1 引  言
　　工藝裝置的安全技術(shù)措施需與風(fēng)險(xiǎn)水平相關(guān)。直到數(shù)年前，也無合適標(biāo)準(zhǔn)確定安全技術(shù)措施的必要性和評估安全技術(shù)措施所需的可靠性。有多安全才足夠安全？
　　引入IEC 61508標(biāo)準(zhǔn)[1]和加工工業(yè)相關(guān)IEC 61511標(biāo)準(zhǔn)[2]后，已填補(bǔ)了此空白。給出了基于風(fēng)險(xiǎn)的方法，由此產(chǎn)生安全完整性等級（SIL）。根據(jù)安全完整性等級（1-4），這些標(biāo)準(zhǔn)規(guī)定了對安全儀表系統(tǒng)的要求。這些國際標(biāo)準(zhǔn)也指出了對管理系統(tǒng)的要求，以確保在所有階段保持這些標(biāo)準(zhǔn)。
　　IEC標(biāo)準(zhǔn)在球的使用日益廣泛。所有大公司均遵循安全完整性等級概念，包括斯塔米卡邦公司所屬的帝斯曼集團(tuán)（DSM）。這意味著尿素設(shè)計(jì)的安全方法完全符合基于IEC 61508標(biāo)準(zhǔn)的國際最佳實(shí)踐。
　　對裝置安全而言，安全完整性等級概念有很多重要優(yōu)點(diǎn)。
• 把風(fēng)險(xiǎn)降至可接受水平的系統(tǒng)的、清晰的、可證實(shí)的方法。
• 最佳成本效益狀況：‘符合目的’安全性以及裝置的不利停車或干擾最少。
• 安全儀表系統(tǒng)（SIS）的設(shè)計(jì)基于安全完整性等級要求。這包括冗余要求和試驗(yàn)間隔時(shí)間。
• 全球協(xié)調(diào)方法。
本論文講述安全完整性等級方法的本質(zhì)及其優(yōu)點(diǎn)。
2  2005年的兩次重大事故
　　說明加工工業(yè)中最近兩次重大事故的成因過程中，能最好地說明安全技術(shù)措施系統(tǒng)方法中安全的重要性，未采用安全完整性等級概念導(dǎo)致了這兩次事故。2005年的兩次事故簡述如下：兩次事故的直接原因是容器/塔中危險(xiǎn)物品、易燃/易爆物品裝載過滿。引起的爆炸和火災(zāi)是毀滅性的。
　　1 2005年3月23日，美國得克薩斯城煉油廠爆炸
　　15人死亡，170多人受傷。不同的獨(dú)立機(jī)構(gòu)對此事故進(jìn)行了徹底調(diào)查[3]。安全管理不到位，導(dǎo)致（a.o）未進(jìn)行充分的危害辨識(shí)（HAZOP）和防止過量裝載的安全儀表不足。
　　2 2005年12月11日，英國邦斯菲爾德油庫爆炸
　　40多人受傷，幸運(yùn)的是無人死亡。這一毀滅性爆炸發(fā)生后，引起的火災(zāi)持續(xù)了幾天，摧毀了大部分現(xiàn)場。調(diào)查[4]表明罐內(nèi)液位測量系統(tǒng)（監(jiān)控液位）和（自動(dòng)化）防過量裝載（開關(guān)）系統(tǒng)均失效。
　　事故調(diào)查帶來了安全管理方面的許多重要經(jīng)驗(yàn)。在本論文框架內(nèi)：報(bào)告指出了未采用國際IEC 61511標(biāo)準(zhǔn)原則的重要證據(jù)。
• 未進(jìn)行系統(tǒng)的危害辨識(shí)，導(dǎo)致徹底審核安全儀表的需要。
• 缺乏合適的風(fēng)險(xiǎn)水平評估，導(dǎo)致自動(dòng)安全系統(tǒng)要求有安全完整性等級。
• 未正確采用IEC介紹的安全管理系統(tǒng)。特別是：未按要求對安全完整性等級進(jìn)行正確的試驗(yàn)和維護(hù)。
　　兩次事故在行業(yè)內(nèi)的影響很大。甚至越來越多的公司開始采IEC安全完整性等級原則處理安全問題。管理機(jī)構(gòu)也逐漸要求采用安全完整性等級概念。
3  IEC 61508標(biāo)準(zhǔn)
　　有多安全才是足夠安全？你需要多少個(gè)保護(hù)系統(tǒng)，哪一類型的保護(hù)系統(tǒng)，以及保護(hù)系統(tǒng)需要有多可靠？什么能真正決定裝置的安全，相應(yīng)地在壽命周期內(nèi)的所有活動(dòng)中，我們?nèi)绾尾粩嘧�？本論文重點(diǎn)是涉及工藝裝置壽命周期安全的國際標(biāo)準(zhǔn)中介紹的壽命周期安全的綜合方法：IEC 61508（全面的）和IEC 61511（適用于加工工業(yè)的相同原則）
