1 引  言
　　工藝裝置的安全技術措施需與風險水平相關。直到數(shù)年前，也無合適標準確定安全技術措施的必要性和評估安全技術措施所需的可靠性。有多安全才足夠安全？
　　引入IEC 61508標準[1]和加工工業(yè)相關IEC 61511標準[2]后，已填補了此空白。給出了基于風險的方法，由此產(chǎn)生安全完整性等級（SIL）。根據(jù)安全完整性等級（1-4），這些標準規(guī)定了對安全儀表系統(tǒng)的要求。這些國際標準也指出了對管理系統(tǒng)的要求，以確保在所有階段保持這些標準。
　　IEC標準在球的使用日益廣泛。所有大公司均遵循安全完整性等級概念，包括斯塔米卡邦公司所屬的帝斯曼集團（DSM）。這意味著尿素設計的安全方法完全符合基于IEC 61508標準的國際最佳實踐。
　　對裝置安全而言，安全完整性等級概念有很多重要優(yōu)點。
• 把風險降至可接受水平的系統(tǒng)的、清晰的、可證實的方法。
• 最佳成本效益狀況：‘符合目的’安全性以及裝置的不利停車或干擾最少。
• 安全儀表系統(tǒng)（SIS）的設計基于安全完整性等級要求。這包括冗余要求和試驗間隔時間。
• 全球協(xié)調方法。
本論文講述安全完整性等級方法的本質及其優(yōu)點。
2  2005年的兩次重大事故
　　說明加工工業(yè)中最近兩次重大事故的成因過程中，能最好地說明安全技術措施系統(tǒng)方法中安全的重要性，未采用安全完整性等級概念導致了這兩次事故。2005年的兩次事故簡述如下：兩次事故的直接原因是容器/塔中危險物品、易燃/易爆物品裝載過滿。引起的爆炸和火災是毀滅性的。
　　1 2005年3月23日，美國得克薩斯城煉油廠爆炸
　　15人死亡，170多人受傷。不同的獨立機構對此事故進行了徹底調查[3]。安全管理不到位，導致（a.o）未進行充分的危害辨識（HAZOP）和防止過量裝載的安全儀表不足。
　　2 2005年12月11日，英國邦斯菲爾德油庫爆炸
　　40多人受傷，幸運的是無人死亡。這一毀滅性爆炸發(fā)生后，引起的火災持續(xù)了幾天，摧毀了大部分現(xiàn)場。調查[4]表明罐內液位測量系統(tǒng)（監(jiān)控液位）和（自動化）防過量裝載（開關）系統(tǒng)均失效。
　　事故調查帶來了安全管理方面的許多重要經(jīng)驗。在本論文框架內：報告指出了未采用國際IEC 61511標準原則的重要證據(jù)。
• 未進行系統(tǒng)的危害辨識，導致徹底審核安全儀表的需要。
• 缺乏合適的風險水平評估，導致自動安全系統(tǒng)要求有安全完整性等級。
• 未正確采用IEC介紹的安全管理系統(tǒng)。特別是：未按要求對安全完整性等級進行正確的試驗和維護。
　　兩次事故在行業(yè)內的影響很大。甚至越來越多的公司開始采IEC安全完整性等級原則處理安全問題。管理機構也逐漸要求采用安全完整性等級概念。
3  IEC 61508標準
　　有多安全才是足夠安全？你需要多少個保護系統(tǒng)，哪一類型的保護系統(tǒng)，以及保護系統(tǒng)需要有多可靠？什么能真正決定裝置的安全，相應地在壽命周期內的所有活動中，我們如何不斷做？本論文重點是涉及工藝裝置壽命周期安全的國際標準中介紹的壽命周期安全的綜合方法：IEC 61508（全面的）和IEC 61511（適用于加工工業(yè)的相同原則）
　　本論文講述了與裝置所需的風險降低相關的安全儀表系統(tǒng)的必要可靠性。顯然，為此目的，你需要知道：
• 裝置的風險
• 與安全儀表系統(tǒng)無關的風險降低（如：減壓閥/止回閥）
• 可接受的風險水平
• 安全系統(tǒng)的可靠性及其對生產(chǎn)裝置可用性的影響
　　標準陳述了用于執(zhí)行安全功能的由電氣和/或電子和/或可編程電子元件組成的系統(tǒng)（電氣/電子/可編程電子系統(tǒng)（E/E/PES）的壽命周期內所有安全活動的通用方法。多數(shù)情況下，使用若干依賴多種技術（如機械技術、液壓技術、氣動技術、電氣技術、電子技術、可編程電子技術）的保護系統(tǒng)實現(xiàn)安全。因此，任何安全策略不僅必須考慮單個系統(tǒng)中的全部元件（如傳感器、控制裝置和執(zhí)行器），而且還必須考慮構成安全相關系統(tǒng)總組合的全部安全相關系統(tǒng)。因此，當標準主要涉及電氣/電子/可編程電子（E/E/PE）安全相關系統(tǒng)時，標準也會提供一個框架，框架內需要考慮基于其他技術的安全相關系統(tǒng)。因此，沒有對下列不同技術做進一步區(qū)別：       IEC 61508標準
• 采用基于風險的方法確定安全完整性等級要求。見圖1和圖2。
• 使用安全完整性等級（SIL）來說明安全相關系統(tǒng)將執(zhí)行的安全功能的安全完整性目標等級。見圖2。
• 對與安全完整性等級相關的安全相關系統(tǒng)設置未達到目標的數(shù)值測度（見表1）。
