基于性能規(guī)范的出現:

       對于工程師,，過去十年最深刻的變化之一就是從說明性規(guī)范到基于性能標準的轉變,。一個典型的說明性規(guī)范的例子是美國機械工程協(xié)會的規(guī)范。例如第七章中通用條款第125a 段落中的陳述,，“在分割區(qū)域內的所有壓力容器,，不考慮容量和壓力，依照通用條款125至137的要求,，必須提供壓力釋放設備”,。其他的說明性例子包括電氣、消防和建筑規(guī)范,。

       這些傳統(tǒng)規(guī)范是基于“最佳實踐”的方法,，即依靠過去的經驗去指導將來的設計。 按照標準化設計的方法工作效果良好,，規(guī)范中容易找到對于安全相關問題的解決方案,。但是不管怎樣，說明性規(guī)范還是有幾處問題,。首先,，它們窒息了創(chuàng)新的生機，耽擱更好,、高效和低價的實施方法,。其次，為了能夠有效,，說明性規(guī)范需要非常多的細節(jié),，所有可行性變化需要寫進規(guī)范。 在流程工業(yè),，這是一個比較頭疼的問題,，要覆蓋許多不同的行業(yè),，包括：化工、石化,、生化,、石油與天然氣、食品加工,、化肥,、制藥、半導體和其他相關行業(yè),。在以上的每個行業(yè)中,，又有眾多的流程，用于應對材料的化學和物理結構的改變,。一個說明性的方法對于調節(jié)和標準化這些工業(yè)流程完全是一個不可能完成的任務,。因為這個理由，流程工業(yè)幾乎沒有規(guī)章可循,，直到本世紀的幾起重大災害的發(fā)生,，才迫使安全規(guī)章制度走進我們的生活。下面我們回顧一下這幾起嚴重事故：

· 塞韋索毒氣泄漏

       1976年7月15日,，意大利米蘭市郊附近塞韋索村一座使用劇毒化學品二氧芑制造除草劑的化工廠發(fā)生毒氣泄漏事故,。事故發(fā)生時，一股煙云狀二氧芑排放到大氣中,，接著塞韋索村的家畜無緣無故地死去,。村里人恐慌不已，當局命令群眾從該村疏散,。二氧芑的毒性極大,，人體只要接觸到一點點便立即皮膚起皰，出現皮疹,。在塞韋索毒氣泄漏兩周以后,，每6個受檢居民中，就有1人呈二氧芑中毒癥狀,。但更糟糕的是,，二氧芑在人體內的潛伏期很長，其毒性需要很多年才能從人體內消除,。二氧芑中毒能導致癌癥,，孕婦中毒后，就會生育畸形嬰兒,。在接觸二氧芑很長一段時間后所引發(fā)的疾病,，目前醫(yī)療上尚難以解決。自塞韋索毒氣事故發(fā)生后,，世界各國對涉及化學品的工業(yè)事故倍加警惕,，對使用危險化學品的工廠也實施更嚴格,、更安全的管理措施。

·印度博帕爾異氰酸甲酯泄漏事故

       1984年12月3日凌晨,，印度博帕爾市發(fā)生了震驚世界的毒氣泄漏事故,。2日午夜，坐落在印度博帕爾市郊的聯合炭化殺蟲劑廠的一座儲存45噸異氰酸甲酯貯槽的安全閥突然松動,。1小時后毒煙霧襲向這個城市,，形成了一個方圓25英里的毒霧籠罩區(qū)。首先是近鄰的兩個小鎮(zhèn)上,，有數百人在睡夢中死亡。隨后,，火車站里的一些乞丐死亡,。一周后，有2500人死于這場毒氣泄漏事故,，另有1000多人危在旦夕,，3000多人病入膏肓。在整個事故中,，有15萬人因受毒氣危害而進入醫(yī)院就診,，20多萬人雙目失明。

       事故發(fā)生時,，在博帕爾估計有1.2萬人居住在離聯合碳化物工廠只隔一條路遠的地方,，沒有人事先告訴他們關于異氰酸甲酯的有關常識。氣體泄漏的那天夜晚,，工廠的報警系統(tǒng)和備用系統(tǒng)一概失靈,，3小時內一次警報也未發(fā)出。工廠的620名雇員由于缺乏必要的安全措施,，大難臨頭束手無策,，各奔東西。博帕爾市的這次毒氣泄漏事故是20世紀最嚴重的一次有毒物質泄漏事故,。

