当前位置：文档库 › 确定安全完整性等级(SIL)需求的方法

确定安全完整性等级(SIL)需求的方法

——优势与弊端

1简介

安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。对于具有安全功

能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能

否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和

保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义

相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际

使用频率非常低，比如汽车的如下两项功能：

?防抱死系统（ABS）。（当然，这跟司机也有关系）

?安全气囊（SRS）

另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：?刹车

?转向

如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会

导致事故的发生？针对二者的答案是不同的：

?对于使用频率低者，事故频率由两个参数构成：

1)功能的使用频率

2)当使用时，该功能发生故障的概率——故障概率（PFD）

因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒

数则称为：风险消除因数（RRF）。

?对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。假设故障的发生呈指数

分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以

以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：

PFD = λT/2 = T/(2xMTTF) 或者：

RRF = 2/(λT) 或 = (2xMTTF)/T

其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率

1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。）但这两者却是不

同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1。然而标准中对两种度量都使用相同的术语——SIL，定义见下表：

表1 – BS EN 61508中低使用频率下的SIL定义

表2– BS EN 61508中高使用频率或持续运作下的SIL定义

在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则是故障速率的代表。（在标准中，高低使用频率的分界大体上被设置在每年一次，这与3到6个月的检验间隔是相符的。在很多情况下，要使检验间隔比这更短也不大可行。）

现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周发生一次，约合25次每年，也就是高使用频率型；另一种大约10年发生一次，也就是低使用频率型。如果该功能的平均无故障时间为50年，那么对高频危险的保护将达到SIL1级别。同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。其他条件相同的情况下，对低频危险的防护等级实际上达到了：

PFD = 0.04/(2x50) = 4 x 10-4即：SIL3

那么，该功能达到的SIL等级究竟为何呢？显然答案不是唯一的，而是取决于具体保护的危险，特别是危险发生的频率是高还是低。

①此栏并非标准中所定义，但通常RRF比PFD更易处理。

②此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的MTTF值更有用，因为在这里，时间更多地是以年来计，而不是小时。

在前一种情况下，可以达到的SIL等级是由设备的内在属性决定的；后一种情况下，尽管设备的内在属性也很重要，但是可以达到的SIL等级同样受检验制度的影响，

这在过程工业领域很重要。在这里，可达到的SIL等级易受现场设备（过程仪表以

及其他特别是末端设备如关断阀等）可靠性的影响。这些现场设备需要定期地检验

方能达到需求的SIL等级。

每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是

容易混淆的。

3确定SIL需求的一些方法

BS EN 61508 提供了三种确定SIL需求的方法：

?定量法。

?风险图表法，在标准中被作为定性方法。

?伤害事件严重性矩阵，在标准中同样被作为定性方法。

BS IEC 61511 则提供了：

?半定量法。

?安全层级矩阵模型，被作为半定性方法。

?标准化风险图表法，在标准中被作为半定性方法，但业内也有些作为半定量方法。

?风险图表法，被作为定性方法。

?保护层级分析（LOPA）。（尽管标准并未指明是定性还是定量，但该方法是倾向于定量的。）

风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业

领域。两者的优势和弊端以及应用范围是本文的主要议题。

4风险图表法

风险图表法广泛使用的原因将在下文中介绍。典型的风险图表见图1。

C为后果参数，C A-C D表示不同的后果等级。

F为频率与暴露时间参数。

P为避免伤害的可能性。

W为无保护状态下，危险发生的速率。

图中的参数可被给予定性的描述，如：

C C≡造成数人死亡。

或定量的描述，如

C C≡发生死亡的概率为0.1到1.0。

图1–典型的风险图表

第一种定义规避了问题的实质：“数人”是多少人？在实际应用中，要评估SIL需

求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。这些定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成

