安全儀表系統驗證的應用研究

鄭 威

（杭州漢德質量認證服務有限公司 上海分公司，上海 200072）

0 引言

隨著國際電工委員會IEC61511-2016 版標準在全世界范圍內的不斷實踐，安全儀表系統（SIS）安全保護的作用越來受到加倍的重視，特別是在石油化工、煉油、天然氣以及煤化工等高風險的過程行業。全國工業過程測量控制和自動化標準化技術委員會系統及功能安全分技術委員會對這一標準的轉化GB/T 21109《過程工業領域安全儀表系統的功能安全》標準已進入委員審核階段。此前，IEC61508-2010 已經轉化為國家標準GB/T20438-2016《電氣／電子／可編程電子安全相關系統的功能安全》標準。廣泛的過程行業典型事故案例分析顯示，合理的安全儀表系統可以避免大部分事故的發生。因此，進行安全儀表系統驗證，保證安全儀表系統的合理設置，在使用HAZOP、LOPA 等方法進行風險分析、安全分配工作后，作為安全儀表系統生命周期的重要環節，目前越來越多的受到重視，也變得十分緊迫和必要。

1 安全生命周期

安全儀表系統驗證必須是基于完整安全生命周期（SLC）的驗證。安全生命周期從概念設計開始，直到SIS退役后才結束[1]。這里的關鍵是，必須從概念流程設計的一開始就考慮功能安全，并且必須始終貫穿在所有設計、操作和維護活動期間。SLC 包含了安全儀表系統的概念、設計、操作和維護等實現功能安全所需的全部步驟。安全生命周期（SLC）設置的主要目的有兩個：一是明確安全儀表系統設計的流程，二是減少工業過程中產生的系統失效（systematic failure）。

IEC 61508 標準的安全生命周期基本劃分為3 個階段：分析和風險評估階段、實現階段和操作階段。

1）分析和風險評估階段的大部分活動是按照邏輯順序安排的，在進行危害和風險分析之后，確定系統的安全要求。一些安全要求是通過外部風險降低設施來滿足的，包括過程設計的修正、物理防護屏障、堤壩和應急管理計劃等。一些安全要求是通過安全相關技術而不是SIS 來滿足的，包括安全閥、爆破盤、警報和其他特殊安全裝置。其余的安全功能則使用安全儀表化系統中的安全儀表功能。

2）所有維護測試和維護活動的計劃必須在實現階段完成。在一定程度上，這項工作可以與安全儀表系統設計并行進行。這個安全生命周期還表明了操作和維護職責集中于定期測試和檢查，以及修改、改造和最終退役的管理。

3）操作階段，在步驟11 和步驟12 方面，可能會出現實現和操作活動的重疊。

IEC 61511 標準的安全生命周期如圖1 所示。盡管IEC 61511 的安全生命周期看起來與IEC61508 有很大的不同，但是基本的目的是基本相同的。同樣，有明確的分析、實現和操作階段。

IEC 61511 的安全生命周期是專門為過程工業而設計的，因此許多要求是為過程應用而定制的。其中，重點在功能安全管理，特別是在安全生命周期的結構與規劃，以及對整個生命周期的驗證：IEC61511 標準和IEC61508 標準的安全生命周期都強調對功能安全的良好管理，包括對安全生命周期的每一步實施嚴格的計劃和驗證活動。

2 安全儀表系統（SIS）的定義

安全儀表系統驗證的目標是驗證包括全部安全儀表功能（SIF）的整個安全儀表系統（SIS）。

2.1 安全儀表功能（SIF）

圖1 IEC 61511安全生命周期Fig.1 IEC 61511 Safety life cycle

安全儀表功能（SIF）指具有某個特定安全完整性等級（SIL），用以達到功能安全的安全功能。它既可以是一個儀表安全保護功能，也是儀表安全控制功能。

這其中有個關鍵點：一般理解認為SIF 只是特指儀表的安全保護功能，例如常見的急停。但隨著功能安全技術的不斷深入應用，越來越多的SIF 被用于控制功能，并指定了特定的SIL 等級。同時，SIF 可能用來負責關閉、允許，甚至后果減少。舉例來說：可以作為一種主動行動以避免危險狀況（比如說，停止一個泵的運行），也可以指采取預防行為的功能 (比如說，阻止一個泵啟動)。

所有這些功能都有一個共同的屬性——它們都能降低風險。因此，SIF 定義的另一種常見解釋是“自動風險降低系統”。通常來說，SIF 旨在通過降低潛在危險的可能性來降低風險。在某些特殊情況下，SIF 將通過降低后果的嚴重性來降低風險。

2.2 安全儀表系統（SIS）

在SIF 基礎上，“實現一個或多個SIF 的儀表系統”叫做安全儀表系統[2]。需要說明的是：不同SIF 可能包括相同或不同的傳感單元或執行單元。這其中，有3 個關鍵點：①SIS 包含任何傳感單元、邏輯單元和最終單元，也包含通訊和其他輔助設備（例如：電纜、穿線管、電源、跳線，伴熱）；②SIS 可能包含軟件；③SIS 可能包含人的行為作為SIF 的一部分。

