1　引言

安全生產(chǎn)與群眾的生命安全息息相關(guān)，隨著工業(yè)技術(shù)的發(fā)展，工藝越來越精密，工藝過程越來越復(fù)雜，風(fēng)險(xiǎn)也隨之加大。

下面列舉幾例事故：

·2011年8月29日上午10時(shí)06分，中石油大連石化分公司儲(chǔ)油罐發(fā)生爆炸火災(zāi)。爆炸發(fā)生后，引發(fā)大火并伴有濃濃的黑煙。

·2017年11月19日大連某石化發(fā)生硫化氫中毒事故，3死6傷。

·2011年7月16日14時(shí)25分，中石油大連石化公司廠區(qū)內(nèi)1000萬噸常減壓蒸餾裝置換熱器發(fā)生泄漏并引起大火。

以上事故只是石化生產(chǎn)事故的冰山一角。

從出現(xiàn)事故的成因分析，有設(shè)計(jì)原因、有工程質(zhì)量原因、有操作和維護(hù)原因、有管理原因，這些原因引發(fā)了人們的思考，究竟需要什么措施才能夠保障石化生產(chǎn)過程中的安全。

2　什么是風(fēng)險(xiǎn)？

在IEC61511中提到，風(fēng)險(xiǎn)是損害發(fā)生的概率和該損害嚴(yán)重性的組合。如果要把風(fēng)險(xiǎn)量化的話，那么可以得出一個(gè)公式：風(fēng)險(xiǎn)=頻率×后果。頻率是發(fā)生的概率，后果是發(fā)生的結(jié)果嚴(yán)重性。風(fēng)險(xiǎn)的影響是多種多樣的，有人員的傷亡、生產(chǎn)的損失、設(shè)備的損壞、環(huán)境的影響、企業(yè)形象等等，這些后果我們可以人為的界定哪些是可接受風(fēng)險(xiǎn)，哪些是不可接受風(fēng)險(xiǎn)。

那么風(fēng)險(xiǎn)是如何形成的？風(fēng)險(xiǎn)的形成是有先后順序的，如從一個(gè)化工企業(yè)生產(chǎn)來看，物料的運(yùn)輸、加熱、分離等工藝過程就是危險(xiǎn)源。事故的發(fā)生都由觸發(fā)事件觸發(fā)危險(xiǎn)，如人員操作不當(dāng)、設(shè)備故障失效等觸發(fā)事件。從危險(xiǎn)發(fā)生到事故有一個(gè)中間過程，如監(jiān)管不當(dāng)、密封不嚴(yán)，最后造成嚴(yán)重的后果。

3　什么是安全？什么是功能安全？

在石化生產(chǎn)過程中，安全分為職業(yè)安全和過程安全。

職業(yè)安全關(guān)注的是人員從事工作或受雇傭時(shí)，保護(hù)其人員安全、健康、福利保障方面不受侵害。

功能安全是將工程和管理融合在一起，專注于在使用或生產(chǎn)化學(xué)和石油產(chǎn)品有關(guān)的過程中，預(yù)防災(zāi)難性意外事故的發(fā)生，特別是爆炸、火災(zāi)以及有毒物質(zhì)的釋放。

功能安全在IEC61511中定義為：作為涉及工藝過程和基礎(chǔ)過程控制系統(tǒng)整體安全的一部分，依賴于安全儀表系統(tǒng)和其他保護(hù)層正確的實(shí)施其功能。所以功能安全也是整體安全中的一部分。

在一般的石化場(chǎng)站中，緊急停車系統(tǒng)、火氣系統(tǒng)都屬于功能安全的應(yīng)用。

圖1 整體安全內(nèi)的功能安全

4　功能安全是一道重要保護(hù)屏障

功能安全依賴于過程工業(yè)中應(yīng)用的安全儀表系統(tǒng)（SIS）。安全儀表系統(tǒng)（SIS）將不可接受風(fēng)險(xiǎn)通過檢測(cè)工藝生產(chǎn)過程中出現(xiàn)安全隱患時(shí)，運(yùn)行控制器內(nèi)部安全邏輯，控制被控設(shè)備執(zhí)行安全措施，最終達(dá)到可接受風(fēng)險(xiǎn)的程度。

