安全仪表系统设计与SIL的计算方法

2020年06月作业申请人在电脑端发起申请后，作业审批人员在移动端查看管辖范围内的待审批作业票，对符合作条件的作业票进行批复。

图1直接作业管理系统流程框架作业计划时间前作业票签发相关人员抵达作业现场，由施工单位技术人员向作业人员进行技术和安全交底，并通过移动端拍照留痕，并提交到系统。

对于需要进行采样检测的作业，需同步开展采样检测，并将采样检测结果输入至系统中。

作业票由作业申请人现场填报作业人员相关信息后生成，作业票由监护人员进行安全条件确认签字和签发人签字后签发。

为保证签字人现场签字，通过人员定位和人脸识别实现定位签发，证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。

作业完工后，监护人现场定位签字验收。

作业流程从现场交底到完工验收全程实现视频监控，具有权限的用户可通过移动端远程查看现场作业场景。

同时具有权限用户也可在GIS 地图查看作业分布情况。

当作业完工验收后，作业票据及相关信息会上传至系统，系统会对作业情况进行分析，形成分析报告。

4结语直接作业信息管理系统的开发应用，能够规范管道企业直接作业流程，解决目前作业环节中存在的关键问题，实现直接作业管理现场透明化、作业标准化、系统信息化，颠覆直接作业传统管理形式。

对于提升和优化直接作业的安全管理，保障直接作业作业过程安全具有重要意义。

参考文献：[1]张少春，丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量，2017，(10)：47-48.[2]李成承，周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境，2018，18(11)：53-55.[3]李彬，张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术，2019，35(5)：3-5.[4]施红勋，王秀香，牟善军，等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术，2014，10(增)：124-128.[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信息系统研发[J].工业安全与环保，2017，43(9)：71-74.作者简介：邓付平（1986-），男，从事生产安全管理工作。

近些年石化行业频发重大安全事故，安监局发布的相关安全文件中均提到安全仪表系统（SIS）。

《中国石化安全仪表系统安全完整性等级评估管理规定（试行）》（中国石化安［2013］259号文）1.3条要求：“各单位应将建设项目安全完整性等级（SIL）评估纳入建设项目设计管理，将在役装置SIL评估纳入日常安全生产管理”；3.2条要求：“各单位或设计单位应对建设项目以及在役装置所涉及的安全仪表功能（SIF）确定相应的SIL，保证安全仪表功能满足目标SIL要求”［1］。

在SIS设计过程中， SIF回路中SIL的定级和验算是设计的重点和难点。

1 SIL定级目前SIF回路的SIL的确定，主要依靠危险与可操作性分析（HAZOP）结合保护层分析（LOPA）的方法来实现。

HAZOP分析是在安全专业人员主导下，工艺、自控、设备专业人员以及操作人员共同构成的分析小组进行的一种分析方法。

HAZOP分析是采用标准化“引导词”对装置过程系统的中间变量设定“偏离”，沿“偏离”在系统中反向查找非正常“原因”，沿“偏离”在系统中正向查找不利“后果”，确定后果严重性等级［2］。

HAZOP具体分析方法详见AQ/T3049—2013《危险与可操作性分析（HAZOP分析）应用导则》［3］。

当HAZOP分析确定后果严重性等级为高风险或很高风险时，需进一步进行LOPA分析，计算目前偏差导致的后果发生的频率，判断现有保护措施是否足够，建议措施是否能够有效地降低事故发生频率等。

可通过增加SIF回路保护层，降低事故发生概率，从而得出SIF回路的SIL。

LOPA具体分析方法详见AQ/T 3054—2015《保护层分析（LOPA）方法应用导则》［4］。

根据文献［4］中表E.2，引发偏差的初始事件，如控制回路失效、冷却水失效、控制阀误动作、常规人员操作失误、雷击等，偏差导致的事故发生概率f1i≤1×10－1，假设，年频率等级为1～10－1。

在涉及“重点监管工艺、重点监管化学品、重大危险源”或可能引发高后果的工艺，大多已配置基本过程控制系统（BPCS）、过程报警及操作员干预、安全阀、爆破片、防火堤等独立保护层中的一个或多个，根据文献［4］中表E.3，各独立保护层失效概率PFD≤1×10－1；引入点火概率、人员暴露、人员伤害、毒性影响等修正系数P，P=n×10－1，n=1～10，偏差导致的事故发生概率fci=f1i×PFD×P≤n×10－3，年频率等级范围为10－2～10－3。

