張建國

(中石化-霍尼韋爾(天津)有限公司，天津 300308)

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文的發(fā)布是一個標志，意味著安全儀表系統(SIS)被國家安全監(jiān)管部門明確認定作為涉及“兩重點一重大”化工生產裝置和危險化學品儲存設施過程安全的重要保護措施之一。近幾年來，對于SIS的角色和定位，各級安全監(jiān)管部門、工程領域以及最終用戶逐步形成共識。根據國家安全監(jiān)管要求，涉及“兩重點一重大”在役生產裝置或設施的化工企業(yè)和危險化學品儲存單位，普遍進行了以危險與可操作性分析(HAZOP)/保護層分析(LOPA)為主導的過程危險分析和風險評估、安全完整性等級(SIL)定級，以及對辨識出的安全儀表功能(SIF)回路進行以PFDavg為核心指標的量化驗證計算。新建涉及“兩重點一重大”的化工裝置和危險化學品儲存設施，也按照原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文的要求，設計符合相關標準規(guī)范規(guī)定的安全儀表系統。

在SIS的工程實踐中，也面對著很多困惑和挑戰(zhàn)。比如，SIS的功能安全標準： GB/T 21109—2007《過程工業(yè)領域安全儀表系統的功能安全》(等同采用IEC61511)，它以SIS的SIL和安全生命周期為基礎，建立了一套方法論，不過只規(guī)定出“應該做什么”，而并沒有給出“如何做”，在不同的應用場合，需要用戶自行“量身定制”實施準則和方法，因此，面對的最大挑戰(zhàn)是缺乏實際工程應用的指引。該標準的前身，來自ANSI/ISA-84.01： 1996，在美國它與OSHA 1910.119，以及《化工過程安全自動化指南》(GuidelinesforSafeAutomationofChemicalProcesses，1993版)”相銜接，被公認作為SIS設計、操作、維護、檢驗以及測試的良好工程實踐準則。

另一個標準： GB/T 20438—2017《電氣電子可編程電子安全相關系統的功能安全》(等同采用IEC61508)主要面向儀表和系統制造商?；赟IL驗證的需要，大家對SIS儀表和安全控制系統的功能安全認證給予了很高的重視。對于認證機構的資質如何認定，盡管各企業(yè)或服務機構在實踐中積累了很多好的做法，時至今日還沒有形成明確的統一規(guī)定。原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“推動形成并完善符合中國國情的功能安全認證體制機制?！鸩浇⑾嚓P人員、產品以及組織機構功能安全認證服務體系?！钡囊笕源鋵?。需要說明，上述兩個標準本身并未強制要求認證， GB/T 21109—2007(IEC61511)甚至更看重基于“以往使用(prior use)”原則確定儀表選型。在美國，諸如OSHA，對SIL認證建立了特定的管理程序，批準了可以進行“IEC61508認證”的機構，即“國家認可測試實驗室NRTL(nationally recognized testing laboratory)”。筆者認為，從國內的現狀出發(fā)，對于安全監(jiān)管機構“批準”意義上的HAZOP/LOPA以及SIL驗證所依據的方法、數據來源、計算軟件、從業(yè)人員的資質和服務機構的能力，有必要建立“認可/批準”程序，以便管控工作質量，一些大型企業(yè)也在這樣做。另一方面，也有必要鼓勵企業(yè)依據SIS標準規(guī)范的“以往使用”規(guī)則，探索“建立安全儀表準入和評審制度，類似于歐美企業(yè)的“用戶批準”管理體系。

在安全監(jiān)管部門、工程領域、最終用戶、廠商的共同努力下，對涉及“兩重點一重大”的在役生產裝置和儲存設施，普遍進行了SIS的SIL評估，至少收獲了兩個成果： 一是摸清了SIS在過程安全中應有的作用、是否存在“隱患”，以及如何完善，為確保安全生產打下了基礎；二是依據原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“加強化工安全儀表系統管理的基礎工作”的要求，初步培養(yǎng)了一批具備專業(yè)技術能力、掌握相關標準規(guī)范的工程技術人員，滿足開展和加強化工安全儀表系統功能安全管理工作的需要，這是一個巨大的進步。

