安全儀表功能管理

Safety Instrumented Function Management

邊文藝

（施耐德電氣（中國）有限公司，北京市  100102）

Bian Wenyi

(Schneider Electric (China) Co., Ltd, Beijing 100102)

【摘　要】 過去的這些年，社會經(jīng)濟的不斷發(fā)展使得過程工業(yè)的規(guī)模越來越大，帶來的整體系統(tǒng)所面臨的風險也隨之增加，在以石油/天然氣開采運輸、石化、化工、發(fā)電等為代表的過程工業(yè)領域，緊急停車系統(tǒng)(ESD)、燃燒器管理系統(tǒng)(BMS)、火災和有毒有害可燃氣體檢測保護系統(tǒng)(FGS)、高完整性壓力保護系統(tǒng)(HIPPS)等以安全保護和抑制減輕災害為目的的安全儀表系統(tǒng)(SIS)，已廣泛應用于不同的工藝或設備防護場合,保護人員、生產(chǎn)設備及環(huán)境，但是對于在役安全儀表系統(tǒng)的維護和安全儀表功能的管理還存在諸多挑戰(zhàn)，本文結(jié)合功能安全標準，給出了安全儀表功能的管理內(nèi)容。

【關(guān)鍵詞】 功能安全　安全完整性等級  安全儀表功能　周期性驗證測試

Abstract: In the past few years, social economy development has increased the size of the process industry and the risks of the overall system. In oil/gas transportation, petrochemical, chemical, power generation, and other process industrial field, the emergency shutdown system (ESD), burner management system (BMS), fire and gas detection system (FGS), high integrity pressure protection system (HIPPS) with safety protection and inhibition of disaster relief for the purpose of safety instrument system (SIS), has been widely used in different process or equipment protection, protection of personnel, production equipment and the environment, However, there are still many challenges to the maintenance of safety instrument system and the management of safety instrument function. This paper combines with the function safety standard to give the management content of safety instrument function.

Key words: Functional Safety　 Safety Integrity Level  Safety Instrumented Function Proof Testing

1 什么是安全儀表功能

1.1 功能安全標準

在過程工業(yè)功能安全領域，具有里程碑意義的標準是德國的DIN V 19250《控制技術(shù).測量和控制設備應考慮的基本安全原則》/ DIN V VDE0801《安全有關(guān)系統(tǒng)中的計算機原理》、美國的ANSI/ISA-S84.01-1996《安全儀表系統(tǒng)在過程工業(yè)中的應用》，以及現(xiàn)今大家熟知的IEC61508/IEC61511，國際電工委員會分別與2010年和2016年對第一版的IEC61508/IEC61511進行了更新，提出了新的要求。

在我國，等同采用國際標準IEC61508的中國國家標準GB/T20438于2006年首次發(fā)布，2017年更新了第二版；等同采用國際標準IEC61511的中國國家標準GB/T21109于2007首次發(fā)布。

功能安全標準的發(fā)布，解決了困擾業(yè)內(nèi)多年的對復雜安全系統(tǒng)功能安全保障的理論與實踐問題。

1.2 安全完整性等級

安全完整性等級（Safety Integrity Level，SIL）是一種離散的等級，描述了一個安全相關(guān)系統(tǒng)在確切的條件下和確切的時間內(nèi)正確執(zhí)行安全功能的概率。SIL等級越高代表安全功能無法被正確執(zhí)行的可能性越小，如圖1所示。

圖1 安全完整性等級

1.3 安全儀表功能

安全儀表系統(tǒng)（Safety Instrumented System，SIS）作為獨立保護層（Independent Protection Layer，IPL）中最關(guān)鍵的部分，是指用于實現(xiàn)一個或幾個安全儀表功能的系統(tǒng)，由傳感器、邏輯控制器、最終元件及相關(guān)軟件組成。

安全儀表功能（Safety Instrumented Function，SIF）是指由安全儀表系統(tǒng)執(zhí)行的安全功能，安全儀表功能具有某個特定的SIL，同其它保護層一起參與風險的降低。

2 安全儀表功能管理的目的

2 

2.1 安全儀表功能管理的目的是為了在操作和維護階段，保證每個安全儀表功能所需的SIL能夠有效維護, 使得安全儀表系統(tǒng)通過正確的操作和有效維護以維持其所需的安全完整性。

2.2 功能安全的閉環(huán)管理

安全儀表功能作為參與風險降低的關(guān)鍵部分，在操作運維階段，非常有必要證明其是否按照設計和預期運行。

如圖2所示，設計階段通過預先危險性分析，有效的識別了危險事件，清楚了危險事件的原因，在運維階段，需要對事件原因和要求率進行跟蹤，確保設計階段考慮的正確性，對于安全儀表功能和其它保護層的設計同樣需要運維階段的跟蹤來確保每個保護層能夠按照預期實現(xiàn)其風險降低能力。