亡问题，并且会造成巨额的经济损失，因此在过程工业中必须要开展安全仪表系统的安全评定，确保其安全性。

相关资料显示，在过程工业所出现的安全事故中，很多都是由于安全仪表系统存在问题导致的，安全仪表系统安全要求不合理，或者是对其进行了不恰当改造等因素，是导致出现安全事故的重要因素。

如果安全仪表系统的设计存在不合理的问题，那么可能会出现两方面问题：一方面，可能导致其在该跳车时不进行动作，出现拒动，拒动极有可能造成安全事故，甚至造成灾难性的后果；另一方面则是在不应该跳车时进行动作，造成误动，进而导致装置停车，会给企业带来比较严重的经济损失。

因此保证安全仪表系统的安全性具有重要意义，这就需要对其进行完整性评估，定量可靠性计算是最为重要的和有效的途径，通过这样的方式能够有效的防止各类事故的发生。

3 安全仪表系统功能安全评估等级划分相关标准对过程安全的安全等级进行了划分，IEC-61508将其划分为4个等级(SIL1-SIL4)。

而ISA-S84.01，则按照系统不响应连锁要求的概率对安全度等级进行了划分，分为了3级(SIL1-SIL3)。

我国当前根据自身的实际情况，按照所有事件发生的可能性、其可能导致后果的严重程度，以及其它安全措施的有效性等进行评估，并基于其制定了适当的安全等级，SIL 共分为1、2、3、4几个等级，级别越高则表示要求其危险失效概率越低。

其中，1级表示故障的发生概率很低。

如出现了事故，其所能够造成的影响也比较低，装置和产品可能受到轻微的影响，但是不会立即造成环境污染或者是人员伤亡，造成的经济损失不大；2级则表示事故偶尔发生。

如果出现事故则会给装置和产品造成比较大的影响，并有一定几率造成严重的环境污染，甚至人员伤亡，造成的经济损失比较大；3级事故则表示，事故发生的频率很高。

如果发生事故则会严重的影响到装置和产品，并且造成比较严重的环境问题，以及会导致人员出现伤亡，造成非常严重的经济损失。

评估安全完整性等级SIL 的主要参数就是PFDavg (probabilityoffailureon demand 平均危险故障率)，按照从高到低将划分为1、2、3、4四个等级。

sil验算的方法
SIL验算的方法主要有以下几种：
1. 需求时失效概率PFD SIL验证中计算PFDavg的方法，主要是通过马尔可夫分析法，即基于马尔可夫过程的假设前提下，通过分析随机变量的现时变化情况来预测这些变量未来变化情况的一种预测方法。

2. 专家经验法，指有很高专业知识与水平的技术人员，通过自身的经验，通过对以前相似的系统进行比较，进而对安全仪表功能是否达到设计的SIL水平进行确认。

3. 失效模式与影响分析，基于系统内部全部部件的一个详细列表为出发点，以1次1个部件的方法对整个系统进行分析。

4. 故障树分析法，对于系统故障的分析是进行自顶向下识别的。

首先将系统所存在的状态或者所存在的故障事件当作故障树的顶点，进而对致使发生故障的因素找出来，在此过程中遵循循序渐进的原则，一直到故障机理或者概率分布被找出，并且被找出的故障机理或者概率分布均为已知的因素为截止点。

5. 可靠性框图法，对于系统内部组件的串联与并联关系，便可以利用基于可靠性框图法中的图形方式进行表示。

以上信息仅供参考，具体方法还需要根据实际情况来选择。

实用简化的SIL预验算方法前言我们知道在进行危险与可操作性（HAZOP）分析和安全完整性等级（SIL）评估之后，如果确定需要增加安全仪表系统（SIS）来降低风险，那么就需要对仪表安全功能（SIF）进行SIL验算。

常规的SIL验算过程相对比较繁琐漫长，且常有验算结果无法满足目标SIL等级要求的情况（即无法通过SIL验证），这时候又要回过头分析各种可能原因，可能是SIF设计的问题，也可能是某个仪表设备的问题…这是目前SIL验算工作普遍存在的现象。

