確定安全完整性等級(SIL)需求的方法

1、確定安全完整性等級(SIL)需求的方法優(yōu)勢與弊端1 簡介安全完整性等級(SIL)的概念是隨著BS EN 61508的發(fā)展被引進(jìn)的。對于具有安全功能的系統(tǒng)，SIL是對其質(zhì)量或者說靠性進(jìn)行的一種度量，具體來說，就是對系統(tǒng)能否按預(yù)期執(zhí)行相應(yīng)功能的可信賴程度的一種度量。本文主要討論在過程工業(yè)設(shè)備領(lǐng)域流行的兩種確定SIL需求的方法：風(fēng)險(xiǎn)圖表法和保護(hù)層級分析(LOPA)法并指出兩種方法各自的優(yōu)勢和局限，特別是針對風(fēng)險(xiǎn)圖表法。同時(shí)也給何種情況下應(yīng)選擇何種方法的推薦標(biāo)準(zhǔn)。2 SIL的定義相關(guān)標(biāo)準(zhǔn)承認(rèn)，不同的安全功能，其所需的運(yùn)作方式也迥然不同。很多功能的實(shí)際使用頻率非常低，比如汽車的如下兩項(xiàng)功能：·

2、 防抱死系統(tǒng)（ABS）。（當(dāng)然，這跟司機(jī)也有關(guān)系）· 安全氣囊（SRS）另一方面，有些功能的使用頻率很高，甚至是持續(xù)運(yùn)作的，比如汽車的這兩項(xiàng)功能：· 剎車· 轉(zhuǎn)向如此，一個(gè)根本性的問題便是：這兩種類型的功能，其發(fā)生故障的頻度達(dá)到多大會(huì)導(dǎo)致事故的發(fā)生？針對二者的答案是不同的：· 對于使用頻率低者，事故頻率由兩個(gè)參數(shù)構(gòu)成：1) 功能的使用頻率2) 當(dāng)使用時(shí)，該功能發(fā)生故障的概率故障概率（PFD）因此，這種情況下，PFD便能恰當(dāng)?shù)睾饬吭摴δ艿男阅鼙憩F(xiàn)，而PFD的倒數(shù)則稱為：風(fēng)險(xiǎn)消除因數(shù)（RRF）。· 對于使用頻率高者，或持續(xù)運(yùn)作的功能，能恰當(dāng)?shù)睾饬科?/p>

3、表現(xiàn)的數(shù)據(jù)則是故障頻率（），或者平均無故障時(shí)間（MTTF）。假設(shè)故障的發(fā)生呈指數(shù)分布，則MTTF與互為倒數(shù)。當(dāng)然，以上的兩種表達(dá)方式并不是獨(dú)立的，而是相互關(guān)聯(lián)的。最簡單地，假設(shè)可以以一個(gè)比正常使用頻率高的頻度對某功能進(jìn)行檢驗(yàn)，則以下關(guān)系成立：PFD = T/2 = T/(2xMTTF)或者：RRF = 2/( T) 或 = (2xMTTF)/T其中T是檢驗(yàn)間隔（注意：若要將事故速率顯著降低到故障速率以下，檢驗(yàn)頻率1/T應(yīng)至少為正常使用頻率的兩倍，最好是能達(dá)到5倍或更高。）但這兩者卻是不同的量：PFD是一個(gè)概率，是無量綱量；是一個(gè)速率，量綱是t-1 。然而標(biāo)準(zhǔn)中對兩種度量都使用相同的術(shù)語SIL，

4、定義見下表：表1 BS EN 61508 中低使用頻率下的SIL定義SIL平均PFD范圍RRF范圍 410-5 PFD 10-4100000 RRF 10000310-4 PFD 10-310000 RRF 1000210-3 PFD 10-21000 RRF 100110-2 PFD 10-1100 RRF 10表2 BS EN 61508 中高使用頻率或持續(xù)運(yùn)作下的SIL定義SIL范圍(每小時(shí)故障次數(shù))MTTF范圍(年) 410-9 10-8100000 MTTF 10000310-8 10-710000 MTTF 1000210-7 10-61000 MTTF 100110-6 10-5

