安全儀表系統的功能安全評估現狀

楊沙沙 安 垚 孫 嘯 張思楊 吳鑫鑫 陳妍君

(1.中國石油大學(北京)油氣管道輸送安全國家工程實驗室；2.中國石油天然氣股份有限公司西南管道分公司)

安全儀表系統的功能安全評估現狀

楊沙沙1,2安 垚2孫 嘯2張思楊2吳鑫鑫2陳妍君2

(1.中國石油大學(北京)油氣管道輸送安全國家工程實驗室；2.中國石油天然氣股份有限公司西南管道分公司)

通過對比國內外安全儀表系統功能安全評估的發展狀況，從功能安全標準、HAZOP (Hazard and Operability)分析、SIL(Safety Integrity Level)定級、SIL驗證和SIL評估與認證5個方面進行了研究。發現我國缺乏與自身實際情況相結合的功能安全標準；在HAZOP、SIL定級和SIL驗證方面，仍處在定性研究階段，缺乏相關的失效數據庫和與實際相結合的研究；還沒有建立與功能安全評估相關的認證與服務機構。研究結果可為功能安全評估今后的發展提供一定的指導作用。

安全儀表系統 功能安全 HAZOP分析 SIL定級 SIL驗證 SIL評估與認證

安全儀表系統(Safety Instrumented System， SIS)是由傳感器、邏輯控制器和執行器所組成的儀表系統，它能夠實現一項或多項安全儀表功能[1]。而功能安全則是安全儀表系統的安全儀表功能能否被正確執行的體現[2]。在IEC61508中，安全相關系統的安全完整性被分為4個不同的等級(SIL1～SIL4)，等級越高，安全儀表的可靠性也就越高，則系統發生危險失效的概率也就越低[3]。

自20世紀70年代以來，在生產過程中，由于安全儀表系統失效，使得火災爆炸等嚴重事故時有發生，這不但給企業帶來了巨大的財產損失，而且還導致了人員傷亡、環境污染等嚴峻的后果。例如，在1984年，由于安全設施失效等原因，導致印度博帕爾發生甲基異氰酸酯泄漏事故，造成2～4萬人死亡，另有6萬多人面臨需接受長期治療的慘重后果；在2005年，由于一個傳感器發生了失效，導致某煉油廠發生了火災爆炸事故，造成了15人死亡、170多人重傷的嚴重后果。作為重要的安全保障措施，安全儀表系統應能在生產過程出現危險時準確地執行自身的安全功能，從而避免事故的發生或減輕事故帶來的影響。然而由于系統自身的結構、硬件或軟件的特性以及周圍環境的影響等因素，安全儀表系統存在著潛在的安全隱患。因此，提高管道等流程行業安全生產水平的重要方法就是確保安全儀表系統的功能安全，對安全儀表系統展開功能安全評估具有十分重要的意義[4]。

筆者將從功能安全標準、HAZOP(Hazard and Operability)分析、SIL(Sofety Integrity Level)定級、SIL驗證、SIL評估與認證5個方面進行國內外對比研究。

1 功能安全標準的研究現狀

1.1 國外功能安全標準

1994年，德國率先頒布了首個關于安全儀表系統的標準——DIN V 19250，標準中規定了具有保護功能的設備必須滿足獨立性要求。隨后，德國又頒布了一個功能安全標準——DIN V VDE 0801，該標準主要是針對以計算機技術為核心的安全相關系統。1996年，美國發布了《安全儀表系統在過程工業中的應用》，即ANSI/ISA-S84.01-1996，該標準定義了安全生命周期，第一次明確地提出了安全儀表系統的概念，具有劃時代的指導意義，直到現在仍被許多國家所采用[5]。

自2000年以來，國際電工委員會(International Electrotechnical Commission，IEC)接連發布了安全相關系統標準IEC61508、流程工業標準IEC61511、機械工業標準IEC62061以及核工業標準IEC61513等，在功能安全方面，逐步建立了國際標準體系[6]。作為基礎通用性標準，IEC61508為其他行業或部門標準的制定提供了一定的指導作用。而在IEC61511標準頒布之后，各個國家與世界著名石油公司都將它與自身的實際情況相結合，制定出了該標準相應的應用指南來指導實際生產。例如：在挪威，海上石油開采業就將IEC61511標準與自身的情況相結合，在進行了一定的修改之后，對海洋平臺的安全生產進行指導。

