SIL定级和符合性验证分析

危险事件发生频率 (W)
危险事件发生频率是指 不考虑安全仪表功能 （SIF）情况下危险事 件发生的频率。
W1 < 0.03次/年 出现频率极其微小，大约每30年以上发生一次
W2 0.03-0.3次/年 出现频率较小，每3到30年发生一次
W3 0.3-1次/年 相对较高的频率，每3年发生一次到一年发生1次
SIL定级方法 – 风险图
• 危险事件的后果（C）：代表人如果处在危险区域，这种危险可
能造成的平均伤亡数
后果(C)
C1 轻度的，可康复性的伤害
死亡人数
取决于危险事件发生时在危险区 域内的人数，危险事件的致命程 度（毒性及窒息等）V，以及易 燃易爆气体的点火概率等
C2
严重的，1人或多人永久性伤害，累积1 人死亡
DCS中进行高 温高压报警
增加安全释放阀
导致反应失控, 马
达失效引起反应 器的温度超高,压
骤停
力超高
如必要增加泄压
1
SIF来防止反应 失控
xxx
采用LOPA确认 所需的SIL
多
压力高 搅拌马达失效
马达失效引起反 应器的压力超高
同上
同上
xxx
增加高温SIF
多
温度高
温度控制失效导 致蒸汽加热过热
高温损坏反应密 封，引起泄漏
C3 多人死亡，累积1~5人
C4 灾难性影响，很多人死亡，累积5人以上
• 处于危险区域的频度（F）:代表人处在受影响区域的时间长度的 度量
暴露率(F)
F1
短时间频繁暴露于危险区域（一天不足几小时，处 于受意外影响的区域的时间少于总时间的10%）
F2
频繁的持久暴露于危险区域（一天几小时以上）
SIL定级方法 – 风险图
0 10万以下 1 10万到100万 2 100万到500万 3 500万到1000万 4 1000万及以上
0 SIL 1 SIL 2 SIL 3 SIL 4
0 a SIL 1 SIL 2 SIL 3
0 0 a SIL 1 SIL 2
• 最终的SIL要求通常是综合考虑人员伤亡风险、环境破坏风险和财产损 失风险所需求的SIL等级，选择其中需求较高的SIL等级来确定的。
W3 0.3-1次/年 相对较高的频率，图确定的基于人身安全需求的安全完整性等级为SIL2
风险图法示例
• 环境影响：由于是天然气站场，泄漏后产生的环境危害很小，例如不 可能造成土壤、河流及地下水等环境污染事故。
• 经济损失：可能造成下游低压设备和管道的损坏，并影响生产，最坏 的情况下将导致火灾爆炸事故，估计的经济损失在1000万元以下。确 定需求的安全完整性等级为SIL2
风险图法示例
• 某天然气管道系统 • 调压阀两侧压差较大（上下游分别为10Mpa和6.4Mpa）,设置串联的紧
急切断阀保护下游低压管道和设备。
• 如何确定该安全功能所需的安全完整性等级？
风险图法示例
• 后果C
- 调压阀失效可能导致高压气进入低压管线，低压管道并未设置 独立的其他安全仪表系统来防止可能的超压，因此可能的后果 是低压管道和设备的超压损坏，天然气泄漏遇点火源可能发生 火灾、爆炸事故。
域内的人数，危险事件的致命程
C3 多人死亡，累积1~5人
度（毒性及窒息等）V，以及易燃
易爆气体的点火概率等
C4 灾难性影响，很多人死亡，累积5人以上
风险图法示例
• 暴露率F
- 在正常工作时间内，所有站内工作人员都持续暴露在危险区域 内（即天然气站场内）
- 暴露率等级为F2
暴露率(F)
F1
短时间频繁暴露于危险区域（一天不足几小时，处 于受意外影响的区域的时间少于总时间的10%）
DCS中进行高 温报警
2
采用LOPA确认
xxx
所需的SIL
加高液位SIF
多
液位高
流量控制失效使 反应器液位充满
反应器液位充满 超高，引起反应 器损坏和溢出
DCS中进行液 位高报警
3
采用LOPA确认 所需的SIL
xxx
HAZOP分析（Ref #1：增加压力SIF）
HAZOP分析（ Ref #2：增加温度SIF）
• 避开危险事件的概率（P）：人员避开事故后果伤害的概率，依赖于人 员已经掌握的了解危险存在的方法和逃脱危险的方法。
避免危险事件 的概率(P)
