安资料全仪表系统设计跟SIL的计算方法

2020年06月作业申请人在电脑端发起申请后，作业审批人员在移动端查看管辖范围内的待审批作业票，对符合作条件的作业票进行批复。

图1直接作业管理系统流程框架作业计划时间前作业票签发相关人员抵达作业现场，由施工单位技术人员向作业人员进行技术和安全交底，并通过移动端拍照留痕，并提交到系统。

对于需要进行采样检测的作业，需同步开展采样检测，并将采样检测结果输入至系统中。

作业票由作业申请人现场填报作业人员相关信息后生成，作业票由监护人员进行安全条件确认签字和签发人签字后签发。

为保证签字人现场签字，通过人员定位和人脸识别实现定位签发，证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。

作业完工后，监护人现场定位签字验收。

作业流程从现场交底到完工验收全程实现视频监控，具有权限的用户可通过移动端远程查看现场作业场景。

同时具有权限用户也可在GIS 地图查看作业分布情况。

当作业完工验收后，作业票据及相关信息会上传至系统，系统会对作业情况进行分析，形成分析报告。

4结语直接作业信息管理系统的开发应用，能够规范管道企业直接作业流程，解决目前作业环节中存在的关键问题，实现直接作业管理现场透明化、作业标准化、系统信息化，颠覆直接作业传统管理形式。

对于提升和优化直接作业的安全管理，保障直接作业作业过程安全具有重要意义。

参考文献：[1]张少春，丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量，2017，(10)：47-48.[2]李成承，周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境，2018，18(11)：53-55.[3]李彬，张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术，2019，35(5)：3-5.[4]施红勋，王秀香，牟善军，等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术，2014，10(增)：124-128.[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信息系统研发[J].工业安全与环保，2017，43(9)：71-74.作者简介：邓付平（1986-），男，从事生产安全管理工作。

近些年石化行业频发重大安全事故，安监局发布的相关安全文件中均提到安全仪表系统（SIS）。

《中国石化安全仪表系统安全完整性等级评估管理规定（试行）》（中国石化安［2013］259号文）1.3条要求：“各单位应将建设项目安全完整性等级（SIL）评估纳入建设项目设计管理，将在役装置SIL评估纳入日常安全生产管理”；3.2条要求：“各单位或设计单位应对建设项目以及在役装置所涉及的安全仪表功能（SIF）确定相应的SIL，保证安全仪表功能满足目标SIL要求”［1］。

在SIS设计过程中， SIF回路中SIL的定级和验算是设计的重点和难点。

1 SIL定级目前SIF回路的SIL的确定，主要依靠危险与可操作性分析（HAZOP）结合保护层分析（LOPA）的方法来实现。

HAZOP分析是在安全专业人员主导下，工艺、自控、设备专业人员以及操作人员共同构成的分析小组进行的一种分析方法。

HAZOP分析是采用标准化“引导词”对装置过程系统的中间变量设定“偏离”，沿“偏离”在系统中反向查找非正常“原因”，沿“偏离”在系统中正向查找不利“后果”，确定后果严重性等级［2］。

HAZOP具体分析方法详见AQ/T3049—2013《危险与可操作性分析（HAZOP分析）应用导则》［3］。

当HAZOP分析确定后果严重性等级为高风险或很高风险时，需进一步进行LOPA分析，计算目前偏差导致的后果发生的频率，判断现有保护措施是否足够，建议措施是否能够有效地降低事故发生频率等。

可通过增加SIF回路保护层，降低事故发生概率，从而得出SIF回路的SIL。

LOPA具体分析方法详见AQ/T 3054—2015《保护层分析（LOPA）方法应用导则》［4］。

根据文献［4］中表E.2，引发偏差的初始事件，如控制回路失效、冷却水失效、控制阀误动作、常规人员操作失误、雷击等，偏差导致的事故发生概率f1i≤1×10－1，假设，年频率等级为1～10－1。

在涉及“重点监管工艺、重点监管化学品、重大危险源”或可能引发高后果的工艺，大多已配置基本过程控制系统（BPCS）、过程报警及操作员干预、安全阀、爆破片、防火堤等独立保护层中的一个或多个，根据文献［4］中表E.3，各独立保护层失效概率PFD≤1×10－1；引入点火概率、人员暴露、人员伤害、毒性影响等修正系数P，P=n×10－1，n=1～10，偏差导致的事故发生概率fci=f1i×PFD×P≤n×10－3，年频率等级范围为10－2～10－3。

sil验算的方法
SIL验算的方法主要有以下几种：
1. 需求时失效概率PFD SIL验证中计算PFDavg的方法，主要是通过马尔可夫分析法，即基于马尔可夫过程的假设前提下，通过分析随机变量的现时变化情况来预测这些变量未来变化情况的一种预测方法。

