《化工企业安全生产与电气仪表管》课件-专题4-2 安全仪表系统（SIS）

石油化工企业的特点1.大多石油和化工生产过程都具有高温

、

高压

、

易燃

、

易爆

、

有毒等危险

。

当某些工

艺参数超出安全极限，未及时处理或处理

不当时，

便有可能造成人员伤亡

、

设备损

坏

、

周边环境污染等恶性事故。2.这就是说，从安全的角度出发，石油和化工生产过程自身存在着固有的风险。○

引言

○

引言

1.

充分认识加强化工安全仪表系统管理工作的重要性•近年来，

发达国家发生的重大化工

（危险化学品）

事故大都与安全仪表失效或设置不当有关。•

目前，

我国安全仪表系统及其相关安全保护措施在设计

、

安装

、

操作和维护管理等生命周期各阶段，

还存在危险与风险分析不足

、

设计选型不当

、

冗余容错结构不合理

、

缺乏明确的检验测试周期

、

预防

性维护策略针对性不强等问题，

规范安全仪表系统

管理工作亟待加强

。

1.

加强化工安全仪表系统管理的基础工作（技术

、人员

、标准）2.

进一步加强安全仪表系统全生命周期的管理

（危险分析

、

设计

、

安装

、

调试

、

维保

、

管理）3.

高度重视其他相关仪表保护措施管理（报警管理

、检验试验）引言○

引言

5.

从源头加快规范新建项目安全仪表系统管理工作•从2016年1月1日起，

大型和外商独资合资等具备条件的化工企业新建涉及

“

两重点一重大

”的化工装置和危险化学品储存设施，

要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。•从2018年1月1日起，

所有新建涉及“

两重点一重大

”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统

。

其他新建化工装置

、

危险化学品储存设施安全仪表系统，

从2020年1月1日起，

应执行功能安全相关标准要求，

设计符合要求的安全仪表系统。○

引言

5.

积极推进在役安全仪表系统评估工作•涉及“

两重点一重大

”在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析（如危险与可操作性分析）

基础上，通过风险分析确定安全仪表功能及其风险降低要求，

并尽快评估现有安全仪表功能是否满足风险降低要求。•企业应在评估基础上，

制定安全仪表系统管理方案和定期检验测试计划

。

对于不满足要求的安全仪表功能，要制定相关维护方案和整改计划，2019年底前完成安全仪表系统评估和完善工作

。

其他化工装置

、

危险化学品储存设施，要参照本意见要求实施。1.

为什么不用DCS执行安全功能？2.

1oo2和2oo3，

哪一个更安全？3.能否设计一个100%可靠和不会误跳车的联锁？4.

SIF什么情况可以删除/增加？5.SIF/DCS分开和共享原则是什么？6.

SIL会不会增加成本？7.SIS仪表如何采购，验证和维护？8.SIF在天然气/原油长距离输送，

和石化项目中，

过压保护如何设计？DCS

DCS

Indicator/

Controller

dESD

SYSTEMSOVCarI/P

一些基本问题

SSOVCdESD

SYSTEMarI/PaTaTaTaTIndividualProcessConnectionsI-PDCSIndicator/

ControllerDCSIndicator/AlarmDCSIndicator/AlarmDCSSConnectionsIndividualProcess01

、SIS基本概念02

、SIS基本概率运算03

、

工艺系统设计分析04

、

安全仪表系统（SIS）实施步骤目录SIS被定义为实现一个或多个安全仪表功能的仪表系统。

SIS包括测量仪表、逻辑运算器和最终元件、关联软件及部件。目前，仪表保护系统IPS、安全联锁系统SIS（SafetyInterlockingSystem）、紧急停车系统ESD、压力保护系统HIPPS和火气保护系统F&GS等都属于安全仪表系统的范畴。SIS基本概念

/01○S

IS基本概念

一、安全仪表系统（S

IS）：•安全仪表系统（Safety

InstrumentedSystem，S

IS）是一种经专门机构认证、具有一定安全完整性水平、用于降低生产过程风险的仪表安全保护系统。•S

IS不仅能响应生产过程因超过安全极限而带来的风险，而且能检测和处理自身的故

障，从而按预定条件或程序使生产过程处于安全状态，

以确保人员、设备及工厂周边环境的安全。○S

IS基本概念

安监总管三【2014】

116号文件的描述•化工安全仪表系统（S

IS）包括安全联锁系统、紧急停车系统和有毒有害、可燃气体及火灾检测保护系统等。•安全仪表系统独立于过程控制系统（如DCS等），生产正常时处于休眠或静止状态，一旦生产装置或设施出现可能导致安全事故的情况时，能够瞬间准确动作，使生产过程安全停止运行或自动导入预定的安全状态。○S

