导读安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。帮助大家在SIL认定的时候，有个清楚的思路和选择。>>>>SIL的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际使用频率非常低，比如汽车的如下两项功能：· 防抱死系统（ABS）。（当然，这跟司机也有关系）· 安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：· 刹车· 转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的：· 对于使用频率低者，事故频率由两个参数构成：1) 功能的使用频率2) 当使用时，该功能发生故障的概率——故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。· 对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。假设故障的发生呈指数分布，则MTTF与λ互为倒数。当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD  = λT/2 = T/(2xMTTF) 或者：RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。然而标准中对两种度量都使用相同的术语——SIL，定义见下表表1 – BS EN61508中低使用频率下的SIL定义SIL平均PFD范围RRF范围 ①410-5 ≤ PFD ＜ 10-4100000 ≥ RRF ＞ 10000310-4 ≤ PFD ＜ 10-310000 ≥ RRF ＞ 1000210-3 ≤ PFD ＜ 10-21000 ≥ RRF ＞ 100110-2 ≤ PFD ＜ 10-1100 ≥ RRF ＞ 10表2 – BS EN61508中高使用频率或持续运作下的SIL定义SILλ范围(每小时故障次数)MTTF范围(年) ②410-9  ≤λ＜  10-8100000  ≥ MTTF ＞  10000310-8  ≤λ＜  10-710000  ≥ MTTF ＞  1000210-7  ≤λ＜  10-61000  ≥ MTTF ＞  100110-6  ≤λ＜  10-5100  ≥ MTTF ＞  10在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则是故障速率的代表。（在标准中，高低使用频率的分界大体上被设置在每年一次，这与3到6个月的检验间隔是相符的。在很多情况下，要使检验间隔比这更短也不大可行。）现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周发生一次，约合25次每年，也就是高使用频率型；另一种大约10年发生一次，也就是低使用频率型。如果该功能的平均无故障时间为50年，那么对高频危险的保护将达到SIL1级别。同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。其他条件相同的情况下，对低频危险的防护等级实际上达到了：PFD = 0.04/(2x50) = 4 x 10-4   即：SIL3那么，该功能达到的SIL等级究竟为何呢？显然答案不是唯一的，而是取决于具体保护的危险，特别是危险发生的频率是高还是低。>>>>确定SIL需求的方法BS EN 61508 提供了三种确定SIL需求的方法：· 定量法。· 风险图表法，在标准中被作为定性方法。· 伤害事件严重性矩阵，在标准中同样被作为定性方法。BS IEC 61511 则提供了：· 半定量法。· 安全层级矩阵模型，被作为半定性方法。· 标准化风险图表法，在标准中被作为半定性方法，但业内也有些作为半定量方法。· 风险图表法，被作为定性方法。· 保护层级分析（LOPA）。（尽管标准并未指明是定性还是定量，但该方法是倾向于定量的。）风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业领域。风险图表法风险图表法广泛使用的原因将在下文中介绍。典型的风险图表见 图1。C为后果参数，CA-CD表示不同的后果等级。F为频率与暴露时间参数。P为避免伤害的可能性。W为无保护状态下，危险发生的速率。图中的参数可被给予定性的描述，如：CC ≡ 造成数人死亡。或定量的描述，如CC ≡ 发生死亡的概率为0.1到1.0。图1 – 典型的风险图表第一种定义规避了问题的实质：“数人”是多少人？在实际应用中，要评估SIL需求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。这些定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成半定量的了（或许是半定性？当然一定是在定量和定性两种极端之间的某个位置。）