试想一下，如果SIL定级的时候我们把SIL验算流程简化，不需要提供设备的失效数据和复杂的计算，经过简单判断就能得到SIF大概的SIL等级，是不是就能大大提高工作效率，减少返工？我们称之为实用简化的SIL预验算:1.一般情况下，单一执行动作（1oo1）的SIF，采用通用数据计算可以实现SIL1级别，但PFDavg很难达到1.00E-02（RRF=100）。

如果都采用SIL2及以上的SIL认证设备，组成的SIF则可达到SIL2级别但PFDavg很难达到1.00E-03甚至2.50E-03这个数值，换言之在SIL定级的时候，若要求SIF的PFD小于2.50E-03或RRF超过400，则SIL验算的结果很难达到定级的要求(如某个SIL2的SIF定级时要求PFD小于1.00E-03，那么在SIL验算时注定失败！)；2.SIL验算过程中，传感器是否设置冗余对整个SIF的PFDavg影响较小，而要求同时执行的动作（关键动作）的增加却对整个SIF的PFDavg影响较大。

3.若所有设备均采用认证的失效数据计算，SIF的目标要求为SIL2时，关键动作不宜超过3个；随着关键动作的增加，SIF可以实现的SIL等级会出现降级趋势。

本文将根据实际项目中的失效数据并结合项目组成员的丰富经验，详细探讨上述SIL预验算的方法。

SIL验算方法概述在确定SIL等级时，应考虑导致非安全状态的所有失效因素，如硬件随机失效、软硬件设计缺陷和环境干扰等。

80一、项目概述本项目共有16个工段，19种品种，应用RiskCloud软件分别对其中的重大危险工艺：重氮反应工艺、耦合反应工艺、硝化反应工艺进行了危险与可操作性分析（HAZOP）、保护层分析（LOPA 定级）、安全完整性等级（SIL）验算，在此只对重氮反应工艺进行阐述。

二、危险与可操作性分析危险与可操作性分析（HAZOP）是工艺危险分析方法之一，用于辨识设计缺陷、工艺过程危险和操作性问题的系统性分析方法。

通过分析生产运行过程中工艺（状态）参数的变动，操作控制中可能出现的偏差分析，以及这些变动与偏差对系统的影响及可能导致的后果，出现变动或偏差的原因，并针对变动与偏差的后果提出应采取的措施。

1.分析流程将装置的工艺流程划分为不同的节点，通过一系列引导词系统地对每一个节点进行审核，发现导致偏差的原因和由此可能产生的后果，识别和判断现有的安全措施是否能够避免结果的产生，并针对不足的措施提出相应的建议，并如实地记录分析的全过程。

2.分析记录表HAZOP分析记录表中对评估后果的严重程度和发生的可能性采用风险矩阵法进行评估，确定风险等级，并根据风险等级来确定需要采取的行动。

三、保护层分析（LOPA）LOPA是在HAZOP分析的基础上，进一步评估保护层的有效性的半定量风险评估方法，通常使用初始事件频率、后果严重程度和独立保护层（IPLs）失效频率的数量级大小来近似表征事故剧情的风险；可以确定安全仪表功能回路SIL等级，LOPA分析的过程也是SIL定级过程；可以确定工艺过程是否有足够的保护层，风险是否满足企业的风险标准，是一种更好的风险决策方法。

1.LOPA分析步骤SIS功能回路确定；初始事件频率确定：初始事件频率数据来源：（1）行业数据，《化工过程定量分析指南，第二版》（2）公司的经验，企业具有充足的历史数据，用来进行有意义的统计分析（3）供货商的数据。

事故后果及后果严重性对应可接受风险（风险容忍概率）的确定：基于HAZOP分析结果，导出事故的后果。

危化企业高温高压，有毒有害。

安全联锁系统（SIS）是阻止事故发生最关键的一个环节。

那么什么样的安全联锁系统（SIS）算是合格的系统呢，怎么评价一个安全联锁系统是否具备真正的保护作用，除了安全联锁系统（SIS）具有安全认证、冗余性、容错性和故障安全性以外，最有效的评估手段只有SIL定级和验算，SIL定级和验算是针对每一个联锁回路的（SIF），只有回路全部合格了，才是一个有效的保护层。

