IEC 50156 加热炉
IEC 62061 机械
两个重要概念
安全完整性等级
Safety Integrity Level（SIL）
在一定时间、一定条件下, 安全系统执行其所规定的安 全功能的可能性。
安全完整性等级就是衡量这种能力大小的一种指标。
安全完整性等级SIL是按照一定时间、一定条件下, 安全 系统能成功执行其安全功能的概率而划分的；SIL是安全 系统执行其安全功能的可靠程度与能力的指标，是安全系 统功能失效概率倒数的数量级。
2）SIL分级
剩余风险
允许风险
过程风险
必要的风险降低 实际的风险降低
其他安全系统减少的风险 SIS系统减少的风险
外部风险减轻设施 减少的风险
所有安全系统和外部风险减轻设施所减少的风险
主要技术方法有： 保护层分析法（LOPA）-推荐使用 风险图法 风险矩阵
推荐使用保护层分析法（LOPA）
SIL评估技术
SIL分级 ②结构约束 ③检验测试周期
（1）SIL分级 1）SIF辨识 要求：执行一次过程危险分析（PHA） 方法：建议HAZOP 识别危险与危险事件 辨识并评估现有安全功能（保护措施） 进一步降低风险的建议措施 安全仪表功能？
系统的失效概率是各组成部件失效概率之和；
系统的SIL是由各组成部件的SIL共同决定的
① 设备选择 a.SIS部件或子系统按IEC61508生产制造； b.SIS部件和子系统基于“先验使用”（Prior Use）； c.FVL可编程部件和子系统应符合IEC61508-2/3的相 关要求； d.SIL4的SIS部件和子系统应符合IEC61508-2/3的相 关要求； e.SIS部件和子系统选型应符合SRS的要求。
–Markov模型：马尔科夫模型将安全相关系统归于不同 的若干状态。一个状态会以某种概率转移到其它状态。 根据模型得到相应条件下的事故发生概率。
–简化公式：故障树和马尔科夫模型都会有计算量随着 系统规模增大而指数增长的问题。工程上常采用各种 近似来减少计算量。
传感器
逻辑演算器
执行器
35%
15%
50%
② 结构约束-冗余容错
硬件故障裕度/硬件故障容错（HFT）: 硬件功能单元 在故障存在的情况下，持续完成所要求功能的能力。
IEC61511逻辑控制器结构约束
最低硬件故障裕度(HFT)
SIL
SFF < 60%
SFF 60% to 90%
SFF > 90%
1
1
0
0
2
2
1
0
3
3
2
1
4
特殊要求应用- 见IEC 61508
IEC61508的组成
• 第1部分：一般要求 • 第2部分：电气/电子/可编程电子安全系统的
要求 • 第3部分：软件要求 • 第4部分：定义和缩略语 • 第5部分：确定安全完整性等级的方法示例 • 第6部分：应用指南（对第2、3部分） • 第7部分：技术和测量概述
IEC61511的组成
• IEC61511分为3个部分
Layer of Protection Analysis
a. 半定量的风险分析技术 b. 过程危险分析（PHA）的延续 c. 用初始事件的频率、后果严重程度和IPLs失 效频率数量级大小近似表征危险事件的风险 d. 过程工业用于评估SIL要求的常用方法，用 SIS填补风险缺口。
危险事件；
初始事件的频率；
IEC61511传感器、最终元件和非PE逻辑控制器
SIL
最低硬件故障裕度（HFT）
1
0
2
1
3
2
4
特殊应用要求-见IEC61508
2oo2表决
产品 分离器
V-101
LT -102
LT -101
LIC 101
SV
IAS
LV -101 XV-101
2oo3表决 1oo2 表决
产品 分离器
V-101
LT-102
系统自动地使工厂安全停车。 安全阀泄压、过压保护系统 将泄漏液体局限在局部区域的防护堤 工厂内部的应急计划 周边居民、公共设施的应急计划
保护层中的位置
作用： 风险降低 降低后果发生的概率
特点： 正常状况下是静态的、被动的，不需要人为干预 危险情况出现时由静变动，正确完成其预定功能
要求： 正确的安全功能（安全仪表功能SIF） 良好的可靠性（安全完整性等级SIL）
保护层中的位置
层次
名称
第一层 过程设计
第二层 基本过程控制系统（BPCS）
第三层 区别于BPCS的重要报警
第四层 安全仪表系统 （SIS） 第五层 物理防护层（一） 第六层 物理防护层（二）
第七层 工厂内部紧急应对计划 第八层 周边区域防灾计划