·切爾諾貝利核事故

     1986年4月26日,，原蘇聯烏克蘭境內的切爾諾貝利核電站第4號反應堆發(fā)生爆炸，大量放射性物質外泄,，成為有史以來最嚴重的一次核污染,。在這次事故中，31人當場死亡,，233人受到嚴重的放射性損傷,，附近13萬居民被緊急疏散，經濟損失達35億美元,。事故產生的放射性塵埃,，隨風飄散,，使歐洲許多國家受到不同程度的污染。

這一重大事故不僅在歐洲,，而且在整個世界引起強烈震動,。事故發(fā)生至今，已有近萬人死亡,，數十萬人受到輻射傷害,。切爾諾貝利周圍地區(qū)的居民在事故發(fā)生后甲狀腺癌發(fā)病率成倍上升，而這只是開始,。因為受到核輻射后甲狀腺癌的發(fā)病潛伏期長達20年左右才顯現,。1994年，國際原子能機構發(fā)表的一份調查材料表明：在當年參見切爾諾貝利事故救援行動的15萬名工作人員中,，有6000人的后代出現了因核輻射造成的病理現象,。專家認為，要徹底消除切爾諾貝利事故所造成的核污染至少要100年,。

       這些災難使公眾喚起了對流程工業(yè)所固有的危險意識,。應對公眾的關注，很多政府制定了相關的法律和規(guī)章制度減少這些危險,。例如在美國,，職業(yè)安全和健康管理局（OSHA）出版了流程安全管理（PSM）的標準來保護職工的安全，而環(huán)境保護局（EPA）頒布了危險管理計劃（RMP）項目來保護公共安全和環(huán)境,。這兩個文件是某種程度上的革命,，因為他們首次把基于性能的規(guī)范引入到了美國。這些標準基本的要求是讓各個公司評估他們自己的流程,，確保沒有不當的危險,。然而，在很大程度上,，即不是職業(yè)安全和健康管理局,，也非環(huán)境保護局陳述了一整套定量的安全目標，或者定義了安全的危險,。

       職業(yè)安全和健康管理局的流程安全管理和環(huán)境保護局的危險管理計劃項目中的主要內容之一是流程風險分析,。流程風險分析（PHA）是一個徹底的、有序的和系統(tǒng)的對一個設施的評估,，從現場的（OSHA）內容或離線的（EPA）內容,，決定是否存在任何設計或者運作上問題。職業(yè)安全和健康管理局的流程安全管理和環(huán)境保護局的危險管理計劃要求所有公司涉及到足夠數量的化學制品控制時,， 必須執(zhí)行流程風險分析,。職業(yè)安全和健康管理局的流程安全管理還要求公司至少每五年進行一次重新的流程風險分析。大多數公司因此已經至少通過了一次這種練習,。

 

 

基于性能標準的安全儀表系統(tǒng)

    做為一種有效的風險降低技術,，儀表系統(tǒng)已經得到了長時間的認可,。因為現代先進技術影響，儀表的性能也得到了相當大地改進?，F代安全儀表系統(tǒng)的主要優(yōu)點之一是能夠連續(xù)地診斷,。不像一個泄流閥，每一年或者兩年才檢驗一次,，現代儀表系統(tǒng)能夠得到連續(xù)的監(jiān)視,，一旦出現問題能夠馬上通知操作員。適當地設計還能實現儀表系統(tǒng)在線維護而不影響流程的正常進行,。

       儀表系統(tǒng)的另一個優(yōu)點是技術水平已經達到了這樣的能力：設計儀表的可靠性大大超過了機械系統(tǒng),。一個著名的例子就是最新設計的飛機，波音777 和空中客車 A330 / A340,。 在這些飛行器中,，機械連接的主要飛行控制器是可以被高度冗余/容錯的計算機系統(tǒng)而替換。

