确定安全完整性等级(SIL)需求的方法

确定安全完整性等级(SIL)需求的方法优势与弊端1 简介安全完整性等级(SIL) 的概念是随着 BS EN 61508 的发展被引进的。对于具有安全功能的系统，SIL 是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。本文主要讨论在过程工业设备领域流行的两种确定 SIL 需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。同时也给何种情况下应选择何种方法的推荐标准。2 SIL 的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际使用频率非常低，比如汽车的如下两项功能： 防抱死系统（ABS）。（当然，这跟司机也有关系） 安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能： 刹车 转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的： 对于使用频率低者，事故频率由两个参数构成：1) 功能的使用频率2) 当使用时，该功能发生故障的概率故障概率（PFD）因此，这种情况下，PFD 便能恰当地衡量该功能的性能表现，而 PFD 的倒数则称为：风险消除因数（RRF）。 对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（），或者平均无故障时间（MTTF）。假设故障的发生呈指数分布，则 MTTF 与 互为倒数。当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD = T/2 = T/(2xMTTF) 或者：RRF = 2/( T) 或 = (2xMTTF)/T其中 T 是检验间隔（注意：若要将事故速率显著降低到故障速率 以下，检验频率 1/T 应至少为正常使用频率的两倍，最好是能达到 5 倍或更高。）但这两者却是不同的量：PFD 是一个概率，是无量纲量； 是一个速率，量纲是 t-1 。然而标准中对两种度量都使用相同的术语SIL，定义见下表：表 1 BS EN 61508 中低使用频率下的 SIL 定义SIL 平均 PFD 范围 RRF 范围 4 10-5 PFD 10-4 100000 RRF 100003 10-4 PFD 10-3 10000 RRF 10002 10-3 PFD 10-2 1000 RRF 1001 10-2 PFD 10-1 100 RRF 10表 2 BS EN 61508 中高使用频率或持续运作下的 SIL 定义SIL 范围(每小时故障次数) MTTF 范围(年) 4 10-9 10-8 100000 MTTF 100003 10-8 10-7 10000 MTTF 10002 10-7 10-6 1000 MTTF 1001 10-6 10-5 100 MTTF 10在低使用频率模式下，SIL 是 PFD 的代表；在高使用频率或持续运作模式下， SIL 则是故障速率的代表。（在标准中，高低使用频率的分界大体上被设置在每年一次，这与 3 到 6 个月的检验间隔是相符的。在很多情况下，要使检验间隔比这更短也不大可行。）现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周发生一次，约合 25 次每年，也就是高使用频率型；另一种大约 10 年发生一次，也就是低使用频率型。如果该功能的平均无故障时间为 50 年，那么对高频危险的保护将达到 SIL1 级别。同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。其他条件相同的情况下，对低频危险的防护等级实际上达到了：PFD = 0.04/(2x50) = 4 x 10-4 即：SIL3那么，该功能达到的 SIL 等级究竟为何呢？显然答案不是唯一的，而是取决于具体保护的危险，特别是危险发生的频率是高还是低。 此栏并非标准中所定义，但通常 RRF 比 PFD 更易处理。 此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的 MTTF 值更有用，因为在这里，时间更多地是以年来计，而不是小时。在前一种情况下，可以达到的 SIL 等级是由设备的内在属性决定的；后一种情况下，尽管设备的内在属性也很重要，但是可以达到的 SIL 等级同样受检验制度的影响，这在过程工业领域很重要。