一、SIL评估的必要性

SIL（安全完整性等级）评估是化工企业保障生产安全的重要环节，其实施场景主要依据国家强制性法规标准及企业生产安全需求确定，以下是具体适用情况及对应的核心法规条文：

1.1、必须进行 SIL 评估的核心场景新建涉及 “两重点一重大” 的化工装置及危险化学品储存设施“两重点一重大” 指重点监管危险化工工艺、重点监管危险化学品、危险化学品重大危险源。适用时间节点：2018 年 1 月 1 日起所有新建项目必须执行；2016 年 1 月 1 日起大型和外商独资合资等具备条件的企业已率先要求。新建其他化工装置及危险化学品储存设施2020 年 1 月 1 日起，所有新建非 “两重点一重大” 化工装置及危险化学品储存设施，需执行功能安全相关标准，开展 SIL 评估。在役涉及 “两重点一重大” 的生产装置或设施需在全面开展过程危险分析（如 HAZOP 分析）基础上，通过风险分析确定安全仪表功能及风险降低要求，评估现有安全仪表功能是否满足需求，并于 2019 年底前完成评估和完善。生产装置或设施发生重大变更时当化工装置的工艺、设备、仪表系统等发生重大变更，可能影响安全仪表功能的风险控制能力时，需重新进行 SIL 评估。定期风险辨识分析触发的评估需求涉及 “两重点一重大” 的生产储存装置每 3 年需进行一次 HAZOP 分析，其他装置每 5 年进行一次风险辨识分析，若分析结果显示风险超出可接受范围，需配套开展 SIL 评估。

1.2、核心法规条文依据《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（安监总管三〔2014〕116 号）第四条第（四）款：设计安全仪表系统之前要明确安全仪表系统过程安全要求、设计意图和依据。要通过过程危险分析，充分辨识危险与危险事件，科学确定必要的安全仪表功能，并根据国家法律法规和标准规范对安全风险进行评估，确定必要的风险降低要求。第五条第（十三）款：从 2018 年 1 月 1 日起，所有新建涉及 “两重点一重大” 的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统，从 2020 年 1 月 1 日起，应执行功能安全相关标准要求，设计符合要求的安全仪表系统。第六条第（十四）款：涉及 “两重点一重大” 在役生产装置或设施的化工企业和危险化学品储存单位，要在全面开展过程危险分析（如危险与可操作性分析）基础上，通过风险分析确定安全仪表功能及其风险降低要求，并尽快评估现有安全仪表功能是否满足风险降低要求。第六条第（十五）款：企业应在评估基础上，制定安全仪表系统管理方案和定期检验测试计划。对于不满足要求的安全仪表功能，要制定相关维护方案和整改计划，2019 年底前完成安全仪表系统评估和完善工作。其他化工装置、危险化学品储存设施，要参照本意见要求实施。《国家安全监管总局关于加强化工过程安全管理的指导意见》（安监总管三〔2013〕88 号）第一条第（七）款：企业要按照《危险化学品重大危险源监督管理暂行规定》（国家安全监管总局令第 40 号）的要求，根据国家有关规定或参照国际相关标准，确定本企业可接受的风险标准。对辨识分析发现的不可接受风险，企业要及时制定并落实消除、减小或控制风险的措施，将风险控制在可接受的范围。第一条第（十五）款：企业要按照《过程工业领域安全仪表系统的功能安全》（GB/T21109）和《石油化工安全仪表系统设计规范》的要求，设计、安装、管理和维护安全仪表系统。国家标准《过程工业领域安全仪表系统的功能安全》（GB/T 21109-2022，对应 IEC 61511）明确要求化工等过程工业领域的安全仪表系统（SIS）需通过 SIL 评估确定安全完整性等级，确保其在生命周期内具备所需的风险降低能力，涵盖设计、安装、运行、维护等全流程的功能安全要求。国家标准《电气 / 电子 / 可编程电子安全相关系统的功能安全性》（GB/T 20438-2017，对应 IEC 61508）作为功能安全基础标准，规定了安全相关系统（包括化工行业 SIS）的安全完整性等级划分及评估准则，为 SIL 评估提供技术依据，明确了 SIL1-SIL4 的风险降低量化要求。

二、化工企业进行SIL评估的流程

化工企业 SIL 评估流程需遵循 “风险辨识→目标设定→验证评估→整改优化” 的逻辑，核心围绕安全仪表功能（SIF）的全生命周期展开，具体分为 6 个关键阶段：

2.1、评估准备阶段

该阶段是评估顺利开展的基础，需明确范围、收集资料并组建团队。

确定评估范围，聚焦 “两重点一重大” 装置或存在高风险的工艺单元，避免范围过大或遗漏关键环节。收集核心资料，包括工艺流程图（PFD）、管道及仪表流程图（P&ID）、设备参数、历史事故数据、现有安全仪表系统（SIS）配置文件等。组建评估团队，成员需涵盖工艺工程师、仪表工程师、安全工程师，必要时邀请外部功能安全专家（如具备 IEC 61511 资质的人员）。2.2、危险与风险分析阶段