安全仪表系统 失效情况下避 免危险事件的 概率。
P1 在同时满足以下三个条件的情况下可避免危害事件 的后果：
– 如果SIS系统失效，操作员能够得到警告；
– 有独立于SIS系统之外的设施能够关闭工艺系统 从而避免危险或使所有人员撤离到安全区域；
经济损失 SF (RMB)
W3
W2
每3年一次到一年一次 每3到30年一次
0 10万以下 1 10万到100万 2 100万到500万 3 500万到1000万 4 1000万及以上
0 SIL 1 SIL 2 SIL 3 SIL 4
0 a SIL 1 SIL 2 SIL 3
W1 每30年以上一次
0 0 a SIL 1 SIL 2
中石油西南设计院公司
工艺安全SIL技术及标准培训
斯堪伯奥科技（北京）有限公司 2011年2月
注：图片摘自2008 Google Indian News
SIL定级方法
● 德国及欧盟 - 风险图
较复杂
● 世界范围 - 风险矩阵
较简单
● 美国、英国及亚太区 保护层分析（LOPA） 较复杂
● 挪威 - 行业导则及经验 较简单
– 操作员接收到警告到发生危险事件之间的时间 间隔超过1小时或有足够长的时间采取行动；
P2 几乎不可能避免危害事件的后果，上述P1中的某一 个条件不能满足。
• 需要注意的是：暴露率F和避开危险的概率P的分类必须仔细进行，以 确保其概率在整个分析中没有重复考虑。
SIL定级方法 – 风险图
• 危险事件的频率（W）：是指事故发生的频率，是在没有采用任何SIS 的情况下得到的，但应当考虑其他保护层，如外部风险降低设施等。
工艺过程HAZOP分析（示例）
某公司可接受的风险标准
人员伤害后果分级
定义
可容忍风险（次/年）
极严重
爆炸
10-5
一个或更多死亡
严重的
人员重伤
10-4
复合医学治疗的伤害
轻微
小泄漏
10-3
较小的伤害或健康影响
HAZOP分析记录表
引导词 偏离
原因
无 无搅拌 搅拌马达失效
后果
安全措施 REF#
建议
责任方
测试间隔 类型 SFF(%)
8760
B
80%
8760
B
95%
8760
A
72%
8760
A
63%
MTTR 4 4 4 4
SIL计算
• 触发事件 PFDS = λd *(1-DC)*T/2 + λd *MTTR = 2.5E-3
• 逻辑处理器 PFDL = λd *(1-DC)*T/2 + λd *MTTR = 4.4E-3
注：上述数据参考CCPS数据库，不可直接引用。
安全要求功能分配和保护层分析
起始事件 压力报警 操作员反应 系统骤停 安全阀动作 终止事件 风险（次每年）
安全处理
Allocation of Safety Function0s.9to protection layers 分配安全功能到保护层
是
0.71
– 如果SIS系统失效，操作员能够得到警告；
– 有独立于SIS系统之外的设施能够关闭工艺系统 从而避免危险或使所有人员撤离到安全区域；
– 操作员接收到警告到发生危险事件之间的时间 间隔超过1小时或有足够长的时间采取行动；
P2 几乎不可能避免危害事件的后果，上述P1中的某一 个条件不能满足。
风险图法示例
SIL定级方法 – 环境影响
• SE = 环境破坏的严重程度
•
SE 直接后果
0 无影响
1 小范围影响
2 小范围但很严重的影响
3 暂时性污染
4 长期破坏
间接后果 无 必须上报相关管理部门 违反许可/处罚 负面公众效应 取消许可/生产、停止作业
SE 环境
0无 1 小范围影响 2 小范围严重影
响 3 暂时性污染 4 长期破坏
0.1
搅拌器失效 0.5
安全停车
0.9
安全泄放
0.93
0.1
超压爆炸
0.07
3.20E-01
3.20E-02 3.30E-03 2.49E-04
否 0.29
安全停车
1.31E-01
0.9
安全泄放
1.35E-02
0.93
0.1
超压爆炸
1.02E-03
0.07
超压爆炸
1.26E-03
目前发生爆炸的风险为1.26 x 10-3，远超出 风险可接受标准，系统的保护层否足够?
