功能安全与安全完整性等级综述
2013-09-10机械工业仪器仪表综合技术经济研究所史学玲冯晓升
机械工业仪器仪表综合技术经济研究所 史学玲,冯晓升
1 引言
《安全生产法》第二十四条规定:“生产经营单位新建、改建、扩建工程项目的安全设施,必须与主体工程同时设计、同时施工、同时投入生产和使用。安全设施投资应当纳入建设项目概算。”这一要求一般被称之为“三同时”制度。“三同时”制度从源头上消除各类项目可能造成伤亡和职业病的危险因素,防止事故发生,避免因安全问题造成不必要损失,是确保本质安全的有效法律制度。
“三同时”制度中提到的安全设施包括安全与卫生设备、个体防护措施和生产性辅助设施。这些设施的安全功能是消除或减轻危害因素、防止伤亡事故和职业病的发生。每种安全设施可以执行一个或多个安全功能,每一个安全功能都能降低一定的风险。而就一个项目而言,无论这个项目是石油、化工装置还是机械设备,采用安全设施执行安全功能后,这套石油、化工装置或机械设备的安全就在很大程度上依赖于安全设施能否正确执行其安全功能。
“三同时”制度在我国实施已经多年,对我国安全生产起到了极为关键的作用。但进一步分析历年来发生的工业事故,会发现安全设施的有效性是一个急待解决的问题。
功能安全防止的是安全设施的功能失效所导致的危险,解决的是安全设施有效性问题。因此,研究建立我国功能安全保障体系,对于“三同时”制度的有效性实施具有十分重要的意义。
2 功能安全与安全完整性等级的基本概念
功能安全是2000年以后兴起的一项安全工程学科,旨在防止安全设施功能失效所导致的危险。
功能安全包括技术和管理两方面内容,涉及石油、化工、机械、能源等多个领域,是通过提高安全设施有效性来控制与保护各类危险源,避免或减少工业事故对公众和环境的影响,防止各类装备尤其是成套装置发生不可接受危险的技术。
例如,锅炉控制系统是一种安全设施,其功能是当锅炉压力达到危险值时关闭炉火。如果这个功能失效,压力达到危险值时炉火不能熄灭,而是持续燃烧,锅炉就会爆炸,人员就会遇到危险。在这种情况下,安全依赖于锅炉控制系统执行正确的功能。锅炉控制系统承担了一定的风险降低能力,锅炉容量越大、压力越高,这套控制系统承担的风险降低要求也越高。
安全设施的每一个安全功能都对应降低某一个危险事件的风险,在2000年推出的功能安全基础标准IEC61508[1]中,把每一个安全功能降低风险的能力定义为安全完整性等级(Safety Integrity Level; 以下简称SIL),如果安全设施可以将风险降低一个数量级,也就是说,采用该安全设施后,原来一年发生一次事故的概率可以降为几十年发生一次,表示该安全设施具有SIL1的能力。如果安全设施可将风险降低4个数量级,也就是说,采用该安全设施后,原来一年发生一次事故的概率可以降为几万年发生一次,表示该安全设施具有SIL4的能力。
引入功能安全与SIL概念后,安全设施的有效性问题可以用系统的、量化的方法得到解决。首先根据基础的风险分析与保护层分析确定每一个安全设施需要承担的风险降低要求(SIL要求),然后用系统性安全性分析确定该安全设施实际能够承担的风险降低能力(SIL能力)。安全设施每一个安全功能的SIL要求与SIL能力相比,SIL要求等于SIL能力,则表示整套装置的安全设施配置合适;SIL能力小于SIL要求,则表示安全设施配置不合理或不安全;SIL能力大于SIL要求,则表示存在过保护现象,后果是资产浪费且可能引入新的不安全因素。功能安全分析法就是这样采用SIL指标来确定每一个安全设施配置的有效性与安全性的。
SIL的概念适用于所有安全设施,只要它承担的是风险降低功能,就可以用量化的方法确定其风险降低能力。但由于每一种安全设施的技术特点差别极大,针对每一种安全设施确定SIL能力是一项十分复杂的工作。
功能安全具有以下特点:
