功能安全與安全完整性等級綜述

機械工業儀器儀表綜合技術經濟研究所 史學玲,馮曉升

1 引言

《安全生產法》第二十四條規定：“生產經營單位新建、改建、擴建工程項目的安全設施，必須與主體工程同時設計、同時施工、同時投入生產和使用。安全設施投資應當納入建設項目概算。”這一要求一般被稱之為“三同時”制度。“三同時”制度從源頭上消除各類項目可能造成傷亡和職業病的危險因素，防止事故發生，避免因安全問題造成不必要損失，是確保本質安全的有效法律制度。

“三同時”制度中提到的安全設施包括安全與衛生設備、個體防護措施和生產性輔助設施。這些設施的安全功能是消除或減輕危害因素、防止傷亡事故和職業病的發生。每種安全設施可以執行一個或多個安全功能，每一個安全功能都能降低一定的風險。而就一個項目而言，無論這個項目是石油、化工裝置還是機械設備，采用安全設施執行安全功能后，這套石油、化工裝置或機械設備的安全就在很大程度上依賴于安全設施能否正確執行其安全功能。

“三同時”制度在我國實施已經多年，對我國安全生產起到了極為關鍵的作用。但進一步分析歷年來發生的工業事故，會發現安全設施的有效性是一個急待解決的問題。

功能安全防止的是安全設施的功能失效所導致的危險，解決的是安全設施有效性問題。因此，研究建立我國功能安全保障體系，對于“三同時”制度的有效性實施具有十分重要的意義。

2 功能安全與安全完整性等級的基本概念

功能安全是2000年以后興起的一項安全工程學科，旨在防止安全設施功能失效所導致的危險。

功能安全包括技術和管理兩方面內容，涉及石油、化工、機械、能源等多個領域，是通過提高安全設施有效性來控制與保護各類危險源，避免或減少工業事故對公眾和環境的影響，防止各類裝備尤其是成套裝置發生不可接受危險的技術。

例如，鍋爐控制系統是一種安全設施，其功能是當鍋爐壓力達到危險值時關閉爐火。如果這個功能失效，壓力達到危險值時爐火不能熄滅，而是持續燃燒，鍋爐就會爆炸，人員就會遇到危險。在這種情況下，安全依賴于鍋爐控制系統執行正確的功能。鍋爐控制系統承擔了一定的風險降低能力，鍋爐容量越大、壓力越高，這套控制系統承擔的風險降低要求也越高。

安全設施的每一個安全功能都對應降低某一個危險事件的風險，在2000年推出的功能安全基礎標準IEC61508[1]中，把每一個安全功能降低風險的能力定義為安全完整性等級（Safety Integrity Level; 以下簡稱SIL），如果安全設施可以將風險降低一個數量級，也就是說，采用該安全設施后，原來一年發生一次事故的概率可以降為幾十年發生一次，表示該安全設施具有SIL1的能力。如果安全設施可將風險降低4個數量級，也就是說，采用該安全設施后，原來一年發生一次事故的概率可以降為幾萬年發生一次，表示該安全設施具有SIL4的能力。

引入功能安全與SIL概念后，安全設施的有效性問題可以用系統的、量化的方法得到解決。首先根據基礎的風險分析與保護層分析確定每一個安全設施需要承擔的風險降低要求（SIL要求），然后用系統性安全性分析確定該安全設施實際能夠承擔的風險降低能力（SIL能力）。安全設施每一個安全功能的SIL要求與SIL能力相比，SIL要求等于SIL能力，則表示整套裝置的安全設施配置合適；SIL能力小于SIL要求，則表示安全設施配置不合理或不安全；SIL能力大于SIL要求，則表示存在過保護現象，后果是資產浪費且可能引入新的不安全因素。功能安全分析法就是這樣采用SIL指標來確定每一個安全設施配置的有效性與安全性的。

SIL的概念適用于所有安全設施，只要它承擔的是風險降低功能，就可以用量化的方法確定其風險降低能力。但由于每一種安全設施的技術特點差別極大，針對每一種安全設施確定SIL能力是一項十分復雜的工作。

