功能安全評(píng)估在工藝安全管理中的應(yīng)用

呂永輝

(浙江醫(yī)藥股份有限公司，浙江 紹興 312000)

化工裝置中的安全儀表系統(tǒng)(SIS)與其他獨(dú)立保護(hù)層(IPL)，如基本過程控制系統(tǒng)(BPCS)、報(bào)警、安全泄壓系統(tǒng)等共同構(gòu)成了裝置的安全保護(hù)系統(tǒng)。每一個(gè)保護(hù)層都能夠獨(dú)立于其他系統(tǒng)，獨(dú)自實(shí)現(xiàn)安全功能。各保護(hù)層的風(fēng)險(xiǎn)削減能力取決于其功能性、獨(dú)立性、可用性及存活能力。各保護(hù)層的設(shè)施完整性包含了可靠性、可檢測(cè)性等要求。為了合理地設(shè)置各保護(hù)層的風(fēng)險(xiǎn)削減能力，有效地保持其完整性，必須進(jìn)行高質(zhì)量的功能安全評(píng)估，從而使各個(gè)保護(hù)層發(fā)揮其最大作用遏制重大事故，并有效推動(dòng)工藝安全管理的實(shí)施。

1 功能安全評(píng)估與管理概述

和功能安全相關(guān)的標(biāo)準(zhǔn)主要有： IEC 61508[1]，對(duì)應(yīng)中國國家標(biāo)準(zhǔn)為GB/T 20438[2]，是功能安全的基礎(chǔ)標(biāo)準(zhǔn)，涵蓋了繼電器、固態(tài)和可編程邏輯，包括現(xiàn)場(chǎng)儀表。該標(biāo)準(zhǔn)適用于核工業(yè)、鐵路、醫(yī)療、家電、機(jī)械及流程工業(yè)領(lǐng)域，IEC 61508針對(duì)由電氣/電子/可編程電子組件構(gòu)成的、起安全作用的電氣/電子/可編程電子系統(tǒng)(E/E/PE)整體安全生命周期的開發(fā)設(shè)計(jì)過程，提供一個(gè)基礎(chǔ)的評(píng)價(jià)方法，針對(duì)采用電氣/電子/可編程電子技術(shù)來實(shí)現(xiàn)預(yù)期功能安全設(shè)計(jì)的安全相關(guān)產(chǎn)品或安全相關(guān)系統(tǒng)，給出分階段、具體的、分等級(jí)的技術(shù)解決方案。IEC 61511[3]，對(duì)應(yīng)中國國家標(biāo)準(zhǔn)為GB/T 21109[4]，適用于過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全，描述了流程工業(yè)功能安全系統(tǒng)的工程設(shè)計(jì)、評(píng)估計(jì)劃、工程實(shí)施、運(yùn)行管理與維護(hù)校驗(yàn)的細(xì)節(jié)要求與做法。其他如GB/T 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》[5]主要側(cè)重于指導(dǎo)設(shè)計(jì)。

功能安全評(píng)估需依托相關(guān)標(biāo)準(zhǔn)開展，通過工藝危害分析充分辨識(shí)事故場(chǎng)景，分析初始發(fā)生概率及最嚴(yán)重后果，并根據(jù)各個(gè)保護(hù)層的設(shè)置情況，進(jìn)而確定功能安全回路安全儀表功能(SIF)的安全關(guān)斷動(dòng)作要求及合理的安全完整性水平，該過程被稱為安全完整性等級(jí)(SIL)定級(jí)。SIL定級(jí)后，需編制安全要求規(guī)格書(SRS)，以指導(dǎo)SIS整個(gè)生命周期內(nèi)的設(shè)計(jì)要求、性能要求及操作要求。SIL驗(yàn)算可以幫助確認(rèn)系統(tǒng)的配置是否滿足安全完整性水平及SRS中的細(xì)節(jié)要求。

功能安全評(píng)估不合理可能會(huì)導(dǎo)致兩類問題發(fā)生： 一類是導(dǎo)致投資過度，管理及維護(hù)負(fù)荷重，裝置誤動(dòng)作停車頻繁；另一類更嚴(yán)重的問題是SIS拒動(dòng)，無法實(shí)現(xiàn)預(yù)期的功能安全保護(hù)作用，發(fā)生嚴(yán)重安全事故。

