安全仪表系统设计与SIL的计算方法

2020年06月作业申请人在电脑端发起申请后，作业审批人员在移动端查看管辖范围内的待审批作业票，对符合作条件的作业票进行批复。

图1直接作业管理系统流程框架作业计划时间前作业票签发相关人员抵达作业现场，由施工单位技术人员向作业人员进行技术和安全交底，并通过移动端拍照留痕，并提交到系统。

对于需要进行采样检测的作业，需同步开展采样检测，并将采样检测结果输入至系统中。

作业票由作业申请人现场填报作业人员相关信息后生成，作业票由监护人员进行安全条件确认签字和签发人签字后签发。

为保证签字人现场签字，通过人员定位和人脸识别实现定位签发，证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。

作业完工后，监护人现场定位签字验收。

作业流程从现场交底到完工验收全程实现视频监控，具有权限的用户可通过移动端远程查看现场作业场景。

同时具有权限用户也可在GIS 地图查看作业分布情况。

当作业完工验收后，作业票据及相关信息会上传至系统，系统会对作业情况进行分析，形成分析报告。

4结语直接作业信息管理系统的开发应用，能够规范管道企业直接作业流程，解决目前作业环节中存在的关键问题，实现直接作业管理现场透明化、作业标准化、系统信息化，颠覆直接作业传统管理形式。

对于提升和优化直接作业的安全管理，保障直接作业作业过程安全具有重要意义。

参考文献：[1]张少春，丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量，2017，(10)：47-48.[2]李成承，周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境，2018，18(11)：53-55.[3]李彬，张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术，2019，35(5)：3-5.[4]施红勋，王秀香，牟善军，等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术，2014，10(增)：124-128.[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信息系统研发[J].工业安全与环保，2017，43(9)：71-74.作者简介：邓付平（1986-），男，从事生产安全管理工作。

近些年石化行业频发重大安全事故，安监局发布的相关安全文件中均提到安全仪表系统（SIS）。

《中国石化安全仪表系统安全完整性等级评估管理规定（试行）》（中国石化安［2013］259号文）1.3条要求：“各单位应将建设项目安全完整性等级（SIL）评估纳入建设项目设计管理，将在役装置SIL评估纳入日常安全生产管理”；3.2条要求：“各单位或设计单位应对建设项目以及在役装置所涉及的安全仪表功能（SIF）确定相应的SIL，保证安全仪表功能满足目标SIL要求”［1］。

在SIS设计过程中， SIF回路中SIL的定级和验算是设计的重点和难点。

1 SIL定级目前SIF回路的SIL的确定，主要依靠危险与可操作性分析（HAZOP）结合保护层分析（LOPA）的方法来实现。

HAZOP分析是在安全专业人员主导下，工艺、自控、设备专业人员以及操作人员共同构成的分析小组进行的一种分析方法。

HAZOP分析是采用标准化“引导词”对装置过程系统的中间变量设定“偏离”，沿“偏离”在系统中反向查找非正常“原因”，沿“偏离”在系统中正向查找不利“后果”，确定后果严重性等级［2］。

HAZOP具体分析方法详见AQ/T3049—2013《危险与可操作性分析（HAZOP分析）应用导则》［3］。

当HAZOP分析确定后果严重性等级为高风险或很高风险时，需进一步进行LOPA分析，计算目前偏差导致的后果发生的频率，判断现有保护措施是否足够，建议措施是否能够有效地降低事故发生频率等。

可通过增加SIF回路保护层，降低事故发生概率，从而得出SIF回路的SIL。

LOPA具体分析方法详见AQ/T 3054—2015《保护层分析（LOPA）方法应用导则》［4］。

根据文献［4］中表E.2，引发偏差的初始事件，如控制回路失效、冷却水失效、控制阀误动作、常规人员操作失误、雷击等，偏差导致的事故发生概率f1i≤1×10－1，假设，年频率等级为1～10－1。