2. 专家经验法，指有很高专业知识与水平的技术人员，通过自身的经验，通过对以前相似的系统进行比较，进而对安全仪表功能是否达到设计的SIL水平进行确认。

3. 失效模式与影响分析，基于系统内部全部部件的一个详细列表为出发点，以1次1个部件的方法对整个系统进行分析。

4. 故障树分析法，对于系统故障的分析是进行自顶向下识别的。

首先将系统所存在的状态或者所存在的故障事件当作故障树的顶点，进而对致使发生故障的因素找出来，在此过程中遵循循序渐进的原则，一直到故障机理或者概率分布被找出，并且被找出的故障机理或者概率分布均为已知的因素为截止点。

5. 可靠性框图法，对于系统内部组件的串联与并联关系，便可以利用基于可靠性框图法中的图形方式进行表示。

以上信息仅供参考，具体方法还需要根据实际情况来选择。

检测与仪表化工自动化及仪表，2009，36(5)：62—66C ont r o l a nd I nst r um ent s i n C h em i ca l I ndu s t r y安全仪表系统(SI S)的SI L评估许忠仪(中国行化镇海炼化公司仪控部，浙江宁波315207)摘要：主要论述安全仪表系统及进行SI L评估的必要性，并作了简单的可靠性计算，随着安全仪表系统工程的发展，在安全仪表系统的设计过程中，对安全仪表系统的SI L等级进行定量分析将是重要的。

关键词：安全仪表系统(SI S)；安全完整性等级(SIL)；定量分析中图分类号：T H814文献标识码：A文章编号：1000．3932(2009)05-0062-051引言随着石油、化工装置的经济规模日趋大型化，生产装置的密集程度越来越高，对操作、控制及安全的要求也越来越严格。

石化装置的产品一般都属于易燃、易爆或有毒介质，生产过程稍有闪失就会酿成灾难性的事故，造成生产、设备、人员等方面的重大损失。

作为过程工业安全的重要保障，确保过程工业安全仪表系统本身的可靠性对于过程工业的安全具有重要意义。

2安全仪表系统安全仪表系统(S a f e t y i ns t r um e nt ed sys t em s，SI S)是一种自动安全保护系统，它是保证正常生产和人身、设备安全的必不可少的措施，它已发展成为工业自动化的重要组成部分。

在过程工业中，安全仪表系统的安全性对于事故的影响十分巨大，由于过程工业中的安全事故通常会造成人员伤亡和巨额财产损失，因此开展过程工业安全仪表系统安全评定对于确保过程工业安全具有重要意义。

统计资料表明，过程工业中，由于对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不恰当所造成的安全事故在全部事故中所占的比重最大。

安全仪表系统设计不当，一种可能的后果是该跳车时不跳，造成拒动作；另一种可能的后果是不该跳车时跳车，造成误动作。

实用简化的SIL预验算方法前言我们知道在进行危险与可操作性（HAZOP）分析和安全完整性等级（SIL）评估之后，如果确定需要增加安全仪表系统（SIS）来降低风险，那么就需要对仪表安全功能（SIF）进行SIL验算。

常规的SIL验算过程相对比较繁琐漫长，且常有验算结果无法满足目标SIL等级要求的情况（即无法通过SIL验证），这时候又要回过头分析各种可能原因，可能是SIF设计的问题，也可能是某个仪表设备的问题…这是目前SIL验算工作普遍存在的现象。

试想一下，如果SIL定级的时候我们把SIL验算流程简化，不需要提供设备的失效数据和复杂的计算，经过简单判断就能得到SIF大概的SIL等级，是不是就能大大提高工作效率，减少返工？我们称之为实用简化的SIL预验算:1.一般情况下，单一执行动作（1oo1）的SIF，采用通用数据计算可以实现SIL1级别，但PFDavg很难达到1.00E-02（RRF=100）。

如果都采用SIL2及以上的SIL认证设备，组成的SIF则可达到SIL2级别但PFDavg很难达到1.00E-03甚至2.50E-03这个数值，换言之在SIL定级的时候，若要求SIF的PFD小于2.50E-03或RRF超过400，则SIL验算的结果很难达到定级的要求(如某个SIL2的SIF定级时要求PFD小于1.00E-03，那么在SIL验算时注定失败！)；2.SIL验算过程中，传感器是否设置冗余对整个SIF的PFDavg影响较小，而要求同时执行的动作（关键动作）的增加却对整个SIF的PFDavg影响较大。

3.若所有设备均采用认证的失效数据计算，SIF的目标要求为SIL2时，关键动作不宜超过3个；随着关键动作的增加，SIF可以实现的SIL等级会出现降级趋势。

本文将根据实际项目中的失效数据并结合项目组成员的丰富经验，详细探讨上述SIL预验算的方法。

SIL验算方法概述在确定SIL等级时，应考虑导致非安全状态的所有失效因素，如硬件随机失效、软硬件设计缺陷和环境干扰等。

80一、项目概述本项目共有16个工段，19种品种，应用RiskCloud软件分别对其中的重大危险工艺：重氮反应工艺、耦合反应工艺、硝化反应工艺进行了危险与可操作性分析（HAZOP）、保护层分析（LOPA 定级）、安全完整性等级（SIL）验算，在此只对重氮反应工艺进行阐述。

