淺議SIS的安全完整性管理

張建國

(中石化-霍尼韋爾(天津)有限公司，天津 300308)

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文的發(fā)布是一個標(biāo)志，意味著安全儀表系統(tǒng)(SIS)被國家安全監(jiān)管部門明確認(rèn)定作為涉及“兩重點一重大”化工生產(chǎn)裝置和危險化學(xué)品儲存設(shè)施過程安全的重要保護措施之一。近幾年來，對于SIS的角色和定位，各級安全監(jiān)管部門、工程領(lǐng)域以及最終用戶逐步形成共識。根據(jù)國家安全監(jiān)管要求，涉及“兩重點一重大”在役生產(chǎn)裝置或設(shè)施的化工企業(yè)和危險化學(xué)品儲存單位，普遍進行了以危險與可操作性分析(HAZOP)/保護層分析(LOPA)為主導(dǎo)的過程危險分析和風(fēng)險評估、安全完整性等級(SIL)定級，以及對辨識出的安全儀表功能(SIF)回路進行以PFDavg為核心指標(biāo)的量化驗證計算。新建涉及“兩重點一重大”的化工裝置和危險化學(xué)品儲存設(shè)施，也按照原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文的要求，設(shè)計符合相關(guān)標(biāo)準(zhǔn)規(guī)范規(guī)定的安全儀表系統(tǒng)。

在SIS的工程實踐中，也面對著很多困惑和挑戰(zhàn)。比如，SIS的功能安全標(biāo)準(zhǔn)： GB/T 21109—2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》(等同采用IEC61511)，它以SIS的SIL和安全生命周期為基礎(chǔ)，建立了一套方法論，不過只規(guī)定出“應(yīng)該做什么”，而并沒有給出“如何做”，在不同的應(yīng)用場合，需要用戶自行“量身定制”實施準(zhǔn)則和方法，因此，面對的最大挑戰(zhàn)是缺乏實際工程應(yīng)用的指引。該標(biāo)準(zhǔn)的前身，來自ANSI/ISA-84.01： 1996，在美國它與OSHA 1910.119，以及《化工過程安全自動化指南》(GuidelinesforSafeAutomationofChemicalProcesses，1993版)”相銜接，被公認(rèn)作為SIS設(shè)計、操作、維護、檢驗以及測試的良好工程實踐準(zhǔn)則。

另一個標(biāo)準(zhǔn)： GB/T 20438—2017《電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全》(等同采用IEC61508)主要面向儀表和系統(tǒng)制造商?；赟IL驗證的需要，大家對SIS儀表和安全控制系統(tǒng)的功能安全認(rèn)證給予了很高的重視。對于認(rèn)證機構(gòu)的資質(zhì)如何認(rèn)定，盡管各企業(yè)或服務(wù)機構(gòu)在實踐中積累了很多好的做法，時至今日還沒有形成明確的統(tǒng)一規(guī)定。原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“推動形成并完善符合中國國情的功能安全認(rèn)證體制機制。……，逐步建立相關(guān)人員、產(chǎn)品以及組織機構(gòu)功能安全認(rèn)證服務(wù)體系?！钡囊笕源鋵崱Ｐ枰f明，上述兩個標(biāo)準(zhǔn)本身并未強制要求認(rèn)證， GB/T 21109—2007(IEC61511)甚至更看重基于“以往使用(prior use)”原則確定儀表選型。在美國，諸如OSHA，對SIL認(rèn)證建立了特定的管理程序，批準(zhǔn)了可以進行“IEC61508認(rèn)證”的機構(gòu)，即“國家認(rèn)可測試實驗室NRTL(nationally recognized testing laboratory)”。筆者認(rèn)為，從國內(nèi)的現(xiàn)狀出發(fā)，對于安全監(jiān)管機構(gòu)“批準(zhǔn)”意義上的HAZOP/LOPA以及SIL驗證所依據(jù)的方法、數(shù)據(jù)來源、計算軟件、從業(yè)人員的資質(zhì)和服務(wù)機構(gòu)的能力，有必要建立“認(rèn)可/批準(zhǔn)”程序，以便管控工作質(zhì)量，一些大型企業(yè)也在這樣做。另一方面，也有必要鼓勵企業(yè)依據(jù)SIS標(biāo)準(zhǔn)規(guī)范的“以往使用”規(guī)則，探索“建立安全儀表準(zhǔn)入和評審制度，類似于歐美企業(yè)的“用戶批準(zhǔn)”管理體系。

在安全監(jiān)管部門、工程領(lǐng)域、最終用戶、廠商的共同努力下，對涉及“兩重點一重大”的在役生產(chǎn)裝置和儲存設(shè)施，普遍進行了SIS的SIL評估，至少收獲了兩個成果： 一是摸清了SIS在過程安全中應(yīng)有的作用、是否存在“隱患”，以及如何完善，為確保安全生產(chǎn)打下了基礎(chǔ)；二是依據(jù)原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“加強化工安全儀表系統(tǒng)管理的基礎(chǔ)工作”的要求，初步培養(yǎng)了一批具備專業(yè)技術(shù)能力、掌握相關(guān)標(biāo)準(zhǔn)規(guī)范的工程技術(shù)人員，滿足開展和加強化工安全儀表系統(tǒng)功能安全管理工作的需要，這是一個巨大的進步。

