ASIL安全完整性等级

SIL是Safety Integrity Level的缩写，译为安全完整性等级。

SIL是在1998年颁布的IEC61508功能安全标准中首次提出的，它是功能安全等级的一种划分。

IEC61508将SIL划分为4级，即SIL1，SIL2，SIL3和SIL4。

安全相关系统的SIL应该达到哪一级别，是由风险分析得来的，即通过分析风险后果严重程度、风险暴露时间和频率、不能避开风险的概率及不期望事件发生概率这四个因素综合得出。

级别越高要求其危险失效概率越低。

SIL整体安全性等级PFD按要求的故障概率PFH每小时的危险故障概率1 10-2~10-1 10-6~10-52 10-3~10-2 10-7~10-63 10-4~10-3 10-8~10-74 10-5~10-4 10-9~10-8工厂内的设备/系统故障可能会引起环境破坏、爆炸和人员伤亡等。

SIL概念使得工厂运行者能够根据预期损害来划分其设备的要求。

另外，SIL概念为产品制造商提供了一个描述产品故障性能的方法。

所有设备/系统，甚至包括那些最精密的设备系统都可能产生故障。

SIL概念就是评定故障及其后果。

评估结果是根据概率计算得出的。

为了简化安全评估，SIL概念将安全级别化分为SIL1-SIL4（SIL4为最高安全级别）。

安全完整性等级的确定需要进行安全系统风险分析，它是进行系统研发的目标和基础，是评估系统能否保证安全的依据。

安全评估体系在完成了安全相关系统研发工作之后还涉及到对整个系统的安全性评价和认可问题，即安全评估。

它是要检查工程的安全管理是否完善，能否和安全计划保持一致。

把安全相关系统和安全需求规范相对照以评价它对控制系统风险是不是已经足够，以及系统能不能满足安全需求规范。

安全评估的目标是对于E／E／PE安全相关系统在功能安全方面达到的水平进行调查，并得出结论。

在石化、钢铁、电力、医药等工业领域，大部分安全问题依赖于仪表与控制系统执行正确的功能，这种安全依赖于系统功能的情况，被称为“功能安全”。

v1.0 可编辑可修改1 SIL 定级分析方法SIL 定义IEC 61511（参考文献[i]）中对安全完整性等级（SIL）的定义是指在一定时间、一定条件下，安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级（SIL）由两部分组成：硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表功能的运行过程中，与部件的功能退化及老化等有关；系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级（SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表。

表–安全完整性等级（SIL）划分需求时的失效概率（PFD）目标风险降低系数SIL 1~10~100SIL 2~100~1000SIL 3~1000~10000SIL 4~10000~100000SIL 定级分析方法应用风险评价矩阵和保护层分析（LOPA）方法，基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级（SIL）。

SIL 定级分析采取会议的形式，利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置和HAZOP 分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能（SIF）回路。

对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素有哪些，其要求频率是什么。

综合考虑和分析所需保护设备或系统中已有的各类保护措施，并讨论其降低风险的有效性；依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。

确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。

v1.0 可编辑可修改该研究方法的特点是：保护层分析（LOPA）：用于分析工艺流程中所保护对象可能发生的危害事件偏离情形，以及导致危害事件产生的原因、后果和各种保护措施等；风险等级矩阵：利用风险等级矩阵来确定各个安全仪表功能（SIF）回路所需求的安全完整性等级（SIL）。

安全完整性等级(SIL)杂谈(一)段慧文【摘要】介绍安全完整性等级的相关标准,重点在于舞台机械控制系统安全相关的内容,同时阐述了舞台机械专业的国内外差距.【期刊名称】《演艺科技》【年(卷),期】2018(000)007【总页数】7页(P36-42)【关键词】安全完整性等级;舞台机械;控制系统;标准;差距【作者】段慧文【作者单位】【正文语种】中文1 概述1.1 功能安全、安全完整性和安全相关系统电子/电气/可编程（E/E/EP）电子器件、软件系统在工业控制领域的大量使用，大大提升了自动化程度和生产效率。

但由于各种原因（如：研发人员的知识结构、开发制造中风险管理意识的不足、自身安全性能存在缺陷产品的流入等），在相关行业的安全控制系统中，由可靠性造成的人身安全、财产损失和环境危害等问题经常发生，给社会带来了无法挽回的损失。

世界各国在过程安全和工业装备安全控制中，对广泛涉及公众及职业安全的产品安全性设计非常重视，并且将电子、电气及可编程电子安全控制系统相关的技术，发展为一套成熟的安全设计技术，即功能安全技术。

笔者对几个与安全设计技术有关的名词作简单说明：（1）功能安全功能安全是与电子单元控制EUC（Electronic Unit Control）或与EUC控制系统有关的整体安全的组成部分,内容包括管理和技术两方面。

