论文部分内容阅读
[摘 要]安全仪表系统的安全性是行业乃至国家的安全重点,诸多国内外的研究基础上,凸显出安全仪表系统潜在的安全风险。本文介绍了安全仪表系统在工业4.0浪潮的发展趋势,提出了功能安全概念,并且强调功能安全的重要性;并总结分析了安全仪表系统安全脆弱性的几个方面。在分析的基础上,本文根据国内外安全仪表系统功能安全防护的研究基础,强调切实有效的进行安全完整性评估,提出了设备全生命周期防护的理念。并简要介绍安全完整性相关概念,风险分析的方法与思路,以及安全完整性定级和验证的基本流程。并最终明确安全仪表系统的安全防护的本质是功能安全,在全生命周期管理中融入功能安全理念,才是安全仪表系统的安全防护之本。
[关键词]安全仪表系统;安全防护;功能安全;安全完整性
[中图分类号]TE36 [文献标志码]A [文章编号]2095–6487(2020)12–0–02
[Abstract]The safety of the safety instrumented system is the safety focus of the industry and even the country. Based on many domestic and foreign researches, the potential safety risks of the safety instrumented system are highlighted. This paper introduces the development trend of safety instrumented systems in the industry 4.0 wave, puts forward the concept of functional safety, and emphasizes the importance of functional safety; and summarizes and analyzes several aspects of safety vulnerabilities of safety instrumented systems. Based on the analysis, this paper emphasizes the practical and effective safety integrity assessment based on the research foundation of functional safety protection of safety instrumented systems at home and abroad, and puts forward the concept of equipment life cycle protection. It also briefly introduces the related concepts of safety integrity, risk analysis methods and ideas, and the basic process of safety integrity grading and verification. Finally, it is clear that the essence of the safety protection of the safety instrumented system is functional safety, and the integration of the functional safety concept into the full life cycle management is the foundation of the safety protection of the safety instrumented system.
[Keywords]safety instrumented system ; security; functional safety; safety integrity
安全是工业控制系统的灵魂,谈到工业控制系统安全,安全仪表系统是工业控制系统的重要组成部分,承担安全防护的重要职责。但国内工业控制系统安全防护仍处于起步阶段,功能安全概念的出现,从根本上阐述了工业控制系统安全防护的必要性及可行性[1]。
1 安全仪表系统与安全防护基本介绍
1.1 安全仪表系统现状
安全仪表系统(Safety instrumentation System,简称SIS)是由电气(Electric)、电子(Electronic)和可编程电子(Progamble E1ctronic) 技术构成的仪表化的安全系統。SIS由传感器、逻辑控制最终控制元件,以及电源等支持系统构成,用于当工艺参数超越预定的正常工况时,将工艺过程置于安全状态。常见的典型SIS应用包括紧急停车系统(Emergency Shutdown System, ESDS)、安全停车系统(Safety Shutdown System, SD)以及安全联锁系统(Safety Interlock System)。在石油化工生产装置生产正常时,SIS处于休眠或静止状态,生产装置或设施出现可能导致安全事故的情况时,能够瞬间准确动作,使生产过程安全停止运行或自动导入预定的安全状态[2]。
1.2 安全防护的相关概念
工业控制系统安全建设的难点在于其系统天然存在安全脆弱性,同时其应用的环境具有特殊性,集中应用在关键基础设施、重点行业上。
基于ISA/IEC62443列出的安防脆弱性包括软件缺陷、硬件失效、安防对策降级、证书重复使用、机密信息泄露、系统性错误导致误组态或配置。 2 安全仪表系统的安全防护现状
