淺談關(guān)于安全儀表系統(tǒng)的功能安全

孫磊

[摘? ? 要]安全儀表系統(tǒng)的安全性是行業(yè)乃至國家的安全重點(diǎn)，諸多國內(nèi)外的研究基礎(chǔ)上，凸顯出安全儀表系統(tǒng)潛在的安全風(fēng)險(xiǎn)。本文介紹了安全儀表系統(tǒng)在工業(yè)4.0浪潮的發(fā)展趨勢，提出了功能安全概念，并且強(qiáng)調(diào)功能安全的重要性;并總結(jié)分析了安全儀表系統(tǒng)安全脆弱性的幾個(gè)方面。在分析的基礎(chǔ)上，本文根據(jù)國內(nèi)外安全儀表系統(tǒng)功能安全防護(hù)的研究基礎(chǔ)，強(qiáng)調(diào)切實(shí)有效的進(jìn)行安全完整性評估，提出了設(shè)備全生命周期防護(hù)的理念。并簡要介紹安全完整性相關(guān)概念，風(fēng)險(xiǎn)分析的方法與思路，以及安全完整性定級和驗(yàn)證的基本流程。并最終明確安全儀表系統(tǒng)的安全防護(hù)的本質(zhì)是功能安全，在全生命周期管理中融入功能安全理念，才是安全儀表系統(tǒng)的安全防護(hù)之本。

[關(guān)鍵詞]安全儀表系統(tǒng);安全防護(hù);功能安全;安全完整性

[中圖分類號]TE36 [文獻(xiàn)標(biāo)志碼]A [文章編號]2095–6487（2020）12–0–02

[Abstract]The safety of the safety instrumented system is the safety focus of the industry and even the country. Based on many domestic and foreign researches， the potential safety risks of the safety instrumented system are highlighted. This paper introduces the development trend of safety instrumented systems in the industry 4.0 wave， puts forward the concept of functional safety， and emphasizes the importance of functional safety; and summarizes and analyzes several aspects of safety vulnerabilities of safety instrumented systems. Based on the analysis， this paper emphasizes the practical and effective safety integrity assessment based on the research foundation of functional safety protection of safety instrumented systems at home and abroad， and puts forward the concept of equipment life cycle protection. It also briefly introduces the related concepts of safety integrity， risk analysis methods and ideas， and the basic process of safety integrity grading and verification. Finally， it is clear that the essence of the safety protection of the safety instrumented system is functional safety， and the integration of the functional safety concept into the full life cycle management is the foundation of the safety protection of the safety instrumented system.

[Keywords]safety instrumented system ; security; functional safety; safety integrity

安全是工業(yè)控制系統(tǒng)的靈魂，談到工業(yè)控制系統(tǒng)安全，安全儀表系統(tǒng)是工業(yè)控制系統(tǒng)的重要組成部分，承擔(dān)安全防護(hù)的重要職責(zé)。但國內(nèi)工業(yè)控制系統(tǒng)安全防護(hù)仍處于起步階段，功能安全概念的出現(xiàn)，從根本上闡述了工業(yè)控制系統(tǒng)安全防護(hù)的必要性及可行性[1]。

1 安全儀表系統(tǒng)與安全防護(hù)基本介紹

1.1 安全儀表系統(tǒng)現(xiàn)狀

安全儀表系統(tǒng)（Safety instrumentation System，簡稱SIS）是由電氣（Electric）、電子（Electronic）和可編程電子（Progamble E1ctronic） 技術(shù)構(gòu)成的儀表化的安全系統(tǒng)。SIS由傳感器、邏輯控制最終控制元件，以及電源等支持系統(tǒng)構(gòu)成，用于當(dāng)工藝參數(shù)超越預(yù)定的正常工況時(shí)，將工藝過程置于安全狀態(tài)。常見的典型SIS應(yīng)用包括緊急停車系統(tǒng)（Emergency Shutdown? System， ESDS）、安全停車系統(tǒng)（Safety Shutdown System， SD）以及安全聯(lián)鎖系統(tǒng)（Safety Interlock System）。在石油化工生產(chǎn)裝置生產(chǎn)正常時(shí)，SIS處于休眠或靜止?fàn)顟B(tài)，生產(chǎn)裝置或設(shè)施出現(xiàn)可能導(dǎo)致安全事故的情況時(shí)，能夠瞬間準(zhǔn)確動(dòng)作，使生產(chǎn)過程安全停止運(yùn)行或自動(dòng)導(dǎo)入預(yù)定的安全狀態(tài)[2]。

