功能安全工程设计风险分析与安全整体性等级(SIL)选择.ppt
- 文档编号:30851452
- 上传时间:2024-02-16
- 格式:PPT
- 页数:172
- 大小:2.25MB
功能安全工程设计风险分析与安全整体性等级(SIL)选择.ppt
《功能安全工程设计风险分析与安全整体性等级(SIL)选择.ppt》由会员分享,可在线阅读,更多相关《功能安全工程设计风险分析与安全整体性等级(SIL)选择.ppt(172页珍藏版)》请在冰豆网上搜索。
功能安全工程设计:
风险分析和安全整体性等级(SIL)选择功能安全工程设计风险分析和安全整体性等级(SIL)选择课程内容1.安全仪表系统的介绍2.安全周期3.风险管理的原则4.工艺危险性分析5.保护层分析6.安全整体性等级选择7.安全要求规范2功能安全工程设计风险分析和安全整体性等级(SIL)选择第一部分:
安全仪表系统介绍3功能安全工程设计风险分析和安全整体性等级(SIL)选择IEC61511将安全仪表系统(SIS)定义为:
“用于实施一个或多个安全仪表功能的仪表系统。
SIS是由传感器、逻辑解算器和最终元件的所有组合)”安全仪表系统的定义4功能安全工程设计风险分析和安全整体性等级(SIL)选择安全仪表系统功能定义专业人士更喜欢SIS这一更加功能性的定义:
“是指为以下目的而进行设计的传感器、逻辑解算器和最终元件组成的系统:
1.当违反特定条件时,自动将工业过程设置到安全状态;2.当特定条件容许(容许功能)时,容许过程安全地向前进行3.采取行动减轻工业危险的后果。
”5功能安全工程设计风险分析和安全整体性等级(SIL)选择SIS的存在与管理风险增加的风险工艺风险可容忍风险残留风险最小风险的降低最佳风险的降低(ALARP)工艺设计基本工艺控制系统报警泄放SIS6功能安全工程设计风险分析和安全整体性等级(SIL)选择传感器最终元件回路1回路2回路3回路4LogicSolver安全仪表系统12345678回路57功能安全工程设计风险分析和安全整体性等级(SIL)选择安全仪表功能(SIF)回路116LogicSolver传感器最终元件安全仪表功能是指通过SIS来实施的功能,SIS旨在为有关特定危险事故的工艺获取或维持安全状态。
8功能安全工程设计风险分析和安全整体性等级(SIL)选择安全仪表功能一套特定的行动和所需的相应设备,用以识别单个危险并动作,将系统带入安全状态。
不同于SIS,SIS可以包括多个功能并且以多种方式动作,防止多个有害结果的发生。
一个SIS可能有多个SIF,而每个SIF都有对应的SIL,因此为整个安全仪表系统来定义SIL是不正确和模糊的。
9功能安全工程设计风险分析和安全整体性等级(SIL)选择安全仪表功能举例通过提供事故冷却剂,降低超高温来防止塔的破裂通过开阀释放压力来防止罐破裂直接将溢出的液体引到废水处理系统,防止环境遭受破坏发出报警、降低损失和可能发生的人员伤害(最后一项因没有实现安全状态故是不完整的SIF。
最终的行动必须包括在内)10功能安全工程设计风险分析和安全整体性等级(SIL)选择逻辑解算器传感器最终元件SIF传感器就像控制系统一样,安全系统也有传感器。
在加工工业中,传感器测量工艺参数,它包括压力、温度、流量、液位、气体浓度和其他测量值。
在机械业中,传感器还可以测得人是否接近、进入危险区以及其他保护参数。
11功能安全工程设计风险分析和安全整体性等级(SIL)选择逻辑解算器传感器最终元件安全系统也有逻辑解算器,它一般是一个控制器,它从传感器中读取信号,执行预先编好的动作,防止或减轻工艺危险。
通过将信号发给最终元件来实现以上功能。
SIF逻辑解算器12功能安全工程设计风险分析和安全整体性等级(SIL)选择SIF最终元件FinalElements在SIF中的最终元件是指采取什么动作来进入安全状态,在加工工业中它常为远程驱动,而在机械安全中,它可能是离合器制动器组件。
13功能安全工程设计风险分析和安全整体性等级(SIL)选择安全仪表功能(SIF)的实施逻辑解算器传感元件C信号整理传感元件信号整理最终控制元件信号整理最终控制元件回路设施,如电源、仪表风等.任何单个安全仪表功能的实施,可能包括多个传感器、信号整理模块、多个最终元件和专门的回路设施。