在涉及“重点监管工艺、重点监管化学品、重大危险源”或可能引发高后果的工艺，大多已配置基本过程控制系统（BPCS）、过程报警及操作员干预、安全阀、爆破片、防火堤等独立保护层中的一个或多个，根据文献［4］中表E.3，各独立保护层失效概率PFD≤1×10－1；引入点火概率、人员暴露、人员伤害、毒性影响等修正系数P，P=n×10－1，n=1～10，偏差导致的事故发生概率fci=f1i×PFD×P≤n×10－3，年频率等级范围为10－2～10－3。

亡问题，并且会造成巨额的经济损失，因此在过程工业中必须要开展安全仪表系统的安全评定，确保其安全性。

相关资料显示，在过程工业所出现的安全事故中，很多都是由于安全仪表系统存在问题导致的，安全仪表系统安全要求不合理，或者是对其进行了不恰当改造等因素，是导致出现安全事故的重要因素。

如果安全仪表系统的设计存在不合理的问题，那么可能会出现两方面问题：一方面，可能导致其在该跳车时不进行动作，出现拒动，拒动极有可能造成安全事故，甚至造成灾难性的后果；另一方面则是在不应该跳车时进行动作，造成误动，进而导致装置停车，会给企业带来比较严重的经济损失。

因此保证安全仪表系统的安全性具有重要意义，这就需要对其进行完整性评估，定量可靠性计算是最为重要的和有效的途径，通过这样的方式能够有效的防止各类事故的发生。

3 安全仪表系统功能安全评估等级划分相关标准对过程安全的安全等级进行了划分，IEC-61508将其划分为4个等级(SIL1-SIL4)。

而ISA-S84.01，则按照系统不响应连锁要求的概率对安全度等级进行了划分，分为了3级(SIL1-SIL3)。

我国当前根据自身的实际情况，按照所有事件发生的可能性、其可能导致后果的严重程度，以及其它安全措施的有效性等进行评估，并基于其制定了适当的安全等级，SIL 共分为1、2、3、4几个等级，级别越高则表示要求其危险失效概率越低。

其中，1级表示故障的发生概率很低。

如出现了事故，其所能够造成的影响也比较低，装置和产品可能受到轻微的影响，但是不会立即造成环境污染或者是人员伤亡，造成的经济损失不大；2级则表示事故偶尔发生。

如果出现事故则会给装置和产品造成比较大的影响，并有一定几率造成严重的环境污染，甚至人员伤亡，造成的经济损失比较大；3级事故则表示，事故发生的频率很高。

如果发生事故则会严重的影响到装置和产品，并且造成比较严重的环境问题，以及会导致人员出现伤亡，造成非常严重的经济损失。

评估安全完整性等级SIL 的主要参数就是PFDavg (probabilityoffailureon demand 平均危险故障率)，按照从高到低将划分为1、2、3、4四个等级。

sil验算的方法
SIL验算的方法主要有以下几种：
1. 需求时失效概率PFD SIL验证中计算PFDavg的方法，主要是通过马尔可夫分析法，即基于马尔可夫过程的假设前提下，通过分析随机变量的现时变化情况来预测这些变量未来变化情况的一种预测方法。

2. 专家经验法，指有很高专业知识与水平的技术人员，通过自身的经验，通过对以前相似的系统进行比较，进而对安全仪表功能是否达到设计的SIL水平进行确认。

3. 失效模式与影响分析，基于系统内部全部部件的一个详细列表为出发点，以1次1个部件的方法对整个系统进行分析。

4. 故障树分析法，对于系统故障的分析是进行自顶向下识别的。

首先将系统所存在的状态或者所存在的故障事件当作故障树的顶点，进而对致使发生故障的因素找出来，在此过程中遵循循序渐进的原则，一直到故障机理或者概率分布被找出，并且被找出的故障机理或者概率分布均为已知的因素为截止点。

5. 可靠性框图法，对于系统内部组件的串联与并联关系，便可以利用基于可靠性框图法中的图形方式进行表示。

以上信息仅供参考，具体方法还需要根据实际情况来选择。

实用简化的SIL预验算方法前言我们知道在进行危险与可操作性（HAZOP）分析和安全完整性等级（SIL）评估之后，如果确定需要增加安全仪表系统（SIS）来降低风险，那么就需要对仪表安全功能（SIF）进行SIL验算。