2.1 国内外安全仪表系统安全防护研究
国际上对安全仪表系统安全的研究起步早,标准多,形成了相对成熟的技术规范和标准体系,包括 ISA制定的用于制造业和控制系统安全标准ISA-99;国际电工委员会IEC/TC65/WG10制定的IEC61508电气/电子/可编程电子安全相关系统的功能安全、IEC61511过程工业领域安全仪表系统的功能安全;NS/ISA-S84.01(1996)安全仪表系统在过程工业中的应用;AICHE-1993化学过程的安全自动化导则。
国内从2010年逐渐制定相关国内标准,有关部门也下发了相应的文件,例如GB50770-2013《石油化工安全仪表系统设计规范》、安监总管三[2014]116号《关于加强化工安全仪表系统管理的指导意见》以及近年从IEC引入的功能安全相关的GB/T 20438-2017《电气 / 电子 / 可编程电子安全相关系统的功能安全》、GB/T 21109-2017《过程工业领域安全仪表系统的功能安全》。
3 安全仪表系统的功能安全
3.1 功能安全相关概念
安全仪表系统的功能安全,包含以下相关概念:
(1)安全完整性等级(Safety Integrity Level,简称SIL)用来规定分配给安全仪表系统的安全仪表功能的安全完整性要求的离散等级(4个等级中的一个),划分为4级(SIL1~SIL4,),SIL4是安全完整性最高的等级,SIL1是最低等级。
(2)安全仪表功能(Safety Instrumented Function,简称SIF)。具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是一个仪表安全保护功能,也可以是一个仪表安全控制功能。
(3)安全要求规范 (safety requirement specification,简称SRS)包含安全仪表系统应执行的仪表安全功能的所有要求的规范。
(4)安全完整性,安全仪表系统在规定时段内、在规定条件下满足执行要求的仪表安全功能的平均概率。
3.2 有效开展功能安全评估工作
安全仪表系统功能安全评估工作的目的:一是为了确保满足功能安全目的所必需的管理活动是否有效;二是评估安全仪表系统是否达到了要求的SIL。
评估的前期准备工作主要是资料的准备,包括HAZOP分析报告、风险可接受标准、其他资料(同HAZOP分析);仪表规格书、联锁逻辑图等。评估人员的配备,包括评估小组组长、记录员、其他成员(经过培训的有丰富经验的各专业人员及相关专家)[3]。评估工作首先应对生产装置进行过程危害分析(PHA),常用的方法有事故(事件)树分析、故障假设分析和危险与可操作性分析方法(HAZOP),目前比较常用的是HAZOP[4]。在过程危害分析(PHA)的基础上进行SIF辨识及SIL确定,这里需要运用保护层分析(LOPA),保护层分析(LOPA)是半定量的工艺危害分析方法之一,先分析未采取独立保护层之前的风险水平,通过参照一定的风险容许准则,再评估各种独立保护层将风险降低的程度,其基本特点是基于事故场景进行风险研究。通过对HAZOP的细化和完善,从HAZOP的结果数据开始,通过文档化引发原因和预防或减轻危险的保护层计算每个识别的危险。通过LOPA对确认的事故场景开展保护层分析,确认是否需要安全仪表功能SIF及SIL等级[5-6]。在对安全仪表功能SIF确定相应的SIL等级之后,需要进行SIL验证,包括SIS配置是否满足标准规范需求;按生命周期管理,有相应的安全要求规范及文档;SIF回路要求时的平均失效概(PFDavg)、硬件故障裕度(HFT)和平均失效时间(MTTF)等是否满足SIL等级要求[7]。SIL验证中的重要环节为失效概率(PFD)的计算,目前常用的方法为马尔可夫模型,同时需要包含在用安全仪表系统等设备的数据库[8]。
完成SIL验证后对于偏差较大的问题,特别是与安全要求规范偏差大的内容要进行修改完善,对日常管理中的不足进行纠正,最终根据SIL定级和SIL验证的结果,编制安全要求规格书,主要包含:项目概况、验证程序、验证清单、验证结论、建议等,用于指导后期的设备维护工作。
3.3 安全管理
在安全仪表系统功能安全概念中,全生命周期管理始终贯穿始终,不同于以往设备管理的概念,安全生命周期管理包含包括了系统的概念、范围定义、风险分析、安全分配要求、计划编制、设计与实现、安装试运行、操作维护修改、停用等。管理对象包括SIF回路 各阶段的工作、信息、硬件、软件、文档全生命周期各阶段的人员、部门、组织和其他单位。管理内容包括人员管理、工作管理、资产管理、变更管理、信息管理、文档管理、风险管理、维护管理。
4 结束语
安全仪表系统作为工业控制系统中的重要组成部分,其安全防护不可能一蹴而就,必须根据从设计源头、运行维护、变更、停用等全生命周期的各个环节做到本质安全,进而在安全性和适用性之间得以平衡。本文综述了安全仪表系统安全防护的现状,提出了切实的安全仪表的安全防护思路,希望为企业进行安全防护工作提供一些参考。
参考文献
[1] 陶海. 工控系统安全防护问题对策研究[J]. 现代工业经济和信息化, 2017,7(19):54-55.
[2] 陳立飞. 在役石化装置安全仪表系统SIL验证方法及日常管理的探讨[J]. 石油化工自动化, 2019, 55(6):1-5.
[3] 王若青, 孙成龙. 工艺过程危害分析在工程上的推广应用[J]. 石油化工安全环保技术, 2010(5):37-41.
[4] 方向荣, 庄力健, 袁文彬. 石化装置安全联锁系统(SIS)常用评估方法探讨[J]. 广州化工, 2010(1):199-201.
[5] 薛明. 浅议石化装置SIS系统安全等级的提高[J]. 河南化工, 2017(6):11.
