确定安全完整性等级(SIL)需求的方法

合集下载

安全完整性等级(SIL)验算方法及流程

2020年06月作业申请人在电脑端发起申请后，作业审批人员在移动端查看管辖范围内的待审批作业票，对符合作条件的作业票进行批复。

图1直接作业管理系统流程框架作业计划时间前作业票签发相关人员抵达作业现场，由施工单位技术人员向作业人员进行技术和安全交底，并通过移动端拍照留痕，并提交到系统。

对于需要进行采样检测的作业，需同步开展采样检测，并将采样检测结果输入至系统中。

作业票由作业申请人现场填报作业人员相关信息后生成，作业票由监护人员进行安全条件确认签字和签发人签字后签发。

为保证签字人现场签字，通过人员定位和人脸识别实现定位签发，证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。

作业完工后，监护人现场定位签字验收。

作业流程从现场交底到完工验收全程实现视频监控，具有权限的用户可通过移动端远程查看现场作业场景。

同时具有权限用户也可在GIS 地图查看作业分布情况。

当作业完工验收后，作业票据及相关信息会上传至系统，系统会对作业情况进行分析，形成分析报告。

4结语直接作业信息管理系统的开发应用，能够规范管道企业直接作业流程，解决目前作业环节中存在的关键问题，实现直接作业管理现场透明化、作业标准化、系统信息化，颠覆直接作业传统管理形式。

对于提升和优化直接作业的安全管理，保障直接作业作业过程安全具有重要意义。

参考文献：[1]张少春，丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量，2017，(10)：47-48.[2]李成承，周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境，2018，18(11)：53-55.[3]李彬，张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术，2019，35(5)：3-5.[4]施红勋，王秀香，牟善军，等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术，2014，10(增)：124-128.[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信息系统研发[J].工业安全与环保，2017，43(9)：71-74.作者简介：邓付平（1986-），男，从事生产安全管理工作。

SIL定级及验证示例

根据设备类型、系统复杂性和风险分析结果等因素，选择合适的SIL定级方法，如基于失效模式、基于安全功能等。
根据风险分析结果和所选的定级方法，确定系统或设备的安全完整性等级。
根据确定的SIL等级和安全目标，制定相应的安全计划，包括安全功能设计、测试和验证等。
建议：如何提高SIL定级的有效性
推广SIL理念和应用
推广SIL理念和应用，鼓励更多的企业和组织采用SIL定级方法，以确保设备和系统的安全性和可靠性。
感谢您的观看
THANKS
示例一：SIL3级定级及验证
要点一
总结词
在SIL3级定级及验证中，系统的安全性和可靠性要求最高，需要对系统进行全面的安全分析和评估，确保系统在任何情况下都能够安全运行。
要点二
详细描述
SIL3级定级及验证通常需要制定更为严格的安全策略和防护措施，包括对系统中的所有设备和软件进行严格的安全检测和测试，确保系统在面临各种异常情况时仍能保持安全运行。在验证方面，需要采用多种测试方法对系统进行全面的测试，包括功能测试、性能测试、安全测试等，以确保系统的安全性和可靠性达到预期要求。
充分了解设备或系统的特性
在进行SIL定级时，需要对设备或系统的特性有充分的了解，包括设备的工作原理、系统的功能和运行环境等。
考虑系统的实际运行环境
在确定SIL等级时，需要考虑系统的实际运行环境，包括温度、湿度、压力、电磁干扰等环境因素。
选择有经验的专家进行定级
SIL定级需要专业的知识和经验，应选择有经验的专家进行定级，以确保定级的准确性和有效性。
风险评估
对测试过程中可能出现的风险进行评估，并制定相应的应对措施。
测试用例

SIL定级分析方法说明

v1.0 可编辑可修改1 SIL 定级分析方法SIL 定义IEC 61511（参考文献[i]）中对安全完整性等级（SIL）的定义是指在一定时间、一定条件下，安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级（SIL）由两部分组成：硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表功能的运行过程中，与部件的功能退化及老化等有关；系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级（SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表。

表–安全完整性等级（SIL）划分需求时的失效概率（PFD）目标风险降低系数SIL 1~10~100SIL 2~100~1000SIL 3~1000~10000SIL 4~10000~100000SIL 定级分析方法应用风险评价矩阵和保护层分析（LOPA）方法，基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级（SIL）。

