调节阀安全等级sil

SIL是Safety Integrity Level的缩写，译为安全完整性等级。

SIL是在1998年颁布的IEC61508功能安全标准中首次提出的，它是功能安全等级的一种划分。

IEC61508将SIL划分为4级，即SIL1，SIL2，SIL3和SIL4。

安全相关系统的SIL应该达到哪一级别，是由风险分析得来的，即通过分析风险后果严重程度、风险暴露时间和频率、不能避开风险的概率及不期望事件发生概率这四个因素综合得出。

级别越高要求其危险失效概率越低。

SIL整体安全性等级PFD按要求的故障概率PFH每小时的危险故障概率1 10-2~10-1 10-6~10-52 10-3~10-2 10-7~10-63 10-4~10-3 10-8~10-74 10-5~10-4 10-9~10-8工厂内的设备/系统故障可能会引起环境破坏、爆炸和人员伤亡等。

SIL概念使得工厂运行者能够根据预期损害来划分其设备的要求。

另外，SIL概念为产品制造商提供了一个描述产品故障性能的方法。

所有设备/系统，甚至包括那些最精密的设备系统都可能产生故障。

SIL概念就是评定故障及其后果。

评估结果是根据概率计算得出的。

为了简化安全评估，SIL概念将安全级别化分为SIL1-SIL4（SIL4为最高安全级别）。

安全完整性等级的确定需要进行安全系统风险分析，它是进行系统研发的目标和基础，是评估系统能否保证安全的依据。

安全评估体系在完成了安全相关系统研发工作之后还涉及到对整个系统的安全性评价和认可问题，即安全评估。

它是要检查工程的安全管理是否完善，能否和安全计划保持一致。

把安全相关系统和安全需求规范相对照以评价它对控制系统风险是不是已经足够，以及系统能不能满足安全需求规范。

安全评估的目标是对于E／E／PE安全相关系统在功能安全方面达到的水平进行调查，并得出结论。

在石化、钢铁、电力、医药等工业领域，大部分安全问题依赖于仪表与控制系统执行正确的功能，这种安全依赖于系统功能的情况，被称为“功能安全”。

仪表安全等级SIL1、SIL2与SIL3有什么区别？鉴于SIS涉及到人员、设备、环境的安全，因此各国均制定了相关的标准、规范，使得SIS的设计、制造、使用均有章可循。

并有权威的认证机构对产品能达到的安全等级进行确认。

这些标准、规范及认证机构主要有：我国石化集团制定的行业标准SHB-Z06-1999《石油化工紧急停车及安全联锁系统设计导则》。

2006年、2007年等同采用IEC61508、IEC61511的中国国家标准GB/T20438、GB/T21109相继发布，中国的功能安全标准开始规范我国的功能安全工作。

国际电工委员会1997年制定的IEC 61508/61511标准，对用机电设备（继电器）、固态电子设备、可编程电子设备（PLC）构成的安全联锁系统的硬件、软件及应用作出了明确规定。

美国仪表学会制定的ISA-S84.01-1996《安全仪表系统在过程工业中的应用》。

美国化学工程学会制定的AICHE（ccps）-1993，《化学过程的安全自动化导则》。

英国健康与安全执行委员会制定的HSE PES-1987，《可编程电子系统在安全领域的应用》。

德国国家标准中有安全系统制造厂商标准-DIN V VDE 0801、过程操作用户标准-DIN V 19250和DIN V 19251、燃烧管理系统标准-DIN VDE 0116等。

德国技术监督协会（TüV）是一个独立的、权威的认证机构，它按照德国国家标准（DIN），将ESD所达到的安全等级分为AK1～AK8，AK8安全级别最高。

其中AK4、AK5、AK6为适用于石油和化学工业取得TUV认证的SIS产品不同的工业过程（如生产规模、原料和产品的种类、工艺和设备的复杂程度等）对安全的要求是不同的。

上述的国际标准将其划分为若干安全完整性等级（SIL：SafetyIntegrity Level）。

安全完整性等级（SIL）是一种离散的等级，用来规定分配给E/E/PE安全相关系统安全功能的安全完整性要求。

v1.0 可编辑可修改1 SIL 定级分析方法SIL 定义IEC 61511（参考文献[i]）中对安全完整性等级（SIL）的定义是指在一定时间、一定条件下，安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级（SIL）由两部分组成：硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表功能的运行过程中，与部件的功能退化及老化等有关；系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级（SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表。

表–安全完整性等级（SIL）划分需求时的失效概率（PFD）目标风险降低系数SIL 1~10~100SIL 2~100~1000SIL 3~1000~10000SIL 4~10000~100000SIL 定级分析方法应用风险评价矩阵和保护层分析（LOPA）方法，基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级（SIL）。

SIL 定级分析采取会议的形式，利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置和HAZOP 分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能（SIF）回路。