　　本論文講述了與裝置所需的風(fēng)險(xiǎn)降低相關(guān)的安全儀表系統(tǒng)的必要可靠性。顯然，為此目的，你需要知道：
• 裝置的風(fēng)險(xiǎn)
• 與安全儀表系統(tǒng)無關(guān)的風(fēng)險(xiǎn)降低（如：減壓閥/止回閥）
• 可接受的風(fēng)險(xiǎn)水平
• 安全系統(tǒng)的可靠性及其對生產(chǎn)裝置可用性的影響
　　標(biāo)準(zhǔn)陳述了用于執(zhí)行安全功能的由電氣和/或電子和/或可編程電子元件組成的系統(tǒng)（電氣/電子/可編程電子系統(tǒng)（E/E/PES）的壽命周期內(nèi)所有安全活動(dòng)的通用方法。多數(shù)情況下，使用若干依賴多種技術(shù)（如機(jī)械技術(shù)、液壓技術(shù)、氣動(dòng)技術(shù)、電氣技術(shù)、電子技術(shù)、可編程電子技術(shù)）的保護(hù)系統(tǒng)實(shí)現(xiàn)安全。因此，任何安全策略不僅必須考慮單個(gè)系統(tǒng)中的全部元件（如傳感器、控制裝置和執(zhí)行器），而且還必須考慮構(gòu)成安全相關(guān)系統(tǒng)總組合的全部安全相關(guān)系統(tǒng)。因此，當(dāng)標(biāo)準(zhǔn)主要涉及電氣/電子/可編程電子（E/E/PE）安全相關(guān)系統(tǒng)時(shí)，標(biāo)準(zhǔn)也會(huì)提供一個(gè)框架，框架內(nèi)需要考慮基于其他技術(shù)的安全相關(guān)系統(tǒng)。因此，沒有對下列不同技術(shù)做進(jìn)一步區(qū)別：       IEC 61508標(biāo)準(zhǔn)
• 采用基于風(fēng)險(xiǎn)的方法確定安全完整性等級要求。見圖1和圖2。
• 使用安全完整性等級（SIL）來說明安全相關(guān)系統(tǒng)將執(zhí)行的安全功能的安全完整性目標(biāo)等級。見圖2。
• 對與安全完整性等級相關(guān)的安全相關(guān)系統(tǒng)設(shè)置未達(dá)到目標(biāo)的數(shù)值測度（見表1）。
　　根據(jù)IEC概念，所有步驟需經(jīng)驗(yàn)證、歸檔、可審計(jì)并嵌入合適的（安全）管理系統(tǒng)。
4.  安全完整性等級劃分：風(fēng)險(xiǎn)分析/風(fēng)險(xiǎn)降低
　　安全儀表系統(tǒng)的安全完整性（失效概率）的目標(biāo)等級通過系統(tǒng)的風(fēng)險(xiǎn)分析確定的。IEC標(biāo)準(zhǔn)涉及人身安全。但是，工業(yè)中的實(shí)踐表明劃分方案也用于環(huán)境風(fēng)險(xiǎn)和/或經(jīng)濟(jì)損失（見下文）。圖2大體顯示了必要的風(fēng)險(xiǎn)降低。
　　圖2介紹了最常用的風(fēng)險(xiǎn)分析方法，稱為‘風(fēng)險(xiǎn)圖’（斯塔米卡邦也使用此方法）。這就產(chǎn)生了要求的安全完整性等級（SIL）。這些等級由圖2中指定的風(fēng)險(xiǎn)參數(shù)確定。
　　風(fēng)險(xiǎn)圖要求輸入下列項(xiàng)目：
• 事故情景發(fā)生頻率（無安全儀表系統(tǒng)），顯示為W1、W2和W3
• 安全儀表系統(tǒng)要求故障情況下發(fā)生人身事故的可能性（顯示為系數(shù)C）。
• 在危險(xiǎn)區(qū)的暴露時(shí)間（顯示為系數(shù)F）。
• 避免危害的可能性（顯示為系數(shù)P）。
　　透明、可證實(shí)的、已歸檔的上述參數(shù)的選擇將形成圖中顯示的數(shù)字：SIL a、SIL 1-4和SIL b。
　　IEC 61508標(biāo)準(zhǔn)僅給出對1-4級安全完整性的要求。SIL a（無具體的要求）可用于控制系統(tǒng)，但是實(shí)際上使用SIL b（通常需要重新設(shè)計(jì)）。
　　安全完整性等級的經(jīng)濟(jì)考慮
　　若安全儀表系統(tǒng)在要求時(shí)失效，會(huì)產(chǎn)生下列相關(guān)費(fèi)用：
工藝故障