審視對在役SIS的評估，毋庸諱言，大體上仍存在以下的突出問題：

1)側重于SIS的硬件構成，對于SIS功能安全管理體系和人員能力對SIS操作和維護的影響很少涉及。

2)HAZOP/LOPA，以及PFDavg計算所基于的假設條件，采用的都是文獻/認證報告/工業(yè)數據庫中的數據，由于缺乏現場第一手資料的支持，評估給出的是側重于“設計”是否合理的理論結果。

SIL由技術、管理體系以及人員能力三個方面予以保證。對于用戶來說，需要建立管理體系，管理SIS設備和系統的檢驗、維護、測試以及操作，確保所需的風險降低能力持續(xù)保持。

1 平均失效概率計算中的問題討論

對于化工裝置的SIS應用，大都為“要求(demand)”操作模式的系統，SIL等級的硬件評估采用PFDavg計算。影響PFDavg量值的主要有6個因素： 失效率(λ)，表決形式(MooN)，診斷覆蓋率(DC)，檢驗測試周期/間隔時間(TI)，(在線)平均恢復時間(MTTR)，共因失效因子(β)。這6個參數對PFDavg的實際影響與企業(yè)的現場管理水平息息相關。

1.1 失效率

IEC61511-1： 2016(該IEC標準版本仍未轉化為國內GB/T 21109新版，因此本文引用時仍用IEC 61511-1： 2016，下同)中11.9.3條規(guī)定： 在量化隨機失效影響時采用的可靠性數據，應該可信、可追溯、文檔化、對其合理性進行了適當評判，并且基于來自在類似操作環(huán)境下應用的、同類設備的現場反饋。該規(guī)定至少說明： 數據來自于現場實際應用，有適合的數據收集方法和體系，有足夠的樣本數量，需要有書面的正式基礎數據記錄。

毋庸置疑，最好的數據來自于現場的實際性能信息源。而認證數據大多來自廠商基于FMEDA等可靠性分析技術的理論推導，并沒有顧及實際現場應用場合的過程連接和環(huán)境影響。而現場條件對儀表設備安全性能的影響是有目共睹的，有文獻表明，實際性能比認證“聲稱的” 可能差一個數量級。因此，如何遵循原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“要加強安全儀表系統相關設備故障管理(包括設備失效、聯鎖動作、誤動作情況等)和分析處理，逐步建立相關設備失效數據庫” 等要求，獲取實際的性能數據，成為未來的關注點之一。關于這方面GB/T 20438—2017，GB/T 21109—2007都給出了指導原則。

對于新建項目、或者現階段只能采用認證數據，IEC61511-1： 2016中5.2.5.3款規(guī)定： 監(jiān)視并評估SIS的可靠性參數是否符合設計時的假設；進一步地，如果實際失效率大于設計時的假設，要確定應采取的必要校正措施。因此，有必要建立機制，跟蹤SIS儀表設備的實際性能。另一方面，失效率的取值基于可靠性分析基礎模型——“浴盆曲線”，PFDavg計算基于正常的使用年限如圖1所示。

PFDavg計算的最基本假設是儀表設備處于“有用的生命期”(即正常的使用年限)內，并且λ假定為常量。在SIS儀表設備投用初期，由于出廠前的潛在瑕疵，運輸、儲存、安裝、調試等環(huán)節(jié)造成的內在損害，很快就會出現失效，這被稱為“早期失效”；當處于“老舊狀態(tài)”時，性能不再穩(wěn)定，隨著時間的推移，λ會明顯上升。要注意： 當儀表設備超過圖1所示的“正常使用年限”后，并非絕對不能繼續(xù)使用，只是由于λ隨時間明顯增加，PFDavg計算已經沒有意義。那么，目前已經評估的在役SIS，其中是否有已處于“老舊狀態(tài)”的情形？如果不注意這一點，有可能誤導對SIS安全性能的判斷。