对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素有哪些，其要求频率是什么。

综合考虑和分析所需保护设备或系统中已有的各类保护措施，并讨论其降低风险的有效性；依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。

确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。

v1.0 可编辑可修改该研究方法的特点是：保护层分析（LOPA）：用于分析工艺流程中所保护对象可能发生的危害事件偏离情形，以及导致危害事件产生的原因、后果和各种保护措施等；风险等级矩阵：利用风险等级矩阵来确定各个安全仪表功能（SIF）回路所需求的安全完整性等级（SIL）。

1 SIL 定级分析方法1.1 SIL 定义IEC 61511（参考文献[i]）中对安全完整性等级（SIL）的定义是指在一定时间、一定条件下，安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级（SIL）由两部分组成：硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表功能的运行过程中，与部件的功能退化及老化等有关；系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级（SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表1.1。

表 1.1 –安全完整性等级（SIL）划分安全完整性等级需求时的失效概率（PFD）目标风险降低系数SIL 10.01~0.110~100SIL 20.001~0.01100~1000SIL 30.0001~0.0011000~10000SIL 40.00001~0.000110000~1000001.2 SIL 定级分析方法应用风险评价矩阵和保护层分析（LOPA）方法，基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级（SIL）。

SIL 定级分析采取会议的形式，利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置和HAZOP 分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能（SIF）回路。

对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素有哪些，其要求频率是什么。

综合考虑和分析所需保护设备或系统中已有的各类保护措施，并讨论其降低风险的有效性；依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。

确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。

确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。

对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。

很多功能的实际使用频率非常低，比如汽车的如下两项功能：•防抱死系统（ABS）。

（当然，这跟司机也有关系）•安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：•刹车•转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的：•对于使用频率低者，事故频率由两个参数构成：1)功能的使用频率2)当使用时，该功能发生故障的概率——故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。

•对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。

假设故障的发生呈指数分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。

最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD = λT/2 = T/(2xMTTF) 或者：RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。

）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。

1 SIL 定级分析方法1、1 SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义就是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级(SIL)由两部分组成:•硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;•系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级(SIL)就是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表1、1。

1、2应用风险评价矩阵与保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。

SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置与HAZOP 分析结果,来识别、分析装置中各联锁就是否承担安全功能,就是否属于安全仪表功能(SIF)回路。

对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率就是什么。

综合考虑与分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平与公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接与间接经济损失。

确定SIL 的目的就是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。

该研究方法的特点就是:•保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果与各种保护措施等;•风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。

Esd（Emergency Shutdown Device）:紧急停车系统，多数应用于石油和化工系统，是一个独立于DCS系统的控制单元，在工艺发生危险状况时，对设备，环境等进行紧急的启挺，开关操作。

配置设备以高档的PLC居多，多数处理DI/DO点，现在多数与DCS进行通讯。

SIS（SIS, safety instrumented system）:安全仪表系统，主要用于汽轮机，压缩机等高速运转设备，对轴承的转速，震动，位移，温度等进行检测，对设备进行保护，原来设计多为模块组合，相当于与智能仪表的组合体。

SIS是安全仪表系统，ESD是紧急停车系统，ESD属于SIS的一部分。

SIS 包括现场仪表、逻辑解决器、执行机构三部分，这三个部分都要是安全设计的，常规的ESD系统只是SIS的逻辑解决器这部分，当然也要是安全设计的。

随便举个例子，不一定合适，但是可以帮助理解这些概念。

西门子的PCS7 系统。

包含了S7-400H 硬件，WinCC 监控软件，Simaticnet 通讯软件。

Step7编程软件。

PDM等智能仪表工具。

PCS7 是一系列软件，硬件的组合体，是一个系统的概念。

SIS 基本上也是同样的道理。

从本质上来讲，SIS 的硬件系统不光包括，SIS控制器及IO（例如Triconex，HIMA，西门子400FH）。

还应包括所有跟控制器接口的其他输入部件，例如获得TUV SIL认证的传感器，变送器，检测装置；还应该包括所有输出部件，如获得TUV SIL认证的执行器（液压安全执行器，气动安全执行器，电动型安全执行器），还应该有获得认证的现场设备。

－－要求严格的现场，阀门本体也必须是有TUV 证书的。

例如核电厂的安全阀不光是锅炉与压力容器质检合格，还应该有核检证书，还应该有TUV的安规证书，明确标明是SIL几等级。

那么，我们现在再来理解这些概念，，，安全型控制器（目前这个叫法最科学）仅仅是SIS系统硬件中的一环。

Esd（Emergency Shutdown Device）:紧急停车系统，多数应用于石油和化工系统，是一个独立于DCS系统的控制单元，在工艺发生危险状况时，对设备，环境等进行紧急的启挺，开关操作。

