自關于SIS安全儀表系統的官方指導文件-安監總管三[2014]116號發布以來，國內SIS相關的評估、設計及改造等一系列工作就如火如荼的開展以來。在這個文件實施的過程中，不可避免的遇到了一些比較棘手的問題，例如：儀表和閥門必須有SIL等級認證嗎？SIS系統(包括儀表和閥門)的檢驗周期到底如何確認？SIS系統相關的檢驗測試應如何執行？非典型的重點監管工藝是否需要上SIS？僅涉及到較少量的重點監管的危險化學品，是否必須上SIS？精細化工在進行SIL定級時如何結合反應熱風險評估的結果進行綜合評估？在役裝置的功能安全評估報告是什么文件，如何執行？

針對"在役裝置的功能安全評估報告是什么文件，如何執行？"這個問題，近年來經常有不同企業的反饋：某某專家提出了企業需要補充“功能安全評估報告”，企業會及時與第三方咨詢單位及設計院進行溝通，很多得到的答復是不知道在役裝置的功能安全評估報告主要講述的是什么內容。昌暉儀表從多個法規和標準的角度解讀“在役裝置功能安全評估”的來源及執行要求、在役裝置功能安全評估報告的內容與編制。

一、《國家安全監管總局關于加強化工安全儀表系統管理的指導意見》安監總管三[2014]116號文，怎么說？
根據企業反饋的多數專家檢查意見，可以看出其主要依據是116號文中的第六項內容，具體描述如下：

六、積極推進在役安全儀表系統評估工作：

(十四)涉及“兩重點一重大”在役生產裝置或設施的化工企業和危險化學品儲存單位，要在全面開展過程危險分析(如危險與可操作性分析)基礎上，通過風險分析確定安全儀表功能及其風險降低要求，并盡快評估現有安全儀表功能是否滿足風險降低要求。

(十五)企業應在評估基礎上，制定安全儀表系統管理方案和定期檢驗測試計劃。對于不滿足要求的安全儀表功能，要制定相關維護方案和整改計劃，2019年底前完成安全儀表系統評估和完善工作。其他化工裝置、危險化學品儲存設施，要參照本意見要求實施。

解讀：從上述條款的描述可以看出來，相關的評估工作主要包含了HAZOP→SIL定級→SIL驗證，三項主要內容?！氨M快評估現有安全儀表功能是否滿足風險降低要求”這句話應該如何理解呢？考慮到國內危化企業SIS系統推進的歷程，有一部分部分企業先有了SIS系統(多數是來自國外的工藝包或者參考以往的設計經驗)再進行補充SIL評估的情況，走的是拿來主義的思路，至于為什么要設置這些SIS，很多企業是不清楚來源的。實際上按照GBT20438/21109等相關標準中SIS系統生命周期的要求，是先進行相關的風險分析和辨識，再進行相關評估工作(可以采用LOPA保護層、風險圖表及風險矩陣等方法)，其后才進行SIS系統的相關設計工作。因此這部分工作的核心，就是針對相關的場景或者SIF回路進行SIL等級評估和實際SIL等級的驗證。

二、《GB/T21109-2007過程工業領域安全儀表系統的功能安全》，怎么說？
GB/T21109的第一部分中對功能安全評估進行了定義，原文如下：功能安全評估functional safety assessment：基于證據的調查，以判定由一個或者多個保護層所實現的功能安全。功能安全審核functional safety audit：對于按計劃安排的功能安全要求專用的規范是否有效地執行并滿意的進行系統地、獨立的檢查。備注：功能安全審核可以作為功能安全評估的一部分。

功能能安全評估(FSA)的使用是證明一個安全儀表系統 (SIS)滿足儀表安全功能和安全完整性等級(SIL)要求的基礎。這種評估的基本目的是通過系統開發過程的獨立評估來證明符合一致同意的標準和慣例。在各個生命周期階段，可能都需要對SIS進行一次評估。為了進行一次有效的評估，應擬定一個定義該評估范圍的規程以及評估組組成的指南。