[6] 靳江红, 吴宗之, 胡玢. 对功能安全基础标准IEC61508的研究[J]. 中国安全生产科学技术, 2009, 5(2):71-75.
[7] 李佳嘉. 贯穿于全生命周期的功能安全[J]. 自动化仪表, 2006, 27(s1):21-24.
[8] 刘建侯. 仪表型安全系统功能安全评估的应用研究[C].第七届工业仪表与自动化学术会议论文集, 2006.
[关键词]安全仪表系统;安全防护;功能安全;安全完整性
[中图分类号]TE36 [文献标志码]A [文章编号]2095–6487(2020)12–0–02
[Abstract]The safety of the safety instrumented system is the safety focus of the industry and even the country. Based on many domestic and foreign researches, the potential safety risks of the safety instrumented system are highlighted. This paper introduces the development trend of safety instrumented systems in the industry 4.0 wave, puts forward the concept of functional safety, and emphasizes the importance of functional safety; and summarizes and analyzes several aspects of safety vulnerabilities of safety instrumented systems. Based on the analysis, this paper emphasizes the practical and effective safety integrity assessment based on the research foundation of functional safety protection of safety instrumented systems at home and abroad, and puts forward the concept of equipment life cycle protection. It also briefly introduces the related concepts of safety integrity, risk analysis methods and ideas, and the basic process of safety integrity grading and verification. Finally, it is clear that the essence of the safety protection of the safety instrumented system is functional safety, and the integration of the functional safety concept into the full life cycle management is the foundation of the safety protection of the safety instrumented system.
[Keywords]safety instrumented system ; security; functional safety; safety integrity
安全是工业控制系统的灵魂,谈到工业控制系统安全,安全仪表系统是工业控制系统的重要组成部分,承担安全防护的重要职责。但国内工业控制系统安全防护仍处于起步阶段,功能安全概念的出现,从根本上阐述了工业控制系统安全防护的必要性及可行性[1]。
1 安全仪表系统与安全防护基本介绍
1.1 安全仪表系统现状
安全仪表系统(Safety instrumentation System,简称SIS)是由电气(Electric)、电子(Electronic)和可编程电子(Progamble E1ctronic) 技术构成的仪表化的安全系統。SIS由传感器、逻辑控制最终控制元件,以及电源等支持系统构成,用于当工艺参数超越预定的正常工况时,将工艺过程置于安全状态。常见的典型SIS应用包括紧急停车系统(Emergency Shutdown System, ESDS)、安全停车系统(Safety Shutdown System, SD)以及安全联锁系统(Safety Interlock System)。在石油化工生产装置生产正常时,SIS处于休眠或静止状态,生产装置或设施出现可能导致安全事故的情况时,能够瞬间准确动作,使生产过程安全停止运行或自动导入预定的安全状态[2]。
1.2 安全防护的相关概念
工业控制系统安全建设的难点在于其系统天然存在安全脆弱性,同时其应用的环境具有特殊性,集中应用在关键基础设施、重点行业上。
基于ISA/IEC62443列出的安防脆弱性包括软件缺陷、硬件失效、安防对策降级、证书重复使用、机密信息泄露、系统性错误导致误组态或配置。 2 安全仪表系统的安全防护现状
2.1 国内外安全仪表系统安全防护研究
国际上对安全仪表系统安全的研究起步早,标准多,形成了相对成熟的技术规范和标准体系,包括 ISA制定的用于制造业和控制系统安全标准ISA-99;国际电工委员会IEC/TC65/WG10制定的IEC61508电气/电子/可编程电子安全相关系统的功能安全、IEC61511过程工业领域安全仪表系统的功能安全;NS/ISA-S84.01(1996)安全仪表系统在过程工业中的应用;AICHE-1993化学过程的安全自动化导则。