審視對在役SIS的評估，毋庸諱言，大體上仍存在以下的突出問題：

1)側(cè)重于SIS的硬件構(gòu)成，對于SIS功能安全管理體系和人員能力對SIS操作和維護的影響很少涉及。

2)HAZOP/LOPA，以及PFDavg計算所基于的假設(shè)條件，采用的都是文獻/認(rèn)證報告/工業(yè)數(shù)據(jù)庫中的數(shù)據(jù)，由于缺乏現(xiàn)場第一手資料的支持，評估給出的是側(cè)重于“設(shè)計”是否合理的理論結(jié)果。

SIL由技術(shù)、管理體系以及人員能力三個方面予以保證。對于用戶來說，需要建立管理體系，管理SIS設(shè)備和系統(tǒng)的檢驗、維護、測試以及操作，確保所需的風(fēng)險降低能力持續(xù)保持。

1 平均失效概率計算中的問題討論

對于化工裝置的SIS應(yīng)用，大都為“要求(demand)”操作模式的系統(tǒng)，SIL等級的硬件評估采用PFDavg計算。影響PFDavg量值的主要有6個因素： 失效率(λ)，表決形式(MooN)，診斷覆蓋率(DC)，檢驗測試周期/間隔時間(TI)，(在線)平均恢復(fù)時間(MTTR)，共因失效因子(β)。這6個參數(shù)對PFDavg的實際影響與企業(yè)的現(xiàn)場管理水平息息相關(guān)。

1.1 失效率

IEC61511-1： 2016(該IEC標(biāo)準(zhǔn)版本仍未轉(zhuǎn)化為國內(nèi)GB/T 21109新版，因此本文引用時仍用IEC 61511-1： 2016，下同)中11.9.3條規(guī)定： 在量化隨機失效影響時采用的可靠性數(shù)據(jù)，應(yīng)該可信、可追溯、文檔化、對其合理性進行了適當(dāng)評判，并且基于來自在類似操作環(huán)境下應(yīng)用的、同類設(shè)備的現(xiàn)場反饋。該規(guī)定至少說明： 數(shù)據(jù)來自于現(xiàn)場實際應(yīng)用，有適合的數(shù)據(jù)收集方法和體系，有足夠的樣本數(shù)量，需要有書面的正式基礎(chǔ)數(shù)據(jù)記錄。

毋庸置疑，最好的數(shù)據(jù)來自于現(xiàn)場的實際性能信息源。而認(rèn)證數(shù)據(jù)大多來自廠商基于FMEDA等可靠性分析技術(shù)的理論推導(dǎo)，并沒有顧及實際現(xiàn)場應(yīng)用場合的過程連接和環(huán)境影響。而現(xiàn)場條件對儀表設(shè)備安全性能的影響是有目共睹的，有文獻表明，實際性能比認(rèn)證“聲稱的” 可能差一個數(shù)量級。因此，如何遵循原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“要加強安全儀表系統(tǒng)相關(guān)設(shè)備故障管理(包括設(shè)備失效、聯(lián)鎖動作、誤動作情況等)和分析處理，逐步建立相關(guān)設(shè)備失效數(shù)據(jù)庫” 等要求，獲取實際的性能數(shù)據(jù)，成為未來的關(guān)注點之一。關(guān)于這方面GB/T 20438—2017，GB/T 21109—2007都給出了指導(dǎo)原則。

對于新建項目、或者現(xiàn)階段只能采用認(rèn)證數(shù)據(jù)，IEC61511-1： 2016中5.2.5.3款規(guī)定： 監(jiān)視并評估SIS的可靠性參數(shù)是否符合設(shè)計時的假設(shè)；進一步地，如果實際失效率大于設(shè)計時的假設(shè)，要確定應(yīng)采取的必要校正措施。因此，有必要建立機制，跟蹤SIS儀表設(shè)備的實際性能。另一方面，失效率的取值基于可靠性分析基礎(chǔ)模型——“浴盆曲線”，PFDavg計算基于正常的使用年限如圖1所示。

PFDavg計算的最基本假設(shè)是儀表設(shè)備處于“有用的生命期”(即正常的使用年限)內(nèi)，并且λ假定為常量。在SIS儀表設(shè)備投用初期，由于出廠前的潛在瑕疵，運輸、儲存、安裝、調(diào)試等環(huán)節(jié)造成的內(nèi)在損害，很快就會出現(xiàn)失效，這被稱為“早期失效”；當(dāng)處于“老舊狀態(tài)”時，性能不再穩(wěn)定，隨著時間的推移，λ會明顯上升。要注意： 當(dāng)儀表設(shè)備超過圖1所示的“正常使用年限”后，并非絕對不能繼續(xù)使用，只是由于λ隨時間明顯增加，PFDavg計算已經(jīng)沒有意義。那么，目前已經(jīng)評估的在役SIS，其中是否有已處于“老舊狀態(tài)”的情形？如果不注意這一點，有可能誤導(dǎo)對SIS安全性能的判斷。