在这里，可达到的 SIL 等级易受现场设备（过程仪表以及其他特别是末端设备如关断阀等）可靠性的影响。这些现场设备需要定期地检验方能达到需求的 SIL 等级。每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是容易混淆的。3 确定 SIL 需求的一些方法BS EN 61508 提供了三种确定 SIL 需求的方法： 定量法。 风险图表法，在标准中被作为定性方法。 伤害事件严重性矩阵，在标准中同样被作为定性方法。BS IEC 61511 则提供了： 半定量法。 安全层级矩阵模型，被作为半定性方法。 标准化风险图表法，在标准中被作为半定性方法，但业内也有些作为半定量方法。 风险图表法，被作为定性方法。 保护层级分析（LOPA）。（尽管标准并未指明是定性还是定量，但该方法是倾向于定量的。）风险图表法和保护层级分析是两种流行的确定 SIL 需求的方法，特别是在过程工业领域。两者的优势和弊端以及应用范围是本文的主要议题。4 风险图表法风险图表法广泛使用的原因将在下文中介绍。典型的风险图表见 图 1。C 为后果 参数， CA-CD 表示不同的后果等级。F 为频率与暴露时间参数。P 为避免伤害的可能性。W 为无保护状态下，危险发生的速率。图中的参数可被给予定性的描述，如：CC 造成数人死亡。或定量的描述，如CC 发生死亡的概率为 0.1 到 1.0。图 1 典型的风险图表第一种定义规避了问题的实质：“数人”是多少人？在实际应用中，要评估 SIL 需求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。这些定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成半定量的了（或许是半定性？当然一定是在定量和定性两种极端之间的某个位置。）表 3 给出了一套典型的定义表 3 风险图表参数的典型定义后果CA 轻微伤害CB 每次事故发生死亡的概率在 0.01 到 0.1CC 每次事故发生死亡的概率在 0.1 到 1CD 每次事故发生死亡的概率 1暴露时间FA 10% 的时间FB 10% 的时间伤害的可避免性 /不可避免性4.1 优势风险图表法具有如下优势： 是一种半定性/半定量的方法 不需要精确的伤害发生速率、后果以及其他参数的值 不需要专业的计算或复杂的建模 只要对应用领域心里“有谱”的 人就可以使用 通常作为一种团队实践，类似于 HAZOP译注：危险与可操作性分析 个人偏见得以消除 对于风险与危害的理解得以在团队成员间传播（如从设计、操作、维护等不同位置得出的理解） 个人易忽视的问题得以被发现 需要计划和制度 不需要详细学习相对轻微的伤害 可以相对较快的速度评估多种危害 可作为一种有效的筛查工具用于识别：- 需要更细致评估的危害- 无需额外防护的轻度危害由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。4.2 残余风险范围的问题考虑例子中的参数分别取：C C,FB,PB,W2，这样表示需要达到 SIL3 的防护。CC 每次事故发生死亡的概率在 0.1 到 1FB 暴露时间 10%PB 伤害不可避免的可能性 10% W2 3 到 30 年发生一次SIL3 10000 RRF 1000PA 90%可避免 / 10%不可避免PB 90%可避免 / 10%不可避免发生速率W1 低于 30 年一次W2 3 到 30 年一次W3 0.3 到 3 年一次假设所有参数均位于其范围的几何平均数处：后果 = (0.1 x 1.0) = 每次事故发生死亡的概率为 0.32暴露时间 = (10% x 100%) = 32%不可避免性 = (10% x 100%) = 32%发生速率 = (3 x 30) 10 年发生一次RRF = = (1000 x 10000) 3200（注意：之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的）考虑不加保护的危害：风险最大值 = (1 x 100% x 100%)/3 每 3 年有一人因事故死亡风险几何平均值= (0.32 x 32% x 32%)/10 = 每 300 年有一人因事故死亡风险最小值 = (1 x 10% x 10%)/30 每 30000 年有一人因事故死亡即：不加保护的风险从最小到最大有着 4 个数量级之差。考虑加以 SIL3 级别的保护则：残余风险最大值 (3 x 1000) = 每 3000 年有一人因事故死亡残余风险几何平均值 (300 x 3200) 每 100 万年有一人因事故死亡残余风险最小值 (30000 x 10000) = 每 3000 万年有一人因事故死亡即：加以保护后的风险从最小到最大有着 5 个数量级之差。