作為用戶可能會關注儀表設備的正常使用年限，由于受工況和環(huán)境條件、維護狀態(tài)等多方面的影響，即使相同規(guī)格型號的儀表設備在不同的應用現場也有不同的壽命，無法給出明確統一的答案。對正常使用年限只能是粗略的判斷，例如： GB/T 20438-2—2017中7.4.9.5款的注釋3提到： 依據經驗，(電氣、電子類)儀表設備使用年限一般是8～12 a。因此，在SIS設備的操作和維護過程中，要建立機制跟蹤圖1所示的右側拐點何時出現。如果進入到“老舊狀態(tài)”，就要調整維護策略，正如IEC61511-1： 2016中16.3.1.5款規(guī)定： 在(檢驗測試)的一些周期，應該基于各種因素，包括測試的歷史數據、操作經驗、硬件降級，對測試頻率進行重新評估。

1.2 表決形式和平均恢復時間

在SIS中，不論是基于安全性能還是過程可用性，容錯能力是最重要的設計考慮之一。安全系統的設計準則是一個危險失效存在時不能影響安全。對于冗余配置的(子)系統，它表征當系統出現危險故障導致安全性能降級時，仍然有能力將被控工藝過程置于安全狀態(tài)。例如：“2oo3”配置的變送器，當其中1臺出現危險失效(比如，輸出信號“凍結”)時，該配置降級為”2oo2”，意味著在下一個危險失效到來之前，系統的安全性能仍有保證。盡管不是安全功能的全部喪失，卻是現實存在的“隱患”，必須及時將系統恢復到正常狀態(tài)。

為了發(fā)揮容錯能力，需要有設計得當、足夠可靠的診斷信息；同時，操作和維護人員要協同工作。MTTR反映了在線診斷響應和維修的時效性，它實際上受很多因素的制約： 工藝提供的有效時間窗口——最大允許的維修時間(MPRT)、發(fā)生故障的時間點(在晚上或節(jié)假日，可能要等待到正常工作時間)、備件庫存狀況、有效的人力資源等。在系統降級或在線維修期間，還涉及到“旁路(bypass)”設置和操作規(guī)程，以及因SIF安全能力的暫時缺失，工藝如何提供對等的“補償措施”。

1.3 診斷覆蓋率

在PFDavg計算中，發(fā)現故障的途徑，只考慮自動診斷和人工完成的周期性檢驗測試。巡檢等日常維護主要是能夠及時發(fā)現故障征兆，在可靠性分析中稱為“初始狀態(tài)(incipient condition)”，即使是發(fā)現了“完全失效(complete failure)”，由于很難量化，一般也沒包括在計算之內。

從安全性能的角度，自動診斷的意義在于將危險失效及時檢測出來并轉化為“安全的結果”；或者系統自動動作，進入安全狀態(tài)；或者在有足夠容錯能力的前提下給出報警，由人工進行適當的響應，進而也存在著人員響應的時效性和有效性問題。

1.4 檢驗測試周期/間隔時間

PFDavg從數學上講是量綱一的量，實際上它衡量的是檢驗測試時間間隔(TI)內、 在出現“要求”時SIF所設計功能的平均失效概率。由于在裝置正常操作工況期間，SIS處于“休眠或靜止狀態(tài)”，可能存在隱含的危險失效，因此，“不壞不修” 不適用于SIS，定期檢維修成為重要考慮因素。

一般來說，盡量避免在裝置處于正常操作期間進行在線檢驗測試。如果不能避免，就要為這一活動設計出必要的便利條件，有必要在安全要求規(guī)格書(SRS)等設計文件中給出具體要求，在設計環(huán)節(jié)充分考慮現場維護需要的“可維護性”，是現代SIS設計理念有別于基本過程控制系統(BPCS)或傳統設計最突出的特點之一。

需要建立檢驗測試規(guī)程，確保在測試和必要的維修之后，系統恢復到“如新”狀態(tài)或接近該狀態(tài)。要評估采用的測試方法對辨識潛在失效模式的有效性。TI的確定受很多因素的影響： 相關的法規(guī)、標準規(guī)范，廠商要求，工藝特性和操作特點，它也涉及基建投資和維護成本之間的平衡。如果不能按期進行檢驗測試，就需要有延期審批管理流程。要考慮如何對測試進行記錄，以便追溯設備性能并辨識可能的“系統性失效”；甚至考慮是否可以利用一些非計劃停車機會，測試關鍵閥門等。