所以SIL验算是整个安全仪表系统（SIS）是否合格的最有力证明。

SIL定级太简单了,直接说验算吧。

问题1：目前存在一个认知的误区，就是一味的追求传感器和切断阀的SIL 等级，这是外行人的行为。

制约一个回路最关键的因素是联锁仪表的结构形式，而非单台仪表的SIL等级。

也就是我们常说的1oo2D、2oo3、2oo4D 等，任何一个低SIL级别的仪表，通过联锁结构，可以搭建成为高级别回路。

举个极端的例子，没有SIL级别的传感器，通过1oo3、1oo4或1oo5可以搭建成SIL2甚至SIL3的回路。

问题2：假认证（无效认证）满天飞，目前安全认证最权威的是TUV，如果你想选，那就选TUV认证的。

一些企业盲目追求安全认证，还不想花钱，催生了一批山寨认证。

一个最破旧的磁浮子液位计，竟然有“SIL3认证”，售价几百块，获得了很多企业的青睐。

高端仪表怎么和它PK?硬生生的掐断了一些真正高质量的仪表厂商活路的同时，给自己埋下了事故的种子。

问题3：计算人员过分依靠软件，目前最权威的软件为exSILentia，即使它的失效数据库，其实可信度也不高。

这些数据从哪里来，大部分是仪表厂商自己提供的，也有一部分是软件公司收集的，他们的收集只能从企业。

这些数据库有多大的可信度值得商榷。

权威软件如此，国内一些小软件，只能是东施效颦。

最主要的是，企业所使用的设备绝大部分没有在这个数据库中。

问题4：其实就SIS系统本身来讲，其可靠性和可用性都差不多，失效数据不会差距太多。

安全仪表系统(SIS)的SIL评估摘要: 主要论述安全仪表系统及进行SIL评估的必要性,并作了简单的可靠性计算,随着安全仪表系统工程的发展,在安全仪表系统的设计过程中,对安全仪表系统的SIL等级进行定量分析将是重要的。

1 引言随着石油、化工装置的经济规模日趋大型化,生产装置的密集程度越来越高,对操作、控制及安全的要求也越来越严格。

石化装置的产品一般都属于易燃、易爆或有毒介质,生产过程稍有闪失就会酿成灾难性的事故,造成生产、设备、人员等方面的重大损失。

作为过程工业安全的重要保障,确保过程工业安全仪表系统本身的可靠性对于过程工业的安全具有重要意义。

2 安全仪表系统安全仪表系统(Safety instrumented systems,SIS)是一种自动安全保护系统,它是保证正常生产和人身、设备安全的必不可少的措施,它已发展成为工业自动化的重要组成部分。

在过程工业中,安全仪表系统的安全性对于事故的影响十分巨大,由于过程工业中的安全事故通常会造成人员伤亡和巨额财产损失,因此开展过程工业安全仪表系统安全评定对于确保过程工业安全具有重要意义。

统计资料表明,过程工业中,由于对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不恰当所造成的安全事故在全部事故中所占的比重最大。

安全仪表系统设计不当,一种可能的后果是该跳车时不跳,造成拒动作;另一种可能的后果是不该跳车时跳车,造成误动作。

拒动作会造成严重甚至灾难性的后果,误动作的直接后果是装置停车,造成巨额的经济损失。

根据IEC61511中的定义,安全仪表系统是由传感器、逻辑控制器、执行器组成的,能够行使一项或多项安全仪表功能(Safety instrumented function,SIF)的系统。

每一个安全仪表功能针对特定的风险对生产过程进行保护[1]。

图1为一典型的安全仪表功能,它的功能是为了防止压力容器V100中压力过高而发生爆炸等危险事故。

确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。

对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。

很多功能的实际使用频率非常低，比如汽车的如下两项功能：∙防抱死系统（ABS）。

（当然，这跟司机也有关系）∙安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：∙刹车∙转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的：∙对于使用频率低者，事故频率由两个参数构成：1)功能的使用频率2)当使用时，该功能发生故障的概率——故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。

∙对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。

假设故障的发生呈指数分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。

最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD = λT/2 = T/(2xMTTF) 或者：RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。