说明 过程设计中实现本质安全 如DCS，以正常运行的监控为目的 操作员介入需要有一定的必要余度时
功能安全标准
两个重要标准
IEC61508 Functional Safety of electrical / electronic / programmable electronic safety related systems. GB/T20438 电气\电子\可编程电子安全相关系统的功能安全 IEC 61511 Functionalsafety: safety instrumented systems forthe process industry sector GB/T21109 过程工业领域安全仪表系统的功能安全
两个重要概念
安全完整性等级
Safety Integrity Level（SIL）
风险概率=危险事件发生概率×安全系统要求时失效概率。
SIL反映了安全系统能使过程风险降低的数量级。
通过安全系统的作用，降低风险发生的概率，把系统风 险降低到一个可以接受的水平
分为4个等级，SIL4的安全等级最高，其要求时失效概率 低，能够使风险发生概率降低的能力强。
过程工业中，安全功能的SIL等级一般为低要求操作模式 下的SIL1到SIL3。
安全完整 性等级 （SIL）
4 3 2 1
低要求操作模式 平均失效概率 （PFD） ≥10-5且＜10-4 ≥10-4且＜10-3 ≥10-3且＜10-2 ≥10-2且＜10-1
目标风险
安全有效性
降低因子
RRF
99.99—99.999 10000-100000
LT-101
LIC 101
SV
IAS
SV
IAS
LAL
LT-103
LV-101 XV-101 XV-102
传感器结构安全性 1oo2＞2oo3＞1oo1＞2oo2 传感器结构过程可用性 2oo2＞2oo3＞1oo1＞1oo2
③检验测试（Proof Test）周期 对SIS或其子系统进行的周期性的物理测
功能安全技术与应用 安全安全仪表系统及其功能安全
中国安全生产科学研究院 多英全
1
安全仪表系统
2
功能安全标准
3
SIL评估技术
安全仪表系统
安全仪表系统
Safety Instrumented System（SIS） 用来完成一个或多个安全仪表功能的仪表系统。安
全仪表系统由传感器，控制器和最终元件组合而成。
试或功能检查。 用于检查隐性失效； 降低安全系统要求时失效的概率； 需要增加维护成本； 检验测试周期Ti（在线还是停车期间）； 全部测试还是部分测试。
敬请 批评指正！
紧急停车系统（ESD） 火/气保护系统（F&G） 安全联锁系统（SIS） 燃烧炉控制系统（BMS） 高完整性压力保护系统（HIPPS）
安全仪表功能
Safety Instrumented Function（SIF）
SIF1
液位开关
逻辑控 制器
电磁阀
泵
SIF2 SIF3
电磁阀
SIF4
–第1部分：框架、定义、系统、硬件和软件要求 –第2部分： IEC61511第1部分的应用指南 –第3部分：确定要求的安全完整性等级的指南
IEC 61513 核工业
EN 50128 铁路
IEC 61800-5-2 电力驱动
ISO26262 汽车
IEC 61508
IEC 60601 医疗设备
IEC 61511 过程工业
99.9—99.99 1000-10000
99—99.9 100-1000
90—99 10-100
两个重要概念
安全生命周期
Safty Life Cycle （SLC）
安全生命周期：安全系统从概念设计到停用的整个过程。 包括安全系统的设计、安装、验证、运行、维护、停用。
在整个安全生命周期内，都应采取相关有效措施，使安 全系统具备成功、正确执行其安全功能的能力。
后果的严重性；
识别满足保护功能及风险降低程度的IPL；
风险“缺口”。
#1
2
3
4
5
6
7
8
9
10
11
独立保护层
危险事 件描述
后果 严重 性等 级
蒸馏塔 破裂引 起火灾 (死亡)
严重
初始 原因
冷却 水中 断
引发 可能 性
0.1
过程 设计
BPCS
报警 等
0.1
附加减 轻（限 制进入 等）
IPL附 加减轻 （泄压 等）
中间 事件 可能
性
0.01
10-4
SIF要 求
SIL
要求减 轻事件 的可能
性
备注
SIL2 10-6
PFD 缺口
0.01