二、危险与可操作性分析危险与可操作性分析（HAZOP）是工艺危险分析方法之一，用于辨识设计缺陷、工艺过程危险和操作性问题的系统性分析方法。

通过分析生产运行过程中工艺（状态）参数的变动，操作控制中可能出现的偏差分析，以及这些变动与偏差对系统的影响及可能导致的后果，出现变动或偏差的原因，并针对变动与偏差的后果提出应采取的措施。

1.分析流程将装置的工艺流程划分为不同的节点，通过一系列引导词系统地对每一个节点进行审核，发现导致偏差的原因和由此可能产生的后果，识别和判断现有的安全措施是否能够避免结果的产生，并针对不足的措施提出相应的建议，并如实地记录分析的全过程。

2.分析记录表HAZOP分析记录表中对评估后果的严重程度和发生的可能性采用风险矩阵法进行评估，确定风险等级，并根据风险等级来确定需要采取的行动。

三、保护层分析（LOPA）LOPA是在HAZOP分析的基础上，进一步评估保护层的有效性的半定量风险评估方法，通常使用初始事件频率、后果严重程度和独立保护层（IPLs）失效频率的数量级大小来近似表征事故剧情的风险；可以确定安全仪表功能回路SIL等级，LOPA分析的过程也是SIL定级过程；可以确定工艺过程是否有足够的保护层，风险是否满足企业的风险标准，是一种更好的风险决策方法。

1.LOPA分析步骤SIS功能回路确定；初始事件频率确定：初始事件频率数据来源：（1）行业数据，《化工过程定量分析指南，第二版》（2）公司的经验，企业具有充足的历史数据，用来进行有意义的统计分析（3）供货商的数据。

事故后果及后果严重性对应可接受风险（风险容忍概率）的确定：基于HAZOP分析结果，导出事故的后果。

危化企业高温高压，有毒有害。

安全联锁系统（SIS）是阻止事故发生最关键的一个环节。

那么什么样的安全联锁系统（SIS）算是合格的系统呢，怎么评价一个安全联锁系统是否具备真正的保护作用，除了安全联锁系统（SIS）具有安全认证、冗余性、容错性和故障安全性以外，最有效的评估手段只有SIL定级和验算，SIL定级和验算是针对每一个联锁回路的（SIF），只有回路全部合格了，才是一个有效的保护层。

所以SIL验算是整个安全仪表系统（SIS）是否合格的最有力证明。

SIL定级太简单了,直接说验算吧。

问题1：目前存在一个认知的误区，就是一味的追求传感器和切断阀的SIL 等级，这是外行人的行为。

制约一个回路最关键的因素是联锁仪表的结构形式，而非单台仪表的SIL等级。

也就是我们常说的1oo2D、2oo3、2oo4D 等，任何一个低SIL级别的仪表，通过联锁结构，可以搭建成为高级别回路。

举个极端的例子，没有SIL级别的传感器，通过1oo3、1oo4或1oo5可以搭建成SIL2甚至SIL3的回路。

问题2：假认证（无效认证）满天飞，目前安全认证最权威的是TUV，如果你想选，那就选TUV认证的。

一些企业盲目追求安全认证，还不想花钱，催生了一批山寨认证。

一个最破旧的磁浮子液位计，竟然有“SIL3认证”，售价几百块，获得了很多企业的青睐。

高端仪表怎么和它PK?硬生生的掐断了一些真正高质量的仪表厂商活路的同时，给自己埋下了事故的种子。

问题3：计算人员过分依靠软件，目前最权威的软件为exSILentia，即使它的失效数据库，其实可信度也不高。

这些数据从哪里来，大部分是仪表厂商自己提供的，也有一部分是软件公司收集的，他们的收集只能从企业。

这些数据库有多大的可信度值得商榷。

权威软件如此，国内一些小软件，只能是东施效颦。

最主要的是，企业所使用的设备绝大部分没有在这个数据库中。

问题4：其实就SIS系统本身来讲，其可靠性和可用性都差不多，失效数据不会差距太多。

安全仪表系统(SIS)的SIL评估摘要: 主要论述安全仪表系统及进行SIL评估的必要性,并作了简单的可靠性计算,随着安全仪表系统工程的发展,在安全仪表系统的设计过程中,对安全仪表系统的SIL等级进行定量分析将是重要的。

1 引言随着石油、化工装置的经济规模日趋大型化,生产装置的密集程度越来越高,对操作、控制及安全的要求也越来越严格。

石化装置的产品一般都属于易燃、易爆或有毒介质,生产过程稍有闪失就会酿成灾难性的事故,造成生产、设备、人员等方面的重大损失。

作为过程工业安全的重要保障,确保过程工业安全仪表系统本身的可靠性对于过程工业的安全具有重要意义。

2 安全仪表系统安全仪表系统(Safety instrumented systems,SIS)是一种自动安全保护系统,它是保证正常生产和人身、设备安全的必不可少的措施,它已发展成为工业自动化的重要组成部分。