IS基本概念

国际电工委员会IEC的描述•IEC61508中——S

IS被称为安全相关系统（SafetyRelatedSystem）,将被控对象称为被控设备（EUC）。•IEC61511中——S

IS定义为用于执行一个或多个安全仪表功能（SafetyInstrumentedFunction,S

IF）的仪表系统。是由传感器（如各类开关、变送器等）、逻辑控制器、以及最终元件（如电磁阀、电动门等）的组合组成。○S

IS基本概念

一、安全仪表系统（S

IS）：•S

IS属于生产过程的自动化范畴，是用于保障安全生产的一种系统，在化工装置中，S

IS是保障化工装置安全运行的重要技术措施之一，是安全等级高于DCS的自动化控

制系统。•简单的说，当生产运行中出现可能导致事故的事件发生时，S

IS会进行干预，

降低事

故发生的可能性。•也可以说，当生产过程发生危险情况时，S

IS会自动地按照预先设定的安全功能规范

进行保护，以防止危险事故的发生或者减轻其后果。○S

IS基本概念

•SIL安全完整性等级分4个等级，SIL4是安全完整性最高的等级（平均概率最高），

SIL1是最低等级。安全完整性等级越高，应执行所要求的安全功能的概率也越高。•根据安全相关系统使用方式，要求发生的频率可分为低要求操作模式（<=1次/年）和高要求或连续操作模式（>1次/年）。根据GB/T20438标准，在不同的操作模式下，安全完整性的目标失效概率和目标风险降低见下表。○S

IS基本概念

现代石油化工的安全防护策略是：安全防护洋葱模型S

IS基本概念

随着大型石化装置的发展，生产产品多样化，控制工程越趋复杂，安全保

护越来越被重视，安全保护在石化生

产过程中的表现形式是逐级上升的。

S

IS基本概念

生产中控制参数在正常范围内时，使用仪表系统（DCS）进行调节、控制，保

证生产系统正常、稳定运行。○S

IS基本概念当系统调节不及时或出现干扰，控制参数超出正常范围时，系统开始报警或联

锁动作。此时需操作人员采取手动（或自动）措施使生产恢复到正常状态上。○S

IS基本概念

它将按照预先设定的程序，包括紧急放空、切断介质进出口、让动设备停止运行等措施，通过局部或整体停车方式消除危险。当情况进一步恶化达到临界状态时，使用安全仪表系统，即SIS系统。○S

IS基本概念当事故已经出现，用安全阀、爆破膜泄压；用气体检测、火灾检测等火、气消防系统来补救和减灾，进行主动保护。○S

IS基本概念当消防系统不能彻底消除事故时，使用防爆墙，采取物理防爆措施；使用围堰，限制火情和介质泄漏后扩散，进行被动保护。○S

IS基本概念当物理防护也无法彻底消除灾害时，采取最后一项措施，紧急疏散、撤离。○S

IS基本概念

○S

IS基本概念

•在公司各装置的正常生产过程中，存在着各种各样的工艺参数和工艺设备状态，这些参数和状态被仪表检测出来，就是常说的过程信号。•生产中当这些参数控制在规定的范围内时，说明过程处于正常状态。•超出这个范围就说明出现异常，DCS系统会以声、光、图形、文字等形式，提醒操作

人员采取调节措施（对参数调整或对设备进行适当操作），或者通过预定的程序使其恢复到正常值或安全范围，这个声光图文的表现就是报警，再进一步根据预定程序的操作就是联锁。○S

IS基本概念

•如果异常进一步扩大，为防止事故发生而

采取的局部生产装置或整体生产装置停车

的仪表系统，就是安全仪表系统（S

IS）。•它是生产过程中的一种安全保护系统，能

对石油化工等企业在生产过程中可能发生

的危险（超出安全限定）和不采取措施就

会继续恶化的状态，进行及时地响应和保

护，让其进入预定的安全停止状态，进而

保证人员、设备、生产和装置的安全。区别S

IS基本概念○S

IS基本概念

区别○S

IS基本概念

ESD

和S

IS

的区别•紧急停车系统（EmergencyShutdownDevice,ESD）是按照安全独立原则要求，独立于DCS集散控制系统设置的，其安全级别高于DCS。•在正常情况下，ESD系统是处于静态的，不需要人为干预。作为安全保护系统，凌驾

