核電站是以核反應堆來代替火電站的鍋爐,以核燃料在核反應堆中發生特殊形式的“燃燒”產生熱量,來加熱水使之變成蒸汽。蒸汽通過管路進入汽輪機,推動汽輪發電機發電。一般說來,核電站的汽輪發電機及電器設備與普通火電站大同小異,主要區別在于核反應堆。它的最主要危害就是核輻射,如果一旦核泄漏將會造成社會層面的災難,如福島核電站事故。
在不同領域的功能安全標準制定后,為了規范工業領域內功能安全管理和技術,保證人身財產的安全,IEC制定了IEC61508系列標準。該系列標準是一個涵蓋了所有工業領域功能安全的標準,一共包含了三項內容:安全生命周期的方法論,安全完整性等級(SIL)分級和功能安全管理。該系列標準成為了各領域進行安全相關系統設計、安裝、維護、改造等活動的安全規范。
該系列標準頒布后,歐盟采用強制指令,美國職業安全與衛生管理局(OSHA 1910.134),美國環保署(EPA40CFRPart68),英國(HSE)都將其納入安全法規范疇。以IEC 61508系列標準為基礎,陸續出臺了不同領域及子系統/產品部件的功能安全標準,已經形成的IEC61508規范體系結構如圖1所示。

圖1 IEC 61508規范體系結構示意
圖1中顯示了IEC 61508框架下不同子領域的功能安全標準規范,且要求其所使用的設備都必須符合IEC 61508。使用者的要求促進了各設備制造廠家陸續推出高安全等級的產品,正在形成一個統一的安全產品供應鏈。
本文主要對比和總結IEC 61508/61511在化工行業,IEC 61513/61226在核電領域對于安全功能分級以及安全評價手段。
1、化工行業安全完整性分級
化工過程包括許多單元和處理方法,隨著化工裝置的規模越來越大,生產過程的連續化、大型化以及工藝過程的日益復雜,化工裝置的危險性也日益突出,因此化工裝置都采用了SIS并引進了一系列相應安全評價技術對其進行SIL等級分級進而指導其工程設計,以確保化工裝置的安全。
在進行SIS設計前,需要對過程對象進行風險分析和辨識以及SIL等級的分級,該風險分析的實質是將不可接受的風險降低到可以接受的水平,而不是完全消除風險。當前提出的風險分析方法有很多,而應用最廣泛的還是危險與可操作性分析(HAZOP)方法,該方法是在選定分析節點和偏差后,綜合分析偏差的原因,后果,和已有安全保護等項目。識別出所有可能導致隱患和操作性問題的原因,提出改進措施和建議,以便徹底解決存在的安全問題。HAZOP分析是風險辨識的技術,為SIL等級分級提供依據。
1.1 化工行業的安全評價分類
SIL等級是安全儀表功能(SIF)能夠提供的風險降低量的度量,通過對要求時平均失效概率(PFD)的計算而得到。PFD的定義為:受控設備控制系統發出要求時,執行特定安全功能的電子電氣安全相關系統的安全不可用性。
功能安全標準要求為每個SIF選擇一個目標SIL等級,且通過定量的分析驗證該目標達到了SIL等級的要求。必須的風險降低量,即SIL等級的目標,是一個功能未緩解的過程風險,或者是沒有考慮SIF造成的過程風險與可容忍的風險相對應。
IEC 61508中規定了四種SIL等級,SIL1等級最低,SIL4等級最高。對于化工裝置來說是工作在“低要求操作模式”,所謂“低要求操作模式”是要求的動作頻率小于或者等于1年1次或者等于2倍的檢驗測試頻率的SIF。
在新版的IEC 61511中又定義了SILa,SILb等級,SILa的定義為“無特殊安全要求”,SILb的定義為“一個簡單的SIF但不充分”,在實際項目中SILa,SILb的等級既可以放在DCS中執行也可以放在SIS中執行。
SIL1的定義為PFD在10-2~10-1的回路,或裝置可能很少發生事故,如發生事故,對裝置和產品有輕微的影響,不會立即造成環境污染和人員傷亡,經濟損失不大的安全功能回路。