互相连络传感元件14功能安全工程设计风险分析和安全整体性等级(SIL)选择标准基于所有工业的国际标准(适用于供应商)IEC61511:
加工工业(美国使用本质相同的工业标准ISA84.00.01-2004)IEC62061:
机械工业IEC61513:
核工业15功能安全工程设计风险分析和安全整体性等级(SIL)选择IEC61511标准加工工艺中的目标最终用户和积分仪包括整个SIS周期风险分析基于设计的性能操作和维修非规定的性能最终用户应用一般不认证独立的功能安全评价三部分需求指南SIL选择16功能安全工程设计风险分析和安全整体性等级(SIL)选择第二部分:
安全周期17功能安全工程设计风险分析和安全整体性等级(SIL)选择18功能安全工程设计风险分析和安全整体性等级(SIL)选择规范44%设计和实施15%安装和投料试车6%操作和维修15%投料试车后的变更21%有关控制系统的事故原因的HSE研究:
工业事故原因-HSE“失控:
控制系统出错和如何防止故障。
”英国设菲尔德,健康和安全执行机构,199519功能安全工程设计风险分析和安全整体性等级(SIL)选择安全周期一览表概念工艺设计识别潜在危险后果分析保护层分析制定非SIS保护层确定SIF的目标SIL文件要求开车操作维修定期验证测试修改停运分析我需要多少安全?
实施我如何得到需要的安全操作我如何保持我需要的安全?
选择SIS技术选择SIS结构确定测试频率SIS详细设计SIS硬件结构SIS软件组态SIS测试SIS安装SIS投料试车SIS初始确认修改=改变要求修改=改变设计20功能安全工程设计风险分析和安全整体性等级(SIL)选择“分析”阶段(最终用户/咨询)“实现”阶段(厂商/承包商/最终用户)概念整体范围定义危险和风险分析安全总体要求安全需求分配安全相关系统:
E/E/PES实现整体安装及试车整体安全确认整体操作及维修停运安全相关系统:
其他技术实现外部风险降低实现总体规划安装及投料试车规划确认规划操作和维修计划111095432112131416整体修改和改进15876“操作”(最终用户/承包商)IEC61508安全周期21功能安全工程设计风险分析和安全整体性等级(SIL)选择安全周期IEC61511功能安全和功能安全评估管理第5条安全周期结构规划第6.2条将安全功能分配到保护层第9条确认第7条和第12.7条AnalysisRealisationOperationSIS安全要求规范第10和12条工艺危险和风险分析第8条SIS设计和工程设计第11和12条SIS安装和投料试车第14条SIS操作和维修第16条SIS安全确认第15条SIS修改第17条SIS停运第18条提供概念SIS验收测试第13条设计及构造测试安装管理确认验证测试/(9)(10)(11)22功能安全工程设计风险分析和安全整体性等级(SIL)选择安全周期分析阶段评估后果评估非SIS保护层效果1.概念上的工艺设计需要SIS?
2.识别潜在危险工艺安全信息4.保护层分析潜在危险危险频率3.后果分析危险后果5.为SIS和SIF选择目标SIL目标SIL6.SIS/SIF必要的文件事件历史保护层故障率可容忍风险指南危险特性停止NoYes实施安全要求规范-每个安全仪表功能的描述,包括目标SIL,减轻的危险,工艺参数,逻辑,旁路维修要求,响应时间等。
23功能安全工程设计风险分析和安全整体性等级(SIL)选择目的识别工艺危险,评估其风险并确定该风险是否可容许.任务危险识别(例如HAZOP)可能性及后果分析非SIS保护层的考虑危险/风险分析24功能安全工程设计风险分析和安全整体性等级(SIL)选择目的基于所有保护层评估可能性.任务识别保护层,使用定性或定量方法保护层分析25功能安全工程设计风险分析和安全整体性等级(SIL)选择目的根据SIL,规定必需的风险降低或现有的风险和可容忍风险等级的差别任务对比工艺风险和可容忍风险使用决定指南,来选择必需的风险降低文件选择过程安全整体性等级选择需要SIS吗?