在过程工业中,安全仪表系统的安全性对于事故的影响十分巨大,由于过程工业中的安全事故通常会造成人员伤亡和巨额财产损失,因此开展过程工业安全仪表系统安全评定对于确保过程工业安全具有重要意义。

统计资料表明,过程工业中,由于对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不恰当所造成的安全事故在全部事故中所占的比重最大。

安全仪表系统设计不当,一种可能的后果是该跳车时不跳,造成拒动作;另一种可能的后果是不该跳车时跳车,造成误动作。

拒动作会造成严重甚至灾难性的后果,误动作的直接后果是装置停车,造成巨额的经济损失。

根据IEC61511中的定义,安全仪表系统是由传感器、逻辑控制器、执行器组成的,能够行使一项或多项安全仪表功能(Safety instrumented function,SIF)的系统。

每一个安全仪表功能针对特定的风险对生产过程进行保护[1]。

图1为一典型的安全仪表功能,它的功能是为了防止压力容器V100中压力过高而发生爆炸等危险事故。

安全仪表系统的SIL评估安全仪表系统（Safety Instrumented System，SIS）在工业生产过程中扮演着至关重要的角色，用于保障人员和设备的安全。

在本文中，我们将探讨安全仪表系统的重要性和应用场景，并详细介绍SIL评估的要求、方法和结果分析，旨在帮助读者更好地理解和完善安全仪表系统。

安全仪表系统是一套独立的控制系统，主要应用于关键控制回路和工艺流程，以确保在出现故障或异常情况下，能够及时启动相应的安全措施，最大程度地减少人员伤亡和设备损坏。

安全仪表系统广泛应用于石油、化工、制药、食品等众多行业，是保障工业生产安全的重要组成部分。

安全仪表系统（SIS）：是一种独立的控制系统，用于监测和控制关键控制回路和工艺流程，以确保在出现故障或异常情况下，能够及时启动相应的安全措施。

SIL评估：Safety Integrity Level（安全完整性等级）评估是对安全仪表系统的一种定量评估方法，用于衡量系统在预防事故方面的有效性和可靠性。

评估标准：SIL评估需要依据相应的评估标准，如IEC 、ISO 等，这些标准规定了安全仪表系统的安全完整性等级的定义、评估方法和流程等。

评估方法：SIL评估采用定量评估方法，通过对安全仪表系统的故障概率进行评估，来确定系统的安全完整性等级。

评估流程：SIL评估的流程一般包括以下几个步骤：资料审查、现场考察、功能测试、故障树分析、风险矩阵计算等。

定性评估：主要是通过资料审查和现场考察，了解安全仪表系统的设计、结构、元件、可靠性等方面的信息，判断系统是否具备必要的安全功能和可靠性。

定量评估：基于故障树分析和风险矩阵计算，通过对安全仪表系统可能发生的故障进行概率统计和风险评估，以确定系统的安全完整性等级。

具体步骤如下：（1）收集系统故障数据：通过故障树分析，收集安全仪表系统各部件的故障数据，包括故障类型、故障概率等信息。

（2）确定故障风险矩阵：根据收集到的故障数据，确定各故障类型的风险矩阵，以量化故障对系统安全性的影响程度。

企业：《自动化博览》日期：2011-07-08领域：工业安全点击数：1749作者赵亮中海石油化学股份有限公司海南省东方市572600摘要：安全完整性等级（SIL）评估技术是近几年发展起来的针对石化行业一种基于风险的资产管理方法，国际标准IEC61508和IEC 61511的制定为石化工业等过程工业的安全完整性水平评估提供了依据，对于石化行业的安全生产水平具有重要的促进作用。

本文根据80万吨/年甲醇项目的安全完整性等级计算的过程介绍安全完整性等级的计算方法，为项目的建设验收以及装置的技术改造提供理论依据。

关键词：工艺危害性分析（PHA）；危险与可操作性分析（HAZOP）；安全完整性等级（SIL）Abstract: Safety Integrity Level (SIL) evaluation technology is an asset management way for risk on oil and chemical industries. It is developed in the closed years. The foundation of IEC 61508 and IEC 61511 provide theory base for SIL, which promote greatly for industry safety operation level. This article takes the plant with 800K tons of methanol per year for instance to detail SIL counting method, therefore to set a theory foundation for project built and acceptance as well as the reforming of a plant.KEY WORDS: Process Hazard Analysis (PHA), Hazard and Operation Analysis (HAZOP), Safety Integrity Level (SIL)安全完整性等级（SIL）是安全仪表系统（SIS）中的重要组成部分，在国际电工委员会（IEC）标准IEC 61508以及IEC 61511中有详细的规定，同时在ISA S84.01中有类似的规定，不过ISA S84.01关于SIL的模型已经逐步被IEC 61508代替，但是在安全完整性等级的计算中还有重要的意义。

