［编者按］　本刊“安全控制技术”栏目自２００５年开设以来，得到了广大读者的广泛关注与大力支持。

今年除了继续刊登这方面的优秀技术文章外，还特别增设一个板块“功能安全技术系列讲座”，共六讲，分别刊登在第一期至第六期，从功能安全的基本概念、方法、技术等各方面逐一深入讲解，使大家对功能安全有一个全面了解。

主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。

第三讲　基于风险的ＳＩＬ确定技术主讲人简介：冯晓升，全国工业过程测量与控制标准化技术委员会主任委员，教授级高工。

一九八二年毕业于浙江大学。

不仅是ＩＥＣ　ＴＣ６５　ＭＴ１３工作组的中国专家，参与ＩＥＣ　６１５０８标准维护工作，还是ＩＥＣ　ＴＣ６５　ＳＣ６５Ｃ　ＷＧ１２工作组的中国专家，参与工业控制网络功能安全标准ＩＥＣ　６１７８４－３的制定。

同时又是等同采用ＩＥＣ　６１５０８的中国国家标准ＧＢ／Ｔ　２０４３８．１～７的起草工作组组长，主持了国际功能安全标准的研究与中国国家标准ＧＢ／Ｔ　２０４３８．１～７的制定工作，对功能安全标准及技术有深入研究。

冯晓升（机械工业仪器仪表综合技术经济研究所，北京市 １０００５５）Fen g X iaosh en g(In strum en tation Tech n ology & E con om y In stitute, B eijin g 100055)Chapter 3: Confirmation Technology of SIL Based on RiskAbstract: T he paper explained th e confirm ation technology of S IL , and three m ethods to confirm th e S IL w ere given.Key words: S IL AL AR P【摘 要】【关键词】讲解基于风险的安全完整性等级确定技术，给出三种确定安全完整性等级的方法。

ＳＩＬ ＡＬＡＲＰＳＩＬ是安全相关系统的必备指标。

理论上，如何选择ＳＩＬ取决于原有设备（未加装安全相关系统前的设备）的安全程度和加装安全相关系统后希望达到的安全程度。

实际操作时可能还要考虑一些技术的经济的甚至政治的问题。

ＳＩＬ并非越高越好，但必须够用或起码能被接受。

ＳＩＬ越高，意味着经济支出和管理要求都会相应提高。

所以ＳＩＬ的选择要以合适为好。

图１是安全生命周期图。

ＳＩＬ的选择是基于前三个步骤的第四步骤。

前三个步骤主要解决确定保护范围，即确定ＥＵＣ的范围；找出危险源；评估危险源的风险；以及确定危险源的允许风险。

第四个步骤则是确定安全功能和安全功能的安全完整性等级，即ＳＩＬ。

第五个步骤是将安全功能分配给具体的安全相关系统，同时对每个安全相关系统分配安全完整性等级，即确定每个安全相关系统的ＳＩＬ。

下面就如何确定ＳＩＬ的理论性问题和有些操作的原理性方法进行一个简要的介绍。

在这之前，先搞清几个概念。

１）必要的风险降低必要的风险降低是降低风险来保证在特定情况下不超过允许风险。

必要的风险降低的概念在开发Ｅ／Ｅ／ＰＥ安全相关系统的安全要求方面非常重要（特别是安全要求中的安全完整性部分）。

确定特定危险事件的允许风险的目的是说明危险事件的频率和其特定后果。

安全相关系统是为减少危险事件的频率或危险事件的后果而设计的。

２）允许风险允许风险是根据当今社会的水准，在给定的范围内能够接受的风险。

允许风险应依据许多因素（如伤害的严重程度、暴露在危险中的人数、暴露在危险中的频率和持续时间等）决定。

对于一个特定应用，允许风险的构成应考虑以下方面：＊　相关权威安全法规的导则；＊　与应用有关的不同团体的讨论与协议；＊　工业标准。

国家标准和国际标准在确定特定应用的允许风险中起到越来越重要的作用；＊　国际讨论和协议；＊　来自咨询机构的最好的独立工业、专家和科学的建议；＊　通用的和直接与特定应用有关的法律要求。

