1

SIS的应用及其功能安全管理

Zhang JianguoTŰV Rheinland FS Expert (ID: 122/07)

2015年9月11日，上海

2

自我介绍张建国•霍尼韦尔安全咨询服务 顾问•全国工业过程测量和控制标准化委员会 (SAC/TC124) 委员•中国化学品安全协会授聘SIS专家• TŰV 莱茵功能安全专家和培训师

TŰV Rheinland FS Expert & Trainer (ID: 127/07) •在霍尼韦尔安全业务领域有十余年的工作经历•Email: Jianguo.zhang@honeywell.com

3

几个要点

• 安全是跨专业的学科• 建立基于大安全的统一的管理体系• “硬性规定”的标准与“基于绩效”的标准• SIS的完整性管理• 互联网+时代的安全管理

4

安全是跨专业的学科

5

安全是跨专业的学科

• 安全是跨专业的学科，常规专业人员很难满足安全管理和安全技术的需求；

• 以LOPA为例，分析人员是否真正了解各保护层所能达到的绩效水平（PFD）？在工程执行阶段是否能够实现要求的“核心属性”？在技术和管理上关键控制点在哪儿？

• 以SIS为例，它本质上是“仪表化的”或者“用仪表实现的”安全监控系统，是以DCS为代表的过程控制之外的另一领域或分支，这两者的用途和设计理念截然不同。SIS从业人员必须了解和掌握过程安全知识和功能安全体系；

• 各专业之间的交流、知识共享，以及在统一的安全管理指导原则下形成团队合作，才能保障安全。

保护层的核心属性

1. 独立性（Independence）2. 功能性（Functionality）3. 完整性（Integrity）4. 可靠性（Reliability）5. 可审计性（Auditability）6. 访问的安保（Access Security）7. 变更管理（Management Of Change）

6

建立基于大安全的统一的管理体系

工厂的安全目标和责任

• 关于加强化工过程安全管理的指导意见 -安监总管三〔2013〕88号

• 关于加强化工安全仪表系统管理的指导意见 -安监总管三〔2014〕116号

* RAGAGEP –Recommended and generally accepted good engineering practice

7

建立基于大安全的统一的管理体系

• IEC61511推荐了5个功能安全评估节点；• 在一些国家，将第三个节点（Stage3）称

为开车前安全审查（PSSR）；• 危险和风险评估、PSSR、周期性功能安全

审计、培训，以及变更管理等实质上都遵循过程安全管理（PSM）原则；

• 需要统一的安全文化、风险标准、评价方法、安全信息管理平台，统一的紧急响应、救助机制。

8

建立基于大安全的统一的管理体系

举例：

ESD- FGS – 安防 “三合一”整体安全管理解决方案， 构建统一协调的安全管控机制。

* 分布式系统结构（DSA - Distributed Server Architecture）

9

建立基于大安全的统一的管理体系

* 摘自：林融“石化工业构建大纵深防御功能安全体系的战略思考”讲演稿

安防系统（全局）

火气系统（工艺装置）

ESD（功能回路）

• ESDü 基于场景（Scenario-based)ü SIF/SIL (功能回路）• FGSü performance based FGS lifecycle

（ISA – TR84.00.07-2010）ü 3D模型模拟分析/假设（气云大小）分析

（Shell – DEP 32.30.20.11 – Gen.）• 安防（Security）ü 指挥决策ü 快速响应ü 人员定位跟踪ü 生产、消防、救助、人员疏散联动

10

“硬性规定”的标准与“基于绩效”的标准

• IEC61508/IEC61511标准是基于绩效的标准，它是方法论和指引；

• 以“风险”量化“安全”，以风险降低作为安全绩效水平的量度，探寻安全边界在哪儿；

• 以安全生命周期架构，阐述其技术活动和安全管理活动；• 找到安全边界• 量化安全绩效要求、量化SIS的安全有效性水平；• 通过对安全绩效水平的动态监控，以及风险降低要求的变

化，适时调整安全策略。

11

确保过程安全的措施 – 完整性管理

完整性管理：ü确保采取足够的措施，分析、设计、建造，以及操作和维护安全监控措施，例如

SIS；ü确保按照相应的法律法规、标准规范、工作流程、操作规程、质量保证体系、

RAGAGEP、功能安全管理体系贯彻到SIS的全生命周期；ü确保从业人员有足够的能力和资质

-- PlantPlant，， PeoplePeople，， ProcessesProcesses

SIS生命周期各阶段活动

12

修改?