5、100 MTTF 10在低使用頻率模式下，SIL是PFD的代表；在高使用頻率或持續(xù)運(yùn)作模式下，SIL則是故障速率的代表。（在標(biāo)準(zhǔn)中，高低使用頻率的分界大體上被設(shè)置在每年一次，這與3到6個(gè)月的檢驗(yàn)間隔是相符的。在很多情況下，要使檢驗(yàn)間隔比這更短也不大可行。）現(xiàn)在，考慮有這樣一項(xiàng)功能，它可以同時(shí)對兩種危險(xiǎn)進(jìn)行保護(hù)：其中一種平均兩周發(fā)生一次，約合25次每年，也就是高使用頻率型；另一種大約10年發(fā)生一次，也就是低使用頻率型。如果該功能的平均無故障時(shí)間為50年，那么對高頻危險(xiǎn)的保護(hù)將達(dá)到SIL1級別。同時(shí)，對于低頻危險(xiǎn)的保護(hù)來說，高頻危險(xiǎn)的發(fā)生有效地檢驗(yàn)了該功能。其他條件相同的情況下，對低頻危險(xiǎn)的防護(hù)等

6、級實(shí)際上達(dá)到了：PFD = 0.04/(2x50) = 4 x 10-4 即：SIL3那么，該功能達(dá)到的SIL等級究竟為何呢？顯然答案不是唯一的，而是取決于具體保護(hù)的危險(xiǎn)，特別是危險(xiǎn)發(fā)生的頻率是高還是低。 此欄并非標(biāo)準(zhǔn)中所定義，但通常RRF比PFD更易處理。 此欄并非標(biāo)準(zhǔn)中所定義，但作者發(fā)現(xiàn)在過程工業(yè)領(lǐng)域，這些近似的MTTF值更有用，因?yàn)樵谶@里，時(shí)間更多地是以年來計(jì)，而不是小時(shí)。在前一種情況下，可以達(dá)到的SIL等級是由設(shè)備的內(nèi)在屬性決定的；后一種情況下，盡管設(shè)備的內(nèi)在屬性也很重要，但是可以達(dá)到的SIL等級同樣受檢驗(yàn)制度的影響，這在過程工業(yè)領(lǐng)域很重要。在這里，可達(dá)到的SIL等級易受現(xiàn)場設(shè)備（過程

7、儀表以及其他特別是末端設(shè)備如關(guān)斷閥等）可靠性的影響。這些現(xiàn)場設(shè)備需要定期地檢驗(yàn)方能達(dá)到需求的SIL等級。每天和標(biāo)準(zhǔn)打交道的人可能對這些定義的區(qū)別非常了解，但對于偶爾使用的人還是容易混淆的。3 確定SIL需求的一些方法BS EN 61508 提供了三種確定SIL需求的方法：· 定量法。· 風(fēng)險(xiǎn)圖表法，在標(biāo)準(zhǔn)中被作為定性方法。· 傷害事件嚴(yán)重性矩陣，在標(biāo)準(zhǔn)中同樣被作為定性方法。BS IEC 61511 則提供了：· 半定量法。· 安全層級矩陣模型，被作為半定性方法。· 標(biāo)準(zhǔn)化風(fēng)險(xiǎn)圖表法，在標(biāo)準(zhǔn)中被作為半定性方法，但業(yè)內(nèi)也有些作為半定量方法

8、。· 風(fēng)險(xiǎn)圖表法，被作為定性方法。· 保護(hù)層級分析（LOPA）。（盡管標(biāo)準(zhǔn)并未指明是定性還是定量，但該方法是傾向于定量的。）風(fēng)險(xiǎn)圖表法和保護(hù)層級分析是兩種流行的確定SIL需求的方法，特別是在過程工業(yè)領(lǐng)域。兩者的優(yōu)勢和弊端以及應(yīng)用范圍是本文的主要議題。4 風(fēng)險(xiǎn)圖表法風(fēng)險(xiǎn)圖表法廣泛使用的原因?qū)⒃谙挛闹薪榻B。典型的風(fēng)險(xiǎn)圖表見 圖1。C為后果參數(shù)，CA-CD表示不同的后果等級。F為頻率與暴露時(shí)間參數(shù)。P為避免傷害的可能性。W為無保護(hù)狀態(tài)下，危險(xiǎn)發(fā)生的速率。圖中的參數(shù)可被給予定性的描述，如：CC 造成數(shù)人死亡?；蚨康拿枋?，如CC 發(fā)生死亡的概率為0.1到1.0。圖1 典型的風(fēng)險(xiǎn)圖表