半定量的了（或许是半定性？当然一定是在定量和定性两种极端之间的某个位置。）表3给出了一套典型的定义

表3–风险图表参数的典型定义

4.1 优势

风险图表法具有如下优势：

?是一种半定性/半定量的方法

?不需要精确的伤害发生速率、后果以及其他参数的值

?不需要专业的计算或复杂的建模

?只要对应用领域心里“有谱”的人就可以使用

?通常作为一种团队实践，类似于HAZOP[译注：危险与可操作性分析]?个人偏见得以消除

?对于风险与危害的理解得以在团队成员间传播（如从设计、操作、维护等不同位置得出的理解）

?个人易忽视的问题得以被发现

?需要计划和制度

?不需要详细学习相对轻微的伤害

?可以相对较快的速度评估多种危害

?可作为一种有效的筛查工具用于识别：

-需要更细致评估的危害

-无需额外防护的轻度危害

由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。

4.2残余风险范围的问题

考虑例子中的参数分别取：C C,F B,P B,W2，这样表示需要达到SIL3 的防护。

C C≡每次事故发生死亡的概率在0.1到1

F B≡暴露时间≥ 10%

P B≡伤害不可避免的可能性≥ 10%

W2≡3到30年发生一次

SIL3 ≡10000 ≥ RRF ≥ 1000

假设所有参数均位于其范围的几何平均数处：

后果 = √(0.1 x 1.0) = 每次事故发生死亡的概率为0.32

暴露时间 = √(10% x 100%) = 32%

不可避免性 = √(10% x 100%) = 32%

发生速率= √(3 x 30) ≈ 10年发生一次

RRF = = √(1000 x 10000) ≈3200

（注意：之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的）

考虑不加保护的危害：

风险最大值 = (1 x 100% x 100%)/3 ≈每3年有一人因事故死亡

风险几何平均值= (0.32 x 32% x 32%)/10 =每300年有一人因事故死亡

风险最小值= (1 x 10% x 10%)/30≈每30000年有一人因事故死亡

即：不加保护的风险从最小到最大有着4个数量级之差。

考虑加以SIL3级别的保护则：

残余风险最大值≈ (3 x 1000)=每3000年有一人因事故死亡

残余风险几何平均值≈ (300 x 3200)≈每100万年有一人因事故死亡

残余风险最小值≈ (30000 x 10000)=每3000万年有一人因事故死亡

即：加以保护后的风险从最小到最大有着5个数量级之差。

图2给出了基于平均情况的原理表示

图2 – BS IEC 61511 中的风险消除模型

对此单一的危害，一个合理的控制目标差不多在每10万年有一人因事故死亡。在

最不利的情况下，我们只能达到目标值30分之一的风险消除程度；而平均情况下，能得到10倍于目标的风险消除程度；在最有利的情况下，能得到3000倍于目标的风险消除程度。当然，实际上不可能所有参数都处在极限值上，但总的来说，这种方法必须给出一个保守的结果，以免风险消除的需求被低估。

管理残余风险范围中内在的不确定性以期得到一个保守结果的方法包括：

?校准图表，以使平均残余风险远低于目标值，如前所述。

?谨慎选择参数值，即对参数值的选取存在不确定时，选择偏保守者。

?仅当任何单一危害的平均残余风险在总体的风险控制目标中都只占很小的比例时，才应使用此方法。假设有许多不同的系统或功能对不同的危害进行保

护，那么这些危害总的平均残余风险在总体的风险控制目标中将只占很小的

比例，于是单一危害被低估了的残余风险在总体风险控制目标中占据的比例

更小，而且在风险合并的时候，会和被高估了的危害相互抵偿掉。

保守的结果同时也带来严重的成本上升，特别是当得出更高的SIL需求时。

4.3在过程工业中的应用

在过程工业中，风险图表被广泛用于评估各种跳闸、关断、泄放等功能——高低压力、温度、液位、流量等等，这些在典型的过程工业工厂中经常能见到。在这个应用领域中，前文所述的优势十分确切，而且将许多功能的风险进行合并也是行得通的。

图3 –高压关断功能

图3 表示了一个典型的功能。目标是评估其装备的超压力关断功能（在BS IEC 61511的术语中，这被称为一种“安全仪表功能”(SIF)，其是由“安全仪表系统”(SIS)来实现的）。随即产生的一个问题便是：容器上的安全阀同样对其进行超压保护，在类似这种情况下采用典型的风险图表时，该如何处理这个安全阀？这种有SIF备份的机械保护很常见。可选的处理方式有三种：

?假设安全阀总能正常动作。

?假设安全阀总是不动作。

?以上二者之间。

UKOOA[译注：英国海上作业者协会]导则（KUOOA 1999）推荐第一种方式，但故障率数据无法证明其合理性。第二种方式则易导致SIL需求被高估从而致使成本上升，因此不被推荐。