(1)功能安全将安全转化为SIL控制。综合事故发生可能造成的人员伤亡、财产损失、环境破坏的严重程度,国家用法律的方式明确各生产经营单位的安全风险控制目标,各生产经营单位将企业的安全风险控制目标分解到每一个危险源,最后转化为每一个安全设施的功能安全。这样就形成了一个国家-生产经营单位-危险源控制的风险控制体系。
(2)功能安全从系统整体的安全要求出发,不但将安全责任与组织管理程序进行科学的分解,而且将构成系统的结构与诸元素的SIL进行科学分解。由这些分解的整体构成有序的系统,在合理分工的基础上进行严密有效的协作,通过科学的组织管理体系和安全仪表系统集成来实现安全的总体目标。
(3)功能安全是系统论、控制论、现代安全管理等学科相互渗透、交叉发展而成。功能安全方法就是应用这些学科技术来实现系统的模型化和最优化,把定性分析和定量分析紧密结合,进行系统分析和系统设计。
3 安全相关系统的功能安全与SIL
安全相关系统(safety-related system)是“三同时”制度中提及的安全设施的一种。
安全相关系统包括安全控制系统与安全保护系统两大类,其功能是检测危险事件,当危险事件发生时,安全相关系统将采取适当的动作和措施,防止被保护对象进入危险状态,避免危及人身安全,保护财产不受损失。如锅炉压力达到一定值时炉火自动熄灭;危险化学品运输车出事故后的社会应急保障;矿井内有害气体达到危险值时报警并自动进入应急状态;当有人进入危险区域时电锯自动停止动作……这类系统在不同领域有不同名称,在石油化工领域统称为安全仪表系统(SIS;以下称安全相关系统为安全仪表系统)。
安全仪表系统通常都是综合性的、复杂的,难以确定实际操作中的每一种失效模式,也很难测试所有可能发生的状况,技术缺陷、硬件或软件的偶然失效、环境、管理人员,任何一个环节都有可能导致系统功能失效,从而导致危险发生。因此,需要采用系统性方法确定其SIL能力。
为了实现安全仪表系统的功能安全,首先要对安全仪表系统实现风险控制的总体能力进行评估与控制,即要确切地了解它能做什么(执行什么安全功能),和能多大程度地相信它(即能降低几级风险,SIL能力是多少)。然后通过对系统中每一个功能单元,包括子系统和器件、人员、组织的功能安全进行管理与控制来实现SIL能力。用系统中每一个功能单元的可靠工作,保证整个系统在需要时执行的正确功能,从而控制和防护危险。[2]
为了保证安全仪表系统的SIL能力,应完整考虑以下所有方面:
(1)研究方法的整体化。不仅把安全仪表系统看作是一个整体,而且把安全仪表系统的整个生命周期也看作是一个整体,以整体协调的需要来研究局部问题,并选择优化方案,综合评价系统的效果。
(2)安全管理与责任体系科学化。一个安全仪表系统的运行存在两个并行的过程,一个是系统设计、使用过程,一个是对系统的计划、组织和控制的过程。要保证安全仪表系统的SIL能力,需要明确两个过程中所有相关人员的职责范围和工作目标,建立安全仪表系统的责任体系。
(3)各门学科的协调化。安全仪表系统是一个技术综合体,它跨越许多学科,而且是填补这些学科边界空白的边缘学科。它不仅涉及工程学的领域,还涉及社会、经济和政治等领域。所以为了适当解决这些领域的问题,它要求从系统的总体目标出发,综合运用各种科学技术,并使它们协调配合而达到系统整体的优化。
(4)安全的相对性。功能安全将安全定义为“没有不可接受的风险”,即用系统功能失效导致危险的概率来表示发生事故、造成人员伤亡或财产损失的危险性,如果此概率小于法律规定的限度,就是允许的。
(5)基于风险的量化技术。用数学的方法量化安全仪表系统的安全完整性,是功能安全控制技术的核心。用SIL级别表明最终用户可以多大程度地相信工业过程的安全性。