在管理上和技术上保证E/E/PE安全系统、其他技术安全系统和外界风险降低设施来执行安全功能。

无论零部件或者整个系统发生的失效，也不管是随机失效、系统失效或者是共因失效（同一原因引起的不同故障失效），都不会导致安全系统故障，进而不会对人员或者环境产生危害，那么该系统在功能上就是安全的。

无论是在正常工作状态或者是故障工作状态，控制系统都必须保证其安全功能。

欧美各国已经颁布了涉及到各个领域的、成套的与功能安全相关的产品规范和设计标准，如：轨道信号控制（EN 5012X）、核电控制（EN 61513）、工业装备及机器控制（EN 62601, EN ISO 13849-1/2）、过程工业控制（EN 61511）等；IEC 61508系列标准已经成为各个国家、行业广泛认可的基本功能安全标准；中国也逐渐形成了相应的功能安全国家标准，行业和企业将逐步按照国家强制标准的要求去升级自身产品的安全性。

安全完整性等级认证SIL 2什么是安全完整性等级认证SIL 2？安全完整性等级认证（Safety Integrity Level，简称SIL）是一种用于评估和确定工业过程中安全系统的可靠性和完整性的标准。

在工业自动化和安全控制领域，SIL级别通常用于评估可靠性，以确定系统的安全性能。

SIL 2是SIL级别中的一种，它表示系统具有较高的可靠性和安全性。

在工业环境中，使用SIL 2级别认证的安全系统能够有效地减少潜在的危害和风险，从而保护工人和设备的安全。

SIL 2的特点和要求SIL 2级别认证具有以下特点和要求： - 故障率：SIL 2系统的故障率要低于中等水平。

这意味着系统的组件和部件应具有较低的故障率，以确保系统的可靠性和持续运行性。

- 可靠性：SIL 2系统需要具有较高的可靠性。

这要求系统在面对可能的故障和异常情况时能够有效地进行故障检测、隔离和恢复，以确保系统的安全性。

- 测试和验证：SIL 2级别的系统需要经过严格的测试和验证，以确保其功能和性能符合规定的标准和要求。

- 维护和管理：SIL 2系统需要进行定期的维护和管理，以保持其可靠性和性能。

这包括故障排除、备份和更新等操作。

SIL 2的应用领域SIL 2级别的认证广泛应用于工业自动化和安全控制领域。

以下是一些使用SIL 2认证安全系统的常见应用领域：1.石油和天然气工业：在石油和天然气工业中，使用SIL 2认证的安全系统可以有效地保护生产设备和工人的安全。

这些系统可以监测和控制关键过程，以防止事故和泄漏的发生。

2.化学工业：在化学工业中，使用SIL 2认证的安全系统可以帮助控制和管理危险化学品的生产和储存过程。

这些系统可以减少潜在的化学品泄漏和爆炸风险，确保工作场所的安全。

3.铁路和交通工业：在铁路和交通工业中，使用SIL 2认证的安全系统可以提供流畅和安全的运输服务。

这些系统可以监测列车和交通信号，以确保列车和乘客的安全。

4.娱乐设施：在娱乐设施中，如游乐园和主题公园，使用SIL 2认证的安全系统可以保护游客的安全。

一、概述随着我国大型石油化工行业的发展，工艺路线的多元化，越来越多的装置中含有高温、高压、有毒、有害、易燃易爆介质，SIS系统做为保证装置安全生产的关键环节，其SIL等级的确定是SIS系统设计的基础，应由具备SIL评估资质的专业公司进行SIL等级确认，并依据等级在SIS系统配置完成后对其进行验证。

在大型石油化工装置进行SIL评估，合理设置SIS系统，可以有效保障石化装置安全。

二、安全仪表系统安全完整性等级的确定1.安全完整性等级（SIL）安全完整性等级（S I L）是以IEC61508及IEC61511中所涉及的反应失效概率（PFD）为基准的。

标准中将反应失效概率划分为四个范围，并对应相应的SIL等级。

表2-1给出了与每一个SIL 等级所对应的反应失效概率（PFD）的范围及相应的风险降低因子（RRF）。

表2-1　安全完整性等级（SIL）及对应的PFD和RRFＳＩＬＰＦＤＲＲＦ４≥　１０－５　ａ　＜１０－４＞１０　０００　ａ　≤１００　０００３≥　１０－４　ａ　＜１０－３＞１０００　ａ　≤１０　０００２≥　１０－３　ａ　＜１０－２＞１００　ａ　≤１０００１≥　１０－２　ａ　＜１０－１＞１０　ａ　≤１００SIL等级是一个重要的安全可靠性的参数，用以表征安全相关系统针对一个特定的功能需求所能达到的风险降低的程度。