1.5 共因失效因子

“公共原因”有很多來源，量化分析非常困難。因此，在PFDavg計算中一般采用GB/T 20438—2017的β模型及其估值，這必須以遵循消除或降低共因失效的良好工程實踐為前提。

另外，GB/T 21109—2007(IEC61511)也特別強調在LOPA分析中，對保護層(PL)之間、PL與BPCS之間的公共原因、公共模式以及依賴性失效的影響進行評估，確保其影響足夠低。

以上簡單討論了影響PFDavg計算的主要參數，想說明SIS安全性能的實際表現和持續(xù)保持，需要SIS最終用戶良好的工程實踐、完備的操作和維護管理體系、安全性能監(jiān)測指標(KPI)監(jiān)控，以及足夠的人員能力等多方面予以保證。

2 安全控制、報警和聯鎖(SCAI)

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“高度重視其他相關儀表保護措施管理”規(guī)定： 與SIF的安全完整性要求相關的報警、BPCS控制回路，參照SIF進行管理和檢驗測試；嚴格設計和實施有毒有害和可燃氣體檢測保護系統，并要獨立于BPCS。哪些報警和BPCS控制回路與SIF相關？從LOPA的觀點分析如下：

1)辨識為PL，SIF之外任何用“儀表和控制系統”方式實現的安全措施，都與SIF的SIL要求有關，例如，視為PL的獨立安全報警以及BPCS中的控制回路/聯鎖/報警。原因是SIF的SIL由與降低同一風險的、其他PL之間的關系確定。

2)PL不論用什么專業(yè)技術手段實現，除了風險降低能力不同以外，實際上有著相同的作用和屬性。例如，CCPS總結的七個核心屬性。

ANSI/ISA 84.91.01： 2012將安全控制、報警、聯鎖，其中也包括SIF在內，整體定義為“SCAI”： 用儀表和控制方式執(zhí)行的過程安全保護措施，根據所關注特定場景的風險降低需要，用于實現或保持過程的安全狀態(tài)。由于定義在SCAI中的安全措施有著相同的作用，因此，除了SIS/SIF之外，這些“儀表和控制”PL都應該納入安全監(jiān)管范圍。

2.1 7個核心屬性

CCPS在《安全、可靠的儀表保護系統指南》(GuidelinesforSafeandReliableInstrumentedProtectiveSystems)中，首先定義了獨立保護層(IPL)的7個核心屬性，在此后CCPS的多本書籍中都予以引用。它們是： 物理屬性——獨立性、功能性、完整性、可靠性；管理屬性——可審核性、訪問的權限管理、變更管理。

前四個屬性，在此歸納為物理屬性，成為IPL工程設計的基本原則：“獨立性”是安全功能有別于其他基本過程控制功能的最核心要求；“功能性”體現安全功能的直接、有效，對危險場景進行專門的、針對性的設計；“完整性”體現安全性能，用PFD/RRF表征；“可靠性”就是常說的“過程可用性”。

后三個屬性，在此歸納為管理屬性，是SCAI現場操作和維護管理的基本原則：“可審核性”與“功能安全審核”要求相銜接，體現通過檢驗、記錄、測試、評估、審核等技術和管理措施，確保其所需的風險降低能力能夠被“證實”達到預期；“訪問的權限管理”體現通過物理、密碼、規(guī)程等必要措施，確保有相應權限的人員才能對其進行相關操作，比如，修改SIF的關斷設定值；“變更管理”是最基本的管理原則，體現即使有權限進行某些更改活動，也必須遵循變更管理流程。

2.2 SCAI的管理

伴隨著現代化工工藝和儀控技術的進步，從近二十余年來CCPS，ISA，IEC等機構的大量文獻中，也明顯地看到安全系統設計和管理理念的變化，即關注安全功能的風險降低意圖及其安全性能的一致性要求。以CCPS出版的3本書籍為例：

1)《化工過程安全自動化應用指南》第1版，是第一本介紹安全控制系統的專著。其中定義了“安全聯鎖系統SIS(safety interlock system)”及其三個“完整性等級(integrity level)”： 1，2以及3級?？梢娔菚r的SIS與今天的定義不同。