安全仪表系统 (SIS) 的 SIL 评估纲要 : 主要阐述安全仪表系统及进行 SIL 评估的必需性 , 并作了简单的靠谱性计算 , 跟着安全仪表系统工程的发展 , 在安全仪表系统的设计过程中 , 对安全仪表系统的 SIL 等级进行定量剖析将是重要的。

1引言跟着石油、化工装置的经济规模日益大型化 , 生产装置的密集程度愈来愈高 , 对操作、控制及安全的要求也愈来愈严格。

石化妆置的产品一般都属于易燃、易爆或有毒介质 , 生产过程稍有闪失就会酿成灾害性的事故 , 造成生产、设施、人员等方面的重要损失。

作为过程工业安全的重要保障 , 保证过程工业安全仪表系统自己的靠谱性关于过程工业的安全拥有重要意义。

2安全仪表系统安全仪表系统 (Safety instrumented systems,SIS)是一种自动安全保护系统 , 它是保证正常生产和人身、设施安全的必不行少的举措 , 它已发展成为工业的重要构成部分。

在过程工业中,安全仪表系统的安全性关于事故的影响十分巨大, 因为过程工业中的安全事故往常会造成人员伤亡和巨额财富损失, 所以展开过程工业安全仪表系统安全评定关于保证过程工业安全拥有重要意义。

统计资料表示, 过程工业中 , 因为对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不适合所造成的安全事故在所有事故中所占的比重最大。

安全仪表系统设计不妥 , 一种可能的结果是该跳车时不跳 , 造成拒动作 ; 另一种可能的结果是不应跳车时跳车 , 造成误动作。

拒动作会造成严重甚至灾害性的结果 , 误动作的直接结果是装置泊车 , 造成巨额的经济损失。

依据 IEC61511 中的定义 , 安全仪表系统是由、逻辑、履行器构成的 , 能够履行一项或多项安全仪表功能 (Safety instrumented function,SIF) 的系统。

每一个安全仪表功能针对特定的风险对生产过程进行保护 [1] 。

安全仪表系统设计与SIL的计算方法左信朱春丽中国石油大学（北京）自动化研究所2008年11月•北京•自控中心站培训目录第1章安全仪表系统设计概述 (1)1.1 安全性与可用性 (1)1.1.1 安全仪表系统的安全性 (1)1.1.2 安全仪表系统的可用性 (1)1.1.3 安全性与可用性之间的关系 (2)1.2 安全仪表系统的设计目标 (2)1.3安全仪表系统的设计原则 (2)1.3.1 基本原则 (2)1.3.2 逻辑设计原则 (3)1.3.3 回路配置原则 (4)1.4 完整的安全仪表回路设计 (4)1.5 安全仪表系统的设计步骤 (5)第2章安全度等级SIL的计算方法 (6)2.1 系统结构介绍 (7)2.1.1 1oo1结构 (7)2.1.2 1oo2结构 (7)2.1.3 2oo2结构 (8)2.1.4 2oo3结构 (8)2.1.5 1oo2D结构 (8)2.2 SIL的可靠性框图计算方法 (9)2.2.1 1oo1结构的可靠性框图 (9)2.2.2 1oo2结构的可靠性框图 (10)2.2.3 2oo2结构的可靠性框图 (10)2.2.4 2oo3结构的可靠性框图 (11)2.2.5 1oo2D结构的可靠性框图 (11)2.2.6术语列表 (12)2.3 SIL的马尔可夫模型计算方法 (13)2.3.1 1oo1结构的马尔可夫模型 (13)2.3.2 1oo2结构的马尔可夫模型 (14)2.3.3 2oo2结构的马尔可夫模型 (16)2.3.4 2oo3结构的马尔可夫模型 (18)2.3.5 1oo1D结构的马尔可夫模型 (20)2.3.6 1oo2D结构的马尔可夫模型 (20)2.3.7 术语列表 (22)2.4 SIL的故障树分析计算方法 (24)2.4.1 1oo1结构的PFD故障树 (24)2.4.2 1oo2结构的PFD故障树 (24)2.4.3 2oo2结构的PFD故障树 (25)2.4.4 2oo3结构的PFD故障树 (25)2.4.5 2oo4结构的PFD故障树 (26)2.4.6 1oo1D结构的PFD故障树 (26)2.4.7 1oo2D结构的PFD故障树 (27)2.4.8 2oo2D结构的PFD故障树 (27)2.4.9 2oo4D结构的PFD故障树 (28)2.4.10术语列表 (28)第3章计算实例 (29)第1章安全仪表系统设计概述1.1 安全性与可用性1.1.1 安全仪表系统的安全性安全仪表系统的安全性是指任何潜在危险发生时，安全仪表系统保证使过程处于安全状态的能力。