通過操作運維階段的驗證，如果發(fā)現(xiàn)設計階段任何遺漏的危險事件場景和原因，必須按照功能安全全生命周期的管理完成進一步的設計和實現(xiàn)。

圖2 安全儀表功能的閉環(huán)

2.3 安全儀表功能管理目前的不足

在工程項目的設計階段，工程公司花費了大量的時間和人力對工藝系統(tǒng)進行了全面的風險識別和分析，在此基礎上通過保護層分析法，設置獨立保護層，將固有風險降低至可容忍風險標準以下，在此過程中，有很多關(guān)于安全的整體要求和前提假設會被寫入安全要求規(guī)格書（Safety Requirements Specification, SRS），比如，每個SIF回路要求率的預期、周期性驗證測試（Proof Testing）時間間隔的要求，以及對SIF旁路和平均故障修復時間（Mean Time to Repair，MTTR）的要求，這些內(nèi)容都會用于指導運維階段安全儀表功能的管理。

當下，項目交付節(jié)點已然成為所有信息流轉(zhuǎn)的瓶頸，使得安全儀表功能的設計與運維有些脫節(jié)，設計階段所做的風險識別結(jié)果并沒有完整的傳遞給運維人員，使其清楚每個危險場景的所有原因和后果，安全要求規(guī)格書中提到的整體要求也沒有有效地指導運維階段安全儀表功能的管理。

3 安全儀表功能管理內(nèi)容

隨著智能制造的不斷升級，整體系統(tǒng)的安全也面臨更高的要求，施耐德電氣可以提供涵蓋功能安全、信息安全和作業(yè)安全等內(nèi)容的“智能安全”解決方案，其中功能安全作為核心組成部分，施耐德電氣提供包括咨詢、硬件、軟件、工程、服務等功能安全的全生命周期服務。

安全儀表功能的管理主要是為了保證實際運行系統(tǒng)的失效率滿足設計對失效率的期望，從這個維度考慮，安全儀表功能的管理內(nèi)容至少包含：SIF要求率、SIF及子部件的旁路、子部件實際失效率、周期性驗證測試和平均故障修復時間等。

施耐德電氣提供的安全儀表功能管理工具獲得了業(yè)界的高度認可，如埃克森美孚、Reliance、雪佛龍、利安德巴塞爾等很多國際能源巨頭都選擇了施耐德電氣提供的 ”SIF Manager” 平臺作為安全儀表功能的管理工具來幫助他們自信的管理過程風險。圖3 是某項目中SIF管理的導航界面，從中可以看到SIF管理的基本內(nèi)容。

圖3 安全儀表功能管理概覽

3.1安全儀表功能要求率分析

安全儀表系統(tǒng)完整性SIL的設計具有要求率的前提假設，在IEC61508/ IEC61511中，定義了低要求模式和高要求或連續(xù)操作模式下安全完整性等級所對應的故障概率。以IEC61511為例，低要求模式：僅在需求時執(zhí)行SIF的操作模式，以便將過程轉(zhuǎn)換到指定的安全狀態(tài)，并且每年的要求頻率不超過1次。高要求模式：SIF只在需求時執(zhí)行，以便將過程轉(zhuǎn)換到指定的安全狀態(tài)，以及要求頻率大于每年一次的操作模式。連續(xù)模式：SIF將操作模式作為正常操作的一部分保持在安全狀態(tài)。

在系統(tǒng)運維階段，需要對每個SIF的實際要求率做統(tǒng)計和分析，確保實際要求率不超過設計階段對要求率的假設，形成閉環(huán)驗證，證明SIF安全完整性等級設計的正確性。

統(tǒng)計和分析SIF要求的類型包含：成功執(zhí)行的要求、執(zhí)行失敗的要求、誤執(zhí)行的要求、手動測試成功的要求，手動測試失敗的要求。

3.2 旁路管理

旁路的管理包含單個安全子部件的旁路和整個安全儀表功能的旁路。對于冗余設計的單元，單個安全子部件的旁路并不一定意味著安全功能的喪失，但對整個安全儀表功能的旁路則意味安全功能的喪失，這一點在實際操作時要特別注意。

