基于性能规范的出现:

       对于工程师，过去十年最深刻的变化之一就是从说明性规范到基于性能标准的转变。一个典型的说明性规范的例子是美国机械工程协会的规范。例如第七章中通用条款第125a 段落中的陈述，“在分割区域内的所有压力容器，不考虑容量和压力，依照通用条款125至137的要求，必须提供压力释放设备”。其他的说明性例子包括电气、消防和建筑规范。

       这些传统规范是基于“最佳实践”的方法，即依靠过去的经验去指导将来的设计。 按照标准化设计的方法工作效果良好，规范中容易找到对于安全相关问题的解决方案。但是不管怎样，说明性规范还是有几处问题。首先，它们窒息了创新的生机，耽搁更好、高效和低价的实施方法。其次，为了能够有效，说明性规范需要非常多的细节，所有可行性变化需要写进规范。 在流程工业，这是一个比较头疼的问题，要覆盖许多不同的行业，包括：化工、石化、生化、石油与天然气、食品加工、化肥、制药、半导体和其他相关行业。在以上的每个行业中，又有众多的流程，用于应对材料的化学和物理结构的改变。一个说明性的方法对于调节和标准化这些工业流程完全是一个不可能完成的任务。因为这个理由，流程工业几乎没有规章可循，直到本世纪的几起重大灾害的发生，才迫使安全规章制度走进我们的生活。下面我们回顾一下这几起严重事故：

· 塞韦索毒气泄漏

       1976年7月15日，意大利米兰市郊附近塞韦索村一座使用剧毒化学品二氧芑制造除草剂的化工厂发生毒气泄漏事故。事故发生时，一股烟云状二氧芑排放到大气中，接着塞韦索村的家畜无缘无故地死去。村里人恐慌不已，当局命令群众从该村疏散。二氧芑的毒性极大，人体只要接触到一点点便立即皮肤起疱，出现皮疹。在塞韦索毒气泄漏两周以后，每6个受检居民中，就有1人呈二氧芑中毒症状。但更糟糕的是，二氧芑在人体内的潜伏期很长，其毒性需要很多年才能从人体内消除。二氧芑中毒能导致癌症，孕妇中毒后，就会生育畸形婴儿。在接触二氧芑很长一段时间后所引发的疾病，目前医疗上尚难以解决。自塞韦索毒气事故发生后，世界各国对涉及化学品的工业事故倍加警惕，对使用危险化学品的工厂也实施更严格、更安全的管理措施。

·印度博帕尔异氰酸甲酯泄漏事故

       1984年12月3日凌晨，印度博帕尔市发生了震惊世界的毒气泄漏事故。2日午夜，坐落在印度博帕尔市郊的联合炭化杀虫剂厂的一座储存45吨异氰酸甲酯贮槽的安全阀突然松动。1小时后毒烟雾袭向这个城市，形成了一个方圆25英里的毒雾笼罩区。首先是近邻的两个小镇上，有数百人在睡梦中死亡。随后，火车站里的一些乞丐死亡。一周后，有2500人死于这场毒气泄漏事故，另有1000多人危在旦夕，3000多人病入膏肓。在整个事故中，有15万人因受毒气危害而进入医院就诊，20多万人双目失明。

       事故发生时，在博帕尔估计有1.2万人居住在离联合碳化物工厂只隔一条路远的地方，没有人事先告诉他们关于异氰酸甲酯的有关常识。气体泄漏的那天夜晚，工厂的报警系统和备用系统一概失灵，3小时内一次警报也未发出。工厂的620名雇员由于缺乏必要的安全措施，大难临头束手无策，各奔东西。博帕尔市的这次毒气泄漏事故是20世纪最严重的一次有毒物质泄漏事故。

·切尔诺贝利核事故

     1986年4月26日，原苏联乌克兰境内的切尔诺贝利核电站第4号反应堆发生爆炸，大量放射性物质外泄，成为有史以来最严重的一次核污染。在这次事故中，31人当场死亡，233人受到严重的放射性损伤，附近13万居民被紧急疏散，经济损失达35亿美元。事故产生的放射性尘埃，随风飘散，使欧洲许多国家受到不同程度的污染。

这一重大事故不仅在欧洲，而且在整个世界引起强烈震动。事故发生至今，已有近万人死亡，数十万人受到辐射伤害。切尔诺贝利周围地区的居民在事故发生后甲状腺癌发病率成倍上升，而这只是开始。因为受到核辐射后甲状腺癌的发病潜伏期长达20年左右才显现。1994年，国际原子能机构发表的一份调查材料表明：在当年参见切尔诺贝利事故救援行动的15万名工作人员中，有6000人的后代出现了因核辐射造成的病理现象。专家认为，要彻底消除切尔诺贝利事故所造成的核污染至少要100年。