）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。

安全仪表系统的SIL评估安全仪表系统（Safety Instrumented System，SIS）在工业生产过程中扮演着至关重要的角色，用于保障人员和设备的安全。

在本文中，我们将探讨安全仪表系统的重要性和应用场景，并详细介绍SIL评估的要求、方法和结果分析，旨在帮助读者更好地理解和完善安全仪表系统。

安全仪表系统是一套独立的控制系统，主要应用于关键控制回路和工艺流程，以确保在出现故障或异常情况下，能够及时启动相应的安全措施，最大程度地减少人员伤亡和设备损坏。

安全仪表系统广泛应用于石油、化工、制药、食品等众多行业，是保障工业生产安全的重要组成部分。

安全仪表系统（SIS）：是一种独立的控制系统，用于监测和控制关键控制回路和工艺流程，以确保在出现故障或异常情况下，能够及时启动相应的安全措施。

SIL评估：Safety Integrity Level（安全完整性等级）评估是对安全仪表系统的一种定量评估方法，用于衡量系统在预防事故方面的有效性和可靠性。

评估标准：SIL评估需要依据相应的评估标准，如IEC 、ISO 等，这些标准规定了安全仪表系统的安全完整性等级的定义、评估方法和流程等。

评估方法：SIL评估采用定量评估方法，通过对安全仪表系统的故障概率进行评估，来确定系统的安全完整性等级。

评估流程：SIL评估的流程一般包括以下几个步骤：资料审查、现场考察、功能测试、故障树分析、风险矩阵计算等。

定性评估：主要是通过资料审查和现场考察，了解安全仪表系统的设计、结构、元件、可靠性等方面的信息，判断系统是否具备必要的安全功能和可靠性。

定量评估：基于故障树分析和风险矩阵计算，通过对安全仪表系统可能发生的故障进行概率统计和风险评估，以确定系统的安全完整性等级。

具体步骤如下：（1）收集系统故障数据：通过故障树分析，收集安全仪表系统各部件的故障数据，包括故障类型、故障概率等信息。

（2）确定故障风险矩阵：根据收集到的故障数据，确定各故障类型的风险矩阵，以量化故障对系统安全性的影响程度。

安全仪表系统 (SIS) 的 SIL 评估纲要 : 主要阐述安全仪表系统及进行 SIL 评估的必需性 , 并作了简单的靠谱性计算 , 跟着安全仪表系统工程的发展 , 在安全仪表系统的设计过程中 , 对安全仪表系统的 SIL 等级进行定量剖析将是重要的。

1引言跟着石油、化工装置的经济规模日益大型化 , 生产装置的密集程度愈来愈高 , 对操作、控制及安全的要求也愈来愈严格。

石化妆置的产品一般都属于易燃、易爆或有毒介质 , 生产过程稍有闪失就会酿成灾害性的事故 , 造成生产、设施、人员等方面的重要损失。

作为过程工业安全的重要保障 , 保证过程工业安全仪表系统自己的靠谱性关于过程工业的安全拥有重要意义。

2安全仪表系统安全仪表系统 (Safety instrumented systems,SIS)是一种自动安全保护系统 , 它是保证正常生产和人身、设施安全的必不行少的举措 , 它已发展成为工业的重要构成部分。

在过程工业中,安全仪表系统的安全性关于事故的影响十分巨大, 因为过程工业中的安全事故往常会造成人员伤亡和巨额财富损失, 所以展开过程工业安全仪表系统安全评定关于保证过程工业安全拥有重要意义。

统计资料表示, 过程工业中 , 因为对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不适合所造成的安全事故在所有事故中所占的比重最大。

安全仪表系统设计不妥 , 一种可能的结果是该跳车时不跳 , 造成拒动作 ; 另一种可能的结果是不应跳车时跳车 , 造成误动作。

拒动作会造成严重甚至灾害性的结果 , 误动作的直接结果是装置泊车 , 造成巨额的经济损失。

依据 IEC61511 中的定义 , 安全仪表系统是由、逻辑、履行器构成的 , 能够履行一项或多项安全仪表功能 (Safety instrumented function,SIF) 的系统。