短時間旁路子部件或安全儀表功能是維修和測試的常用手段，旁路時間的長短，直接影響到SIF的安全完整性等級。

所有的旁路動作都需要完整記錄和顯示，包括：旁路的開始時間、旁路的恢復時間、期望旁路恢復的時間和超過期望恢復時間而實際沒有恢復的SIF等。

3.3 失效率統(tǒng)計

SIF整體安全完整性等級的實現(xiàn)取決于每個子部件的安全完整性表現(xiàn)，運維階段需要統(tǒng)計現(xiàn)場運行的每個子部件的實際失效率，來驗證現(xiàn)場安裝的安全儀表系統(tǒng)是否有按照設計要求和預期工作，達到相應的風險降低能力。

在我國，還沒有可用的基本反應現(xiàn)場實際情況的安全儀表系統(tǒng)子部件的失效率數(shù)據(jù)庫，目前SIL的驗證基本上是采用國外的失效率數(shù)據(jù)庫和一些實驗室數(shù)據(jù)，這些數(shù)據(jù)與國內(nèi)現(xiàn)場的失效率情況大多存在偏差，以此評估出來的安全完整性不能準確的反應實際情況，所以每個現(xiàn)場需要積累自己的失效率數(shù)據(jù)庫，如果國內(nèi)的大多數(shù)現(xiàn)場能夠分享其失效率數(shù)據(jù)，對國內(nèi)失效率數(shù)據(jù)庫的建設是非常有幫助的。

3.4 周期性驗證測試（Proof Testing）

安全產(chǎn)品在做功能安全認證的過程中，其失效率由四部分組成，分別為：λSD（可診斷的安全失效率）、λSU（不可診斷的安全失效率）、λDD（可診斷的危險失效率）和λDU（不可診斷的危險失效率），其中，λDU是無法通過在線增加診斷來發(fā)現(xiàn)和避免的，但其失效又會帶來安全功能的喪失，相關(guān)標準給出了通過周期性驗證測試的辦法來檢測不可診斷的危險失效。

周期性驗證測試是人為的手動測試，需要從系統(tǒng)設計階段開始就要考慮其可操作性，保證在不影響系統(tǒng)正常運轉(zhuǎn)的情況下執(zhí)行測試。

周期性驗證測試的管理需要統(tǒng)計所有子部件的測試時間間隔（TI）以及具體測試方法，對即將到來的測試做到提醒，對已經(jīng)超期的測試給出報警提示。圖4給出了周期性驗證測試的管理界面。

圖4 周期性驗證測試管理

3.5 平均故障恢復時間

平均故障修復時間是在做安全完整性設計的時候必須要考慮的因素，直接影響到安全系統(tǒng)的可靠性和可用性，比如通常假設8小時或者24小時可以修復故障，平均故障修復時間包含故障分析時間和故障修復時間，對于故障修復，備件管理顯得尤為重要。

系統(tǒng)運維階段，要確保實際的平均故障恢復時間不超過設計階段的假設，一是要提高維護工程師的故障分析和處理水平，可以搭建樣機反復演練，二是要有足夠的備件，保證現(xiàn)場故障的部件能給被及時更換，從而保證整體安全系統(tǒng)的安全完整性等級。

4 安全儀表功能管理的輸入文件

安全儀表功能管理是根據(jù)原始的功能安全設計標準實時監(jiān)控和驗證實際安全儀表功能的健康狀態(tài)，利用這些信息提供動態(tài)的、可視化的界面用于指導安全儀表功能的維護。

要想做好安全儀表功能的管理，理解原始的功能安全設計文件和要求非常重要，至少包含以下文件：

l 包含危險事件的HAZOP報告

l 保護層（LOPA）設計文件

l 安全要求規(guī)格書（SRS）

l 完整的SIF數(shù)據(jù)表

l SIS系統(tǒng)各部件的安全手冊

5  結(jié)束語

過程安全是一段不以實現(xiàn)安全設計為終點的旅程，在安全系統(tǒng)操作和運維階段，需要反復驗證，不斷地證明將風險降低到可接受水平的安全儀表系統(tǒng)能夠按照設計和預期工作，并根據(jù)實際運行數(shù)據(jù)的反饋與設計數(shù)據(jù)形成閉環(huán)，驗證原始設計的正確性，最終，實現(xiàn)功能安全全生命周期的管理，確保安全儀表系統(tǒng)達到相應的風險降低能力。

參考文獻

[1] IEC 61508: 2010, Functional safety of electrical/electronic/programmable electronic safety related systems

[2] IEC 61511: 2016, Functional safety – Safety instrumented systems for the process industry

sector

[3] 張建國. 安全儀表系統(tǒng)在過程工業(yè)中的應用. 中國電力出版社，2010.6

[4] How to easily comply with the requirements of IEC61511 edition 2 clause 16，Sven Grone & Steve J. Elliott