常规的SIL验算过程相对比较繁琐漫长，且常有验算结果无法满足目标SIL等级要求的情况（即无法通过SIL验证），这时候又要回过头分析各种可能原因，可能是SIF设计的问题，也可能是某个仪表设备的问题…这是目前SIL验算工作普遍存在的现象。

试想一下，如果SIL定级的时候我们把SIL验算流程简化，不需要提供设备的失效数据和复杂的计算，经过简单判断就能得到SIF大概的SIL等级，是不是就能大大提高工作效率，减少返工？我们称之为实用简化的SIL预验算:1.一般情况下，单一执行动作（1oo1）的SIF，采用通用数据计算可以实现SIL1级别，但PFDavg很难达到1.00E-02（RRF=100）。

如果都采用SIL2及以上的SIL认证设备，组成的SIF则可达到SIL2级别但PFDavg很难达到1.00E-03甚至2.50E-03这个数值，换言之在SIL定级的时候，若要求SIF的PFD小于2.50E-03或RRF超过400，则SIL验算的结果很难达到定级的要求(如某个SIL2的SIF定级时要求PFD小于1.00E-03，那么在SIL验算时注定失败！)；2.SIL验算过程中，传感器是否设置冗余对整个SIF的PFDavg影响较小，而要求同时执行的动作（关键动作）的增加却对整个SIF的PFDavg影响较大。

3.若所有设备均采用认证的失效数据计算，SIF的目标要求为SIL2时，关键动作不宜超过3个；随着关键动作的增加，SIF可以实现的SIL等级会出现降级趋势。

本文将根据实际项目中的失效数据并结合项目组成员的丰富经验，详细探讨上述SIL预验算的方法。

SIL验算方法概述在确定SIL等级时，应考虑导致非安全状态的所有失效因素，如硬件随机失效、软硬件设计缺陷和环境干扰等。

80一、项目概述本项目共有16个工段，19种品种，应用RiskCloud软件分别对其中的重大危险工艺：重氮反应工艺、耦合反应工艺、硝化反应工艺进行了危险与可操作性分析（HAZOP）、保护层分析（LOPA 定级）、安全完整性等级（SIL）验算，在此只对重氮反应工艺进行阐述。

二、危险与可操作性分析危险与可操作性分析（HAZOP）是工艺危险分析方法之一，用于辨识设计缺陷、工艺过程危险和操作性问题的系统性分析方法。

通过分析生产运行过程中工艺（状态）参数的变动，操作控制中可能出现的偏差分析，以及这些变动与偏差对系统的影响及可能导致的后果，出现变动或偏差的原因，并针对变动与偏差的后果提出应采取的措施。

1.分析流程将装置的工艺流程划分为不同的节点，通过一系列引导词系统地对每一个节点进行审核，发现导致偏差的原因和由此可能产生的后果，识别和判断现有的安全措施是否能够避免结果的产生，并针对不足的措施提出相应的建议，并如实地记录分析的全过程。

2.分析记录表HAZOP分析记录表中对评估后果的严重程度和发生的可能性采用风险矩阵法进行评估，确定风险等级，并根据风险等级来确定需要采取的行动。

三、保护层分析（LOPA）LOPA是在HAZOP分析的基础上，进一步评估保护层的有效性的半定量风险评估方法，通常使用初始事件频率、后果严重程度和独立保护层（IPLs）失效频率的数量级大小来近似表征事故剧情的风险；可以确定安全仪表功能回路SIL等级，LOPA分析的过程也是SIL定级过程；可以确定工艺过程是否有足够的保护层，风险是否满足企业的风险标准，是一种更好的风险决策方法。

1.LOPA分析步骤SIS功能回路确定；初始事件频率确定：初始事件频率数据来源：（1）行业数据，《化工过程定量分析指南，第二版》（2）公司的经验，企业具有充足的历史数据，用来进行有意义的统计分析（3）供货商的数据。