于生产过程控制之上，实时在线监测装置的安全性。只有当生产装置出现紧急情况

时，不需要经过DCS系统，而直接由ESD发出保护联锁信号，对现场设备进行安全保护，避免危险扩散造成巨大损失。○S

IS基本概念

ESD与SIS的重要区别•S

IS是安全仪表系统；ESD是紧急停车系统，ESD属于S

IS的一部分。•S

IS包括现场仪表、逻辑控制器、执行机构三部分，这三个部分都是要安全设计的。•常规的ESD系统只是S

IS的逻辑控制器这部分，是联锁系统本身（主要指机房、机柜

内的设备），安全等级上要求达到SIL3

（或TUV6）的标准规定。○S

IS基本概念

目前，国内对SIS的解读和理解大多数停留在硬件上，要求“SIS三大件”的安全。而国外对SIS的规范和要求，则是在建立技术体系和管理体系。○S

IS基本概念

按照SIS的定义，以下的系统都属于安全仪表系统：--ATPAutomatictrain

protection列车自动防护系统我们常用的DCS系统也可以实现安全联锁保护功能，那么为什么还有要独立设置SIS或ESD系统呢？○S

IS基本概念

○S

IS基本概念

1、为降低控制功能和安全功能同时失效的概率，

当DCS部分出现故障时，也不会危及安全保护系统。2、对于大型装置或旋转机械设备而言，紧急停车系统响应速度越快越好。这有利于保护设备，避免事故扩大；并有利于分辨事故原因记录（SIS道理相同）。而DCS需要处理大量过程监测信息，因此其响应速度难以作得很快。3

、

DCS系统是过程控制系统，是动态的，需要人工频繁的干预，这有可能引起人为误动作；而SIS或ESD是静态的，不需要人为干预，这样使用SIS或ESD可以避免人为误动作。所以，SIS或ESD系统应按照安全独立原则与DCS分开设置。SIS是个完整的

、

系统的概念。从其概念上可以看出来，SIS是更关注整体性的一个概念和一个系统。SIS的安全性是建立在整个安全机制之上的，包括安全性的控制器、安全型的仪表、安全型的执行器、安全型的软件，甚至“安全的通讯功能”。SIS的整体性概念还包括贯穿整个安全控制系统的全生命周期的规范，如初期的设计，中期的施工、调试，末期的试运行、评估、验证，以及后续的维护和安全生命周期到期限前的拆除。总之，SIS

的概念很完整，也很庞大。○S

IS基本概念

总结一、安全仪表系统（S

IS）：1.由多个变送器，逻辑处理器和终端元件组成;2.工艺偏离正常值时，能把系统带回安全状态；○S

IS基本概念

二．安全仪表功能（S

IF）①是安全仪表系统中，为实现某一功能的单一回路；②只针对特定一个隐患，把工艺系统带回安全状态；③每一个S

IF回路，对应一个SIL等级。○S

IS基本概念三．安全仪表系统生命周期1.

工艺流程

–概念设计；2.

识别隐患

–危险源识别；3.

SIL评估

–LOPA分析；4.

SIL等级

–确定S

IF冗余、增删和其他非S

IS措施；5.S

IF设计

–确定因果图和技术参数；6.

采购安装

–PFD要求和验证；7.

调试–

频率和维护。

S

IS基本概念

隐患识别和分层保护分析维护、调试

?

是确定SIF冗余/增删其他预防/减缓措施安装、验证、试车设计、采购定义工艺流程确定非S

IS措施SIL评估结束不是

S

IS基本概念

四．安全仪表系统故障模式1.

仪表故障可分为“安全失效λS

”2.

安全失效致误跳车，降低生产连续性；和“危险失效λD”。

3.

危险失效导致事故，

降低安全可靠性；λλD60%λS危险失效安全失效故障40%四．安全仪表系统故障模式1.

仪表故障分为可探测的和不可探测的；2.

“安全失效”和“危险失效”，均可分为“可探测的”和“不可探测的”；3.

可探测的和不可探测的“安全失效”，会导致误跳车，把工艺带回安全状态；4.

可探测的“危险失效”，可转换信号为为“安全失效”，把工艺带回安全状态；5.

不可探测的“危险失效”，不能被系统设别，会导致安全事故。

60%安全不可探测

λS

危险不可探测危险失效

40%

(λDD)危险可探测

S

IS基本概念

(λ

)

安全失效SU

λD

(λDU)安全可探测(λSD)SIL等级PFD

失效率SIL410-4

到

10-5SIL

310-3

到

10-4SIL210-2

到

10-3SIL

110-1

到

10-2

S

IS基本概念

五．安全完整性等级（Safety

Integrity

Level

，

SIL）定义1.

SIL是指一个SIF回路的可靠性要求，即PFD；2.

按PFD所在区间的不同，

把S

IF回路划分为四个SIL等级。1.

Demand是工艺系统里，是非安全仪表系统的失效率；2.

PFD=probabilityofFailureonDemand

，是一个S

IF回路的失效率；

λS

危险不可探测

λD

(λDU)

40%

(λDD)危险失效

危险可探测PFDavg

=

1-e−

λDU*TI/2

安全失效60%

1.

一个S

IF回路的PFD（失效率）

，是S

IF三个子系统PFD加和。即变送器、逻辑处理器、终端元件的加和；2.

单个仪表PFD

=

1-e−

λDU*TI/2

的，约等于λD

*TI/2（参见IEC61508）；3.

λD为危险失效率，由仪表商提供；4.

TI为仪表调试频率，由业主定义；5.

