟踪SIS仪表设备的实际性能。另一方面，失效率的取值基于可靠性分析基础模型——“浴盆曲线”，PFDavg计算基于正常的使用年限如图1所示。

PFDavg计算的最基本假设是仪表设备处于“有用的生命期”(即正常的使用年限)内，并且λ假定为常量。在SIS仪表设备投用初期，由于出厂前的潜在瑕疵，运输、储存、安装、调试等环节造成的内在损害，很快就会出现失效，这被称为“早期失效”；当处于“老旧状态”时，性能不再稳定，随着时间的推移，λ会明显上升。要注意： 当仪表设备超过图1所示的“正常使用年限”后，并非绝对不能继续使用，只是由于λ随时间明显增加，PFDavg计算已经没有意义。那么，目前已经评估的在役SIS，其中是否有已处于“老旧状态”的情形？如果不注意这一点，有可能误导对SIS安全性能的判断。

作为用户可能会关注仪表设备的正常使用年限，由于受工况和环境条件、维护状态等多方面的影响，即使相同规格型号的仪表设备在不同的应用现场也有不同的寿命，无法给出明确统一的答案。对正常使用年限只能是粗略的判断，例如： GB/T 20438-2—2017中7.4.9.5款的注释3提到： 依据经验，(电气、电子类)仪表设备使用年限一般是8～12 a。因此，在SIS设备的操作和维护过程中，要建立机制跟踪图1所示的右侧拐点何时出现。如果进入到“老旧状态”，就要调整维护策略，正如IEC61511-1： 2016中16.3.1.5款规定： 在(检验测试)的一些周期，应该基于各种因素，包括测试的历史数据、操作经验、硬件降级，对测试频率进行重新评估。

1.2 表决形式和平均恢复时间

在SIS中，不论是基于安全性能还是过程可用性，容错能力是最重要的设计考虑之一。安全系统的设计准则是一个危险失效存在时不能影响安全。对于冗余配置的(子)系统，它表征当系统出现危险故障导致安全性能降级时，仍然有能力将被控工艺过程置于安全状态。例如：“2oo3”配置的变送器，当其中1台出现危险失效(比如，输出信号“冻结”)时，该配置降级为”2oo2”，意味着在下一个危险失效到来之前，系统的安全性能仍有保证。尽管不是安全功能的全部丧失，却是现实存在的“隐患”，必须及时将系统恢复到正常状态。

为了发挥容错能力，需要有设计得当、足够可靠的诊断信息；同时，操作和维护人员要协同工作。MTTR反映了在线诊断响应和维修的时效性，它实际上受很多因素的制约： 工艺提供的有效时间窗口——最大允许的维修时间(MPRT)、发生故障的时间点(在晚上或节假日，可能要等待到正常工作时间)、备件库存状况、有效的人力资源等。在系统降级或在线维修期间，还涉及到“旁路(bypass)”设置和操作规程，以及因SIF安全能力的暂时缺失，工艺如何提供对等的“补偿措施”。

1.3 诊断覆盖率

在PFDavg计算中，发现故障的途径，只考虑自动诊断和人工完成的周期性检验测试。巡检等日常维护主要是能够及时发现故障征兆，在可靠性分析中称为“初始状态(incipient condition)”，即使是发现了“完全失效(complete failure)”，由于很难量化，一般也没包括在计算之内。

从安全性能的角度，自动诊断的意义在于将危险失效及时检测出来并转化为“安全的结果”；或者系统自动动作，进入安全状态；或者在有足够容错能力的前提下给出报警，由人工进行适当的响应，进而也存在着人员响应的时效性和有效性问题。

1.4 检验测试周期/间隔时间

PFDavg从数学上讲是量纲一的量，实际上它衡量的是检验测试时间间隔(TI)内、 在出现“要求”时SIF所设计功能的平均失效概率。由于在装置正常操作工况期间，SIS处于“休眠或静止状态”，可能存在隐含的危险失效，因此，“不坏不修” 不适用于SIS，定期检维修成为重要考虑因素。