相关标准给出的指导意见见表4。

表4 –标准中关于在使用风险图表时如何处理

“其他技术的安全相关系统”的指导意见

一种遵循标准且被证明有效的近似是：

1. 基于没有任何保护的情况，即：在使用SIF或任何机械保护之前，得出一个总体的风险消除（SIL）需求。

2. 扣除机械设备的影响，通常安全阀相当于SIL2（可用的故障率数据证明了其合理性，而且也被BS IEC 61511，第三部分，附录F所支持）

3. 需求的SIL等级就是在第一步中得到的等级减去2（或机械保护相应的SIL等级）。这种近似的优势在于：

?得出的结果一般与传统实践相一致。

?既不假设机械设备完美无缺，也不假设其一无是处。

?承认当总体的SIL需求高于机械设备SIL等级时，SIF将需要具备SIL等级（如：总体需求SIL3；安全阀可达SIL2；则SIF需要SIL1）。

4.4 针对过程工业工厂的标准化

在风险图表标准化之前，首先要确定使用的基准是：

?个体风险（IR），通常针对在危险中暴露最多的那个人。

?群体风险，针对暴露在危险中的群体，如工厂中的工人或附近的居民。

?以上二者的某种组合。

4.4.1 基于群体风险

考虑将风险图表应用于指定工厂中工人的群体风险。假设工厂中有20个这样的功能，那么，基于几何平均数的残余风险（每100万年有1人因事故死亡），总的风险则为每5万年有1人因事故死亡。

将此结果与公布的风险可接受度准则相对比。HSE[译注：健康、安全和环境管理体系]建议：每5000年发生一次50人死亡的事故，这种风险是不可容忍的(HSE Books 2001)。在涉及主要工业设施的风险时，HSE参考了“危险品运输中的主要风险”（HMSO[译注：危险品储存条例] 1991），特别是其中的的F-N曲线（图4）。

可以看到，HSE认为不可接受的“每5000年发生一次50人死亡的事故”刚好落在“本地警戒线”上。由此我们可以推断：每100年有一人因事故死亡也同样是不可接受的。同时，每10000年有一人因事故死亡则是“可广泛被接受”的边界。因此我们的目标应该定在“每1000年因事故死亡的人数少于1人”。如此，在SIF保

护下总的风险(每5万年有1人因事故死亡)仅为总体风险控制目标的2%，这为其他与SIF无关的危害留下了非常大的余地。然而，我们可能会选择保留这种保守的附

加元素以进一步补偿这种方法固有的不确定性。

要计算在此标准化中的平均IR，先假设总共有50人定期暴露在此危险中（即：在

此轮班的所有工人之和）。那么，在SIF保护下，每年每5万人中有1人因事故死

亡的风险将分散到这些人头上，因此，平均IR便是每年每250万人中有1人因事

故死亡.

图4 –探讨运输中的主要风险时的F-N曲线

将此IR对比R2P2[译注：消除风险，保护人员](HSE Books 2001)中公布的标准：?不可接受= 每年每1000人中有1人因事故死亡（指工人）

?广泛接受= 每年每100万人中有1人因事故死亡

因此我们针对IR的所有危害总体风险控制目标可能定在“每年每5万人中少于1人因事故死亡”。这样，在SIF保护下总的风险又仅为总体风险控制目标的2%，为其他危害留下了非常大的余地。我们或许能得出这样的结论：此图表在评估工人的平均个体风险时被过度标准化了。