GB/T21109中給出了開展功能能安全評估工作的5個階段，如下圖所示：



其中階段4和階段5是針對企業運行維護和SIS變更后的功能安全評估，在這個評估過程中需要進行的相關重點內容如下：

解讀：根據GB/T21109的要求，SIS系統生命周期的幾個階段都需要進行相關的評估工作，其目的很簡單就是確認現有的保護層所實現的功能安全是否可以滿足要求，因此在不同的階段執行的內容是不同的。在役企業需要執行的功能安全評估，實際上包含了我們通常執行的HAZOP、SRS、SIL定級和SIL驗算等一系列工作內容，部分其他內容可能未在具體的文件中體現出來，但是不代表企業沒有執行。因此該部分工作如何執行，執行到什么樣的尺度，除參考國家的相關法規外，還需要結合不同區域及企業的需求來進行編制。

三、《GB/T20438-2017電氣電子可編程電子安全相關系統的功能安全》，怎么說？
GB/T20438-2017電氣電子可編程電子安全相關系統的功能安全進行了定義，原文如下：功能安全評估 functional safety assessment：通過調查，依據證據來判定一個或者多個E/E/PE安全相關系統和/或其他風險降低措施實現的功能安全。功能安全審核 functional safety audit：系統的、獨立的檢查，用以確定符合計劃安排的功能安全要求的規程是否有效地執行并滿意的達到規定的目的。備注：功能安全審核可以作為功能安全評估的一部分。

GB/T20438-2017中規定，應對整體安全生命周期、安全儀表系統全生命周期和軟件全生命周期的所有階段進行安全功能評估FSA，包括文檔、驗證和功能安全管理。FSA可以在生命周期的每個階段后，或在幾個安全生命周期階段之后開展，最重要的是FSA必須在真正的危險出現之前進行。

解讀：GB/T20438對功能安全評估的定義和GB/T21109略有區別，但是本質還是核實和確認各個保護層是否滿足可靠性的要求，在這個評估的過程中需要結合不同階段的輸入資料進行逐一確認，因此整體執行的思路和GB/T21109還是相近的。

四、《 GB/T50770-2013石油化工安全儀表系統設計規范》，怎么說？
工程方案設計宜包括初步的過程危險分析、主要安全控制策略和措施及相應的說明。

過程危險分析和風險評估宜包括識別過程及相關設備的危險事件及原因，危險事件發生的順序，可能性及后果，確定降低風險的要求和措施，確定安全儀表功能等。過程危險分析和風險評估宜采用危險和可操作性研究方法或預危險分析方法，也可采用安全檢查表、故障模式和影響分析、因果分析方法等。

保護層安全功能的分配可包括分配預防、控制或減緩過程危險的保護層安全功能，分配安全儀表功能的風險降低目標。保護層的安全功能分配應符合現行國家標準(電氣/電子/可編程電子安全相關系統的功能安全》GB/T20438和《過程工業領域安全儀表系統的功能安全)GB/T21109的有關規定。

安全完整性等級可根據過程危險分析和保護層功能分配的結果評估并確定。

安全儀表系統技術要求可包括安全儀表功能及安全完整性等級、過程安全狀態、操作模式、檢驗測試間隔時間等。

解讀：GB/T50770-2013沒有對功能安全評估進行明確的定義，但是對一些列的評估進行了簡要的介紹。從上述內容可以看出來，主要過程危險分析和風險評估方法還是HAZOP、LOPA保護層分等技術，沒有額外提出新的要求，但是實際上還需要補充一下現有SIS系統的SIL驗證報告，結合企業實際的檢驗測試周期、儀表失效數據、表決機制等進行實際等級的核算。

五、功能安全評估報告應如何編制？
功能安全評估結束后，應按照要求編制功能安全評估報告，一份完整的功能安全評估報告可包括如下內容：
? 評估范圍
? 評估人員及職責
? 所有文檔和所檢查的文檔版本號的列表
? 評估的依據
? 評估的流程
? 評估的實施及記錄表
? 評估的結論
? 批準和跟蹤

各階段可根據項目內容、監管文件、標準規范制定評估表，以表格的方式進行檢查評估，減少依靠過高專業經驗的主觀判斷，避免遺漏。

對于國內項目檢查驗收時要求提供功能安全評估報告時，可提供啟動前安全檢查PSSR報告(FSA的階段3)；其他階段也可根據需要，進行安全功能評估，并形成文檔；評估的次數取決于項目的規模和復雜程度。

執行功能安全評估能夠針對功能安全完成的實際情況進行階段性的及時確認和修改，減少后續階段的變更和返工，用健全的、可追溯的文檔證明項目符合IEC61508和IEC61511的要求。
作者：馮雙虎