2)2007年出版了《安全、可靠的儀表保護系統指南》。除了前述IPL的7個核心屬性外，該書列出了13種用“儀控”技術實現的安全保護系統，從一個側面反映了工藝過程的多樣性和儀控系統在安全保護上的廣泛應用。

不過，這些令人眼花繚亂的系統名稱并沒有統一的定義，大都是約定俗成的叫法，甚至同一個名稱在不同的行業(yè)有不同的含義。以最典型的緊急停車系統(ESD)為例，在該書中這樣定義： 在過程工業(yè)內多年使用的術語，描述用于保護意圖的各種不同類型的儀表系統： 安全儀表系統，緊急隔離和/或泄放存料的系統，儀表保護系統以及操作人員為響應安全報警所使用的設備。

在某一特定行業(yè)或應用場合，系統的用途非常明確，不會造成不同的理解，但對于整個過程工業(yè)，如此眾多的名稱和不同的定義，在一定程度上造成了不同行業(yè)之間橫向交流上的障礙。

3)2017年出版的《化工過程安全自動化應用指南》第2版中，通篇將儀控系統分為三類： 過程控制系統、SCAI以及借助人工響應的“管理控制”。

可以這樣理解，不論特定的系統名稱如何，用儀表和控制方式執(zhí)行的過程安全保護措施，其共同點都是用于防控工藝過程中對人員、資產、環(huán)境造成損害的風險。另外，由于現代自動化系統的規(guī)模越來越大，各種功能都可以“集成”在一個系統中，無法用一個名稱準確概括。因此，從工程方法論的角度，關注的主體只能是“安全功能”而非一個籠統的“系統”。例如，基于危險事件“場景”的HAZOP/LOPA，辨識出的是特定安全功能(PL/SIF)及其被賦予的風險降低能力要求(PFD/RRF/SIL)，SRS也是基于SIF并規(guī)定其安全功能要求及其相關的安全完整性等級。

ANSI/ISA84.91.01： 2012對SCAI的規(guī)定有幾個要點： 其相關文檔應與其他儀表系統明確區(qū)分；納入到機械完整性(MI)管理程序中，采取周期性檢查、測試，以及預防性維護，保持在操作環(huán)境下的完整性；明確規(guī)定出了檢驗和測試記錄應保持的內容。

3 SIS現場功能安全管理的“A&A”活動

GB/T 21109—2007將安全生命周期作為SIS工作流程和質量管理體系的架構。該架構簡單地分為四步： 定義風險管理策略，執(zhí)行該策略，確認、投用、操作、維護和保持該策略，管理對該策略的更改。它體現了以目標為導向的安全價值傳遞，即如何實現目標，以及持續(xù)改進。

SIS安全生命周期分為三個階段： 分析階段，即上述的“定義風險管理策略”通過PHA確定SIF/SIL，該階段依據企業(yè)整體過程安全管理(PSM)要求，確定SIS的角色和作用；工程實施階段，即上述的“執(zhí)行該策略”從SRS到SIS最終交付的“確認”，工程階段的功能安全管理活動主要體現“V&V”，即“驗證(verification)—確認(validation)”；操作和維護階段，即上述的“投用、操作、維護和保持該策略”和“管理對該策略的更改”，該階段功能安全管理活動主要體現在持續(xù)改進過程中始終要遵循變更管理原則，以及定期開展“A&A”活動，即“評估(assessment)—審核(audit)”。

GB/T 21109—2007/IEC61511： 2003對SIS現場的功能安全管理，特別強調了“審核”活動，并在該標準的第二部分給出了組織和開展這一活動的指導原則。眾所周知，審核是3～5 a的周期性控制活動，在PSM中也是典型的管理要素之一。