5.为SIS和SIF选择目标SIL目标SIL可容忍风险指南停止NoYes26功能安全工程设计风险分析和安全整体性等级(SIL)选择安全要求规范目的规定详设及工艺安全信息所需的SIS的所有要求任务识别并描述安全仪表功能必需的安全执行等级的文件(SIL)所采取的文件行动逻辑,例如原因和结果图.文件相关参数如:
计时/维修必要的旁路27功能安全工程设计风险分析和安全整体性等级(SIL)选择SIS项目V-模型软件组态硬件构置概念性设计安全要求规范硬件详细设计软件详细设计现场验收测试软件内部测试硬件内部测试工厂验收测试内部整体测试确认VVVVVVVVV28功能安全工程设计风险分析和安全整体性等级(SIL)选择10.SIS安装、投料试车及预开车验收测试-安全要求规范-对每一个安全仪表功能进行描述,如目标SIL、减轻风险、工艺参数、逻辑、旁路、维修要求、响应时间等7.SIS概念性设计7a选择技术7b.选择结构冗余:
1oo1,1oo2,2oo3,1oo2D7c.确定测试原理7d.可靠性安全评定获得SILSIL达到?
NoYes8.SIS详细设计故障数据库制造商安全说明9.安装及投料试车规划SILver工具制造商安全手册详细设计文件-回路图、接线图、逻辑图、仪表盘布置、PLC编程、安装要求、投料试车要求等文件模板制造商安全手册选择传感器、逻辑解算器和最终元件技术安全周期“实现”阶段29功能安全工程设计风险分析和安全整体性等级(SIL)选择目的为此目的选择正确的设备,用于工艺控制的旧标准仍然适用.任务选择设备获得该设备的可靠性和安全数据获得所有安全认证设备的安全手册选择技术30功能安全工程设计风险分析和安全整体性等级(SIL)选择目的如果需要,选择冗余类型。
任务选择结构获得该结构的可靠性和安全数据。
选择结构1oo11oo22oo22oo31oo2DDiagDiag31功能安全工程设计风险分析和安全整体性等级(SIL)选择建立验证测试频率测试通常可能包括:
自动测试工艺操作中手动进行的离线测试。
工艺操作中手动进行的在线测试32功能安全工程设计风险分析和安全整体性等级(SIL)选择安全要求规范安全功能要求,包括目标SIL获得PFDavg,RRF,MTTFS,SIL制造商故障数据SIF确认的任务故障数据库7d.可靠性和安全评定33功能安全工程设计风险分析和安全整体性等级(SIL)选择获得PFDavg,RRFMTTFS,SILSIF设计选项7d.可靠性和安全评定如果SIF确认表明,所提议的设计没有获得SIL等级,那么设计者有许多选择:
1.通过增加其他保护层等措施,重新评定SIL要求。
2.缩短验证测试间隔时间这与在线测试规定有关。
3.选择安全等级较高、危险故障率较低或诊断性较好的设备。
4.通过增加更多冗余来改变结构。
安全要求规范安全功能要求,包括目标SIL34功能安全工程设计风险分析和安全整体性等级(SIL)选择12.确定预开车安全审查修改停运14.SIS开车、操作、维修、定期功能测试15.修改或是停运?
16.SIS停运确认所有有关危险、设计、安装测试、维修程序、变更管理、紧急规划等资料。
13.操作和维修计划11.确认规划安全周期“操作”阶段35功能安全工程设计风险分析和安全整体性等级(SIL)选择目的确认SIS功能符合设计要求。
任务确认现场仪表操作确认逻辑和操作确认所安装设备的SIL制作所需文件如果需要,制作产品认证证书确认12.确认:
预开车安全审查安装工厂验收测试SAT/SIT投料试车功能安全评估开车确认36功能安全工程设计风险分析和安全整体性等级(SIL)选择目的确认根据设计要求SIS能连续工作,并检测其他隐藏的故障。
任务确认现场仪表的操作确认逻辑和操作所有定期测试的文件结果定期验证测试14.SIS开车、操作、维修、定期功能测试37功能安全工程设计风险分析和安全整体性等级(SIL)选择目的定期审查危险,如果需要,采取整改措施任务定期审查危险审查事故审查设施变更通知或变更(MOC)管理的文件根据需要,按照合适的安全周期步骤对SIS进行更新变更及停运38功能安全工程设计风险分析和安全整体性等级(SIL)选择安全周期一览表概念工艺设计识别潜在危险后果分析保护层分析制定非SIS保护层确定SIF的目标SIL文件要求开车操作维修定期验证测试修改停运分析我需要多少安全?