通过系统分析识别潜在危险事件，为后续 SIF 识别提供依据。

开展过程危险分析（常用 HAZOP 分析），围绕工艺偏差（如温度超标、压力异常），分析偏差原因、后果及现有安全措施（含 SIS、基本过程控制系统 BPCS、安全阀等）。进行风险评估，采用风险矩阵（如 “可能性 - 后果严重度” 矩阵）或 Layer of Protection Analysis（LOPA，保护层分析），量化现有安全措施的风险降低能力，识别出 “现有措施无法将风险降至可接受水平” 的危险事件。2.3、安全仪表功能（SIF）识别与确认阶段

从危险事件中筛选出需依赖 SIS 控制风险的 SIF，明确其核心参数。

识别 SIF，针对风险评估中未达可接受水平的危险事件，判断是否需新增或优化 SIS 作为独立保护层，确定每个 SIF 的触发条件（如温度≥180℃）、动作输出（如关闭进料阀）及关联设备（如传感器、逻辑控制器、执行器）。确认 SIF 边界，明确每个 SIF 的范围（如单个阀门或一组关联设备），避免与其他安全措施（如 BPCS 报警、手动操作）功能重叠或遗漏。2.4、SIL 目标值确定阶段

根据风险可接受标准，明确每个 SIF 需达到的安全完整性等级（SIL1-SIL4）。

制定企业风险可接受标准，参考 GB/T 21109 或行业规范，结合企业实际（如人员暴露时间、周边环境），划分 “可接受风险”“需控制风险”“不可接受风险” 等级。计算 SIL 目标值，通过 LOPA 分析，计算现有非 SIS 保护层（如安全阀、工艺设计）的风险降低量，反向推导需 SIF 补充的风险降低量，对照 GB/T 21109 中 SIL 对应的风险降低因子（如 SIL1 对应 10-100 倍风险降低），确定每个 SIF 的 SIL 目标值（如 SIL2）。2.5、SIL 验证与评估阶段

验证现有 SIF 是否满足预设的 SIL 目标值，核心是计算 SIF 的实际安全完整性水平。

收集 SIF 组件数据，获取传感器、逻辑控制器（PLC/SIS）、执行器的故障数据，包括危险失效概率（PFD）、安全失效分数（SFF）、共因失效数据等，数据需来自可靠来源（如制造商手册、行业数据库）。计算 SIF 的实际 PFDavg（平均危险失效概率），依据 GB/T 20438 或 GB/T 21109 的公式，结合组件冗余配置（如 1oo2、2oo3）、检验测试周期，计算单个 SIF 的 PFDavg，并与 SIL 目标值对应的 PFDavg 范围（如 SIL2 对应 10⁻³~10⁻²）对比。评估共因失效，分析因设计缺陷、环境因素（如温度、振动）、人为操作等导致 SIF 组件同时失效的风险，必要时通过增加冗余、优化维护流程降低共因失效概率。2.6、评估报告与整改优化阶段

形成评估结论，针对不满足要求的 SIF 制定改进措施并跟踪落实。

编制 SIL 评估报告，内容包括评估范围、风险分析结果、SIF 清单及 SIL 目标值、验证计算过程、结论（满足 / 不满足）及整改建议。落实整改措施，对 PFDavg 超标的 SIF，可通过以下方式优化：提升组件可靠性（如更换更高故障等级的传感器）；增加冗余配置（如将 1oo1 改为 1oo2）；缩短检验测试周期（如从 1 年改为 6 个月）；定期复评，根据 GB/T 21109 要求，SIF 需结合工艺变更、设备老化情况每 3~5 年重新评估，确保长期满足 SIL 目标值。

最后，要不要我帮你整理一份SIL 评估各阶段核心交付物清单？清单会明确每个阶段需输出的文档（如 HAZOP 报告、SIF 识别表），方便你把控评估进度。

三、SIL等级的划分标准

SIL 等级（安全完整性等级）主要依据风险降低能力和平均危险失效概率（PFDavg） 两大核心指标划分，国际标准（IEC 61508/IEC 61511）将其分为 4 个等级（SIL1-SIL4），等级越高代表安全仪表系统（SIS）的风险控制能力越强。