一般来说，尽量避免在装置处于正常操作期间进行在线检验测试。如果不能避免，就要为这一活动设计出必要的便利条件，有必要在安全要求规格书(SRS)等设计文件中给出具体要求，在设计环节充分考虑现场维护需要的“可维护性”，是现代SIS设计理念有别于基本过程控制系统(BPCS)或传统设计最突出的特点之一。

需要建立检验测试规程，确保在测试和必要的维修之后，系统恢复到“如新”状态或接近该状态。要评估采用的测试方法对辨识潜在失效模式的有效性。TI的确定受很多因素的影响： 相关的法规、标准规范，厂商要求，工艺特性和操作特点，它也涉及基建投资和维护成本之间的平衡。如果不能按期进行检验测试，就需要有延期审批管理流程。要考虑如何对测试进行记录，以便追溯设备性能并辨识可能的“系统性失效”；甚至考虑是否可以利用一些非计划停车机会，测试关键阀门等。

1.5 共因失效因子

“公共原因”有很多来源，量化分析非常困难。因此，在PFDavg计算中一般采用GB/T 20438—2017的β模型及其估值，这必须以遵循消除或降低共因失效的良好工程实践为前提。

另外，GB/T 21109—2007(IEC61511)也特别强调在LOPA分析中，对保护层(PL)之间、PL与BPCS之间的公共原因、公共模式以及依赖性失效的影响进行评估，确保其影响足够低。

以上简单讨论了影响PFDavg计算的主要参数，想说明SIS安全性能的实际表现和持续保持，需要SIS最终用户良好的工程实践、完备的操作和维护管理体系、安全性能监测指标(KPI)监控，以及足够的人员能力等多方面予以保证。

2 安全控制、报警和联锁(SCAI)

原国家安监总局安监总管三〔2014〕116号文中“高度重视其他相关仪表保护措施管理”规定： 与SIF的安全完整性要求相关的报警、BPCS控制回路，参照SIF进行管理和检验测试；严格设计和实施有毒有害和可燃气体检测保护系统，并要独立于BPCS。哪些报警和BPCS控制回路与SIF相关？从LOPA的观点分析如下：

1)辨识为PL，SIF之外任何用“仪表和控制系统”方式实现的安全措施，都与SIF的SIL要求有关，例如，视为PL的独立安全报警以及BPCS中的控制回路/联锁/报警。原因是SIF的SIL由与降低同一风险的、其他PL之间的关系确定。

2)PL不论用什么专业技术手段实现，除了风险降低能力不同以外，实际上有着相同的作用和属性。例如，CCPS总结的七个核心属性。

ANSI/ISA 84.91.01： 2012将安全控制、报警、联锁，其中也包括SIF在内，整体定义为“SCAI”： 用仪表和控制方式执行的过程安全保护措施，根据所关注特定场景的风险降低需要，用于实现或保持过程的安全状态。由于定义在SCAI中的安全措施有着相同的作用，因此，除了SIS/SIF之外，这些“仪表和控制”PL都应该纳入安全监管范围。

2.1 7个核心属性

CCPS在《安全、可靠的仪表保护系统指南》(GuidelinesforSafeandReliableInstrumentedProtectiveSystems)中，首先定义了独立保护层(IPL)的7个核心属性，在此后CCPS的多本书籍中都予以引用。它们是： 物理属性——独立性、功能性、完整性、可靠性；管理属性——可审核性、访问的权限管理、变更管理。

前四个属性，在此归纳为物理属性，成为IPL工程设计的基本原则：“独立性”是安全功能有别于其他基本过程控制功能的最核心要求；“功能性”体现安全功能的直接、有效，对危险场景进行专门的、针对性的设计；“完整性”体现安全性能，用PFD/RRF表征；“可靠性”就是常说的“过程可用性”。

