中石化股份有限公司 张志檩(1945-)男，河北衡水安平人，教授级高级工程师。毕业于中国科学技术大学无线电电子学系，一直在石油化工行业工作。曾任大庆石油化工总厂自动化处车间副主任、自动化研究室主任、信息中心主任，后调中国石化总部，先后任中国石化总公司经通信息公司、中国石化总公司信息中心、中国石化集团公司信息中心副主任兼总工程师、中国石化股份有限公司信息系统管理部副主任。被国务院授予享受国家政府律贴的有突出贡献的国家工程技术专家。

        工业化的推进，现代大工业的发展，在为人类生活提供丰富物质产品的同时，也屡屡造成了健康、安全、环保等诸多灾难和危害。特别是20世纪70年代以来，引发了一系列火灾、爆炸、毒气泄漏等重大灾难。
         1984 年12月3日凌晨，在印度博帕尔(Bhopal)市附近美国联合碳化物(Union Carbide)属下的联合碳化物(印度)有限公司(UCIL)农药厂，装有液态剧毒气体一异氰酸甲醋(Methyl lsocyanate., MIC)的储罐温度上升，压力过大，导致泄漏，浓雾状毒气游移于博帕尔市内外，经久不散，直至45吨剧毒气体泄漏殆尽。仅2天内就有2500余人丧生，最终死亡人数达2万5千人，还有5万多人失明，2万多人受到严重毒害，近8万人终身残疾，50多万人接受治疗，受影响的人口多达150余万，占博帕尔总人口的一半。这是一起震惊世界的惨案，是有史以来最残酷的工业污染事故。按说，农药厂的液化甲基异氰酸盐气体被储存在 3 个不锈钢制的双层储气罐中，为了防止罐内温度在烈日曝晒下升高，罐体大部分掩埋在地表以下。罐壁间还有致冷系统，以确保罐内毒气处于液化状态。万一罐壁破裂毒气外逸，专设净化器中和毒气。假如净化器失灵，自动点火装置可将毒气燃烧为无毒气体。然而，这些安全措施形同虚设，没有发挥任何作用。
        我国的安全生产形势也不容乐观，依然严峻。其中，职业千人死亡率是发达国家的5倍，压力容器万台爆炸事故率是其5~10倍。
       为了防止事故，减少损失，国外称为高度稳定运转的技术(SSOT,Supper Stable Operation Technology)是不可缺少的。图1为高可靠性的生产过程示意图。
                 
        另外，为了防止生产装置在危险状态下造成人身事故和减少环境污染，作为一种安全停车保护系统，并可进行潜在危险诊断的高效自诊断安全仪表系统(SIS, Safety instrumented system)正在取代以继电器方式为主的紧急故障停车系统( ESD, Emergency shut down)和消防系统(F&G, Fire&Gas System)，如图 2 所示。
                  
         工厂设计包括装置运行操作和运行性能设计，要综合考虑操作性、经济性、可靠性、安全性，即安全、稳定、长周期、满负荷、优质优化生产。装置设计要覆盖各种运转状况，安全设计也要覆盖各种运转情况。装置运行状态分类如图 3 所示。其中，保障安全的关键之一就是安全仪表系统。
                  
一、事故成因与防止
        人们对安全的基本认识是：由于经济、技术等条件制约，潜在的危险不能完全消灭，因此由潜在危险导致的事故灾害也就存在，所以就有安全问题。以前定义的安全是指完全没有危险(Hazardous)的状态，而现在认识的安全是不存在不能容许的风险(Risk)。所以，安全管理、安全手段是非常必要的。风险要素的关系表达式如图4所示。
                   
         事故的发生是在一定条件下潜在缺欠的显现化，并导致不同程度、不同形式的损失后果。以工厂事故为例，事故因果关联及原因分类如图 5 所示，缺欠形式如图 6 所示。
                   
                   
        美国安全工程师Heinrich(海因里希)在1931年出版的著作《安全事故预防：一个科学的方法》中提出了著名的“安全事故金字塔”法则，它是通过分析55万起工伤事故的发生概率得出的。该法则认为，在1个死亡重伤害事故背后，有29起轻伤害事故，在29起轻伤害事故背后，又有300起无伤害虚惊事件，以及大量的不安全行为和不安全状态存在。因此，灾害或事故(Accidents)是未预料事件的连锁。根据调查，多数的灾害或事故可以由以下公式表达：失控的危险因素十失防的危险目标二不希望出现的灾害或事故。即uncontrolled Hazards+ Uncontrolled Target= Unwanted Act(Accidents)。事故的因果关系和成因如图7、8所示。
                      
