安全完整性等级(SIL)验算方法及流程

2020年06
月
作业申请人在电脑端发起申请后，作业审批人员在移动端查看管辖范围内的待审批作业票，对符合作条件的作业票进行批复。

图1直接作业管理系统流程框架
作业计划时间前作业票签发相关人员抵达作业现场，由施工单位技术人员向作业人员进行技术和安全交底，并通过移动端拍照留痕，并提交到系统。

对于需要进行采样检测的作业，需同步开展采样检测，并将采样检测结果输入至系统中。

作业票由作业申请人现场填报作业人员相关信息后生成，作业票由监护人员进行安全条件确认签字和签发人签字后签发。

为保证签字人现场签字，通过人员定位和人脸识别实现定位签发，证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。

作业完工后，监护人现场定位签字验收。

作业流程从现场交底到完工验收全程实现视频监控，具有权限的用户可通过移动端远程查看现场作业场景。

同时具有权限用户也可在GIS 地图查看作业分布情况。

当作业完工验收后，作业票据及相关信息会上传至系统，系统会对作业情况进行分析，形成分析报告。

4结语
直接作业信息管理系统的开发应用，能够规范管道企业直接作业流程，解决目前作业环节中存在的关键问题，实现直接作业管理现场透明化、作业标准化、系统信息化，颠覆直接作业传统管理形式。

对于提升和优化直接作业的安全管理，保障直接作业作业过程安全具有重要意义。

参考文献：
[1]张少春，丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量，2017，(10)：47-48.
[2]李成承，周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境，2018，18(11)：53-55.
[3]李彬，张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术，2019，35(5)：3-5.[4]施红勋，王秀香，牟善军，等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术，2014，10
(增)：124-128.
[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信
息系统研发[J].工业安全与环保，2017，43(9)：71-74.
作者简介：邓付平（1986-），男，从事生产安全管理工作。

安全完整性等级（SIL ）
验算方法及流程
耿杰（中化环境科技工程有限公司，
辽宁沈阳110021）
摘要：国家安全监管总局提出关于加强化工安全仪表系统管理的指导意见，要求对在役生产装置或设施的化工企业和危险化学品储存单位进行现有安全仪表功能评估。

文章阐述安全仪表系统的评估方法和具体要求。

关键词：安全仪表系统；SIL 验算；安全仪表功能评估
0引言
安全仪表功能评估是对安全仪表功能进行验算，即安全完整性等级（SIL ）验算，也有人翻译成“验证”。

该步骤是对SIL 定级的确认，查证该回路所用的元件失效概率是否符合定级时的级别。

国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三〔2014〕116号）中要求对在役生产装置或设施的化工企业和危险化学品储存单位进行现有安全仪表功能评估。

那么，什么是安全仪表系统的评估？评估有哪些方法？需要做哪些工作？接下来，文章将做简要阐述。

1安全完整性等级（SIL ）验算方法
1.1SIF 构成
安全仪表功能（SIF ）是由SIS 执行的、具有特定安全完整性等级（SIL ）的安全功能，将被控工艺对象置于或保持在安全状态。

安全仪表系统（SIS ）是用于执行一个或多个SIF （安全仪表功能）的仪表系统。

SIS 由传感器、逻辑控制器，以及最终元件构成。

SIS 可以包括软件，可以包括人员动作作为SIF 的一部分。

SIF 要达到要求的SIL 等级，安全仪表系统才能达到要求的安全功能。

1.2验算方法选择
常用的SIL 验算的方法有可靠性框图、故障树、马尔可夫模型。

RBD 可靠性框图是一种图形化分析方法，它用图形的方式来表示系统内部组件的串联关系，将表决方式的连接关系也转换为串并联的方式，具有简单、清晰、直观的特点。

故障树分析是根据布尔逻辑用图表示系统特定故障间的相互关系，它是对故障发生的根本原因进行推理分析，然后建立从结果到原因描述故障的有向逻辑图。

该方法具有分析方法直观、应用范围广泛和逻辑性强等特点。

马尔可夫模型将系统归于不同的若干状态。

一个状态会以某种状态转移到其他状态。

马尔可夫模型包括了设备的多种失效模式，能覆盖最多的影响可靠性的因素，不受设备之间的依赖关系影响。

因而成为SIL 验算的主流方法。

但马尔可夫模型涉及到转换图和数学矩阵，计算费时费力。

2安全完整性等级（SIL ）验算过程
SIF 的SIL 验算计算是将SIF 分解为子系统，如传感器、逻
170
2020年06
月
辑控制器、最终元件（切断阀等），先计算各子系统的要求时平均失效概率PFDavg ，再将结果加和求得系统平均失效概率，计算公式如下：
PFD avg =∑PFD SE +∑PFD LS +∑PFD FE
进行PFDavg 计算时，一般要完成的步骤：（1）收集各回路中组件的失效数据（λ）；（2）建立SIF 回路中各组件的可靠性框图（RBD ）；（3）定量分析各SIF 回路要求时的平均失效概率（PFDavg ）及平均误动作停车时间间隔（MTTFs ）；（4）计算SIF 回路中各组件的PFDavg 贡献率；（5）验证当前SIF 回路是否满足目标SIL 等级要求；SIL 验算计算一般使用专门的计算软件。

