安装在过程工厂的安全仪表系统(SIS)，在过程值超过设定值时或偏离安全运行工况时，可以将过程带入“安全状态”，从而缓解过程风险。
　　没有单一的安全措施可以消除所有的风险，SIS只是多层安全体系中的一层。保护层分析(LOPA)方法，可以识别、分析所有已知的过程风险以及保护层。如果在LOPA分析中得出结论，认为现有的保护措施不能将风险降低到可接受或可容忍的水平，那就需要SIS系统来应对每一种过程风险。并不是所有的过程风险都需要SIS系统。每个需要SIS系统的风险，都必须指定一个目标安全完整性等级(SIL)。

　　SIL等级是什么？
　　SIL等级来自于两个非强制性标准，工厂所有者/经营者通常用其来量化应对运行风险的安全性能要求：
　　●IEC 61508: 电气/电子/可编程电子安全相关系统的功能安全
　　●IEC 61511: 过程工业领域安全仪表系统的功能安全
　　正如国际电工委员会（IEC）标准的定义，安全等级分为1-4级。较高的SIL，意味着更大的过程风险，也就需要SIS系统需要提供更高水平的保护。SIL是风险频率和危害严重程度的函数。发生频率高、或具有更严重后果的风险，其SIL等级越高。
　　为了确定过程风险的SIL等级，理解安全生命周期会有所帮助。
　　安全生命周期
　　IEC标准定义了一个被称之为安全生命周期的概念，它提供了一个可重复的框架，在此框架中控制工程网版权所有，所有的过程风险都被识别和分析，以了解哪些危害需要使用SIS系统进行缓解。从设计上看，这是一个周期性的过程。任何工艺设计、操作工况或设备的变更，都需要从头开始重复该过程，以确保任何变更都能正确实施。
　　要确定SIL，需要遵循诸多步骤。该过程从执行过程危险分析(PHA)开始。PHA是对与工业过程相关的所有潜在风险的系统评估。有必要分析下列情况的所有潜在原因和后果：
　　●火灾；
　　●爆炸；
　　●释放有毒、风险或易燃物质等。
　　●关注任何可能影响该进程的内容，包括：
　　●设备故障；
　　●仪表故障或校准问题；
　　●公用设施(电力、冷却水、仪表空气等)的丧失；
　　●人为错误或行为；
　　●外部因素，如风暴或地震。
　　必须分析每种过程风险的频率和严重程度，例如：
　　●发生的频率是多少？如果手动执行填充操作，任何情况下都有可能会发生溢罐事故（每年多少次）。
　　●结果严重程度如何？局部损坏、火灾、爆炸，毒气释放、死亡。
　　PHA分析的核心基于这样一个事实：任何事情都可能而且确实会出错。不要考虑它是否会发生，而应该考虑它何时发生。识别出的风险，都应指定一个“可接受的”频率。不能假定一个永远不会发生的风险。例如：
　　●一个需要基本急救干预的风险，如果一年仅发生一次，那么这种风险可以视为“可接受”；
　　●由于油罐破裂而引起的爆炸和火灾，其“可接受”频率为每10000年一次。
　　PHA分析的最终结果，是一系列可能的工艺风险列表，为每个过程风险分配了可接受的发生频率。安全生命周期的下一步是保护层分析。单靠单一的安全措施无法消除风险。因此，有效的安全体系必须由多个保护层组成。
　　这样，如果一个保护层出现故障，则后续层将使该过程处于安全状态。随着保护层数量的增加和可靠性的提高，整个过程的安全性也随之增加。有一点非常重要，在一个或多个层失败时，每层必须能够独立于其它层运行。
　　保护层的具体例子包括：
　　●灭火系统；
　　●防泄漏系统(堤防或双壁)；
　　●卸压阀；
　　●气体检测/报警系统。
　　对于在PHA中识别的过程风险，应该：
　　●列出所有可用的非SIS安全措施；
　　●为每一层指定其风险降低因子；
　　●计算保护层应用后的有效风险频率；例如：罐体填充操作，发生每年的频率为250次，因此溢罐事件发生的频率为250次每年；
　　●适当的排气/排水系统作为保护层，可以将风险降低（风险系数）100倍；
　　●储罐溢出危险的有效频率为每年250/100=2.5次。
　　每个危害的有效危害频率确定后，要问的关键问题是：“采用非SIS保护层后，有效频率是否能够低于可接受频率？”
　　一旦识别出所有的过程风险，并为其分配保护层后，如果PHA/LOPA的研究得出结论CONTROL ENGINEERING China版权所有，认为现有的保护不能将风险降低到可接受的或可容忍的水平，那就需要安装SIS系统。然而，并不是每一个过程风险都需要使用SIS系统。