3.1、核心划分标准：PFDavg 与风险降低因子（RRF）

SIL 等级的本质是通过量化 “安全仪表功能（SIF）失效后导致危险事件发生的概率”，确定其风险降低效果。其中，PFDavg（平均危险失效概率） 是最关键的量化指标，RRF（风险降低因子） 是 PFDavg 的倒数，二者直接对应 SIL 等级。

以下是 GB/T 20438-2017（对应 IEC 61508）和 GB/T 21109-2022（对应 IEC 61511）中明确的分级标准：

注：PFDavg 是 “安全仪表功能在规定时间内（通常为 1 年）发生危险失效的平均概率”，数值越小，SIF 的可靠性越高。3.2、辅助划分标准：安全失效分数（SFF）与硬件容错能力（HFT）

除 PFDavg 外，SIL 等级还需满足硬件安全完整性要求，即通过 “安全失效分数（SFF）” 判断设备故障类型，并结合 “硬件容错能力（HFT）” 确保单一故障不导致 SIF 失效。

3.2.1. 安全失效分数（SFF）：区分设备故障类型

SFF 是 “安全失效（不导致危险事件的失效）占总失效的比例”，用于判断 SIF 组件（如传感器、控制器）的故障模式，分为三个类别：

低要求模式 SFF ≥ 90%：适用于 SIL1-SIL3（化工行业 SIF 多为此模式，如定期触发的联锁）；低要求模式 SFF ＜ 90%：仅适用于 SIL1-SIL2；高要求模式（如连续运行的安全系统）：SFF 要求更严格，需结合 IEC 61508 专项计算。3.2.2. 硬件容错能力（HFT）：应对单一故障

HFT 是 “SIF 在出现 N 个硬件故障时仍能正常执行安全功能的能力”，核心是避免单一故障导致 SIF 失效，不同 SIL 等级的 HFT 要求如下：

SIL1：HFT ≥ 0（允许无容错，如单传感器 + 单控制器）；SIL2：HFT ≥ 1（至少 1 级容错，如 2 取 1（1oo2）传感器配置）；SIL3：HFT ≥ 2（至少 2 级容错，如 2 取 2（2oo2）或 3 取 2（2oo3）配置）；SIL4：HFT ≥ 3（化工行业几乎不涉及）。3.3、关键补充：SIL 等级的 “应用场景匹配原则”

SIL 等级并非越高越好，需结合危险事件的风险等级反向确定，核心逻辑是：

先通过 HAZOP/LOPA 分析，确定 “未配备 SIF 时的初始风险”；根据企业风险可接受标准（如 GB/T 21109 要求），计算 “需 SIF 补充的风险降低量”；对照 PFDavg/RRF 范围，确定最低满足风险要求的 SIL 等级（避免过度设计）。

例如：某化工装置 “反应超温” 的初始风险为 10⁻³（不可接受），企业可接受风险为 10⁻⁵，则需 SIF 实现 100 倍风险降低（RRF=100），对应 SIL2 等级。

结尾交付物提议

要不要我帮你整理一份SIL 等级划分与应用场景对照表？表格会明确不同 SIL 等级的 PFDavg、HFT 要求及化工行业典型应用案例，方便你快速匹配实际项目需求。

四、建立独立仪表系统的要求

根据国家现行规范，SIL1 及以上等级的安全仪表功能（SIF）均需建立独立仪表系统（SIS），且独立性要求随 SIL 等级升高而严格（SIL1 可适度共用，SIL2-SIL3 必须独立）。以下是核心规范条文及分类要求：