功能安全具有以下特點：

（1）功能安全將安全轉化為SIL控制。綜合事故發生可能造成的人員傷亡、財產損失、環境破壞的嚴重程度，國家用法律的方式明確各生產經營單位的安全風險控制目標，各生產經營單位將企業的安全風險控制目標分解到每一個危險源，最后轉化為每一個安全設施的功能安全。這樣就形成了一個國家-生產經營單位-危險源控制的風險控制體系。

（2）功能安全從系統整體的安全要求出發，不但將安全責任與組織管理程序進行科學的分解，而且將構成系統的結構與諸元素的SIL進行科學分解。由這些分解的整體構成有序的系統，在合理分工的基礎上進行嚴密有效的協作，通過科學的組織管理體系和安全儀表系統集成來實現安全的總體目標。

（3）功能安全是系統論、控制論、現代安全管理等學科相互滲透、交叉發展而成。功能安全方法就是應用這些學科技術來實現系統的模型化和最優化，把定性分析和定量分析緊密結合，進行系統分析和系統設計。

3 安全相關系統的功能安全與SIL

安全相關系統（safety-related system）是“三同時”制度中提及的安全設施的一種。

安全相關系統包括安全控制系統與安全保護系統兩大類，其功能是檢測危險事件，當危險事件發生時，安全相關系統將采取適當的動作和措施，防止被保護對象進入危險狀態，避免危及人身安全，保護財產不受損失。如鍋爐壓力達到一定值時爐火自動熄滅；危險化學品運輸車出事故后的社會應急保障；礦井內有害氣體達到危險值時報警并自動進入應急狀態；當有人進入危險區域時電鋸自動停止動作……這類系統在不同領域有不同名稱，在石油化工領域統稱為安全儀表系統（SIS；以下稱安全相關系統為安全儀表系統）。

安全儀表系統通常都是綜合性的、復雜的，難以確定實際操作中的每一種失效模式，也很難測試所有可能發生的狀況，技術缺陷、硬件或軟件的偶然失效、環境、管理人員，任何一個環節都有可能導致系統功能失效，從而導致危險發生。因此，需要采用系統性方法確定其SIL能力。

為了實現安全儀表系統的功能安全，首先要對安全儀表系統實現風險控制的總體能力進行評估與控制，即要確切地了解它能做什么（執行什么安全功能），和能多大程度地相信它（即能降低幾級風險，SIL能力是多少）。然后通過對系統中每一個功能單元，包括子系統和器件、人員、組織的功能安全進行管理與控制來實現SIL能力。用系統中每一個功能單元的可靠工作，保證整個系統在需要時執行的正確功能，從而控制和防護危險。[2]

為了保證安全儀表系統的SIL能力，應完整考慮以下所有方面：

（1）研究方法的整體化。不僅把安全儀表系統看作是一個整體，而且把安全儀表系統的整個生命周期也看作是一個整體，以整體協調的需要來研究局部問題，并選擇優化方案，綜合評價系統的效果。

（2）安全管理與責任體系科學化。一個安全儀表系統的運行存在兩個并行的過程，一個是系統設計、使用過程，一個是對系統的計劃、組織和控制的過程。要保證安全儀表系統的SIL能力，需要明確兩個過程中所有相關人員的職責范圍和工作目標，建立安全儀表系統的責任體系。

（3）各門學科的協調化。安全儀表系統是一個技術綜合體，它跨越許多學科，而且是填補這些學科邊界空白的邊緣學科。它不僅涉及工程學的領域，還涉及社會、經濟和政治等領域。所以為了適當解決這些領域的問題，它要求從系統的總體目標出發，綜合運用各種科學技術，并使它們協調配合而達到系統整體的優化。

（4）安全的相對性。功能安全將安全定義為“沒有不可接受的風險”，即用系統功能失效導致危險的概率來表示發生事故、造成人員傷亡或財產損失的危險性，如果此概率小于法律規定的限度，就是允許的。

（5）基于風險的量化技術。用數學的方法量化安全儀表系統的安全完整性，是功能安全控制技術的核心。用SIL級別表明最終用戶可以多大程度地相信工業過程的安全性。

（6）建立結構與功能的數學關系。系統的安全完整性表現在系統內部的硬件、軟件、通訊等諸要素之間及系統與外部環境之間的關系上。系統內部諸要素之間的聯系為內部聯系，表征內部聯系的范疇，稱為結構。系統與外部環境之間的聯系為外部聯系，表征這種聯系的范疇稱為功能。要素、系統、環境三個環節，是通過結構和功能兩個中介的溝通而有機聯系起來的。