　　安全仪表系统和功能
　　SIS的目的，就是在超过设定值或当超过安全运行工况时，使过程处于“安全状态”。SIS的作用是通过实施安全仪表功能（SIF）来降低风险。
　　SIF的两个示例包括：
　　●危害：水箱溢流。SIF：SIS系统将灌装泵停止www.cechina.cn，将液位维持在安全水平。
　　●危害：高温。SIF：SIS打开继电器，以在预定的安全温度下切断对加热器电路的电源。
　　在任何情况下，SIF都是SIS实现或保持安全状态的安全功能。SIF的传感器、逻辑运算器和最终元件协同动作，以检测风险并将过程带入到安全状态。
　　每个SIF作为保护层，将有效风险频率降至可接受的风险频率以下。要做到这一点，每个SIF必须有一个最小的风险降低因子。

安全生命周期模型的实例，改编自IEC61511。图片来源：Cross 公司。

　　SIF的SIL目标水平
　　在罐溢出实例中，在实施非SIS保护层之后，其有效频率为每年2.5次。如果可接受的危害频率为每10年一次，那SIF必须有不低于25的风险降低因子(RRF)。
　　●SIF的最小风险降低因子(RRF)=未实施SIS的有效频率/可接受频率=2.5/0.1=25。
　　●每个SIF所需的最小RRF被用于确定SIF的目标SIL等级。
　　通过表1，可以直接从RRF确定目标SIL等级。注意SIL和RRF之间的关系。SIL1具有的最小RRF为101，SIL2具有最小的RRF为102，以此类推。
　　对于罐体过量填充的例子，最小RRF为25，SIF的目标SIL为SIL1，因此，这是一个等级为SIL1的风险。
　　对于PHA和LOPA所识别的每个风险，使用相同的方法为SIF的分配目标SIL。请注意，可能有不同的目标SIL。过程的下一个步骤，是设计一种能满足需求的SIF，以便达到目标SIL。
　　SIF可实现的SIL等级
　　SIS是由许多组件组成的系统,例如:
　　●信号输入传感器；
　　●输入信号接口与处理；
　　●具有电源和通信的逻辑运算器；
　　●输出信号处理、接口和电源；
　　●执行器(阀门、开关装置)，用于最终控制功能。
　　举个SIF的例子：在高温工况下继电器断开，负责加热器电路的SIS系统，应包含以下回路部件中的任何一种或全部:热电偶、变送器、输入信号调节器或隔离器、模拟输入卡、通讯卡、中央处理器、离散输出卡、输出信号调理器或隔离器、以及加热器继电器。
　　必须假定某一时刻会发生风险。你不能认为风险永远不会发生。同样，必须假定SIF的任何组成部分都可能无法根据需求采取行动。
　　一个比较常见的故障是有关正常工艺条件下保持开启的隔离阀的。如果需要关闭此阀门才能实现特定的SIF，则风险可能是在需要关闭阀门时此阀保持在开的位置，而不是按要求关闭。因此，我们必须知道SIF的失效概率。
　　给定SIF的总体故障概率，通过执行SIL计算来确定。SIL计算有些复杂，但本质上，该计算过程就是收集SIF部件的故障率数据，如测试频率、冗余、表决安排等。最终结果是每个SIF，都可以获得可能出现故障的总体概率（PFD）。
　　构成SIF回路的众多设备的制造商，都会公布设备的故障率数据。过程企业经常与咨询公司签订合同，以确定失效概率。
　　这些故障概率数据，是进行SIF计算所需的输入数据，而本身并不是SIL数据。并没有自带SIL等级的设备。您无法购买到具有SIL等级的变送器或SIL等级的控制系统。
　　一旦已知了SIF的PFDCONTROL ENGINEERING China版权所有，那么它的RRF就是PFD的倒数(RRF=1/PFD)。然后，就可以比较SIF的RRF与所需的最低RRF。如果SIF的RRF大于所需的最小RRF，那SIF就可以将整体风险降低到可接受的水平。
　　回到前面罐体溢出的例子，假设SIL计算证明SIF具有300的RRF。由于该值大于25，SIF大大满足要求。如果SIL计算发现RRF小于25，那就需要改变或重新排列SIF组件。
　　增加RRF的一种方法CONTROL ENGINEERING China版权所有，是在表决机制中配置冗余的变送器，或者购买故障率较低的变送器。SIL等级、PFD和RRF之间的关系如表2所示。
　　回到罐填充实例中，SIF的RRF为300，而需求的最小RRF为25(SIL1)。SIF可实现的SIL等级是SIL2。这意味着有SIL2的SIF可用于保护SIL1风险。这是完全可以接受的，而且比较常见。（作者：David Yoset）