作為用戶可能會關(guān)注儀表設(shè)備的正常使用年限，由于受工況和環(huán)境條件、維護狀態(tài)等多方面的影響，即使相同規(guī)格型號的儀表設(shè)備在不同的應(yīng)用現(xiàn)場也有不同的壽命，無法給出明確統(tǒng)一的答案。對正常使用年限只能是粗略的判斷，例如： GB/T 20438-2—2017中7.4.9.5款的注釋3提到： 依據(jù)經(jīng)驗，(電氣、電子類)儀表設(shè)備使用年限一般是8～12 a。因此，在SIS設(shè)備的操作和維護過程中，要建立機制跟蹤圖1所示的右側(cè)拐點何時出現(xiàn)。如果進入到“老舊狀態(tài)”，就要調(diào)整維護策略，正如IEC61511-1： 2016中16.3.1.5款規(guī)定： 在(檢驗測試)的一些周期，應(yīng)該基于各種因素，包括測試的歷史數(shù)據(jù)、操作經(jīng)驗、硬件降級，對測試頻率進行重新評估。

1.2 表決形式和平均恢復(fù)時間

在SIS中，不論是基于安全性能還是過程可用性，容錯能力是最重要的設(shè)計考慮之一。安全系統(tǒng)的設(shè)計準(zhǔn)則是一個危險失效存在時不能影響安全。對于冗余配置的(子)系統(tǒng)，它表征當(dāng)系統(tǒng)出現(xiàn)危險故障導(dǎo)致安全性能降級時，仍然有能力將被控工藝過程置于安全狀態(tài)。例如：“2oo3”配置的變送器，當(dāng)其中1臺出現(xiàn)危險失效(比如，輸出信號“凍結(jié)”)時，該配置降級為”2oo2”，意味著在下一個危險失效到來之前，系統(tǒng)的安全性能仍有保證。盡管不是安全功能的全部喪失，卻是現(xiàn)實存在的“隱患”，必須及時將系統(tǒng)恢復(fù)到正常狀態(tài)。

為了發(fā)揮容錯能力，需要有設(shè)計得當(dāng)、足夠可靠的診斷信息；同時，操作和維護人員要協(xié)同工作。MTTR反映了在線診斷響應(yīng)和維修的時效性，它實際上受很多因素的制約： 工藝提供的有效時間窗口——最大允許的維修時間(MPRT)、發(fā)生故障的時間點(在晚上或節(jié)假日，可能要等待到正常工作時間)、備件庫存狀況、有效的人力資源等。在系統(tǒng)降級或在線維修期間，還涉及到“旁路(bypass)”設(shè)置和操作規(guī)程，以及因SIF安全能力的暫時缺失，工藝如何提供對等的“補償措施”。

1.3 診斷覆蓋率

在PFDavg計算中，發(fā)現(xiàn)故障的途徑，只考慮自動診斷和人工完成的周期性檢驗測試。巡檢等日常維護主要是能夠及時發(fā)現(xiàn)故障征兆，在可靠性分析中稱為“初始狀態(tài)(incipient condition)”，即使是發(fā)現(xiàn)了“完全失效(complete failure)”，由于很難量化，一般也沒包括在計算之內(nèi)。

從安全性能的角度，自動診斷的意義在于將危險失效及時檢測出來并轉(zhuǎn)化為“安全的結(jié)果”；或者系統(tǒng)自動動作，進入安全狀態(tài)；或者在有足夠容錯能力的前提下給出報警，由人工進行適當(dāng)?shù)捻憫?yīng)，進而也存在著人員響應(yīng)的時效性和有效性問題。

1.4 檢驗測試周期/間隔時間

PFDavg從數(shù)學(xué)上講是量綱一的量，實際上它衡量的是檢驗測試時間間隔(TI)內(nèi)、 在出現(xiàn)“要求”時SIF所設(shè)計功能的平均失效概率。由于在裝置正常操作工況期間，SIS處于“休眠或靜止?fàn)顟B(tài)”，可能存在隱含的危險失效，因此，“不壞不修” 不適用于SIS，定期檢維修成為重要考慮因素。

一般來說，盡量避免在裝置處于正常操作期間進行在線檢驗測試。如果不能避免，就要為這一活動設(shè)計出必要的便利條件，有必要在安全要求規(guī)格書(SRS)等設(shè)計文件中給出具體要求，在設(shè)計環(huán)節(jié)充分考慮現(xiàn)場維護需要的“可維護性”，是現(xiàn)代SIS設(shè)計理念有別于基本過程控制系統(tǒng)(BPCS)或傳統(tǒng)設(shè)計最突出的特點之一。