（7）戰略性安全解決方案。從安全戰略角度來看，不僅考慮了各獨立系統中所有元器件的問題，如傳感器、控制器、執行器等，而且考慮了由所有安全儀表系統構成的組合安全儀表系統的問題。

4 功能安全標準與國際國內應用現狀

國際電工委員會（IEC）、國際標準化組織（ISO）分別開始制定功能安全相關標準，第一批制定的標準中主要涉及的是安全儀表系統，也就是由電氣、電子、可編程電子為技術基礎的控制與保護系統的功能安全，包括IEC61508、IEC61511、IEC62061等幾十個標準，涉及石油、化工、冶金、電力、機械制造、電梯、家電等多個領域。這些標準出臺后，歐盟指令、美國職業安全與衛生管理局（OSHA1910_134）、美國環保署（EPA40CFRPart68）、英國（HSE）都將其納入安全法規范疇。

各應用領域安全儀表系統的功能安全標準制定后，已經成為各領域進行安全儀表系統設計、安裝、維護、改造等活動的安全規范。以流程工業領域為例，當公司為了降低風險采用安全儀表系統，如安全儀表系統、緊急停車系統、關鍵控制等系統時，在設計、安裝、運行、維護直到系統停用的全過程都必須嚴格遵守功能安全標準（IEC61511和IEC61508），如果發現哪家公司在某一步驟沒有執行標準，相關組織就會對該公司施以重罰。更嚴重的是，如果由于沒有執行標準出現了事故，無所不在的律師會幫助事故受害者要求巨額賠款，而陪審團對于不執行標準的公司是沒有同情心的。

由于不同領域的功能安全標準都要求使用的設備必須符合IEC61508標準，用戶的要求促使各設備制造商紛紛推出高安全等級的產品，一個統一的符合IEC61508標準的安全產品供應鏈和安全技術產業正在形成。用戶要求供應商提供經過認證的產品，要求工程承包商具備經認證的資質，這樣，就促進了IEC61508的認證、服務、培訓、工程服務等中介機構的發展。目前德國的TüV組織、美國的FM Global、英國的Sira認證服務公司等國際知名機構開始了功能安全認證服務，內容涉及產品認證、工廠認證、設備安裝認證與資格認證等多方面。

我國的功能安全研究工作從1999年開始。機械工業儀器儀表綜合技術經濟研究所、全國工業過程測量與控制標準化技術委員會、全國機械安全標準化技術委員會等組織從轉化IEC61508、ISO13849等功能安全標準為中國國家標準入手，研究其關鍵技術與檢測評估方法，目前已經建立相應的功能安全評估能力與檢測手段，并在石油、化工、機械等領域試點應用。中國合格評定認可委員會（CNAS）已經認定了兩個從事功能安全評估的實驗室。鐵路、流程工業、機械等領域多家供應商都開始進行產品SIL適應性認證工作，一個功能安全產品產業鏈正在形成。

5 我們的對策

功能安全的最大作用是可以針對危險事件建立有效的控制措施，預先防止事故發生，或者在出現危險時知道怎樣去控制它。因此，它對我國安全生產與安全保障具有十分重要的意義。

我國的安全生產形勢依然嚴峻，原因是多方面的，但最根本的原因是系統方面的問題。這些系統上的缺陷被腐敗等問題掩蓋了，系統的缺陷使得我們無法整合現有技術與條件，有時使用再好的設備、干部工作再努力，也只能在一次次事故面前束手無策；系統性的缺陷導致了安全管理政出多門，市場混亂，法制環境惡劣，責任追溯困難，生產經營單位為了維持正常的生產需要支付的各種費用大增，但安全問題并沒有確實得到解決。這已經成為一個定式：事故發生，媒體曝光，驚動領導，嚴肅查處，停業整頓，關停一片類似企業。常常有高層領導引咎辭職，不斷見事故的處罰力度在加大，措施不可謂不嚴厲。然而，上一事故的一整套程序剛走完，下一個事故又發生了，于是這個程序又重復一遍，周而復始。頻發的事故已成為制約經濟社會和諧發展的重要因素，嚴重損壞國家形象與對外貿易，使我國的經濟安全遭受巨大損害。