实施我如何得到需要的安全操作我如何保持我需要的安全?
选择SIS技术选择SIS结构确定测试频率SIS详细设计SIS硬件结构SIS软件组态SIS测试SIS安装SIS投料试车SIS初始确认修改=改变要求修改=改变设计39功能安全工程设计风险分析和安全整体性等级(SIL)选择安全周期目标1.建立更安全的系统,此系统不会出现以前系统中的那么多问题。
2.建立成本高效的系统,并与设计风险相匹配。
3.消除成本高而又没有多少用处的“薄弱环节”设计。
4.为实现一致性设计,提供全球的设计框架。
40功能安全工程设计风险分析和安全整体性等级(SIL)选择第三部分:
风险管理的原理41功能安全工程设计风险分析和安全整体性等级(SIL)选择什么是风险?
风险是对不利影响的可能性和后果的测量,(如,发生的频率和后果的影响?
)风险受害方:
人员环境财产:
设备财产损失业务受损业务负债公司形象市场份额的丢失42功能安全工程设计风险分析和安全整体性等级(SIL)选择公司为何要控制风险?
公司负有法律、道德及财政义务来限制因其操作而产生的风险。
了解公司所采取的方式,帮助制定与此方式相符的安全方针MoralLegalFinancial不管成本如何,装置应尽可能地安全不管成本或实际的风险等级,公司应遵从成文的规章制度建造最低成本的装置,使其操作预算尽可能少43功能安全工程设计风险分析和安全整体性等级(SIL)选择风险可容忍度基础因风险活动可以获得收益,所以要容忍了解风险及收益有助于了解何种风险可以容忍世上没有零风险的事44功能安全工程设计风险分析和安全整体性等级(SIL)选择测量风险和收益必须对风险及收益进行测量,用以明智地决定在实际情况中该如何做风险测量必须说明可能性和后果后果通常有几种损害形式可以将损害有效地定义为收益的损失并且可以将此收益直接加入等式中。
要正确地测量风险,必须考虑到所有较大的损害形式。
45功能安全工程设计风险分析和安全整体性等级(SIL)选择后果表述风险测量取决于两个因素:
谁处于风险中?
个人社会环境风险的本质是什么?
死亡或受伤永久或临时损害财产损失46功能安全工程设计风险分析和安全整体性等级(SIL)选择个人风险个人风险:
频率分布显示,因某种危险发生,个人可能受到一定程度的损害(通常是死亡)英国HSE委员会风险容忍度框架将风险定义为:
可容忍区域的低风险限度为1x10-5年可容忍区域的高风险限度为1x10-3年ALARP(合理条件下尽可能低)区域通常在以上两个区域之间47功能安全工程设计风险分析和安全整体性等级(SIL)选择个人风险和ALARP可忽略风险高风险10-3/年(工人)10-4/年(公众)10-6/年不能容忍区域ALARP或可容忍区域广泛地可接受的区域决不如果值得无人在意48功能安全工程设计风险分析和安全整体性等级(SIL)选择确定可容忍风险既要严格又要灵活要考虑所有相关的损害形式要符合公司及社会惯例49功能安全工程设计风险分析和安全整体性等级(SIL)选择可容忍风险等级举例所在潜在危害必须低于:
每人每年0.0005死亡率每人每年0.005伤害率每个工厂每年0.01重大环境污染事故率每个工厂每年损失50万美元,等等50功能安全工程设计风险分析和安全整体性等级(SIL)选择可容忍风险等级举例带说明的矩阵表:
所有极度风险都要降低所有中度风险都要根据实际情况降低中度的中度的可接受的可接受的1100,000年中度的中度的可接受的可接受的110,000年极度的中度的中度的可接受的11000年极度的极度的中度的可接受的1100年多人死亡永久伤害死亡损工时伤害有记录的伤害51功能安全工程设计风险分析和安全整体性等级(SIL)选择从固有的工艺风险开始风险:
损害发生可能性与严重程度的组合(IEC/ISO指南51:
1990)有害影响的可能性及后果的测量(如发生频次及如果这样做产生的可能后果?