基于以上標(biāo)準(zhǔn)，功能安全生命周期的功能安全管理活動(dòng)如圖1所示，各階段的管理活動(dòng)是互相關(guān)聯(lián)的，需合理安排功能安全生命周期內(nèi)各個(gè)環(huán)節(jié)的管理活動(dòng)，使各環(huán)節(jié)的輸入輸出數(shù)據(jù)與信息有效銜接，管理上縱向保證沒有環(huán)節(jié)的缺失，橫向充分覆蓋整個(gè)功能安全系統(tǒng)，才能有效發(fā)揮功能安全作用，從根本上提高工藝安全管理水平。

圖1 功能安全生命周期的功能安全管理活動(dòng)示意

SIL定級(jí)通常是以頭腦風(fēng)暴會(huì)議的形式進(jìn)行，參會(huì)人員主要包括： 操作、工藝、自控、電氣、HSE等多個(gè)專業(yè)的人員參加。團(tuán)隊(duì)主席需嚴(yán)格遵循評(píng)估規(guī)則，引導(dǎo)團(tuán)隊(duì)發(fā)揮各自知識(shí)和經(jīng)驗(yàn)，系統(tǒng)評(píng)估每一個(gè)高后果嚴(yán)重性的初始場(chǎng)景。

SIL定級(jí)的方法有很多，如圖表法、風(fēng)險(xiǎn)矩陣法、保護(hù)層分析(LOPA)法等。在IEC 61511—2016附錄F中推薦使用LOPA分析法[6]。LOPA是一種半定量分析方法，其評(píng)估內(nèi)容包括： 確定初始事件場(chǎng)景、事件嚴(yán)重性、事件發(fā)生的初始原因、初始原因發(fā)生的概率、辨識(shí)獨(dú)立保護(hù)層、各獨(dú)立保護(hù)層削減風(fēng)險(xiǎn)的程度，并判斷現(xiàn)有保護(hù)層是否可以將風(fēng)險(xiǎn)降低到可接受范圍內(nèi)，以及判斷是否需要增設(shè)額外的保護(hù)措施及SIF回路的SIL等級(jí)。

IPL包含一組設(shè)備或管理措施，如： 過程控制、報(bào)警、其他功能安全回路、安全泄壓系統(tǒng)等。IPL應(yīng)同時(shí)具備以下4個(gè)特征，缺一不可： 有效性，至少能夠避免初始事件發(fā)展為事件后果；獨(dú)立性，各保護(hù)層都應(yīng)當(dāng)獨(dú)立于其他保護(hù)層，不依賴其他保護(hù)層發(fā)揮安全功能；可靠性，保護(hù)層的隨機(jī)失效和系統(tǒng)性綜合失效頻率不大于1×10-1；可審核性，保護(hù)層的功能可以進(jìn)行定期或在線校驗(yàn)[7]。

SIL驗(yàn)算采用可靠性框圖(RBD)與馬爾可夫算法進(jìn)行可靠性建模。根據(jù)各功能安全回路的結(jié)構(gòu)配置、操作模式信息，構(gòu)建各功能安全回路的可靠性框圖。確定出各器件失效率數(shù)據(jù)λDD，λDU，λSD，λSU，結(jié)合檢驗(yàn)測(cè)試周期(TI)、檢驗(yàn)測(cè)試覆蓋率(CTI)、平均修復(fù)時(shí)間(MTTR)等分析計(jì)算出各功能安全回路的要求操作模式時(shí)平均失效概率(PFDavg)、平均誤動(dòng)作停車時(shí)間間隔(MTTF)、安全失效分?jǐn)?shù)(SFF)、硬件故障裕度(HFT)等參數(shù)，從而確定該安全功能回路滿足要求[8-11]。

2 功能安全管理中的誤區(qū)與問題

在功能安全管理的實(shí)踐活動(dòng)中，存在以下幾類問題：

1)基本概念理解不足。對(duì)功能安全系統(tǒng)的基本概念理解不足導(dǎo)致很多片面或者錯(cuò)誤的行為，如： 將DCS與SIS的功能、硬件、管理內(nèi)容等不做任何區(qū)分；認(rèn)為SIF回路的SIL等級(jí)為SIL2，則回路中所有的元器件都必須是經(jīng)過SIL2認(rèn)證的；另外，只關(guān)心SIF回路能否可靠性關(guān)斷，不重視誤動(dòng)作停車；或反之，不重視系統(tǒng)整體性能與冗余結(jié)構(gòu)配置等。