● 不常见 – QRA定量法
较复杂
风险分析（系统保护层分析）
Community Emergency Response社会紧急响应 Plant Emergency Response工厂紧急响应 Physical Protection (Dikes)物理保护
Physical Protection (Relief Devices)物理保护（释放设备） Safety Instrumented System安全仪表系统
计算所需的SIL等级
可容忍的风险水平
1.0x10-5
预期事件风险
1.26x10-3
由搅拌器马达失 效造成的反应器 爆炸风险
SIS
安全阀 系统骤停 操作员反应 超压报警
工艺流程
风险
计算所需的SIL等级 1. 预期爆炸事件风险为: 1.26 x 10-3
2. 公司对爆炸事件可接受风险为： 1.0 x 10-5
• 危险事件的频率W - 根据工业数据源，调压阀失效的频率约为0.1次/年 - 危险事件发生频率等级为W2
危险事件发生频率 (W)
危险事件发生频率是指 不考虑安全仪表功能 （SIF）情况下危险事 件发生的频率。
W1 < 0.03次/年 出现频率极其微小，大约每30年以上发生一次
W2 0.03-0.3次/年 出现频率较小，每3到30年发生一次
W3 每3年一次到一年一次
0 SIL 1
W2 每3到30年一次
0 a
W1 每30年以上一次
0 0
SIL 2
SIL 1
A
SIL 3 SIL 4
SIL 2 SIL 3
SIL 1 SIL 2
SIL定级方法 – 经济损失
• SF = 经济损失的严重程度
经济损失 SF (RMB)
W3
W2
W1
每3年一次到一年一次 每3到30年一次 每30年以上一次
- 站内建筑和设备分布比较密集，火灾爆炸后影响范围为全站； 全站常驻工作人员约40人，点火概率约为0.25，根据泄漏的天 然气物性确定其致命性系数为0.1;
- 伤亡人数约为40X0.25X0.1=1人，后果等级为C2
后果(C)
C1 轻度的，可康复性的伤害
死亡人数 取决于危险事件发生时在危险区
C2
严重的，1人或多人永久性伤害，累积1 人死亡
SIL符合性四大要求
SIL符合性验证
LALL功能
工艺风险 及SIL定级 分析后，
提出的需 求为SIL2！
SIL符合性验证
元件
λd
DC
液位变送器 1.40E-06
可编程安全系 统(PSD)
1.00E-05
电磁先导阀 1.30E-06
EV/XV(包括驱 动器)
2.70E-06
60% 90% 30% 25%
HAZOP分析（ Ref #3：增加液位SIF）
HAZOP分析（ 考虑所有建议后）
安全要求功能分配和保护层分析（基础失效率）
1. 搅拌器马达每两年失效一次
• 搅拌器失效频率：0.5 次每年
2. 各独立保护层PFD
• 压力报警失效：PFD = 0.29 • 操作员响应失效：PFD = 0.1 • 骤停失效：PFD = 0.1 • 减压阀失效：PFD = 0.07
F2
频繁的持久暴露于危险区域（一天几小时以上）
风险图法示例
• 避开危险事件的概率P
- 站内并无警告告知操作员SIS系统失效，并且不能确保有足够 时间采取行动
- 避开危险事件的概率为P2
避免危险事件 的概率(P)
安全仪表系统 失效情况下避 免危险事件的 概率。
P1 在同时满足以下三个条件的情况下可避免危害事件 的后果：
3. 增加SIS系统的PFD最小为：
PFD = 可容忍风险/预期风险 = 1x10-5 / 1.26x10-3 = 7.91x10-3
4. 所需SIS系统的SIL等级为：SIL= [-log10PFD] = 2
SIL符合性验证和 案例分析演示
SIL Compliance Verification & Case Study
Alarms, Operator Intervention报警，操作干涉 Basic Process Control基本过程控制 Process工艺过程
SIL定级方法 – 风险图
• 风险图最初是由德国工业标准开发的，在欧盟中得到了普遍应用。
• 与风险矩阵只考虑后果和可能性不同，风险图考虑以下四个因素： - 危险事件的后果（C） - 处于危险区域的频度（F） - 未能避开危险事件的概率（P） - 危险事件的发生频率（W）