从SIF回路计算的PFD，可验证回路是否能满足SIL等级的要求。

S

IS基本概念

变送器子系统逻辑处理器终端元件子系统子系统

λDPFDavg

=

1-

e

−

λDU*TI/2(λDU)(λDD)危险不可探测危险可探测危险失效安全失效λS

60%40%SIS基本概率运算

/02危险失效概率的计算方法通常基于系统的安全完整性等级（SIL）和相关的风险评估模型。在计算过程中，需考虑以下主要因素：一是系统的SIL等级，二是系统的硬件和软件可靠性，三是系统的运行环境，四是维护策略，五是人为因素.

P(A)=

1

=

1/6

P(B)=3

=

1/6

P(AANDB)

=P(A)x

P(B)

P(AORB)=P(A)+P(B)○S

IS基本概率运算简单概率运算法则AB•1oo1(一选一)——这种单输出电路能够安全地断开开关，使设备断电并停止工艺过

程。所谓安全的失效就是触点在没有原因的情况下打开了，虽然此类事件对于整

个过程设施仍旧具有负面的经济影响，

但是我们还是将其定义为误触发。•危险失效就是在确实有安全关断的原因时触点无法打开，这种情况可能由触电过热熔接导致。此类事件被定义为无法按需动作。跳车率(降低生产连续性)0.04危险率(降低安全可靠性)0.02

S

IS基本概率运算A可能性1oo1•1oo2（二选一）——

两通道中至少1个触发即动作，

漏动作需两通道均故障，概率最低，故安全性最高；•举个例子，

当其中仪表一个通道输出信号是0，而第二个通道输出信号从0变为1时，此时最终的输出信号就会变为1

。

因此，在不影响安全功能执行的前提下，

它能容许一个通道发生失效(HFT=1)

。

只有当两个通道都发生危险失效时，才会导致安全功能的失效。跳车率(降低生产连续性)0.08危险率(降低安全可靠性)0.0004

S

IS基本概率运算BA很安全，但跳车相对频繁可能性1oo2•

2oo2（二选二）——

两通道均触发才动作，

误动作需两通道均误触发，概率最低，故可用性最高。•这些系统的输出并联设置，

两个触点同时动作才能将过程关断

。

由于触点是并联的，

所以误触发的可能性降低了，但是明显的缺点就是危险失效的可能性加倍了，

系统的

安全性降低

。

误跳车率(降低生产连续性)0.0016危险率(降低安全可靠性)0.04

S

IS基本概率运算BA可避免频繁跳车，但安全性低可能性2oo2•

2003三选二——采用三重化冗余设计，

三通道并行运行并通过多数表决决策：1.

三路并联输出：三个独立通道监测同一参数，任意两路触发即可执行安全动作。2.

容错能力：

单一通道故障不影响系统功能，

仅两路故障时失效，

故障概率显著降低。3.误动作抑制：

通过数据比对隔离故障信号

。

如某炼化企业因接线虚接导致单通道异常，系统通过两路正常信号阻断误停车。误跳车率(降低生产连续性)0.0048危险率(降低安全可靠性)0.0012可避免频繁跳车，也可确保安全性

S

IS基本概率运算BAC可能性2oo3冗余误跳车率(降低生产连续性)危险率(降低安全可靠性)1oo10.040.021oo20.080.00042oo20.00160.042oo30.00480.0012

S

IS基本概率运算可能性安全性：

1oo2

>

2oo3

>

1oo1

>

2oo2连续性：

2oo2

>

2oo3

>

1oo1

>

1oo2比较冗余PFDMTBFsp1oo1λ

D

(MTTR+TI/2)1/λ

S1oo22λ

D2

(MTTR+TI/2)21/(2λ

S)2oo22λ

D

(MTTR+TI/2)1/(2λ

S2

*

MTTR

)2oo36λ

D2

(MTTR+TI/2)21/(6λ

S2

*

MTTR

)1oo2D2λ

D2

(MTTR+TI/2)21/(2λ

S2

*

MTTR

)○S

IS基本概率运算一．PFD计算基本公式其中:MTTR=拆卸到检修完好的时间MDT(Mean

DownTime)=

(MTTR

+TI/2)假设:

1/MDT>>failure

rateT

I

=

调试间隔S

=

安全失效D

=危险失效如何确保系统可靠性？避免误跳车？压力变送器1.

各为2oo2的两组变送器，分别保证生产连续性；2.

2oo2的两组变送器，组成1oo2确保安全可靠性；电磁阀和工艺阀门1.单个阀门两个电磁阀构成2oo2，保证生产连续性；2.两个工艺阀门组成1oo2，保证安全可靠性。S

IS基本概率运算2oo22oo21oo2•

SIS系统的整个安全生命周期可分为分析、工程实施及操作维护3大阶段。•在分析阶段，要辨识工艺过程的潜在危险，并对其后果和可能性进行分析，以便确定过程风险及必要的风险降低要求。•

工程实施阶段主要完成SIS的工程设计、仪表选型，安全逻辑控制器的硬件配置、软件组态以及系统集成，完成操作和维护人员的培训，完成SIS的安装和调试，以及SIS的安全验证。

工艺系统设计分析

工艺流程概念设计

隐患识别和后果其他措施工艺流程图冗余、技术参数输入物料平衡危险源识别隐患的严重性

可接受风险保护措施发生的可能性?S

IF设计SIL等级输出工艺流程图确定非SIS措施分层保护分析流程不是是○工艺系统设计分析

一．设计分析流程（定量）1.

