功能安全与安全完整性等级综述

2013.3 AUTOMATION PANORAMA
25
Focus
聚 焦
系统的效果。
工业安全
整体，而且把安全仪表系统的整个生命周期也看作是一个整体， 以整体协调的需要来研究局部问题，并选择优化方案，综合评价 （ 2 ）安全管理与责任体系科学化。一个安全仪表系统的运 行存在两个并行的过程，一个是系统设计、使用过程，一个是对 系统的计划、组织和控制的过程。要保证安全仪表系统的 SIL 能 力，需要明确两个过程中所有相关人员的职责范围和工作目标， 建立安全仪表系统的责任体系。 （ 3 ）各门学科的协调化。安全仪表系统是一个技术综合 体，它跨越许多学科，而且是填补这些学科边界空白的边缘学 科。它不仅涉及工程学的领域，还涉及社会、经济和政治等领 域。所以为了适当解决这些领域的问题，它要求从系统的总体目 标出发，综合运用各种科学技术，并使它们协调配合而达到系统 整体的优化。 （ 4 ）安全的相对性。功能安全将安全定义为“没有不可接 受的风险”，即用系统功能失效导致危险的概率来表示发生事 故、造成人员伤亡或财产损失的危险性，如果此概率小于法律规 定的限度，就是允许的。 （ 5 ）基于风险的量化技术。用数学的方法量化安全仪表系 统的安全完整性，是功能安全控制技术的核心。用SIL级别表明最 终用户可以多大程度地相信工业过程的安全性。 （ 6 ）建立结构与功能的数学关系。系统的安全完整性表现 在系统内部的硬件、软件、通讯等诸要素之间及系统与外部环境 之间的关系上。系统内部诸要素之间的联系为内部联系，表征内 部联系的范畴，称为结构。系统与外部环境之间的联系为外部 联系，表征这种联系的范畴称为功能。要素、系统、环境三个环 节，是通过结构和功能两个中介的沟通而有机联系起来的。 （ 7 ）战略性安全解决方案。从安全战略角度来看，不仅考 虑了各独立系统中所有元器件的问题，如传感器、控制器、执行 器等，而且考虑了由所有安全仪表系统构成的组合安全仪表系统 的问题。
5 我们的对策
功能安全的最大作用是可以针对危险事件建立有效的控制措 施，预先防止事故发生，或者在出现危险时知道怎样去控制它。
4 功能安全标准与国际国内应用现状
国际电工委员会（ IEC ）、国际标准化组织（ ISO ）分别 开始制定功能安全相关标准，第一批制定的标准中主要涉及的 是安全仪表系统，也就是由电气、电子、可编程电子为技术基 础的控制与保护系统的功能安全，包括 IEC61508 、 IEC61511 、 IEC62061 等几十个标准，涉及石油、化工、冶金、电力、机械 制造、电梯、家电等多个领域。这些标准出台后，欧盟指令、 美国职业安全与卫生管理局（ OSHA1910_134 ）、美国环保署 （EPA40CFRPart68）、英国（HSE）都将其纳入安全法规范畴。能安全与安全完整性等级综述
The Summary of Functional Safety and Safety Integrity Level
机械工业仪器仪表综合技术经济研究所 史学玲,冯晓升
摘要：从法规与标准的角度介绍了功能安全与安全完整性等级的概念，并提 出建立中国功能安全保障体系的建议。 关键词：功能安全；安全完整性等级；SIL Abstract: Introduced the concept of functional safety and safety integrity level from the point of view of regulations and standards, and proposing the establishment of functional safety system. Key words: Functional safety; Safety integrity level; SIL
[1]
3 安全相关系统的功能安全与SIL