SIL2的定義為PFD在10-3~10-2的回路,或裝置可能偶爾發生事故,如發生事故,對裝置和產品有較大的影響,并有可能造成環境污染和人員傷亡,經濟損失較大的安全功能回路。
SIL3的定義為PFD在10-4~10-3的回路,或裝置可能經常發生事故,如發生事故,對裝置和產品將造成嚴重的影響,并造成嚴重的環境污染和人員傷亡,經濟損失嚴重的安全功能回路。
化工行業對于SIL等級劃分為SIL1~SIL3等級的SIF放在獨立的SIS中執行,其實質主要是通過提高儀控回路可靠性的方式防止其要求動作時失效,從而提高裝置的安全性。
1.2 安全評價方法
SIL等級的評估,主要分為三步,即:SIS的SIF功能識別,定義目標SIL等級分配,SIL等級驗證的計算。
首先對裝置進行HAZOP分析,進而辨識裝置的SIF,確定SIF對應的SIL等級,然后按照SIL等級進行工程設計,最后在設計完成后,對裝置進行驗證確保其達到SIL等級要求。
HAZOP分析是由T A Kletz提出的,該方法是危害辨識的重要應用技術之一,也是國際上過程危險性分析(PHA)應用的最廣泛技術。HAZOP分析的本質就是通過分析工藝圖紙和操作規程的各個節點,識別出具有潛在危險的偏差,分析其偏差原因,后果及措施等,最終形成HAZOP PHA分析報告。在得到PHA報告后能為確定SIF提供重要的信息。運用HAZOP分析辨識出SIS的SIF后,就要確定需要通過SIS降低的風險量,該風險量也就是需要SIS承擔的降低風險即SIL等級。
1.3 過程保護層分析
過程保護層分析(LOPA)是一種半定量的評估方法,也是目前最常用的方法。LOPA分析從HAZOP分析導出的數據著手,通過文檔和引發原因或預防或減輕危險保護層計算每個識別的危險。
LOPA分析的主要目的是分析特定的事故情形,判斷所采用的保護層是否足夠。根據過程的復雜程度和潛在危險性大小來確定需要一個或者是多個保護層次來保護過程。考慮到實際中任何一個保護層都有失效的可能性,因此要想降低風險就必須添加足夠多的保護層,而添加保護層的多少也要考慮經濟的承受能力。
由于各個保護層的功能不同,作用也有強弱之分,每個獨立保護層(IPL)的PFD分別在SIL1~SIL3之間變化。石油化工廠或裝置的典型多保護層結構如圖2所示。

圖2 石油化工廠或裝置的典型多保護層結構示意
對一個確定系統的IPL的作用分類需遵循三個準則:
1)只有當IPL的設計功效發生作用時,其在防止后果發生時才是有效的。
2)IPL獨立地對初始事件及其他所有的用于相同情形的IPL的組件發揮作用。
3)IPL是可以審查的,及IPL的要求時故障概率是能夠確認的,包括檢查,測試和文檔資料。
2、核電廠安全功能分類
核電廠最主要的危害就是電離核輻射的潛在危害,因此對核電廠的設計有著高可靠性的要求。但是如果所有安全功能在任何情況下都采用最高的設計標準和要求,顯然是不經濟不合理的,所以就需要對核電廠的設計進行安全功能分級,以確定安全功能的重要程度和安全重要物項的重要性,進一步確定具體的物項建造要求,以確保安全功能在合理的要求程度下可靠執行。安全功能分級的作用就是識別安全功能的重要性,對執行該安全功能的物項提出具體相應的設計要求。
核電廠安全分級所遵循的重要依據是IEC 61513《核電廠安全重要儀表和控制系統總要求》和IEC 61226《核電廠安全重要儀表和控制功能分類》,2項標準為核電廠安全分類的重要規范,其中IEC 61513為核電廠安全重要儀控系統分類的大綱和總要求,IEC 61226為具體分類方法和分類定義。
其中IEC 61226中定義了核電廠“縱深防御”的基本原則,要求其設置多層次的儀表和控制功能,用于核電廠的安全運行,防止出現危險的工況或緩解不安全的工況后果。由此可以看出其主導思想與化工行業的LOPA分析具有很強的相似性。