选择SIS技术选择SIS结构

确定检验测试频度（策略）SIS详细设计

SIS 安装SIS 调试

SIS 投运的最终确认

工艺过程概念设计辨识潜在风险后果分析保护层分析

确立非SIS保护层确定SIF的SIL要求

形成SIS设计文件（SRS）

Yes

启动开车操作维护

周期性检验测试变更、修改停运

No

分析 工程执行 操作

修改?Yes No

需要的安全水平？(SIL定级 )

SIS设计如何才能达到安全要求？

(SIL实现 )

如何保持安全？(SIL维持 )

13

资料来源 : Technical ReportISA-TR84.00.04-2005 Part 2:Example Implementation ofANSI/ISA-84.00.01-2004 (IEC61511 Mod)Approved 1 December 2005

SIS生命周期分析阶段详细活动

14

10. SIS 安装、调试，以及开车前验收测试

安全要求规格书-

7. SIS 概念设计

7a. 选择技术

7b. 选择结构 冗余：1oo1,1oo2, 2oo3,1oo2D

7c. 确定测试策略

7d. 可靠性、安全性评估

SILs达到要求SIL

达到了吗?No

Yes

8. SIS 详细设计

工业数据库数据

制造商的安装说明9. 安装和调试计划

制造商失效率数据

详细设计文件 –回路图、接线图、盘柜排布图、逻辑组态、安装要求、调试要求，等等

制造商的安全手册

选择传感器、逻辑处理器，以及最终元件的技术

工程执行阶段-SIS/SIF设计、集成、安装，以及调试

SIS生命周期在工程执行阶段的详细活动

每个安全仪表功能的功能描述，目标SIL，与预防或减轻的风险，工艺参数，逻辑，旁路与维护要求，响应时间，等等

15

References for MI:• Guidelines forMechanical Integrity,CCPS

• Mechanical Integrity of Safety Instrumented Systems (SIS),TECHNICAL REPORT ISA-TR84.00.03-2012

SIS生命周期在操作阶段的详细活动

SIS的运行管理

16

主要工作：

•功能安全评估•功能安全审计（每3~5年）•定期的检验测试（Proof test）•变更管理（MOC）• SIS的完整性水平动态监控•机械完整性管理• ….

资料来源：

SINTEF技术报告

17

现场SIS操作的核心 – 完整性管理

•什么是机械完整性（MI）？确保设备（SIS）以安全的方式检验、维护、测试，以及操作，并与指定的风险降低要求相一致的管理体系。•mechanical integrity* management system assuring equipment is inspected, maintained, tested and operated in a safe manner consistent with its risk reduction allocation

•三个基本的MI活动：1. 通过设计和建造，将可靠性融入到SIS中2. 通过检验、测试、维护，以及运行状态监控，确保SIS的安全完整性得以保持3. 在出现失效和绩效降级时，及时成功地予以校正。

ISA-TR84.00.03-2012

18

qMI 计划编制§辨识设备和系统，是否被SIS MI 管理体系涵盖§确定用于各类设备的维护策略§收集并保存生命周期各阶段文档§定义人员的角色和责任，并确保有相应的资质§确保维护技能和培训§定义管理系统和绩效指标§施行组态管理和变更管理§履行功能安全审计，确保MI程序的执行符合要求

qMI 活动§制定计划并进行检验§制定计划并进行维修§制定计划并进行预防性维护§制定计划并进行标定§制定计划并进行检验测试§制定计划并进行旁路§定义通过/未通过的标准§编制确效计划和操作规程§编制工厂验收测试（FAT）、调试，以及现场验收测试（SAT）规程