2)重設(shè)計(jì)、輕評(píng)估。重設(shè)計(jì)、輕評(píng)估或不評(píng)估導(dǎo)致設(shè)計(jì)缺乏依據(jù)，隨意性很高。設(shè)計(jì)與實(shí)施的過程缺失了國內(nèi)外相關(guān)標(biāo)準(zhǔn)中要求的多個(gè)管理環(huán)節(jié)，技術(shù)上不滿足標(biāo)準(zhǔn)要求，執(zhí)行程序上不滿足安監(jiān)總局的法規(guī)要求，無論是業(yè)主單位或設(shè)計(jì)單位相關(guān)人員將承擔(dān)很大合規(guī)性的責(zé)任。

3)重建設(shè)、輕管理。項(xiàng)目建設(shè)階段已經(jīng)設(shè)置SIS，但忽略了安裝調(diào)試與校驗(yàn)測(cè)試多個(gè)環(huán)節(jié)的技術(shù)要求、也不重視電磁干擾(EMC)等因素對(duì)SIS可靠性的影響，并且在運(yùn)行階段忽視了SIS的維護(hù)校驗(yàn)與變更管理，從而導(dǎo)致SIS發(fā)生誤動(dòng)作或拒動(dòng)。更嚴(yán)重的是以SIS發(fā)生誤動(dòng)作為理由，隨意進(jìn)行變更，簡(jiǎn)單地把回路停用或隨意改變?cè)O(shè)定點(diǎn)及延時(shí)，而不從根本上解決系統(tǒng)配置與可用性問題[9]。裝置運(yùn)行期間的檢維修測(cè)試間隔及檢驗(yàn)測(cè)試覆蓋率要求，應(yīng)遵守SIL驗(yàn)算中所使用的相關(guān)數(shù)據(jù)。應(yīng)重視檢測(cè)測(cè)試間隔對(duì)SIL等級(jí)的影響，如同樣硬件與結(jié)構(gòu)配置的SIF回路若采用12個(gè)月與48個(gè)月2個(gè)不同的檢測(cè)周期，其回路可靠性相差1個(gè)SIL等級(jí)。

4)強(qiáng)調(diào)硬件忽視工程人員能力。一流的裝置、一流的硬件更需要一流的工程人員能力，定級(jí)、驗(yàn)算、設(shè)計(jì)、安裝、校驗(yàn)等多個(gè)功能安全管理環(huán)節(jié)都對(duì)執(zhí)行人員的能力提出了要求，人員能力的不足會(huì)導(dǎo)致功能安全管理每個(gè)環(huán)節(jié)的執(zhí)行效果變差，經(jīng)過多個(gè)環(huán)節(jié)的傳遞放大，最終的結(jié)果必背離初衷。

5)重視SIS忽視其他IPL。不同的IPL按一定順序觸發(fā)，各自發(fā)揮其作用，與SIS共同承擔(dān)了避免初始事件發(fā)展為后果場(chǎng)景的風(fēng)險(xiǎn)削減任務(wù)。因此，當(dāng)總風(fēng)險(xiǎn)削減任務(wù)不變時(shí)，IPL的數(shù)量變化及需求時(shí)失效概率變化將直接影響到SIF回路的完整性。IPL對(duì)SIL的影響如圖2所示。

圖2 IPL對(duì)SIL的影響示意

除了變更、人為禁用或拆除等原因?qū)е翴PL失效外，為了進(jìn)一步理解影響各IPL的需求時(shí)失效概率發(fā)生變化的原因，依據(jù)IEC 60812： 2006對(duì)各IPL做系統(tǒng)FMEA失效模式及影響分析[12]，其中失效模式及代碼依據(jù)ISO 14424： 2004編制[13]，見表1所列。

3 通過功能安全評(píng)估帶動(dòng)提高工藝安全管理水平的措施

針對(duì)SIS管理過程中發(fā)現(xiàn)的問題提出以下措施，以期通過功能安全評(píng)估帶動(dòng)提高工藝安全管理水平。

表1 獨(dú)立保護(hù)層的失效模式及影響分析

1)加強(qiáng)相關(guān)人員能力培養(yǎng)與制度建設(shè)。配置專業(yè)儀表工程師進(jìn)行儀表及聯(lián)鎖系統(tǒng)管理，相關(guān)人員需經(jīng)過功能安全的專業(yè)培訓(xùn)；編制匯總性的功能安全管理計(jì)劃即聯(lián)鎖系統(tǒng)管理規(guī)定，將SIS生命周期內(nèi)各項(xiàng)管理任務(wù)進(jìn)一步明確，特別是所要求的輸入文件、具體任務(wù)、成果文件、執(zhí)行時(shí)機(jī)等；優(yōu)先編制SIS及各個(gè)SIL回路的SRS，在開車前對(duì)SIF回路逐一進(jìn)行測(cè)試，在投產(chǎn)前的安全分析中進(jìn)行復(fù)審；編制安全設(shè)施禁用與變更管理的實(shí)施細(xì)則，明確禁用權(quán)限。