每一个安全仪表功能针对特定的风险对生产过程进行保护 [1] 。

安全仪表系统设计与SIL的计算方法左信朱春丽中国石油大学（北京）自动化研究所2008年11月•北京•自控中心站培训目录第1章安全仪表系统设计概述 (1)1.1 安全性与可用性 (1)1.1.1 安全仪表系统的安全性 (1)1.1.2 安全仪表系统的可用性 (1)1.1.3 安全性与可用性之间的关系 (2)1.2 安全仪表系统的设计目标 (2)1.3安全仪表系统的设计原则 (2)1.3.1 基本原则 (2)1.3.2 逻辑设计原则 (3)1.3.3 回路配置原则 (4)1.4 完整的安全仪表回路设计 (4)1.5 安全仪表系统的设计步骤 (5)第2章安全度等级SIL的计算方法 (6)2.1 系统结构介绍 (7)2.1.1 1oo1结构 (7)2.1.2 1oo2结构 (7)2.1.3 2oo2结构 (8)2.1.4 2oo3结构 (8)2.1.5 1oo2D结构 (8)2.2 SIL的可靠性框图计算方法 (9)2.2.1 1oo1结构的可靠性框图 (9)2.2.2 1oo2结构的可靠性框图 (10)2.2.3 2oo2结构的可靠性框图 (10)2.2.4 2oo3结构的可靠性框图 (11)2.2.5 1oo2D结构的可靠性框图 (11)2.2.6术语列表 (12)2.3 SIL的马尔可夫模型计算方法 (13)2.3.1 1oo1结构的马尔可夫模型 (13)2.3.2 1oo2结构的马尔可夫模型 (14)2.3.3 2oo2结构的马尔可夫模型 (16)2.3.4 2oo3结构的马尔可夫模型 (18)2.3.5 1oo1D结构的马尔可夫模型 (20)2.3.6 1oo2D结构的马尔可夫模型 (20)2.3.7 术语列表 (22)2.4 SIL的故障树分析计算方法 (24)2.4.1 1oo1结构的PFD故障树 (24)2.4.2 1oo2结构的PFD故障树 (24)2.4.3 2oo2结构的PFD故障树 (25)2.4.4 2oo3结构的PFD故障树 (25)2.4.5 2oo4结构的PFD故障树 (26)2.4.6 1oo1D结构的PFD故障树 (26)2.4.7 1oo2D结构的PFD故障树 (27)2.4.8 2oo2D结构的PFD故障树 (27)2.4.9 2oo4D结构的PFD故障树 (28)2.4.10术语列表 (28)第3章计算实例 (29)第1章安全仪表系统设计概述1.1 安全性与可用性1.1.1 安全仪表系统的安全性安全仪表系统的安全性是指任何潜在危险发生时，安全仪表系统保证使过程处于安全状态的能力。

安全仪表系统的SIL验证及设计优化方法为进一步加强化工安全仪表系统管理，防止和减少危险化学品事故发生，安监总管三〔2014〕116号《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》紧急出台。

这对现役及在建项目中安全仪表系统管理提出更高要求，尤其是给安全仪表功能回路的安全完整性等级（SIL）验证工作带来巨大挑战。

在实施SIL验证的过程中，我们势必会遇到了大量的验证不通过从而实施设计变更的案例。

为尽量避免设计变更同时减少过度设计，本文从专业角度给出一些大概率通过SIL 验证的设计方法及典型回路的规律，以期对SIL 验证工作有一定的参考价值。

一、 SIL定级报告中的关键信息1.1安全仪表功能关键动作的辨识安全仪表功能（SIF）回路是为了降低特定场景的安全风险而设置的，定级报告中SIF 回路的功能描述是工艺设计的完整逻辑要求，包含关键动作及附件动作。

能够直接、有效地阻止特定场景不利后果发生的某个或者一系列动作称为安全关键动作，关键动作仅仅对于阻止该特定场景有效。

SIL 验证应关注的是关键动作，其他的附加动作都属于非关键动作，验证中不予考虑。

如果不能有效辨识安全关键动作，大量的执行元件将参与SIL 验证，回路架构复杂，难以通过验证。

1.2 SIF 回路架构的约束按照国际电工委员会（IEC）及国家标准要求，SIF 回路的所有元件架构必须对应SIL 定级有一定的约束。

对于仪表设计，架构是基础。

对于SIL3，IEC61511：2016 Functional safety-safety instrumented systems for the process industry sector 要求冗余架构的硬件故障裕度（HFT）至少不低于1 ；对于SIL2，虽然没有强制的冗余架构约束，但是实际验证中发现，如果要通过SIL2（风险降低因子RRF不低于200）的验证，非冗余架构的切断阀对采购产品的安全可靠性要求非常高，实际上也很难实现。