在這里重點強調人員作為安全儀表功能的部分。操作層面上，許多人從不認為人是安全儀表功能的一部分。實踐來說，在違反正常流程操作條件采取行動時，操作員通常從警報中對這些違規行為做出反應。因此，操作員的動作通常被認為是報警保護層的一部分，而不是SIS 的一部分。因此，操作員動作的SIL 確定通常不完成。然而，IEC61511-2016 中的說明指出：“當人為操作是SIS 的一部分時，操作人員操作的可用性和可靠性必須在SRS 中指定，并包括在SIS 的性能計算中。”這意味著SIF 的廣義定義包括了人的行為。

3 安全儀表系統驗證流程

安全儀表系統驗證流程必須包含下列步驟：

1）概念設計

過程安全儀表功能的概念設計過程始于安全需求規范（SRS）。SRS 是一份非常重要的文件。它是包含安全儀表功能（SIF）的所有功能要求和相關SIL 等級的規范。按照IEC61511-2016 標準，應包括SIS 一般要求、SIF 一般要求、SIF 特定要求等共計29 個詳細要求。這其中，一份和每一個SIF 有關的，已通過設備識別方法識別的工廠輸入輸出設備的列表、周期性測試執行等兩個要求是新增的。作為安全儀表系統驗證的結果，SRS 的全部要求必須被驗證。

2）儀表設備選擇

必須謹慎選擇用于安全儀表功能的設備。儀表必須能夠完全執行功能要求，所有的設備都必須經過驗證，這樣最終用戶才能完全確信該儀表能夠在預期的應用中正常工作。儀器中使用的材料必須與工藝材料兼容，工藝環境條件不得超過儀表額定值；必須對儀表的功能安全要求進行評估；所有的論證決策都必須記錄為項目記錄的一部分；必須特別注意公用系統，例如：電力供應、氣源供應、布線方法。

3）冗余

選定儀表設備后，設計過程的下一步是決定使用多個儀表來實現冗余。冗余配置的目的是提供持續的系統操作，即使一個或多個特定的儀表可能出現失效，一些冗余架構提供了對它的容錯能力。其中，一些冗余架構提供了對危險失效的容錯能力，而另一些架構則提供了對多種失效模式的容錯能力。各種冗余體系結構需要被嚴格驗證使用。

4）需求模式的確認

提供安全儀表功能的儀表設備的有3 種操作模式：連續需求模式、高需求模式和低需求模式。之所以定義這3種模式，是因為SIF 可根據模式不同來量化評分。不同模式本質上的區別是由于危險狀態（需求）和診斷測試之間的關系。必須知道對應的時間間隔，以確定自動診斷測試和周期驗證測試的設計合理性。

5）可靠性和安全性度量計算

在完成以上步驟之后，可以使用簡化方程、故障樹、馬爾科夫模型或其他方法進行量化計算。

6）SIF 識別

計算過程的第一步是正確識別每個安全儀表功能所需的設備。所有與特定SIF 相關的設備都必須歸類為“主要”設備和“輔助”設備。“主要”設備用于提供必要的防護，以抵御識別出的危害，而“輔助”設備則提供有用的功能，但不用于抵御危害。這種分類很重要，因為要求時平均失效概率（PFDavg）分析和安全失效分數（SFF）分析中只包含主要設備。

7）驗證架構約束

IEC61511-2016 標準要求了不同需求模式下最低水平的“硬件容錯”作為對應SIL 級別的要求。這意味著，為了實現安全功能，必須根據SIF 的SIL 級別目標進行冗余。

4 失效數據的獲取

安全儀表系統驗證中，最重要的是SIL 驗算，也就是每個SIF 的PFD/PFH 計算。然而，這一計算依賴于失效數據的準確獲取。

行業失效數據庫可以提供失效數據信息。雖然這些失效數據不是特定于產品的，但它幫助設計人員識別設計中的問題[3]。最流行的失效數據庫之一是OREDA 數據庫，OREDA 是“離岸可靠性數據”的縮寫，介紹了多種工藝設備的統計分析，許多工程師將其作為失效率數據的來源來執行安全驗證計算。對于所有做數據分析的人來說，這是一個極好的參考。

失效率的其它來源渠道還包括：制造商FMEDA 分析、制造商現場失效研究、公司產品失效記錄或其他來源獲得的失效率，結果與行業失效數據庫描述不同。一般來說，越不具體的數據會被證明越是保守的。

近年來，行業失效數據庫開始包括系統失效，這自然導致這些來源的數字很高，一般來說，來自行業數據庫源的失效率數字明顯與FMEDA 報告的應該比較接近。一些分析機構編制了綜合失效數據的書籍和電子數據庫。這些信息經過格式化，將失效率作為失效模式的函數，提供了產品更多的附加信息，這有利于安全儀表系統的驗證。

5 結束語

安全儀表系統驗證是安全儀表系統安全生命周期的重要環節，是對安全儀表系統實現的驗證，是對早期風險分析結果、安全功能分配合理性的回應。最終用戶、設計院和系統集成商只有互相配合，參照IEC61511-2016 等國際標準和規范設計要求進行安全儀表系統驗證，才能有效地降低風險。只有完成了安全儀表系統驗證，安全的閉環才是完整的。