(中国五环工程有限公司，湖北 武汉 430223)

近年来，随着我国能源及化工产品需求的快速增长，新型煤化工、清洁能源等一批国家鼓励类项目得到了大力扶持和发展。这些生产装置及储存设施的规模越来越大，工艺流程更加复杂，控制过程也日趋复杂，给装置运行和人员安全造成了极大的冲击和影响。同时，也随着国际电工委员会标准IEC61508和IEC61511转化为国家标准GB/T 20438(电气/电子/可编程电子安全相关系统的功能)和GB/T 21109(过程工业领域安全仪表系统的功能安全)，安全仪表系统及其相关安全保护措施在全世界的石油、天然气、炼油、石化和煤化工等行业得到了广泛的应用；安全保护越来越受到关注与重视，越来越多的人认识到：安全仪表系统的可靠性运行是装置安全运行的一道重要保护屏障，同步加强和规范安全仪表系统的设置和管理十分紧迫和必要。

1 保护及保护层(PL)

1.1 安全保护

各种生产过程中持续监测出代表工艺参数和工艺设备状态的过程信号。安全保护就是根据这些过程信号的状态来触发的。安全保护逐级升高的具体形式见表1。

表1 过程信号状态和安全保护

续表

1.2 保护层

IEC 61511/ GB/T 21109中表示逐级保护的过程见图1。

图1 过程工厂常见的典型风险降低方法(以保护层模型为例)

保护层(Protection Layer)，是借助控制、预防或减轻以降低风险的任何独立机制。独立保护层(Independent Protection Layer)，是能够阻止场景向不期望后果发展，并且独立于场景的初始事件或其他保护层的设备、系统或行动。保护措施和独立保护层是有区别的，防护措施可以是中断初始事件发生后的事件链的任何设备、系统或行动，其有效性一般难以得到确定；而独立保护层的有效性根据要求时失效概率(PFD)进行确定，为0和1之间的无因次数字，PFD越小，表明该保护层对某一初始事件的后果频率削减得越多。为便于认识，加深理解，业内人士将图1形象化地转化为洋葱头保护层模型(见图2)。

图2 洋葱头保护层模型

从上图可以看出，仪表功能至少涉及3个保护层，分别是第2层基本过程控制系统(BPCS)、第3层关键报警和人员干预、第4层安全仪表系统(SIS)，还有第6层释放后的保护措施之一，火气系统。

2 安全仪表系统(SIS)

2.1 安全仪表系统(SIS)的概念

安全仪表系统(SIS)是Safety Instrumented System的简称，IEC 61511/ GB/T 21109中的术语定义为，用来实现一个或几个安全仪表功能(SIFs)的仪表系统，可由传感器、逻辑解算器和执行元件的任何组合组成。换句话说，安全仪表系统是能够检测“失控”条件并自动将工艺重新置回安全状态的仪表控制系统，是生产装置的“最后一道防线”，且并不是基本过程控制系统(BPCS)。SIS系统包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。

2.2 安全仪表系统(SIS)与基本过程控制系统(BPCS)

安全仪表系统用于监测生产过程运行状态，判断危险或风险发生的条件，自动或手动执行规定的安全仪表功能，防止或减少危险事件发生，减少人员伤害或经济损失，减轻危险事件造成的影响，保护人身和生产装置安全，保护环境。

基本过程控制系统(BPCS)是Basic Process Control System的简称，也称为过程控制系统，用于生产过程的连续测量、常规控制和操作管理。它响应过程或操作人员的输入信号，产生输出信息，使过程以期望的方式运行。BPCS由传感器、逻辑解算器、过程控制器和最终执行元件组成。

两个系统的区别见表2。

表2 安全仪表系统(SIS)和基本过程控制系统(BPCS)的区别

2.3 SIS的本质、相关标准和设计目的

安全仪表系统(SIS)本质上是保护性的，是一种预防措施，它不能预防初始事件。事故之所以会发生是因为发生了从事故场景的初始原因开始的多重失效，这其中有的失效的可能性是“隐藏着的”(不会自我暴露出来)，而且是“危险的”(出现就代表事故)。现如今，过程设计越来越依赖工程安全措施来确保安全，而许多事故是由于缺乏工程控制措施所导致。因此，设计、运行、维护安全可靠的仪表系统已是一个不可回避的现实和行业标准的明确要求。