３）ＥＵＣ风险ＥＵＣ风险是ＥＵＣ、ＥＵＣ控制系统和有关人为因素在特定危险事件中存在的风险——在确定这一风险时未考虑指定的安全防护特性。

４）残余风险残余风险是使用了Ｅ／Ｅ／ＰＥ安全相关系统、外部风险降低设施和其它技术安全相关系统后，　仍存在于ＥＵＣ的特定危险事件中的风险。

５）　风险和安全完整性正确区分并完全理解风险和安全完整性是非常重要的。

风险是对一个特定危险事件出现的概率和结果的估量，可以对不同情况的风险进行评价（ＥＵＣ风险、要求满足允许风险的风险、实际风险）。

允许风险根据社会基础和有关社会和政治因素的考虑来确定。

安全完整性只应用于Ｅ／Ｅ／ＰＥ安全相关系统、其它技术安全相关系统和外部风险降低设施，并作为这些系统在规定安全功能方面取得必要的风险降低概率的措施。

一旦确定了允许风险，并估计了必要的风险降低，就可分配安全相关系统的安全完整性要求。

安全相关系统在获取必要的风险降低方面所起的作用可由图２来说明。

图２ 风险降低的通用概念在这里ＥＵＣ风险是一个实际存在的值，允许风险是一个人为的值，两个值之间的差距是必要的风险降低。

从上面的概念中可以看出，　必要的风险降低是由安全相关系统来完成的，而安全相关系统的安全完整性必须与必要的风险降低相匹配。

ＥＵＣ风险是靠评估获得的，允许风险的确定一般会遵照一些原则。

下面介绍一个较常用的确定允许风险的思想方法，即合理可行的和允许风险的概念，这是取得允许风险的一个基本原理，ＡＬＡＲＰ原理。

图３描述了规定工业风险的主要方法。

图３ 允许风险和ＡＬＡＲＰ原理图图１ 安全生命周期图３中：ａ）　风险非常大，完全不可接受ｂ）　将产生或已产生的风险非常小，可以认为无关紧要ｃ）　风险介于上述ａ）和ｂ）之间，考虑接受风险带来的利益和任何进一步减小风险所需的成本，风险已被降低到可行的最低水平。