據悉，國內過程工業(yè)中的一些企業(yè)，特別是一些歐美獨資或合資企業(yè)，按照其企業(yè)內部管理流程，參照PSM和SIS功能安全標準要求，已經開展了審核活動。審核的意圖是通過審查SIS各類文檔和記錄，確定功能安全管理體系是否有缺失、是否需要更新，以及各項管理制度和操作規(guī)程是否被完全遵循；如發(fā)現有漏洞和缺口，給出改進建議。不過，“功能安全評估”是GB/T 20438—2017和GB/T 21109—2007標準最看重的安全生命周期管理活動，特別規(guī)定用縮略語FSA指代Functional Safety Assessment。

值得注意的是，IEC61511： 2016關于在SIS現場操作和維護階段進行功能安全評估的新要求，新增加的條款5.2.6.1.10規(guī)定： 在操作和維護階段，也應周期性地進行FSA，確保操作和維護按照設計期間的假設條件進行，以及IEC61511關于安全管理和驗證的要求得到滿足。

在SIS操作和維護階段周期性進行FSA，從本質上是著眼于對SIS安全性能的動態(tài)管控和持續(xù)改進。例如，IEC61511-1： 2016中5.2.5.3款規(guī)定： 監(jiān)視和評估SIS的可靠性參數是否符合設計時的假設，將SIF實際操作期間的“要求率(demand rate)”與風險評估并確定SIL時的假設相比較，如果有“缺口”存在，就要適時采取校正措施和調整維護策略。顯然，可以通過周期性的FSA開展這些活動。

總之，在SIS的現場操作和維護期間，企業(yè)應該根據自身的SIS功能安全管理需要，定期開展“A&A”活動，其中的“審核(A)”關注于梳理并審查那些行之有效的管理制度、操作規(guī)程，確保得到持續(xù)保持；而“評估(A)”側重于根據安全監(jiān)管和標準規(guī)范的新要求、工藝操作和SIS運行狀態(tài)等的變化，落實如何不斷改進。

4 SIS操作和維護的安全完整性管理

根據IEC61511-1： 2016中16章的規(guī)定，SIS在操作和維護階段的目標，是確保每個SIF所需的SIL得以維護；進一步地，操作和維護的方式確保所需的SIL持續(xù)保持。對于SIS用戶，需要從基礎工作做起，建立常態(tài)化、穩(wěn)定的管理體系，以及制定完善的計劃并適時進行各類維護活動對SIL要求予以保證。

如何將國家對企業(yè)SIS應用的管理制度和體系建設要求落到實處，包括SIS在內的SCAI整體自動化資產完整性AAI(automation asset integrity)管理是值得考慮的抓手之一。傳統上，是“機械完整性”的管理概念，例如，大家熟悉的CCPS《機械完整性體系指南》，近年來變?yōu)椤百Y產完整性”管理概念。例如，CCPS《資產完整性管理指南》。ISA-TR84.00.03： 2019中，“SIS的自動化資產完整性(Automation Asset Integrity of Safety Instrumented System(SIS))”則專門針對SIS。ISA的技術報告盡管針對SIS，由于自動化資產完整性與SCAI相對應，其指導原則適用于所有用“儀表和控制系統”方式實現的風險降低措施。這些文獻涉及的關注點、如何進行體系建設，由于來自良好的工程實踐積累，因此有很強的針對性和可操作性。

SIS的自動化資產完整性包括兩部分： 一是通過設計和建造，將安全完整性/過程可用性融入到SIS之中，成為內在品質；二是從現場的SIS應用中建立管理體系，確保以“安全的方式”對SIS進行檢查、測試、維護及操作，并與分配的風險降低要求相一致，在出現失效和性能降級時，及時成功地予以校正。

4.1 SIS自動化資產完整性的要點

SIS自動化資產完整性的要點如下：

1)首先要明確SIS自動化資產完整性管理體系涵蓋的范圍。根據上述的討論，除了SIS以外，也應包括SCAI(在LOPA中認定為PL的BPCS回路/聯鎖/報警、獨立報警)。

2)定義管理、操作、維護各崗位人員的角色和責任，并確保有相應的資質。

3)確定各類儀表設備的維護策略。檢查(巡檢、“介入”檢查)、預防性和預測性維護(定期或基于儀表狀態(tài))、維修 (在線MTTR，旁路管理)、在線/離線校驗、檢驗測試、可靠性數據記錄表單和分析(停車記錄、維護記錄)。再次強調對于SIS，要求盡量避免“不壞不修”。