　　根據(jù)IEC概念，所有步驟需經(jīng)驗證、歸檔、可審計并嵌入合適的（安全）管理系統(tǒng)。
4.  安全完整性等級劃分：風險分析/風險降低
　　安全儀表系統(tǒng)的安全完整性（失效概率）的目標等級通過系統(tǒng)的風險分析確定的。IEC標準涉及人身安全。但是，工業(yè)中的實踐表明劃分方案也用于環(huán)境風險和/或經(jīng)濟損失（見下文）。圖2大體顯示了必要的風險降低。
　　圖2介紹了最常用的風險分析方法，稱為‘風險圖’（斯塔米卡邦也使用此方法）。這就產(chǎn)生了要求的安全完整性等級（SIL）。這些等級由圖2中指定的風險參數(shù)確定。
　　風險圖要求輸入下列項目：
• 事故情景發(fā)生頻率（無安全儀表系統(tǒng)），顯示為W1、W2和W3
• 安全儀表系統(tǒng)要求故障情況下發(fā)生人身事故的可能性（顯示為系數(shù)C）。
• 在危險區(qū)的暴露時間（顯示為系數(shù)F）。
• 避免危害的可能性（顯示為系數(shù)P）。
　　透明、可證實的、已歸檔的上述參數(shù)的選擇將形成圖中顯示的數(shù)字：SIL a、SIL 1-4和SIL b。
　　IEC 61508標準僅給出對1-4級安全完整性的要求。SIL a（無具體的要求）可用于控制系統(tǒng)，但是實際上使用SIL b（通常需要重新設計）。
　　安全完整性等級的經(jīng)濟考慮
　　若安全儀表系統(tǒng)在要求時失效，會產(chǎn)生下列相關費用：
工藝故障
• 生產(chǎn)損失或“停產(chǎn)時間”
• 額外的緊急維修
• 備用電源
• 災難性故障
• 固定設備嚴重損壞，引起大量資本費用
• 工廠人員受傷
　　這些費用需要與安全儀表系統(tǒng)的壽命周期費用保持平衡：
　　安全儀表系統(tǒng)的壽命周期費用由擁有和操作安全儀表系統(tǒng)（SIS）的所有費用構成。壽命周期費用的構成包括：
設計、規(guī)格和采購
• 安裝
• 培訓
• 操作和維修
　　對于安全完整性等級的經(jīng)濟劃分，需采用經(jīng)濟損失（如生產(chǎn)損失）分析圖。應校準圖，以反映運行的經(jīng)濟情況：可接受的經(jīng)濟損失風險是什么？
　　舉例：如果使用經(jīng)濟風險圖（安全完整性等級的經(jīng)濟劃分）得出的結果為SIL 2，表示投資安全完整性等級為2級的安全儀表系統(tǒng)的壽命周期費用是經(jīng)濟的，以減少事故發(fā)生頻率。
5  安全完整性等級驗證
　　一旦確定安全完整性等級要求，相應地需要設計將執(zhí)行安全功能的安全儀表系統(tǒng)（SIS）。安全儀表系統(tǒng)一般由啟動裝置（傳感器、變送器）、邏輯運算器（跳閘放大器、安全聯(lián)鎖裝置、故障安全輸出）和最終元件（如閥門）構成。
　　概率要求
　　整個安全儀表系統(tǒng)需根據(jù)安全完整性等級符合要求故障概率（PFD）的要求，如下表1所示。
　　IEC標準中，描述了評估特定安全儀表系統(tǒng)安全完整性等級的要求故障概率的不同評估方法。所描述了其中兩種更常見的方法是可靠性方框圖和馬爾可夫模型。建模需要安全儀表系統(tǒng)中所用全部組件的故障概率、試驗間隔時間、診斷覆蓋率百分比和修理時間等。

安全完整性等級（SIL）	低要求操作模式 （按要求執(zhí)行其設計功能的平均失效概率）
4	≥ 10-5至< 10-4
3	≥ 10-4至< 10-3
2	≥ 10-3至< 10-2
1	≥ 10-2至< 10-1

　　建筑要求
      依據(jù)使用組件的類型和‘安全故障分數(shù)’，組件需冗余。這也被稱為硬件容錯（HWFT）。詳情見[1]和[2]。
6  結  論
• 國際標準IEC 61508和相關的IEC 61511標準逐漸在全球作為安全儀表系統(tǒng)（SIS）設計/操作的系統(tǒng)方法的‘最佳實踐’。
• 事故數(shù)據(jù)表明需要系統(tǒng)的方法來設計、操作和維修安全儀表系統(tǒng)。此方法可與IEC 61508/ 61511標準結合使用。管理機構不斷促進該系統(tǒng)方法的使用。
• 安全完整性等級概念提供了將系統(tǒng)風險降至可接受低等級的手段。它用清晰且可證實的方法回答了此問題：有多安全才足夠安全？
• 目標安全完整性等級設置了安全儀表系統(tǒng)的設計要求：概率要求（要求故障概率）和建筑（冗余）要求。
7 參考文獻
[1] 《電氣/電子/可編程電子安全相關系統(tǒng)的功能安全》， IEC 61508; www.iec.ch
[2] 《功能安全—加工工業(yè)部門用安全儀表系統(tǒng)》，IEC 6151. www.iec.ch
[3]
[3] 《煉油廠爆炸和火災調查報告》；美國化學安全與危險調查局，2007年3月。 www.csb.org
[4]  http://www.buncefieldinvestigation.gov.uk/index.htm