當大家拿到SIS項目的設計院系統規格書時，會出現這樣的字眼：要求SIL等級是SIL2或者SIL3，項目實施要根據要求來設計配置硬件和編寫程序，那么這個SIS中的SIL等級是怎么確定的？AQ/T3054給出了答案(IEC61511和GB/T21109中也都有LOPA內容)。

本文從項目工程師的角度來組織文字，存在偏重點和忽略點。文章內容主要引用相關標準里面的文字，對于比較難以理解的部分，用通俗的語言講述，希望能幫助大家弄明白“SIL等級是怎么確定”，以及確定SIL等級依據的標準有哪些。

一個典型的化工過程包含各種保護層，如本質安全設計、基本過程控制系統(BPCS)、報警與人員干預、安全儀表功能(SIF)、物理保護(安全閥等)、釋放后保護設施、工廠應急響應和社區應急響應等。這些保護層降低了事故發生的頻率。在開展化工過程工藝危害分析時，保護層是否足夠，能否有效防止事故的發生是分析人員最為關注的一個問題。保護層分析(Layer of protection analysis，簡稱 LOPA)是在定性危害分析的基礎上，進一步評估保護層的有效性，并進行風險決策的系統方法，其主要目的是確定是否有足夠的保護層使過程風險滿足企業的風險可接受標準。LOPA是一種半定量的風險評估技術，通常使用初始事件頻率、后果嚴重程度和獨立保護層(IPL)失效頻率的數量級大小來近似表征場景的風險。

通常用于確定SIF的PFD值，也就確定了需要增加什么SIL等級的安全儀表系統，俗稱SIL定級。然后好多名詞不是很理解，什么是保護層/半定量/初始事件/風險矩陣？下文用實例解釋。

定量與定性
在SIL定級方面，IEC 61508(GB/T 20438)給出了三種方法，IEC 61511(GB/T 21109)給出了五種方法，如下：
①IEC 61508(GB/T 20438)
◆定量法
◆風險圖
◆危險事件嚴重程度矩陣
②IEC 61511(GB/T 21109)
◆半定量法
◆安全層矩陣法
◆校正的風險圖
◆風險圖
◆LOPA

風險圖和LOPA是最常用的，風險圖是一種定性分析技術，LOPA是一種半定量的風險評估技術，什么是定性、定量和半定量呢？各大百科網站如下解釋：
◆定性分析是能區分出是個什么東西,舉個例子來說，你能辨認出這是蘋果，但你不能確定是幾個蘋果。
◆定量分析是在定性的基礎上給出清晰的數量關系，比如，你確定了這是5個蘋果。
◆半定量分析是通常實現定量分析非常困難時采取的一種折中辦法。還是舉例說明，這里有一堆蘋果，你不知道具體的數量，但是你能知道的是這一堆蘋果能裝5麻袋，這5麻袋的數量估計就是半定量分析。

初始事件
初始事件簡稱IE(Initiating Events)，分類和內容如下表。我們分析比較多的是控制系統的故障，比如一個工廠有一套BPCS(基本過程控制系統，Basic Process Control System)，其有一定的失效概率，比如卡件壞了，這樣的一套BPCS失效即可認為是初始事件。如果這個事件發生，比如控制閥門的一塊DO卡件壞掉，并沒有造成人員傷害，而且財產損失極小，沒有破壞環境，對企業沒有影響，那好，換上一塊新卡重新運行。但是如果BPCS失效導致人員傷害，或者財產損失較大，對企業形象有影響，那么就需要其他保護層來降低風險，比如增加一套SIS系統。



獨立保護層
將IEC 61511和GB/T 21109介紹的保護層可簡化成一個化工行業典型的風險降低保護層，如下圖。理論培訓其實對我沒有深刻的理解，還是在實際的項目經歷中讓我對保護層有了更具體和詳細的認知。保護層之間的獨立性、多樣性以及其他方面，本文不做多講。



①工藝過程
描述：從根本上消除或者減少工藝系統存在的危害
示例：容器或者管道設計可以承受事故后果產生的高溫、高壓等
②BPCS
描述：BPCS是執行持續監測和控制日常生產過程的控制系統，在化工項目中可以理解為DCS系統
示例：液位控制系統，如下圖所示的一個PID控制，當罐內液體較高時，逐漸關小入口調節閥，當罐內液體較低時，逐漸開大入口調節閥
③SIS
描述：安全儀表功能通過檢測超限條件，控制過程進入功能安全狀態
示例：如下圖所示，BPCS和ESD完全獨立，ESD滿足SIL2等級要求
◆一般情況下，BPCS檢測罐內壓力，并通過PID來控制調節閥，罐體壓力控制在50bar左右，此時ESD處于“靜默”狀態
◆如果BPCS失效，導致壓力上升至65bar，達到ESD設定的上限值，ESD控制器關閉電磁閥，進而關閉關斷閥，流程停止，進入功能安全狀態
④其他
減壓設施：安全閥、爆破片等
物理防護：抗爆墻、圍堰等
應急響應：人員疏散、消防等
報警和人員響應：通常認為人員響應的可靠性低，比如行動不夠迅速、操作不夠熟練等，所以一般不作為獨立保護層