                      
        防护(Defenses)是从失控的危险(Uncontrolled Hazards)中将人员、资产、自然环境等被害对象进行最大程度的保护而采取的一切必要措施。安全防护系统包括硬件和软件。硬防护(Hard Defenses)指安全设备、装置和具有安全功能的阻档设施。软防护(Soft Defenses)包括操作程序、规则、制度、指示和培训。
       防护往往采取独立、分层的概念，一是加强防护，二是减少损失，三是节约成本。各层防护功能独立，互不干涉。故也称为层次防护见表1。
                      
        一个典型的化工装置的保护包括：工艺过程设计，基本调节、过程报警及操作员监视，紧急报警、操作员监视并且手动千预，自动安全仪表系统或紧急停车系统，物理保护(泄压阀、爆破膜)，工厂紧急响应，所在社区紧急响应。由此可见，从第二层到第四层都是由仪表及自控系统来实现。而仪表系统的最后一层保护一 SIS或ESD更是至关重要。
        降低风险、分层防护和导人安全仪表系统的方式为：(l) 为了将风险降低并控制在目标风险以下，首先有必要对风险进行评估和认定。(2)对于认定的风险，要设置安全阀和其他缓和设施，分层次将风险降低。(3)采取多层次降低风险措施后仍不充分时，则需导人安全仪表系统。如图9、10所示。
                      
                      
二、安全等级
       20世纪70－80年代，世界许多国家的工厂事故频繁发生，例如1974年英国的大事故、1976年意大利的大事故和1984年美国、印度的大事故等，受灾波及数十万人，经济损失数百亿。美国在石油化工领域的事故比日本多，最近30 年间，世界上资产损失最大的前100项事故有一半多发生在美国。其中又有一半是炼油厂。因此，针对安全的法规相继出台。
       安全是指人或物在一定环境中不发生危险和不受到损害的状态，而安全性是表明人或物在一个环境中对危险的损伤所能承受的最大能力，安全性的最终目标是避免事故的发生。为此，我国有“ 3c " (china Compulsory Certification)产品市场准入的强制性认证制度；对工业装置自动化系统要设置安全保护控制系统，并对其设置及安全要求等级进行了规定。ISA美国仪表学会称安全系统为安全仪表系统，对应ISA-S84.01标准，IEC国际电工委员会称安全要求等级为“安全完整性等级”( Safety Integrity Levels, SIL) ，国际标淮IEc61508的安全度等级划分见表2。
                       
        当人们均衡利害关系，认为所从事活动的危险程度可以接受时，则这种活动状态是安全的，这种危险程度对应的风险度就成为安全指标。
        由于工艺和生产设备特点不同，潜在危险不同，在发生危险结果之前的安全时间不同，此外还要考虑到实际事故发生的可能性及防止其发生可能性的结合，可以确定其风险等级。风险等级越高，则安全要求等级越高。
       确定安全度等级的步骤：首先对危险事件的发生频度按高、中、低三档分类。低者为f<10^-4／年，表示在工厂预估生命周期内，发生单次或复数次故障的概率非常小；中者为10^-2<f<10^-4／年，表示在工厂预估生命周期内，发生单次或复数次故障的概率小；高者为f>10^-2／年，表示在工厂预估周期内，可能发生预想的单一故障。其次，对危险事件结果进行分析，也按三个层次分类。一是轻微影响，危害范围可以限定在事故发生的局部范围；二是重大影响，可以引起重大伤害或致命伤害；三是扩大影响，受害程度是重大影响的5倍。最后，根据事故发生频度和伤害结果进行危险性评价，进而考虑导入安全仪表系统的效果，并决定安全度等级。一般而言，事故结果影响重大，而且发生频度高者，或者要求设置安全仪表系统的场合，则安全度等级要达到SIL3或SIL4。
                       
