评估过程安全系统

如果您的公司最近购买了一个现有的工艺装置:您如何检查和评估已到位的现有工艺安全系统?这些系统真的能够提供足够的安全性吗?它们是否符合现行标准?是否存在不符合OSHA或其他法规的风险?这些问题可能令人困惑，而且可能很复杂，但答案是有的。这个答案不仅可以提高安全性，还可能节省成本。

从1996年ISA 84.01开始的功能安全标准，描述了安全系统分析、设计和维护的工程过程，称为安全生命周期(SLC)。最新版本在IEC 61511:2003(也称为ISA 84.00.01-2004)中有详细描述。指导原则是:

1. 风险分析导致安全系统的风险降低要求
2. 基于性能的设计评估，以及
3. 一个维护过程，维护安全系统。

这种基于性能的方法并没有提供一套详细的设计规则，而是提供一个框架来确定真正需要的安全级别以及任何给定设计已经达到的安全级别。这正是评估现有过程安全系统所需的框架。

SLC包括三个阶段:分析、实现和维护。在分析阶段，如图1所示，确定了对安全设备的需求。所有者/操作员将分析一个或多个过程单元，以识别称为危险的潜在危险条件。当每一种危险被确定后，其后果(可能有多糟糕?)和可能性(发生的频率有多高?)就会被估计或分析。可能性和后果的结合产生了对每种危害风险的估计。这部分过程被称为过程危害分析(PHA)，几十年来一直是一种常见的实践。PHA最常用的技术是称为HAZOP的危险和操作研究。

以类似的方式，您将对必须在安全系统设计中解决的网络安全威胁进行分析。ISA 99.00.01-2007将指导您的团队定义风险，确定解决工艺装置设计中固有风险的方法。您将使用区域(设备、网络设备、流程和数据的分组)和管道(用于区域之间通信的方法)设计一个实现模型(框架)。

任何精心设计的风险评估方法都应包括以下要素:

1.确定需要保护的资产(人员、流程、设备、信息、化学品等)
2.确定妥协对每项资产的后果(生产损失、健康/安全影响、环境影响等)
3.考虑到预期的保障措施，确定这些资产的脆弱性
4.确定对这些资产的威胁(盗窃、滥用、损坏、系统故障等)，以及
5.计算剩余风险。

你们将使用ISA 99.02.01-2009对通过管道进入区域的入口点进行高级别风险评估。可以进行更详细的分析，以确定哪些区域可能受到攻击，假设第一个区域已被破坏。此外，您将考虑可能的妥协情况，并设想对这些妥协的缓解或保护措施。

根据HAZOP提供的信息，将危害清单和每种危害的估计风险与公司建立的可容忍风险标准进行比较。风险降低系数是估计固有风险与可容忍风险的比率。如果不需要降低风险，则不需要安全系统保护设备。针对特定危险的防护设备称为安全仪表功能(SIF)。风险比较的结果显示，根据最新的可容忍风险标准，需要在哪些地方进行SIF，以及需要多少SIF。这在安全需求规范(SRS)中有记录。

SLC的下一个阶段，如图2所示，是一次完成一个SIF的概念和详细设计。在概念设计过程中，每个SIF的设备都进行了选择和论证。计划任何需要的设备冗余，并建立验证测试方法和时间间隔。最后，通过计算和核对表比较，对所提出的设计进行性能分析。如果概念设计不符合要求，则进行修改，直到满足要求为止。如果有几种满足要求的方法，则选择最优的方法。然后设计团队继续进行下一个SIF。当所有的概念设计都完成后，详细设计工作就完成了，并形成文件。然后通常进行工厂验收测试。根据建议的SIF，审查系统的网络安全态势。

工厂验收测试应该包括一个非常详细和完整的网络安全渗透测试。在运行的系统上测试网络安全漏洞是非常困难的。工厂验收测试和随后的现场验收测试是确保整个系统网络安全的理想时间，因为所有风险都已减轻或处于系统设计用于适应的风险水平。

安装和调试在安全生命周期的第三阶段开始时完成，如图3所示。当所有试运行测试完成后，将进行审计，以验证所有安全文档都已完成，并且所有sif都是根据原始要求设计、测试和试运行的。作为安全验证的一部分，维护所需的所有程序和文件都已完成。网络安全站点验收测试也应该是该过程的一部分，因为网络威胁现在代表着安全系统风险。一旦安全系统准备就绪，这个过程就可以开始了。在工艺的持续运行过程中，根据SIF性能评估期间建立的时间表定期进行证明测试。重要的是要在每次证明试验中对发现的情况进行良好的记录，并定期对结果进行评估。