安全相关系统（safety-related system）是“三同时”制度中 提及的安全设施的一种。 安全相关系统包括安全控制系统与安全保护系统两大类，其 功能是检测危险事件，当危险事件发生时，安全相关系统将采取 适当的动作和措施，防止被保护对象进入危险状态，避免危及人 身安全，保护财产不受损失。如锅炉压力达到一定值时炉火自动 熄灭；危险化学品运输车出事故后的社会应急保障；矿井内有害 气体达到危险值时报警并自动进入应急状态；当有人进入危险区 域时电锯自动停止动作……这类系统在不同领域有不同名称，在 石油化工领域统称为安全仪表系统（SIS；以下称安全相关系统为 安全仪表系统）。 安全仪表系统通常都是综合性的、复杂的，难以确定实际操 作中的每一种失效模式，也很难测试所有可能发生的状况，技术 缺陷、硬件或软件的偶然失效、环境、管理人员，任何一个环节 都有可能导致系统功能失效，从而导致危险发生。因此，需要采 用系统性方法确定其SIL能力。 为了实现安全仪表系统的功能安全，首先要对安全仪表系统 实现风险控制的总体能力进行评估与控制，即要确切地了解它能 做什么（执行什么安全功能），和能多大程度地相信它（即能降 低几级风险，SIL能力是多少）。然后通过对系统中每一个功能单 元，包括子系统和器件、人员、组织的功能安全进行管理与控制 来实现SIL能力。用系统中每一个功能单元的可靠工作，保证整个 系统在需要时执行的正确功能，从而控制和防护危险。[2] 为了保证安全仪表系统的 SIL 能力，应完整考虑以下所有方 面： （ 1 ）研究方法的整体化。不仅把安全仪表系统看作是一个
1 引言
《安全生产法》第二十四条规定：“生产经营单位新建、改 建、扩建工程项目的安全设施，必须与主体工程同时设计、同时 施工、同时投入生产和使用。安全设施投资应当纳入建设项目概 算。”这一要求一般被称之为“三同时”制度。“三同时”制度 从源头上消除各类项目可能造成伤亡和职业病的危险因素，防止 事故发生，避免因安全问题造成不必要损失，是确保本质安全的 有效法律制度。 “三同时”制度中提到的安全设施包括安全与卫生设备、 个体防护措施和生产性辅助设施。这些设施的安全功能是消除或 减轻危害因素、防止伤亡事故和职业病的发生。每种安全设施可 以执行一个或多个安全功能，每一个安全功能都能降低一定的风 险。而就一个项目而言，无论这个项目是石油、化工装置还是机 械设备，采用安全设施执行安全功能后，这套石油、化工装置或 机械设备的安全就在很大程度上依赖于安全设施能否正确执行其 安全功能。 “三同时”制度在我国实施已经多年，对我国安全生产起到 了极为关键的作用。但进一步分析历年来发生的工业事故，会发 现安全设施的有效性是一个急待解决的问题。
24
AUTOMATION PANORAMA 2013.3
功能安全防止的是安全设施的功能失效所导致的危险，解决 的是安全设施有效性问题。因此，研究建立我国功能安全保障体 系，对于“三同时”制度的有效性实施具有十分重要的意义。
成的人员伤亡、财产损失、环境破坏的严重程度，国家用法律的 方式明确各生产经营单位的安全风险控制目标，各生产经营单位 将企业的安全风险控制目标分解到每一个危险源，最后转化为每 一个安全设施的功能安全。这样就形成了一个国家 - 生产经营单 位-危险源控制的风险控制体系。 （ 2 ）功能安全从系统整体的安全要求出发，不但将安全责 任与组织管理程序进行科学的分解，而且将构成系统的结构与诸 元素的SIL进行科学分解。由这些分解的整体构成有序的系统，在 合理分工的基础上进行严密有效的协作，通过科学的组织管理体 系和安全仪表系统集成来实现安全的总体目标。 （ 3 ）功能安全是系统论、控制论、现代安全管理等学科相 互渗透、交叉发展而成。功能安全方法就是应用这些学科技术来 实现系统的模型化和最优化，把定性分析和定量分析紧密结合， 进行系统分析和系统设计。
2 功能安全与安全完整性等级的基本概念