1.2 國內功能安全標準

對于功能安全的研究，我國仍然處在初級階段，一系列相關標準還處于形成的過程之中。在國家標準方面，2006年，我國頒布了采標IEC61508的GB/T 20438《電氣/電子/可編程電子安全相關系統的功能安全》；緊接著，2007年，頒布了采標IEC61511的、適用于過程工業領域的GB/T 21109《過程工業領域安全儀表系統的功能安全》；2013年，我國頒布了GB/T 50770《石油化工安全儀表系統設計規范》；2015年又接連頒布了GB/T 32202《油氣管道安全儀表系統的功能安全評估規范》和GB/T 32203《油氣管道安全儀表系統的功能安全驗收規范》。在行業標準方面，2003年，我國頒布了SH3018《石油化工安全儀表系統設計規范》和《工業生產過程中安全儀表系統的應用》；2013年，又發布了SY/T6966《輸油氣管道工程安全儀表系統設計規范》和AQ/T:3049《危險與可操作性分析(HAZOP分析)應用導則》。

在IEC61508的基礎上，國外已經形成了比較完善的功能安全標準體系，并且能夠對相關標準進行熟練地應用。而在國內，大多數標準都直接由國外標準采標得來，沒有根據我國不同部門、不同行業的特點進行修改，也沒有形成相應的應用指南，因而標準的指導意義沒能得到很好的發揮，并且國內頒布的標準大多數都只是推薦性的，沒有要求強制實施，這都給我國功能安全評估工作的展開帶來了困難。

2 HAZOP分析的研究現狀

英國帝國化學工業公司(ICI)在 20 世紀60年代提出了一種安全分析方法——危險與可操作性分析(HAZOP分析)。在歷經了五十多年的改進與完善之后，HAZOP分析已經在國內外工程項目上得到了廣泛的應用，成為了一種被各行各業所采納的通用安全分析方法[7]。

2.1 國外HAZOP分析

在2001年，國際電工委員會發布了IEC 61882，指導了各個行業對HAZOP分析的應用。HAZOP分析方法由于其全面性、系統性和結構性的特點，在工藝危害分析技術領域得到了廣泛的應用，被許多知名公司采用，如：陶氏化學、拜爾、羅迪亞、BP及賽科等。具體應用情況見表1[8]。

表1 國外知名公司對于HAZOP分析的應用情況

近年來，HAZOP方法正在逐漸地向量化的方向發展，主要的方法是將HAZOP方法與風險矩陣、LOPA及SIL等定量評價方法相結合，進而更好地評估系統的安全性。2005年，Svandova Z等提出將靜態/動態模擬與HAZOP方法相結合[9]。2006年，Eizenberg S等成功地將HAZOP方法與Matlab動態模擬相結合[10]。

2.2 國內HAZOP分析

我國對于HAZOP分析方法的應用相對較晚，一直到21世紀，我國學者才廣泛地開始對HAZOP方法進行研究。 張東升將HAZOP分析方法應用于LNG接收站的風險評估中，辨別出了現有裝置存在的風險[11]。李娜等概括介紹了HAZOP、LOPA和SIL 3種分析方法的特點，并總結出了它們之間的關系[12]。李秋娟等對輸油泵進行了HAZOP分析，并總結出了在對油氣管道系統進行HAZOP分析時需要注意的核心內容[13]。馮文興等詳細介紹了HAZOP分析的具體過程，并運用該方法對輸油管道站場進行了分析，提出了風險降低的措施[14]。張志勝等對西氣東輸的典型站場、復雜工藝等進行HAZOP分析，找出當前設備設施存在的缺陷，為今后的改造提供依據[15]。王厚尚開發了HAZOP在線分析系統，提高了HAZOP分析方法的靈活性與實用性。

