自關(guān)于SIS安全儀表系統(tǒng)的官方指導(dǎo)文件-安監(jiān)總管三[2014]116號(hào)發(fā)布以來，國內(nèi)SIS相關(guān)的評(píng)估、設(shè)計(jì)及改造等一系列工作就如火如荼的開展以來。在這個(gè)文件實(shí)施的過程中，不可避免的遇到了一些比較棘手的問題，例如：儀表和閥門必須有SIL等級(jí)認(rèn)證嗎？SIS系統(tǒng)(包括儀表和閥門)的檢驗(yàn)周期到底如何確認(rèn)？SIS系統(tǒng)相關(guān)的檢驗(yàn)測(cè)試應(yīng)如何執(zhí)行？非典型的重點(diǎn)監(jiān)管工藝是否需要上SIS？僅涉及到較少量的重點(diǎn)監(jiān)管的危險(xiǎn)化學(xué)品，是否必須上SIS？精細(xì)化工在進(jìn)行SIL定級(jí)時(shí)如何結(jié)合反應(yīng)熱風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行綜合評(píng)估？在役裝置的功能安全評(píng)估報(bào)告是什么文件，如何執(zhí)行？

針對(duì)"在役裝置的功能安全評(píng)估報(bào)告是什么文件，如何執(zhí)行？"這個(gè)問題，近年來經(jīng)常有不同企業(yè)的反饋：某某專家提出了企業(yè)需要補(bǔ)充“功能安全評(píng)估報(bào)告”，企業(yè)會(huì)及時(shí)與第三方咨詢單位及設(shè)計(jì)院進(jìn)行溝通，很多得到的答復(fù)是不知道在役裝置的功能安全評(píng)估報(bào)告主要講述的是什么內(nèi)容。昌暉儀表從多個(gè)法規(guī)和標(biāo)準(zhǔn)的角度解讀“在役裝置功能安全評(píng)估”的來源及執(zhí)行要求、在役裝置功能安全評(píng)估報(bào)告的內(nèi)容與編制。

一、《國家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見》安監(jiān)總管三[2014]116號(hào)文，怎么說？
根據(jù)企業(yè)反饋的多數(shù)專家檢查意見，可以看出其主要依據(jù)是116號(hào)文中的第六項(xiàng)內(nèi)容，具體描述如下：

六、積極推進(jìn)在役安全儀表系統(tǒng)評(píng)估工作：

(十四)涉及“兩重點(diǎn)一重大”在役生產(chǎn)裝置或設(shè)施的化工企業(yè)和危險(xiǎn)化學(xué)品儲(chǔ)存單位，要在全面開展過程危險(xiǎn)分析(如危險(xiǎn)與可操作性分析)基礎(chǔ)上，通過風(fēng)險(xiǎn)分析確定安全儀表功能及其風(fēng)險(xiǎn)降低要求，并盡快評(píng)估現(xiàn)有安全儀表功能是否滿足風(fēng)險(xiǎn)降低要求。

(十五)企業(yè)應(yīng)在評(píng)估基礎(chǔ)上，制定安全儀表系統(tǒng)管理方案和定期檢驗(yàn)測(cè)試計(jì)劃。對(duì)于不滿足要求的安全儀表功能，要制定相關(guān)維護(hù)方案和整改計(jì)劃，2019年底前完成安全儀表系統(tǒng)評(píng)估和完善工作。其他化工裝置、危險(xiǎn)化學(xué)品儲(chǔ)存設(shè)施，要參照本意見要求實(shí)施。

解讀：從上述條款的描述可以看出來，相關(guān)的評(píng)估工作主要包含了HAZOP→SIL定級(jí)→SIL驗(yàn)證，三項(xiàng)主要內(nèi)容?！氨M快評(píng)估現(xiàn)有安全儀表功能是否滿足風(fēng)險(xiǎn)降低要求”這句話應(yīng)該如何理解呢？考慮到國內(nèi)?；髽I(yè)SIS系統(tǒng)推進(jìn)的歷程，有一部分部分企業(yè)先有了SIS系統(tǒng)(多數(shù)是來自國外的工藝包或者參考以往的設(shè)計(jì)經(jīng)驗(yàn))再進(jìn)行補(bǔ)充SIL評(píng)估的情況，走的是拿來主義的思路，至于為什么要設(shè)置這些SIS，很多企業(yè)是不清楚來源的。實(shí)際上按照GBT20438/21109等相關(guān)標(biāo)準(zhǔn)中SIS系統(tǒng)生命周期的要求，是先進(jìn)行相關(guān)的風(fēng)險(xiǎn)分析和辨識(shí)，再進(jìn)行相關(guān)評(píng)估工作(可以采用LOPA保護(hù)層、風(fēng)險(xiǎn)圖表及風(fēng)險(xiǎn)矩陣等方法)，其后才進(jìn)行SIS系統(tǒng)的相關(guān)設(shè)計(jì)工作。因此這部分工作的核心，就是針對(duì)相關(guān)的場(chǎng)景或者SIF回路進(jìn)行SIL等級(jí)評(píng)估和實(shí)際SIL等級(jí)的驗(yàn)證。