SIL 定级分析采取会议的形式，利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置和HAZOP 分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能（SIF）回路。

对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素有哪些，其要求频率是什么。

综合考虑和分析所需保护设备或系统中已有的各类保护措施，并讨论其降低风险的有效性；依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。

确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。

v1.0 可编辑可修改该研究方法的特点是：保护层分析（LOPA）：用于分析工艺流程中所保护对象可能发生的危害事件偏离情形，以及导致危害事件产生的原因、后果和各种保护措施等；风险等级矩阵：利用风险等级矩阵来确定各个安全仪表功能（SIF）回路所需求的安全完整性等级（SIL）。

SIL定级分析方法说明

1 SIL 定级分析方法1、1 SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义就是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级(SIL)由两部分组成:•硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;•系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级(SIL)就是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表1、1。

1、2应用风险评价矩阵与保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。

SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置与HAZOP 分析结果,来识别、分析装置中各联锁就是否承担安全功能,就是否属于安全仪表功能(SIF)回路。

对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率就是什么。

综合考虑与分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平与公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接与间接经济损失。

确定SIL 的目的就是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。

该研究方法的特点就是:•保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果与各种保护措施等;•风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。

确定安全完整性等级(SIL)需求的方法

确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。

对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。

很多功能的实际使用频率非常低，比如汽车的如下两项功能：∙防抱死系统（ABS）。

（当然，这跟司机也有关系）∙安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：∙刹车∙转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的：∙对于使用频率低者，事故频率由两个参数构成：1)功能的使用频率2)当使用时，该功能发生故障的概率——故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。

∙对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。

假设故障的发生呈指数分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。

最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD = λT/2 = T/(2xMTTF) 或者：RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。

）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。

安全评价资质 sil评估

安全评价资质 sil评估
SIL（Safety Integrity Level，安全完整水平）是一种用于评估安全系统的资质，目的是确定系统的可靠性和安全性水平。

SIL评估是根据国际标准IEC 61508（功能安全）和IEC 61511（过程工业安全系统）进行的。

这些标准定义了安全系统的要求和规范，并提供了一套评估方法和工具，以便确定系统的SIL等级。

SIL评估一般包括以下步骤：
1. 安全要求分析（SRS）：根据系统的功能和安全要求，确定系统的安全目标和功能。

2. 危险性和可靠性分析（HRA）：识别和评估潜在的危险和故障情况，以确定系统的安全完整性水平。

3. 安全完整性级别（SIL）确定：根据HRA的结果，确定系统的SIL等级，通常分为SIL 1至SIL 4。

4. 定义安全功能：根据SIL等级，确定实施安全功能所需的硬件和软件要求。

5. 验证和验证：对实施的安全功能进行验证和验证，以确保其满足SIL要求。

SIL评估是一项专业的技术工作，需要有相关领域的专业知识
和经验。

通常由专门的工程师、安全专家或独立的第三方机构进行评估。

评估结果被用于指导安全系统的设计、实施和监督，以确保系统在操作过程中的安全性和可靠性。

SIL定级及验证示

挑战
SIL定级及验证过程中，由于需要进行大量的实验和测试，导致验证成本较高。
利用虚拟仿真技术
通过利用虚拟仿真技术进行实验和测试，降低物理实验的需求，从而降低验证成本。
优化实验方案
通过优化实验方案，减少不必要的实验和测试，降低验证成本。
共享资源
与其他机构或企业共享资源，共同进行实验和测试，分摊验证成本。
失效预防和缓解措施
制定相应的失效预防和缓解措施，包括冗余设计、故障检测与诊断、修复与恢复等。
Part
03
SIL验证方法
模拟验证
总结词
模拟验证是一种常用的SIL验证方法，通过模拟设备或系统的运行状态和行为，评估其安全性能。
详细描述
模拟验证通过建立数学模型或仿真模型来模拟设备或系统的运行状态和行为，可以模拟各种异常情况和故障模式，以测试系统在异常情况下的表现和安全性。这种方法可以在早期设计阶段进行，以发现和解决潜在的安全问题，降低开发成本和风险。
引进具有丰富经验和专业技能的专家和人才，提高团队的整体水平。
Part
05
SIL定级及验证的未来发展
人工智能在SIL定级及验证中的应用
自动化SIL定级
利用人工智能技术，自动识别和评估系统的安全风险，为SIL定级提供更准确、高效的支持。
实时监测与预警
通过人工智能技术，实时监测系统运行状态，及时发现潜在的安全问题，为预防性维护和应急响应提供预警。
建立数据收集机制
通过建立数据收集机制，确保能够获取到足够的历史数据和实时数据。
数据整合与分析
对收集到的数据进行整合、清洗和分析，提取出关键信息，为SIL定级和验证提供依据。
利用先进技术
利用大数据、机器学习等技术对数据进行处理和分析，提高SIL定级和验证的准确性和可靠性。

