假设你的公司近期购买了一个现成的过程工厂：你应该如何检查并评价现有的过程安全系统是否符合要求呢？系统是否有能力提供足够的安全性？是否符合现行标准要求？是否有不符合OSHA（美国职业安全与健康管理局）或者其他规章制度的风险？这些问题很令人头痛，可能会使问题变得很复杂，但还是有一个答案的，这个答案不仅能够提升安全性，还能够节省潜在成本。
        功能安全标准始于1996年发布的ISA 84.01，描述了安全系统分析、设计和维护的工程过程，这些内容被称为安全生命周期（SLC），其最新的版本在IEC 61511：2003（等效于ISA 84.00.01-2004）进行了详细描述。指导原则如下：
        1.风险分析后得到安全系统的风险降低要求；
        2.基于性能的设计评价；
        3.安全系统的维护过程。
        这种基于性能的方法并不提供详细的设计准则，而是提供了一套框架，用来判断现有的设计真正需要何种等级的安全性，以及当前达到了何种安全等级，使用这个框架就能够评价现有的过程安全系统。
        SLC包括三个阶段：分析、实现和维护。在分析阶段，如图1所示，可以明确对安全设备的需求。操作人员将会对一个或者多个过程单元进行分析www.cechina.cn，以识别潜在危险条件，我们称之为危害。识别出每一个危害之后，需对后果（情况可能有多严重？）和可能性（发生的频率？）进行估计或者分析。可能性和后果一起构成了对每一个危害风险程度的估计。过程的这个部分叫做过程危害分析（PHA），此分析已经实际操作了数十年。PHA最常用的技术就是危险和可操作性分析www.cechina.cn，被称为HAZOP。

图1  安全生命周期分析的各个阶段。需要确定何时何地需要使用何种安全设备。图片来源：Exida组织。

        有了来自于HAZOP的各种信息，我们就能够形成一张危害的列表以及对每一个危害风险程度的预估CONTROL ENGINEERING China版权所有，然后与公司确定的可容许风险判据进行对比。风险降低银子是预估固有风险和可容许风险的比率，如果不需要降低风险，就不需要系统保护设备控制工程网版权所有，对于特定危害的保护设备被称为安全仪表功能（SIF）。风险对比的结果能够显示根据最新的可容许风险判据的要求，哪里需要SIF以及需要多少SIF，这些信息随后备案在安全要求规范（SRS）中。
        SLC的下一阶段如图2所示，就是一次性完成针对SIF的概念设计和详细设计。在概念设计阶段，需要选择并评价每一个SIF所需的设备，需要对设备的冗余度进行规划，确定验证试验的方法以及实验间隔。最后，通过计算和适用对照表进行对比，对提交的设计进行性能分析。如果概念设计不符合要求，就需要进行修改，直到符合要求。如果有多种方法能够达到要求，就选择最佳方法。然后设计团队开始进行SIF的下一步。所有的概念设计完成之后，完成详细设计并且备案。通常随后需要进行工厂验收。

图2 安全生命周期的实现阶段意味着概念设计和详细设计的开始。

        在安全生命周期的第三阶段一开始就要进行安装和调试，如图3所示。所有试运行测试完成之后，需要进行一次核查，确认是否所有的安全档案都已经完成，以及是否所有的SIF都按照最初的要求完成了设计、测试和试运行。作为此项安全核查的一部分，所有与维护相关的程序文件和档案都需要完成。网络安全核查也应该是这个过程的一部分，因为网络威胁现在就等同于安全系统风险。安全系统准备就绪之后，过程就可以开始运转了。在过程运转期间，需要按照之前在SIF性能评价中建立的计划按时进行验证，确保针对预先定义的各种条件进行的每次验证试验都结果良好，并且能够按照既定的周期进行结果评价。