C和W参数的范围可用来调节这种标准化。（F和P参数分别只有两档可选，而且F A和P A都表示风险降低至少10倍。）典型地，参数范围可被上调或下调半个数量级。

当然，工厂的运营组织可能会有自己的风险标准，或许比R2P2和探讨运输中的主要风险里的标准更严。

4.4.2基于暴露最多者的个体风险

要针对暴露最多者来标准化风险图表，就必须指出这个“暴露最多者”是谁，至少以其在工厂中的岗位和角色来表示。C参数的值必须根据对此个体的后果来定义，如：

C A≡轻度伤害

C B≡单次事故死亡的概率约为0.01

C C≡单次事故死亡的概率约为0.1

C D≡几乎必死无疑

暴露参数F的值必须根据此人的工作时间来定义，如：

F A≡暴露于危险中的时间＜ 10% 的工作时间

F B≡暴露于危险中的时间≥ 10% 的工作时间

鉴于此人用于工作的时间仅占其生命的约20%，其潜在的风险仅有对SIF需求的20%。因此，再次使用C C F B P B和W2：

C C≡单次事故死亡的概率约为0.1

F B≡暴露时间≥ 10% 的工作周或年

P B≡有10% 到100% 的危害不可避免

W2≡ 3到30年发生一次

SIL3 ≡ 1000 ≥ RRF ＞ 10000

考虑不加保护的危害：

风险最大值= 20% x (0.1 x 100% x 100%) *每年因事故死亡的概率为1/3

=每年因事故死亡的概率约为1/150

风险几何平均值= 20% x (0.1 x 100% x 100%) * 每年因事故死亡的概率为1/10

= 每年因事故死亡的概率约为1/4700

风险最小值= 20% x (0.1 x 100% x 100%) * 每年因事故死亡的概率为1/30

= 每年因事故死亡的概率约为1/15万

考虑加以SIL3级别的保护则：

残余风险最大值= 每年因事故死亡的概率约为1/15万

残余风险几何平均值= 每年因事故死亡的概率约为1/1500万

残余风险最小值= 每年因事故死亡的概率约为1/15亿

假设此人暴露于10种受SIF保护的危险之中（即总共20种之中的一半），那么，基于几何平均数的残余风险，其从中获得的总的风险为：每年因事故死亡的概率约为1/150万，这仅为所有危害总体IR控制目标1/50000的3.3%，因此也为其他与SIF无关的危害留下了非常大的余地。我们或许能得出这样的结论：此图表在评估我们假设的暴露最多者的风险时也被过度标准化了，但我们可以选择保留这种保守的附加元素。（注意，此图表与前文中评估群体风险的图表并不相同，因为，尽管我们保留了这种形式，但我们用了另一组不同的参数定义。）

在以上的定义中，C参数的值并不适合调整，所以，在这种情况下，只有W参数的范围可被调整以重新标准化该图表。我们可能像这样改变W参数的范围：

W1≡低于10年一次

W2≡ 1到10年发生一次

W3≡不到1年发生一次

4.5 典型结果

正如人们所预计的那样，不同的设施，在其中被评估为需要SIL等级的功能，其数量相差悬殊。但表5给出了对一相当典型的近海天然气平台评估得出的大体结果。

表5 –典型的SIL评估结果

典型地，可能会有一项SIL3的需求，而SIL4需求则非常罕见。

这些数字表明，以上为评估风险图表的标准化而做的假设是合理的。

4.6 讨论

以上发现的问题总结起来便是：

评估SIL需求时，风险图表是一种非常有用但粗糙的工具。（一种方法，使用了5个参数——C、F、P、W、SIL，每一个的值都有一个数量级的范围，将不可避免地产生一个拥有5个数量级范围的结果。）

?必须在一个保守的基准上进行标准化，以免低估了未防护的风险以及风险消除量/保护需求度而带来的危险。

?只有当许多功能对于不同的危险进行保护，而这些危险各自只占总体危险的一小部分时，使用这种方法才最合适。此时，被高估和被低估的残余风险很

可能就在合并时被平均掉。只有在这种情形下，说这种方法给出了一个“适

当”且“充分”的，也因此才合法的风险评估才是实至名归。

?更高的SIL需求（SIL2+）导致严重抬高投资费用（用于冗余和严密的设计需求）和运营成本（用于为更多的设备进行严密的维护，以及用于对更多的设备进

行定期检测）。这时就需要用一种更优良的方法重新评估了。

5保护层级分析（LOPA）

LOPA是由美国化学工程师协会发展起来的一种用于评估SIF的SIL等级需求的方法

（AIChemE 1993）.

这种方法需要首先列出设施里所有的过程危害。这些危害可由HAZOP或其他危害

识别方法识别出来。而对其进行的分析将根据：

?后果描述（“冲击事件描述”）

?后果严重性预估（“严重性级别”）

?对所有可能引起冲击事件的原因的描述（“诱发因素”）

?预估所有诱发因素发生的频率（“诱发概率”）

严重性级别可以结合目标频率范围，以一种半定量的方式来表达（见表6），

表6 –严重级别与缓和事件目标频率的定义示例

或者可以表示为对损害进行的具体的定量估计，可以参考F-N曲线。

类似地，诱发概率也可以半定量地表示（见表7），

表7 – BS 诱发概率的定义示例

或者可以表示为具体的定量估计。

这种方法的优点在于，它承认在过程工业领域通常从诱发因素至其导致的冲击事件之间会有数个层次的保护。具体地，包括了：

?一般工艺流程设计。如：设计中可能会考虑到降低密封失效的概率或者在密封失效时降低着火的概率以降低火灾或爆炸事件的概率。

?基本过程控制系统（BPCS）。如：闭环控制故障可能是主要的诱发因素之一。

然而，可能另外存在可避免冲击事件的独立控制环，从而降低事件发生的频

率。

?报警。假设在BPCS之外有一独立的报警，当报警发生时，操作员有充分的时间来做出有效的响应动作（如“拉出”一个“把手”），如此，得益于报警

的作用，冲击事件发生的概率得以降低。

?额外的缓和、限制措施。即使冲击事件已经发生，还可能有限制危险区域扩大的措施（相当于风险图表法中的F参数），或者从危险区域有效疏散的途

径（相当于风险图表法中的P参数），这些都可以降低事件的严重性等级。

?独立的保护层级（IPL）。每个IPL都必须满足一些标准，包括RRF ≥ 100。安全阀和爆破片通常都可以达到。

基于上述所有保护层级的诱发概率（频率）和PFD，可计算出一个介于诱发事件和

冲击事件之间的中间事件发生概率（频率）。计算过程必须涵盖所有的诱发事件方可得出针对所有诱发事件总体的中间事件发生概率。此概率便可与缓和事件目标概率(频率)进行对比。至此，尚未将任何SIF纳入考量。而上述二者之比：