綜上所述，國內對于HAZOP方法的研究大多都還處在定性的層面，雖然也有學者已經開始對HAZOP方法進行定量分析研究，但是還處于起步階段。

3 SIL定級研究現狀

SIL定級是指將工業過程的原始風險與可容忍風險相對比，以確定安全儀表系統所能實現的風險降低能力，即SIS所要求的SIL等級。SIL定級的定性方法主要有風險矩陣法、風險圖法和校正風險圖法；定量方法主要有故障樹法、事件樹法和LOPA分析法；或者是將定性與定量方法相結合的方法。

3.1 國外SIL定級

早在1996年，Summers A E就總結出了企業授權的SIL、后果分析、風險矩陣、改良的HAZOP、風險圖及定量評估6種SIL定級方法[16]。2002年，Marszal E M提出在采用保護層分析法進行功能安全評估時，需要將人員對評估結果的影響考慮在內，這樣能夠提高SIL定級的準確性[17]。2004年，Bingham K和Goteti P提出，在對SIL定級之前，要先建立起相應的失效數據庫[18]。Dejmek K A和Wehrman K A指出，在確定SIL等級時，要合理地確定初始事件的可容忍發生的頻率，采用定量風險分析法(如LOPA分析法)來使風險后果量化，以得到直觀、可靠的分析結果[19]。2006年，Gowland P A等詳細闡述了保護層分析法的原理，并將它應用于歐洲工業意外風險評估中[20]。

3.2 國內SIL定級

劉永和分別采用了半定量評估法與定性風險圖法對天然氣裝置的安全完整性等級進行評估，并得到了相同的結果[21]。汪應紅等利用HAZOP方法對天然氣脫水撬進行危險與風險分析，接著確定了裝置的SIL等級，最后提出建議來降低脫水裝置的風險[22]。靳江紅等根據重大危險源的安全儀表分類，歸納了不同SIL等級的常用場合，為SIL定級提供了新的方向[23]。西南石油大學呂路對校正風險圖法和HAZOP/LOPA法進行了比選，并用第2種方法對輸氣站場進行了SIL定級。

國外很早就開始對SIL定級方法進行研究，并且已經建立起了初始事件發生頻率和獨立保護層失效頻率等相關數據庫，邁入了定量分析的階段。而我國學者大多仍采用較為簡單的定性方法來進行SIL定級，仍然處在初級階段。雖然目前國內已有不少學者正在嘗試進行定量評估，但由于缺乏失效數據庫，定量方法的應用還有一定的難度。

4 SIL驗證研究現狀

4.1 國外SIL驗證

1998年，Goble W M總結歸納了完整性等級的驗證方法，并對可靠性框圖法、故障樹法、馬爾可夫模型以及失效模式與影響分析法進行了詳細地介紹[24]。2000年，Summers A E對比分析了可靠性框圖法和故障樹法，發現采用故障樹法對較為復雜的系統進行評估，得到的結果將更加準確[25]。2010年，Oliveira L F和Abramovitch R N針對一些不確定問題提出了用FMEDA法來驗證SIL等級，得到的結果更為保守[26]。由于可靠性框圖法計算公式中有個別參數的取值難以獲得，Catelani M等認為對于復雜系統應該用失效模式與影響分析法來驗證SIL等級[27]。

4.2 國內SIL驗證

Guo H T和Yang X H對IEC61508標準里提出的可靠性框圖模型的計算公式進行了詳細推導[28]。西南石油大學的楊藝針對輸氣站場的具體情況，建立了一套適用于站場的SIL驗證流程，并編寫了驗證軟件。蘆媛建立了SIL驗證所需的可靠性框圖模型，并對SIL驗證模型進行了軟件編程[29]。基于白盒測試思想，沈學強和白焰對失效模式與影響分析、可靠性框圖、故障樹以及馬爾可夫模型進行分析比較，總結了各評估方法的適用范圍及其在特定環境下的置信度[30]。

