安全仪表功能管理

Safety Instrumented Function Management

边文艺

（施耐德电气（中国）有限公司，北京市  100102）

Bian Wenyi

(Schneider Electric (China) Co., Ltd, Beijing 100102)

【摘　要】 过去的这些年，社会经济的不断发展使得过程工业的规模越来越大，带来的整体系统所面临的风险也随之增加，在以石油/天然气开采运输、石化、化工、发电等为代表的过程工业领域，紧急停车系统(ESD)、燃烧器管理系统(BMS)、火灾和有毒有害可燃气体检测保护系统(FGS)、高完整性压力保护系统(HIPPS)等以安全保护和抑制减轻灾害为目的的安全仪表系统(SIS)，已广泛应用于不同的工艺或设备防护场合,保护人员、生产设备及环境，但是对于在役安全仪表系统的维护和安全仪表功能的管理还存在诸多挑战，本文结合功能安全标准，给出了安全仪表功能的管理内容。

【关键词】 功能安全　安全完整性等级  安全仪表功能　周期性验证测试

Abstract: In the past few years, social economy development has increased the size of the process industry and the risks of the overall system. In oil/gas transportation, petrochemical, chemical, power generation, and other process industrial field, the emergency shutdown system (ESD), burner management system (BMS), fire and gas detection system (FGS), high integrity pressure protection system (HIPPS) with safety protection and inhibition of disaster relief for the purpose of safety instrument system (SIS), has been widely used in different process or equipment protection, protection of personnel, production equipment and the environment, However, there are still many challenges to the maintenance of safety instrument system and the management of safety instrument function. This paper combines with the function safety standard to give the management content of safety instrument function.

Key words: Functional Safety　 Safety Integrity Level  Safety Instrumented Function Proof Testing

1 什么是安全仪表功能

1.1 功能安全标准

在过程工业功能安全领域，具有里程碑意义的标准是德国的DIN V 19250《控制技术.测量和控制设备应考虑的基本安全原则》/ DIN V VDE0801《安全有关系统中的计算机原理》、美国的ANSI/ISA-S84.01-1996《安全仪表系统在过程工业中的应用》，以及现今大家熟知的IEC61508/IEC61511，国际电工委员会分别与2010年和2016年对第一版的IEC61508/IEC61511进行了更新，提出了新的要求。

在我国，等同采用国际标准IEC61508的中国国家标准GB/T20438于2006年首次发布，2017年更新了第二版；等同采用国际标准IEC61511的中国国家标准GB/T21109于2007首次发布。

功能安全标准的发布，解决了困扰业内多年的对复杂安全系统功能安全保障的理论与实践问题。

1.2 安全完整性等级

安全完整性等级（Safety Integrity Level，SIL）是一种离散的等级，描述了一个安全相关系统在确切的条件下和确切的时间内正确执行安全功能的概率。SIL等级越高代表安全功能无法被正确执行的可能性越小，如图1所示。

图1 安全完整性等级

1.3 安全仪表功能

安全仪表系统（Safety Instrumented System，SIS）作为独立保护层（Independent Protection Layer，IPL）中最关键的部分，是指用于实现一个或几个安全仪表功能的系统，由传感器、逻辑控制器、最终元件及相关软件组成。

安全仪表功能（Safety Instrumented Function，SIF）是指由安全仪表系统执行的安全功能，安全仪表功能具有某个特定的SIL，同其它保护层一起参与风险的降低。

2 安全仪表功能管理的目的

2 

2.1 安全仪表功能管理的目的是为了在操作和维护阶段，保证每个安全仪表功能所需的SIL能够有效维护, 使得安全仪表系统通过正确的操作和有效维护以维持其所需的安全完整性。