中间事件发生概率 / 缓和事件目标概率

即为SIF所需的RRF或（1/PFD）值，根据此值即可得出SIL需求。

5.1 优势

LOPA法的优势在于：

?可被用作半定量法或定量法

作为半定量时，与风险图表法有着许多相似的优势。

作为定量法时，分析的逻辑仍可发展为一种团队实践，而相应的细节则可由专家在“线下”开发。

?明确了风险缓和因素，如报警和安全阀等，这些在风险图表法中是作为调节因素来体现的（如鉴于报警的存在而降低W参数的值，将安全阀的SIL等级

从结果中扣除等）。

?对于高SIL功能可从从半定量分析提升至定量分析而无需改变形式。

6事后防护

过程设备中的有些功能是“事后”发挥作用的，即在密封失效之后，甚至起火之后或爆炸发生之后。火焰与燃气泄漏检测以及紧急关断是这种功能的典型代表。在评估这种功能的SIL需求时，表现出以下具体问题：

?由于是在事件发生之后操作，可能已经造成了无法挽回的结果。初始结果和后续结果之间必须是隔离的。

?取决于众多的中间事件，事情可能会发展升级成多种不同严重程度的最终结果。分析这些结果的可定能性是专家的任务，通常是基于事件树（图5）。

图5 –事后防护的事件树

风险图表发并不适用于以下类型的评估：

?预期的使用频率非常低，如1000到10000年一次。这已经低于风险图表给出的范围了，即低于W1一到两个数量级。

功能可能的最终结果，其范围非常之大，从单一人员受伤到大量死亡。当可能的结果存在于一个很大的范围时，使用风险图表这种粗糙的方法便很难称

得上是“适当”且“充分”的。

LOPA法则不存在这些问题，特别是用作定量法时。

7总结

两种方法的优势与弊端总结如下：

两种方法各有其用，但还是要谨慎地根据情况做出恰当的选择。

安全完整性等级认证

SIL（Safety Integrity Level）-安全完整性等级。 SIL认证就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准，对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估，硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。欧洲电工标准化（CENELEC的缩写）委员会，欧洲三大标准化组织之一。 CENELEC 负责电子工程领域的欧洲标准化。CENELEC连同电信标准化（ETSI）和CEN（所有其他技术领域的标准化）形成了欧洲标准化体系。 SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对产品和对系统两个层次。其中，以SIL4的要求最高。 2主要标准 IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全性 IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计，其目标是既避免系统性设计故障，又避免随机性硬件失效。 IEC61508标准的主要目标为： · 对所有的包括软、硬件在内的安全相关系统的元器件，在生命周期范围提供安全监督的系统方法; · 提供确定安全相关系统安全功能要求的方法; · 建立基础标准，使其可直接应用于所有工业领域。同时，亦可指导其他领域的标准，使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等); · 鼓励运营商和维护部门使用以计算机为基础的技术; · 建立概念统一、协调一致的标准架构和体系。 IEC61511: 过程工业领域安全仪表系统的功能安全要求 IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准，它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准，IEC61511在国内的协调标准为GB/T 21109。在过程工业中，仪表安全系统都被用来执行仪

确定安全完整性等级(SIL)需求的方法

确定安全完整性等级(SIL)需求的方法 ——优势与弊端 1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。同时也给何种情况下应选择何种方法的推荐标准。 2SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际使用频率非常低，比如汽车的如下两项功能： ?防抱死系统（ABS）。（当然，这跟司机也有关系） ?安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：?刹车 ?转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的： ?对于使用频率低者，事故频率由两个参数构成： 1)功能的使用频率 2)当使用时，该功能发生故障的概率——故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。 ?对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。假设故障的发生呈指数分布，则MTTF与λ互为倒数。当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立： PFD = λT/2 = T/(2xMTTF)或者： RRF = 2/( λT) 或 = (2xMTTF)/T 其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率 1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。）但这两者却是不

安全完整性等级认证(SIL)

