功能安全与安全完整性等级综述

Focus聚焦24AUTOMATIONPANORAMA2013.3工业安全功能安全与安全完整性等级综述机械工业仪器仪表综合技术经济研究所史学玲,冯晓升摘要：从法规与标准的角度介绍了功能安全与安全完整性等级的概念，并提出建立中国功能安全保障体系的建议。关键词：功能安全；安全完整性等级；SILAbstract:Introducedtheconceptoffunctionalsafetyandsafetyintegritylevelfromthepointofviewofregulationsandstandards,andproposingtheestablishmentoffunctionalsafetysystem.Keywords:Functionalsafety;Safetyintegritylevel;SIL1　引言《安全生产法》第二十四条规定：“生产经营单位新建、改建、扩建工程项目的安全设施，必须与主体工程同时设计、同时施工、同时投入生产和使用。安全设施投资应当纳入建设项目概算。”这一要求一般被称之为“三同时”制度。“三同时”制度从源头上消除各类项目可能造成伤亡和职业病的危险因素，防止事故发生，避免因安全问题造成不必要损失，是确保本质安全的有效法律制度。“三同时”制度中提到的安全设施包括安全与卫生设备、个体防护措施和生产性辅助设施。这些设施的安全功能是消除或减轻危害因素、防止伤亡事故和职业病的发生。每种安全设施可以执行一个或多个安全功能，每一个安全功能都能降低一定的风险。而就一个项目而言，无论这个项目是石油、化工装置还是机械设备，采用安全设施执行安全功能后，这套石油、化工装置或机械设备的安全就在很大程度上依赖于安全设施能否正确执行其安全功能。“三同时”制度在我国实施已经多年，对我国安全生产起到了极为关键的作用。但进一步分析历年来发生的工业事故，会发现安全设施的有效性是一个急待解决的问题。TheSummaryofFunctionalSafetyandSafetyIntegrityLevel3期.indd242013-3-2012:21:50252013.3AUTOMATIONPANORAMA功能安全防止的是安全设施的功能失效所导致的危险，解决的是安全设施有效性问题。因此，研究建立我国功能安全保障体系，对于“三同时”制度的有效性实施具有十分重要的意义。2　功能安全与安全完整性等级的基本概念功能安全是2000年以后兴起的一项安全工程学科，旨在防止安全设施功能失效所导致的危险。功能安全包括技术和管理两方面内容，涉及石油、化工、机械、能源等多个领域，是通过提高安全设施有效性来控制与保护各类危险源，避免或减少工业事故对公众和环境的影响，防止各类装备尤其是成套装置发生不可接受危险的技术。例如，锅炉控制系统是一种安全设施，其功能是当锅炉压力达到危险值时关闭炉火。如果这个功能失效，压力达到危险值时炉火不能熄灭，而是持续燃烧，锅炉就会爆炸，人员就会遇到危险。在这种情况下，安全依赖于锅炉控制系统执行正确的功能。锅炉控制系统承担了一定的风险降低能力，锅炉容量越大、压力越高，这套控制系统承担的风险降低要求也越高。安全设施的每一个安全功能都对应降低某一个危险事件的风险，在2000年推出的功能安全基础标准IEC61508[1]中，把每一个安全功能降低风险的能力定义为安全完整性等级（SafetyIntegrityLevel;以下简称SIL），如果安全设施可以将风险降低一个数量级，也就是说，采用该安全设施后，原来一年发生一次事故的概率可以降为几十年发生一次，表示该安全设施具有SIL1的能力。如果安全设施可将风险降低4个数量级，也就是说，采用该安全设施后，原来一年发生一次事故的概率可以降为几万年发生一次，表示该安全设施具有SIL4的能力。引入功能安全与SIL概念后，安全设施的有效性问题可以用系统的、量化的方法得到解决。