事故后果及后果严重性对应可接受风险（风险容忍概率）的确定：基于HAZOP分析结果，导出事故的后果。

危化企业高温高压，有毒有害。

安全联锁系统（SIS）是阻止事故发生最关键的一个环节。

那么什么样的安全联锁系统（SIS）算是合格的系统呢，怎么评价一个安全联锁系统是否具备真正的保护作用，除了安全联锁系统（SIS）具有安全认证、冗余性、容错性和故障安全性以外，最有效的评估手段只有SIL定级和验算，SIL定级和验算是针对每一个联锁回路的（SIF），只有回路全部合格了，才是一个有效的保护层。

所以SIL验算是整个安全仪表系统（SIS）是否合格的最有力证明。

SIL定级太简单了,直接说验算吧。

问题1：目前存在一个认知的误区，就是一味的追求传感器和切断阀的SIL 等级，这是外行人的行为。

制约一个回路最关键的因素是联锁仪表的结构形式，而非单台仪表的SIL等级。

也就是我们常说的1oo2D、2oo3、2oo4D 等，任何一个低SIL级别的仪表，通过联锁结构，可以搭建成为高级别回路。

举个极端的例子，没有SIL级别的传感器，通过1oo3、1oo4或1oo5可以搭建成SIL2甚至SIL3的回路。

问题2：假认证（无效认证）满天飞，目前安全认证最权威的是TUV，如果你想选，那就选TUV认证的。

一些企业盲目追求安全认证，还不想花钱，催生了一批山寨认证。

一个最破旧的磁浮子液位计，竟然有“SIL3认证”，售价几百块，获得了很多企业的青睐。

高端仪表怎么和它PK?硬生生的掐断了一些真正高质量的仪表厂商活路的同时，给自己埋下了事故的种子。

问题3：计算人员过分依靠软件，目前最权威的软件为exSILentia，即使它的失效数据库，其实可信度也不高。

这些数据从哪里来，大部分是仪表厂商自己提供的，也有一部分是软件公司收集的，他们的收集只能从企业。

这些数据库有多大的可信度值得商榷。

权威软件如此，国内一些小软件，只能是东施效颦。

最主要的是，企业所使用的设备绝大部分没有在这个数据库中。

问题4：其实就SIS系统本身来讲，其可靠性和可用性都差不多，失效数据不会差距太多。

安全仪表系统(SIS)的SIL评估摘要: 主要论述安全仪表系统及进行SIL评估的必要性,并作了简单的可靠性计算,随着安全仪表系统工程的发展,在安全仪表系统的设计过程中,对安全仪表系统的SIL等级进行定量分析将是重要的。

1 引言随着石油、化工装置的经济规模日趋大型化,生产装置的密集程度越来越高,对操作、控制及安全的要求也越来越严格。

石化装置的产品一般都属于易燃、易爆或有毒介质,生产过程稍有闪失就会酿成灾难性的事故,造成生产、设备、人员等方面的重大损失。

作为过程工业安全的重要保障,确保过程工业安全仪表系统本身的可靠性对于过程工业的安全具有重要意义。

2 安全仪表系统安全仪表系统(Safety instrumented systems,SIS)是一种自动安全保护系统,它是保证正常生产和人身、设备安全的必不可少的措施,它已发展成为工业自动化的重要组成部分。

在过程工业中,安全仪表系统的安全性对于事故的影响十分巨大,由于过程工业中的安全事故通常会造成人员伤亡和巨额财产损失,因此开展过程工业安全仪表系统安全评定对于确保过程工业安全具有重要意义。

统计资料表明,过程工业中,由于对安全仪表系统的安全要求不合理以及投产后的项目改造过程中对安全仪表系统的改建不恰当所造成的安全事故在全部事故中所占的比重最大。

安全仪表系统设计不当,一种可能的后果是该跳车时不跳,造成拒动作;另一种可能的后果是不该跳车时跳车,造成误动作。

拒动作会造成严重甚至灾难性的后果,误动作的直接后果是装置停车,造成巨额的经济损失。

根据IEC61511中的定义,安全仪表系统是由传感器、逻辑控制器、执行器组成的,能够行使一项或多项安全仪表功能(Safety instrumented function,SIF)的系统。