确定可接受风险（公司；环境/社区；地方法规）；2.

识别潜在隐患、后果、发生可能性；①

过高估计后果：投资成本上升；②

过低估计后果：措施不足造成危险；4.

识别非S

IS措施：分层和100%胜任原则；

5.

风险比较：①

非S

IS措施总风险低于可接受风险？②

其他新的控制措施？6.

确定是否需要S

IF和SIL等级；7.

确定S

IF回路设计和技术参数。未采取任何措

施各层措施分别

降低风险基于公司、环

境和法规可接受风险分层保护固有风险风险1.是指事故发生后，其影响范围内造成的人员

伤亡、环境污染、财产损失、公司形象损害

等。2.设计意义的后果，是基于一定的估算原则。

例如：①人员伤亡：

1个，2个，群是群伤等；②环境污染：车间、厂内、厂外、跨境等；③财产损失○工艺系统设计分析

二．后果

工艺系统设计分析

2.事故的发生是可以预防和/或减缓的

生产操作程序

DCS

(基本工艺控制系统)

报警和操作工干预

安全仪表系统(S

IS)

控制点火源；

火灾和气体探测系统

围堰

应急撤退

降低事故发生的可能性，来降低风险

降低后果的严重性，来降低风险减缓措施（降低后果的风险）预防措施

（控制事故发生）

典型的预防措施

-

典型的减缓措施：后果原因事故最低合理可行原则（ALARP）1.

风险很难降低到零；2.

风险下降越低，投资将越大；3.

人们的“可接受风险”，与事故后果的“严重性”相关。三

、可接受风险工艺系统设计分析○工艺系统设计分析死亡≤

0≤

0.1≤

1

高于极严重受伤≤

0.5≤

2≤

15

高于极严重环境损失($k

US)≤

100≤

1000≤

10000

高于极严重财产损失($M

US)≤

5.0≤

50.0≤

500

高于极严重可接受风险

(1/年)≤

10-3≤

10-4≤

10-5

≤

10-6○工艺系统设计分析

三

、可接

受风险根据事故后果

的严重性

，定义“

可接受的风险

”化工装置可接受风险极严重

(Cc)灾难性

(Cd)严重

(Cb)轻微

(Ca)1.每一层措施，都对安全做出贡献；2.一个成功，事故就不会发生或扩大；Chemical=

AMaterial=

BPressure=XTemp.

=YVolume=Z3.保护层总失效率，应小于可接受风险。工艺系统设计分析四

、分层保护LSHHLSHPRVLAHFIC总失效率：

10-3

+

9×10-4

=

1.9×10-3

,

大于可接受风险10-4不符合安全要求！○工艺系统设计分析

四

、分层保护（举例）四

、分层保护（举例）可接受风险<10-4○工艺系统设计分析

总失效率：

10-5

+

9×10-5

=

1.9×10-5

,

小于可接受风险10-4符合安全要求！容器破裂，泄漏到环境容器破裂，泄漏到环境高压报警员工干预

S

IS后果和频率保护层3保护措施保护层必须是：1.独立的（Independence）；2.

额定荷载的、可靠的

工艺系统设计分析

3.

针对性的（Specificity）;4.可审计的（Auditability）。Chemical=

AMaterial=

BPressure=XTemp.

=YVolume

=Z

可接受的风险

由各公司定义

残

i

k险

通过工艺系统本身的稳定性，降低风险通过基本工艺控制系统，降低风险通过安全仪表系统降低风险LSHHLSHPRVLAHFIC通过机械装置降低风险通过报警干预降低风险无措施时的最初风险其他风险降低途径总的风险降低程度风险;○工艺系统设计分析

五

、独立保护层

独立保护层

，是能防止工艺系统隐患发生的装置、系统或行动。1.

主动独立保护层

2.