二、《GB/T21109-2007過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》，怎么說？
GB/T21109的第一部分中對(duì)功能安全評(píng)估進(jìn)行了定義，原文如下：功能安全評(píng)估functional safety assessment：基于證據(jù)的調(diào)查，以判定由一個(gè)或者多個(gè)保護(hù)層所實(shí)現(xiàn)的功能安全。功能安全審核functional safety audit：對(duì)于按計(jì)劃安排的功能安全要求專用的規(guī)范是否有效地執(zhí)行并滿意的進(jìn)行系統(tǒng)地、獨(dú)立的檢查。備注：功能安全審核可以作為功能安全評(píng)估的一部分。

功能能安全評(píng)估(FSA)的使用是證明一個(gè)安全儀表系統(tǒng) (SIS)滿足儀表安全功能和安全完整性等級(jí)(SIL)要求的基礎(chǔ)。這種評(píng)估的基本目的是通過系統(tǒng)開發(fā)過程的獨(dú)立評(píng)估來證明符合一致同意的標(biāo)準(zhǔn)和慣例。在各個(gè)生命周期階段，可能都需要對(duì)SIS進(jìn)行一次評(píng)估。為了進(jìn)行一次有效的評(píng)估，應(yīng)擬定一個(gè)定義該評(píng)估范圍的規(guī)程以及評(píng)估組組成的指南。

GB/T21109中給出了開展功能能安全評(píng)估工作的5個(gè)階段，如下圖所示：



其中階段4和階段5是針對(duì)企業(yè)運(yùn)行維護(hù)和SIS變更后的功能安全評(píng)估，在這個(gè)評(píng)估過程中需要進(jìn)行的相關(guān)重點(diǎn)內(nèi)容如下：

解讀：根據(jù)GB/T21109的要求，SIS系統(tǒng)生命周期的幾個(gè)階段都需要進(jìn)行相關(guān)的評(píng)估工作，其目的很簡單就是確認(rèn)現(xiàn)有的保護(hù)層所實(shí)現(xiàn)的功能安全是否可以滿足要求，因此在不同的階段執(zhí)行的內(nèi)容是不同的。在役企業(yè)需要執(zhí)行的功能安全評(píng)估，實(shí)際上包含了我們通常執(zhí)行的HAZOP、SRS、SIL定級(jí)和SIL驗(yàn)算等一系列工作內(nèi)容，部分其他內(nèi)容可能未在具體的文件中體現(xiàn)出來，但是不代表企業(yè)沒有執(zhí)行。因此該部分工作如何執(zhí)行，執(zhí)行到什么樣的尺度，除參考國家的相關(guān)法規(guī)外，還需要結(jié)合不同區(qū)域及企業(yè)的需求來進(jìn)行編制。

三、《GB/T20438-2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全》，怎么說？
GB/T20438-2017電氣電子可編程電子安全相關(guān)系統(tǒng)的功能安全進(jìn)行了定義，原文如下：功能安全評(píng)估 functional safety assessment：通過調(diào)查，依據(jù)證據(jù)來判定一個(gè)或者多個(gè)E/E/PE安全相關(guān)系統(tǒng)和/或其他風(fēng)險(xiǎn)降低措施實(shí)現(xiàn)的功能安全。功能安全審核 functional safety audit：系統(tǒng)的、獨(dú)立的檢查，用以確定符合計(jì)劃安排的功能安全要求的規(guī)程是否有效地執(zhí)行并滿意的達(dá)到規(guī)定的目的。備注：功能安全審核可以作為功能安全評(píng)估的一部分。

GB/T20438-2017中規(guī)定，應(yīng)對(duì)整體安全生命周期、安全儀表系統(tǒng)全生命周期和軟件全生命周期的所有階段進(jìn)行安全功能評(píng)估FSA，包括文檔、驗(yàn)證和功能安全管理。FSA可以在生命周期的每個(gè)階段后，或在幾個(gè)安全生命周期階段之后開展，最重要的是FSA必須在真正的危險(xiǎn)出現(xiàn)之前進(jìn)行。