1.2 安全防護(hù)的相關(guān)概念

工業(yè)控制系統(tǒng)安全建設(shè)的難點(diǎn)在于其系統(tǒng)天然存在安全脆弱性，同時(shí)其應(yīng)用的環(huán)境具有特殊性，集中應(yīng)用在關(guān)鍵基礎(chǔ)設(shè)施、重點(diǎn)行業(yè)上。

基于ISA/IEC62443列出的安防脆弱性包括軟件缺陷、硬件失效、安防對策降級、證書重復(fù)使用、機(jī)密信息泄露、系統(tǒng)性錯(cuò)誤導(dǎo)致誤組態(tài)或配置。

2 安全儀表系統(tǒng)的安全防護(hù)現(xiàn)狀

2.1 國內(nèi)外安全儀表系統(tǒng)安全防護(hù)研究

國際上對安全儀表系統(tǒng)安全的研究起步早，標(biāo)準(zhǔn)多，形成了相對成熟的技術(shù)規(guī)范和標(biāo)準(zhǔn)體系，包括 ISA制定的用于制造業(yè)和控制系統(tǒng)安全標(biāo)準(zhǔn)ISA-99;國際電工委員會(huì)IEC/TC65/WG10制定的IEC61508電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全、IEC61511過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全;NS/ISA-S84.01（1996）安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用;AICHE-1993化學(xué)過程的安全自動(dòng)化導(dǎo)則。

國內(nèi)從2010年逐漸制定相關(guān)國內(nèi)標(biāo)準(zhǔn)，有關(guān)部門也下發(fā)了相應(yīng)的文件，例如GB50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》、安監(jiān)總管三[2014]116號《關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》以及近年從IEC引入的功能安全相關(guān)的GB/T 20438-2017《電氣 / 電子 / 可編程電子安全相關(guān)系統(tǒng)的功能安全》、GB/T 21109-2017《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》。

3 安全儀表系統(tǒng)的功能安全

3.1 功能安全相關(guān)概念

安全儀表系統(tǒng)的功能安全，包含以下相關(guān)概念：

（1）安全完整性等級（Safety Integrity Level，簡稱SIL）用來規(guī)定分配給安全儀表系統(tǒng)的安全儀表功能的安全完整性要求的離散等級（4個(gè)等級中的一個(gè)），劃分為4級（SIL1～SIL4，），SIL4是安全完整性最高的等級，SIL1是最低等級。

（2）安全儀表功能（Safety Instrumented Function，簡稱SIF）。具有某個(gè)特定SIL的，用以達(dá)到功能安全的安全功能，它既可以是一個(gè)儀表安全保護(hù)功能，也可以是一個(gè)儀表安全控制功能。

（3）安全要求規(guī)范 （safety requirement specification，簡稱SRS）包含安全儀表系統(tǒng)應(yīng)執(zhí)行的儀表安全功能的所有要求的規(guī)范。

（4）安全完整性，安全儀表系統(tǒng)在規(guī)定時(shí)段內(nèi)、在規(guī)定條件下滿足執(zhí)行要求的儀表安全功能的平均概率。

3.2 有效開展功能安全評估工作

安全儀表系統(tǒng)功能安全評估工作的目的：一是為了確保滿足功能安全目的所必需的管理活動(dòng)是否有效;二是評估安全儀表系統(tǒng)是否達(dá)到了要求的SIL。

評估的前期準(zhǔn)備工作主要是資料的準(zhǔn)備，包括HAZOP分析報(bào)告、風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)、其他資料（同HAZOP分析）;儀表規(guī)格書、聯(lián)鎖邏輯圖等。評估人員的配備，包括評估小組組長、記錄員、其他成員（經(jīng)過培訓(xùn)的有豐富經(jīng)驗(yàn)的各專業(yè)人員及相關(guān)專家）[3]。評估工作首先應(yīng)對生產(chǎn)裝置進(jìn)行過程危害分析（PHA），常用的方法有事故（事件）樹分析、故障假設(shè)分析和危險(xiǎn)與可操作性分析方法（HAZOP），目前比較常用的是HAZOP[4]。在過程危害分析（PHA）的基礎(chǔ)上進(jìn)行SIF辨識及SIL確定，這里需要運(yùn)用保護(hù)層分析（LOPA），保護(hù)層分析（LOPA）是半定量的工藝危害分析方法之一，先分析未采取獨(dú)立保護(hù)層之前的風(fēng)險(xiǎn)水平，通過參照一定的風(fēng)險(xiǎn)容許準(zhǔn)則，再評估各種獨(dú)立保護(hù)層將風(fēng)險(xiǎn)降低的程度，其基本特點(diǎn)是基于事故場景進(jìn)行風(fēng)險(xiǎn)研究。通過對HAZOP的細(xì)化和完善，從HAZOP的結(jié)果數(shù)據(jù)開始，通過文檔化引發(fā)原因和預(yù)防或減輕危險(xiǎn)的保護(hù)層計(jì)算每個(gè)識別的危險(xiǎn)。通過LOPA對確認(rèn)的事故場景開展保護(hù)層分析，確認(rèn)是否需要安全儀表功能SIF及SIL等級[5-6]。在對安全儀表功能SIF確定相應(yīng)的SIL等級之后，需要進(jìn)行SIL驗(yàn)證，包括SIS配置是否滿足標(biāo)準(zhǔn)規(guī)范需求;按生命周期管理，有相應(yīng)的安全要求規(guī)范及文檔;SIF回路要求時(shí)的平均失效概（PFDavg）、硬件故障裕度（HFT）和平均失效時(shí)間（MTTF）等是否滿足SIL等級要求[7]。SIL驗(yàn)證中的重要環(huán)節(jié)為失效概率（PFD）的計(jì)算，目前常用的方法為馬爾可夫模型，同時(shí)需要包含在用安全儀表系統(tǒng)等設(shè)備的數(shù)據(jù)庫[8]。

