基于电气/电子/可编程电子(E/EE/PES)的安全仪表系统(SIS)作为安全保护装置广泛用于化工、石油等过程工业,包括安全联锁(Interlock)、紧急停车系统(ESD)等,是现代工厂中必不可少的安全系统。安全仪表系统监视工艺过程的状态,判断危险条件,并在危险出现时适当动作以防止风险的发生。　　工艺过程的控制系统有基本过程控制系统和安全仪表系统。基本过程控制系统是活动的、动态的;安全仪表系统是静态的、被动的,在危险情况出现时必须能够由静变动,正确完成其功能。安全仪表系统的这种特点决定了安全仪表系统有两点设计目标———正确的功能和良好的可靠性。安全仪表系统的功能通常是简单的开环控制逻辑,但其必须确保能够可靠执行,因此在安全仪表系统的设计中可靠性占据了更为重要的角色。IEC61508和IEC61511中定义了一种衡量安全仪表系统可靠性的指标———安全完整性水平(SIL)。安全完整性水平的定义为:在一定时间、一定条件下,安全相关系统执行其所规定的安全功能的可能性[1,2]。正确的SIL目标是安全仪表系统设计的基础。本文讨论了为安全仪表系统设计确定SIL目标的方法和需要考虑的因素,提出了一种基于事件频率和风险后果的定量方法。　　2　SIL分配的基本思想 　　安全仪表系统目的是将工艺过程中存在的风险降低到一个允许的范围内。风险的直接后果是财产损失、人员伤亡、环境破坏等。允许的风险水平要除了考虑道德和法律方面的因素,还应该考虑经济等其它方面。一个好的风险管理要选择尽可能合理的允许风险就需要考虑多方面的因素,取得最好的平衡[3]。　　安全仪表系统通过降低过程中危险事件发生的频率来降低风险。这个频率降低,也就是风险的减少量就是SIL。确定允许风险的选取原则就是制定这样一种衡量标准,按照这个标准能够将系统中存在的风险转换为必需的风险降低。从图1中可以看出,如果定义的允许风险不同,直接的结果就是安全仪表系统所应该达到的安全完整性水平不同。在某种意义上理解,允许风险对于SIL水平的选择是起决定性作用的。制定允许风险范围通常需要两步:①从人们心理和社会两方面标准,找到可以接受的风险;②将这种风险转换为安全完整性水平选择的方法。参考文献[4]中介绍了几种确定允许风险的方法。这里,安全完整性水平的选择方法可以是量化的,也可以是指导性的。
　首先对受保护过程原始风险进行危险与可操作性分析(HAZOP)和保护层分析(LOPA)[5,6],然后SIL分配才可进行。一般的SIL分配方法有[4,7~12]:风险矩阵、风险图。　　　　风险矩阵是基于分类的方法。首先应该为风险的后果和可能性制定分类。如,后果可分为“较轻”、“严重”和“重大”,可能性分为“低”、“中等”和“高”。后果和可能性分别构成矩阵的一个坐标(行、列),同时每一个矩阵元素为一个安全完整性水平。这个安全完整性水平代表使一个具有相应后果和可能性的事件的风险降低到允许范围所必需的风险降低数量级。允许风险水平蕴含在矩阵结构之中。图2给出了一个风险矩阵的示例。风险矩阵的使用中应根据工厂实际情况确定后果和可能性分类,再定出矩阵元素代表的SIL值。