首先根据基础的风险分析与保护层分析确定每一个安全设施需要承担的风险降低要求（SIL要求），然后用系统性安全性分析确定该安全设施实际能够承担的风险降低能力（SIL能力）。安全设施每一个安全功能的SIL要求与SIL能力相比，SIL要求等于SIL能力，则表示整套装置的安全设施配置合适；SIL能力小于SIL要求，则表示安全设施配置不合理或不安全；SIL能力大于SIL要求，则表示存在过保护现象，后果是资产浪费且可能引入新的不安全因素。功能安全分析法就是这样采用SIL指标来确定每一个安全设施配置的有效性与安全性的。SIL的概念适用于所有安全设施，只要它承担的是风险降低功能，就可以用量化的方法确定其风险降低能力。但由于每一种安全设施的技术特点差别极大，针对每一种安全设施确定SIL能力是一项十分复杂的工作。功能安全具有以下特点：（1）功能安全将安全转化为SIL控制。综合事故发生可能造成的人员伤亡、财产损失、环境破坏的严重程度，国家用法律的方式明确各生产经营单位的安全风险控制目标，各生产经营单位将企业的安全风险控制目标分解到每一个危险源，最后转化为每一个安全设施的功能安全。这样就形成了一个国家-生产经营单位-危险源控制的风险控制体系。（2）功能安全从系统整体的安全要求出发，不但将安全责任与组织管理程序进行科学的分解，而且将构成系统的结构与诸元素的SIL进行科学分解。由这些分解的整体构成有序的系统，在合理分工的基础上进行严密有效的协作，通过科学的组织管理体系和安全仪表系统集成来实现安全的总体目标。（3）功能安全是系统论、控制论、现代安全管理等学科相互渗透、交叉发展而成。功能安全方法就是应用这些学科技术来实现系统的模型化和最优化，把定性分析和定量分析紧密结合，进行系统分析和系统设计。3　安全相关系统的功能安全与SIL安全相关系统（safety-relatedsystem）是“三同时”制度中提及的安全设施的一种。安全相关系统包括安全控制系统与安全保护系统两大类，其功能是检测危险事件，当危险事件发生时，安全相关系统将采取适当的动作和措施，防止被保护对象进入危险状态，避免危及人身安全，保护财产不受损失。如锅炉压力达到一定值时炉火自动熄灭；危险化学品运输车出事故后的社会应急保障；矿井内有害气体达到危险值时报警并自动进入应急状态；当有人进入危险区域时电锯自动停止动作……这类系统在不同领域有不同名称，在石油化工领域统称为安全仪表系统（SIS；以下称安全相关系统为安全仪表系统）。安全仪表系统通常都是综合性的、复杂的，难以确定实际操作中的每一种失效模式，也很难测试所有可能发生的状况，技术缺陷、硬件或软件的偶然失效、环境、管理人员，任何一个环节都有可能导致系统功能失效，从而导致危险发生。因此，需要采用系统性方法确定其SIL能力。为了实现安全仪表系统的功能安全，首先要对安全仪表系统实现风险控制的总体能力进行评估与控制，即要确切地了解它能做什么（执行什么安全功能），和能多大程度地相信它（即能降低几级风险，SIL能力是多少）。然后通过对系统中每一个功能单元，包括子系统和器件、人员、组织的功能安全进行管理与控制来实现SIL能力。用系统中每一个功能单元的可靠工作，保证整个系统在需要时执行的正确功能，从而控制和防护危险。[2]为了保证安全仪表系统的SIL能力，应完整考虑以下所有方面：（1）研究方法的整体化。不仅把安全仪表系统看作是一个3期.indd252013-3-2012:21:5126Focus聚焦AUTOMATIONPANORAMA2013.3工业安全整体，而且把安全仪表系统的整个生命周期也看作是一个整体，以整体协调的需要来研究局部问题，并选择优化方案，综合评价系统的效果。（2）安全管理与责任体系科学化。一个安全仪表系统的运行存在两个并行的过程，一个是系统设计、使用过程，一个是对系统的计划、组织和控制的过程。要保证安全仪表系统的SIL能力，需要明确两个过程中所有相关人员的职责范围和工作目标，建立安全仪表系统的责任体系。（3）各门学科的协调化。安全仪表系统是一个技术综合体，它跨越许多学科，而且是填补这些学科边界空白的边缘学科。