• 生產(chǎn)損失或“停產(chǎn)時(shí)間”
• 額外的緊急維修
• 備用電源
• 災(zāi)難性故障
• 固定設(shè)備嚴(yán)重?fù)p壞，引起大量資本費(fèi)用
• 工廠人員受傷
　　這些費(fèi)用需要與安全儀表系統(tǒng)的壽命周期費(fèi)用保持平衡：
　　安全儀表系統(tǒng)的壽命周期費(fèi)用由擁有和操作安全儀表系統(tǒng)（SIS）的所有費(fèi)用構(gòu)成。壽命周期費(fèi)用的構(gòu)成包括：
設(shè)計(jì)、規(guī)格和采購
• 安裝
• 培訓(xùn)
• 操作和維修
　　對于安全完整性等級的經(jīng)濟(jì)劃分，需采用經(jīng)濟(jì)損失（如生產(chǎn)損失）分析圖。應(yīng)校準(zhǔn)圖，以反映運(yùn)行的經(jīng)濟(jì)情況：可接受的經(jīng)濟(jì)損失風(fēng)險(xiǎn)是什么？
　　舉例：如果使用經(jīng)濟(jì)風(fēng)險(xiǎn)圖（安全完整性等級的經(jīng)濟(jì)劃分）得出的結(jié)果為SIL 2，表示投資安全完整性等級為2級的安全儀表系統(tǒng)的壽命周期費(fèi)用是經(jīng)濟(jì)的，以減少事故發(fā)生頻率。
5  安全完整性等級驗(yàn)證
　　一旦確定安全完整性等級要求，相應(yīng)地需要設(shè)計(jì)將執(zhí)行安全功能的安全儀表系統(tǒng)（SIS）。安全儀表系統(tǒng)一般由啟動(dòng)裝置（傳感器、變送器）、邏輯運(yùn)算器（跳閘放大器、安全聯(lián)鎖裝置、故障安全輸出）和最終元件（如閥門）構(gòu)成。
　　概率要求
　　整個(gè)安全儀表系統(tǒng)需根據(jù)安全完整性等級符合要求故障概率（PFD）的要求，如下表1所示。
　　IEC標(biāo)準(zhǔn)中，描述了評估特定安全儀表系統(tǒng)安全完整性等級的要求故障概率的不同評估方法。所描述了其中兩種更常見的方法是可靠性方框圖和馬爾可夫模型。建模需要安全儀表系統(tǒng)中所用全部組件的故障概率、試驗(yàn)間隔時(shí)間、診斷覆蓋率百分比和修理時(shí)間等。

安全完整性等級（SIL）	低要求操作模式 （按要求執(zhí)行其設(shè)計(jì)功能的平均失效概率）
4	≥ 10-5至< 10-4
3	≥ 10-4至< 10-3
2	≥ 10-3至< 10-2
1	≥ 10-2至< 10-1

　　建筑要求
      依據(jù)使用組件的類型和‘安全故障分?jǐn)?shù)’，組件需冗余。這也被稱為硬件容錯(cuò)（HWFT）。詳情見[1]和[2]。
6  結(jié)  論
• 國際標(biāo)準(zhǔn)IEC 61508和相關(guān)的IEC 61511標(biāo)準(zhǔn)逐漸在全球作為安全儀表系統(tǒng)（SIS）設(shè)計(jì)/操作的系統(tǒng)方法的‘最佳實(shí)踐’。
• 事故數(shù)據(jù)表明需要系統(tǒng)的方法來設(shè)計(jì)、操作和維修安全儀表系統(tǒng)。此方法可與IEC 61508/ 61511標(biāo)準(zhǔn)結(jié)合使用。管理機(jī)構(gòu)不斷促進(jìn)該系統(tǒng)方法的使用。
• 安全完整性等級概念提供了將系統(tǒng)風(fēng)險(xiǎn)降至可接受低等級的手段。它用清晰且可證實(shí)的方法回答了此問題：有多安全才足夠安全？
• 目標(biāo)安全完整性等級設(shè)置了安全儀表系統(tǒng)的設(shè)計(jì)要求：概率要求（要求故障概率）和建筑（冗余）要求。
7 參考文獻(xiàn)
[1] 《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》， IEC 61508; www.iec.ch
[2] 《功能安全—加工工業(yè)部門用安全儀表系統(tǒng)》，IEC 6151. www.iec.ch
[3]
[3] 《煉油廠爆炸和火災(zāi)調(diào)查報(bào)告》；美國化學(xué)安全與危險(xiǎn)調(diào)查局，2007年3月。 www.csb.org
[4]  http://www.buncefieldinvestigation.gov.uk/index.htm