需要建立檢驗測試規(guī)程，確保在測試和必要的維修之后，系統(tǒng)恢復(fù)到“如新”狀態(tài)或接近該狀態(tài)。要評估采用的測試方法對辨識潛在失效模式的有效性。TI的確定受很多因素的影響： 相關(guān)的法規(guī)、標(biāo)準(zhǔn)規(guī)范，廠商要求，工藝特性和操作特點，它也涉及基建投資和維護成本之間的平衡。如果不能按期進行檢驗測試，就需要有延期審批管理流程。要考慮如何對測試進行記錄，以便追溯設(shè)備性能并辨識可能的“系統(tǒng)性失效”；甚至考慮是否可以利用一些非計劃停車機會，測試關(guān)鍵閥門等。

1.5 共因失效因子

“公共原因”有很多來源，量化分析非常困難。因此，在PFDavg計算中一般采用GB/T 20438—2017的β模型及其估值，這必須以遵循消除或降低共因失效的良好工程實踐為前提。

另外，GB/T 21109—2007(IEC61511)也特別強調(diào)在LOPA分析中，對保護層(PL)之間、PL與BPCS之間的公共原因、公共模式以及依賴性失效的影響進行評估，確保其影響足夠低。

以上簡單討論了影響PFDavg計算的主要參數(shù)，想說明SIS安全性能的實際表現(xiàn)和持續(xù)保持，需要SIS最終用戶良好的工程實踐、完備的操作和維護管理體系、安全性能監(jiān)測指標(biāo)(KPI)監(jiān)控，以及足夠的人員能力等多方面予以保證。

2 安全控制、報警和聯(lián)鎖(SCAI)

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“高度重視其他相關(guān)儀表保護措施管理”規(guī)定： 與SIF的安全完整性要求相關(guān)的報警、BPCS控制回路，參照SIF進行管理和檢驗測試；嚴(yán)格設(shè)計和實施有毒有害和可燃氣體檢測保護系統(tǒng)，并要獨立于BPCS。哪些報警和BPCS控制回路與SIF相關(guān)？從LOPA的觀點分析如下：

1)辨識為PL，SIF之外任何用“儀表和控制系統(tǒng)”方式實現(xiàn)的安全措施，都與SIF的SIL要求有關(guān)，例如，視為PL的獨立安全報警以及BPCS中的控制回路/聯(lián)鎖/報警。原因是SIF的SIL由與降低同一風(fēng)險的、其他PL之間的關(guān)系確定。

2)PL不論用什么專業(yè)技術(shù)手段實現(xiàn)，除了風(fēng)險降低能力不同以外，實際上有著相同的作用和屬性。例如，CCPS總結(jié)的七個核心屬性。

ANSI/ISA 84.91.01： 2012將安全控制、報警、聯(lián)鎖，其中也包括SIF在內(nèi)，整體定義為“SCAI”： 用儀表和控制方式執(zhí)行的過程安全保護措施，根據(jù)所關(guān)注特定場景的風(fēng)險降低需要，用于實現(xiàn)或保持過程的安全狀態(tài)。由于定義在SCAI中的安全措施有著相同的作用，因此，除了SIS/SIF之外，這些“儀表和控制”PL都應(yīng)該納入安全監(jiān)管范圍。

2.1 7個核心屬性

CCPS在《安全、可靠的儀表保護系統(tǒng)指南》(GuidelinesforSafeandReliableInstrumentedProtectiveSystems)中，首先定義了獨立保護層(IPL)的7個核心屬性，在此后CCPS的多本書籍中都予以引用。它們是： 物理屬性——獨立性、功能性、完整性、可靠性；管理屬性——可審核性、訪問的權(quán)限管理、變更管理。

前四個屬性，在此歸納為物理屬性，成為IPL工程設(shè)計的基本原則：“獨立性”是安全功能有別于其他基本過程控制功能的最核心要求；“功能性”體現(xiàn)安全功能的直接、有效，對危險場景進行專門的、針對性的設(shè)計；“完整性”體現(xiàn)安全性能，用PFD/RRF表征；“可靠性”就是常說的“過程可用性”。

后三個屬性，在此歸納為管理屬性，是SCAI現(xiàn)場操作和維護管理的基本原則：“可審核性”與“功能安全審核”要求相銜接，體現(xiàn)通過檢驗、記錄、測試、評估、審核等技術(shù)和管理措施，確保其所需的風(fēng)險降低能力能夠被“證實”達到預(yù)期；“訪問的權(quán)限管理”體現(xiàn)通過物理、密碼、規(guī)程等必要措施，確保有相應(yīng)權(quán)限的人員才能對其進行相關(guān)操作，比如，修改SIF的關(guān)斷設(shè)定值；“變更管理”是最基本的管理原則，體現(xiàn)即使有權(quán)限進行某些更改活動，也必須遵循變更管理流程。

2.2 SCAI的管理

伴隨著現(xiàn)代化工工藝和儀控技術(shù)的進步，從近二十余年來CCPS，ISA，IEC等機構(gòu)的大量文獻中，也明顯地看到安全系統(tǒng)設(shè)計和管理理念的變化，即關(guān)注安全功能的風(fēng)險降低意圖及其安全性能的一致性要求。以CCPS出版的3本書籍為例：