        為了理解儀表或者機械設備對于工廠安全的重要性,，必須了解的出現意外事故三個基本因素：

  ··事件的起因
  ··流程的偏移
  ··流體或者能量的釋放

       事件的起因可能是人員錯誤、設備失效或者一個外部事件的結果,。如果事件的起因能夠消除,，危險的預防是最有效的；基本上如果一個工廠有100％的可靠員工,，100％ 可靠的設備,，而且拒絕所有外部事件，那么永遠不會出現一次事故,。因此最有效的緩解技術是消除潛在的起因事件,。管理的控制諸如：預防性的維護和操作員的培訓是達到這一目的的基本方法。通過對整個系統(tǒng)觀察,，儀表可用于防止起因事件,，諸如條件監(jiān)視。 舉例來說,，一個在線振動監(jiān)視系統(tǒng)能夠發(fā)現旋轉設備的失效迫近,。腐蝕監(jiān)視能夠察覺水泵系統(tǒng)或者壓力容器的失效迫近。一個最終開關能夠檢測出一個操作員的錯誤行為,，諸如關閉了錯誤的閥門或者按錯誤順序執(zhí)行一項任務,。 集中于事件起因的主要缺點是成本。為了有效,，每個元件和每個可能的人員錯誤都要被監(jiān)視,。

       下一步的事故順序是流程偏差，這里起因事件以某些方式改變了流程,。比如一個壓力控制閥的失效引起壓力的增加,；一個閥門的無意中關閉引起流量的停止,；一個溫度控制器的失效會引起溫度的升高；接線系統(tǒng)的失效會引起一個電路的電流增大等,。儀表是理想的用于檢查流程偏差的設備,，因為它的主要目的是測量流程變量。因此,，一個流量變送器能夠檢測到流量的丟失,、流量過高或者沒有流量。一個單一設備可以檢測由多種起因事件引起的偏差,，使得它是性能價格比非常好的安全衛(wèi)士,。

       事故的第三也是最后一步是流體或者能量的釋放。在很多方面,，安全工程師的主要目標是保證流程內容在管道和容器之中,。一旦內容釋放，就會存在危險,。另一個目標是容納和控制能量,，否則也會引起危險。能量的形式包括熱能,、聲能,、機械（動力）能、電能或者核能,。沒有物質或者能量的泄漏,，在工廠附近就不會對任何人或者任何物造成傷害。無論如何,，當能量或者物質泄漏時,，現場的安全裝置必須能夠降低社會的損失和代價。儀表在緩解損失方面扮演了重要的角色,。當流體和能量已經泄漏時,，儀表能夠實現毒氣檢測、煙火檢測和輻射檢測,，所有結果使得操作員能夠快速做出相關決定,。使用儀表也能用它們自己的行動來緩解損失。比如：低爆炸水平 （LEL）氣體檢測可以打開一個通風系統(tǒng),，移動和稀釋氣體,，因此預防了一種爆炸混合物的產生；在非常條件時,，在控制方式下,，減壓閥可以減少一個容器中的壓力；煙火檢測可以打開一個噴水系統(tǒng)。

       上述的討論指出了儀表系統(tǒng)可以有范圍寬廣的應用和配置,，一種安全儀表系統(tǒng)的說明性規(guī)范是很難覆蓋所有方面的,。因為儀表和控制系統(tǒng)的技術發(fā)展非常迅速，所以把相關內容加入到說明性規(guī)范的方法已經過時,。

兩種關于安全儀表系統(tǒng)的標準

       為了解決這個問題,，兩種重要的標準已經頒布，用于設計和部署安全儀表系統(tǒng) （SIS）,，分別是 ISA S84.01 和 IEC 61508,。這些標準是基于性能的標準，它們提供了一個框架,，用于設計流程而不是集中于某個解決方案,。 比如，標準沒有告訴設計者對于某個氨流程容器的接觸器應該選擇三選二 (2oo3) 表決系統(tǒng),，一個液位變送器需要配合兩個液位控制閥,，和一個二選一加診斷 (1oo2D)的 PLC；而改為首先需要用戶確認可容忍的事件后果和風險等級,，然后由設計者選擇一種可靠的安全控制系統(tǒng)來滿足這個要求,。

 

      這種新的哲學正在改變安全系統(tǒng)的設計方法。這種方法有以下諸多的優(yōu)點：

       1. 工程師在設計時可更具有創(chuàng)造性和靈活性,。
       2. 設計更具有針對性,，比如在低風險應用中避免過度復雜，而在高風險應用中避免過分簡單,。

       3. 新標準是針對安全儀表系統(tǒng)的整個生命周期，所以可以降低風險：因為具有在設計,、維護,、操作、測試,、更改和退役的管理,。與此相反，老標準的設計因沒有在操作,、維護和測試的管理,，可能是低效的。