4.1、基础原则：SIS 与基本过程控制系统（BPCS）的独立性底线

所有规范均明确 SIS 需独立于 BPCS（如 DCS），避免相互干扰，核心条文如下：

《石油化工安全仪表系统设计规范》（GB/T 50770-2013）5.0.8：安全仪表系统应独立于基本过程控制系统，并应独立完成安全仪表功能。5.0.10：基本过程控制系统不应介入安全仪表系统的运行或逻辑运算。条文说明 2.1.19：基本过程控制系统不应执行 SIL1、SIL2、SIL3 的安全仪表功能。《过程工业领域安全仪表系统的功能安全》（GB/T 21109.1-2007）3.2.3：基本过程控制系统不执行任何具有被声明的 SIL≥1 的仪表安全功能。11.2.4：如果不打算让基本过程控制系统符合 GB/T 21109，基本过程控制系统应设计成单独的和独立的，从而不危及安全仪表系统的功能完整性。《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（安监总管三〔2014〕116 号）（一）安全仪表系统（SIS）独立于过程控制系统 BPCS（例如分散控制系统 DCS 等）。4.2、按 SIL 等级划分的独立仪表系统要求（一）SIL1 级：可适度共用，优先独立测量仪表《石油化工安全仪表系统设计规范》（GB/T 50770-2013）6.2.1：SIL1 级安全仪表功能，测量仪表可与基本过程控制系统共用。《化工安全仪表系统工程设计规范》（HG/T 22820-2024）6.2.2：SIL1 级安全仪表功能的测量仪表宜与基本过程控制系统分开。控制阀（最终元件）《石油化工安全仪表系统设计规范》（GB/T 50770-2013）7.2.1：SIL1 级安全仪表功能，控制阀可与基本过程控制系统共用，应确保安全仪表系统的动作优先。《化工安全仪表系统工程设计规范》（HG/T 22820-2024）7.2.2：SIL1 级安全仪表功能的控制阀宜与基本过程控制系统分开；当共用时，安全仪表功能的需求应被优先执行，并由安全仪表系统独立完成。逻辑控制器《石油化工安全仪表系统设计规范》（GB/T 50770-2013）8.2.1：SIL1 级安全仪表功能，逻辑控制器宜与基本过程控制系统分开。（二）SIL2 级：必须独立（核心部件强制分离）测量仪表《石油化工安全仪表系统设计规范》（GB/T 50770-2013）6.2.2：SIL2 级安全仪表功能，测量仪表宜与基本过程控制系统分开。《化工安全仪表系统工程设计规范》（HG/T 22820-2024）6.2.3：SIL2 级安全仪表功能的测量仪表应与基本过程控制系统分开。控制阀（最终元件）《石油化工安全仪表系统设计规范》（GB/T 50770-2013）7.2.2：SIL2 级安全仪表功能，控制阀宜与基本过程控制系统分开。《化工安全仪表系统工程设计规范》（HG/T 22820-2024）7.2.3：SIL2 级安全仪表功能的控制阀应与基本过程控制系统分开。逻辑控制器《石油化工安全仪表系统设计规范》（GB/T 50770-2013）8.2.2：SIL2 级安全仪表功能，逻辑控制器应与基本过程控制系统分开。（三）SIL3 级：完全独立（全链路强制分离）测量仪表《石油化工安全仪表系统设计规范》（GB/T 50770-2013）6.2.3：SIL3 级安全仪表功能，测量仪表应与基本过程控制系统分开。《化工安全仪表系统工程设计规范》（HG/T 22820-2024）6.2.4：SIL3 级安全仪表功能的测量仪表应与基本过程控制系统分开。控制阀（最终元件）《石油化工安全仪表系统设计规范》（GB/T 50770-2013）7.2.3：SIL3 级安全仪表功能，控制阀应与基本过程控制系统分开。《化工安全仪表系统工程设计规范》（HG/T 22820-2024）7.2.4：SIL3 级安全仪表功能的控制阀应与基本过程控制系统分开。逻辑控制器《石油化工安全仪表系统设计规范》（GB/T 50770-2013）8.2.3：SIL3 级安全仪表功能，逻辑控制器应与基本过程控制系统分开。4.3、特殊场景强制独立要求（无论 SIL 等级）重大危险源相关《危险化学品重大危险源监督管理暂行规定》（安全监管总局令第 40 号）第十三条（三）：涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源，配备独立的安全仪表系统（SIS）。《危险化学品重大危险源安全监控技术规范》（GB 17681-2024）6.4.2.1：涉及有毒气体、液化气体、剧毒液体的一级或二级危险化学品重大危险源的生产单元、储存单元 (仓库除外) 应配备 SIS。重点监管危险化工工艺《精细化工企业安全管理规范》（AQ3062-2025）7.4.1：涉及重点监管危险化工工艺的装置（如氧化、聚合工艺），若反应安全风险评估工艺危险度等级达到 4 级及以上，或属于一级、二级危险化学品重大危险源，必须配备独立的安全仪表系统（SIS），并通过 SIL 评估确定具体等级。新建 / 在役装置通用要求《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》（安监总管三〔2014〕116 号）（十三）：从 2018 年 1 月 1 日起，所有新建涉及 “两重点一重大” 的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统；其他新建化工装置从 2020 年 1 月 1 日起执行。4.4、关键补充说明独立性不仅指物理分离（如传感器、控制器、执行器分开设置），还包括逻辑独立（BPCS 不得介入 SIS 的逻辑运算）、电源 / 气源独立（避免共用导致同时失效）。SIL4 级在化工行业极少应用（GB/T 21109 允许但实际场景中风险等级过高，通常通过工艺优化降低风险而非依赖 SIS），规范未单独明确其独立要求，但需满足更严格的全生命周期独立性管控。共用场景需满足 “风险可接受” 且书面论证（GB/T 21109.1-2007 11.2.10），仅 SIL1 级允许有限共用，SIL2 及以上禁止共用核心部件。