1SIL认证简介 SIL（Safety Integrity Level）-安全完整性等级。 SIL认证就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准，对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估，硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。欧洲电工标准化（CENELEC的缩写）委员会，欧洲三大标准化组织之一。 CENELEC 负责电子工程领域的欧洲标准化。CENELEC连同电信标准化（ETSI）和CEN（所有其他技术领域的标准化）形成了欧洲标准化体系。 SIL认证一共分为4个等级，SIL1、SIL2、SIL3、SIL4，包括对产品和对系统两个层次。其中，以SIL4的要求最高。 2主要标准 IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全性 IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计，其目标是既避免系统性设计故障，又避免随机性硬件失效。 IEC61508标准的主要目标为： · 对所有的包括软、硬件在内的安全相关系统的元器件，在生命周期范围提供安全监督的系统方法; · 提供确定安全相关系统安全功能要求的方法; · 建立基础标准，使其可直接应用于所有工业领域。同时，亦可指导其他领域的标准，使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等); · 鼓励运营商和维护部门使用以计算机为基础的技术; · 建立概念统一、协调一致的标准架构和体系。 IEC61511: 过程工业领域安全仪表系统的功能安全要求 IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准，它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准，IEC61511在国内的协调标准为GB/T 21109。在过程工业中，仪表安全系统都被用来执行仪表安全功能，IEC61511标准解决了仪表应达到怎样的安全完整性和性能水平的问题。

ASIL安全完整性等级

目录 [隐藏] ? 1 SIL的分配 ? 2 SIL应用上的误解 ? 3 SIL的认证 ? 4 用到SIL的安全标准 ? 5 参照 ? 6 参考资料 ?7 外部链接 [编辑] SIL的分配有许多种分配SIL的方式，一般常会合并使用，包括以下几种： ?风险矩阵（Risk Matrices） ?风险图（Risk Graphs） ?防护层分析（Layers of Protection Analysis，LOPA）

[编辑] SIL应用上的误解对于安全完整性等级的应用，存在有许多的问题及误解，大致有以下几项： ?在应用安全完整性等级时，无法转换不同标准中标示的安全完整性等级。 ?依照可靠度的估计来估计安全完整性等级。 ?系统（特别是软件系统）的复杂度，使得安全完整性等级的估计困难到几乎不可能的程度。上述误解会带来一些错误的陈述，包括“因为此系统开发时使用的流程是开发 SIL N 系统的标准流程，因此此系统是 SIL N 的系统”，或者断章取义的使用SIL，例如“这是一个 SIL N 的热交换器”。根据 IEC 61508，SIL 的概念和系统的失效率无关，只和系统的危险失效率（dangerous failure rate）有关。需要透过安全性分析的方式识别危险失效模式，才能决定其失效率[4]。 SIL等级越高的设备表示其安全可靠越高，但其价格也一定相对提高。而且若系统的SIL 等级越高，需要的硬件故障裕度也会提高，以确保在部份设备故障时不会有安全性问题。 [编辑] SIL的认证国际电工协会（IEC）标准IEC 61508（后来变成IEC EN 61508）将SIL依其要求项目分为二大类：硬件安全完整性（hardware safety integrity）及系统安全完整性（systematic safety integrity）。设备或系统若要达到特定的SIL等级，需同时符合该等级二大类完整性的要求项目。 SIL有关硬件安全完整性的条件是以要求的机率分析为基础。若要达到特定的SIL等级，设备的最大危险失效机率（probability of dangerous failure）及最小安全故障失效比率（Safe Failure Fraction）需符合该等级SIL的要求。待测系统的“危险失效”需明确的定义，一般会以需求限制的方式表示，而其完整性也会在系统开发的过程中被验证。实际要达到的目标仍会依需求、设备复杂度及使用的冗余种类而不同。 IEC EN 61508 针对低要求操作模式（low demand operation）时，不同的安全完整性等级定义以下的要求失效概率（Probability of Failure on Demand，简称PFD）及风险减低系数（Risk Reduction Factor，简称RRF）：安全完整性等级（SIL）要求失效概率（PFD）风险减低系数（RRF） 1 0.1-0.01 10-100 2 0.01-0.001 100-1000 3 0.001-0.0001 1000-10,000 4 0.0001-0.00001 10,000-100,000 连续操作模式下的要求失效概率及风险减低系数如下所示：