國際原子能機構IAEA《核電廠安全設計標準》要求所有儀表和控制系統,設備,包括計算機軟件應依據其實施功能的安全重要性進行劃分類別。且對不同類別的功能,系統和設備確立它們的技術要求和質量要求,使得設計,建造和運行的質量和可靠性與它們的類別相符合。從此可以看出其實質是對安全重要級別越高的儀表控制系統設備有著越高的可靠性要求,這與化工行業的SIL等級有很強的相似性。
2.1 核電設計安全功能分類
IEC 61226將核電廠“安全重要儀表和控制功能”分為A,B,C三類,其中A類和B類屬于“安全系統”范圍內的功能,B類和C類屬于“安全有關系統”的范圍內的功能。其中B類屬于特殊的一類功能,它既可以劃分為“安全系統”,又可以劃分為“安全有關系統”的功能。
1)A類功能是指對于達到或維持核電廠安全以防止設計基準事件導致不可接受的后果其主要作用的功能。由于A類功能要求高可靠性,應限制其功能和復雜程度以確保其高度可靠性。該類功能的儀控系統應該遵循單一故障準則,系統應冗余配置。單一故障不應導致預定安全功能失效,即使在預防性維修,定期試驗,檢查或更換期間。冗余序列之間的隔離應使得任一內部危害事件不會使系統的冗余功能喪失或部分喪失。
2)B類功能是指對于達到或維持核電廠安全起補充A類功能的作用,尤其是在達到手動狀態后運行所需的功能,以防止設計基準事故導致不可接受后果。B類功能的實施可以避免啟動A類功能。B類功能在減輕設計基準事件的后果上可以補充或改善A類功能的執行,這樣電廠或設備損壞或者放射性釋放可以避免或者降至最低。該類功能應通過隔離和冗余的方法實現,否則應提供相應的證明,如證明系統不通過冗余和隔離可達到可靠性目標的能力,功能失效后果的可接受性,或者功能失效時提供替代相應的可用事件。
3)C類功能是指對于達到或者維持核電廠安全起輔助或者間接作用的功能,包括那些有一定安全重要性但不屬于A類和B類的功能。C類功能可以是應對整個設計基準事件的一部分但不直接參與緩解事故后果,或者是超設計基準事故所必需的功能。該類功能的系統一般不需要冗余設置或者隔離,但可能需要承受內部和外部的危害。
2.2 基于確定方法分類
核電廠安全重要功能分類的工程設計規則必須是確定的,且必須符合相關國家或國際規程和標準以及成熟的工程實踐,確保在所有運行狀態中和所有事故工況下實現基本安全功能。
必須在工程判斷以及將確定性評定和概率評定相結合的基礎上確定假想始發事件,基于全部假設事件推導應該在設計中考慮的一系列事故,以便確定核電廠應承受的邊界條件,而不超出可接受的輻射防護限制。提供對確定性安全分析和概率安全分析利用程度的理由,用以表明已考慮到了所有可預見的事件。這一系列可預見的事件就是核電廠的“設計基準事件”。
在對核電廠的假想始發事件分析的基礎上,分析確定所需的預防措施和保護措施,從而確保實施所要求的安全功能。
安全功能分類過程首先要確定核電廠類型、與儀表和控制相關的潛在危險事件以及機械和電氣系統和設備冗余方面的主要設計準則。其次是確定每個潛在危險事件的預防和緩解功能及其支持功能。
安全功能重要性的分類方法應基于確定論的安全分析,并結合概率論分析和工程判斷,分類宜考慮下列因素:
1)安全功能分類物項要執行實施的安全功能。
2)在預防或緩解假設始發事件中起的作用;該安全功能未執行的后果。
3)在啟動、正常運行、換料等運行模式期間起的作用。
4)在諸如地震、洪水、颶風、閃電等自然事件,和內部災害,例如,火災、 內部水淹、飛射物、鄰接機組的放射性釋放或者其他電廠或工廠的化學物質釋放,這樣的潛在危險事件之后,所起的作用。
5)該功能安全分類失效的后果。
6)誤動作的影響。
7)需要該功能安全分類實施安全重要功能的概率。
8)在設計基準事件期間或之后要求其運行的時間或時間段。