被动独立保护层•

基本工艺控制系统•

报警人工干预•

安全泄放阀门•

安全仪表系统•围堰/围堤•

全开的排气筒

•

抗爆墙•阻火器六、

S

IL概念1.保护层总失效率

≤可接受风险；2.保护层总失效率

=SIS保护层

+非SIS保护层失效率；SIS失效率=可接受风险

–非SIS保护层失效率

工艺系统设计分析

可接受的风险

由各公司定义

残

i

k险

通过工艺系统本身的稳定性，降低风险通过基本工艺控制系统，降低风险通过安全仪表系统降低风险通过机械装置降低风险通过报警干预降低风险无措施时的最初风险总的风险降低程度保护措施其他风险降风险SIL级别失效率（PFD）SIL410-4

to

10-5SIL

310-3

to

10-4SIL210-2

to

10-3SIL

110-1

to

10-21.现有技术，

SIS失效率最低只能降到SIL4；2.化工系统最多SIL3，不推荐SIL4

，除非……

工艺系统设计分析

3.一个SIF对应一个SIL级别；4.一个SIS可能有很多SIL级别。六、

S

IL概念○工艺系统设计分析

•SIL3为上限：根据《石油化工安全仪表系统设计规范》（GB50770）及IEC

61511标准，

石油化工装置的安全完整性等级通常不应高于SIL3

。

1

这是因为SIL4对系统配置

、

调试、维护的要求极高，

其可靠性在复杂化工环境中难以稳定保障。•SIL4的极高门槛：

SIL4要求危险失效概率低于10-7/小时，

需采用四重冗余架构

（如4oo4或3oo4），

成本和复杂度呈指数级上升，

且在化工流程中几乎无法通过单一系统实现。•什么情况下可能考虑SIL4？•无法通过本质安全设计或其他保护层降低风险。•必须满足法规或行业特殊要求。•采用多重独立保护层（IPL）协同实现。?○工艺系统设计分析

七、

SIL在S

IS设计的应用1.根据SIL审查的意见，考虑增加或删除安全仪表功能；例：

根据SIL评估结果，确定输油管是否需要紧急切断系统（S

IS）海

洋○工艺系统设计分析

七、

SIL在S

IS设计的应用2.

调整冗余1)

调整安全仪表功能的冗余设计：变送器,

逻辑处理器，

和终端元件；2)

根据：

IEC61511-1的第11.4

“硬件容错要求”；变IEC61511-1表5送器，终端元件，和非PE逻辑处理器SIL最低冗余要求（参阅11.4.3和11.4.4）最低冗余要求（如满足11.4.4）1002103214参照IEC

61508参照IEC

615083)

不建议SIL4：避免过度冗余、生产、维护七、

SIL在S

IS设计的应用4)

考虑“非S

IS”措施，降低SIL等级变送器，终端元件，和非PE逻辑处理器工艺系统设计分析2.

调整冗余IEC

61511-1

表6等问题；

工艺系统设计分析

七、

SIL在S

IS设计的应用2.

冗余调整：

SIL1DCSDCS

Indicator/

ControllerDCS DCS Indicator/ ControllerDCSIndicator/AlarmI/PCardESDSYSTEM

aT

aTaTaTSISIndividualProcessConnectionsSYSTEM

I-P

DCSIndicator/AlarmIndividualProcessSISConnectionsSSSOVSOVI/P

Card工艺系统设计分析

七、

SIL在S

IS设计的应用2.

冗余调整：

SIL2DCSDCSIndicator/

AlarmDCSDCSIndicator/ControllerDCSI/PCardESDSYSTEMELECTRICALMCCDedicated

ESD

RelayIn

MCC.

(440Vor

11kV)aT

CdESDSYSTEMarI/P

SSOVaTaT

S

SOV

ESDSYSTEMCardI/PaTaTDCS

Indicator/

ControllerI-PDCSIndicator/AlarmDCSIndicator/

AlarmIndividualProcessIndicator/

ControllerConnectionsConnectionsConnectionsSSSOVSOVProcessDCSaT工艺系统设计分析

七、

SIL在S

IS设计的应用2.

冗余调整：

SIL3DCSDCS

Indicator/

AlarmESDSYSTEMI/PCardI/PCardI/PCardELECTRICALMCCRelaysvoted

1oo2withinswitchgeartotripequipmentDCS DCS

Indicator/

ControllerRelay

2Relay

1aT

CdESDSYSTEMarI/P

S

SOV

aT

ESDSYSTEMCardI/P

SSOVaTaTaTaTDCS

Indicator/

ControllerI-PI-PDCSIndicator/

ControllerDCSIndicator/

AlarmDCSIndicator/AlarmDCSrocessnnectionsndividualProcessIndividualProcessonnectionsSSConnectionsSOVSOVdividualI/P

CardI/P

CardI/PCardI/PCardaTaTaTaTaTaT○工艺系统设计分析

七、

SIL在S

IS设计的应用3.

考虑S

IS和DCS分开或共用设计3)

逻辑处理器共用(成套设备)：•提高整个逻辑处理器可靠性；•整个系统的运行、变更、维护、调试，按照

S

IS看待；•

系统组态和编程设置权限。1)

变送器/阀门共用：•DCS的失效，不影响S

IS的SIL等级；2)

变送器/阀门分开：•

避免两则者同时失效；•避免不经意的变更，影响S

IS安全功能；原则：S

IS/DCS分开设计，但DCS失效不影响S

IS可靠性时，可共用

工艺系统设计分析

七、

SIL在S

IS设计的应用1)

三个变送器中间值做控制用途，

2oo3做SIS联

锁用途2)

仅用于SIF≤SIL

1。1)

可用于≤SIL

1；2)两位阀失效率满足SIL2时，

≤SIL23)调节阀失效非SIF动作原因时，

≤SIL33.