与SIS相关的标准、规范、法规见表3。

表3 与SIS相关的标准、规范、法规

安全仪表系统(SIS)的设计目的是：①预防。超出预定的安全操作范围时，自动将工艺装置置于安全状态；②许可。当允许工艺仅在许可操作条件被证实的情况下运行；③减缓。减缓已有危险状况的后果。

3 安全完整性等级(SIL)

3.1 安全完整性等级(SIL)的概念及分类

SIL是Safety Integrity Level的简称，中文称为安全完整性等级。在1998年颁布的IEC61508功能安全标准中首次提出。IEC 61511/ GB/T 21109中对其的术语定义为，用来规定分配给安全仪表系统的仪表安全功能的安全完整性要求的离散等级(4个等级中的1个)。SIL4是安全完整性的最高级，SIL1为最低级(见表4)。

在高要求操作模式时，安全仪表功能(SIF)的安全完整性等级(SIL)应通过下表采用每小时危险失效频率来衡量。

表4 安全完整性等级(高要求操作模式)

在低要求操作模式时，安全仪表功能(SIF)的安全完整性等级(SIL)应采用平均失效概率(PFD)，通过表5来衡量。

表5 安全完整性等级(低要求操作模式)

根据GB50770-2013《石油化工安全仪表系统设计规范》规定，石油化工工厂或装置适用于低要求操作模式。石油化工工厂或装置的SIL等级不应高于SIL 3级。

3.2 安全完整性等级(SIL)评估

3.2.1 SIL评估的重要性

(1)国家管理部门要求。国家安全监管总局通过安监总管三〔2013〕88号和安监总管三〔2014〕116号两次发文明确要求：企业要开展安全仪表系统SIL评估，根据所有安全仪表功能的功能性和完整性要求，编制安全仪表系统安全要求的技术文件(SRS)。

(2)保障系统安全。安监总管三〔2014〕116号文，近年来发达国家发生的重大化工(危险化学品)事故大都与安全仪表失效或设置不当有关。对安全仪表系统进行SIL评估，是安全仪表系统安全生命周期工作中的一项必不可少的活动，经过过程危险分析，根据确定的适宜的安全完整性等级，设计合理有效并符合等级要求的安全仪表系统，这将会极大地提高装置的功能安全水平。

(3)完善现有系统不足。通过进行SIL评估，进一步确定SIS系统(包括各检测单元、控制单元和执行单元)具体部位存在的缺陷，以便有针对性地改造SIS系统。

3.2.2 SIL和SIS的关系

SIL是在定性危害分析(如危险和可操作性(HAZOP)分析)的基础上，进一步分析现有防护措施的有效性，从而确定安全仪表系统的安全完整性等级，为SIS系统设计提供依据。

确定的SIL是SIS 的设计前提和依据。设计合理适用的SIS，应符合SIL的要求。

3.2.3 SIL评估时间表

只要是需要执行功能安全相关标准要求的化工装置和危险化学品储存设施，都需要设计符合要求的安全仪表系统。根据安监总管三〔2014〕116号文规定，对化工装置、设施的SIL评估分为三个阶段进行，对在役装置的改造也有明确的时间节点(见表6)。

表6 SIL评估时间表

续表

3.2.4 SIL评估的工作内容

SIL评估包含SIL定级和SIL验证两部分工作。

3.2.5 SIL评估执行时机

一般来说，在基础设计阶段进行SIL定级，在仪表结构设计后、确定采购前进行SIL验证。

在基础工程设计HAZOP分析后即可进行SIL定级。对于设计项目，第1次SIL定级分析应在基础工程设计HAZOP分析完成后进行，分析对象为基础工程设计阶段完成的工程设计。

第2次SIL定级分析应在详细工程设计阶段完成，分析对象包括详细工程设计阶段对基础工程设计的修改部分，以及成套设备供货商提供的工艺流程；除了成套设备外，如果详细工程设计和基础工程设计的内容基本一致，SIL定级分析可以只进行一次。

未进行基础工程设计而直接进行详细工程设计的项目，应在详细工程设计早期开展SIL分析。

3.3 安全完整性等级(SIL)定级

3.3.1 SIL定级方法及选择

确定安全仪表系统所要求的安全完整性等级的方法很多，如定性、半定性、半定量等，IEC61511附录B～F提供了5种方法，包括：①半定量法(IEC61511附录B)；②安全层矩阵法(IEC61511附录C)；③半定性法：校正的风险图法(IEC61511附录D)；④定性法：风险图法(IEC61511附录E)；⑤保护层分析法(LOPA)(IEC61511附录F)。