电子技术Electronic Technology电子技术与软件工程Electronic Technology&Software Engineering 安全仪表系统及SIL评估廖朝阳(中国石化巴陵石化分公司湖南省岳阳市414014)摘要：本文阐述了SIL安全等级的概念和SIL可靠性计算。

详细的分析了安全仪表在石油化工中可靠性和实用性的应用。

通过合理、有效地设置安全仪表系统，保障化工装置安全性和完整性。

关键词：安全仪表系统；SIL;联锁；化工装置1安全仪表系统和SIL评估安全仪表系统实际是…种自动安全保护系统，是保证装置正常生产和保护人身、设备安全的必要措施，是工业自动化的重要组成部分。

如果安全仪表系统设计不当，可能的后果一种是该停车时不停，造成拒动作；可能的后果另一种是不该停车时停车，造成误动作。

误动作的直接后果是造成生产装置停车，甚至巨额的经济损失。

拒动作则会造成更严重甚至灾难性的后果，比如火灾爆炸、人身伤害等。

正因为安全仪表系统可能存在的隐患，所以安全仪表系统的SIL评估就显得尤为重要。

2SIL等级的定义和划分2.1SIL等级的定义SIL是Safety Integrity Level的缩写，中文称之为安全完整性等级。

1998年颁布的IEC61508功能安全标准中首次提出了S1L的概念，它是一种功能安全等级的划分。

IEC61508将SIL分为SIL1, SIL2,SIL3和SIL44个等级。

安全相关系统的SIL级别，是由风险分析计算得出來的，是通过分析风险暴露时间和频率、风险后果严重程度、不能避开风险的概率和不期望事件发生概率等四个因素综合得出。

SIL级别越高，它要求的危险失效概率就越低。

SIL等级越高，它所对应的安全防护系统可靠性也就越高，这是企业希望看到的。

但安全防护系统的高可靠性会带来更多的资金投入。

而且，随着安全仪表系统服役年限延长，硬件的可靠性会必将降低，即这也意味着系统的安全完整性等级会下降。

安全仪表系统安全完整性等级（SIL）评估方法《国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三〔2014〕116号）》要求：涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析(如危险与可操作性分析)基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低要求。

《国家安全监管总局关于加强化工过程安全管理的指导意见安监总管三〔2013〕88号》：对涉及重点监管危险化学品、重点监管危险化工工艺和危险化学品重大危险源（以下统称“两重点一重大”）的生产储存装置进行风险辨识分析，要采用危险与可操作性分析（HAZOP）技术，一般每3年进行一次。

对其他生产储存装置的风险辨识分析，针对装置不同的复杂程度，选用安全检查表、工作危害分析、预危险性分析、故障类型和影响分析（FMEA）、HAZOP技术等方法或多种方法组合，可每5年进行一次。

目前SIL评估主要依靠保护层分析(LOPA)来确定每一个安全仪表功能(SIF)的安全完整性等级(SIL)。

一个典型的化工过程包含的保护层，如本安设计、BPCS、报警与人员干预、安全仪表系统、物理保护、释放后保护措施、工厂应急响应和社区应急响应等（如下图示）。

LOPA是一种半定量的风险评估技术，一般使用初始事件频率、后顾严重程度和IPL 失效频率的数量级大小来表征场景的风险。

其步骤主要包括：1）SIF选择；2）场景识别及筛选；3）IE确认；4）IPL评估；5）场景频率计算；6）风险评估与决策，分配SIF的SIL等级；7）下一个SIF重复以上步骤，直至所有场景分析完毕。