完成SIL驗(yàn)證后對于偏差較大的問題，特別是與安全要求規(guī)范偏差大的內(nèi)容要進(jìn)行修改完善，對日常管理中的不足進(jìn)行糾正，最終根據(jù)SIL定級和SIL驗(yàn)證的結(jié)果，編制安全要求規(guī)格書，主要包含：項(xiàng)目概況、驗(yàn)證程序、驗(yàn)證清單、驗(yàn)證結(jié)論、建議等，用于指導(dǎo)后期的設(shè)備維護(hù)工作。

3.3 安全管理

在安全儀表系統(tǒng)功能安全概念中，全生命周期管理始終貫穿始終，不同于以往設(shè)備管理的概念，安全生命周期管理包含包括了系統(tǒng)的概念、范圍定義、風(fēng)險(xiǎn)分析、安全分配要求、計(jì)劃編制、設(shè)計(jì)與實(shí)現(xiàn)、安裝試運(yùn)行、操作維護(hù)修改、停用等。管理對象包括SIF回路 各階段的工作、信息、硬件、軟件、文檔全生命周期各階段的人員、部門、組織和其他單位。管理內(nèi)容包括人員管理、工作管理、資產(chǎn)管理、變更管理、信息管理、文檔管理、風(fēng)險(xiǎn)管理、維護(hù)管理。

4 結(jié)束語

安全儀表系統(tǒng)作為工業(yè)控制系統(tǒng)中的重要組成部分，其安全防護(hù)不可能一蹴而就，必須根據(jù)從設(shè)計(jì)源頭、運(yùn)行維護(hù)、變更、停用等全生命周期的各個(gè)環(huán)節(jié)做到本質(zhì)安全，進(jìn)而在安全性和適用性之間得以平衡。本文綜述了安全儀表系統(tǒng)安全防護(hù)的現(xiàn)狀，提出了切實(shí)的安全儀表的安全防護(hù)思路，希望為企業(yè)進(jìn)行安全防護(hù)工作提供一些參考。

參考文獻(xiàn)

[1] 陶海. 工控系統(tǒng)安全防護(hù)問題對策研究[J]. 現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化， 2017，7（19）：54-55.

[2] 陳立飛. 在役石化裝置安全儀表系統(tǒng)SIL驗(yàn)證方法及日常管理的探討[J]. 石油化工自動(dòng)化， 2019， 55（6）：1-5.

[3] 王若青， 孫成龍. 工藝過程危害分析在工程上的推廣應(yīng)用[J]. 石油化工安全環(huán)保技術(shù)， 2010（5）：37-41.

[4] 方向榮， 莊力健， 袁文彬. 石化裝置安全聯(lián)鎖系統(tǒng)（SIS）常用評估方法探討[J]. 廣州化工， 2010（1）：199-201.

[5] 薛明. 淺議石化裝置SIS系統(tǒng)安全等級的提高[J]. 河南化工， 2017（6）：11.

[6] 靳江紅， 吳宗之， 胡玢. 對功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC61508的研究[J]. 中國安全生產(chǎn)科學(xué)技術(shù)， 2009， 5（2）：71-75.

[7] 李佳嘉. 貫穿于全生命周期的功能安全[J]. 自動(dòng)化儀表， 2006， 27（s1）：21-24.

[8] 劉建侯. 儀表型安全系統(tǒng)功能安全評估的應(yīng)用研究[C].第七屆工業(yè)儀表與自動(dòng)化學(xué)術(shù)會(huì)議論文集， 2006.