根据ｃ），ＡＬＡＲＰ原理要求任何风险必须降低到可行的合理水平或与可行的合理水平一样低（最后５个字构成了缩写的ＡＬＡＲＰ）。

如果风险介于两个极限值之间（即不可行的区域和广泛可接受的区域），并应用了ＡＬＡＲＰ原理，这样产生的风险即这种特定应用的允许风险。

在一定的水平之上，风险被认为是不允许的，并且不能在任何正常情况下进行判断。

低于这一水平，存在一个允许区域，在此范围内可采取将有关风险降低到可行的合理水平的措施，在这里允许不同于可接受。

其表明这样一种愿望，即允许存在风险以保证一定利益，同时又期望它保持在可检查并能被减小的范围内。

在此要求一个或清楚或含蓄地权衡成本和需要其它附加安全措施的成本。

风险越高，需用于减少风险的花费会成比例的加大。

在可允许的极限，应对获得的利益和不成比例的花费进行判断。

此处将实质定义允许风险，并对相应努力的同等要求进行判断，既使风险只减小了一点。

当风险较不明显时，也只需较小比例花费去减小风险，在允许区域的低值端，会达到成本与利益的平衡。

在低于允许区域，风险的水平被认为是非常不明显的，不需要进一步改善。

这是一个广泛接受区域，在此区域内风险小于我们每天会实际经历的风险，无需为论证ＡＬＡＲＰ进行细致工作。

但需提高警惕以确保风险维持在这一水平。

当采用定性或定量的风险目标时可使用ＡＬＡＲＰ的概念。

允许风险的确定：获得允许风险目标的一个方法是对于一系列确定的后果分配允许频率。

后果与允许频率的匹配应在有关机构中讨论并达成一致（如安全管理政府机构、产生风险的机构和承受风险的机构）。

考虑ＡＬＡＲＰ概念，后果与允许频率的匹配可通过风险等级确定。

表１是一系列后果和频率的四种风险等级（１、２、３、４）的示例。

表２使用ＡＬＡＲＰ概念解释了每一风险等级。

四种风险等级中的每一种描述都依据图３。

这些风险等级定义中的风险是采取风险降低措施后出现的风险。

根据图３，风险等级如下：＊　风险等级１在不允许区域；＊　风险等级２和３在ＡＬＡＲＰ区域，风险等级２正好在ＡＬＡＲＰ区域内；＊　风险等级４在广泛可接受区域。

对每一种规定的情况或可比较的工业领域，应考虑大量的社会、政治和经济因素，并开发类似于表１的表。

每一后果将与频率相匹配，并将风险等级填入表中。

例如，表１中的频率可指明很可能持续出现的事件可能被规定频率大于每年１０次。

一个危险的后果是个体死亡或大量严重伤害或严重职业病。

表１ 意外事件的风险等级示例表２ 风险等级解释确定了允许风险后，理论上就可以得出安全完整性等级了，但实际情况要复杂的多。

下面介绍几种方法。

１）安全完整性等级的确定：一种定量方法该方法描述了如何通过采用一种定量方法来确定安全完整性等级，并说明如何使用表１中的信息。

这种定量方法是一种特定值，即当以数据形式规定了允许风险（如一个特定的后果不能以大于１次／１０４年的频率出现）后，对安全相关系统的安全完整性等级的数字目标进行规定。

这里不是提供明确的方法而是说明一般原理。

一般方法：说明一般原理的模式已在图２中表示。

方法中的关键步骤如下（这些步骤需要对由Ｅ／Ｅ／ＰＥ安全相关系统实现的每一安全功能来实施）：＊　从类似表１的表中确定允许风险；＊　确定ＥＵＣ风险；＊　确定满足允许风险的必要的风险降低；＊　将必要的风险降低分配到Ｅ／Ｅ／ＰＥ安全相关系统、其它技术安全相关系统和外部风险降低设施。

表１应填入风险频率和规定的数字允许风险目标（Ｆｔ）。

与ＥＵＣ存在的风险有关的频率，包括ＥＵＣ控制系统和人的因素（ＥＵＣ风险），在没有任何防护因素时，可使用定量风险评估方法进行估计。

没有防护因素时危险事件可能出现的频率（Ｆｎｐ）是ＥＵＣ风险两个构成部分之一；另一构成部分是危险事件的后果。

Ｆｎｐ可由下确定：＊　从可比较的情况分析失效率；＊　有关数据库的数据；＊　使用适当的预计方法进行计算。

计算示例：图４提供了一个如何计算单一安全防护系统的目标安全完整性的示例。

对这一情况：ＰＦＤａｖｇ≤Ｆｔ／Ｆｎｐ式中：ＰＦＤａｖｇ——安全防护系统要求的失效平均概率，即低要求操作模式下操作的安全防护系统的安全完整性失效量；Ｆｔ——允许风险频率；Ｆｎｐ——对安全防护系统的要求率，即没有防护因素时危险事件可能出现的频率。

另外在图４中：＊　Ｃ是危险事件的后果＊　Ｆｐ是具有防护因素的风险频率可以看出，因为Ｆｎｐ与ＰＦＤａｖｇ的关系，以及由此引起的与安全防护系统的安全完整性等级的关系，可以确定ＥＵＣ的Ｆｎｐ是很重要的。

获得安全完整性等级（当后果Ｃ保持不变时）的必要步骤如下（图４所示），这是针对全部必要的风险降低是通过单一安全防护系统得到的情况，该安全防图４ 安全防护系统示例护系统必须将危险率从Ｆｎｐ至少减小至Ｆｔ：＊　确定不附加任何防护因素的ＥＵＣ风险的频率因素（Ｆｎｐ）；＊　确定不附加任何防护因素的后果Ｃ；＊　通过使用表１，确定无论频率还是后果是否达到允许风险等级。