安全完整等级回路（SIL）计算实例分析作者：李文龙来源：《中国科技纵横》2020年第11期摘要：安全完整性等级（SIL）评估技术是近年发展起来的针对石油化工行业一种基于风险的资产管理方法。

国际标准IEC61508和IEC61511的制定为石油化工等过程工业的安全完整性水平评估提供了依据。

对于石油化工行业的安全生产水平具有重要的促进作用。

本文根据天然气制乙炔装置的安全完整性等级计算的过程介绍安全完整性等级的计算方法，为项目的建设验收以及装置的技术改造提供理论依据。

关键词：危险与可操作分析（HAZOP）;安全完整性等级（SIL）;实例分析0概述安全完整性等级（SIL）是安全仪表系统（SIS）中的重要组成部分，在国际电工委员会标准IEC 61508和IEC 61511中有详细的规定，目前国内大型石油化工装置中关于安全仪表的相关论述很多，包括如何进行HAZOP分析等。

但对于安全完整性等级（SIL）的确定后如何指导对项目的安全完整等级进行验证，如何收集相关参数等论述的比较少。

现在越来越多的专利商提出现场开车时必须要SIL回路报告。

本文就介绍安全完整性等级的具体过程出发，结合实例分析如何进行安全完整性的验算，为以后类似项目专利商的验收和日后的技术改造等提供技术参考。

1安全完整性（SIL）验算基础（图1）因为天然气制乙炔装置的设计为正常带电，因此，可以不考虑电源的PFD，PFDPOWER 为0。

1.1安全完整等级（SIL）与PFD的关系根据IEC 61508中关于SIL与PFD的关系见表1。

1.3安全回路公共故障系数β的计算根据以上的表格以及上海自动化研究所经验，确定天然气制乙炔装置的公共故障系数β：相同通道组成的冗余结构β值（共同失效因子）为10%，不同通道组成的冗余结构β值为5%。

2安全完整性等级（SIL）的PFD实例计算2.1系统结构及功能該安全仪表系统安全仪表功能（SIF）编号为GEN-01，当反应炉没有火焰时执行安全功能，详见表2。

仪表系统安全完整性等级（SIL）评估管理规定1 总则1.1 目的依据为了规范石化公司安全仪表系统安全完整性等级（SIL）评估工作，确保安全仪表系统SIL评估的资金筹措、组织机构、评估、结果审核、措施建议落实等全过程受控，依据《中国石化设备管理办法》《中国石化安全仪表系统安全完整性等级评估管理办法（试行）》《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》安监总管三〔2014〕116号，制订本规定。

1.2 适用范围本办法适用于公司范围内新建、改建或扩建的建设项目（以下简称建设项目）和在役装置或设施（以下简称在役装置）安全仪表系统的SIL评估。

1.3 规范内容界定本办法规定了安全仪表系统SIL评估的资金筹措、组织机构、评估、结果审核、措施建议落实等过程。

1.4 管理原则基于危险与风险分析，合理确定建设项目和在役装置安全仪表功能（SIF）以及所应具有的SIL。

对建设项目和在役装置中的每个SIF进行验证，确定所有SIF满足了所需要的SIL。

1.5 管控方式将建设项目安全仪表系统安全完整性等级（SIL）评估纳入建设项目设计管理，将在役装置安全仪表系统安全完整性等级（SIL）评估纳入日常安全生产管理。

严格按照本办法规范青岛石化公司安全仪表系统安全完整性等级（SIL）评估工作。

2 术语和定义下列术语和定义适用于本规定（安全仪表系统、SIL分析方法）。

2.1 安全仪表系统本规定所指安全仪表系统主要包括安全联锁系统、紧急停车系统、火/气保护系统（F/G、燃烧炉管理系统（BMS）、高完整性压力保护系统（HIPPS）等。

2.2 SIL分析方法SIL分析方法是基于GB/T20438和GB/T21109功能安全标准、国外行业导则及经验做法，结合被评估装置PID图、工艺技术规程、联锁逻辑图等资料，进行危险与风险分析，辨识安全仪表功能（SIF）；应用保护层分析法（LOPA）来评估各种危险事件发生时所造成的人员伤亡风险、环境影响风险及经济损失风险，综合确定每一个SIF回路所需求的安全完整性等级（SIL）。

GB/T50770‐2013《石油化工安全仪表系统设计规范》
确定SIL步骤
危险事件可能性
危险事件严重等级
LOPA与HAZOP对比
LOPA的信息 HAZOP的信息
影响事件 后果
严重性等级 后果的严重性（S）
引发原因 原因
危险事件可能性 事故发生概率（L）
保护层 现有措施
要求的附加减轻 建议措施
SIL等级的区别：
SIL 1：测量仪表、最终元件可与基本过程控制系统共用，可采用单一 仪表；逻辑单元宜与过程控制系统分开，可采用冗余；（单个传感器、
单个逻辑控制器、单个执行元件，容错容冗）
SIL 2：测量仪表、最终元件宜与基本过程控制系统分开，宜采用冗余
；逻辑单元应与过程控制系统分开，宜采用冗余；（多个传感器、
多个逻辑控制器、多个执行元件，容错）
SIL 3：测量仪表、最终元件应与基本过程控制系统分开，应冗余 ；
逻辑单元应与过程；控制系统分开，应冗余；（多个传感器、多个逻
辑控制器、多个执行元件）
SIL1‐SIL4安全完整性的要求（失效率来控制）。