9、第一種定義規(guī)避了問題的實(shí)質(zhì)：“數(shù)人”是多少人？在實(shí)際應(yīng)用中，要評估SIL需求是非常困難的，除非有一套公認(rèn)的，以定量范圍的術(shù)語給出的參數(shù)值定義。這些定義可能按照評估機(jī)構(gòu)的風(fēng)險(xiǎn)準(zhǔn)則標(biāo)準(zhǔn)化過，也可能沒有，但這里，方法已經(jīng)變成半定量的了（或許是半定性？當(dāng)然一定是在定量和定性兩種極端之間的某個(gè)位置。）表3給出了一套典型的定義表3 風(fēng)險(xiǎn)圖表參數(shù)的典型定義后果CA輕微傷害CB每次事故發(fā)生死亡的概率在0.01到0.1CC每次事故發(fā)生死亡的概率在0.1到1CD每次事故發(fā)生死亡的概率 > 1暴露時(shí)間FA 10% 的時(shí)間FB 10% 的時(shí)間傷害的可避免性/不可避免性PA 90%可避免 / 10%不可避免PB

10、90%可避免 / 10%不可避免發(fā)生速率W1低于30年一次W23到30年一次W30.3到3年一次4.1 優(yōu)勢風(fēng)險(xiǎn)圖表法具有如下優(yōu)勢：· 是一種半定性/半定量的方法§ 不需要精確的傷害發(fā)生速率、后果以及其他參數(shù)的值§ 不需要專業(yè)的計(jì)算或復(fù)雜的建模§ 只要對應(yīng)用領(lǐng)域心里“有譜”的 人就可以使用· 通常作為一種團(tuán)隊(duì)實(shí)踐，類似于HAZOP譯注：危險(xiǎn)與可操作性分析§ 個(gè)人偏見得以消除§ 對于風(fēng)險(xiǎn)與危害的理解得以在團(tuán)隊(duì)成員間傳播（如從設(shè)計(jì)、操作、維護(hù)等不同位置得出的理解）§ 個(gè)人易忽視的問題得以被發(fā)現(xiàn)§ 需要計(jì)劃和制

11、度· 不需要詳細(xì)學(xué)習(xí)相對輕微的傷害§ 可以相對較快的速度評估多種危害§ 可作為一種有效的篩查工具用于識別：- 需要更細(xì)致評估的危害- 無需額外防護(hù)的輕度危害由此可使資源和維護(hù)成本投向更有效的方向，生命周期成本也得以優(yōu)化。4.2 殘余風(fēng)險(xiǎn)范圍的問題考慮例子中的參數(shù)分別?。篊C,FB,PB,W2，這樣表示需要達(dá)到SIL3 的防護(hù)。CC 每次事故發(fā)生死亡的概率在0.1到1FB 暴露時(shí)間 10%PB 傷害不可避免的可能性 10% W2 3到30年發(fā)生一次SIL3 10000 RRF 1000假設(shè)所有參數(shù)均位于其范圍的幾何平均數(shù)處：后果 = (0.1 x 1.0) = 每次

12、事故發(fā)生死亡的概率為0.32暴露時(shí)間 = (10% x 100%) = 32%不可避免性 = (10% x 100%) = 32%發(fā)生速率 = (3 x 30) 10年發(fā)生一次RRF = = (1000 x 10000) 3200（注意：之所以用幾何平均數(shù)是因?yàn)轱L(fēng)險(xiǎn)圖表的參數(shù)實(shí)際上是按對數(shù)坐標(biāo)來標(biāo)定的）考慮不加保護(hù)的危害：風(fēng)險(xiǎn)最大值 = (1 x 100% x 100%)/3 每3年有一人因事故死亡風(fēng)險(xiǎn)幾何平均值= (0.32 x 32% x 32%)/10 = 每300年有一人因事故死亡風(fēng)險(xiǎn)最小值 = (1 x 10% x 10%)/30 每30000年有一人因事故死亡即：不加保護(hù)的風(fēng)險(xiǎn)從最