9)維護、修理和試驗方案。
2.3 核電廠縱深防御體系
總的核安全目標是通過建立核電廠的放射性危害的有效防御來保護個人,社會和環境。為了實現該目標,《核電廠基本安全原則》給出了導則:為了防止核電廠發生事故情況時,減輕其事故后果,其主要手段是應用“縱深防御”的概念。“縱深防御”主要通過將一系列連續和獨立的IPL結合起來加以實施,且在人員或環境可能受到有害影響之前,這些IPL如果其中一層失效,后續保護層或屏蔽還應繼續發揮作用,不同防御層的獨立效能是“縱深防御”的一個必要組成部分。是為了確保所有安全相關活動都遵守獨立存在的各種不同層級的規定,使得在發生故障時能夠利用適當的措施探查和補救或糾正故障。該概念將應用在核電廠的設計和運行的整個過程中。該設計還須充分考慮其他核電廠的設計,建造和運行中取得的相關可靠經驗以及相關研究的成果。
“縱深防御”體系下的IPL分類在實際工程中是基于確定性的方法建立的,在工程實踐經驗的基礎上判斷其典型系統的可用率(確定值),確定出安全重要性等級,然后確定典型的排列次序,依次對各個IPL進行安全重要分級。
縱深防御體系有五層,主要功能如下:
1)第一層防御是防止電廠偏離正常運行和安全重要物項出現故障。
2)第二層防御是探知和控制偏離正常運行狀態的情況,以防止電廠的預計運行事件升級到事故狀況。
3)第三層是上一層次防御或許未能控制某些預計運行時間或假想始發事件的逐步升級,并可能由此釀成事故,盡管這是非常不可能的。但在核電廠設計中,這是事故時假定會發生的。
4)第四層防御的目的是減輕第三層“縱深防御”失靈所引起的事故后果。對該層級的防御而言,最重要的是確保發揮封隔功能,從而確保放射性釋放保持在可合理達到的盡量低的水平。
5)第五層也是最后一層防御是減輕事故工況下可能產生的放射性釋放后果。這就需要提供一個裝配齊全的應急控制中心以及適用于場內和場外應急響應的應急計劃和應急程序。
3、化工行業安全評價分級與核電行業安全重要分類對比
3.1 相似性
IEC 61226中定義:“實施不同程度的安全重要功能的儀表和控制系統,其每項功能的安全重要性是依據其達到并保持核電廠的安全狀態所起的作用,當要求實施功能時其故障的潛在后果和產生這些后果的概率的綜合分析來確定。”該標準將核電廠安全重要儀表和控制功能分為A類,B類,C類三類,屬于安全系統范圍內的功能屬于A類和B類,安全有關系統范圍內的功能屬于B類或C類。從該段的定義描述可以看出這與化工行業的SIL分級是非常類似的。
可以看到,無論是核電行業還是化工行業都是將執行安全功能的儀表功能進行分類,對執行不同的安全功能等級的儀控設備提出有區別的可靠性要求。盡管在表述上有所差別,但其概念實質是大致相似的,即都是通過對于發生災難事件的后果進行危害性評估,進而對該功能回路進行危險性分析,對于執行安全等級越高的儀控系統,要求其儀表控制系統的可靠性就越高。
3.2 區別性
化工行業的安全評價主要遵循IEC 61508,而核電領域的安全功能分級遵循IEC 61513和IEC 61226,首先考慮兩類標準在范圍方面的某些重要差別。
IEC 61508討論的系統可以是采用電氣,電子或可編程電子控制器等任何一項技術的系統,而IEC 61513標準,盡管包括的體系要求原則上對3項技術都適用,但主要關注的是基于計算機的系統。IEC 61508指的是一般意義上的“安全有關系統”,而IEC 61513指的是“安全重要系統”,按國際原子能機構IAEA的解釋,“安全重要”即對核安全重要。
除上述內容外,化工行業和核電行業的區別還包括以下方面:
1)總的安全生命周期的范圍。IEC 61508中總的安全生命周期包含被控設備的安全設計所涉及的全部系統,包括儀控系統電子/電氣/邏輯控制器,以及其他技術的系統和降低外部風險的設施。該標準不專門討論電廠安全分析,也不規定對從安全分析產生的性能和可靠性要求進行充分性評定的方法。核電廠安全設計的實踐是依據專門的國際原子能機構的原則,IEC準則和國家法規來執行,這超出了IEC 61508的規范。
