确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。

对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。

很多功能的实际使用频率非常低，比如汽车的如下两项功能：∙防抱死系统（ABS）。

（当然，这跟司机也有关系）∙安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：∙刹车∙转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的：∙对于使用频率低者，事故频率由两个参数构成：1)功能的使用频率2)当使用时，该功能发生故障的概率——故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。

∙对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。

假设故障的发生呈指数分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。

最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD = λT/2 = T/(2xMTTF)或者：RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。

）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。

然而标准中对两种度量都使用相同的术语——SIL，定义见下表：表1 – BS EN 61508 中低使用频率下的SIL定义SIL平均PFD范围RRF范围①410-5≤ PFD ＜ 10-4100000 ≥ RRF ＞ 10000310-4≤ PFD ＜ 10-310000 ≥ RRF ＞ 1000210-3≤ PFD ＜ 10-21000 ≥ RRF ＞ 100110-2≤ PFD ＜ 10-1100 ≥ RRF ＞ 10表2 – BS EN 61508 中高使用频率或持续运作下的SIL定义SILλ范围(每小时故障次数)MTTF范围(年) ②410-9≤λ＜ 10-8100000 ≥ MTTF ＞ 10000310-8≤λ＜ 10-710000 ≥ MTTF ＞ 1000210-7≤λ＜ 10-61000 ≥ MTTF ＞ 100110-6≤λ＜ 10-5100 ≥ MTTF ＞ 10在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则是故障速率的代表。

（在标准中，高低使用频率的分界大体上被设置在每年一次，这与3到6个月的检验间隔是相符的。

在很多情况下，要使检验间隔比这更短也不大可行。

）现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周发生一次，约合25次每年，也就是高使用频率型；另一种大约10年发生一次，也就是低使用频率型。

如果该功能的平均无故障时间为50年，那么对高频危险的保护将达到SIL1级别。

同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。

其他条件相同的情况下，对低频危险的防护等级实际上达到了：PFD = 0.04/(2x50) = 4 x 10-4即：SIL3那么，该功能达到的SIL等级究竟为何呢？显然答案不是唯一的，而是取决于具体保护的危险，特别是危险发生的频率是高还是低。

①此栏并非标准中所定义，但通常RRF比PFD更易处理。

②此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的MTTF值更有用，因为在这里，时间更多地是以年来计，而不是小时。

在前一种情况下，可以达到的SIL等级是由设备的内在属性决定的；后一种情况下，尽管设备的内在属性也很重要，但是可以达到的SIL等级同样受检验制度的影响，这在过程工业领域很重要。

在这里，可达到的SIL等级易受现场设备（过程仪表以及其他特别是末端设备如关断阀等）可靠性的影响。

这些现场设备需要定期地检验方能达到需求的SIL等级。

每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是容易混淆的。

3确定SIL需求的一些方法BS EN 61508 提供了三种确定SIL需求的方法：∙定量法。

∙风险图表法，在标准中被作为定性方法。

∙伤害事件严重性矩阵，在标准中同样被作为定性方法。

BS IEC 61511 则提供了：∙半定量法。

∙安全层级矩阵模型，被作为半定性方法。

∙标准化风险图表法，在标准中被作为半定性方法，但业内也有些作为半定量方法。

∙风险图表法，被作为定性方法。

∙保护层级分析（LOPA）。

（尽管标准并未指明是定性还是定量，但该方法是倾向于定量的。

）风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业领域。

两者的优势和弊端以及应用范围是本文的主要议题。

4风险图表法风险图表法广泛使用的原因将在下文中介绍。

典型的风险图表见图1。

C为后果参数，C A-C D表示不同的后果等级。

F为频率与暴露时间参数。

P为避免伤害的可能性。

W为无保护状态下，危险发生的速率。

图中的参数可被给予定性的描述，如：C C≡造成数人死亡。

或定量的描述，如C C≡发生死亡的概率为0.1到1.0。

图1 – 典型的风险图表第一种定义规避了问题的实质：“数人”是多少人？在实际应用中，要评估SIL需求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。

这些定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成半定量的了（或许是半定性？当然一定是在定量和定性两种极端之间的某个位置。

）表3给出了一套典型的定义表3 – 风险图表参数的典型定义后果C A轻微伤害C B每次事故发生死亡的概率在0.01到0.1C C每次事故发生死亡的概率在0.1到1C D每次事故发生死亡的概率 > 1暴露时间F A＜ 10% 的时间F B≥ 10% 的时间伤害的可避免性/不可避免性P A＞ 90%可避免 / ＜ 10%不可避免P B≤ 90%可避免 / ≥ 10%不可避免发生速率W1低于30年一次W23到30年一次W30.3到3年一次4.1 优势风险图表法具有如下优势：∙是一种半定性/半定量的方法▪不需要精确的伤害发生速率、后果以及其他参数的值▪不需要专业的计算或复杂的建模▪只要对应用领域心里“有谱”的人就可以使用∙通常作为一种团队实践，类似于HAZOP[译注：危险与可操作性分析]▪个人偏见得以消除▪对于风险与危害的理解得以在团队成员间传播（如从设计、操作、维护等不同位置得出的理解）▪个人易忽视的问题得以被发现▪需要计划和制度∙不需要详细学习相对轻微的伤害▪可以相对较快的速度评估多种危害▪可作为一种有效的筛查工具用于识别：-需要更细致评估的危害-无需额外防护的轻度危害由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。

4.2 残余风险范围的问题考虑例子中的参数分别取：C C,F B,P B,W2，这样表示需要达到SIL3 的防护。

C C≡每次事故发生死亡的概率在0.1到1F B≡暴露时间≥ 10%P B≡伤害不可避免的可能性≥ 10%W2≡ 3到30年发生一次SIL3 ≡ 10000 ≥ RRF ≥ 1000假设所有参数均位于其范围的几何平均数处：后果 = √(0.1 x 1.0) = 每次事故发生死亡的概率为0.32暴露时间 = √(10% x 100%) = 32%不可避免性 = √(10% x 100%) = 32%发生速率 = √(3 x 30) ≈ 10年发生一次RRF = = √(1000 x 10000) ≈ 3200（注意：之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的）考虑不加保护的危害：风险最大值 = (1 x 100% x 100%)/3 ≈每3年有一人因事故死亡风险几何平均值= (0.32 x 32% x 32%)/10 = 每300年有一人因事故死亡风险最小值 = (1 x 10% x 10%)/30 ≈每30000年有一人因事故死亡即：不加保护的风险从最小到最大有着4个数量级之差。

考虑加以SIL3级别的保护则：残余风险最大值≈ (3 x 1000) = 每3000年有一人因事故死亡残余风险几何平均值≈ (300 x 3200) ≈每100万年有一人因事故死亡残余风险最小值≈ (30000 x 10000) = 每3000万年有一人因事故死亡即：加以保护后的风险从最小到最大有着5个数量级之差。

图2给出了基于平均情况的原理表示图2 – BS IEC 61511 中的风险消除模型。