風險評估矩陣
風險評估矩陣扮演重要角色，是風險評估和決策的依據。縱坐標是后果嚴重性等級，橫坐標是事件發生頻率。下一章節會展示如何使用這張表格。



實際舉例
LOPA基本流程如下圖，本章節根據這個流程圖來逐步碼字。



①工藝描述
AQ/T 3054標準中給出了如下例子：
◆來自上游工藝單元的正己烷進入正己烷緩沖罐T-401
◆儲罐總容量為35t，通常盛裝一半的容量
◆LT檢測罐內物料高度，通過PID控制調節閥LV-90，并且提醒操作人員液位報警(LAH-90)
◆儲罐位于防洪堤內，該防火堤能夠容納45t正己烷



P&ID流程圖

②場景識別與篩選
采用前期進行的HAZOP分析作為場景信息來源，本例選擇分析的場景為正己烷緩沖罐溢流，防火堤發生失效，導致大面積火災，造成人員的傷亡，后果等級為5
后果嚴重性等級表



③IE確認
本例選定IE為BPCS液位控制回路失效，根據標準中的表E1，其失效頻率為1×10e-1/a

④IPL評估
A、防火堤
一旦發生罐體溢流，合適的防火堤可以包容這些溢流物。如果防火堤失效，將發生大面積擴散，從而發生潛在的火災、損害和死亡。防火堤滿足IPL所有的要求，包括：
◆如果按照設計運行，防火堤可有效地包容儲罐的溢流
◆防火堤獨立于任何其他獨立保護層和IE
◆可以審查防火堤的設計、建造和目前的狀況
對于本例，根據標準中表E3，防火堤的PFD取1×10e-2/a
B、BPCS報警和人員響應行動
在本例中，人員行動不作為獨立保護層，原因如下：
◆由于操作人員不總是在現場，在防火堤失效導致重大釋放前不能假設獨立于任何報警的操作人員行動能有效地檢測和阻止釋放
◆BPCS 液位控制回路失效(IE)導致系統不能產生報警，從而不能提醒操作人員采取行動以阻止緩沖罐進料。因此， BPCS產生的任何報警不能完全獨立于BPCS系統，不能作為獨立保護層
C、安全閥
緩沖罐上的安全閥無法防止緩沖罐發生溢流，因此，對于本場景，安全閥不是IPL

⑤頻率計算
取點火概率為1，人員暴露概率為0.5，人員傷亡概率為0.5，則后果發生頻率為：
(初始事件發生頻率)×(防火堤PFD)×(點火概率)×(人員暴露概率)×(人員傷亡率)
 =(1×10e-1/a)×(1×10e-2)×1×0.5×0.5
 =2.5×10e-4/a
 =2×10e-4/a(取整)
 
⑥風險評估
根據以上部分，得出：
◆后果等級為5
◆事件頻率為2×10e-4/a
落在風險評估矩陣“高”位置，下圖中標注五角星處，這種情況是不被接受的，需要增加獨立的SIF將其發生概率降低，降到標注三角形或者菱形位置。



⑦風險決策
分析決定安裝一個獨立的SIF，用于檢測和阻止溢流。本SIF采用獨立的液位傳感器，邏輯控制器和獨立的截斷閥，如下圖標注色部分。當檢測到高液位時，該SIF聯鎖關流量控制閥LV-90和遠程截斷閥。可根據企業具體的風險控制要求，確定該SIF的SIL。在本例中，確定該SIF的FPD為 1×10e-2(SIL1)。對于場景， SIF將釋放事件的頻率從2×10e-4/a 降低到2×e-6/a。
(2×10e-4/a)×(1×10e-2)=2×10e-6/a



在風險矩陣中，對于后果等級5，頻率為2×10e-6/a 的事件，其風險等級為中風險，圖中標注三角形位置。根據相關要求，如果可以接受，那么將SIL等級定級為SIL1。如果企業有實力和財力，需要更高安全等級，那么可將SIL等級定級為SIL2或者SIL3，這需要花更多的錢、人力、技術等。

作者：東至風 一位不喝咖啡不抽煙也能通宵的工程師

相關閱讀
◆SIL定級與驗證知識十問十答
◆再說安全完整性等級SIL含義