1)《化工過程安全自動化應(yīng)用指南》第1版，是第一本介紹安全控制系統(tǒng)的專著。其中定義了“安全聯(lián)鎖系統(tǒng)SIS(safety interlock system)”及其三個“完整性等級(integrity level)”： 1，2以及3級。可見那時的SIS與今天的定義不同。

2)2007年出版了《安全、可靠的儀表保護系統(tǒng)指南》。除了前述IPL的7個核心屬性外，該書列出了13種用“儀控”技術(shù)實現(xiàn)的安全保護系統(tǒng)，從一個側(cè)面反映了工藝過程的多樣性和儀控系統(tǒng)在安全保護上的廣泛應(yīng)用。

不過，這些令人眼花繚亂的系統(tǒng)名稱并沒有統(tǒng)一的定義，大都是約定俗成的叫法，甚至同一個名稱在不同的行業(yè)有不同的含義。以最典型的緊急停車系統(tǒng)(ESD)為例，在該書中這樣定義： 在過程工業(yè)內(nèi)多年使用的術(shù)語，描述用于保護意圖的各種不同類型的儀表系統(tǒng)： 安全儀表系統(tǒng)，緊急隔離和/或泄放存料的系統(tǒng)，儀表保護系統(tǒng)以及操作人員為響應(yīng)安全報警所使用的設(shè)備。

在某一特定行業(yè)或應(yīng)用場合，系統(tǒng)的用途非常明確，不會造成不同的理解，但對于整個過程工業(yè)，如此眾多的名稱和不同的定義，在一定程度上造成了不同行業(yè)之間橫向交流上的障礙。

3)2017年出版的《化工過程安全自動化應(yīng)用指南》第2版中，通篇將儀控系統(tǒng)分為三類： 過程控制系統(tǒng)、SCAI以及借助人工響應(yīng)的“管理控制”。

可以這樣理解，不論特定的系統(tǒng)名稱如何，用儀表和控制方式執(zhí)行的過程安全保護措施，其共同點都是用于防控工藝過程中對人員、資產(chǎn)、環(huán)境造成損害的風(fēng)險。另外，由于現(xiàn)代自動化系統(tǒng)的規(guī)模越來越大，各種功能都可以“集成”在一個系統(tǒng)中，無法用一個名稱準(zhǔn)確概括。因此，從工程方法論的角度，關(guān)注的主體只能是“安全功能”而非一個籠統(tǒng)的“系統(tǒng)”。例如，基于危險事件“場景”的HAZOP/LOPA，辨識出的是特定安全功能(PL/SIF)及其被賦予的風(fēng)險降低能力要求(PFD/RRF/SIL)，SRS也是基于SIF并規(guī)定其安全功能要求及其相關(guān)的安全完整性等級。

ANSI/ISA84.91.01： 2012對SCAI的規(guī)定有幾個要點： 其相關(guān)文檔應(yīng)與其他儀表系統(tǒng)明確區(qū)分；納入到機械完整性(MI)管理程序中，采取周期性檢查、測試，以及預(yù)防性維護，保持在操作環(huán)境下的完整性；明確規(guī)定出了檢驗和測試記錄應(yīng)保持的內(nèi)容。

3 SIS現(xiàn)場功能安全管理的“A&A”活動

GB/T 21109—2007將安全生命周期作為SIS工作流程和質(zhì)量管理體系的架構(gòu)。該架構(gòu)簡單地分為四步： 定義風(fēng)險管理策略，執(zhí)行該策略，確認(rèn)、投用、操作、維護和保持該策略，管理對該策略的更改。它體現(xiàn)了以目標(biāo)為導(dǎo)向的安全價值傳遞，即如何實現(xiàn)目標(biāo)，以及持續(xù)改進。

SIS安全生命周期分為三個階段： 分析階段，即上述的“定義風(fēng)險管理策略”通過PHA確定SIF/SIL，該階段依據(jù)企業(yè)整體過程安全管理(PSM)要求，確定SIS的角色和作用；工程實施階段，即上述的“執(zhí)行該策略”從SRS到SIS最終交付的“確認(rèn)”，工程階段的功能安全管理活動主要體現(xiàn)“V&V”，即“驗證(verification)—確認(rèn)(validation)”；操作和維護階段，即上述的“投用、操作、維護和保持該策略”和“管理對該策略的更改”，該階段功能安全管理活動主要體現(xiàn)在持續(xù)改進過程中始終要遵循變更管理原則，以及定期開展“A&A”活動，即“評估(assessment)—審核(audit)”。

GB/T 21109—2007/IEC61511： 2003對SIS現(xiàn)場的功能安全管理，特別強調(diào)了“審核”活動，并在該標(biāo)準(zhǔn)的第二部分給出了組織和開展這一活動的指導(dǎo)原則。眾所周知，審核是3～5 a的周期性控制活動，在PSM中也是典型的管理要素之一。