每一个安全仪表功能针对特定的风险对生产过程进行保护[1]。

图1为一典型的安全仪表功能,它的功能是为了防止压力容器V100中压力过高而发生爆炸等危险事故。

安全仪表系统的SIL评估安全仪表系统（Safety Instrumented System，SIS）在工业生产过程中扮演着至关重要的角色，用于保障人员和设备的安全。

在本文中，我们将探讨安全仪表系统的重要性和应用场景，并详细介绍SIL评估的要求、方法和结果分析，旨在帮助读者更好地理解和完善安全仪表系统。

安全仪表系统是一套独立的控制系统，主要应用于关键控制回路和工艺流程，以确保在出现故障或异常情况下，能够及时启动相应的安全措施，最大程度地减少人员伤亡和设备损坏。

安全仪表系统广泛应用于石油、化工、制药、食品等众多行业，是保障工业生产安全的重要组成部分。

安全仪表系统（SIS）：是一种独立的控制系统，用于监测和控制关键控制回路和工艺流程，以确保在出现故障或异常情况下，能够及时启动相应的安全措施。

SIL评估：Safety Integrity Level（安全完整性等级）评估是对安全仪表系统的一种定量评估方法，用于衡量系统在预防事故方面的有效性和可靠性。

评估标准：SIL评估需要依据相应的评估标准，如IEC 、ISO 等，这些标准规定了安全仪表系统的安全完整性等级的定义、评估方法和流程等。

评估方法：SIL评估采用定量评估方法，通过对安全仪表系统的故障概率进行评估，来确定系统的安全完整性等级。

评估流程：SIL评估的流程一般包括以下几个步骤：资料审查、现场考察、功能测试、故障树分析、风险矩阵计算等。

定性评估：主要是通过资料审查和现场考察，了解安全仪表系统的设计、结构、元件、可靠性等方面的信息，判断系统是否具备必要的安全功能和可靠性。

定量评估：基于故障树分析和风险矩阵计算，通过对安全仪表系统可能发生的故障进行概率统计和风险评估，以确定系统的安全完整性等级。

具体步骤如下：（1）收集系统故障数据：通过故障树分析，收集安全仪表系统各部件的故障数据，包括故障类型、故障概率等信息。

（2）确定故障风险矩阵：根据收集到的故障数据，确定各故障类型的风险矩阵，以量化故障对系统安全性的影响程度。

企业：《自动化博览》日期：2011-07-08领域：工业安全点击数：1749作者赵亮中海石油化学股份有限公司海南省东方市572600摘要：安全完整性等级（SIL）评估技术是近几年发展起来的针对石化行业一种基于风险的资产管理方法，国际标准IEC61508和IEC 61511的制定为石化工业等过程工业的安全完整性水平评估提供了依据，对于石化行业的安全生产水平具有重要的促进作用。

本文根据80万吨/年甲醇项目的安全完整性等级计算的过程介绍安全完整性等级的计算方法，为项目的建设验收以及装置的技术改造提供理论依据。

关键词：工艺危害性分析（PHA）；危险与可操作性分析（HAZOP）；安全完整性等级（SIL）Abstract: Safety Integrity Level (SIL) evaluation technology is an asset management way for risk on oil and chemical industries. It is developed in the closed years. The foundation of IEC 61508 and IEC 61511 provide theory base for SIL, which promote greatly for industry safety operation level. This article takes the plant with 800K tons of methanol per year for instance to detail SIL counting method, therefore to set a theory foundation for project built and acceptance as well as the reforming of a plant.KEY WORDS: Process Hazard Analysis (PHA), Hazard and Operation Analysis (HAZOP), Safety Integrity Level (SIL)安全完整性等级（SIL）是安全仪表系统（SIS）中的重要组成部分，在国际电工委员会（IEC）标准IEC 61508以及IEC 61511中有详细的规定，同时在ISA S84.01中有类似的规定，不过ISA S84.01关于SIL的模型已经逐步被IEC 61508代替，但是在安全完整性等级的计算中还有重要的意义。