三、安全仪表系统的产生
       安全仪表系统包括安全连锁系统(Safety Interlocks)，紧急停车系统，安全关联系统(Safety Related System)，安全停车系统(Safety Shutdown System)，事故停车系统(Emergency and Process Shutdown, PSD)，仪表保护系统(Instrumented ProtectiVe System,IPS)等等。安全仪表系统对生产装置或设备可能发生的危险或不采取紧急措施将继续恶化的状态进行及时响应，使其进入一个预定义的安全停车工况，从而使危险和损失降到最低程度，保证生产、设备、环境和人员安全。安全仪表系统包括传感器、逻辑控制器和最终执行元件，能够按照一定的安全完整度等级(SIL,Safety Integrity Level)实现一个或多个安全功能(SIF, Safety Instrumented Function)。它是生产过程中的一种自动安全保护系统。安全仪表系统是由国际电工委员会( IEC)标准 IEC 61508及IEC 61511定义的专门用于安全的控制系统。这种专用的安全保护系统是20世纪80-90年代发展起来的，以其高可靠性和灵活性而受到高度重视和广泛应用。
        安全仪表系统遵照安全独立原则，独立于集散控制系统，并且其安全级别高于DCS，如图H所示。在正常情况下，ESD系统不需要人为干预。安全保护系统凌驾于生产过程控制之上，实时在线监测装置的安全性。只有当生产装置出现紧急情况时，不需要经过DCS系统，而直接由ESD发出保护连锁信号，对现场设备进行安全保护，避免危险扩散而造成巨大损失。人在危险时刻的判断和操作往往是滞后的、不可靠的。当操作人员面临生命危险时，要做出快速反应，其错误决策概率高达99.9％。因此设置独立于控制系统的安全连锁十分必要。
       为了保证生产安全，对安全仪表系统的设计非常重要。一是要具有高度的可靠性和可用性；二是要具有实时、快速、丰富的逻辑运算功能，能使整个工艺装置在安全时间内完成一系列开车、停车或局部停车的连锁动作，自动处理紧急事故等任务，要做到安全，和停车次数少，连续运行时间长，经济损失少。至于安全系统本身硬件的先进性、独立性、系统结构的冗余性、中间环节最少、机械结构和配线合理、适应苛刻环境以及故障安全型(fail to safety)的软件设计等均是安全系统的设计原则。除控制部分外，还有现场检测仪表和执行器也需满足上述要求。SIS的基本结构如图12所示。
                  
                 
        安全仪表系统分Z－1、Z－2、Z－3三类。Z－1类的安全系统可用性一般，一个中央CPU模块通过单总线与I/0模块相连，它与普通PLC不同之处为通过中央CPU的自我测试以及采用可测试I/O模块，失效时的输出也能保证安全状态等。Z-2类的安全系统可用性较高，中央CPU模块冗余，其他与Z-1相同，这样允许一个CPU模块出现故障，而另一个仍然维持正常工作。可用在AK5级安全要求等级以下的场合。Z-3类的安全系统可用性很高，结构为全冗余，即CPU模块、总线、I/O模块均双重化，用在 AK6级安全要求等级的场合，允许单通道在不超过1小时内将出故障的模块更换掉，保证生产不中断。对于安全要求等级为 AK7、AK8级的场合，还要考虑双重化冗余系统中结果比较不一致而无法判断对错的情况，则应采用三重模件冗余(TMR)方式，系统根据少数服从多数原则，即“3中取2”表决。目前还有四重冗余技术的应用。另外系统还应具有容错性，采用故障容错辅助软件技术(SIFT)，做到系统某部分出现故障时，仍可继续工作。安全系统冗余和容错的程度与其产品价格关系很大，所以应按应用安全等级选取不同级别的安全系统。
       安全仪表系统主要涉及安全检测技术和控制技术。为了获得工业危险源和工业生产运行的状态信息，则需要将其通过物理的、化学的或生物的等多种方法转化为可测量的物理量信号，这就是安全检测。它是作业环境安全与卫生条件、特种设备安全状态、生产过程超限或危险状态、操作人员不规范操作等各种不安全因素测量的总称。包括安全检测仪器仪表和安全检测系统。安全检测除了涉及常规的温度、压力、流量、液位检测外，还有成分组成浓度分析、烟雾检测、火光检测、噪声监测、机械振动检测等。工业装置的控制，实际上就是生产过程安全的控制。安全控制技术水平决定了工业装置的安全运行水平。工业过程安全控制通常简称为安全监控，具有安全检测和控制的双重综合能力。其控制方法一般包括过程控制、应急控制和综合安全控制系统。在比较完善的过程控制设计中，一般都要考虑工业参数的超限或异常、主辅设备异常甚至自动装置异常报警，危险因素检测，以及电力、热力、开停工等自动保护、应急处理、紧急停车等连锁、联动系统。但只是基本的初级的表层的；第二层次则是具有安全防范性质的应急控制技术。将安全监侧与应急控制结合在一体的仪器仪表或系统则称为安全监控仪器仪表或安全监控系统；第三层次则是动态过程控制与安全监控功能为一体的综合安全控制系统。包括过程控制、安全状态信息监测、实时仿真、应急控制、自诊断以及专家决策等。
四、安全仪表系统的市场
        随着安全仪表系统标准被更好地认识、理解和接受，以及全球制造业向中国和印度扩张，安全仪表系统的需求日益增加，安全仪表系统市场有了极大增长。 ARc Advisory 集团2008年一份名为《安全和关键控制系统全球展望-2012年前市场分析和预测》的报告指出，全球安全系统市场总值将从2007年的14亿多美元增长到2012 年的25亿多美元，年复合增长率超过12％。如图13所示。
                     