后三个属性，在此归纳为管理属性，是SCAI现场操作和维护管理的基本原则：“可审核性”与“功能安全审核”要求相衔接，体现通过检验、记录、测试、评估、审核等技术和管理措施，确保其所需的风险降低能力能够被“证实”达到预期；“访问的权限管理”体现通过物理、密码、规程等必要措施，确保有相应权限的人员才能对其进行相关操作，比如，修改SIF的关断设定值；“变更管理”是最基本的管理原则，体现即使有权限进行某些更改活动，也必须遵循变更管理流程。

2.2 SCAI的管理

伴随着现代化工工艺和仪控技术的进步，从近二十余年来CCPS，ISA，IEC等机构的大量文献中，也明显地看到安全系统设计和管理理念的变化，即关注安全功能的风险降低意图及其安全性能的一致性要求。以CCPS出版的3本书籍为例：

1)《化工过程安全自动化应用指南》第1版，是第一本介绍安全控制系统的专著。其中定义了“安全联锁系统SIS(safety interlock system)”及其三个“完整性等级(integrity level)”： 1，2以及3级。可见那时的SIS与今天的定义不同。

2)2007年出版了《安全、可靠的仪表保护系统指南》。除了前述IPL的7个核心属性外，该书列出了13种用“仪控”技术实现的安全保护系统，从一个侧面反映了工艺过程的多样性和仪控系统在安全保护上的广泛应用。

不过，这些令人眼花缭乱的系统名称并没有统一的定义，大都是约定俗成的叫法，甚至同一个名称在不同的行业有不同的含义。以最典型的紧急停车系统(ESD)为例，在该书中这样定义： 在过程工业内多年使用的术语，描述用于保护意图的各种不同类型的仪表系统： 安全仪表系统，紧急隔离和/或泄放存料的系统，仪表保护系统以及操作人员为响应安全报警所使用的设备。

在某一特定行业或应用场合，系统的用途非常明确，不会造成不同的理解，但对于整个过程工业，如此众多的名称和不同的定义，在一定程度上造成了不同行业之间横向交流上的障碍。

3)2017年出版的《化工过程安全自动化应用指南》第2版中，通篇将仪控系统分为三类： 过程控制系统、SCAI以及借助人工响应的“管理控制”。

可以这样理解，不论特定的系统名称如何，用仪表和控制方式执行的过程安全保护措施，其共同点都是用于防控工艺过程中对人员、资产、环境造成损害的风险。另外，由于现代自动化系统的规模越来越大，各种功能都可以“集成”在一个系统中，无法用一个名称准确概括。因此，从工程方法论的角度，关注的主体只能是“安全功能”而非一个笼统的“系统”。例如，基于危险事件“场景”的HAZOP/LOPA，辨识出的是特定安全功能(PL/SIF)及其被赋予的风险降低能力要求(PFD/RRF/SIL)，SRS也是基于SIF并规定其安全功能要求及其相关的安全完整性等级。

ANSI/ISA84.91.01： 2012对SCAI的规定有几个要点： 其相关文档应与其他仪表系统明确区分；纳入到机械完整性(MI)管理程序中，采取周期性检查、测试，以及预防性维护，保持在操作环境下的完整性；明确规定出了检验和测试记录应保持的内容。

3 SIS现场功能安全管理的“A&A”活动

GB/T 21109—2007将安全生命周期作为SIS工作流程和质量管理体系的架构。该架构简单地分为四步： 定义风险管理策略，执行该策略，确认、投用、操作、维护和保持该策略，管理对该策略的更改。它体现了以目标为导向的安全价值传递，即如何实现目标，以及持续改进。

SIS安全生命周期分为三个阶段： 分析阶段，即上述的“定义风险管理策略”通过PHA确定SIF/SIL，该阶段依据企业整体过程安全管理(PSM)要求，确定SIS的角色和作用；工程实施阶段，即上述的“执行该策略”从SRS到SIS最终交付的“确认”，工程阶段的功能安全管理活动主要体现“V&V”，即“验证(verification)—确认(validation)”；操作和维护阶段，即上述的“投用、操作、维护和保持该策略”和“管理对该策略的更改”，该阶段功能安全管理活动主要体现在持续改进过程中始终要遵循变更管理原则，以及定期开展“A&A”活动，即“评估(assessment)—审核(audit)”。