2)完善工藝安全信息管理。應(yīng)滿足IEC 61511—2016中規(guī)定的SIL等級(jí)，包含對(duì)信息完整性的要求，如： P&ID圖中報(bào)警及聯(lián)鎖應(yīng)與實(shí)際情況符合，報(bào)警和聯(lián)鎖標(biāo)識(shí)正確清晰；操作手冊(cè)應(yīng)明確報(bào)警及聯(lián)鎖后的人員響應(yīng)要求；聯(lián)鎖值和報(bào)警值一覽表清晰準(zhǔn)確；儀表與聯(lián)鎖系統(tǒng)的關(guān)鍵文件，如管理臺(tái)賬、調(diào)試記錄表、投用率臺(tái)賬、聯(lián)鎖解除單完備；事件事故有完整記錄，并經(jīng)過事故分析，變更管理的記錄臺(tái)賬清晰。

3)積累失效數(shù)據(jù)能有效地幫助企業(yè)進(jìn)行安全與可靠性管理。對(duì)SIS的誤動(dòng)作、拒動(dòng)作應(yīng)在大事記或儀表專業(yè)專項(xiàng)文件中進(jìn)行記錄；企業(yè)對(duì)儀表、SIS及控制閥的故障進(jìn)行記錄，并對(duì)各元件的失效模式進(jìn)行統(tǒng)計(jì)，通過大樣本數(shù)據(jù)的積累，指導(dǎo)可靠性維修、預(yù)防性維護(hù)及關(guān)鍵備件計(jì)劃，建立儀表準(zhǔn)入制度及失效數(shù)據(jù)庫。

4)重視其他IPL的管理。認(rèn)真評(píng)估工藝控制回路的設(shè)計(jì)意圖與控制邏輯，將自控回路投用率納入工藝安全管理指標(biāo)；根據(jù)原國家安監(jiān)總局安監(jiān)總管三〔2014〕116 號(hào)文《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》中關(guān)于開展報(bào)警優(yōu)化工作的內(nèi)容，對(duì)控制系統(tǒng)報(bào)警實(shí)行分級(jí)管理，梳理報(bào)警設(shè)定值，實(shí)施各類報(bào)警抑制措施，減少報(bào)警泛濫；優(yōu)化報(bào)警的顯示顏色、閃爍頻率、文字提示、聲音等人機(jī)界面；明確報(bào)警響應(yīng)動(dòng)作要求并細(xì)化到具體步驟；對(duì)報(bào)警設(shè)置管理指標(biāo)并持續(xù)優(yōu)化報(bào)警管理；依據(jù)壓力容器管理法規(guī)對(duì)安全閥等安全附件按期進(jìn)行嚴(yán)格校驗(yàn)，在工藝變更中特別關(guān)注安全閥等安全設(shè)施的適用性，放空與火炬系統(tǒng)的完整性；將圍堰作為儲(chǔ)罐的一部分進(jìn)行完整性管理。

5)建立SIS與IPL的管理指標(biāo)，見表2所列。管理指標(biāo)可以參考圖2，分為不同級(jí)別進(jìn)行設(shè)置，并考慮不同的關(guān)注點(diǎn)。關(guān)注點(diǎn)應(yīng)包含： 獨(dú)立性、功能性、可用性、可靠性、可檢測(cè)性、數(shù)據(jù)安全與授權(quán)、變更管理共七個(gè)方面。

a)獨(dú)立性。獨(dú)立性是SIF與IPL的重要特征，是在功能、物理、人員上都應(yīng)做到獨(dú)立性，不依賴其他保護(hù)層發(fā)揮功能，避免控制、聯(lián)鎖、報(bào)警等共用執(zhí)行元件，避免共因失效。如保護(hù)同一場(chǎng)景的不同SIF，應(yīng)使用同樣的檢測(cè)元件，在進(jìn)入不同卡件安裝時(shí)避免布置在同一接線槽等。操作人員與定期儀表校驗(yàn)的人員應(yīng)盡量獨(dú)立，避免慣性思維導(dǎo)致檢驗(yàn)測(cè)試時(shí)漏檢。

