确定安全完整性等级需求的方法

《确定安全完整性等级需求的方法》由会员分享，可在线阅读，更多相关《确定安全完整性等级需求的方法（16页珍藏版）》请在金锄头文库上搜索。

1、确定安全完整性等级（SIL）需求的方法优势与弊端1 简介安全完整性等级（SIL）的概念是随着BS EN 61508的发展被引进的。对于具有安全功 能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能 否按预期执行相应功能的可信赖程度的一种度量。本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和 保护层级分析（LOPA）法并指出两种方法各自的优势和局限，特别是针对风险图表法。 同时也给何种情况下应选择何种方法的推荐标准。2 SIL 的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际 使用频率非常低，比如汽车的如下两项功能：

2、防抱死系统（ABS）。（当然，这跟司机也有关系） 安全气囊（ SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能 刹车 转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会 导致事故的发生？针对二者的答案是不同的： 对于使用频率低者，事故频率由两个参数构成：1）功能的使用频率2）当使用时，该功能发生故障的概率故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒 数则称为：风险消除因数（RRF）。 对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是 故障频率（入），或者平均无故障时间（MTTF）

3、。假设故障的发生呈指数 分布，则MTTF与入互为倒数。当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以 以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD =入 T/2 = T/（2xMTTF） 或者：RRF = 2/（入 T）或=（2xMTTF）/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率入以下，检验频率 1/T 应至少为正常使用频率的两倍，最好是能达到5 倍或更高。）但这两者却是不 同的量：PFD是一个概率，是无量纲量；入是一个速率，量纲是t-1。然而标准中对 两种度量都使用相同的术语一一SIL,定义见下表：表1- BS EN 61

4、508中低使用频率下的SIL定义SIL平均PFD范围RRF范围410-5 W PFD V 10-4100000 三 RRF 10000310-4 W PFD V 10-310000 三 RRF 1000210-3 W PFD V 10-21000 三 RRF 100110-2 W PFD V 10-1100 三 RRF 10表2 - BS EN 61508中高使用频率或持续运作下的SIL定义SIL入范围（每小时故障次数）MTTF范围（年）410-9 W 入 V 10-8100000 三 MTTF 10000310-8 W 入 V 10-710000 三 MTTF 1000210-7 W 入 V

5、 10-61000 三 MTTF 100110-6 W 入 V 10-5100 三 MTTF 10在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则 是故障速率的代表。（在标准中，高低使用频率的分界大体上被设置在每年一次， 这与3到 6个月的检验间隔是相符的。在很多情况下，要使检验间隔比这更短也不 大可行。）现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周 发生一次，约合25 次每年，也就是高使用频率型；另一种大约10 年发生一次，也 就是低使用频率型。如果该功能的平均无故障时间为50 年，那么对高频危险的保 护将达到 SIL1 级别。同时

6、，对于低频危险的保护来说，高频危险的发生有效地检 验了该功能。其他条件相同的情况下，对低频危险的防护等级实际上达到了：PFD = 0.04/（2x50） = 4 x 10-4 即：SIL3那么，该功能达到的SIL等级究竟为何呢？显然答案不是唯一的，而是取决于具体 保护的危险，特别是危险发生的频率是高还是低。 此栏并非标准中所定义，但通常 RRF 比 PFD 更易处理。 此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的 MTTF 值更有用，因 为在这里，时间更多地是以年来计，而不是小时。在前一种情况下，可以达到的 SIL 等级是由设备的内在属性决定的；后一种情况下 尽管设备的内在属性也

7、很重要，但是可以达到的SIL等级同样受检验制度的影响， 这在过程工业领域很重要。在这里，可达到的SIL等级易受现场设备（过程仪表以 及其他特别是末端设备如关断阀等）可靠性的影响。这些现场设备需要定期地检验 方能达到需求的 SIL 等级。每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是 容易混淆的。3 确定 SIL 需求的一些方法BS EN 61508提供了三种确定SIL需求的方法： 定量法。 风险图表法，在标准中被作为定性方法。 伤害事件严重性矩阵，在标准中同样被作为定性方法。BS IEC 61511则提供了： 半定量法。 安全层级矩阵模型，被作为半定性方法。 标准化风

8、险图表法，在标准中被作为半定性方法，但业内也有些作为半定 量方法。 风险图表法，被作为定性方法。保护层级分析（LOPA）。（尽管标准并未指明是定性还是定量，但该方法 是倾向于定量的。）风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业 领域。两者的优势和弊端以及应用范围是本文的主要议题。4 风险图表法风险图表法广泛使用的原因将在下文中介绍。典型的风险图表见图 1C为后果参数，CA-CD表示不同的后果等级。F 为频率与暴露时间参数。P 为避免伤害的可能性。W 为无保护状态下，危险发生的速率。图中的参数可被给予定性的描述，如：CC三造成数人死亡。或定量的描述，如CC三发生死