2.2 功能安全的闭环管理

安全仪表功能作为参与风险降低的关键部分，在操作运维阶段，非常有必要证明其是否按照设计和预期运行。

如图2所示，设计阶段通过预先危险性分析，有效的识别了危险事件，清楚了危险事件的原因，在运维阶段，需要对事件原因和要求率进行跟踪，确保设计阶段考虑的正确性，对于安全仪表功能和其它保护层的设计同样需要运维阶段的跟踪来确保每个保护层能够按照预期实现其风险降低能力。

通过操作运维阶段的验证，如果发现设计阶段任何遗漏的危险事件场景和原因，必须按照功能安全全生命周期的管理完成进一步的设计和实现。

图2 安全仪表功能的闭环

2.3 安全仪表功能管理目前的不足

在工程项目的设计阶段，工程公司花费了大量的时间和人力对工艺系统进行了全面的风险识别和分析，在此基础上通过保护层分析法，设置独立保护层，将固有风险降低至可容忍风险标准以下，在此过程中，有很多关于安全的整体要求和前提假设会被写入安全要求规格书（Safety Requirements Specification, SRS），比如，每个SIF回路要求率的预期、周期性验证测试（Proof Testing）时间间隔的要求，以及对SIF旁路和平均故障修复时间（Mean Time to Repair，MTTR）的要求，这些内容都会用于指导运维阶段安全仪表功能的管理。

当下，项目交付节点已然成为所有信息流转的瓶颈，使得安全仪表功能的设计与运维有些脱节，设计阶段所做的风险识别结果并没有完整的传递给运维人员，使其清楚每个危险场景的所有原因和后果，安全要求规格书中提到的整体要求也没有有效地指导运维阶段安全仪表功能的管理。

3 安全仪表功能管理内容

随着智能制造的不断升级，整体系统的安全也面临更高的要求，施耐德电气可以提供涵盖功能安全、信息安全和作业安全等内容的“智能安全”解决方案，其中功能安全作为核心组成部分，施耐德电气提供包括咨询、硬件、软件、工程、服务等功能安全的全生命周期服务。

安全仪表功能的管理主要是为了保证实际运行系统的失效率满足设计对失效率的期望，从这个维度考虑，安全仪表功能的管理内容至少包含：SIF要求率、SIF及子部件的旁路、子部件实际失效率、周期性验证测试和平均故障修复时间等。

施耐德电气提供的安全仪表功能管理工具获得了业界的高度认可，如埃克森美孚、Reliance、雪佛龙、利安德巴塞尔等很多国际能源巨头都选择了施耐德电气提供的 ”SIF Manager” 平台作为安全仪表功能的管理工具来帮助他们自信的管理过程风险。图3 是某项目中SIF管理的导航界面，从中可以看到SIF管理的基本内容。

图3 安全仪表功能管理概览

3.1安全仪表功能要求率分析

安全仪表系统完整性SIL的设计具有要求率的前提假设，在IEC61508/ IEC61511中，定义了低要求模式和高要求或连续操作模式下安全完整性等级所对应的故障概率。以IEC61511为例，低要求模式：仅在需求时执行SIF的操作模式，以便将过程转换到指定的安全状态，并且每年的要求频率不超过1次。高要求模式：SIF只在需求时执行，以便将过程转换到指定的安全状态，以及要求频率大于每年一次的操作模式。连续模式：SIF将操作模式作为正常操作的一部分保持在安全状态。

在系统运维阶段，需要对每个SIF的实际要求率做统计和分析，确保实际要求率不超过设计阶段对要求率的假设，形成闭环验证，证明SIF安全完整性等级设计的正确性。

统计和分析SIF要求的类型包含：成功执行的要求、执行失败的要求、误执行的要求、手动测试成功的要求，手动测试失败的要求。

3.2 旁路管理

旁路的管理包含单个安全子部件的旁路和整个安全仪表功能的旁路。对于冗余设计的单元，单个安全子部件的旁路并不一定意味着安全功能的丧失，但对整个安全仪表功能的旁路则意味安全功能的丧失，这一点在实际操作时要特别注意。