4)收集并保存生命周期各階段文檔。建立設計文件、管理規(guī)定、操作規(guī)程、各類表單記錄等主控文檔清單以及存檔、版本控制等制度。要意識到文檔是企業(yè)的長期資產。

5)確保維護人員的技能和培訓。培訓涵蓋三個方面： 安全作業(yè)規(guī)程(HSE)、儀控專業(yè)技能、SIS專門技能。另外，由于SIS的功能安全水平采用SIL/PFDavg等量化性能指標評估，建議逐步設立“可靠性工程師”等技術崗位。

6)確定管理體系和SIS安全性能的KPI。例如，為了確保SIS性能處于“如新”狀態(tài)，有幾個方面需要監(jiān)測： 工藝裝置發(fā)生的實際“要求”即聯鎖關停率、通過自動診斷檢測出的故障、危險失效率、誤操作/誤停車率，以及人員對操作規(guī)程的依從性。

7)制定功能安全周期性評估/審核(A&A)管理程序和變更管理程序，以及配置管理程序。

8)建立或完善操作和維護管理制度、編制或完善各項操作規(guī)程和記錄表單。

4.2 SIS自動化資產完整性管理體系建立的起點

SIS自動化資產完整性管理體系建立和完善，無疑是化工企業(yè)SIS最終用戶的職責。不過，這并非意味著企業(yè)在生產裝置投產以后才著手考慮。對于新建化工裝置，在SIS項目的工程設計階段就要妥善處理現場操作和維護管理要求。

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“嚴格安全儀表系統的安全調試和聯合確認”的“聯合確認”包含兩個方面： 一是GB/T 21109—2007標準層面的“確認” ，這是一個有“儀式感”的活動，它的意圖是SIS安裝調試完成之后，通過文檔審查、現場查驗、整體測試等一系列活動，項目工程各方和最終用戶共同“見證”SIS完全符合了SRS，并為裝置投產準備就緒，所有權從項目方向業(yè)主方移交，一般也被俗稱為“現場驗收測試SAT”，在ANSI/ISA-84.01： 1996中稱之為“開車前驗收測試PSAT”，它本質上標志著SIS項目合同項下工程階段的結束。二是大家熟知的安全監(jiān)管要求——“開車前安全審查PSSR”，例如，原國家安監(jiān)總局安監(jiān)總管三〔2013〕88號文所要求的建設項目試生產前的“三查四定”是其應有內容。

SIS自動化資產完整性涵蓋制定“確認”計劃、并應從SIS設計階段開始。一是在SIS設計時就要為SIS未來的在線維護活動(檢維修、檢驗測試、旁路操作)等預留適當、足夠的便利條件；二是在確認活動過程中積累的文檔(包括調試記錄、校驗記錄)，將成為未來SIS操作和維護管理、特別是周期性檢驗測試的基準點。

4.3 SIS動態(tài)數據收集和性能評估

原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文中“……要加強安全儀表系統相關設備故障管理(包括設備失效、聯鎖動作、誤動作情況等)和分析處理，逐步建立相關設備失效數據庫。要規(guī)范安全儀表系統相關設備選用，建立安全儀表設備準入和評審制度以及變更審批制度，……”明確要求，在SIS的現場操作期間收集可靠性數據并對其安全性能進行評估。

GB/T 20438.1—2017/IEC61508-1： 2010中的“圖7： 運行和維護活動模型示例”“圖8： 運行和維修管理模型示例”“圖9： 修改規(guī)程模型示例”，給出了具體執(zhí)行這些規(guī)定的一般性指導原則。