解讀：GB/T20438對(duì)功能安全評(píng)估的定義和GB/T21109略有區(qū)別，但是本質(zhì)還是核實(shí)和確認(rèn)各個(gè)保護(hù)層是否滿足可靠性的要求，在這個(gè)評(píng)估的過程中需要結(jié)合不同階段的輸入資料進(jìn)行逐一確認(rèn)，因此整體執(zhí)行的思路和GB/T21109還是相近的。

四、《 GB/T50770-2013石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》，怎么說？
工程方案設(shè)計(jì)宜包括初步的過程危險(xiǎn)分析、主要安全控制策略和措施及相應(yīng)的說明。

過程危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估宜包括識(shí)別過程及相關(guān)設(shè)備的危險(xiǎn)事件及原因，危險(xiǎn)事件發(fā)生的順序，可能性及后果，確定降低風(fēng)險(xiǎn)的要求和措施，確定安全儀表功能等。過程危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估宜采用危險(xiǎn)和可操作性研究方法或預(yù)危險(xiǎn)分析方法，也可采用安全檢查表、故障模式和影響分析、因果分析方法等。

保護(hù)層安全功能的分配可包括分配預(yù)防、控制或減緩過程危險(xiǎn)的保護(hù)層安全功能，分配安全儀表功能的風(fēng)險(xiǎn)降低目標(biāo)。保護(hù)層的安全功能分配應(yīng)符合現(xiàn)行國家標(biāo)準(zhǔn)(電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》GB/T20438和《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全)GB/T21109的有關(guān)規(guī)定。

安全完整性等級(jí)可根據(jù)過程危險(xiǎn)分析和保護(hù)層功能分配的結(jié)果評(píng)估并確定。

安全儀表系統(tǒng)技術(shù)要求可包括安全儀表功能及安全完整性等級(jí)、過程安全狀態(tài)、操作模式、檢驗(yàn)測(cè)試間隔時(shí)間等。

解讀：GB/T50770-2013沒有對(duì)功能安全評(píng)估進(jìn)行明確的定義，但是對(duì)一些列的評(píng)估進(jìn)行了簡要的介紹。從上述內(nèi)容可以看出來，主要過程危險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)估方法還是HAZOP、LOPA保護(hù)層分等技術(shù)，沒有額外提出新的要求，但是實(shí)際上還需要補(bǔ)充一下現(xiàn)有SIS系統(tǒng)的SIL驗(yàn)證報(bào)告，結(jié)合企業(yè)實(shí)際的檢驗(yàn)測(cè)試周期、儀表失效數(shù)據(jù)、表決機(jī)制等進(jìn)行實(shí)際等級(jí)的核算。

五、功能安全評(píng)估報(bào)告應(yīng)如何編制？
功能安全評(píng)估結(jié)束后，應(yīng)按照要求編制功能安全評(píng)估報(bào)告，一份完整的功能安全評(píng)估報(bào)告可包括如下內(nèi)容：
? 評(píng)估范圍
? 評(píng)估人員及職責(zé)
? 所有文檔和所檢查的文檔版本號(hào)的列表
? 評(píng)估的依據(jù)
? 評(píng)估的流程
? 評(píng)估的實(shí)施及記錄表
? 評(píng)估的結(jié)論
? 批準(zhǔn)和跟蹤

各階段可根據(jù)項(xiàng)目內(nèi)容、監(jiān)管文件、標(biāo)準(zhǔn)規(guī)范制定評(píng)估表，以表格的方式進(jìn)行檢查評(píng)估，減少依靠過高專業(yè)經(jīng)驗(yàn)的主觀判斷，避免遺漏。

對(duì)于國內(nèi)項(xiàng)目檢查驗(yàn)收時(shí)要求提供功能安全評(píng)估報(bào)告時(shí)，可提供啟動(dòng)前安全檢查PSSR報(bào)告(FSA的階段3)；其他階段也可根據(jù)需要，進(jìn)行安全功能評(píng)估，并形成文檔；評(píng)估的次數(shù)取決于項(xiàng)目的規(guī)模和復(fù)雜程度。

執(zhí)行功能安全評(píng)估能夠針對(duì)功能安全完成的實(shí)際情況進(jìn)行階段性的及時(shí)確認(rèn)和修改，減少后續(xù)階段的變更和返工，用健全的、可追溯的文檔證明項(xiàng)目符合IEC61508和IEC61511的要求。
作者：馮雙虎