007燕山石化安全仪表系统安全完整性等级评估管理规定

1 基本要求安全仪表系统主要包括安全联锁系统、紧急停车系统、火/气保护系统

（F/G）、燃烧炉管理系统（BMS）、高完整性压力保护系统（HIPPS）等。安全仪表系统安全完整性等级评估（以下简称SIL评估）使用于新建、改建和扩建的建设项目（以下简称建设项目）和在役装置或设施（以下简称在役装置）。各单位应将建设项目SIL评估纳入建设项目设计管理，将在役装置SIL 评估纳入日常安全生产管理。 SIL评估应严格工艺技术保密和知识产权保护。对涉及中国石化专有技术或有技术保密要求的项目，应由各单位或委托系统内的技术机构负责实施。 2 管理职责安全监察部负责制修订SIL评估的相关管理规定；负责在役装置的SIL 评估的组织、检查和监督工作。发展计划部负责建设项目SIL评估的组织和落实工作。工程管理部负责监督检查建设项目SIL评估提出建议措施的落实情况。生产管理部、化工事业部、炼油事业部、机械动力部负责配合安全监察部开展在役装置SIL评估工作；负责在役装置SIL评估的专业指导、检查和监督工作。科技部负责科研项目的SIL评估工作。二级单位负责具体实施本单位SIL评估工作，负责SIL评估结果或建议措施的整改关闭。 3 管理内容和程序 SIL评估包括SIL分级和SIL验证。各部门、各单位应对建设项目以及在役装置所涉及的安全仪表功能（SIF）确定相应的安全完整性等级（SIL）,保证安全仪表功能满足目标SIL要求。建设项目以及在役装置危险与可操作性分析（HAZOP分析）完成后，若保护措施和建议措施涉及安全仪表功能，应及时对安全仪表功能实施SIL 分级。在役装置SIL评估频次按照《燕山石化危险与可操作性分析实施管理规定（试行）》的HAZOP分析频次执行。在役装置进行安全联锁变更时，各单位根据具体情况进行SIL评估。建设项目SIL评估结果或建议措施应在装置投料试车前落实并整改。

安全仪表系统安全完整性等级(SIL)评估步骤

安全仪表系统安全完整性等级（SIL）评估方法《国家安全监管总局关于加强化工安全仪表系统管理的指导意见（安监总管三〔2014〕116号）》要求：涉及“两重点一重大”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析(如危险与可操作性分析)基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低要求。《国家安全监管总局关于加强化工过程安全管理的指导意见安监总管三〔2013〕88号》：对涉及重点监管危险化学品、重点监管危险化工工艺和危险化学品重大危险源（以下统称“两重点一重大”）的生产储存装置进行风险辨识分析，要采用危险与可操作性分析（HAZOP）技术，一般每3年进行一次。对其他生产储存装置的风险辨识分析，针对装置不同的复杂程度，选用安全检查表、工作危害分析、预危险性分析、故障类型和影响分析（FMEA）、HAZOP技术等方法或多种方法组合，可每5年进行一次。目前SIL评估主要依靠保护层分析(LOPA)来确定每一个安全仪表功能(SIF)的安全完整性等级(SIL)。一个典型的化工过程包含的保护层，如本安设计、BPCS、报警与人员干预、安全仪表系统、物理保护、释放后保护措施、工厂应急响应和社区应急响应等（如下图示）。LOPA是一种半定量的风险评估技术，一般使用初始事件频率、后顾严重程度和IPL 失效频率的数量级大小来表征场景的风险。

其步骤主要包括： 1）SIF选择； 2）场景识别及筛选； 3）IE确认； 4）IPL评估； 5）场景频率计算； 6）风险评估与决策，分配SIF的SIL等级； 7）下一个SIF重复以上步骤，直至所有场景分析完毕。 LOPA分析是考验经验知识积累和方法掌握，对于LOPA 分析团队，需具有工艺、仪表、安全、设备等多方面的经验

燕山石化安全仪表系统安全完整性等级评估管理规定

制度名称燕山石化安全仪表系统安全完整性等级评估管理规定制度编号QZ/YSSH.AJ.00 7.2014 制度文号燕化企〔2014〕464号制度版本2014版主办部门安全监察部所属业务类别健康安全环境管理/安全生产监督管理/专项安全监督管理会签部门发展计划部工程管理部机械动力部生产管理部炼油事业部化工事业部科技部下位制度制定者/ 审核部门信息部法律事务部企业管理部解释权归属安全监察部签发日期2014年8月18日废止说明燕山石化安全仪表系统安全完整性等级评估管理规定（试行）（QZ/YSSH.AJ.007.20 13）同时废止生效日期2014年8月18日制定目的规范安全仪表系统安全完整性等级（SIL）评估制定依据中国石化安全仪表系统安全完整性等级评估管理规定（试行）适用范围燕山石化公司约束对象安全仪表系统涉及的相关制度燕山石化危险与可操作性分析实施管理规定业务类别健康安全环境管理/安全生产监督管理/专项安全监督管理所属层级企业制度-执行类