GB/T 21109—2007/IEC61511： 2003对SIS现场的功能安全管理，特别强调了“审核”活动，并在该标准的第二部分给出了组织和开展这一活动的指导原则。众所周知，审核是3～5 a的周期性控制活动，在PSM中也是典型的管理要素之一。

据悉，国内过程工业中的一些企业，特别是一些欧美独资或合资企业，按照其企业内部管理流程，参照PSM和SIS功能安全标准要求，已经开展了审核活动。审核的意图是通过审查SIS各类文档和记录，确定功能安全管理体系是否有缺失、是否需要更新，以及各项管理制度和操作规程是否被完全遵循；如发现有漏洞和缺口，给出改进建议。不过，“功能安全评估”是GB/T 20438—2017和GB/T 21109—2007标准最看重的安全生命周期管理活动，特别规定用缩略语FSA指代Functional Safety Assessment。

值得注意的是，IEC61511： 2016关于在SIS现场操作和维护阶段进行功能安全评估的新要求，新增加的条款5.2.6.1.10规定： 在操作和维护阶段，也应周期性地进行FSA，确保操作和维护按照设计期间的假设条件进行，以及IEC61511关于安全管理和验证的要求得到满足。

在SIS操作和维护阶段周期性进行FSA，从本质上是着眼于对SIS安全性能的动态管控和持续改进。例如，IEC61511-1： 2016中5.2.5.3款规定： 监视和评估SIS的可靠性参数是否符合设计时的假设，将SIF实际操作期间的“要求率(demand rate)”与风险评估并确定SIL时的假设相比较，如果有“缺口”存在，就要适时采取校正措施和调整维护策略。显然，可以通过周期性的FSA开展这些活动。

总之，在SIS的现场操作和维护期间，企业应该根据自身的SIS功能安全管理需要，定期开展“A&A”活动，其中的“审核(A)”关注于梳理并审查那些行之有效的管理制度、操作规程，确保得到持续保持；而“评估(A)”侧重于根据安全监管和标准规范的新要求、工艺操作和SIS运行状态等的变化，落实如何不断改进。

4 SIS操作和维护的安全完整性管理

根据IEC61511-1： 2016中16章的规定，SIS在操作和维护阶段的目标，是确保每个SIF所需的SIL得以维护；进一步地，操作和维护的方式确保所需的SIL持续保持。对于SIS用户，需要从基础工作做起，建立常态化、稳定的管理体系，以及制定完善的计划并适时进行各类维护活动对SIL要求予以保证。

如何将国家对企业SIS应用的管理制度和体系建设要求落到实处，包括SIS在内的SCAI整体自动化资产完整性AAI(automation asset integrity)管理是值得考虑的抓手之一。传统上，是“机械完整性”的管理概念，例如，大家熟悉的CCPS《机械完整性体系指南》，近年来变为“资产完整性”管理概念。例如，CCPS《资产完整性管理指南》。ISA-TR84.00.03： 2019中，“SIS的自动化资产完整性(Automation Asset Integrity of Safety Instrumented System(SIS))”则专门针对SIS。ISA的技术报告尽管针对SIS，由于自动化资产完整性与SCAI相对应，其指导原则适用于所有用“仪表和控制系统”方式实现的风险降低措施。这些文献涉及的关注点、如何进行体系建设，由于来自良好的工程实践积累，因此有很强的针对性和可操作性。

SIS的自动化资产完整性包括两部分： 一是通过设计和建造，将安全完整性/过程可用性融入到SIS之中，成为内在品质；二是从现场的SIS应用中建立管理体系，确保以“安全的方式”对SIS进行检查、测试、维护及操作，并与分配的风险降低要求相一致，在出现失效和性能降级时，及时成功地予以校正。

4.1 SIS自动化资产完整性的要点

SIS自动化资产完整性的要点如下：

1)首先要明确SIS自动化资产完整性管理体系涵盖的范围。根据上述的讨论，除了SIS以外，也应包括SCAI(在LOPA中认定为PL的BPCS回路/联锁/报警、独立报警)。