降低風(fēng)險(xiǎn)有多層機(jī)制，這些保護(hù)機(jī)制形成保護(hù)層保護(hù)工業(yè)現(xiàn)場(chǎng)防止事故發(fā)生。這些保護(hù)層形成環(huán)來保護(hù)工業(yè)現(xiàn)場(chǎng)，被稱為陶氏洋蔥模型，如圖2所示。

圖2 功能安全保護(hù)層

良好的設(shè)計(jì)和工業(yè)基礎(chǔ)過程控制系統(tǒng)能夠減小風(fēng)險(xiǎn)的概率，關(guān)鍵報(bào)警人員響應(yīng)、安全儀表系統(tǒng)能夠防止出現(xiàn)危險(xiǎn)，泄壓設(shè)備、消防設(shè)施和全場(chǎng)緊急響應(yīng)能夠減小事故的嚴(yán)重性。

在石化生產(chǎn)過程中，并不是出現(xiàn)故障就一定會(huì)發(fā)生危險(xiǎn)，如某管道門站發(fā)生天然氣泄漏，在最初階段只有少量泄漏的天然氣并不會(huì)構(gòu)成威脅，隨著時(shí)間的推移，泄漏量越來越多，當(dāng)遇到火星或電磁信號(hào)等情況時(shí)，極有可能會(huì)發(fā)生火災(zāi)，更嚴(yán)重的會(huì)發(fā)生爆炸，造成嚴(yán)重事故。

所以，在石化生產(chǎn)過程中，功能安全是發(fā)生事故的最后一道屏障，在工藝、設(shè)備出現(xiàn)故障、控制系統(tǒng)紊亂、人員來不及響應(yīng)時(shí)，安全儀表系統(tǒng)能夠在不需要工作人員干預(yù)的情況下，自動(dòng)的執(zhí)行安全措施，防止事故的產(chǎn)生，防止人員安全受到傷害、防止財(cái)產(chǎn)損失、防止環(huán)境污染。

5　安全儀表系統(tǒng)（SIS）

按照IEC61511安全儀表系統(tǒng)（SIS）定義，安全儀表系統(tǒng)是用于執(zhí)行一個(gè)或多個(gè)安全功能的儀表系統(tǒng)。由傳感器、邏輯控制器以及最終元件的任意組合構(gòu)成的。

安全儀表系統(tǒng)分為幾種類型：儀表保護(hù)系統(tǒng)、安全聯(lián)鎖、安全相關(guān)系統(tǒng)、緊急停車系統(tǒng)、燃燒器管理系統(tǒng)、火氣系統(tǒng)、高完整性保護(hù)系統(tǒng)等，這些系統(tǒng)保護(hù)的對(duì)象不同、保護(hù)的形式不同，但是結(jié)構(gòu)是一樣的，都是由傳感器、邏輯控制器以及最終元件組成。

安全儀表系統(tǒng)是依托于自動(dòng)化技術(shù)發(fā)展而來，但是安全等級(jí)要高于過程控制系統(tǒng)，用安全完整性等級(jí)（SIL）來表示。在IEC61508中，規(guī)定了4個(gè)安全完整性等級(jí)（SIL1~4）。在工程設(shè)計(jì)階段，就需要確定安全要求，分析過程危險(xiǎn)，哪些設(shè)備具有安全相關(guān)功能，指定到哪些系統(tǒng)執(zhí)行安全功能，確定安全完整性等級(jí)。

安全儀表系統(tǒng)原則上與過程控制系統(tǒng)是分開的，是兩套相互獨(dú)立的系統(tǒng)。安全儀表系統(tǒng)在工業(yè)現(xiàn)場(chǎng)不會(huì)干預(yù)正常的生產(chǎn)過程，不會(huì)連鎖過程控制系統(tǒng)中的傳感器與執(zhí)行器，當(dāng)生產(chǎn)過程出現(xiàn)安全隱患時(shí)，安全儀表系統(tǒng)迅速執(zhí)行關(guān)斷、停車等命令，保障人員生命安全和設(shè)備不受破壞。

6　安全生命周期及危險(xiǎn)辨識(shí)