3假设及输入条件
PFDavg 的计算需考虑需求模式、失效率（λ）、表决机制（MooN ）、检验测试覆盖率（CTI ）、检验测试间隔（TI ）、平均修复时间（MTTR ）、共因失效因子（β）等因素的影响。

3.1需求模式
需求模式分为低要求模式、高要求模式、连续模式。

低要求模式：在这种模式下，安全相关系统的操作频率不大于每年一次或者不大于两倍的检验测试频率；
高要求模式：在这种模式下，安全相关系统的操作频率大于每年一次或者大于两倍的测试周期频率；
连续模式：需求的发生为连续状态。

一般情况下，生产过程对SIS 的需求为低要求模式。

3.2失效率（λ）
随机硬件失效是不同部件由于退化原因而失效，这种失效在随机时间发生。

随机硬件失效包括四种失效模式：安全可检测（λSD ）、安全不可检测（λSU ）、危险可检测（λDD ）、危险不可检测（λDU ）。

其中危险不可检测（λDU ）的失效模式对SIF 的影响非常重要。

失效率（λ）数据可以通过SIL 认证证书、企业检修维护数据库或行业通用数据库获得。

3.3硬件故障裕度（HFT ）
硬件故障裕度（HFT ）指出现故障或误差的情况下，功能单元继续执行要求功能的能力。

硬件故障裕度（HFT ）与表决机制（MooN ）有关，HFT=N-M 。

如安全仪表系统内有多个表决组，则要先计算表决组的平均失效概率。

3.4检验测试覆盖率（CTI ）
检验测试覆盖率（CTI ）指对系统的平均失效概率影响很大，不完全的检验测试会使元件的平均失效概率曲线起点升高，如图1所示。

检验测试覆盖率（CTI ）由业主提供或选取行业通用数据。

3.5平均修复时间（MTTR ）及平均无故障时间（MTTF ）
平均恢复时间(MTTR)是从出现故障到恢复中间的这段时间。

MTTR 越短，系统的恢复性越好。

平均无故障时间(MTTF)即系统平均能够正常运行多长时间发生一次故障。

MTTF 越大，系统的可靠性越高。

3.6
检验测试周期（TI ）
推荐与工艺装置停车检修周期一致，某些情况下也会短于工艺装置停车检修周期。

图1不完全的检验测试下的元件平均失效概率
3.7共因失效因子（β）
当采用冗余的同型部件时由于共同的原因引起两个或两个以上的元件同时失效叫做共因失效，共因失效概率通常在1%~20%之间，共因失效因子β根据不同情况选取。

3.8初始事件（IE ）
初始事件是事故场景的初始原因，一般包括外部事件、设备故障和人员失误。

计算中涉及的初始事件（IE ）概率可由业主提供，或取自行业典型的失效数据。

3.9运行管理相关假设
安全仪表系统要达到设计的安全完整性等级，必须在设计、安装、使用、维护等方面遵循相关证书和安全手册。

例如，所有SIF 回路元件的安装及选型均按照国家标准规范执行；所有元件的功能都能够被校验与测试；编制SIS 系统的维修与操作程序并定期审核；等等。

4安全完整性等级（SIL ）验算结果
根据计算得出每一个SIF 回路的PFDavg ，对照表1（以要求模式为例），判断该回路属于哪个SIL 等级，将验算得出的SIL 等级与SIL 定级结果对照，确定现有安全仪表系统的要求时平均失效概率是否满足SIL 定级要求。

表1要求模式安全完整性等级
安全完整性等级（SIL ）
4321
要求时平均失效概率
（PFDavg ）
10-4～10-510-3～10-410-2～10-310-1～10-2
要求降低的概率10000～1000001000～10000100～100010～100
参考文献：
[1]阳宪惠，郭海涛.安全仪表系统的功能安全[M].清华大学出版社,2007.10.
[2]Paul Gruhn,P.E.,CFSE Harry L.Cheddie,P.Eng.,CFSE 编著;张建国，李明玉译.安全仪表系统工程设计与应用[M].中国石化出版社,2017.5.
[3]国家安全生产监督管理总局.保护层分析（LOPA ）方法应用导则（报批稿）[S].AQ/T3054-2015.
171。