考虑S

IS和DCS分开或共用设计DCS氮

气

缓

冲

罐去气化炉吹扫CdESD

SYSTEMarI/PaTaT高压氮气中间值联锁I-PDCSIndicator/

ControllerDCSIndicator/Alarm2oo3ocess

nectionsSSSOVSOVividual

工艺系统设计分析

七、

SIL在S

IS设计的应用4.

考虑S

IS仪表冗余多样性：减少“共同原因失效”FORO高压氮气氮气4.1

采用不同“厂家”，“原理”产品，

“型号”产品；通大气DCSFIC4.2SIL3：应考虑与DCS分开和仪表冗余多样性；FT

FT

FT高压氧气氧气FE

XVFC

FC

FC

FCXV+FORO气化炉USUSSISXV+XV+XV+USFVFYFT

工艺系统设计分析

七、

SIL在S

IS设计的应用4.

考虑S

IS仪表冗余多样性：减少“共同原因失效”4.3SIL4：必须考虑与DCS分开，必须采用仪表冗余多样性；4.4SIL只考虑安全可靠性，

SIS设计还应考虑生产连续性。锅炉或氨罐过压保护联锁a.

压力和温度信号组成1oo2；b.

温度设定值，为对应起跳压力的饱和蒸气压c.

两个不同检测原理信号，消除“相同原因失效”

工艺系统设计分析

七、

SIL在S

IS设计的应用5.

HIPS设计（应用于火炬系统设计）蒸汽

蒸汽

蒸汽

蒸汽

3o3o3o3o2o2o2o2o4塔馏精3塔馏精2塔馏精1塔馏精备注：通过S

IS切断再沸器蒸汽，安全阀将不会起跳，关键是S

IS可靠性………5.1

工厂火炬系统去火炬PT

工艺系统设计分析

七、

SIL在S

IS设计的应用5.

HIPS设计（应用于火炬系统设计）5.2

天然气、原油长距离输送系统备注：任何一个接力压缩机站跳车，上游将全线超压………

工艺系统设计分析

5.HIPS设计(火炬系统设计

）设计前提：1.火炬头马赫数不能超过0.5；2.各安全阀出口背压，不高于起跳压力10%(弹簧),或50%(先导或波纹管)；10-210-310-410-310-510-710-410-710-1010-510-93.火炬总管超压150~200%概率，

=

10-5；4.确定失效SIS数量，作为火炬系统设计负荷。火炬头

马赫数0.2960.5190.683--ESD失效概率SIL1

SIL2

SIL3火炬

背压

MPag0.91.31----总

负荷20354248S

IS

失效1个2个

3个

4个

工艺系统设计分析

6.

破管保护●高压氧气管线；●天然气长距离管线；○工艺系统设计分析

七、

SIL在S

IS设计的应用6.

破管保护●原油长距离输；●海洋石油生产和输送；●罐区管线等等。SIL评估确定保护在S

IS或DCS实现○工艺系统设计分析

安全要求规范

——问题：假设SIS的设计已经满足下列要求：•

SIL等级的可靠性要求；•与DCS分开设计的要求；•

冗余要求；•

多样性要求。但SIS在事故发生前，却不一定动作。原因之一，可能是安全要求设计错误。○工艺系统设计分析

安全要求规范

——假设SIS的设计已经满足下列要求：•

SIL等级的可靠性要求；•与DCS分开设计的要求；•

冗余要求；•

多样性要求。工艺系统设计分析脱乙炔塔合成气去压缩机含乙炔合成气NMP贫液NMP富液去火炬•

SIS系统的整个安全生命周期可分为分析、工程实施及操作维护3大阶段。•在分析阶段，要辨识工艺过程的潜在危险，并对其后果和可能性进行分析，以便确定过程风险及必要的风险降低要求。•

工程实施阶段主要完成SIS的工程设计、仪表选型，安全逻辑控制器的硬件配置、软件组态以及系统集成，完成操作和维护人员的培训，完成SIS的安装和调试，以及SIS的安全验证。安全仪表系统(SIS)

实施步骤•第1步：

判断是否需要上S

IS•第2步：

完成HAZOP

分析•第3步：

提报告，设计院出图•第4步：

采购具有认证的设备•

第5步:设备验收•

第6步:SIL

验证•

第7步:

安装与调试•第8步:

S

IS

管理○S

IS实施步骤

○S

IS实施步骤

○S

IS实施步骤

第1步：判断是否需要上SIS•

根据安监总管三（2014）

116号文件，凡涉及到“两重点一重大”的化工装置的危险化学品存储设施，均需要设置SIS。如果我们公司有属于这一类的危化工艺、危险品和危险源，那就没有悬念，必须要安装SIS系统。•