)固有风险:
因已完成的工艺设计产生的风险,此设计包含在指定工艺参数和一定数量的材料(如:
温度、压力等)。
52功能安全工程设计风险分析和安全整体性等级(SIL)选择IncreasingRisk后果可能性增加风险可容忍风险区域ALARP风险区域不可接受的风险区域风险削减53功能安全工程设计风险分析和安全整体性等级(SIL)选择通过控制固有风险来降低风险固有风险是测量后果的基本量。
通过减少有毒、易燃或爆炸品库存来控制固有风险,良好的工艺工程设计支持是至关重要的。
54功能安全工程设计风险分析和安全整体性等级(SIL)选择通过控制地理位置风险的方法来降低风险地理位置风险测量在某一特定地理位置发生事件的概率。
P-101P-102P-103D-101D-102V-101V-10210-310-510-4通过控制人员所在的位置如控制室、工作区域和路线来控制人员风险55功能安全工程设计风险分析和安全整体性等级(SIL)选择非SIS风险削减增加风险后果可能性可接收风险区域ALARP风险区域不可接受的风险区域降低风险后果,如:
减少材料、建围堤、机械保护等工艺固有风险降低非SIS风险,如使用安全阀56功能安全工程设计风险分析和安全整体性等级(SIL)选择SIS风险降低增加风险Consequence可接收风险区域ALARP风险区域不可接受风险区域降低风险后果,如:
减少材料、建围堤、机械保护等工艺固有风险非SIS风险降低,如压力泄放阀SIS风险降低SIL1SIL2SIL3此方面降低会出现什么?
57功能安全工程设计风险分析和安全整体性等级(SIL)选择风险管理标准AS/NZ4360ISO1400140CFR68IEC6150829CFR1910IEC60300IEC61508电气风险降低及安全系统的国际标准IEC60300-3-9技术系统的风险分析技术指南的国际标准ISO14001指导环境风险管理的国际标准29CFR1910指导工艺安全管理的美国OSHA法规AS/NZ4360一般风险控制管理的澳大利亚/新西兰标准58功能安全工程设计风险分析和安全整体性等级(SIL)选择风险管理方法建立内容监控及审核识别风险分析风险(可能性和后果)评估风险可容忍度接受或控制风险确定控制选项评估控制选项选择控制选项制订控制计划实施控制计划沟通及咨询59功能安全工程设计风险分析和安全整体性等级(SIL)选择安全周期目标分析设计确认文件危险分析/风险评估:
确定设计目标进行软硬件设计OK修改评估设计:
安全完整性和有效性的可靠性分析文件文件操作和维修文件将风险降至可接受的程度60功能安全工程设计风险分析和安全整体性等级(SIL)选择第四部分:
工艺危险分析61功能安全工程设计风险分析和安全整体性等级(SIL)选择危险定义潜在危害源IEC61508-4,Subclause3.1.2具有可能对人员、财产或环境造成损害的潜在危险的化学或物理条件(例如装有500吨氨的压力储罐)CCPS,CPQRA指南62功能安全工程设计风险分析和安全整体性等级(SIL)选择术语:
初始事件初始事件:
事件顺序中的第一个事件(如应力腐蚀导致氨罐的连接管线出现泄漏破裂)。
63功能安全工程设计风险分析和安全整体性等级(SIL)选择术语:
中间事件中间事件:
事件顺序中初始事件已扩散或缓和的事件(例如,操作人员采取了错误的动作,没有阻止氨最初的泄漏,并导致中间事件扩散成一个事故,在这种情况下,中间事件的结果就是有毒物料释放)64功能安全工程设计风险分析和安全整体性等级(SIL)选择术语:
事故事故:
物料或能源容器的损坏(例如,氨罐的连接管线泄漏了10磅的氨,造成了有毒蒸汽云)并非所有的事件都会扩散成事故。
65功能安全工程设计风险分析和安全整体性等级(SIL)选择术语:
事故结果事故结果:
事故的物理表现形式;如果是有毒物料,事故的结果就是有毒物料释放,如果是易燃物料,事故的结果可能就是沸腾的液体扩散为蒸汽云爆炸(BLEVE)、闪火、非封闭式蒸汽云爆炸、有毒物料释放等。
(例如,如果泄漏了10磅的氨,事故的结果就是有毒物料释放)66功能安全工程设计风险分析和安全整体性等级(SIL)选择术语:
后果后果:
对事故结果情况的预期效果的度量(例如,在D级天气条件下,10磅的氨泄漏,以1.4mph的速度随风向北行进,将对50个人造成伤害)受伤死亡商业运行中断财产损失环境破坏其他无形影响第三方责任67功能安全工程设计风险分析和安全整体性等级(SIL)选择从潜在到事实初始事件通常都会随之发生中间事件可能再形成另一个中间事件可能会导致一个事故结果根据具体情况,此事故结果会导致后果假设存在一个潜在伤害的危险,事故所产生的结果称之为68功能安全工程设计风险分析和安全整体性等级(SIL)选择SLC“分析”阶段危险识别评估后果评估非SIS保护层效果1.概念上的工艺设计需要SIS?