表3给出了一套典型的定义表3 – 风险图表参数的典型定义后果CA轻微伤害CB每次事故发生死亡的概率在0.01到0.1CC每次事故发生死亡的概率在0.1到1CD每次事故发生死亡的概率 > 1暴露时间FA＜ 10% 的时间FB≥ 10% 的时间伤害的可避免性/不可避免性PA＞ 90%可避免 / ＜ 10%不可避免PB≤ 90%可避免 / ≥ 10%不可避免发生速率W1低于30年一次W23到30年一次W30.3到3年一次1、优势：风险图表法具有如下优势：· 是一种半定性/半定量的方法不需要精确的伤害发生速率、后果以及其他参数的值不需要专业的计算或复杂的建模只要对应用领域心里“有谱”的 人就可以使用· 通常作为一种团队实践，类似于HAZOP[译注：危险与可操作性分析]个人偏见得以消除对于风险与危害的理解得以在团队成员间传播（如从设计、操作、维护等不同位置得出的理解）个人易忽视的问题得以被发现需要计划和制度· 不需要详细学习相对轻微的伤害可以相对较快的速度评估多种危害可作为一种有效的筛查工具用于识别：（1）需要更细致评估的危害（2）无需额外防护的轻度危害由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。2、残余风险范围的问题：考虑例子中的参数分别取：CC,FB,PB,W2，这样表示需要达到SIL3 的防护。CC ≡ 每次事故发生死亡的概率在0.1到1FB ≡暴露时间 ≥ 10%PB ≡ 伤害不可避免的可能性 ≥ 10%W2 ≡ 3到30年发生一次SIL3 ≡ 10000 ≥ RRF ≥ 1000假设所有参数均位于其范围的几何平均数处：后果 = √(0.1 x 1.0) = 每次事故发生死亡的概率为0.32暴露时间 = √(10%  x 100%) = 32%不可避免性 = √(10%  x 100%) = 32%发生速率 = √(3 x 30) ≈ 10年发生一次RRF = = √(1000 x 10000) ≈ 3200（注意：之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的）考虑不加保护的危害：风险最大值 = (1 x 100% x 100%)/3 ≈  每3年有一人因事故死亡风险几何平均值= (0.32 x 32% x 32%)/10 = 每300年有一人因事故死亡风险最小值 = (1 x 10% x 10%)/30 ≈  每30000年有一人因事故死亡即：不加保护的风险从最小到最大有着4个数量级之差。考虑加以SIL3级别的保护则：残余风险最大值≈ (3 x 1000) =  每3000年有一人因事故死亡残余风险几何平均值≈ (300 x 3200) ≈ 每100万年有一人因事故死亡残余风险最小值 ≈ (30000 x 10000) =  每3000万年有一人因事故死亡即：加以保护后的风险从最小到最大有着5个数量级之差。图2给出了基于平均情况的原理表示图2 – BS IEC 61511 中的风险消除模型对此单一的危害，一个合理的控制目标差不多在每10万年有一人因事故死亡。在最不利的情况下，我们只能达到目标值30分之一的风险消除程度；而平均情况下，能得到10倍于目标的风险消除程度；在最有利的情况下，能得到3000倍于目标的风险消除程度。当然，实际上不可能所有参数都处在极限值上，但总的来说，这种方法必须给出一个保守的结果，以免风险消除的需求被低估。管理残余风险范围中内在的不确定性以期得到一个保守结果的方法包括：· 校准图表，以使平均残余风险远低于目标值，如前所述。· 谨慎选择参数值，即对参数值的选取存在不确定时，选择偏保守者。· 仅当任何单一危害的平均残余风险在总体的风险控制目标中都只占很小的比例时，才应使用此方法。假设有许多不同的系统或功能对不同的危害进行保护，那么这些危害总的平均残余风险在总体的风险控制目标中将只占很小的比例，于是单一危害被低估了的残余风险在总体风险控制目标中占据的比例更小，而且在风险合并的时候，会和被高估了的危害相互抵偿掉。保守的结果同时也带来严重的成本上升，特别是当得出更高的SIL需求时。总结起来便是：·  评估SIL需求时，风险图表是一种非常有用但粗糙的工具。（一种方法，使用了5个参数——C、F、P、W、SIL，每一个的值都有一个数量级的范围，将不可避免地产生一个拥有5个数量级范围的结果。）·  必须在一个保守的基准上进行标准化，以免低估了未防护的风险以及风险消除量/保护需求度而带来的危险。·  只有当许多功能对于不同的危险进行保护，而这些危险各自只占总体危险的一小部分时，使用这种方法才最合适。此时，被高估和被低估的残余风险很可能就在合并时被平均掉。只有在这种情形下，说这种方法给出了一个“适当”且“充分”的，也因此才合法的风险评估才是实至名归。·  更高的SIL需求（SIL2+）导致严重抬高投资费用（用于冗余和严密的设计需求）和运营成本（用于为更多的设备进行严密的维护，以及用于对更多的设备进行定期检测）。这时就需要用一种更优良的方法重新评估了。