據(jù)悉，國內(nèi)過程工業(yè)中的一些企業(yè)，特別是一些歐美獨資或合資企業(yè)，按照其企業(yè)內(nèi)部管理流程，參照PSM和SIS功能安全標(biāo)準(zhǔn)要求，已經(jīng)開展了審核活動。審核的意圖是通過審查SIS各類文檔和記錄，確定功能安全管理體系是否有缺失、是否需要更新，以及各項管理制度和操作規(guī)程是否被完全遵循；如發(fā)現(xiàn)有漏洞和缺口，給出改進建議。不過，“功能安全評估”是GB/T 20438—2017和GB/T 21109—2007標(biāo)準(zhǔn)最看重的安全生命周期管理活動，特別規(guī)定用縮略語FSA指代Functional Safety Assessment。

值得注意的是，IEC61511： 2016關(guān)于在SIS現(xiàn)場操作和維護階段進行功能安全評估的新要求，新增加的條款5.2.6.1.10規(guī)定： 在操作和維護階段，也應(yīng)周期性地進行FSA，確保操作和維護按照設(shè)計期間的假設(shè)條件進行，以及IEC61511關(guān)于安全管理和驗證的要求得到滿足。

在SIS操作和維護階段周期性進行FSA，從本質(zhì)上是著眼于對SIS安全性能的動態(tài)管控和持續(xù)改進。例如，IEC61511-1： 2016中5.2.5.3款規(guī)定： 監(jiān)視和評估SIS的可靠性參數(shù)是否符合設(shè)計時的假設(shè)，將SIF實際操作期間的“要求率(demand rate)”與風(fēng)險評估并確定SIL時的假設(shè)相比較，如果有“缺口”存在，就要適時采取校正措施和調(diào)整維護策略。顯然，可以通過周期性的FSA開展這些活動。

總之，在SIS的現(xiàn)場操作和維護期間，企業(yè)應(yīng)該根據(jù)自身的SIS功能安全管理需要，定期開展“A&A”活動，其中的“審核(A)”關(guān)注于梳理并審查那些行之有效的管理制度、操作規(guī)程，確保得到持續(xù)保持；而“評估(A)”側(cè)重于根據(jù)安全監(jiān)管和標(biāo)準(zhǔn)規(guī)范的新要求、工藝操作和SIS運行狀態(tài)等的變化，落實如何不斷改進。

4 SIS操作和維護的安全完整性管理

根據(jù)IEC61511-1： 2016中16章的規(guī)定，SIS在操作和維護階段的目標(biāo)，是確保每個SIF所需的SIL得以維護；進一步地，操作和維護的方式確保所需的SIL持續(xù)保持。對于SIS用戶，需要從基礎(chǔ)工作做起，建立常態(tài)化、穩(wěn)定的管理體系，以及制定完善的計劃并適時進行各類維護活動對SIL要求予以保證。

如何將國家對企業(yè)SIS應(yīng)用的管理制度和體系建設(shè)要求落到實處，包括SIS在內(nèi)的SCAI整體自動化資產(chǎn)完整性AAI(automation asset integrity)管理是值得考慮的抓手之一。傳統(tǒng)上，是“機械完整性”的管理概念，例如，大家熟悉的CCPS《機械完整性體系指南》，近年來變?yōu)椤百Y產(chǎn)完整性”管理概念。例如，CCPS《資產(chǎn)完整性管理指南》。ISA-TR84.00.03： 2019中，“SIS的自動化資產(chǎn)完整性(Automation Asset Integrity of Safety Instrumented System(SIS))”則專門針對SIS。ISA的技術(shù)報告盡管針對SIS，由于自動化資產(chǎn)完整性與SCAI相對應(yīng)，其指導(dǎo)原則適用于所有用“儀表和控制系統(tǒng)”方式實現(xiàn)的風(fēng)險降低措施。這些文獻涉及的關(guān)注點、如何進行體系建設(shè)，由于來自良好的工程實踐積累，因此有很強的針對性和可操作性。

SIS的自動化資產(chǎn)完整性包括兩部分： 一是通過設(shè)計和建造，將安全完整性/過程可用性融入到SIS之中，成為內(nèi)在品質(zhì)；二是從現(xiàn)場的SIS應(yīng)用中建立管理體系，確保以“安全的方式”對SIS進行檢查、測試、維護及操作，并與分配的風(fēng)險降低要求相一致，在出現(xiàn)失效和性能降級時，及時成功地予以校正。

4.1 SIS自動化資產(chǎn)完整性的要點

SIS自動化資產(chǎn)完整性的要點如下：

1)首先要明確SIS自動化資產(chǎn)完整性管理體系涵蓋的范圍。根據(jù)上述的討論，除了SIS以外，也應(yīng)包括SCAI(在LOPA中認(rèn)定為PL的BPCS回路/聯(lián)鎖/報警、獨立報警)。

2)定義管理、操作、維護各崗位人員的角色和責(zé)任，并確保有相應(yīng)的資質(zhì)。

3)確定各類儀表設(shè)備的維護策略。檢查(巡檢、“介入”檢查)、預(yù)防性和預(yù)測性維護(定期或基于儀表狀態(tài))、維修 (在線MTTR，旁路管理)、在線/離線校驗、檢驗測試、可靠性數(shù)據(jù)記錄表單和分析(停車記錄、維護記錄)。再次強調(diào)對于SIS，要求盡量避免“不壞不修”。