中國實行經濟體制改革以后，原有的工業生產管理體系被打破了，我國的大部分工業部被撤銷，有的成了公司，有的先是改成行業協會，后來又變成經貿委下屬的工業局，最后成為發改委的一個處，基本上喪失了行業管理與監督的功能。國家對工業的管理，僅限于標準與安全兩個方面。但此時新的適應市場經濟的安全生產管理體系還沒有建立，落后的安全技術水平及落后的安全標準現狀，也不能為安全生產法制化管理提供足夠的技術支撐。安全生產在原有的路子上已經走到了盡頭，新的用標準與法規實現安全的解決對策還沒有形成。

功能安全標準，作為一個系統解決安全問題的標準系列，全方位地展示了歐美等國一百多年工業實踐中總結的，與安全控制有關的法律基礎、標準體系、管理制度與方法措施，為我國以風險管理模式建立科學的安全生產組織與管理體系提供了極好的借鑒。

功能安全技術標準的出臺為我國采用與國際接軌的安全技術和管理理論，改變目前這種被動局面提供了條件。在此基礎上建立我國功能安全保障體系，對于我國在市場經濟條件下用標準和法規規范企業安全控制行為，用市場化運作方式推動功能安全技術產業化進程、推動從事功能安全技術服務的中介機構的發展，提高我國安全防護技術和管理水平、降低整套裝置及重要危險源、事故隱患點的風險，大幅度減少經濟損失和事故死亡人數，從而達到保障國家經濟安全的目的具有極為重要的意義。

必須建立一套完整的體系，通過實施功能安全標準戰略，才能使功能安全標準真正起作用。

6 我國實施功能安全標準戰略總體設計

我國實施功能安全標準戰略的總目標，是在我國石油、化工、冶金、電力、交通、煤碳、礦山等高危行業，通過安全設施有效設置與可靠工作，實現對危險的有效控制與防護。通過技術與管理的有效結合，預先防止事故發生，或在出現事故時，將損失降低到可接受的程度。同時為我國按照風險管理模式建立科學的安全生產的組織管理與技術保障體系打下標準、技術、管理、法律、產業、中介服務及市場基礎。

實施功能安全標準戰略的總任務是建立我國功能安全保障體系。

安全設施的安全完整性涉及技術與管理兩方面眾多環節，只要一個環節出錯，系統都有可能出現危險失效，引發安全事故。因此，安全設施作為涉及人身財產安全的重要系統，在從方案提出開始，設計、安裝、使用維護直到停用的整個生命周期內，都需要兩個體系來保障其安全的完整性：一個是技術體系，一個是組織管理體系。這兩個體系是保障功能安全的二大支柱，它們是功能安全能否實現的關鍵。

在組織管理和技術體系建立后，必須依靠完善的支撐環境，功能安全標準才能進入良性的運作狀態，安全才能有保障。功能安全保障的支撐要素包括法律法規、政策策略、標準體系、中介服務體系、產業與創新和國際合作等六個方面。

7 結語

等同采用功能安全基礎標準IEC61508的中國國家標準GB/T20438.1～7、等同采用流程工業領域功能安全標準IEC61511的中國國家標準GB/T21109.1～3都已經發布并正式實施多年了，但很多用戶因為這些是推薦性標準，沒有找到應用這些標準的法律依據而處觀望態度。

安全儀表系統作為一種典型的安全設施，應遵照“三同時”制度的實施要求，從項目論證到設計、施工、竣工驗收都應按“三同時”的規定進行審查驗收，驗收的依據就是相關功能安全標準。

其它的安全設施，也應按功能安全的要求進行量化的風險評估及系統化的分析方法確定其SIL能力，保證其實現要求的風險降低能力，并逐步制定相關的功能安全標準體系，實施功能安全標準戰略。

[1]IEC61508，電氣、電子、可編程電子安全相關系統的功能安全[S].

[2]馮曉升.功能安全—一種保障安全的新思路[J].中國儀器儀表，2005(10)：46-56．