(6)建立结构与功能的数学关系。系统的安全完整性表现在系统内部的硬件、软件、通讯等诸要素之间及系统与外部环境之间的关系上。系统内部诸要素之间的联系为内部联系,表征内部联系的范畴,称为结构。系统与外部环境之间的联系为外部联系,表征这种联系的范畴称为功能。要素、系统、环境三个环节,是通过结构和功能两个中介的沟通而有机联系起来的。
(7)战略性安全解决方案。从安全战略角度来看,不仅考虑了各独立系统中所有元器件的问题,如传感器、控制器、执行器等,而且考虑了由所有安全仪表系统构成的组合安全仪表系统的问题。
4 功能安全标准与国际国内应用现状
国际电工委员会(IEC)、国际标准化组织(ISO)分别开始制定功能安全相关标准,第一批制定的标准中主要涉及的是安全仪表系统,也就是由电气、电子、可编程电子为技术基础的控制与保护系统的功能安全,包括IEC61508、IEC61511、IEC62061等几十个标准,涉及石油、化工、冶金、电力、机械制造、电梯、家电等多个领域。这些标准出台后,欧盟指令、美国职业安全与卫生管理局(OSHA1910_134)、美国环保署(EPA40CFRPart68)、英国(HSE)都将其纳入安全法规范畴。
各应用领域安全仪表系统的功能安全标准制定后,已经成为各领域进行安全仪表系统设计、安装、维护、改造等活动的安全规范。以流程工业领域为例,当公司为了降低风险采用安全仪表系统,如安全仪表系统、紧急停车系统、关键控制等系统时,在设计、安装、运行、维护直到系统停用的全过程都必须严格遵守功能安全标准(IEC61511和IEC61508),如果发现哪家公司在某一步骤没有执行标准,相关组织就会对该公司施以重罚。更严重的是,如果由于没有执行标准出现了事故,无所不在的律师会帮助事故受害者要求巨额赔款,而陪审团对于不执行标准的公司是没有同情心的。
由于不同领域的功能安全标准都要求使用的设备必须符合IEC61508标准,用户的要求促使各设备制造商纷纷推出高安全等级的产品,一个统一的符合IEC61508标准的安全产品供应链和安全技术产业正在形成。用户要求供应商提供经过认证的产品,要求工程承包商具备经认证的资质,这样,就促进了IEC61508的认证、服务、培训、工程服务等中介机构的发展。目前德国的TÜV组织、美国的FM Global、英国的Sira认证服务公司等国际知名机构开始了功能安全认证服务,内容涉及产品认证、工厂认证、设备安装认证与资格认证等多方面。
我国的功能安全研究工作从1999年开始。机械工业仪器仪表综合技术经济研究所、全国工业过程测量与控制标准化技术委员会、全国机械安全标准化技术委员会等组织从转化IEC61508、ISO13849等功能安全标准为中国国家标准入手,研究其关键技术与检测评估方法,目前已经建立相应的功能安全评估能力与检测手段,并在石油、化工、机械等领域试点应用。中国合格评定认可委员会(CNAS)已经认定了两个从事功能安全评估的实验室。铁路、流程工业、机械等领域多家供应商都开始进行产品SIL适应性认证工作,一个功能安全产品产业链正在形成。
5 我们的对策
功能安全的最大作用是可以针对危险事件建立有效的控制措施,预先防止事故发生,或者在出现危险时知道怎样去控制它。因此,它对我国安全生产与安全保障具有十分重要的意义。
我国的安全生产形势依然严峻,原因是多方面的,但最根本的原因是系统方面的问题。这些系统上的缺陷被腐败等问题掩盖了,系统的缺陷使得我们无法整合现有技术与条件,有时使用再好的设备、干部工作再努力,也只能在一次次事故面前束手无策;系统性的缺陷导致了安全管理政出多门,市场混乱,法制环境恶劣,责任追溯困难,生产经营单位为了维持正常的生产需要支付的各种费用大增,但安全问题并没有确实得到解决。这已经成为一个定式:事故发生,媒体曝光,惊动领导,严肃查处,停业整顿,关停一片类似企业。常常有高层领导引咎辞职,不断见事故的处罚力度在加大,措施不可谓不严厉。然而,上一事故的一整套程序刚走完,下一个事故又发生了,于是这个程序又重复一遍,周而复始。频发的事故已成为制约经济社会和谐发展的重要因素,严重损坏国家形象与对外贸易,使我国的经济安全遭受巨大损害。