1 基本要求 1.1 安全仪表系统主要包括安全联锁系统、紧急停车系统、火/气保护系统（F/G）、燃烧炉管理系统（BMS）、高完整性压力保护系统（HIPPS）等。 1.2 安全仪表系统安全完整性等级评估（以下简称SIL评估）使用于新建、改建和扩建的建设项目（以下简称建设项目）和在役装置或设施（以下简称在役装置）。 1.3 各单位应将建设项目SIL评估纳入建设项目设计管理，将在役装置SIL评估纳入日常安全生产管理。 1.4 SIL评估应严格工艺技术保密和知识产权保护。对涉及中国石化专有技术或有技术保密要求的项目，应由各单位或委托系统内的技术机构负责实施。 2 管理职责 2.1 安全监察部负责制修订SIL评估的相关管理规定；负责在役装置的SIL评估的组织、检查和监督工作。 2.2 发展计划部负责建设项目SIL评估的组织和落实工作。 2.3 工程管理部负责监督检查建设项目SIL评估提出建议措施的落实情况。 2.4 生产管理部、化工事业部、炼油事业部、机械动力部负责配合安全监察部开展在役装置SIL评估工作；负责在役装置SIL评估的专业指导、检查和监督工作。

ASIL安全完整性等级

安全完整性等级目录 [隐藏] 1 SIL的分配 2 SIL应用上的误解 3 SIL的认证 4 用到SIL的安全标准 5 参照 6 参考资料 7 外部链接

有许多种分配SIL的方式，一般常会合并使用，包括以下几种：风险矩阵（Risk Matrices）风险图（Risk Graphs）防护层分析（Layers of Protection Analysis，LOPA） SIL分配可以依照英国卫生安全局（Health and Safety Executive，HSE）发行的相关资料[3]，用务实、可控制的方式进行测试。依照英国卫生安全局的资料，利用风险矩阵的方式得到的SIL分配已被证实可符合 IEC EN 61508的要求。 [编辑] SIL应用上的误解对于安全完整性等级的应用，存在有许多的问题及误解，大致有以下几项：在应用安全完整性等级时，无法转换不同标准中标示的安全完整性等级。依照可靠度的估计来估计安全完整性等级。系统（特别是软件系统）的复杂度，使得安全完整性等级的估计困难到几乎不可能的程度。上述误解会带来一些错误的陈述，包括“因为此系统开发时使用的流程是开发 SIL N 系统的标准流程，因此此系统是 SIL N 的系统”，或者断章取义的使用SIL，例如“这是一个 SIL N 的热交换器”。根据 IEC 61508，SIL 的概念和系统的失效率无关，只和系统的危险失效率（dangerous failure rate）有关。需要透过安全性分析的方式识别危险失效模式，才能决定其失效率[4]。 SIL等级越高的设备表示其安全可靠越高，但其价格也一定相对提高。而且若系统的SIL 等级越高，需要的硬件故障裕度也会提高，以确保在部份设备故障时不会有安全性问题。

007燕山石化安全仪表系统安全完整性等级评估管理规定

制度类型：企业制度-执行类－1－

2.5 科技部负责科研项目的SIL评估工作。 2.6 二级单位负责具体实施本单位SIL评估工作，负责SIL 评估结果或建议措施的整改关闭。 3 管理内容和程序 3.1 SIL评估包括SIL分级和SIL验证。 3.2 各部门、各单位应对建设项目以及在役装置所涉及的安全仪表功能（SIF）确定相应的安全完整性等级（SIL）,保证安全仪表功能满足目标SIL要求。 3.3 建设项目以及在役装置危险与可操作性分析（HAZOP分析）完成后，若保护措施和建议措施涉及安全仪表功能，应及时对安全仪表功能实施SIL分级。 3.4 在役装置SIL评估频次按照《燕山石化危险与可操作性分析实施管理规定（试行）》的HAZOP分析频次执行。3.5 在役装置进行安全联锁变更时，各单位根据具体情况进行SIL评估。 3.6 建设项目SIL评估结果或建议措施应在装置投料试车前落实并整改。 3.7 在役装置SIL评估结果或建议措施应按照风险管理程序予以落实，必要时与设计单位沟通并重新设计；对不能及时整改关闭的风险，应提出充分的风险控制措施，并落实相应的责任人和完成时间。 3.8 SIL分级应采用审查会议形式，工作流程主要包括：－3－