SIL定级分析方法说明

1 SIL 定级分析方法1.1 SIL 定义IEC 61511（参考文献[i]）中对安全完整性等级（SIL）的定义是指在一定时间、一定条件下，安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级（SIL）由两部分组成：•硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表功能的运行过程中，与部件的功能退化及老化等有关；•系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级（SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表1.1。

表1.1 –安全完整性等级（SIL）划分1.2 SIL 定级分析方法应用风险评价矩阵和保护层分析（LOPA）方法，基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级（SIL）。

SIL 定级分析采取会议的形式，利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置和HAZOP 分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能（SIF）回路。

对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素有哪些，其要求频率是什么。

这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。

确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。

该研究方法的特点是：•保护层分析（LOPA）：用于分析工艺流程中所保护对象可能发生的危害事件偏离情形，以及导致危害事件产生的原因、后果和各种保护措施等；•风险等级矩阵：利用风险等级矩阵来确定各个安全仪表功能（SIF）回路所需求的安全完整性等级（SIL）。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。

对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。

很多功能的实际使用频率非常低，比如汽车的如下两项功能：∙防抱死系统（ABS）。

∙对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。

假设故障的发生呈指数分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。

最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD = λT/2 = T/(2xMTTF)或者：RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。

）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。

然而标准中对两种度量都使用相同的术语——SIL，定义见下表：表1 – BS EN 61508 中低使用频率下的SIL定义SIL平均PFD范围RRF范围①410-5≤ PFD ＜ 10-4100000 ≥ RRF ＞ 10000310-4≤ PFD ＜ 10-310000 ≥ RRF ＞ 1000210-3≤ PFD ＜ 10-21000 ≥ RRF ＞ 100110-2≤ PFD ＜ 10-1100 ≥ RRF ＞ 10表2 – BS EN 61508 中高使用频率或持续运作下的SIL定义SILλ范围(每小时故障次数)MTTF范围(年) ②410-9≤λ＜ 10-8100000 ≥ MTTF ＞ 10000310-8≤λ＜ 10-710000 ≥ MTTF ＞ 1000210-7≤λ＜ 10-61000 ≥ MTTF ＞ 100110-6≤λ＜ 10-5100 ≥ MTTF ＞ 10在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则是故障速率的代表。

（在标准中，高低使用频率的分界大体上被设置在每年一次，这与3到6个月的检验间隔是相符的。

在很多情况下，要使检验间隔比这更短也不大可行。

）现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周发生一次，约合25次每年，也就是高使用频率型；另一种大约10年发生一次，也就是低使用频率型。

如果该功能的平均无故障时间为50年，那么对高频危险的保护将达到SIL1级别。

同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。

其他条件相同的情况下，对低频危险的防护等级实际上达到了：PFD = 0.04/(2x50) = 4 x 10-4即：SIL3那么，该功能达到的SIL等级究竟为何呢？显然答案不是唯一的，而是取决于具体保护的危险，特别是危险发生的频率是高还是低。

①此栏并非标准中所定义，但通常RRF比PFD更易处理。

②此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的MTTF值更有用，因为在这里，时间更多地是以年来计，而不是小时。

在前一种情况下，可以达到的SIL等级是由设备的内在属性决定的；后一种情况下，尽管设备的内在属性也很重要，但是可以达到的SIL等级同样受检验制度的影响，这在过程工业领域很重要。