电子技术Electronic Technology电子技术与软件工程Electronic Technology&Software Engineering 安全仪表系统及SIL评估廖朝阳(中国石化巴陵石化分公司湖南省岳阳市414014)摘要：本文阐述了SIL安全等级的概念和SIL可靠性计算。

详细的分析了安全仪表在石油化工中可靠性和实用性的应用。

通过合理、有效地设置安全仪表系统，保障化工装置安全性和完整性。

关键词：安全仪表系统；SIL;联锁；化工装置1安全仪表系统和SIL评估安全仪表系统实际是…种自动安全保护系统，是保证装置正常生产和保护人身、设备安全的必要措施，是工业自动化的重要组成部分。

如果安全仪表系统设计不当，可能的后果一种是该停车时不停，造成拒动作；可能的后果另一种是不该停车时停车，造成误动作。

误动作的直接后果是造成生产装置停车，甚至巨额的经济损失。

拒动作则会造成更严重甚至灾难性的后果，比如火灾爆炸、人身伤害等。

正因为安全仪表系统可能存在的隐患，所以安全仪表系统的SIL评估就显得尤为重要。

2SIL等级的定义和划分2.1SIL等级的定义SIL是Safety Integrity Level的缩写，中文称之为安全完整性等级。

1998年颁布的IEC61508功能安全标准中首次提出了S1L的概念，它是一种功能安全等级的划分。

IEC61508将SIL分为SIL1, SIL2,SIL3和SIL44个等级。

安全相关系统的SIL级别，是由风险分析计算得出來的，是通过分析风险暴露时间和频率、风险后果严重程度、不能避开风险的概率和不期望事件发生概率等四个因素综合得出。

SIL级别越高，它要求的危险失效概率就越低。

SIL等级越高，它所对应的安全防护系统可靠性也就越高，这是企业希望看到的。

但安全防护系统的高可靠性会带来更多的资金投入。

而且，随着安全仪表系统服役年限延长，硬件的可靠性会必将降低，即这也意味着系统的安全完整性等级会下降。

安全仪表系统安全完整性等级（SIL）评估方法《国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三〔2014〕116号）》要求：涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析(如危险与可操作性分析)基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低要求。

《国家安全监管总局关于加强化工过程安全管理的指导意见安监总管三〔2013〕88号》：对涉及重点监管危险化学品、重点监管危险化工工艺和危险化学品重大危险源（以下统称“两重点一重大”）的生产储存装置进行风险辨识分析，要采用危险与可操作性分析（HAZOP）技术，一般每3年进行一次。

对其他生产储存装置的风险辨识分析，针对装置不同的复杂程度，选用安全检查表、工作危害分析、预危险性分析、故障类型和影响分析（FMEA）、HAZOP技术等方法或多种方法组合，可每5年进行一次。

目前SIL评估主要依靠保护层分析(LOPA)来确定每一个安全仪表功能(SIF)的安全完整性等级(SIL)。

一个典型的化工过程包含的保护层，如本安设计、BPCS、报警与人员干预、安全仪表系统、物理保护、释放后保护措施、工厂应急响应和社区应急响应等（如下图示）。

LOPA是一种半定量的风险评估技术，一般使用初始事件频率、后顾严重程度和IPL 失效频率的数量级大小来表征场景的风险。

其步骤主要包括：1）SIF选择；2）场景识别及筛选；3）IE确认；4）IPL评估；5）场景频率计算；6）风险评估与决策，分配SIF的SIL等级；7）下一个SIF重复以上步骤，直至所有场景分析完毕。

LOPA分析是考验经验知识积累和方法掌握，对于LOPA 分析团队，需具有工艺、仪表、安全、设备等多方面的经验知识，熟悉各种不同化工生产装置的风险控制点。

可以说，一个LOPA分析团队水平的高低，直接影响最终LOPA分析的质量。

sil的计算方法SIL的计算方法SIL（Safety Integrity Level）是一种用于评估安全系统可靠性的指标。

它主要用于工业控制系统、汽车电子系统等领域，以确保系统在故障发生时能够保持安全性。

SIL的计算方法是基于风险分析和系统可靠性工程的理论基础，通过对系统的故障率、失效模式和影响程度进行评估，从而确定系统所需的SIL等级。

本文将介绍SIL的计算方法和相关概念。

一、SIL的概念和等级SIL是根据国际标准IEC 61508和IEC 61511来定义和应用的，它共分为四个等级：SIL 1、SIL 2、SIL 3和SIL 4。