根据IEC61508/61511的规定，安全完整性等级低于SIL1的保护功能可以通过基本工艺控制系统（BPCS）来实现，对于安全完整性等级大于或等于SIL1的保护功能来说，必须通过安全仪表系统来实现。

2. SIL定级本文采用的S I L等级评估方法为IEC61511标准中的保护层分析法（LOPA 法），主要包含以下步骤：①系统划分及确定受保护设备（EUC）；②识别每个EUC包含的安全仪表功能（SIF）；③分析需求SIF动作的触发原因及原因的失效频率；④评价可能的安全、环境和经济后果及其严重等级（不考虑任何保护措施）；⑤判断初始风险是否满足风险可接受准则（如果风险可接受，则该场景没有SIL等级要求，该场景分析结束）；如果不满足风险可接受准则，则进入下一步分析；⑥识别该场景的独立保护层及其PFD值；⑦判断残余风险是否满足风险可接受准则（如果风险可接受，则该场景没有SIL等级要求，该场景分析结束）；如果不满足风险可接受准则，则进入下一步分析；⑧根据残余风险和可接受风险的差距，分配SIF的SIL等级；⑨重复以上步骤，直至所有系统和EUC中的SIF分析完毕。

1 SIL 定级分析方法1、1 SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义就是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级(SIL)由两部分组成:•硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;•系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级(SIL)就是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表1、1。

1、2应用风险评价矩阵与保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。

SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置与HAZOP 分析结果,来识别、分析装置中各联锁就是否承担安全功能,就是否属于安全仪表功能(SIF)回路。

对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率就是什么。

综合考虑与分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平与公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接与间接经济损失。

确定SIL 的目的就是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。

该研究方法的特点就是:•保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果与各种保护措施等;•风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。

仪表安全等级的定义和区别SIL1、SIL2与SIL3有什么区别？紧急停车系统，多数应⽤于⽯油和化⼯系统，是⼀个Esd（Emergency Shutdown Device）:紧急停车系统独⽴于DCS系统的控制单元，在⼯艺发⽣危险状况时，对设备，环境等进⾏紧急的启挺，开关操作。

配置设备以⾼档的PLC居多，多数处理DI/DO点，现在多数与DCS进⾏通讯。

安全仪表系统，主要⽤于汽轮机，压缩机等⾼速SIS（SIS, safety instrumented system）:安全仪表系统，运转设备，对轴承的转速，震动，位移，温度等进⾏检测，对设备进⾏保护，原来设计多为模块组合，相当于与智能仪表的组合体。

SIS是安全仪表系统，ESD是紧急停车系统，ESD属于SIS的⼀部分。

SIS包括现场仪表、逻辑解决器、执⾏机构三部分，这三个部分都要是安全设计的，常规的ESD系统只是SIS的逻辑解决器这部分，当然也要是安全设计的。

随便举个例⼦，不⼀定合适，但是可以帮助理解这些概念。

西门⼦的PCS7 系统。

包含了S7-400H 硬件，WinCC 监控软件，Simaticnet 通讯软件。

Step7编程软件。

PDM等智能仪表⼯具。

PCS7 是⼀系列软件，硬件的组合体，是⼀个系统的概念。

SIS 基本上也是同样的道理。

从本质上来讲，SIS 的硬件系统不光包括SIS控制器及IO（例如 Triconex，HIMA，西门⼦400FH）。

还应包括所有跟控制器接⼝的其他输⼊部件，例如获得TUV SIL认证的传感器，变送器，检测装置；还应该包括所有输出部件，如获得 TUV SIL认证的执⾏器（液压安全执⾏器，⽓动安全执⾏器，电动型安全执⾏器），还应该有获得认证的现场设备。

要求严格的现场，阀门本体也必须是有TUV 证书的。

例如核电⼚的安全阀不光是锅炉与压⼒容器质检合格，还应该有核检证书，还应该有 TUV的安规证书，明确标明是SIL⼏等级。

那么，我们现在再来理解这些概念、、、安全型控制器（⽬前这个叫法最科学）仅仅是SIS系统硬件中的⼀环。

确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。

对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。

很多功能的实际使用频率非常低，比如汽车的如下两项功能：∙防抱死系统（ABS）。

（当然，这跟司机也有关系）∙安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：∙刹车∙转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的：∙对于使用频率低者，事故频率由两个参数构成：1)功能的使用频率2)当使用时，该功能发生故障的概率——故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。

∙对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。

假设故障的发生呈指数分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。

最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD = λT/2 = T/(2xMTTF) 或者：RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。

）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。