       这些灾难使公众唤起了对流程工业所固有的危险意识。应对公众的关注，很多政府制定了相关的法律和规章制度减少这些危险。例如在美国，职业安全和健康管理局（OSHA）出版了流程安全管理（PSM）的标准来保护职工的安全，而环境保护局（EPA）颁布了危险管理计划（RMP）项目来保护公共安全和环境。这两个文件是某种程度上的革命，因为他们首次把基于性能的规范引入到了美国。这些标准基本的要求是让各个公司评估他们自己的流程，确保没有不当的危险。然而，在很大程度上，即不是职业安全和健康管理局，也非环境保护局陈述了一整套定量的安全目标，或者定义了安全的危险。

       职业安全和健康管理局的流程安全管理和环境保护局的危险管理计划项目中的主要内容之一是流程风险分析。流程风险分析（PHA）是一个彻底的、有序的和系统的对一个设施的评估，从现场的（OSHA）内容或离线的（EPA）内容，决定是否存在任何设计或者运作上问题。职业安全和健康管理局的流程安全管理和环境保护局的危险管理计划要求所有公司涉及到足够数量的化学制品控制时， 必须执行流程风险分析。职业安全和健康管理局的流程安全管理还要求公司至少每五年进行一次重新的流程风险分析。大多数公司因此已经至少通过了一次这种练习。

 

 

基于性能标准的安全仪表系统

    做为一种有效的风险降低技术，仪表系统已经得到了长时间的认可。因为现代先进技术影响，仪表的性能也得到了相当大地改进。现代安全仪表系统的主要优点之一是能够连续地诊断。不像一个泄流阀，每一年或者两年才检验一次，现代仪表系统能够得到连续的监视，一旦出现问题能够马上通知操作员。适当地设计还能实现仪表系统在线维护而不影响流程的正常进行。

       仪表系统的另一个优点是技术水平已经达到了这样的能力：设计仪表的可靠性大大超过了机械系统。一个著名的例子就是最新设计的飞机，波音777 和空中客车 A330 / A340。 在这些飞行器中，机械连接的主要飞行控制器是可以被高度冗余/容错的计算机系统而替换。

        为了理解仪表或者机械设备对于工厂安全的重要性，必须了解的出现意外事故三个基本因素：

  ··事件的起因
  ··流程的偏移
  ··流体或者能量的释放

       事件的起因可能是人员错误、设备失效或者一个外部事件的结果。如果事件的起因能够消除，危险的预防是最有效的；基本上如果一个工厂有100％的可靠员工，100％ 可靠的设备，而且拒绝所有外部事件，那么永远不会出现一次事故。因此最有效的缓解技术是消除潜在的起因事件。管理的控制诸如：预防性的维护和操作员的培训是达到这一目的的基本方法。通过对整个系统观察，仪表可用于防止起因事件，诸如条件监视。 举例来说，一个在线振动监视系统能够发现旋转设备的失效迫近。腐蚀监视能够察觉水泵系统或者压力容器的失效迫近。一个最终开关能够检测出一个操作员的错误行为，诸如关闭了错误的阀门或者按错误顺序执行一项任务。 集中于事件起因的主要缺点是成本。为了有效，每个元件和每个可能的人员错误都要被监视。

       下一步的事故顺序是流程偏差，这里起因事件以某些方式改变了流程。比如一个压力控制阀的失效引起压力的增加；一个阀门的无意中关闭引起流量的停止；一个温度控制器的失效会引起温度的升高；接线系统的失效会引起一个电路的电流增大等。仪表是理想的用于检查流程偏差的设备，因为它的主要目的是测量流程变量。因此，一个流量变送器能够检测到流量的丢失、流量过高或者没有流量。一个单一设备可以检测由多种起因事件引起的偏差，使得它是性能价格比非常好的安全卫士。

       事故的第三也是最后一步是流体或者能量的释放。在很多方面，安全工程师的主要目标是保证流程内容在管道和容器之中。一旦内容释放，就会存在危险。另一个目标是容纳和控制能量，否则也会引起危险。能量的形式包括热能、声能、机械（动力）能、电能或者核能。没有物质或者能量的泄漏，在工厂附近就不会对任何人或者任何物造成伤害。无论如何，当能量或者物质泄漏时，现场的安全装置必须能够降低社会的损失和代价。仪表在缓解损失方面扮演了重要的角色。当流体和能量已经泄漏时，仪表能够实现毒气检测、烟火检测和辐射检测，所有结果使得操作员能够快速做出相关决定。使用仪表也能用它们自己的行动来缓解损失。比如：低爆炸水平 （LEL）气体检测可以打开一个通风系统，移动和稀释气体，因此预防了一种爆炸混合物的产生；在非常条件时，在控制方式下，减压阀可以减少一个容器中的压力；烟火检测可以打开一个喷水系统。

       上述的讨论指出了仪表系统可以有范围宽广的应用和配置，一种安全仪表系统的说明性规范是很难覆盖所有方面的。因为仪表和控制系统的技术发展非常迅速，所以把相关内容加入到说明性规范的方法已经过时。