采用哪种SIL定级方法，取决于许多因素，其中主要包括：①工艺过程的复杂程度；②国家及管理部门的现行标准；③风险特性和降低风险的方法；④操作人员的经验和技能；⑤相关风险参数的可用信息。在一些工艺过程的分析应用中，可以使用不止一种方法。例如，首先，使用定性方法确定所有SIFs要求的SIL；然后，对于那些用该方法分配了SIL3及以上的SIF，还应考虑再使用定量方法进一步细化，以便更精确地理解所要求的安全完整性。

3.3.2 保护层分析法LOPA

保护层分析法(LOPA)是一种半定量的分析方法，它采用初始事件概率、后果严重性等级和独立保护层失效概率来分析风险场景，是近年来国际上广泛应用且行之有效的一种安全设计与管理技术。LOPA提供了一种一致的方法，用来评估定性危害分析过程提出的建议，帮助技术人员设计具有适当等级的应急系统。LOPA虽然不是一个完全的定量风险评估方法，但它是一种适合评估事故场景保护层价值的简化方法。

3.4 安全完整性等级(SIL)验证

按照安全仪表系统安全生命周期工作流程的要求，分配给每个安全仪表功能(SIFs)的安全完整性等级(SIL)，都要在获取各组件要求时的失效概率(PFD)数据基础上，根据现有的配置等进行验算，以确认现有配置是否达到所需的SIL等级要求。在SIL验证过程中，评估小组经过基础数据确认、结构框架输入、测试周期及输入因子确认等程序后，通过软件计算，得出结果，并形成SIL等级验证报告，对不满足SIL等级要求的SIF，提出整改建议。

SIL验证需要各仪表失效统计数据，包括传感器、变送器、逻辑单元、安全栅、电磁阀、阀门等。SIL验证需要考虑的因素主要有：①组件选择——设备可用性、设备安全性(经使用验证、按标准制造)、设备技术适宜性；②容错——使用多台设备，表决结构降低失效概率，SIL等级要求不同程度的容错；③功能测试周期——提高测试频率可使失效概率下降；④共因失效；⑤诊断覆盖率——内置诊断或自诊断。

4 关于功能安全认证

4.1 认证现状

功能安全认证，在国内还是个较新的概念，因是对硬件或个人的资质和能力的一种公开的认可，受到多方热捧。一般来说，获得相应的认证，对于产品集成商来说，表明其产品和系统通过了相应的测试或审查，满足相应标准的安全要求；对于个人来说，表明他具备了按照IEC相关标准进行开发、集成和使用安全相关系统的知识和专业技术，他所参与的安全项目在安全性和标准的符合性上更能得到用户认可。

基于以上的认识，国外公司及一些独立机构先后开展了安全仪表领域的认证，如TUV认证等。但在我国，国家和行业尚没有相关的认证体系，有关部门和单位(如中国化学品安全协会等)正加快制修订化工安全仪表系统技术标准体系，组织制定符合我国化工行业企业安全发展现状的功能安全相关技术标准及应用指南，推动形成并完善符合中国国情的功能安全认证体制机制。

4.2 TUV认证

德国技术监督协会功能安全工程师(TUV FSEng)认证，是由国际著名认证机构德国技术监督协会—莱茵技术监督服务有限公司自动化、软件和信息技术部推出的，具有功能安全工程师认证证书，意味着被认证人具备了执行(包括设计、研发、集成、安装、维护等)安全仪表系统全生命周期各阶段工作的资格和能力。TUV 标志在欧洲乃至全球受到生产厂商和各国认证机构的广泛认可。

5 结语

安全完整性等级评估是保证安全仪表系统设计的重要依据，其合理准确与否直接关系到安全仪表系统是否能够避免事故的发生，或减轻事故的后果危害。本文重点厘清了安全完整性等级评估和安全仪表系统的关系，对定级和验证两个层面的工作内容进行了界定，设计和评估人员可根据文中概念的解读灵活选择合适的定级方法，收集和整理基础数据，综合考虑验证涉及的因素。