        如今大多数安全仪表系统(SIS)供应商，例如ABB、GE、霍尼韦尔、Invensys 、罗克韦尔、西门子和横河等，都同时是基本控制系统(BPCS)供应商。没有涉足 BPCS业务的SIS供应商则有HIMA和ICS TriPlex。新进人这一领域的公司则有艾默生、RTP和MTL。但是艾默生提供的结合了Delta V控制系统的Delta V SIS，自2005年底销售以来获得了相当大的市场份额。RTP的2500和MTL的Safety Net最近才获得TUv 的安全应用认证。经过认证的SIS产品一览表见表4。
                     
        目前，欧洲、中东和非洲是安全系统最大的市场，其次是亚洲和北美。北美市场正在缩小，而中国和印度领军的亚洲市场在迅速膨胀。大多数亚洲国家市场都比欧洲市场增长快，但由于欧洲市场本身规模大，亚洲市场要在规模上赶上欧洲还需要几年。另外，由于日本继续在安全保护领域使用继电器或逻辑器件，其可编程安全系统市场依然很小。
       自从IEC 61508通用安全标准、IEC 61511以及ANS班SA-84.00.01过程安全标准颁发以来，全世界的生产商对于安全问题有了新认识。都在进一步寻求高效的安全系统来进行保护。这导致对SIL2系统的需求增加，而对SIL3系统日益冷落。
       据“safety Instrumented Systems(SIS)in China"，不完全统计，2006年中国的安全仪表系统购置总数477台，约7.42亿元市场规模。Invensys-Triconex作为主要供应商，约占中国市场的三分之一。在中国的主要供应商有：
    ● ABB A/S
    ● CE Fanuc Automation
    ● HIMA Paul Hildebrandt
    ● Honeywell Safety Management Systems
    ● ICS Triplex
    ● Invensys－Triconex
    ● Rockwell Automation
    ● Siemens
    ● 横河电机有限公司
       安全仪表系统一般用作紧急停车系统(ESD)、燃烧管理系统(BMS)、火焰瓦斯检测系统(F&G)、高压保护系统(HIPPS, High Integrity Pressure Protection system)和PL防护系统(PPS)。
五、安全仪表系统的发展
5.1 冗余机制的变化
       安全保护系统从20世纪60年代开发，以气动和继电元件为主。到 70 年代，由简单的继电器系统发展为微处理器和可编程序调节器(PLC或PC)，并且由单回路系统发展为冗余系统和容错系统。SIL3 安全度等级是石油化工行业的最高安全等级。而最新等级的产品则符合SIL4的要求。从70年代开始产生于航空领域的三重冗余多数表决机制(TMR, Triple Modular Redundancy)开始用于安全系统。90年代，国外一些大公司推出三重化(TMR)、冗错功能的系统，如图14所示。如美国Wondward 公司的Micro Net TMR系统、Triconex公司的Tricon系统、Honeywell公司的FSC系统、英国ICS Triplex公司的Regent系统等。目前，三重冗余和两重冗余两分天下。近期又有CPU的四重冗余(QMR,2004D)技术和软件冗余技术出现，如HIMA的H41q/H51q 系统。容错机制是指一个和多个元件或部件出现故障时系统仍能继续运行的能力。容错系统能发现故障并排出故障的影响。新型SIS(如TRICON)可以实现系统所有部件和部分相关设备故障的容错特性。容错手段主要是冗余、自诊断和在线维护修理。
             