4)收集并保存生命周期各階段文檔。建立設(shè)計文件、管理規(guī)定、操作規(guī)程、各類表單記錄等主控文檔清單以及存檔、版本控制等制度。要意識到文檔是企業(yè)的長期資產(chǎn)。

5)確保維護人員的技能和培訓(xùn)。培訓(xùn)涵蓋三個方面： 安全作業(yè)規(guī)程(HSE)、儀控專業(yè)技能、SIS專門技能。另外，由于SIS的功能安全水平采用SIL/PFDavg等量化性能指標(biāo)評估，建議逐步設(shè)立“可靠性工程師”等技術(shù)崗位。

6)確定管理體系和SIS安全性能的KPI。例如，為了確保SIS性能處于“如新”狀態(tài)，有幾個方面需要監(jiān)測： 工藝裝置發(fā)生的實際“要求”即聯(lián)鎖關(guān)停率、通過自動診斷檢測出的故障、危險失效率、誤操作/誤停車率，以及人員對操作規(guī)程的依從性。

7)制定功能安全周期性評估/審核(A&A)管理程序和變更管理程序，以及配置管理程序。

8)建立或完善操作和維護管理制度、編制或完善各項操作規(guī)程和記錄表單。

4.2 SIS自動化資產(chǎn)完整性管理體系建立的起點

SIS自動化資產(chǎn)完整性管理體系建立和完善，無疑是化工企業(yè)SIS最終用戶的職責(zé)。不過，這并非意味著企業(yè)在生產(chǎn)裝置投產(chǎn)以后才著手考慮。對于新建化工裝置，在SIS項目的工程設(shè)計階段就要妥善處理現(xiàn)場操作和維護管理要求。

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“嚴(yán)格安全儀表系統(tǒng)的安全調(diào)試和聯(lián)合確認(rèn)”的“聯(lián)合確認(rèn)”包含兩個方面： 一是GB/T 21109—2007標(biāo)準(zhǔn)層面的“確認(rèn)” ，這是一個有“儀式感”的活動，它的意圖是SIS安裝調(diào)試完成之后，通過文檔審查、現(xiàn)場查驗、整體測試等一系列活動，項目工程各方和最終用戶共同“見證”SIS完全符合了SRS，并為裝置投產(chǎn)準(zhǔn)備就緒，所有權(quán)從項目方向業(yè)主方移交，一般也被俗稱為“現(xiàn)場驗收測試SAT”，在ANSI/ISA-84.01： 1996中稱之為“開車前驗收測試PSAT”，它本質(zhì)上標(biāo)志著SIS項目合同項下工程階段的結(jié)束。二是大家熟知的安全監(jiān)管要求——“開車前安全審查PSSR”，例如，原國家安監(jiān)總局安監(jiān)總管三〔2013〕88號文所要求的建設(shè)項目試生產(chǎn)前的“三查四定”是其應(yīng)有內(nèi)容。

SIS自動化資產(chǎn)完整性涵蓋制定“確認(rèn)”計劃、并應(yīng)從SIS設(shè)計階段開始。一是在SIS設(shè)計時就要為SIS未來的在線維護活動(檢維修、檢驗測試、旁路操作)等預(yù)留適當(dāng)、足夠的便利條件；二是在確認(rèn)活動過程中積累的文檔(包括調(diào)試記錄、校驗記錄)，將成為未來SIS操作和維護管理、特別是周期性檢驗測試的基準(zhǔn)點。

4.3 SIS動態(tài)數(shù)據(jù)收集和性能評估

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“……要加強安全儀表系統(tǒng)相關(guān)設(shè)備故障管理(包括設(shè)備失效、聯(lián)鎖動作、誤動作情況等)和分析處理，逐步建立相關(guān)設(shè)備失效數(shù)據(jù)庫。要規(guī)范安全儀表系統(tǒng)相關(guān)設(shè)備選用，建立安全儀表設(shè)備準(zhǔn)入和評審制度以及變更審批制度，……”明確要求，在SIS的現(xiàn)場操作期間收集可靠性數(shù)據(jù)并對其安全性能進行評估。

GB/T 20438.1—2017/IEC61508-1： 2010中的“圖7： 運行和維護活動模型示例”“圖8： 運行和維修管理模型示例”“圖9： 修改規(guī)程模型示例”，給出了具體執(zhí)行這些規(guī)定的一般性指導(dǎo)原則。

GB/T 21109—2007(IEC 61511-1： 2016) 規(guī)定：“要制定規(guī)程，收集與‘要求率’和SIS可靠性參數(shù)有關(guān)的數(shù)據(jù)(16.2.2條)”“監(jiān)視并評估SIS的可靠性參數(shù)是否符合設(shè)計時的假設(shè)(5.2.5.3款)、要有有效的適當(dāng)證據(jù)，(表明儀表)設(shè)備可適用于SIS(11.5.3.1款)” 以及“以往使用(Prior Use)評估涉及書面收集設(shè)備在類似操作環(huán)境下的性能信息(11.5.3.1款注釋3)”“在量化隨機失效影響時采用的可靠性數(shù)據(jù)，應(yīng)該可信、可追溯、文檔化、對其合理性進行了適當(dāng)評判，并且基于來自在類似操作環(huán)境下應(yīng)用的、同類設(shè)備的現(xiàn)場反饋(11.9.3條)”，等。這些規(guī)定都表明，有必要建立適當(dāng)?shù)臋C制，跟蹤SIS的實際性能表現(xiàn)。通過對第一手?jǐn)?shù)據(jù)和資料的評估，SIS儀表設(shè)備選型從目前高度依賴所謂“認(rèn)證”，逐步向基于“以往使用”規(guī)則、建立準(zhǔn)入和評審制度過渡。