两种关于安全仪表系统的标准

       为了解决这个问题，两种重要的标准已经颁布，用于设计和部署安全仪表系统 （SIS），分别是 ISA S84.01 和 IEC 61508。这些标准是基于性能的标准，它们提供了一个框架，用于设计流程而不是集中于某个解决方案。 比如，标准没有告诉设计者对于某个氨流程容器的接触器应该选择三选二 (2oo3) 表决系统，一个液位变送器需要配合两个液位控制阀，和一个二选一加诊断 (1oo2D)的 PLC；而改为首先需要用户确认可容忍的事件后果和风险等级，然后由设计者选择一种可靠的安全控制系统来满足这个要求。

 

      这种新的哲学正在改变安全系统的设计方法。这种方法有以下诸多的优点：

       1. 工程师在设计时可更具有创造性和灵活性。
       2. 设计更具有针对性，比如在低风险应用中避免过度复杂，而在高风险应用中避免过分简单。

       3. 新标准是针对安全仪表系统的整个生命周期，所以可以降低风险：因为具有在设计、维护、操作、测试、更改和退役的管理。与此相反，老标准的设计因没有在操作、维护和测试的管理，可能是低效的。

       4. 仪表系统的可靠性将提高流程运行的可用性。

       5. 基于记录生成的文档可以优化以后的方案。这可以帮助建立将来的方法，以及改进后续设计的验证和确认。

       ISA S84 和 IEC 61508 都是基于性能的标准，它们提供了一个安全生命周期，用于安全仪表系统的设计、操作、维护、测试、更改和退役。 但是它们还是有些不同，在 ISA S84 标准中，15个标识的步骤中只明确包含了7个部分的内容（6、7、8、9和10、11、13、15）， 而 IEC 61508 标准包含了所有的 16 个步骤。

 

 

 

    在 ISA S84 标准中一个重要的步骤没有描述的是流程危险分析（PHA）和风险评估 （第4.2.2步）。ISA 标准需要这个步骤才能完善，但要特别指出的是完成这个步骤的方法超出了标准的范围。相反，IEC 标准提供了行动指南，给出了能够用于危险分析和分析评估不同方法的例子。

       两个标准之间的一个关键相同点是安全完整性等级（SIL）的概念。SIL 是一个衡量风险降低和可靠性和指标。做为降低风险的指标，SIL 代表了高于可接受风险等级的水平。可接受风险等级是一个企业安全队伍设置的内部值。做为可靠性的指标，SIL 代表对仪表安全系统失效要求的总概率。比如，如果一个特定事件导致一个风险为大于可忍受度的3个数量级，那么事件是一个 SIL 3 的事件。为了用安全仪表系统减轻这个事件，安全仪表系统的要求失效概率（PFD）必须至少在10-3 和 10-4之间。进一步有关 SIL 的详细内容在风险评估中解释。

       两个标准之间的一个重要不同点是 ISA S84 仅允许一个安全仪表系统应用于系统，最大满足至 SIL 3 的风险降低。而 IEC 61508 标准允许安全仪表系统应用到最大为 SIL 4 的系统。然而，在北美很少有流程工业的应用，要求在单一控制回路中风险降低系数在  10，000 到 100，000 （SIL 4） 之间。这种差异的原因是IEC 61508 标准包含一个更大更苛刻的市场需要更高要求的安全完整性等级，一个在美国认为是 SIL 1 的系统设计，可能在荷兰变成一个 SIL 4 系统，仅仅是由于理解容忍风险的差异。

       两个标准之间的另外一个不同是 ISA S84.01 严格限于流程工业安全关键控制，如紧急刹车（ESD）系统。因此它不能用于下面的系统，即操作员是唯一能够得到流程安全状态（如：报警、火与气监视不在标准内）人员。标准也不能应用于气动和液压安全控制系统或者仅用于保护财产为目的的情形。相反，IEC 65108 标准包含了所有可以使用电气/ 电子/ 可编程电子（E/E/PE）安全相关系统的应用，而不心应用的本身。因此它可以用于航空、提升设备、机械、流程、运输和能源等行业。它覆盖了影响人员安全、环境以及财产保护等的安全控制系统。它包含了其他安全相关系统，比如气动控制、防火和压力释放系统以及外部风险减少的方法，比如堤防系统。“虽然整个安全生命周期是基于关注 E/E/PE 安全相关系统，它也提供了一种技术框架用于考虑任何安全相关系统，而不用管具体的应用（例如机械、液压或者气动）。”

        另外最后的一个不同是：IEC 61508 标准允许把一个人做为安全仪表系统的一部分。“一个人能够集成到一个 E/E/PE 安全相关系统中。比如一个人能够接收信息，得到受控设备（EUC）的状态后，基于这个信息可以从显示屏执行一个安全命令”。

       一个新的标准（IEC 61511）已经颁布，专门针对流程工业，它是 IEC 61508 的一个子集。

      下表总结了两个标准的一些主要不同点：