ISA-TR84.00.03-2012 核心内容

19

机械完整性 （Mechanical Integrity） -

q机械完整性是确保关键设备在工艺装置的整个生命期内，适合于其用途的程序化活动；q机械完整性是OSHA过程安全法规要求的；q OSHA 1910.119(j) -“业主应该建立和执行书面的规程，保持过程设备完整性的持续。”包括下列设备：1.压力容器、热交换器、储罐；2.工艺管道系统 （包括管道设备，例如阀门）；3.卸压放空系统和设备 （安全阀、爆破片，等等）4.紧急停车系统；5.控制（监控仪表、 传感器、报警、联锁）; 以及6.泵、压缩机、鼓风机、搅拌器。

此外，消防系统、密封系统、减灾系统，以及公用工程系统，也要纳入到工厂的机械完整性系统保护。

20

SIS 的现场完整性管理需要ＭI程序q OSHA 1910.119 ( j)(6) 质量保证:-在新工厂和设备的建造中，业主应确保其设备适用于其用途。-进行相应的检查和检验，确保设备正确安装，并符合设计和制造商要求。q IEC61511 第5.2.5.3条:-执行必要的规程，评估SIS满足安全要求的绩效水平。q IEC61511 第11.5.3.1条: -要有适当的证据，表明仪表部件或子系统适用于SIS。q IEC61511 第16.3.1.5条: -在某些特定的时间周期（由最终用户确定），应该基于各种因素对SIS的测试频率进行重新评估，历史测试数据、工厂维护经验、硬件降级， 以及软件可靠性。

q IEC61511 是 SIS 工程公认的一般可接受的良好工程惯例（RAGAGEP）

q SIS MI程序的关键因素：1.人员要清楚自己的特定专业角色和责任，不论是工程、维护，

还是操作。2.设备和工具必须支持或满足MI的整个过程。适当的工具选择包括

工程/设计数据库，计算机化的维护管理系统，仪表和自动化系统的智能资产管理系统，等等。

3.工作步骤和规程必须促进工程、维护以及操作之间的相互协调配合，以便达到目标绩效水平。

21

ISA-TR84.00.07-2010

SIS的SIL评估 – 火气系统

2222

GCV (gas coverage Verification) Program®

23

动态的 -

• 季节• 老化、消耗、磨损• 生产能力要求• 工作时间/周末• 风向• 建造工作• 维护工作• 周期性检验与巡检• 周边植被、灌木，以及树木的影响• … 趋势 -

• 短期趋势-焊接作业-旁路操作-过量灌装

• 中期趋势-季节-没有按计划，滞后的维护和测试

• 长期趋势-侵蚀和腐蚀-老化-人员技能-环境的改变，设计基础发生改变

(Buncefield、黄岛管线事故…)

互联网+时代的安全管理

即使设计的风险降低能力相同，因操作方式、环境、和事故的时间点不同，导致实际的安全水平动态变化…

24

互联网+时代的安全管理

You don’t improve what you don’t measure!

资料来源：OGP

在多年前，CCPS、API等机构都提出了安全绩效指针的管控理念，今天，通过“大数据”，可实现对影响安全的KPI进行测量、分析，以及管控,,,

资料来源：OGP

25

互联网+时代的安全管理

n 不仅仅是“静态”地按照维护规程对SIS进行维护和检验，更要辨识它们的“动态”行为n 对SIS以及其它安全关键设备，也应该对其非直接的技术指标，例如腐蚀、振动、泄漏、物理和电磁环境，以及管理系统（包括人员能力、规程、文档、…）进行测量和监控

n IEC61511是基于绩效的（performance-based），但是它对SIS现场工作的要求，例如TI等一些周期性活动的规程要求，仍是基于“硬性”规定的。因此，对于SIS的安全绩效，挖掘合理的动态管控技术，适时调整测试和维护策略，是功能安全评估的着力点之一

n 在SIS的设计和工程执行阶段，遵循IEC61508/61511的方法论，而对于SIS的现场操作和维护，即如何保持SIL，应该着眼于资产/机械完整性管理程序（Asset /Mechanical integrity management）

n 建立先行指标（Leading Indicators)和滞后指标（Lagging Indicators） KPI和数据库，利用“大数据”、“云存储”、“物联网”等互联网+时代的理念和技术平台，实时测量、分析以及管控SIS以及关键安全设备的实际绩效水平

资料来源：Honeywell

谢谢！谢谢！

26