雖然國內學者對于SIL驗證方法已經展開了研究，但在針對我國具體行業實際情況的應用上研究較少，尚未有一套結合具體行業具體情況建立的驗證流程。

5 SIL評估與認證的研究現狀

5.1 國外SIL評估與認證

在國外，與功能安全評估相關的商業軟件較多，大多數都已經具備SIL定級與SIL驗證的功能。當前，比較有名的軟件有德國的exSILentia軟件、HIMA公司的SILence軟件以及西門子公司的SET軟件等。

在國外，功能安全相關的認證服務發展較早，第三方認證機構也得到了生產商、承包商以及廣大用戶的認可，目前比較著名的認證評估機構有美國的EXIDA和德國的TüV。

5.2 國內SIL評估與認證

在國內，目前還沒有比較成熟的SIL評估軟件，大多都只能實現一部分功能，還不夠完善，如浙江大學的吳寧寧等將VB 6.0與Matlab相結合，利用馬爾可夫模型，開發了可對不同冗余表決結構的PFD值進行計算的驗證軟件[31]。

國外在產品、認證以及應用軟件等方面已經形成了一個良好的功能安全評估系統。而國內發展相對較晚，目前尚無成熟的評估認證機構，也沒有建立自己的失效數據庫。

6 總結與建議

6.1 在功能安全標準方面，國外已經形成了完備的標準體系，而我國還沒有建立符合自身實際情況的標準指南，需要加快立法的腳步。

6.2 在HAZOP分析方面，我國的學者大多數還停留在定性的層面上，需要繼續加深對于定量層面上的研究。

6.3 在SIL定級與驗證方面，由于缺乏失效數據庫，我國的研究還處于基礎階段，并且缺乏結合行業實際情況的研究。

6.4 在SIL評估與認證方面，我國還沒有相應的評估軟件與認證機構，需要盡快建立。

[1] 張怡.分散控制系統I/O模件的可靠性分析及安全評估[D].北京:華北電力大學,2011.

[2] 龍飛.安全儀表系統及其SIL評估技術在歧化裝置中的應用[D].上海:華東理工大學,2014.

[3] 姜巍巍,李玉明，王春利，等.石化行業安全儀表系統及其安全完整性等級確定方法[J].安全、健康和環境,2009,9(6):18～20.

[4] 呂路.基于SIL的玉成輸氣站場儀表功能安全評價[D].成都:西南石油大學,2013.

[5] 楊藝.輸氣站場控制系統SIL分析與應用研究[D].成都:西南石油大學,2015.

[6] 李園園.海洋平臺安全監測與控制系統安全完整性評估技術研究[D].青島:中國石油大學(華東),2011.

[7] 王厚尚.HAZOP在線分析系統開發研究[D].青島:中國石油大學(華東),2013.

[8] 王力勇.CNG加氣母站HAZOP分析技術研究[D].成都:西南石油大學,2015.

[9] Svandova Z, Jelemensky L, Markos J, et al. Steady States Analysis and Dynamic Simulation as a Complement in the HAZOP Study of Chemical Reactors [J]. Process Safety and Environmental Protection, 2005, 83(5):463～471.

[10] Eizenberg S, Shacham M, Brauner N. Combining HAZOP with Dynamic Simulation-applications for Safety Education [J]. Journal of Loss Prevention in the Process Industries, 2006, 19(6):754～761.

[11] 張東升. HAZOP分析方法在天然氣接收站的應用[J].化工自動化及儀表,2014,41(11):1281～1286.

[12] 李娜,孫文勇,寧信道，等.HAZOP、LOPA和SIL方法的應用分析[J].中國安全生產科學技術,2012,5(8):101～106.

[13] 李秋娟,余冬,史威，等.HAZOP分析方法在油氣管道系統中的應用研究[J].中國儀器儀表,2010,(11):52～55.

[14] 馮興文,賈光明,谷雨雷，等.HAZOP分析技術在輸油管道站場的應用[J].油氣儲運,2012,31(12):903～905.

[15] 張志勝,楊洪兵. HAZOP分析在西氣東輸管道工程中的應用[J].現代職業安全,2010,(6):72～75.

[16] Summers A E. Techniques for Assigning a Target Safety Integrity Level[J]. ISA Transactions, 1998, 37(2):95～104.