保护层级分析（LOPA）LOPA是由美国化学工程师协会发展起来的一种用于评估SIF的SIL等级需求的方法（AIChemE 1993）.这种方法需要首先列出设施里所有的过程危害。这些危害可由HAZOP或其他危害识别方法识别出来。而对其进行的分析将根据：·  后果描述（“冲击事件描述”）·  后果严重性预估（“严重性级别”）·  对所有可能引起冲击事件的原因的描述（“诱发因素”）·  预估所有诱发因素发生的频率（“诱发概率”）严重性级别可以结合目标频率范围，以一种半定量的方式来表达（见表6），表6 – 严重级别与缓和事件目标频率的定义示例严重级别后果缓和事件目标概率轻度严重损伤是最坏的情况无特殊需求严重严重的永久性损伤到至多3人死亡低于3*10-6 每年或平均大于33万年发生一次扩大4到5人死亡低于2*10-6 每年或平均大于50万年发生一次灾难死亡5人以上使用F-N曲线或者可以表示为对损害进行的具体的定量估计，可以参考F-N曲线。类似地，诱发概率也可以半定量地表示（见表7），表7 – BS 诱发概率的定义示例诱发概率频率范围低低于1万年一次中100到1万年一次高高于100年一次或者可以表示为具体的定量估计。这种方法的优点在于，它承认在过程工业领域通常从诱发因素至其导致的冲击事件之间会有数个层次的保护。具体地，包括了：· 一般工艺流程设计。如：设计中可能会考虑到降低密封失效的概率或者在密封失效时降低着火的概率以降低火灾或爆炸事件的概率。·  基本过程控制系统（BPCS）。如：闭环控制故障可能是主要的诱发因素之一。然而，可能另外存在可避免冲击事件的独立控制环，从而降低事件发生的频率。·  报警。假设在BPCS之外有一独立的报警，当报警发生时，操作员有充分的时间来做出有效的响应动作（如“拉出”一个“把手”），如此，得益于报警的作用，冲击事件发生的概率得以降低。·  额外的缓和、限制措施。即使冲击事件已经发生，还可能有限制危险区域扩大的措施（相当于风险图表法中的F参数），或者从危险区域有效疏散的途径（相当于风险图表法中的P参数），这些都可以降低事件的严重性等级。·  独立的保护层级（IPL）。每个IPL都必须满足一些标准，包括RRF ≥ 100。安全阀和爆破片通常都可以达到。基于上述所有保护层级的诱发概率（频率）和PFD，可计算出一个介于诱发事件和冲击事件之间的中间事件发生概率（频率）。计算过程必须涵盖所有的诱发事件方可得出针对所有诱发事件总体的中间事件发生概率。此概率便可与缓和事件目标概率(频率)进行对比。至此，尚未将任何SIF纳入考量。而上述二者之比：中间事件发生概率 / 缓和事件目标概率即为SIF所需的RRF或（1/PFD）值，根据此值即可得出SIL需求。1、优势: LOPA法的优势在于：·  可被用作半定量法或定量法作为半定量时，与风险图表法有着许多相似的优势。作为定量法时，分析的逻辑仍可发展为一种团队实践，而相应的细节则可由专家在“线下”开发。·  明确了风险缓和因素，如报警和安全阀等，这些在风险图表法中是作为调节因素来体现的（如鉴于报警的存在而降低W参数的值，将安全阀的SIL等级从结果中扣除等）。·  对于高SIL功能可从从半定量分析提升至定量分析而无需改变形式。2、事后防护：过程设备中的有些功能是“事后”发挥作用的，即在密封失效之后，甚至起火之后或爆炸发生之后。火焰与燃气泄漏检测以及紧急关断是这种功能的典型代表。在评估这种功能的SIL需求时，表现出以下具体问题：·  由于是在事件发生之后操作，可能已经造成了无法挽回的结果。初始结果和后续结果之间必须是隔离的。·  取决于众多的中间事件，事情可能会发展升级成多种不同严重程度的最终结果。分析这些结果的可定能性是专家的任务，通常是基于事件树（图5）。图5 – 事后防护的事件树风险图表发并不适用于以下类型的评估：· 预期的使用频率非常低，如1000到10000年一次。这已经低于风险图表给出的范围了，即低于W1一到两个数量级。· 功能可能的最终结果，其范围非常之大，从单一人员受伤到大量死亡。当可能的结果存在于一个很大的范围时，使用风险图表这种粗糙的方法便很难称得上是“适当”且“充分”的。LOPA法则不存在这些问题，特别是用作定量法时。两种方法的优势与弊端总结如下：风险图表LOPA优势1、可相对快速地用于大量的功能以排除没有或几乎没有安全需求者，凸显安全需求强烈者。2、可以作为一种团队实践，涉及一系列的学科和专业知识。1、既可作为相对粗糙的过滤工具也可作为更精确的分析。2、可以作为一种团队实践，至少在半定量评估时。3、促进对所有相关风险缓和机制的识别并在评估时计入其影响。4、定量应用时，残余风险水平的不确定性得以降低，因此无需保守的评估。5、可用于评估事后功能的需求。弊端1、作为一种粗略的方法，只适合在在单一残余风险在总风险控制目标中占比很小的情况。2、需要经过多种方式的调整以计入报警和机械保护设备等其他风险缓和机制。3、不适用于事后功能。1、用于半定量分析时，较风险图表法为慢。2、不易作为团队实践，因其占用成员较多的时间以及不够直观。两种方法各有其用，但还是要谨慎地根据情况做出恰当的选择。