9、亡的概率为0.1到1.0。Startling pointfor risk reductionestimationP = Possibility of avoiding hazardW = Demand rate spuming no protectionC = Consequence parameterF = Frequencv and exposure=Na safety re quire merits u = No special safety requirements b = A single E/E/PE5 is noi sufficienr1,2, 3,4 = Safety Inte

10、grity Level图1 典型的风险图表第一种定义规避了问题的实质：“数人”是多少人？在实际应用中，要评估SIL需 求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。这些 定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成 半定量的了（或许是半定性？当然一定是在定量和定性两种极端之间的某个位置。）表3给出了一套典型的定义表3 -风险图表参数的典型定义后果CA轻微伤害CB每次事故发生死亡的概率在0.01到0.1CC每次事故发生死亡的概率在0.1到1CD每次事故发生死亡的概率 1暴露时间FaV 10%的时间Fb三10%的时间伤害的可避免性/不可避免性PA

11、90%可避免/ V 10%不可避免PBW 90%可避免/三10%不可避免发生速率W1低于30年次W23到30年一次W30.3到3年一次4.1 优势风险图表法具有如下优势： 是一种半定性/ 半定量的方法不需要精确的伤害发生速率、后果以及其他参数的值不需要专业的计算或复杂的建模 只要对应用领域心里“有谱”的人就可以使用 通常作为一种团队实践，类似于 HAZOP 译注：危险与可操作性分析个人偏见得以消除 对于风险与危害的理解得以在团队成员间传播(如从设计、操作、维护等 不同位置得出的理解)个人易忽视的问题得以被发现需要计划和制度 不需要详细学习相对轻微的伤害可以相对较快的速度评估多种危害可作为一种有

12、效的筛查工具用于识别：- 需要更细致评估的危害- 无需额外防护的轻度危害 由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。4.2残余风险范围的问题考虑例子中的参数分别取：CC，FB,PB,W2，这样表示需要达到SIL3的防护。CC三每次事故发生死亡的概率在0.1到1F三暴露时间三10%BPB三伤害不可避免的可能性三10%BW2三3到30年发生一次SIL3三 10000 三 RRF 三 1000假设所有参数均位于其范围的几何平均数处：后果=V (0.1 x 1.0)=每次事故发生死亡的概率为0.32 暴露时间=V (10% x 100%) = 32%不可避免性=V (10% x

13、100%) = 32%发生速率=V(3 x 30) 10年发生一次RRF = = V (1000 x 10000) 3200(注意：之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标 定的)考虑不加保护的危害：风险最大值=(1 x 100% x 100%)/3 每3年有一人因事故死亡 风险几何平均值= (0.32 x 32% x 32%)/10 =每300年有一人因事故死亡 风险最小值=(1 x 10% x 10%)/30 每30000年有一人因事故死亡即：不加保护的风险从最小到最大有着4 个数量级之差。考虑加以SIL3级别的保护则：残余风险最大值(3 x 1000)=每3000年有

14、一人因事故死亡残余风险几何平均值(300 x 3200)每100万年有一人因事故死亡残余风险最小值(30000 x 10000)=每3000万年有一人因事故死亡即：加以保护后的风险从最小到最大有着5 个数量级之差。图2给出了基于平均情况的原理表示图2 - BS IEC 61511中的风险消除模型 对此单一的危害，一个合理的控制目标差不多在每10 万年有一人因事故死亡。在 最不利的情况下，我们只能达到目标值 30 分之一的风险消除程度；而平均情况下 能得到10 倍于目标的风险消除程度；在最有利的情况下，能得到3000 倍于目标的 风险消除程度。当然，实际上不可能所有参数都处在极限值上，但总的来说

15、，这种 方法必须给出一个保守的结果，以免风险消除的需求被低估。管理残余风险范围中内在的不确定性以期得到一个保守结果的方法包括： 校准图表，以使平均残余风险远低于目标值，如前所述。 谨慎选择参数值，即对参数值的选取存在不确定时，选择偏保守者。 仅当任何单一危害的平均残余风险在总体的风险控制目标中都只占很小的比 例时，才应使用此方法。假设有许多不同的系统或功能对不同的危害进行保 护，那么这些危害总的平均残余风险在总体的风险控制目标中将只占很小的 比例，于是单一危害被低估了的残余风险在总体风险控制目标中占据的比例 更小，而且在风险合并的时候，会和被高估了的危害相互抵偿掉。保守的结果同时也带来严重的成本上升，特别是当得出更高的SIL需求时。4.3 在过程工业中的应用在过程工业中，风险图表被广泛用于评估各种跳闸、关断、泄放等功能高低压 力、