安全生命周期伴隨整個(gè)工藝生命周期。從整個(gè)安全生命周期的設(shè)計(jì)階段開始到最后報(bào)廢，都需要對(duì)功能安全進(jìn)行管理。指定相關(guān)人員在功能安全管理中的責(zé)任，對(duì)電子安全相關(guān)系統(tǒng)或整個(gè)過程控制系統(tǒng)生命周期一個(gè)或多個(gè)階段以及軟件安全方面負(fù)責(zé)。指定在功能安全管理中負(fù)有相應(yīng)責(zé)任的人員，及需要執(zhí)行的各項(xiàng)活動(dòng)。

在安全生命周期中，要進(jìn)行危險(xiǎn)辨識(shí)和SIL定級(jí)。首先要建立過程的安全目標(biāo)，定義什么是可接受風(fēng)險(xiǎn)，什么是不可接受風(fēng)險(xiǎn)。安全目標(biāo)確定后進(jìn)行危險(xiǎn)和風(fēng)險(xiǎn)分析，評(píng)估存在的風(fēng)險(xiǎn)，其中危險(xiǎn)和風(fēng)險(xiǎn)分析評(píng)估最常用的就是危險(xiǎn)與可操作性（HAZOP）研究與失效模式和影響分析（FMEA）。

危險(xiǎn)與可操作性（HAZOP）研究旨在辨識(shí)與設(shè)計(jì)意圖可能存在的偏差，檢查偏差出現(xiàn)可能的原因，并評(píng)估他們的后果。危險(xiǎn)與可操作性（HAZOP）研究是對(duì)整個(gè)過程進(jìn)行考察分析研究，將研究對(duì)象劃分為若干個(gè)區(qū)塊，對(duì)每一個(gè)區(qū)塊進(jìn)行說明其功能和正常的運(yùn)行狀態(tài)，然后對(duì)每個(gè)區(qū)塊的每一個(gè)過程環(huán)節(jié)、每一個(gè)細(xì)節(jié)提出問題，如某個(gè)管道的壓力、容器的溫度等提出可能與設(shè)計(jì)要求出現(xiàn)不一致的情況（發(fā)生偏差），對(duì)過程中的工藝條件和開停車條件以及自然條件影響下分析可能出現(xiàn)偏差的原因并分析這些原因引發(fā)的后果及嚴(yán)重性。

失效模式和影響分析（FMEA）從元件的失效特征和工程的系統(tǒng)機(jī)構(gòu)開始，確定元件失效與系統(tǒng)失效、故障、操作約束、性能的降級(jí)或完整性方面之間的關(guān)系。目的是為了收集并整理出子系統(tǒng)失效率數(shù)據(jù)，例如變送器或邏輯控制器，并改進(jìn)安全功能的可靠性。首先定義系統(tǒng)及其功能最低限度的操作要求，生成功能和可靠性方塊圖和數(shù)學(xué)模型等，辨識(shí)失效模式及其產(chǎn)生的原因和影響，辨識(shí)失效檢測(cè)、隔離措施及其方法，確定事件的嚴(yán)重性、評(píng)估失效概率。

在評(píng)估風(fēng)險(xiǎn)的結(jié)果里，對(duì)比設(shè)計(jì)初設(shè)定的安全目標(biāo)是否能夠達(dá)到可接受風(fēng)險(xiǎn)的范圍。如果評(píng)估的結(jié)果是不可接受風(fēng)險(xiǎn)，就要將必要的風(fēng)險(xiǎn)降低到可接受的范圍。降低風(fēng)險(xiǎn)的措施是加入安全儀表功能（SIF）并確定安全完整性（SIL）。安全完整性與風(fēng)險(xiǎn)成倒數(shù)關(guān)系，SIL級(jí)別越高，風(fēng)險(xiǎn)降的越低。

對(duì)于每一個(gè)需要加入安全儀表功能（SIF）的場(chǎng)景需要將安全完整性等級(jí)（SIL）定級(jí)。安全完整性（SIL）的定級(jí)可以用保護(hù)層分析（LOPA）來確定。保護(hù)層分析（LOPA）可以通過分析來確定是否需要安全儀表功能（SIF），如果需要，確定每個(gè)安全儀表功能（SIF）需要的安全完整性等級(jí)（SIL）?？疾旆治鏊形ｋU(xiǎn)發(fā)生的根源，以及預(yù)期的事件每年發(fā)生的頻率，確定發(fā)生頻率是否能夠通過一系列的保護(hù)措施減小，如人工操作程序、硬接線報(bào)警、控制系統(tǒng)、安全閥等，確定這些非SIF保護(hù)措施減輕頻率的總和，與目標(biāo)頻率（例如1危險(xiǎn)事件/10000接受風(fēng)險(xiǎn)的標(biāo)準(zhǔn)）之間存在的任何風(fēng)險(xiǎn)降低缺口，然后采取安全儀表功能來填補(bǔ)這些缺口。