它不仅涉及工程学的领域，还涉及社会、经济和政治等领域。所以为了适当解决这些领域的问题，它要求从系统的总体目标出发，综合运用各种科学技术，并使它们协调配合而达到系统整体的优化。（4）安全的相对性。功能安全将安全定义为“没有不可接受的风险”，即用系统功能失效导致危险的概率来表示发生事故、造成人员伤亡或财产损失的危险性，如果此概率小于法律规定的限度，就是允许的。（5）基于风险的量化技术。用数学的方法量化安全仪表系统的安全完整性，是功能安全控制技术的核心。用SIL级别表明最终用户可以多大程度地相信工业过程的安全性。（6）建立结构与功能的数学关系。系统的安全完整性表现在系统内部的硬件、软件、通讯等诸要素之间及系统与外部环境之间的关系上。系统内部诸要素之间的联系为内部联系，表征内部联系的范畴，称为结构。系统与外部环境之间的联系为外部联系，表征这种联系的范畴称为功能。要素、系统、环境三个环节，是通过结构和功能两个中介的沟通而有机联系起来的。（7）战略性安全解决方案。从安全战略角度来看，不仅考虑了各独立系统中所有元器件的问题，如传感器、控制器、执行器等，而且考虑了由所有安全仪表系统构成的组合安全仪表系统的问题。4　功能安全标准与国际国内应用现状国际电工委员会（IEC）、国际标准化组织（ISO）分别开始制定功能安全相关标准，第一批制定的标准中主要涉及的是安全仪表系统，也就是由电气、电子、可编程电子为技术基础的控制与保护系统的功能安全，包括IEC61508、IEC61511、IEC62061等几十个标准，涉及石油、化工、冶金、电力、机械制造、电梯、家电等多个领域。这些标准出台后，欧盟指令、美国职业安全与卫生管理局（OSHA1910_134）、美国环保署（EPA40CFRPart68）、英国（HSE）都将其纳入安全法规范畴。各应用领域安全仪表系统的功能安全标准制定后，已经成为各领域进行安全仪表系统设计、安装、维护、改造等活动的安全规范。以流程工业领域为例，当公司为了降低风险采用安全仪表系统，如安全仪表系统、紧急停车系统、关键控制等系统时，在设计、安装、运行、维护直到系统停用的全过程都必须严格遵守功能安全标准（IEC61511和IEC61508），如果发现哪家公司在某一步骤没有执行标准，相关组织就会对该公司施以重罚。更严重的是，如果由于没有执行标准出现了事故，无所不在的律师会帮助事故受害者要求巨额赔款，而陪审团对于不执行标准的公司是没有同情心的。由于不同领域的功能安全标准都要求使用的设备必须符合IEC61508标准，用户的要求促使各设备制造商纷纷推出高安全等级的产品，一个统一的符合IEC61508标准的安全产品供应链和安全技术产业正在形成。用户要求供应商提供经过认证的产品，要求工程承包商具备经认证的资质，这样，就促进了IEC61508的认证、服务、培训、工程服务等中介机构的发展。目前德国的TÜV组织、美国的FMGlobal、英国的Sira认证服务公司等国际知名机构开始了功能安全认证服务，内容涉及产品认证、工厂认证、设备安装认证与资格认证等多方面。我国的功能安全研究工作从1999年开始。机械工业仪器仪表综合技术经济研究所、全国工业过程测量与控制标准化技术委员会、全国机械安全标准化技术委员会等组织从转化IEC61508、ISO13849等功能安全标准为中国国家标准入手，研究其关键技术与检测评估方法，目前已经建立相应的功能安全评估能力与检测手段，并在石油、化工、机械等领域试点应用。中国合格评定认可委员会（CNAS）已经认定了两个从事功能安全评估的实验室。铁路、流程工业、机械等领域多家供应商都开始进行产品SIL适应性认证工作，一个功能安全产品产业链正在形成。5　我们的对策功能安全的最大作用是可以针对危险事件建立有效的控制措施，预先防止事故发生，或者在出现危险时知道怎样去控制它。因此，它对我国安全生产与安全保障具有十分重要的意义。我国的安全生产形势依然严峻，原因是多方面的，但最根本