2)定义管理、操作、维护各岗位人员的角色和责任，并确保有相应的资质。

3)确定各类仪表设备的维护策略。检查(巡检、“介入”检查)、预防性和预测性维护(定期或基于仪表状态)、维修 (在线MTTR，旁路管理)、在线/离线校验、检验测试、可靠性数据记录表单和分析(停车记录、维护记录)。再次强调对于SIS，要求尽量避免“不坏不修”。

4)收集并保存生命周期各阶段文档。建立设计文件、管理规定、操作规程、各类表单记录等主控文档清单以及存档、版本控制等制度。要意识到文档是企业的长期资产。

5)确保维护人员的技能和培训。培训涵盖三个方面： 安全作业规程(HSE)、仪控专业技能、SIS专门技能。另外，由于SIS的功能安全水平采用SIL/PFDavg等量化性能指标评估，建议逐步设立“可靠性工程师”等技术岗位。

6)确定管理体系和SIS安全性能的KPI。例如，为了确保SIS性能处于“如新”状态，有几个方面需要监测： 工艺装置发生的实际“要求”即联锁关停率、通过自动诊断检测出的故障、危险失效率、误操作/误停车率，以及人员对操作规程的依从性。

7)制定功能安全周期性评估/审核(A&A)管理程序和变更管理程序，以及配置管理程序。

8)建立或完善操作和维护管理制度、编制或完善各项操作规程和记录表单。

4.2 SIS自动化资产完整性管理体系建立的起点

SIS自动化资产完整性管理体系建立和完善，无疑是化工企业SIS最终用户的职责。不过，这并非意味着企业在生产装置投产以后才着手考虑。对于新建化工装置，在SIS项目的工程设计阶段就要妥善处理现场操作和维护管理要求。

原国家安监总局安监总管三〔2014〕116号文中“严格安全仪表系统的安全调试和联合确认”的“联合确认”包含两个方面： 一是GB/T 21109—2007标准层面的“确认” ，这是一个有“仪式感”的活动，它的意图是SIS安装调试完成之后，通过文档审查、现场查验、整体测试等一系列活动，项目工程各方和最终用户共同“见证”SIS完全符合了SRS，并为装置投产准备就绪，所有权从项目方向业主方移交，一般也被俗称为“现场验收测试SAT”，在ANSI/ISA-84.01： 1996中称之为“开车前验收测试PSAT”，它本质上标志着SIS项目合同项下工程阶段的结束。二是大家熟知的安全监管要求——“开车前安全审查PSSR”，例如，原国家安监总局安监总管三〔2013〕88号文所要求的建设项目试生产前的“三查四定”是其应有内容。

SIS自动化资产完整性涵盖制定“确认”计划、并应从SIS设计阶段开始。一是在SIS设计时就要为SIS未来的在线维护活动(检维修、检验测试、旁路操作)等预留适当、足够的便利条件；二是在确认活动过程中积累的文档(包括调试记录、校验记录)，将成为未来SIS操作和维护管理、特别是周期性检验测试的基准点。

4.3 SIS动态数据收集和性能评估

原国家安监总局安监总管三〔2014〕116号文中“……要加强安全仪表系统相关设备故障管理(包括设备失效、联锁动作、误动作情况等)和分析处理，逐步建立相关设备失效数据库。要规范安全仪表系统相关设备选用，建立安全仪表设备准入和评审制度以及变更审批制度，……”明确要求，在SIS的现场操作期间收集可靠性数据并对其安全性能进行评估。

GB/T 20438.1—2017/IEC61508-1： 2010中的“图7： 运行和维护活动模型示例”“图8： 运行和维修管理模型示例”“图9： 修改规程模型示例”，给出了具体执行这些规定的一般性指导原则。