国内从2010年逐渐制定相关国内标准,有关部门也下发了相应的文件,例如GB50770-2013《石油化工安全仪表系统设计规范》、安监总管三[2014]116号《关于加强化工安全仪表系统管理的指导意见》以及近年从IEC引入的功能安全相关的GB/T 20438-2017《电气 / 电子 / 可编程电子安全相关系统的功能安全》、GB/T 21109-2017《过程工业领域安全仪表系统的功能安全》。
3 安全仪表系统的功能安全
3.1 功能安全相关概念
安全仪表系统的功能安全,包含以下相关概念:
(1)安全完整性等级(Safety Integrity Level,简称SIL)用来规定分配给安全仪表系统的安全仪表功能的安全完整性要求的离散等级(4个等级中的一个),划分为4级(SIL1~SIL4,),SIL4是安全完整性最高的等级,SIL1是最低等级。
(2)安全仪表功能(Safety Instrumented Function,简称SIF)。具有某个特定SIL的,用以达到功能安全的安全功能,它既可以是一个仪表安全保护功能,也可以是一个仪表安全控制功能。
(3)安全要求规范 (safety requirement specification,简称SRS)包含安全仪表系统应执行的仪表安全功能的所有要求的规范。
(4)安全完整性,安全仪表系统在规定时段内、在规定条件下满足执行要求的仪表安全功能的平均概率。
3.2 有效开展功能安全评估工作
安全仪表系统功能安全评估工作的目的:一是为了确保满足功能安全目的所必需的管理活动是否有效;二是评估安全仪表系统是否达到了要求的SIL。
评估的前期准备工作主要是资料的准备,包括HAZOP分析报告、风险可接受标准、其他资料(同HAZOP分析);仪表规格书、联锁逻辑图等。评估人员的配备,包括评估小组组长、记录员、其他成员(经过培训的有丰富经验的各专业人员及相关专家)[3]。评估工作首先应对生产装置进行过程危害分析(PHA),常用的方法有事故(事件)树分析、故障假设分析和危险与可操作性分析方法(HAZOP),目前比较常用的是HAZOP[4]。在过程危害分析(PHA)的基础上进行SIF辨识及SIL确定,这里需要运用保护层分析(LOPA),保护层分析(LOPA)是半定量的工艺危害分析方法之一,先分析未采取独立保护层之前的风险水平,通过参照一定的风险容许准则,再评估各种独立保护层将风险降低的程度,其基本特点是基于事故场景进行风险研究。通过对HAZOP的细化和完善,从HAZOP的结果数据开始,通过文档化引发原因和预防或减轻危险的保护层计算每个识别的危险。通过LOPA对确认的事故场景开展保护层分析,确认是否需要安全仪表功能SIF及SIL等级[5-6]。在对安全仪表功能SIF确定相应的SIL等级之后,需要进行SIL验证,包括SIS配置是否满足标准规范需求;按生命周期管理,有相应的安全要求规范及文档;SIF回路要求时的平均失效概(PFDavg)、硬件故障裕度(HFT)和平均失效时间(MTTF)等是否满足SIL等级要求[7]。SIL验证中的重要环节为失效概率(PFD)的计算,目前常用的方法为马尔可夫模型,同时需要包含在用安全仪表系统等设备的数据库[8]。
完成SIL验证后对于偏差较大的问题,特别是与安全要求规范偏差大的内容要进行修改完善,对日常管理中的不足进行纠正,最终根据SIL定级和SIL验证的结果,编制安全要求规格书,主要包含:项目概况、验证程序、验证清单、验证结论、建议等,用于指导后期的设备维护工作。
3.3 安全管理
在安全仪表系统功能安全概念中,全生命周期管理始终贯穿始终,不同于以往设备管理的概念,安全生命周期管理包含包括了系统的概念、范围定义、风险分析、安全分配要求、计划编制、设计与实现、安装试运行、操作维护修改、停用等。管理对象包括SIF回路 各阶段的工作、信息、硬件、软件、文档全生命周期各阶段的人员、部门、组织和其他单位。管理内容包括人员管理、工作管理、资产管理、变更管理、信息管理、文档管理、风险管理、维护管理。
4 结束语
安全仪表系统作为工业控制系统中的重要组成部分,其安全防护不可能一蹴而就,必须根据从设计源头、运行维护、变更、停用等全生命周期的各个环节做到本质安全,进而在安全性和适用性之间得以平衡。本文综述了安全仪表系统安全防护的现状,提出了切实的安全仪表的安全防护思路,希望为企业进行安全防护工作提供一些参考。
参考文献
[1] 陶海. 工控系统安全防护问题对策研究[J]. 现代工业经济和信息化, 2017,7(19):54-55.
[2] 陳立飞. 在役石化装置安全仪表系统SIL验证方法及日常管理的探讨[J]. 石油化工自动化, 2019, 55(6):1-5.
[3] 王若青, 孙成龙. 工艺过程危害分析在工程上的推广应用[J]. 石油化工安全环保技术, 2010(5):37-41.
[4] 方向荣, 庄力健, 袁文彬. 石化装置安全联锁系统(SIS)常用评估方法探讨[J]. 广州化工, 2010(1):199-201.
[5] 薛明. 浅议石化装置SIS系统安全等级的提高[J]. 河南化工, 2017(6):11.
[6] 靳江红, 吴宗之, 胡玢. 对功能安全基础标准IEC61508的研究[J]. 中国安全生产科学技术, 2009, 5(2):71-75.
[7] 李佳嘉. 贯穿于全生命周期的功能安全[J]. 自动化仪表, 2006, 27(s1):21-24.
[8] 刘建侯. 仪表型安全系统功能安全评估的应用研究[C].第七届工业仪表与自动化学术会议论文集, 2006.