文件还说，“其他化工装置、危险化学品储存设施，要参照本意见要求实施”。也就是说，要求化工企业各类装置，同样需要进行HAZOP分析，依照分析结果判断是否需要设置SIS。○S

IS实施步骤

第2步：完成

HAZOP

分析（Hazard

、

Operability）•

根据安监总管三（2013）76号文件提出，建设单位在建设项目设计合同中应主动要求设计单位对设计进行危险与可操作性（HAZOP）审查。•通过HAZOP分析后再通过LOPA分析法，我们可以确定出每个SIF回路中的安全完整性等级即SIL定级，同时生成HAZOP

分析报告，如有必要生成

SRS规格书（安全功能要求）。•

将HAZOP分析报告反馈至有设计资质的设计院，设计院会根据HAZOP分析报告或

SRS规格书，以及业主们的习惯，再加设计规范（HG/T20511

、

SH/T3018

、GB/T50770

等），设计出

SIS相关资料。•如PID

变更、联锁逻辑图、联锁报警一览表、检测仪表数据表、调节阀/切断阀数据表、控制系统规格书等设计数据。○S

IS实施步骤

第3步：提报告，设计院出图○S

IS实施步骤

第4步：采购具有认证的设备•

根据设计院图纸与HAZOP分析报告，采购具有相关资质的检测仪表、控制系统、执行器。•

所谓相关资质，即通过SIL认证机构鉴定出来的符合

SIL1234这一类的等级，我们常用到的如变送器、温度计、液位计、

雷达等、流量计等一系列的仪表。•如有必要则需要厂家提供

SIL定级的证书，如果没有

SIL定级的证书，则需要厂家提供各类数据，如λsd

、λsu

、λdd

、λdu等相关的数据，用于后期的

SIL定级的验算。○S

IS实施步骤

第5步：设备验收•

检测仪表、控制系统、执行器采购后，设备到达现场或到达相关厂家的验收工作。•一般检测仪表是货到后开箱验收，业主可组织施工单位、主体责任单位单位、供货单位共同进行验收，包括外观、资料、报告、证书等。•

控制系统的验收，需要出厂测试验收计划（FAT）验收。•执行器的验收分两种，一种是发货前至制造方验收，一种是货到现场后，开

箱验收。○S

IS实施步骤

第6步：

SIL验证•

根据所采购的设备数据，以及制造商提供的λsd

、λsu

、λdd

、λdu

等相关数据进行

SIL定级验证，验证后的数据与GB/T50770里的安全仪表功能的完整性等级表对比。•如果符合要求，则认定

SIS

为正确的系统，如果不符合，则需要通过对所选的仪表进行重新设计（一般需要设计院出具设计变更）。•设计在此时可能会考虑增加设备来满足要求，如增加变送器、增加执行器、逻辑改为二取一或三取二等方式来满足各

SIF

回路的正确性。第7步：安装与调试•

检测仪表与执行器的安装调试按常规仪表进行安装，但调试必须有独立的调试

记录，控制系统的安装同样涉及到调试的，必须的调试记录及调试报告。•在

SIS投用前，还需要做联锁回路测试，

完成后填写仪表联锁确认表。○S

IS实施步骤

第8步：

SIS

管理•至此，SIS

系统调试完成即可以投入使用，在投入使用以后，我们需要做的是对

SIS

系统进行管理。•SIS

的管理主要涉及管理制度建立；联锁设备的变更、投退管理；

SIS设备的检验测试周期、预防性维护和维

修管理等。S

IS实施步骤○S

IS实施步骤

•

GB∕T21109-2022《过程工业领域安全仪表系统的功能安全》对SIS实施过程FSA给出了5个阶段的建议•

FSA

（功能安全评估）是评价所评估的各生命周期阶段，为实现整体安全所

做的工作是否充分。•

评估者应对负责实现功能安全的工作人员所作的决定作出判断，以此来证明与通用标准和惯例相一致。

S

IS实施步骤

为每个SIF选择

RRF,过程安全信息

识别保护层后果分析识别潜在风险导出安全要求规格书可能性分析(LOPA)危险频率GB/T21109第1阶段

FSARRF,

SILS潜在风险YES管理当局行政命令，行业准则;组织(企业)可容忍风险标准设计其它

风险降低

设施应用标准危险特征后果数据库事件历史

失效概率风险后果保护层SIL

S

IS实施步骤

SIF

概念设计选择结构SIF

概念设计制定测试计划SIF

概念设计选择技术SIF

概念设计可靠性I安全性计算12.

详细设计13.

工厂验收测试GB/T21109第2阶段FSA

制造商安全手册

失效率数据库

FAT

测试报告

制造商安全手册应用标准

制造商安全手册

应用标准设备选型报告

GB/T21109第4阶段

FSAGB/T21109第5阶段

FSA19.SIS

停用变更

S

IS实施步骤

维护记录

测试结果

变更要求

安全影响分析17.

SIS

操作和维护15.

SIS