GB/T 21109—2007(IEC 61511-1： 2016) 规定：“要制定规程，收集与‘要求率’和SIS可靠性参数有关的数据(16.2.2条)”“监视并评估SIS的可靠性参数是否符合设计时的假设(5.2.5.3款)、要有有效的适当证据，(表明仪表)设备可适用于SIS(11.5.3.1款)” 以及“以往使用(Prior Use)评估涉及书面收集设备在类似操作环境下的性能信息(11.5.3.1款注释3)”“在量化随机失效影响时采用的可靠性数据，应该可信、可追溯、文档化、对其合理性进行了适当评判，并且基于来自在类似操作环境下应用的、同类设备的现场反馈(11.9.3条)”，等。这些规定都表明，有必要建立适当的机制，跟踪SIS的实际性能表现。通过对第一手数据和资料的评估，SIS仪表设备选型从目前高度依赖所谓“认证”，逐步向基于“以往使用”规则、建立准入和评审制度过渡。

4.4 关于安全要求规格书(SRS)完善

SRS是SIS设计的基础文件，包含了以SIF为核心的安全功能要求及其相关的安全完整性等级，SRS的重要性得到普遍认可。GB/T 21109—2007(IEC61511-1： 2016)第10章不厌其烦地罗列了29条SRS应详细表达的内容；关于应用程序(AP)也罗列了14条要求。具体到它的文件格式并没有统一的规定，在工程实践中，SRS大多是一组文件。传统的工程设计文件，从安全功能描述的广度和深度、安全完整性要求等方面大都存在欠缺，应该参照标准的相关规定予以完善。

对于新建SIS项目，SRS是从FEED、概念设计阶段逐步形成的过程，甚至SIS控制器厂商的“功能设计规格书(FDS)”也是其中的组成部分。

对于在役SIS，在完成HAZOP/LOPA以及SIL验证之后，整理并完善SRS，作为SIS管理、操作和维护的基础文件，并与相关设计文档、管理规定、操作规程、记录表单等相关联，很有现实意义。

由于工艺装置的类型不同、企业的管理和维护模式各异，不可能有统一的SRS格式，因此大体上可采用如下的文件结构： SIS所在工艺装置的特点和SIS的整体用途概述，SIS/SIF的总体设计原则，SIS控制器的结构及其网络拓扑的构成，每个SIF的功能和SIL要求描述，与相关设计文档、管理规定、操作和维护规程、记录表单等的关联等。

5 结束语

1)本文试图说明对在役化工装置目前进行的PHA和SIF的SIL验证，是第一步工作。根据原国家安监总局安监总管三〔2014〕116号文要求和GB/T 21109—2007的规定，接下来需要建立和完善SIS的管理体系，这是长期的、循序渐进的基础工作，可以将SIS的自动化资产完整性管理作为抓手。

2)安全监管的范围应从SIS/SIF扩展到SCAI。SCAI的设计、操作和维护管理围绕7个核心属性。

3)在SIS的操作和维护期间，制定计划和管理规程，定期开展“A&A”活动。

4)只有形成了完善的SIS完整性管理体系，才能为采用大数据、KPI、智能化等现代技术手段管控安全提供基础。

5)SIS的“安防(security)”，特别是网络安全对于SIS安全性能的影响也应予以特别重视。由于篇幅所限，对相关问题没有讨论。IEC 61511-1： 2016中8.2.4条规定，应进行安防风险评估，辨识SIS的安防脆弱性。SIS的网络安全不仅涉及与BPCS等其他系统的通信，还面对着厂商通过公共网络对用户现场SIS进行远程诊断等操作带来的安防挑战。

6)企业的安全保障，大体上短期目标是技术层面的改造或完善，例如，如果认为某款阀门性能不佳，在适当时机更换为品质优良的类型，效果立竿见影；中期目标是管理体系建设；而长期目标则是关注于安全文化的形成。另一方面，要树立“大安全”观，单从技术来说，现代个人智能穿戴设备、手持终端、控制系统、视频监控等都可以集成在统一的安全防护网络中，为安全生产、人员救援等提供一体化的监控、管理、应急指挥平台。不过，任何现代技术若得到充分应用，都需要以扎实的基础体系为前提。