表2 SIS與IPL的管理指標(biāo)

b)功能性。功能性就是SIF與IPL在需求時(shí)的風(fēng)險(xiǎn)削減能力，特別是當(dāng)發(fā)生工藝變更、SIF與IPL變更時(shí)，應(yīng)特別關(guān)注是否依然能夠具備要求的風(fēng)險(xiǎn)削減能力。

c)可用性。SIF回路的可用性即誤動(dòng)作停車，往往容易被忽略。在實(shí)際生產(chǎn)中過度保護(hù)易導(dǎo)致頻繁停車，而開停車階段事故發(fā)生概率最高。在IEC61511： 2016中，可用性與可靠性指標(biāo)被同時(shí)提出。不同冗余配置時(shí)的可靠性關(guān)系如圖3所示。

圖3 最佳冗余設(shè)置示意

d)可靠性。實(shí)際生產(chǎn)中獨(dú)立保護(hù)層如控制回路、報(bào)警、SIF、安全閥等可能被旁路或摘除，SIF回路所承擔(dān)的風(fēng)險(xiǎn)任務(wù)會(huì)相應(yīng)增加，導(dǎo)致不滿足要求。因此，IPL摘除應(yīng)設(shè)置管理權(quán)限，并在摘除期間采取臨時(shí)性的管理措施， 如： 當(dāng)某一關(guān)鍵控制回路由自動(dòng)改為手動(dòng)后，該保護(hù)層失效，可能采取的臨時(shí)措施包括： 現(xiàn)場(chǎng)巡檢的頻率增加或人員在現(xiàn)場(chǎng)值守；將相關(guān)報(bào)警的級(jí)別提高；操作程序內(nèi)明確手動(dòng)操作的詳細(xì)步驟、時(shí)間、工藝參數(shù)；提前進(jìn)行SIF回路功能測(cè)試等。

e)可檢測(cè)性。SIF與獨(dú)立保護(hù)層都應(yīng)該針對(duì)其失效模式進(jìn)行定期的校驗(yàn)測(cè)試。可測(cè)試性體現(xiàn)在測(cè)試計(jì)劃與測(cè)試記錄中，包含： 測(cè)試周期、覆蓋率、測(cè)試人員能力與資質(zhì)、測(cè)試設(shè)備要求、不符合項(xiàng)處理等。在線檢測(cè)，如： 關(guān)斷閥門的部分行程測(cè)試功能可以提高測(cè)試頻率，提供有預(yù)測(cè)性的維護(hù)數(shù)據(jù)、延長(zhǎng)閥門全行程測(cè)試周期、減少旁路設(shè)置。

6)進(jìn)行周期性的功能安全審計(jì)與評(píng)估。在IEC 61511： 2016中明確要求在役裝置的SIS與IPL應(yīng)定期進(jìn)行功能安全分析/審核，推薦周期不長(zhǎng)于5 a。這是一個(gè)階段性的審核與驗(yàn)算，需考慮過去1個(gè)周期內(nèi)的所有變更、事故事件，并由獨(dú)立方實(shí)施。

4 結(jié)束語

作為管控重大工藝安全事件的關(guān)鍵安全設(shè)施，SIS必須與其他IPL作為一個(gè)整體進(jìn)行管理，做到： 人員技能有保障，制度完整可實(shí)施；功能安全評(píng)估，充分辨識(shí)與評(píng)估風(fēng)險(xiǎn)場(chǎng)景，合理分配各個(gè)保護(hù)層的分線削減任務(wù)；系統(tǒng)配置兼顧可靠性與可用性；重視聯(lián)鎖系統(tǒng)也重視其他保護(hù)層；新建設(shè)施的設(shè)計(jì)優(yōu)化、實(shí)施質(zhì)量有保證；在役設(shè)施的校驗(yàn)計(jì)劃合理、執(zhí)行有保證；建立指導(dǎo)性的管理指標(biāo)，定期進(jìn)行階段性管理審核。通過功能安全系統(tǒng)的各項(xiàng)管理活動(dòng)，將工藝安全管理的諸多要素， 如： 工藝安全信息、工藝危害分析、變更管理、操作程序、投產(chǎn)前安全分析、機(jī)械完整性、培訓(xùn)等有機(jī)串聯(lián)起來，真正提高工藝安全管理水平，有效控制重大事故的發(fā)生。