图 2 给出了基于平均情况的原理表示图 2 BS IEC 61511 中的风险消除模型对此单一的危害，一个合理的控制目标差不多在每 10 万年有一人因事故死亡。在最不利的情况下，我们只能达到目标值 30 分之一的风险消除程度；而平均情况下，能得到 10 倍于目标的风险消除程度；在最有利的情况下，能得到 3000 倍于目标的风险消除程度。当然，实际上不可能所有参数都处在极限值上，但总的来说，这种方法必须给出一个保守的结果，以免风险消除的需求被低估。管理残余风险范围中内在的不确定性以期得到一个保守结果的方法包括： 校准图表，以使平均残余风险远低于目标值，如前所述。 谨慎选择参数值，即对参数值的选取存在不确定时，选择偏保守者。 仅当任何单一危害的平均残余风险在总体的风险控制目标中都只占很小的比例时，才应使用此方法。假设有许多不同的系统或功能对不同的危害进行保护，那么这些危害总的平均残余风险在总体的风险控制目标中将只占很小的比例，于是单一危害被低估了的残余风险在总体风险控制目标中占据的比例更小，而且在风险合并的时候，会和被高估了的危害相互抵偿掉。保守的结果同时也带来严重的成本上升，特别是当得出更高的 SIL 需求时。4.3 在过程工业中的应用在过程工业中，风险图表被广泛用于评估各种跳闸、关断、泄放等功能高低压力、温度、液位、流量等等，这些在典型的过程工业工厂中经常能见到。在这个应用领域中，前文所述的优势十分确切，而且将许多功能的风险进行合并也是行得通的。图 3 高压关断功能图 3 表示了一个典型的功能。目标是评估其装备的超压力关断功能（在 BS IEC 61511 的术语中，这被称为一种“安全仪表功能”( SIF)，其是由“安全仪表系统”(SIS)来实现的）。随即产生的一个问题便是：容器上的安全阀同样对其进行超压保护，在类似这种情况下采用典型的风险图表时，该如何处理这个安全阀？这种有SIF 备份的机械保护很常见。可选的处理方式有三种： 假设安全阀总能正常动作。 假设安全阀总是不动作。 以上二者之间。UKOOA译注：英国海上作业者协会导则（KUOOA 1999）推荐第一种方式，但故障率数据无法证明其合理性。第二种方式则易导致 SIL 需求被高估从而致使成本上升，因此不被推荐。相关标准给出的指导意见见表 4。表 4 标准中关于在使用风险图表时如何处理“其他技术的安全相关系统”的指导意见BS EN 61508 BS IEC 61511“W 参数是用来估计意外事件的发生频率的，条件是在没有任何附加的安全相关系统（电气/电子/可编程电子或其他技术）但包含任何外部的风险消除设备的情况下。”（第五部分，附录D 一种定性的方法：风险图表）（安全阀显然属于“其他技术的安全相关设备”）“W 考虑没有安全仪表功能的情况下，每年发生危害事件的次数。考虑所有可导致危害事件的故障并估计总的发生速率即可得出该数值。其他层面的保护应被考虑到其中。”（第三部分，附录 D 半定量法，标准化的风险图表 ）“W 参数是用来估计没有 SIS 加入的情况下意外事件的发生频率的”（第三部分，附录 D 半定量法，标准化的风险图表）以及：“W 参数是用来估计意外事件的发生频率的，条件是在没有任何附加的安全仪表系统（电气/电子/ 可编程电子或其他技术）但包含任何外部的风险消除设备的情况下。”（第三部分，附录 E 定性法，风险图表）一种遵循标准且被证明有效的近似是：1. 基于没有任何保护的情况，即：在使用 SIF 或任何机械保护之前，得出一个总体的风险消除（SIL）需求。2. 扣除机械设备的影响，通常安全阀相当于 SIL2（可用的故障率数据证明了其合理性，而且也被 BS IEC 61511，第三部分，附录 F 所支持）3. 需求的 SIL 等级就是在第一步中得到的等级减去 2（或机械保护相应的 SIL 等级）。这种近似的优势在于： 得出的结果一般与传统实践相一致。 既不假设机械设备完美无缺，也不假设其一无是处。 承认当总体的 SIL 需求高于机械设备 SIL 等级时，SIF 将需要具备 SIL 等级（如：总体需求 SIL3；安全阀可达 SIL2；则 SIF 需要 SIL1）。4.4 针对过程工业工厂的标准化在风险图表标准化之前，首先要确定使用的基准是： 个体风险（IR），通常针对在危险中暴露最多的那个人。 群体风险，针对暴露在危险中的群体，如工厂中的工人或附近的居民。 以上二者的某种组合。4.4.1 基于群体风险考虑将风险图表应用于指定工厂中工人的群体风险。假设工厂中有 20 个这样的功能，