功能安全是2000年以后兴起的一项安全工程学科，旨在防止 安全设施功能失效所导致的危险。 功能安全包括技术和管理两方面内容，涉及石油、化工、机 械、能源等多个领域，是通过提高安全设施有效性来控制与保护 各类危险源，避免或减少工业事故对公众和环境的影响，防止各 类装备尤其是成套装置发生不可接受危险的技术。 例如，锅炉控制系统是一种安全设施，其功能是当锅炉压力 达到危险值时关闭炉火。如果这个功能失效，压力达到危险值时 炉火不能熄灭，而是持续燃烧，锅炉就会爆炸，人员就会遇到危 险。在这种情况下，安全依赖于锅炉控制系统执行正确的功能。 锅炉控制系统承担了一定的风险降低能力，锅炉容量越大、压力 越高，这套控制系统承担的风险降低要求也越高。 安全设施的每一个安全功能都对应降低某一个危险事件的风 险，在2000年推出的功能安全基础标准IEC61508 中，把每一个 安全功能降低风险的能力定义为安全完整性等级（Safety Integrity Level; 以下简称 SIL ），如果安全设施可以将风险降低一个数量 级，也就是说，采用该安全设施后，原来一年发生一次事故的概 率可以降为几十年发生一次，表示该安全设施具有SIL1的能力。 如果安全设施可将风险降低4个数量级，也就是说，采用该安全设 施后，原来一年发生一次事故的概率可以降为几万年发生一次， 表示该安全设施具有SIL4的能力。 引入功能安全与 SIL 概念后，安全设施的有效性问题可以用 系统的、量化的方法得到解决。首先根据基础的风险分析与保 护层分析确定每一个安全设施需要承担的风险降低要求（ SIL 要 求），然后用系统性安全性分析确定该安全设施实际能够承担的 风险降低能力（SIL能力）。安全设施每一个安全功能的SIL要求 与SIL能力相比，SIL要求等于SIL能力，则表示整套装置的安全设 施配置合适；SIL能力小于SIL要求，则表示安全设施配置不合理 或不安全；SIL能力大于SIL要求，则表示存在过保护现象，后果 是资产浪费且可能引入新的不安全因素。功能安全分析法就是这 样采用SIL指标来确定每一个安全设施配置的有效性与安全性的。 SIL 的概念适用于所有安全设施，只要它承担的是风险降低 功能，就可以用量化的方法确定其风险降低能力。但由于每一种 安全设施的技术特点差别极大，针对每一种安全设施确定SIL能力 是一项十分复杂的工作。 功能安全具有以下特点： （1）功能安全将安全转化为SIL控制。综合事故发生可能造
各应用领域安全仪表系统的功能安全标准制定后，已经成为 各领域进行安全仪表系统设计、安装、维护、改造等活动的安全 规范。以流程工业领域为例，当公司为了降低风险采用安全仪表 系统，如安全仪表系统、紧急停车系统、关键控制等系统时，在 设计、安装、运行、维护直到系统停用的全过程都必须严格遵守 功能安全标准（IEC61511和IEC61508），如果发现哪家公司在某 一步骤没有执行标准，相关组织就会对该公司施以重罚。更严重 的是，如果由于没有执行标准出现了事故，无所不在的律师会帮 助事故受害者要求巨额赔款，而陪审团对于不执行标准的公司是 没有同情心的。 由于不同领域的功能安全标准都要求使用的设备必须符合 IEC61508标准，用户的要求促使各设备制造商纷纷推出高安全等 级的产品，一个统一的符合IEC61508标准的安全产品供应链和安 全技术产业正在形成。用户要求供应商提供经过认证的产品，要 求工程承包商具备经认证的资质，这样，就促进了IEC61508的认 证、服务、培训、工程服务等中介机构的发展。目前德国的TÜV 组织、美国的FM Global、英国的Sira认证服务公司等国际知名机 构开始了功能安全认证服务，内容涉及产品认证、工厂认证、设 备安装认证与资格认证等多方面。 我国的功能安全研究工作从1999年开始。机械工业仪器仪表 综合技术经济研究所、全国工业过程测量与控制标准化技术委员 会、全国机械安全标准化技术委员会等组织从转化 IEC61508 、 ISO13849 等功能安全标准为中国国家标准入手，研究其关键技 术与检测评估方法，目前已经建立相应的功能安全评估能力与检 测手段，并在石油、化工、机械等领域试点应用。中国合格评定 认可委员会（ CNAS ）已经认定了两个从事功能安全评估的实验 室。铁路、流程工业、机械等领域多家供应商都开始进行产品SIL 适应性认证工作，一个功能安全产品产业链正在形成。