而IEC61513規定了核電廠的“設計基準”和安全分析應給儀控系統開發者提供哪些必要的輸入信息,用于指導后續的儀控系統設計。“核電廠設計基準”規定了潛在危險事件及其發展過程,“縱深防御”的概念,以及用于提供防御的功能類別。
2)總的安全確認和評定。IEC 61513要求,對各個分布的安全重要功能的總的驗證和確認,并記錄在總的集成和調試報告中。在核電領域,該報告關于安全充分性的評定在許可證審批程序的框架內加以控制。而化工領域無此要求。
3)SIL等級和安全重要功能分級。IEC 61508按系統需要提供的風險降低水平,來劃分控制系統所要求的SIL等級。這是通過下列工作實現的:確定危害有關風險的嚴重性,評定危害的頻率,以及為將危害造成的風險降低到容許水平需要系統提供的保護能力。
核電領域習慣上采用確定論的方法,來確定系統的安全重要性及其在可能的功能喪失情況下對風險后果嚴重性的影響。
國際原子能機構IAEA和IEC 61226對防止或緩解放射性釋放后果的任何系統,一般認為有采取最高可行的完整性要求必要。對防止放射性釋放的支持系統,但不直接防止或緩解放射性釋放,可采用較低的SIL等級。因此,在核電領域普遍使用的分級與IEC 61508中提出的對可靠性和風險降低的SIL等級不存在等效關系。在核電領域一般認為這種確定論方法是足夠的,在實際上為所有保護功能設定了很高的目標。
然而,核電領域的確也認同數值計算方法,而概率安全分析(PSA)的方法可為計算機系統的可靠性提供清晰的安全目標。現有核電廠的技術安全目標是一個“概率指標”,即出現嚴重堆芯損壞的概率低于10-4(數值范圍等于SIL4等級的水平)事件每電廠運行年。未來電廠所有安全原則的實現宜達到概率不大于10-5事件每電廠運行年的改進目標。嚴重事故管理和緩解措施宜降低要求場外應急的大范圍廠外釋放的概率至少10倍(IAEA 75-INSAG-3)。
4、結束語
化工行業與核電行業都歸屬于流程行業且都具有很高的危險性,化工危害主要體現在有毒有害介質泄漏,易燃氣體產生爆炸等,核電的危害主要是核輻射對人員環境社會的災難性后果。
化工行業采用LOPA分析來指導工程設計對工廠進行全方位保護。其主要目的是確定分析特定的事故情形,判斷所采用的保護層是否足夠。根據過程的復雜程度和潛在危險性大小來確定需要一個或者是多個保護層次來對過程進行保護。
核電廠“縱深防御”的基本原則,要求其設置多層次的儀表和控制功能,用于核電廠的安全運行,防止出現危險的工況或緩解不安全的工況后果。且核電與化工都遵循著“故障安全”設計準則。都采用多層次防御IPL保護體系。
IEC 61508給安全功能指定的SIL等級與核工業領域使用的和安全功能分類是非常相似的。然而,在指定的程序方面又存在顯著差別:
1)IEC 61508對SIL等級的指定是基于危害發生概率和后果風險分析。
2)IEC 61226對核安全功能的類別指定是基于確定論準則以及功能失效后果的判斷。國際原子能機構IAEA 75-INSAG-3規定了一系列“安全原則”,它們共同構成保證核電廠安全的“綜合的總體安全方法”,這些原則(HAF 102-2004)將在設計中用于考慮所有相關的假設始發事件和連續實體屏蔽,以使工作人員,公眾和環境受到的輻射照射保持在規定的限值內。按該方法,核電廠設計基準為保持電廠在正常運行狀態,保證正確地響應所有潛在危險事件,以及便于在事故后長期管理電廠所需的功能和系統規格合適的質量水平。
作者:張亦林(中國核電工程有限公司)
相關閱讀
◆核電廠DCS系統I/O分配原則及I/O分配方法