[17] Marszal E M. Human Reliability Analysis for SIL Selection[C].ISA TECH/EXPO Technology Update Conference Proceedings. North Carolina：ISA, 2002：935～942.

[18] Bingham K, Goteti P.Integrating HAZOP and SIL/LOPA Analysis: Best Practice Recommendations [C].4th Annual Emerging Technologies Conference. North Carolina：ISA,2004：55～64.

[19] Dejmek K A, Wehrman K A. The assignment of SIL targets to overpressure protection in reactive systems [C]. 2004 ASME/JSME Pressure Vessels and Piping Conference. New York, NY: American Society of Mechanical Engineers, 2004：199～205.

[20] Gowland P A, Walter K, Georg B, et al. Special issue: MR Safety[J].Journal of Magnetic Resonance Imaging, 2010, 26(5): 1177～1178.

[21] 劉永和.SIL等級確定方法在天然氣脫水裝置中的應用[J].能源與節能,2013,(1):56～58.

[22] 汪應紅,王群英,付曉恒.SIL確認在天然氣脫水撬安全儀表設計中的應用[J].化工自動化及儀表,2012,39(1):103～107.

[23] 靳江紅,吳宗之,胡玢，等.重大危險源安全儀表系統的分類研究[J].中國安全生產科學技術,2008,4(5):121～125.

[24] Goble W M. Control Systems Safety Evaluation and Reliability[M].NC： Instrument Society of America, 1998：196～198.

[25] Summers A E. Viewpoint on ISA TR84.0.02-simplied Methods and Fault Tree Analysis[J]. ISA Transactions, 2000, 39(2): 125～131.

[26] Oliveira L F, Abramovitch R N. Extension of ISA TR84.00.02 PFD Equations to KooN Architectures[J]. Reliability Engineering and System Safety, 2010, 95(7): 707～715.

[27] Catelani M, Ciani L, Luongo V. The FMEDA Approach to Improve the Safety Assessment According to the IEC61508 [J]. Microelectronics Reliability, 2010, 50 (9): 1230～1235.

[28] Guo H T, Yang X H.A Simple Reliability Block Diagram Method for Safety Integrity Verification[J]. Reliability Engineering and System Safety, 2007, 92(9): 1267～1273.

[29] 蘆媛.天然氣凈化廠安全完整性等級(SIL)分析與技術研究[D].重慶:重慶科技學院,2016.

[30] 沈學強,白焰.安全儀表系統的功能安全評估方法性能分析[J].化工自動化及儀表,2012,39(6):703～706.

[31] 吳寧寧,陳瞭,吳明光，等.安全儀表系統的Markov建模方法研究[J].計算機與應用化學,2009,26(6):821～824.

CurrentStatusofFunctionalSafetyAssessmentofPipelineSafetyInstrumentedSystem

YANG Sha-sha1, 2, AN Yao2, SUN Xiao2, ZHANG Si-yang2, WU Xin-xin2, CHEN Yan-jun2
(1.NationalEngineeringLaboratoryofOilandGasPipelineTransportationSafety,ChinaUniversityofPetroleum(Beijing); 2.SouthwestPipelineCompany,ChinaNationalPetroleumCorporation)

Through comparing the development status of functional safety assessment of safety instrumented system at home and abroad, the studies concerned were carried out in five aspects of functional safety standards, HAZOP analysis, SIL rating, SIL verification and SIL evaluation and certification. It is found that China lacks functional safety standards which coinciding with actual situation at home. In the HAZOP analysis, SIL grading and SIL verification, it is still in the stage of qualitative research and lacks the relevant failure database and the research on the actual situation; and both certification and service agencies related to the function safety assessment has not been established. The results of the study provide the guidance for the future development of functional safety assessment.

safety instrumented system, functional safety, HAZOP, SIL rating, SIL verification,SIL evaluation and certification

X924

A

1000-3932(2017)09-0813-05

2017-03-28，

2017-07-18)

楊沙沙(1993-)，碩士研究生，從事石油與天然氣工程的研究，anneyss@126.com。