配置设备以高档的PLC居多，多数处理DI/DO点，现在多数与DCS进行通讯。

SIS（SIS, safety instrumented system）:安全仪表系统，主要用于汽轮机，压缩机等高速运转设备，对轴承的转速，震动，位移，温度等进行检测，对设备进行保护，原来设计多为模块组合，相当于与智能仪表的组合体。

SIS是安全仪表系统，ESD是紧急停车系统，ESD属于SIS的一部分。

SIS包括现场仪表、逻辑解决器、执行机构三部分，这三个部分都要是安全设计的，常规的ESD系统只是SIS的逻辑解决器这部分，当然也要是安全设计的。

随便举个例子，不一定合适，但是可以帮助理解这些概念。

西门子的PCS7 系统。

包含了S7-400H 硬件，WinCC 监控软件，Simaticnet 通讯软件。

Step7编程软件。

PDM等智能仪表工具。

PCS7 是一系列软件，硬件的组合体，是一个系统的概念。

SIS 基本上也是同样的道理。

从本质上来讲，SIS 的硬件系统不光包括，SIS控制器及IO（例如Triconex，HIMA，西门子400FH）。

还应包括所有跟控制器接口的其他输入部件，例如获得TUV SIL认证的传感器，变送器，检测装置；还应该包括所有输出部件，如获得TUV SIL认证的执行器（液压安全执行器，气动安全执行器，电动型安全执行器），还应该有获得认证的现场设备。

－－要求严格的现场，阀门本体也必须是有TUV 证书的。

例如核电厂的安全阀不光是锅炉与压力容器质检合格，还应该有核检证书，还应该有TUV的安规证书，明确标明是SIL几等级。

那么，我们现在再来理解这些概念，，，安全型控制器（目前这个叫法最科学）仅仅是SIS系统硬件中的一环。

1 SIL 定级分析方法1.1 SIL 定义IEC 61511（参考文献[i]）中对安全完整性等级（SIL）的定义是指在一定时间、一定条件下，安全相关系统执行其所定义的安全功能的可靠性。

安全完整性等级（SIL）由两部分组成：•硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表功能的运行过程中，与部件的功能退化及老化等有关；•系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。

安全完整性等级（SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。

SIL 等级的说明参见表1.1。

表1.1 –安全完整性等级（SIL）划分1.2 SIL 定级分析方法应用风险评价矩阵和保护层分析（LOPA）方法，基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级（SIL）。

SIL 定级分析采取会议的形式，利用头脑风暴的方法进行。

结合相应的工艺流程设计、联锁设置和HAZOP 分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能（SIF）回路。

对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素有哪些，其要求频率是什么。

综合考虑和分析所需保护设备或系统中已有的各类保护措施，并讨论其降低风险的有效性；依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。

这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。

确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。

该研究方法的特点是：•保护层分析（LOPA）：用于分析工艺流程中所保护对象可能发生的危害事件偏离情形，以及导致危害事件产生的原因、后果和各种保护措施等；•风险等级矩阵：利用风险等级矩阵来确定各个安全仪表功能（SIF）回路所需求的安全完整性等级（SIL）。

功能安全SIL$show_blogurl$SIL 分级目标量的定义首先SIL 分级起始于安全相关系统的分配。

目标级别从机器设备的风险分析中获得（见附录2）。

应该避免SIL4（见IEC61508-1，9.3节）（IEC61508-1，7.6.2.9表格2和3）在低要求操作模式下分配给一个E/E/PE 安全系统的安全功能目标失效量在高要求或连续操作模式下分配给一个E/E/PE 安全相关系统的安全功能目标失效量Definition of the target values of the SIL-classFirst of all the SIL-classification is stated, in which the safety related system (SRS) is to be deployed. The target class is derived from th e risk analysis of the plant (see Appendix 2). SIL 4 should be avoided (see IEC 61508-1, Para 9.3)(IEC 61508-1, 7.6.2.9 Tables 2 and 3)Low demand mode of operation{SIL1 , SIL2, SIL3, SIL4 的定义分级}SIL（安全完整性等级）低要求操作模式（在要求时就执行其设计功能要求的平均失效概率）4 ≥10-5 < 10-4 3 ≥10-4 < 10-3 2 ≥10-3 < 10-2 1≥10-2 < 10-1SIL（安全完整性等级）高要求或连续操作模式（每小时危险失效概率）4 ≥10-9 < 10-8 3 ≥10-8 < 10-7 2 ≥10-7 < 10-6 1≥10-6 < 10-5SIL(Safety Integrity Level)Average probability of failure to perform its design function on demand -PFD4 ≥10-5 < 10-4 3≥10-4 < 10-32≥10-3 < 10-21≥10-2 < 10-1High demand mode of operationSIL(Safety Integrity Level)Probability of dangerous failure per hour- PFH 4≥10-9 < 10-83≥10-8 < 10-72≥10-7 < 10-61≥10-6 < 10-5。