在石化現(xiàn)場(chǎng)的安裝調(diào)試中，按照安全儀表規(guī)格書和施工圖安裝安全儀表系統(tǒng)（SIS），通過檢驗(yàn)和測(cè)試，對(duì)安裝和調(diào)試后的安全儀表系統(tǒng)及其關(guān)聯(lián)的安全儀表功能進(jìn)行確認(rèn)來證明確實(shí)達(dá)到安全要求技術(shù)規(guī)格書陳述的全部要求。

在石化實(shí)際的生產(chǎn)過程中，所有的操作和維護(hù)必須確保保持每個(gè)安全儀表功能（SIF）。安全儀表系統(tǒng)（SIS）也需要定期的維護(hù)和保養(yǎng)，在維護(hù)和保養(yǎng)期間，也需保持設(shè)計(jì)的功能安全。

7　結(jié)論
功能安全可以通過量化風(fēng)險(xiǎn)、計(jì)算失效概率得出符合要求的安全儀表功能并確定安全完整性等級(jí)，使之有效地減少發(fā)生事故的概率，防止擴(kuò)大事故的嚴(yán)重性。隨著石油化工中自動(dòng)化應(yīng)用占比越來越多，操作與管理人員的精簡(jiǎn)，防護(hù)水平也隨之降低，功能安全彌補(bǔ)了防護(hù)的缺失，增強(qiáng)防護(hù)水平，是犧牲生產(chǎn)效益保障安全的最低防線。

參考文獻(xiàn)：

[1] 國(guó)際電工委員會(huì). IEC61508-2000 電氣/電子/可編程電子安全系統(tǒng)的功能安全[S].

[2] 國(guó)際電工委員會(huì). IEC 61511-2016 過程工業(yè)安全儀表系統(tǒng)的功能安全[S].

[3] 髙繼實(shí), 潘輝. 安全儀表系統(tǒng)SIL定級(jí)的意義[J]. 化工設(shè)計(jì)通訊. 2017, (09).

[4] 楊沙沙, 安垚, 孫嘯, 張思楊, 吳鑫鑫, 陳妍君. 安全儀表系統(tǒng)的功能安全評(píng)估現(xiàn)狀[J]. 化工自動(dòng)化及儀表. 2017, (09).

[5] 吳承剛. 化工裝置安全儀表系統(tǒng)功能安全評(píng)估體系的研究與應(yīng)用[J]. 工設(shè)計(jì)通訊. 2017, (01).

[6] 王曉飛, 韓瀟, 郭小紅. 安全儀表系統(tǒng)安全完整性等級(jí)分析方法的應(yīng)用研究[J]. 西部煤化工. 2015, (02).

[7] 林融. 石油化工大安全理念——功能安全相關(guān)技術(shù)標(biāo)準(zhǔn)的應(yīng)用與進(jìn)展[J]. 中國(guó)儀器儀表. 2014, (S1).

[8] 史學(xué)玲, 馮曉升. 功能安全與安全完整性等級(jí)綜述[J]. 自動(dòng)化博覽. 2013, (03).

[9] 方來華. 安全系統(tǒng)的功能安全的發(fā)展及實(shí)施建議[J]. 中國(guó)安全生產(chǎn)科學(xué)技術(shù). 2012, (09).

作者簡(jiǎn)介：

劉靜波（1987-），男，河北唐山人，工程師，自動(dòng)化專業(yè)，現(xiàn)就職于北京安控科技股份有限公司，主要研究方向?yàn)橛吞镒詣?dòng)化、SCADA及通信系統(tǒng)，RTU/PLC設(shè)計(jì)，管道自動(dòng)化及安全儀表系統(tǒng)。

摘自《自動(dòng)化博覽》2019年2月刊