       现在还有一个能灵活配置的理念。如HIMA公司的HIMax产品支持xMR架构，即X= l,2,3,4，分别构成无冗余，二重、三重、四重冗余。
       经验统计，SIS的系统故障比例是，传感器为40%，控制器为10%，执行机构为 50％。因此执行机构的可靠性是关键。随之产生了二重化电磁阀、切断阀及在线部分行程试验(PST, Partial Stroke Test)系统。
      霍尼韦尔推出一组安全仪系统运行状况和可靠性测量系统(SIS-Health Monitoring)，帮助专业人员监控安全仪表系统( 515 )的运行状况和可靠性。通过精确监控系统状态，减少对其进行的不必要的维护，并能够将导致安全事故和工厂意外停机的故障减至最少。SIS Health Monitoring可支持更出色的工作实践，从而能够使安装和运营成本减少20％~30％。报告显示，有超过20％的工厂事故是由 SIS维护和测试错误导致的。很多情况下，由于无法精确监控系统状态，工厂会不断地进行SIS维护和测试。这种不必要的维护使人为错误增多，从而导致更多的系统故障。此外，缺乏可靠性数据也会带来不必要的 515 工程工作，从而导致系统故障。霍尼韦尔的SIS-Health Monitoring是一套可通过自定义设置满足特定工厂要求、条件和过程需求的工具箱，包含以下两个模块：健康监控本地可靠性数据库(SIS-Health Monitoring Local Reliability Database)适用于任何SIS。 SIS-Health Monitoring可根据站点仪表的故障行为确定可靠性和安全性能特征，例如趋势和故障率等。健康监控分析工具箱(SIS-Health Monitoring Analysis Toolset)可支持操作人员分析、验证和优化SIS可靠性及其安全完整性水平(SIL)。
5.2 安全系统与控制系统的集成
       以前，工厂控制系统和安全系统往往分别设计、分别建设，主要原因是控制系统的可靠性不足以保证安全系统的可靠性。由于近10年来PLC和DCS技术的发展，其可靠性大幅度提高，成本降低，柔性增强。相反，安全系统仍然遵守一些陈旧的技术和标准，配线成本膨胀，检验时间过长，系统更新困难。因此，人们开始对陈旧的安全系统提出了疑问。德国PROFIBUS协会(PNO)在1999年初，在PROFIBUS的基础上，提出了 PROFI safe 安全应用接口标准，使安全系统与控制系统通信和集成成为可能。目前，已有包括石油化工在内的3000多套系统应用。其优点是：(1) PROFI safe和PRoFIBus标准功能的系统可以共存、连接和通信；(2)大幅度降低电缆成本和设备成本；(3)设备诊断和状态监视变得简单；(4)减轻了维护人员和设计人员的技术负担；(5)备品备件还可减少。由于现场总线技术也通过了SIL认证，故安全系统也可和现场安全仪表产品、现场总线(HART、Foundation Field bus)、Dcs产品、工厂仪表设备资产资源管理系统(PRM)集成，使用统一的人机界面和工作站，功能大大增强。DCS与SIS集成的三种方式如图15所示。
                  
5.3 机组诊断与SIS的集成
        分析压缩机机组故障及其诊断的特点，引入模糊集合概念和模糊控制理论，将维修专家形成的故障现象模型与实际进行比较，对运行情况进行评定，建立压缩机机组故障诊断模型，应用于机组控制和诊断过程，能有效地减少人为因素影响，使得故障诊断谁确、快速。通过对故障诊断的分解，应用模糊数学的基本原理，选定典型故障现象和原因，分析其对应关系，确定其权重以及模糊关系矩阵。再经过系统组态，将压缩机诊断系统模块集成到机组保护系统。使压缩机机组以最佳控制方案，并且在非满负荷工况下，效率高，操作范围宽，运行安全，具有足够的灵活性和可靠的防喘振保护性能。通过掌握工艺过程和压缩机的操作性能，对压缩机机组故障进行分析和研究，进行压缩机机组的故障诊断，从而使压缩机控制系统达到最佳化和最优化。
5.4 构成一体化的安全监控系统
       与模拟技术、仿真培训、专家系统、知识系统等整合、融合，组成完整的安全管理系统。如图16、17、18所示。
                 
                 
                 
5.5 国内制造商和服务商悄然兴起
        以北京康吉森安全工程公司和北京昊图自动化工程公司为代表，希望有能力在未来成为安全工程公司(Safety Engineering Company)。不仅是安全仪表系统的生产制造商、供货商，而且在流程工业的风险评估、安全等级划分、安全系统设计等安全生命周期的各阶段展开工作，成为集安全产品、工厂一体化安全解决方案与安全咨询为一体的安全工程公司。主要工作方向是大型石化工业安全仪表系统国产化的研发；大型石化工业机组控制系统国产化的研发；组建安全评估咨询团队，提供安全和可靠性评估报告；组建由安全认证工程师组成的国际水平的工程师队伍，确保工程质量；开展国际交流，在中国推广IEC61508和IEC615ll标准的应用等。