       4. 儀表系統(tǒng)的可靠性將提高流程運行的可用性,。

       5. 基于記錄生成的文檔可以優(yōu)化以后的方案,。這可以幫助建立將來的方法，以及改進后續(xù)設計的驗證和確認,。

       ISA S84 和 IEC 61508 都是基于性能的標準,，它們提供了一個安全生命周期，用于安全儀表系統(tǒng)的設計、操作,、維護,、測試、更改和退役,。 但是它們還是有些不同,，在 ISA S84 標準中，15個標識的步驟中只明確包含了7個部分的內容（6,、7,、8、9和10,、11,、13、15）,， 而 IEC 61508 標準包含了所有的 16 個步驟,。

 

 

 

    在 ISA S84 標準中一個重要的步驟沒有描述的是流程危險分析（PHA）和風險評估 （第4.2.2步）。ISA 標準需要這個步驟才能完善,，但要特別指出的是完成這個步驟的方法超出了標準的范圍,。相反，IEC 標準提供了行動指南,，給出了能夠用于危險分析和分析評估不同方法的例子,。

       兩個標準之間的一個關鍵相同點是安全完整性等級（SIL）的概念。SIL 是一個衡量風險降低和可靠性和指標,。做為降低風險的指標,，SIL 代表了高于可接受風險等級的水平?？山邮茱L險等級是一個企業(yè)安全隊伍設置的內部值,。做為可靠性的指標，SIL 代表對儀表安全系統(tǒng)失效要求的總概率,。比如,，如果一個特定事件導致一個風險為大于可忍受度的3個數量級，那么事件是一個 SIL 3 的事件,。為了用安全儀表系統(tǒng)減輕這個事件,，安全儀表系統(tǒng)的要求失效概率（PFD）必須至少在10-3 和 10-4之間。進一步有關 SIL 的詳細內容在風險評估中解釋,。

       兩個標準之間的一個重要不同點是 ISA S84 僅允許一個安全儀表系統(tǒng)應用于系統(tǒng),，最大滿足至 SIL 3 的風險降低。而 IEC 61508 標準允許安全儀表系統(tǒng)應用到最大為 SIL 4 的系統(tǒng),。然而,，在北美很少有流程工業(yè)的應用，要求在單一控制回路中風險降低系數在  10，000 到 100,，000 （SIL 4） 之間,。這種差異的原因是IEC 61508 標準包含一個更大更苛刻的市場需要更高要求的安全完整性等級，一個在美國認為是 SIL 1 的系統(tǒng)設計,，可能在荷蘭變成一個 SIL 4 系統(tǒng),，僅僅是由于理解容忍風險的差異。

       兩個標準之間的另外一個不同是 ISA S84.01 嚴格限于流程工業(yè)安全關鍵控制,，如緊急剎車（ESD）系統(tǒng),。因此它不能用于下面的系統(tǒng)，即操作員是唯一能夠得到流程安全狀態(tài)（如：報警,、火與氣監(jiān)視不在標準內）人員,。標準也不能應用于氣動和液壓安全控制系統(tǒng)或者僅用于保護財產為目的的情形。相反,，IEC 65108 標準包含了所有可以使用電氣/ 電子/ 可編程電子（E/E/PE）安全相關系統(tǒng)的應用,，而不心應用的本身。因此它可以用于航空,、提升設備,、機械、流程,、運輸和能源等行業(yè),。它覆蓋了影響人員安全、環(huán)境以及財產保護等的安全控制系統(tǒng),。它包含了其他安全相關系統(tǒng),，比如氣動控制、防火和壓力釋放系統(tǒng)以及外部風險減少的方法,，比如堤防系統(tǒng),。“雖然整個安全生命周期是基于關注 E/E/PE 安全相關系統(tǒng)，它也提供了一種技術框架用于考慮任何安全相關系統(tǒng),，而不用管具體的應用（例如機械、液壓或者氣動）,。”

        另外最后的一個不同是：IEC 61508 標準允許把一個人做為安全儀表系統(tǒng)的一部分,。“一個人能夠集成到一個 E/E/PE 安全相關系統(tǒng)中。比如一個人能夠接收信息,，得到受控設備（EUC）的狀態(tài)后,，基于這個信息可以從顯示屏執(zhí)行一個安全命令”。

       一個新的標準（IEC 61511）已經頒布,，專門針對流程工業(yè),，它是 IEC 61508 的一個子集。

      下表總結了兩個標準的一些主要不同點：