图3 安全生命周期的维护阶段始于实际安装和系统试运行。

        SLC应用于现有过程
        对安全生命周期做了上述简要的介绍，似乎对于现有过程没有什么实际作用。我们可以清楚地看到IEC标准是针对于即将设计或者即将安装的新系统而言，但是实际上，这套原则和框架对于现存系统的评价也很有用处。
        现存系统的评价开始于第一阶段：分析阶段。大多数现有工厂已经具有完整的HAZOP，因为很多国家的规章制度对此都有明确要求。如果某家现有工厂确实不具备HAZOP，那么第一步就是进行过程危害分析。如果已经具有HAZOP，那么第一步就是对其进行彻查，确保其有效。如果现有工厂尚不具备可容许风险判据，那么进行完HAZOP的彻查之后必须立即建立可容许风险判据。大多数企业都有类似的判据，可能包含在SIL选择程序文件中。
        当工厂团队针对所需的风险降低等级确定必须采用SIF时，可以组织召开SIL选择研讨会。此内容可以在安全要求规范中做备案。然后可以根据最新的风险判据将所需的SIF与实际达到的SIF做对比，有时会发现某些设备并非是必要的，如果维护预算不充足，那么就不用理会这些非必要设备，或者也可以将这些设备拆除，特别是某些设备可能已经引发了故障。当然，对比的结果也有可能是需要增加一些新的SIF设备或者需要对某些设备进行升级。
        现存系统安全生命周期的第二步就是按照最新的风险判据，评价每一个已经安装的SIF设备。针对新设计的性能评价同样适用于现有设备，针对每一个现有设备，可能有如下三种结果：
        1.SIF不满足安全判据要求；
        2.SIF满足安全判据要求；
        3.SIF超过了安全判据要求。
        结果1：不满足要求的SIF需要被改进。方法很简单，进行更频繁的验证测试即可。可以采用不同的验证试验间隔和不同的验证试验技术以找到最佳的组合。如果更频繁地进行验证测试不可能或者不具有可操作性，那么就需要使用符合安全要求的设备更换以前的仪表和控制设备。所有设备都需要进过早先使用分析或者直接选用经过安全认证的设备。
        结果2：现有SIF符合要求，只需要进行设备验证。对于所有已经获得安全认证的设备，只需要确保所有证书都已经备案。对于没有获得安全认证的设备，必须早先使用分析结果备案。
        结果3：超过要求的SIF可以考虑降低验证试验的频率。通常来说，延长验证试验的试验间隔能够降低测试和维护成本。几年前，当新型框架还处于草案阶段时，研究显示很高比例的SIF设备都被“过度设计”了。当然，这和设计之初所采用的设计方法也有关，但是这些研究证明在满足可容忍风险判据的前提下，还是有很大潜力降低运行和维护成本的。
        在安全生命周期的第三阶段，对于SIF设备的维护和维修和以前几乎一样，除了采用更好的验证试验作业程序以及变化的验证试验间隔。很多企业不具备良好的故障和验证试验数据记录备案系统，那么在这个阶段这些公司应该考虑建立记录备案系统，以挖掘其他的改进机会。这些数据收集系统肯定会对改进作业有所帮助，特别是在降低故障和改进维护程序方面。
        在新标准撰写完成之前，功能安全标准中描述的框架与安全生命周期一同形成了一个对于以前设计的现存系统进行评价的完美蓝图，然而不可否认的是，还有很多工作尚待完成。采用自动工程工具，可以极大地节省投入，有一些供应商已经能够提供第一阶段、第二阶段和第三阶段安全生命周期工具，这些工具通常允许在HAZOP输入数据或者导入HAZOP结果www.cechina.cn，随后，SIF自动识别，无需了解具体的计算方法就能够快速完成评价验算。符合IEC 61511标准的基于自动工具的方法是一种评价现存安全系统的完美方案，清晰的备案文档不仅仅为未来的改进提供了详细描述，还能够在面临主管机关审核时，提供可靠、详实的符合性证明。