中国实行经济体制改革以后,原有的工业生产管理体系被打破了,我国的大部分工业部被撤销,有的成了公司,有的先是改成行业协会,后来又变成经贸委下属的工业局,最后成为发改委的一个处,基本上丧失了行业管理与监督的功能。国家对工业的管理,仅限于标准与安全两个方面。但此时新的适应市场经济的安全生产管理体系还没有建立,落后的安全技术水平及落后的安全标准现状,也不能为安全生产法制化管理提供足够的技术支撑。安全生产在原有的路子上已经走到了尽头,新的用标准与法规实现安全的解决对策还没有形成。
功能安全标准,作为一个系统解决安全问题的标准系列,全方位地展示了欧美等国一百多年工业实践中总结的,与安全控制有关的法律基础、标准体系、管理制度与方法措施,为我国以风险管理模式建立科学的安全生产组织与管理体系提供了极好的借鉴。
功能安全技术标准的出台为我国采用与国际接轨的安全技术和管理理论,改变目前这种被动局面提供了条件。在此基础上建立我国功能安全保障体系,对于我国在市场经济条件下用标准和法规规范企业安全控制行为,用市场化运作方式推动功能安全技术产业化进程、推动从事功能安全技术服务的中介机构的发展,提高我国安全防护技术和管理水平、降低整套装置及重要危险源、事故隐患点的风险,大幅度减少经济损失和事故死亡人数,从而达到保障国家经济安全的目的具有极为重要的意义。
必须建立一套完整的体系,通过实施功能安全标准战略,才能使功能安全标准真正起作用。
6 我国实施功能安全标准战略总体设计
我国实施功能安全标准战略的总目标,是在我国石油、化工、冶金、电力、交通、煤碳、矿山等高危行业,通过安全设施有效设置与可靠工作,实现对危险的有效控制与防护。通过技术与管理的有效结合,预先防止事故发生,或在出现事故时,将损失降低到可接受的程度。同时为我国按照风险管理模式建立科学的安全生产的组织管理与技术保障体系打下标准、技术、管理、法律、产业、中介服务及市场基础。
实施功能安全标准战略的总任务是建立我国功能安全保障体系。
安全设施的安全完整性涉及技术与管理两方面众多环节,只要一个环节出错,系统都有可能出现危险失效,引发安全事故。因此,安全设施作为涉及人身财产安全的重要系统,在从方案提出开始,设计、安装、使用维护直到停用的整个生命周期内,都需要两个体系来保障其安全的完整性:一个是技术体系,一个是组织管理体系。这两个体系是保障功能安全的二大支柱,它们是功能安全能否实现的关键。
在组织管理和技术体系建立后,必须依靠完善的支撑环境,功能安全标准才能进入良性的运作状态,安全才能有保障。功能安全保障的支撑要素包括法律法规、政策策略、标准体系、中介服务体系、产业与创新和国际合作等六个方面。
7 结语
等同采用功能安全基础标准IEC61508的中国国家标准GB/T20438.1~7、等同采用流程工业领域功能安全标准IEC61511的中国国家标准GB/T21109.1~3都已经发布并正式实施多年了,但很多用户因为这些是推荐性标准,没有找到应用这些标准的法律依据而处观望态度。
安全仪表系统作为一种典型的安全设施,应遵照“三同时”制度的实施要求,从项目论证到设计、施工、竣工验收都应按“三同时”的规定进行审查验收,验收的依据就是相关功能安全标准。
其它的安全设施,也应按功能安全的要求进行量化的风险评估及系统化的分析方法确定其SIL能力,保证其实现要求的风险降低能力,并逐步制定相关的功能安全标准体系,实施功能安全标准战略。
[1]IEC61508,电气、电子、可编程电子安全相关系统的功能安全[S].
[2]冯晓升.功能安全—一种保障安全的新思路[J].中国仪器仪表,2005(10):46-56.