在这里，可达到的SIL等级易受现场设备（过程仪表以及其他特别是末端设备如关断阀等）可靠性的影响。

这些现场设备需要定期地检验方能达到需求的SIL等级。

每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是容易混淆的。

3确定SIL需求的一些方法BS EN 61508 提供了三种确定SIL需求的方法：∙定量法。

∙风险图表法，在标准中被作为定性方法。

∙伤害事件严重性矩阵，在标准中同样被作为定性方法。

BS IEC 61511 则提供了：∙半定量法。

∙安全层级矩阵模型，被作为半定性方法。

∙标准化风险图表法，在标准中被作为半定性方法，但业内也有些作为半定量方法。

∙风险图表法，被作为定性方法。

∙保护层级分析（LOPA）。

（尽管标准并未指明是定性还是定量，但该方法是倾向于定量的。

）风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业领域。

两者的优势和弊端以及应用范围是本文的主要议题。

4风险图表法风险图表法广泛使用的原因将在下文中介绍。

典型的风险图表见图1。

C为后果参数，C A-C D表示不同的后果等级。

F为频率与暴露时间参数。

P为避免伤害的可能性。

W为无保护状态下，危险发生的速率。

图中的参数可被给予定性的描述，如：C C≡造成数人死亡。

或定量的描述，如C C≡发生死亡的概率为0.1到1.0。

图1 – 典型的风险图表第一种定义规避了问题的实质：“数人”是多少人？在实际应用中，要评估SIL需求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。

这些定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成半定量的了（或许是半定性？当然一定是在定量和定性两种极端之间的某个位置。

）表3给出了一套典型的定义表3 – 风险图表参数的典型定义后果C A轻微伤害C B每次事故发生死亡的概率在0.01到0.1C C每次事故发生死亡的概率在0.1到1C D每次事故发生死亡的概率 > 1暴露时间F A＜ 10% 的时间F B≥ 10% 的时间伤害的可避免性/不可避免性P A＞ 90%可避免 / ＜ 10%不可避免P B≤ 90%可避免 / ≥ 10%不可避免发生速率W1低于30年一次W23到30年一次W30.3到3年一次4.1 优势风险图表法具有如下优势：∙是一种半定性/半定量的方法▪不需要精确的伤害发生速率、后果以及其他参数的值▪不需要专业的计算或复杂的建模▪只要对应用领域心里“有谱”的人就可以使用∙通常作为一种团队实践，类似于HAZOP[译注：危险与可操作性分析]▪个人偏见得以消除▪对于风险与危害的理解得以在团队成员间传播（如从设计、操作、维护等不同位置得出的理解）▪个人易忽视的问题得以被发现▪需要计划和制度∙不需要详细学习相对轻微的伤害▪可以相对较快的速度评估多种危害▪可作为一种有效的筛查工具用于识别：-需要更细致评估的危害-无需额外防护的轻度危害由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。

4.2 残余风险范围的问题考虑例子中的参数分别取：C C,F B,P B,W2，这样表示需要达到SIL3 的防护。

C C≡每次事故发生死亡的概率在0.1到1F B≡暴露时间≥ 10%P B≡伤害不可避免的可能性≥ 10%W2≡ 3到30年发生一次SIL3 ≡ 10000 ≥ RRF ≥ 1000假设所有参数均位于其范围的几何平均数处：后果 = √(0.1 x 1.0) = 每次事故发生死亡的概率为0.32暴露时间 = √(10% x 100%) = 32%不可避免性 = √(10% x 100%) = 32%发生速率 = √(3 x 30) ≈ 10年发生一次RRF = = √(1000 x 10000) ≈ 3200（注意：之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的）考虑不加保护的危害：风险最大值 = (1 x 100% x 100%)/3 ≈每3年有一人因事故死亡风险几何平均值= (0.32 x 32% x 32%)/10 = 每300年有一人因事故死亡风险最小值 = (1 x 10% x 10%)/30 ≈每30000年有一人因事故死亡即：不加保护的风险从最小到最大有着4个数量级之差。

考虑加以SIL3级别的保护则：残余风险最大值≈ (3 x 1000) = 每3000年有一人因事故死亡残余风险几何平均值≈ (300 x 3200) ≈每100万年有一人因事故死亡残余风险最小值≈ (30000 x 10000) = 每3000万年有一人因事故死亡即：加以保护后的风险从最小到最大有着5个数量级之差。

图2给出了基于平均情况的原理表示图2 – BS IEC 61511 中的风险消除模型。