2.识别潜在危险工艺安全信息4.保护层分析潜在危险危险频率3.后果分析危险后果5.为SIS和SIF选择目标SIL目标SIL6.SIS/SIF必要的文件事件历史保护层故障率可容忍风险指南危险特性停止NoYes实施安全要求规范-每个安全仪表功能的描述,包括目标SIL,减轻的危险,工艺参数,逻辑,旁路维修要求,响应时间等。
69功能安全工程设计风险分析和安全整体性等级(SIL)选择什么是工艺危险性分析IEC61508-1规定了三种功能:
1.确定在所有可合理预见的条件下(包括故障条件和误操作),受控设备(EUC)和EUC控制系统的危险和危险事件(在所有操作模式下),。
2.确定以上所确定危险事件的事件顺序。
3.确定与以上所确定危险事件相关的EUC风险。
70功能安全工程设计风险分析和安全整体性等级(SIL)选择什么是工艺危险性分析(PHA)?
识别危险通常在PHA中识别危险评估后果评估可能性(频率)71功能安全工程设计风险分析和安全整体性等级(SIL)选择常见的PHA方法检查表Whatif?
Whatif?
/检查表HAZOP(危险和可操作性研究)FMEA(故障模式和效果分析)故障树分析适当的等同方法72功能安全工程设计风险分析和安全整体性等级(SIL)选择选择不同于”正常”情况的偏差转到下一个偏差No选择项目确定安全功能-SIS和/或者机械安全(MS)和/或者外部风险削减确定传感器和安全阀的位置(安全行动)会产生危险吗?
(有预防其发生的有效操作吗?
)Yes控制系统是否会及时对偏差进行调整?
控制系统故障,误动作,操作工误操作描述可能的危险后果考虑其他偏差原因可能会偏差吗?
可能的原因?
Yes一般HAZOP程序NoNoYesYesYes73功能安全工程设计风险分析和安全整体性等级(SIL)选择从PHA报告中识别SIF需要哪些信息?
先前的研究中有关安全仪表功能的描述已消除的危险及其后果导致后果的初始事件防止后果发生的安全措施(SIS和非SIS)74功能安全工程设计风险分析和安全整体性等级(SIL)选择PHA-HAZOP脱水剂再生脱水深冷分离再压缩XV32A/STT31TT32乙烷丙烷入口气体天然气液体I-3I-1I-2I-4XV31A/SXY31XY32闪蒸分离316SSCS防止现场碳钢管线脆裂的功能75功能安全工程设计风险分析和安全整体性等级(SIL)选择PHA-HAZOP识别SIF偏差后果太低安全措施原因物流间流量不平衡存在下游管线脆裂和着火的潜在危险建议行动J.JonesPLC低温切断极端天气同上,确定极度天气的可能性J.Jones流量报警和工艺切断太高物流间流量不平衡Potentialcompressordamage确定压缩机是否会损坏S.Smith存在下游管线脆裂和着火的潜在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 功能 安全 工程设计 风险 分析 整体性 等级 SIL 选择