GB/T 21109—2007(IEC 61511-1： 2016) 規(guī)定：“要制定規(guī)程，收集與‘要求率’和SIS可靠性參數有關的數據(16.2.2條)”“監(jiān)視并評估SIS的可靠性參數是否符合設計時的假設(5.2.5.3款)、要有有效的適當證據，(表明儀表)設備可適用于SIS(11.5.3.1款)” 以及“以往使用(Prior Use)評估涉及書面收集設備在類似操作環(huán)境下的性能信息(11.5.3.1款注釋3)”“在量化隨機失效影響時采用的可靠性數據，應該可信、可追溯、文檔化、對其合理性進行了適當評判，并且基于來自在類似操作環(huán)境下應用的、同類設備的現場反饋(11.9.3條)”，等。這些規(guī)定都表明，有必要建立適當的機制，跟蹤SIS的實際性能表現。通過對第一手數據和資料的評估，SIS儀表設備選型從目前高度依賴所謂“認證”，逐步向基于“以往使用”規(guī)則、建立準入和評審制度過渡。

4.4 關于安全要求規(guī)格書(SRS)完善

SRS是SIS設計的基礎文件，包含了以SIF為核心的安全功能要求及其相關的安全完整性等級，SRS的重要性得到普遍認可。GB/T 21109—2007(IEC61511-1： 2016)第10章不厭其煩地羅列了29條SRS應詳細表達的內容；關于應用程序(AP)也羅列了14條要求。具體到它的文件格式并沒有統一的規(guī)定，在工程實踐中，SRS大多是一組文件。傳統的工程設計文件，從安全功能描述的廣度和深度、安全完整性要求等方面大都存在欠缺，應該參照標準的相關規(guī)定予以完善。

對于新建SIS項目，SRS是從FEED、概念設計階段逐步形成的過程，甚至SIS控制器廠商的“功能設計規(guī)格書(FDS)”也是其中的組成部分。

對于在役SIS，在完成HAZOP/LOPA以及SIL驗證之后，整理并完善SRS，作為SIS管理、操作和維護的基礎文件，并與相關設計文檔、管理規(guī)定、操作規(guī)程、記錄表單等相關聯，很有現實意義。

由于工藝裝置的類型不同、企業(yè)的管理和維護模式各異，不可能有統一的SRS格式，因此大體上可采用如下的文件結構： SIS所在工藝裝置的特點和SIS的整體用途概述，SIS/SIF的總體設計原則，SIS控制器的結構及其網絡拓撲的構成，每個SIF的功能和SIL要求描述，與相關設計文檔、管理規(guī)定、操作和維護規(guī)程、記錄表單等的關聯等。

5 結束語

1)本文試圖說明對在役化工裝置目前進行的PHA和SIF的SIL驗證，是第一步工作。根據原國家安監(jiān)總局安監(jiān)總管三〔2014〕116號文要求和GB/T 21109—2007的規(guī)定，接下來需要建立和完善SIS的管理體系，這是長期的、循序漸進的基礎工作，可以將SIS的自動化資產完整性管理作為抓手。

2)安全監(jiān)管的范圍應從SIS/SIF擴展到SCAI。SCAI的設計、操作和維護管理圍繞7個核心屬性。

3)在SIS的操作和維護期間，制定計劃和管理規(guī)程，定期開展“A&A”活動。

4)只有形成了完善的SIS完整性管理體系，才能為采用大數據、KPI、智能化等現代技術手段管控安全提供基礎。

5)SIS的“安防(security)”，特別是網絡安全對于SIS安全性能的影響也應予以特別重視。由于篇幅所限，對相關問題沒有討論。IEC 61511-1： 2016中8.2.4條規(guī)定，應進行安防風險評估，辨識SIS的安防脆弱性。SIS的網絡安全不僅涉及與BPCS等其他系統的通信，還面對著廠商通過公共網絡對用戶現場SIS進行遠程診斷等操作帶來的安防挑戰(zhàn)。

6)企業(yè)的安全保障，大體上短期目標是技術層面的改造或完善，例如，如果認為某款閥門性能不佳，在適當時機更換為品質優(yōu)良的類型，效果立竿見影；中期目標是管理體系建設；而長期目標則是關注于安全文化的形成。另一方面，要樹立“大安全”觀，單從技術來說，現代個人智能穿戴設備、手持終端、控制系統、視頻監(jiān)控等都可以集成在統一的安全防護網絡中，為安全生產、人員救援等提供一體化的監(jiān)控、管理、應急指揮平臺。不過，任何現代技術若得到充分應用，都需要以扎實的基礎體系為前提。