SIL定级分析方法说明

v1.0 可编辑可修改 1SIL 定级分析方法 SIL 定义 IEC61511（参考文献 [i]）中对安全完整性等级（ SIL）的定义是指在一定时间、一定条件 下，安 全相关系统执行其所定义的安全功能的可靠性。 安全完整性等级（SIL）由两部分组成 硬件安全完整性等级，这部分的安全完整性与随机硬件危险失效有关，主要体现在安全仪表 功能的运行过程中，与部件的功能退化及老化等有关； 系统安全完整性等级，这部分的安全完整性与系统的危险失效有关，主要与系统设计、制造 流程、变更改造、操作规划以及文档记录等有关。 安全完整性等级（ SIL）是一种离散的等级，用于规定分配给安全仪表系统中安全功能回路在需 求时的失效概率。SIL 等级的说明参见表 。 表– 安全完整性等级（SIL）划分 SIL 1 SIL 2 SIL 3 SIL 4 需求时的失效概率（PFD） 目标风险降低系数 10100 1001000 100010000 10000100000 SIL 定级分析方法 应用风险评价矩阵和保护层分析（LOPA）方法，基于 IEC 61508/61511 标准来评价 装置现有的安全功能回路所需的安全完整性等级（SIL）。 SIL定级分析采取会议的形式，利用头脑风暴的方法进行。结合相应的工艺流程设计、联锁设 置和HAZOP分析结果，来识别、分析装置中各联锁是否承担安全功能，是否属于安全仪表功能 （SIF）回路。对于所识别出来的安全仪表功能回路，则进一步分析对此安全功能产生要求的因素 有哪些，其要求频率是什么。综合考虑和分析所需保护设备或系统中已有的各类保护措施，并讨论其 降低风险的有效性；依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路 1 的完整性等级。。 这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。确定SIL 的目的是通过应用可靠 的 安全仪表系统来降低危害事件的风险，从而把系统的风险降低到可接受水平。 2 v1.0 可编辑可修改 该研究方法的特点是 保护层分析（ LOPA）用于分析工艺流程中所保护对象可能发生的危害事件偏离情形，以及 导致危害事件产生的原因、后果和各种保护措施等； 风险等级矩阵利用风险等级矩阵来确定各个安全仪表功能（SIF）回路所需求的安全完整性 等级（SIL）。本次所用的LOPA 定级矩阵如表所示。 表 - LOPA-SIL 分析方法矩阵 公司公司 SIL SIL 定级风险矩阵定级风险矩阵 1 1 频频 率率 101101 10101010 等等 10101010 级级 10101010 5 人或轻伤10 人 死亡 1 人或重伤、急性职业中毒 2～5 人或轻伤 6～10 人 重伤、急性职业中毒 1 人或轻伤 2～5 人 轻伤 1 人 出现急救事件 环境破坏后果 环境破坏后果分级及其参数说明可参见表 。 表 -环境破坏后果分级及参数说明 环境破坏后果分级说明 5 1.发生在厂界外的化学品泄漏量超过 10 吨，造成重大污染的。 2.事故使得区域生态功能部分丧失或濒危物种生存环境受到污染。 3.事故使得当地经济、社会活动受到严重影响，导致群众疏散。 4 4.事故造成水域大面积污染，或县级城镇水源地取水中断。 1.发生在厂界外的化学品泄漏量 1 吨以上，造成污染的。 2.因事故造成跨县级行政区域纠纷，引起一般群体性影响。 3 1.发生在厂界内的化学品非受控泄漏超过 1 吨，造成污染的。 2.发生在厂界外的化学品泄漏量 1 吨以下，造成污染的。 2 1 发生在厂界内的化学品非受控泄漏 1 吨以下，造成污染的。 发生在厂界内非受控排放，可能造成污染 经济损失后果 经济损失后果分级及其参数说明可参见表 。 表– 经济损失后果分级及参数说明 经济损失后果分级说明 5 ≥1000 万元（人民币） 4 4 ≥100 万元（人民币） 5 3 2 1 ≥10 万元（人民币） 10 万元（人民币） 1 万元（人民币） 失效频率基础数据 危险事件的发生频率通常与设备失效频率相关。表中失效频率数据结合了美国 CCPS Centre for Chemical Process Safety在“保护层分析（LOPA）”中提供的工艺系统中各类安全 保护层的失效频率，PDS 数据手册 2006 版中的阀门误动作失效率以及劳氏咨询 Data Dossier 中的部分管道失 效频率，可以作为评估初始事件发生频率的参考数据。 表– 典型初始事件及发生频率 初始事件描述发生频率 1 次/每 X 年 基本工艺控制回路完整的仪表回路，包含传感器、控制器和最终执行元件 一个仪表失效 多个仪表失效 压力调节阀 操作者行为 单个仪表失效 多个仪表失效 在清洁环境下，且定期维护的压力调节阀或减压阀 每日或每周操作一次。操作者进行过具体培训 每月或每季度操作一次。操作者进行过具体培训 每年，隔年操作一次或短期停机。操作者进行过具体培 训 10 10 100 10 1 10 100 进料中断 操作流程中未涉及的操作，需公司管理者批准进行 任何原因导致的进料中断，如泵失效、堵塞或主要供给 问题 电源中断任何原因导致的电源中断 1000 10 10 6 初始事件描述发生频率 1 次每 X 年 进料过量 执行机构误动作 泄压阀打开过早 机械失效（金属元 任何原因导致进料过量，如工艺问题或主要供给问题 设备误动作，如截止阀关闭、泵停机和排污阀打开 过早打开导致事故 无运动部件无振动 低振动 高振动 10 10 100 1000 100 10 100 10 1 100 10 1 10 利用个人对失 效频率数据的 件） 机械失效（非金属无运动部件无振动 低振动 高振动 元件） 机械失效（管线）无运动部件无振动 电动驱动设备 其他初始事件 低振动 高振动 单一泵（或送风机、压缩机） 考虑初始事件中的零部件失效 经验决定 [i]IEC 61511 Functional Safety – Safety Instrumented Systems for the Process Industry Sector, 2004 7