为现有流程使用SLC

鉴于对安全生命周期的简要介绍，它可能对现有流程没有用处。人们当然可以看到，IEC标准的编写就好像正在设计和实施一个新的系统。然而，这些原则和框架非常适合现有的系统评估。

现有系统的评估从第一阶段开始:分析。大多数现有工厂已经完成了HAZOP，因为这是许多国家法规所要求的。如果不存在或无法找到，那么第一步是执行过程危害分析。如果发现现有HAZOP，第一步是彻底审查它，以确保它是最新的。如果不存在可容忍风险标准，则必须建立可容忍风险标准。大多数公司都有这样的标准，可能嵌入在SIL的选择程序中。

可以举行SIL选择研讨会，由工厂的团队确定任何必要的sif以及所需的风险降低。这可以记录在安全要求规范中。然后，可以将根据最新风险标准所需的sif与实际安装的sif进行比较。在某些情况下，已经发现不必要的设备到位。如果维护费用很小，这些设备可以留在原地，或者如果它造成了误起，则可以将其移除。可能还需要安装一些新的sif或升级的设备。

在现有系统安全生命周期的第二阶段，根据最新的风险标准评估所需的已安装SIF设备列表。对新设计进行的相同性能评估也可以在现有设备上进行。每个现有设备SIF有三种可能的结果:

1. SIF不符合安全标准
2. SIF符合安全标准，或者
3. SIF超过安全标准。

结果1:不符合要求的sif需要改进。这可以像更频繁的证明测试一样简单。可以对不同的证明试验间隔和不同的证明试验技术进行评价，以找到最优的证明试验集。如果更频繁的证明测试是不可能的或不实际的，旧的仪器仪表和控制设备可以替换为最新的安全认证设备。所有设备都应通过记录之前的使用分析或使用安全认证的设备来证明其合理性。

结果2:现有的sif满足要求只需要设备论证。对于所有已通过安全认证的设备，确保证书有适当的文件记录。对于所有未经安全认证的设备，记录使用前的分析。

结果3:超过要求的sif可以考虑减少验证测试频率。更改为较长的证明测试间隔通常会降低测试和维护成本。在几年前进行的研究中，当时新框架还在起草阶段，很大比例的sif是“过度设计的”。当然，这取决于最初设计时所使用的设计方法。但这些研究表明，在满足可容忍的风险标准的同时，实际上有很好的潜力降低持续的维护成本。

在安全生命周期的第三阶段，SIF设备的维护和维修与以前基本相同，可能的例外是更好的证明测试程序和不同的证明测试间隔。许多公司没有一个良好的故障和证明测试数据的记录保存系统，在这个时候实施一个。这样做是为了确定其他改进的机会。这些数据收集系统已经确定了改进操作的方法，主要是减少误起和改进维护程序。

在功能安全标准中描述的框架与安全生命周期一起工作，为评估早在新标准编写之前就设计好的现有系统提供了一个极好的蓝图，然而这涉及到一些工作。工厂管理层可能希望召开一天左右的快速审查会议，虽然这可能有用，但没有什么可以替代良好的工程分析:让数字来回答问题。通过使用自动化工程工具，可以大大减少工作量。一些供应商有第一阶段、第二阶段和第三阶段的安全生命周期工具。这些工具通常允许在HAZOP期间输入或输入HAZOP结果。在此基础上，可以自动识别sif并快速完成评估计算，而无需使用电子表格进行这些操作所需的深入知识。遵循IEC 61511框架的基于工具的方法是评估现有安全系统的极好方法。干净的文档不仅提供了未来改进的路线图，而且提供了可靠的、可辩护的尽职调查证据(如果曾经被监管机构审计)。

William Goble, CSFE博士，exida的首席工程师。雷·韦伯，CISSP，是exida的高级安全工程师。

www.exida.com

---

参考文献

1.ANSI/ISA-84.01-1996(1996年2月15日批准)过程工业安全仪表系统的应用三角研究园:ISA, 1996年。
2.ANSI/ISA-84.00.01-2004，第1-3部分(IEC 61511-1-3 Mod) -功能安全:过程工业部门安全仪表系统。三角研究园:ISA, 2004年。
3.安全生命周期海报，exida.com，塞勒斯维尔，宾夕法尼亚州，2010。
4.Hartmann, H.， Scharpf, E.， Thomas, H.，实用SIL目标选择-根据IEC 61511安全生命周期的风险分析，exida.com, Sellersville, PA, 2012。
5.Goble, W.， SIS设备:选择和论证，白皮书，www.exida.com，宾夕法尼亚州塞勒斯维尔，2012年。
6.Goble, W.，理解安全标准“事先使用证明”要求，控制工程欧洲， 2008年6 / 7月。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。