SIL 1是最低的安全完整性级别，而SIL 4是最高的安全完整性级别。

不同的应用场景和风险需求决定了系统所需的SIL等级。

二、SIL的计算方法SIL的计算方法主要包括以下几个步骤：1. 风险分析：首先需要进行风险分析，确定系统可能面临的各种风险和潜在的故障模式。

通过对系统的功能和操作进行全面分析，识别可能导致事故的故障模式和其发生的概率。

2. 故障率评估：根据系统的故障模式，评估每个故障模式的失效率。

失效率可以通过历史数据、实验或专家判断等方法得出。

故障率评估是计算SIL的关键步骤，它直接影响到系统的可靠性和安全性。

3. 安全完整性级别确定：根据风险分析和故障率评估的结果，确定系统所需的安全完整性级别。

根据SIL等级的定义，可以选择适当的SIL等级来满足系统的安全要求。

4. 安全完整性级别验证：完成SIL的计算后，需要进行安全完整性级别验证。

验证的目的是确保系统的设计和实施符合所需的SIL等级，以确保系统能够按照预期的安全要求运行。

5. 故障排除和改进：在系统运行过程中，如果发现故障或不符合SIL要求的情况，需要进行故障排除和改进措施。

这些改进措施可以包括更新设备、修复软件漏洞、加强培训等，以提高系统的可靠性和安全性。

三、SIL的应用范围和意义SIL的应用范围非常广泛，特别是在工业控制系统、化工装置、核电站和交通运输等领域。

浅谈安全完整性等级SIL安全仪表功能SIF是在特定环境中的一组具体的动作，用于将生产过程从潜在的非安全状态带入到安全状态，根据IEC 61511（ISA 84.00.01）的定义，SIL 是关于SIF回路的平均需求时失效概率PFD avg的一种分级描述。

SIL是通过评估安全仪表系统功能失效后的风险和已有风险降低手段而确定的，SIL定级可以实现安全功能的目标化管理以及衡量设施风险状况及制定管理要求，同时SIL技术提供了各方认可的安全品质整体量化的方法，填补了控制技术发展后安全法规体系的空白。

基于此，本文将阐释如何进行SIL定级，做到科学合理的确定SIL 水平。

标签：保护层分析（LOPA）;安全完整性等级（SIL）;安全仪表功能（SIF）1 保护层分析（LOPA）保护层分析（LOPA）是一种风险评估的简化方式，采用数量级的频率方式来事故场景的风险，其通常是基于工艺灾害分析PHA的分析结果，是一种半定量的风险分析与评估技术。

保护层分析是一种常见的SIL定级方法，简单来说，在假定事故场景当中，为各项保护措施故障的可能性赋值，运用数学计算的方式准确掌握安全措施可以降低风险的具体程度，以此有效防止出现保护不足或是保护过当。

上世纪80年代，美国化学生产协会提出了“充分保护层”的概念，2001年美国CCPS对LOPA技术首次进行了比较完整地介绍。

LOPA技术根据已有的独立保护层对SIL定级，具有既可作为相对粗糙的过滤工具也可作为更精确的分析，在定量应用时，残余风险水平的不确定性得以降低，因此无需保守评估的优点，已被广泛的应用。

在这，笔者给出LOPA分析的一般步骤：资料收集，确认灾害事件，场景后果分析，辨识初始事件和频率，辨识IPLs和相应的PFD，选择风险容许标准，评估风险是否可接受，采取措施降低风险或更改设计。

2 安全完整性等级完全完整性等级是衡量一个安全仪表系统可靠性的指标，通过依照安全仪表功能无法正常发挥自身应有效应下产生的后果与风险，可以将其功能按照安全完整性划分成四个等级，表1是笔者给出的安全完整性等级划分表。

1 SIL 定级分析方法1.1 SIL 定义IEC 61511（参考文献[i]）中对安全完整性等级（SIL）的定义是指在一定时间、一定条件下，安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级（SIL）由两部分组成：•硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表功能的运行过程中，与部件的功能退化及老化等有关；•系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级（SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表1.1。

表1.1 –安全完整性等级（SIL）划分1.2 SIL 定级分析方法应用风险评价矩阵和保护层分析（LOPA）方法，基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级（SIL）。

SIL 定级分析采取会议的形式，利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置和HAZOP 分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能（SIF）回路。

对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素有哪些，其要求频率是什么。

综合考虑和分析所需保护设备或系统中已有的各类保护措施，并讨论其降低风险的有效性；依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。

确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。

该研究方法的特点是：•保护层分析（LOPA）：用于分析工艺流程中所保护对象可能发生的危害事件偏离情形，以及导致危害事件产生的原因、后果和各种保护措施等；•风险等级矩阵：利用风险等级矩阵来确定各个安全仪表功能（SIF）回路所需求的安全完整性等级（SIL）。