短时间旁路子部件或安全仪表功能是维修和测试的常用手段，旁路时间的长短，直接影响到SIF的安全完整性等级。

所有的旁路动作都需要完整记录和显示，包括：旁路的开始时间、旁路的恢复时间、期望旁路恢复的时间和超过期望恢复时间而实际没有恢复的SIF等。

3.3 失效率统计

SIF整体安全完整性等级的实现取决于每个子部件的安全完整性表现，运维阶段需要统计现场运行的每个子部件的实际失效率，来验证现场安装的安全仪表系统是否有按照设计要求和预期工作，达到相应的风险降低能力。

在我国，还没有可用的基本反应现场实际情况的安全仪表系统子部件的失效率数据库，目前SIL的验证基本上是采用国外的失效率数据库和一些实验室数据，这些数据与国内现场的失效率情况大多存在偏差，以此评估出来的安全完整性不能准确的反应实际情况，所以每个现场需要积累自己的失效率数据库，如果国内的大多数现场能够分享其失效率数据，对国内失效率数据库的建设是非常有帮助的。

3.4 周期性验证测试（Proof Testing）

安全产品在做功能安全认证的过程中，其失效率由四部分组成，分别为：λSD（可诊断的安全失效率）、λSU（不可诊断的安全失效率）、λDD（可诊断的危险失效率）和λDU（不可诊断的危险失效率），其中，λDU是无法通过在线增加诊断来发现和避免的，但其失效又会带来安全功能的丧失，相关标准给出了通过周期性验证测试的办法来检测不可诊断的危险失效。

周期性验证测试是人为的手动测试，需要从系统设计阶段开始就要考虑其可操作性，保证在不影响系统正常运转的情况下执行测试。

周期性验证测试的管理需要统计所有子部件的测试时间间隔（TI）以及具体测试方法，对即将到来的测试做到提醒，对已经超期的测试给出报警提示。图4给出了周期性验证测试的管理界面。

图4 周期性验证测试管理

3.5 平均故障恢复时间

平均故障修复时间是在做安全完整性设计的时候必须要考虑的因素，直接影响到安全系统的可靠性和可用性，比如通常假设8小时或者24小时可以修复故障，平均故障修复时间包含故障分析时间和故障修复时间，对于故障修复，备件管理显得尤为重要。

系统运维阶段，要确保实际的平均故障恢复时间不超过设计阶段的假设，一是要提高维护工程师的故障分析和处理水平，可以搭建样机反复演练，二是要有足够的备件，保证现场故障的部件能给被及时更换，从而保证整体安全系统的安全完整性等级。

4 安全仪表功能管理的输入文件

安全仪表功能管理是根据原始的功能安全设计标准实时监控和验证实际安全仪表功能的健康状态，利用这些信息提供动态的、可视化的界面用于指导安全仪表功能的维护。

要想做好安全仪表功能的管理，理解原始的功能安全设计文件和要求非常重要，至少包含以下文件：

l 包含危险事件的HAZOP报告

l 保护层（LOPA）设计文件

l 安全要求规格书（SRS）

l 完整的SIF数据表

l SIS系统各部件的安全手册

5  结束语

过程安全是一段不以实现安全设计为终点的旅程，在安全系统操作和运维阶段，需要反复验证，不断地证明将风险降低到可接受水平的安全仪表系统能够按照设计和预期工作，并根据实际运行数据的反馈与设计数据形成闭环，验证原始设计的正确性，最终，实现功能安全全生命周期的管理，确保安全仪表系统达到相应的风险降低能力。

参考文献

[1] IEC 61508: 2010, Functional safety of electrical/electronic/programmable electronic safety related systems

[2] IEC 61511: 2016, Functional safety – Safety instrumented systems for the process industry

sector

[3] 张建国. 安全仪表系统在过程工业中的应用. 中国电力出版社，2010.6

[4] How to easily comply with the requirements of IEC61511 edition 2 clause 16，Sven Grone & Steve J. Elliott