4.4 關(guān)于安全要求規(guī)格書(SRS)完善

SRS是SIS設(shè)計的基礎(chǔ)文件，包含了以SIF為核心的安全功能要求及其相關(guān)的安全完整性等級，SRS的重要性得到普遍認(rèn)可。GB/T 21109—2007(IEC61511-1： 2016)第10章不厭其煩地羅列了29條SRS應(yīng)詳細表達的內(nèi)容；關(guān)于應(yīng)用程序(AP)也羅列了14條要求。具體到它的文件格式并沒有統(tǒng)一的規(guī)定，在工程實踐中，SRS大多是一組文件。傳統(tǒng)的工程設(shè)計文件，從安全功能描述的廣度和深度、安全完整性要求等方面大都存在欠缺，應(yīng)該參照標(biāo)準(zhǔn)的相關(guān)規(guī)定予以完善。

對于新建SIS項目，SRS是從FEED、概念設(shè)計階段逐步形成的過程，甚至SIS控制器廠商的“功能設(shè)計規(guī)格書(FDS)”也是其中的組成部分。

對于在役SIS，在完成HAZOP/LOPA以及SIL驗證之后，整理并完善SRS，作為SIS管理、操作和維護的基礎(chǔ)文件，并與相關(guān)設(shè)計文檔、管理規(guī)定、操作規(guī)程、記錄表單等相關(guān)聯(lián)，很有現(xiàn)實意義。

由于工藝裝置的類型不同、企業(yè)的管理和維護模式各異，不可能有統(tǒng)一的SRS格式，因此大體上可采用如下的文件結(jié)構(gòu)： SIS所在工藝裝置的特點和SIS的整體用途概述，SIS/SIF的總體設(shè)計原則，SIS控制器的結(jié)構(gòu)及其網(wǎng)絡(luò)拓撲的構(gòu)成，每個SIF的功能和SIL要求描述，與相關(guān)設(shè)計文檔、管理規(guī)定、操作和維護規(guī)程、記錄表單等的關(guān)聯(lián)等。

5 結(jié)束語

1)本文試圖說明對在役化工裝置目前進行的PHA和SIF的SIL驗證，是第一步工作。根據(jù)原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文要求和GB/T 21109—2007的規(guī)定，接下來需要建立和完善SIS的管理體系，這是長期的、循序漸進的基礎(chǔ)工作，可以將SIS的自動化資產(chǎn)完整性管理作為抓手。

2)安全監(jiān)管的范圍應(yīng)從SIS/SIF擴展到SCAI。SCAI的設(shè)計、操作和維護管理圍繞7個核心屬性。

3)在SIS的操作和維護期間，制定計劃和管理規(guī)程，定期開展“A&A”活動。

4)只有形成了完善的SIS完整性管理體系，才能為采用大數(shù)據(jù)、KPI、智能化等現(xiàn)代技術(shù)手段管控安全提供基礎(chǔ)。

5)SIS的“安防(security)”，特別是網(wǎng)絡(luò)安全對于SIS安全性能的影響也應(yīng)予以特別重視。由于篇幅所限，對相關(guān)問題沒有討論。IEC 61511-1： 2016中8.2.4條規(guī)定，應(yīng)進行安防風(fēng)險評估，辨識SIS的安防脆弱性。SIS的網(wǎng)絡(luò)安全不僅涉及與BPCS等其他系統(tǒng)的通信，還面對著廠商通過公共網(wǎng)絡(luò)對用戶現(xiàn)場SIS進行遠程診斷等操作帶來的安防挑戰(zhàn)。

6)企業(yè)的安全保障，大體上短期目標(biāo)是技術(shù)層面的改造或完善，例如，如果認(rèn)為某款閥門性能不佳，在適當(dāng)時機更換為品質(zhì)優(yōu)良的類型，效果立竿見影；中期目標(biāo)是管理體系建設(shè)；而長期目標(biāo)則是關(guān)注于安全文化的形成。另一方面，要樹立“大安全”觀，單從技術(shù)來說，現(xiàn)代個人智能穿戴設(shè)備、手持終端、控制系統(tǒng)、視頻監(jiān)控等都可以集成在統(tǒng)一的安全防護網(wǎng)絡(luò)中，為安全生產(chǎn)、人員救援等提供一體化的監(jiān)控、管理、應(yīng)急指揮平臺。不過，任何現(xiàn)代技術(shù)若得到充分應(yīng)用，都需要以扎實的基礎(chǔ)體系為前提。