LOPA分析是考验经验知识积累和方法掌握，对于LOPA 分析团队，需具有工艺、仪表、安全、设备等多方面的经验知识，熟悉各种不同化工生产装置的风险控制点。

可以说，一个LOPA分析团队水平的高低，直接影响最终LOPA分析的质量。

浅谈安全完整性等级SIL安全仪表功能SIF是在特定环境中的一组具体的动作，用于将生产过程从潜在的非安全状态带入到安全状态，根据IEC 61511（ISA 84.00.01）的定义，SIL 是关于SIF回路的平均需求时失效概率PFD avg的一种分级描述。

SIL是通过评估安全仪表系统功能失效后的风险和已有风险降低手段而确定的，SIL定级可以实现安全功能的目标化管理以及衡量设施风险状况及制定管理要求，同时SIL技术提供了各方认可的安全品质整体量化的方法，填补了控制技术发展后安全法规体系的空白。

基于此，本文将阐释如何进行SIL定级，做到科学合理的确定SIL 水平。

标签：保护层分析（LOPA）;安全完整性等级（SIL）;安全仪表功能（SIF）1 保护层分析（LOPA）保护层分析（LOPA）是一种风险评估的简化方式，采用数量级的频率方式来事故场景的风险，其通常是基于工艺灾害分析PHA的分析结果，是一种半定量的风险分析与评估技术。

保护层分析是一种常见的SIL定级方法，简单来说，在假定事故场景当中，为各项保护措施故障的可能性赋值，运用数学计算的方式准确掌握安全措施可以降低风险的具体程度，以此有效防止出现保护不足或是保护过当。

上世纪80年代，美国化学生产协会提出了“充分保护层”的概念，2001年美国CCPS对LOPA技术首次进行了比较完整地介绍。

LOPA技术根据已有的独立保护层对SIL定级，具有既可作为相对粗糙的过滤工具也可作为更精确的分析，在定量应用时，残余风险水平的不确定性得以降低，因此无需保守评估的优点，已被广泛的应用。

在这，笔者给出LOPA分析的一般步骤：资料收集，确认灾害事件，场景后果分析，辨识初始事件和频率，辨识IPLs和相应的PFD，选择风险容许标准，评估风险是否可接受，采取措施降低风险或更改设计。

2 安全完整性等级完全完整性等级是衡量一个安全仪表系统可靠性的指标，通过依照安全仪表功能无法正常发挥自身应有效应下产生的后果与风险，可以将其功能按照安全完整性划分成四个等级，表1是笔者给出的安全完整性等级划分表。

安全仪表系统安全完整性等级(SIL)评估步骤安全仪表系统安全完整性等级（SIL）评估方法《XXX关于加强化工安全仪表系统管理的指导意见（安监总管三〔2014〕116号）》要求：涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析(如危险与可操作性分析)基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低要求。

《XXX关于加强化工过程安全管理的指导意见安监总管三〔2013〕88号》：对涉及重点监管危险化学品、重点监管危险化工工艺和危险化学品重大危险源（以下统称“两重点一重大”）的生产储存装置进行风险辨识分析，要采用危险与可操作性分析（HAZOP）技术，一般每3年进行一次。

对其他生产储存装置的风险辨识分析，针对装置不同的复杂程度，选用安全检查表、工作危害分析、预危险性分析、故障类型和影响分析（FMEA）、HAZOP技术等方法或多种方法组合，可每5年进行一次。

目前SIL评估主要依靠保护层分析(LOPA)来确定每一个安全仪表功能(SIF)的安全完整性等级(SIL)。

一个典型的化工过程包含的保护层，如本安设计、BPCS、报警与人员干预、安全仪表系统、物理保护、释放后保护措施、工厂应急响应和社区应急响应等（如下图示）。

LOPA是一种半定量的风险评估技术，一般使用初始事件频率、后顾严重程度和IPL失效频率的数量级大小来表征场景的风险。

其步骤主要包括：1）SIF选择；2）场景识别及挑选；3）IE确认；4）IPL评估；5）场景频率计算；6）风险评估与决策，分配SIF的SIL等级；7）下一个SIF重复以上步骤，直至所有场景分析完毕。

LOPA阐发是考验经历常识积累和方法掌握，对于LOPA 阐发团队，需具有工艺、仪表、安全、设备等多方面的经历常识，熟悉各种分歧化工生产装置的风险掌握点。

可以说，一个LOPA阐发团队程度的高低，直接影响最终LOPA阐发的质量。