13、小到最大有著4個(gè)數(shù)量級之差?？紤]加以SIL3級別的保護(hù)則：殘余風(fēng)險(xiǎn)最大值 (3 x 1000) = 每3000年有一人因事故死亡殘余風(fēng)險(xiǎn)幾何平均值 (300 x 3200) 每100萬年有一人因事故死亡殘余風(fēng)險(xiǎn)最小值 (30000 x 10000) = 每3000萬年有一人因事故死亡即：加以保護(hù)后的風(fēng)險(xiǎn)從最小到最大有著5個(gè)數(shù)量級之差。圖2給出了基于平均情況的原理表示圖2 BS IEC 61511 中的風(fēng)險(xiǎn)消除模型對此單一的危害，一個(gè)合理的控制目標(biāo)差不多在每10萬年有一人因事故死亡。在最不利的情況下，我們只能達(dá)到目標(biāo)值30分之一的風(fēng)險(xiǎn)消除程度；而平均情況下，能得到10倍于目標(biāo)的風(fēng)險(xiǎn)消除程度；在最

14、有利的情況下，能得到3000倍于目標(biāo)的風(fēng)險(xiǎn)消除程度。當(dāng)然，實(shí)際上不可能所有參數(shù)都處在極限值上，但總的來說，這種方法必須給出一個(gè)保守的結(jié)果，以免風(fēng)險(xiǎn)消除的需求被低估。管理殘余風(fēng)險(xiǎn)范圍中內(nèi)在的不確定性以期得到一個(gè)保守結(jié)果的方法包括：· 校準(zhǔn)圖表，以使平均殘余風(fēng)險(xiǎn)遠(yuǎn)低于目標(biāo)值，如前所述。· 謹(jǐn)慎選擇參數(shù)值，即對參數(shù)值的選取存在不確定時(shí)，選擇偏保守者。· 僅當(dāng)任何單一危害的平均殘余風(fēng)險(xiǎn)在總體的風(fēng)險(xiǎn)控制目標(biāo)中都只占很小的比例時(shí)，才應(yīng)使用此方法。假設(shè)有許多不同的系統(tǒng)或功能對不同的危害進(jìn)行保護(hù)，那么這些危害總的平均殘余風(fēng)險(xiǎn)在總體的風(fēng)險(xiǎn)控制目標(biāo)中將只占很小的比例，于是單一危害被低

15、估了的殘余風(fēng)險(xiǎn)在總體風(fēng)險(xiǎn)控制目標(biāo)中占據(jù)的比例更小，而且在風(fēng)險(xiǎn)合并的時(shí)候，會(huì)和被高估了的危害相互抵償?shù)?。保守的結(jié)果同時(shí)也帶來嚴(yán)重的成本上升，特別是當(dāng)?shù)贸龈叩腟IL需求時(shí)。4.3 在過程工業(yè)中的應(yīng)用在過程工業(yè)中，風(fēng)險(xiǎn)圖表被廣泛用于評估各種跳閘、關(guān)斷、泄放等功能高低壓力、溫度、液位、流量等等，這些在典型的過程工業(yè)工廠中經(jīng)常能見到。在這個(gè)應(yīng)用領(lǐng)域中，前文所述的優(yōu)勢十分確切，而且將許多功能的風(fēng)險(xiǎn)進(jìn)行合并也是行得通的。圖3 高壓關(guān)斷功能圖3 表示了一個(gè)典型的功能。目標(biāo)是評估其裝備的超壓力關(guān)斷功能（在BS IEC 61511的術(shù)語中，這被稱為一種“安全儀表功能”(SIF)，其是由“安全儀表系統(tǒng)”(SIS)

16、來實(shí)現(xiàn)的）。隨即產(chǎn)生的一個(gè)問題便是：容器上的安全閥同樣對其進(jìn)行超壓保護(hù)，在類似這種情況下采用典型的風(fēng)險(xiǎn)圖表時(shí)，該如何處理這個(gè)安全閥？這種有SIF備份的機(jī)械保護(hù)很常見?？蛇x的處理方式有三種：· 假設(shè)安全閥總能正常動(dòng)作。· 假設(shè)安全閥總是不動(dòng)作。· 以上二者之間。UKOOA譯注：英國海上作業(yè)者協(xié)會(huì)導(dǎo)則（KUOOA 1999）推薦第一種方式，但故障率數(shù)據(jù)無法證明其合理性。第二種方式則易導(dǎo)致SIL需求被高估從而致使成本上升，因此不被推薦。相關(guān)標(biāo)準(zhǔn)給出的指導(dǎo)意見見表4。表4 標(biāo)準(zhǔn)中關(guān)于在使用風(fēng)險(xiǎn)圖表時(shí)如何處理“其他技術(shù)的安全相關(guān)系統(tǒng)”的指導(dǎo)意見BS EN 61508BS I

17、EC 61511“W參數(shù)是用來估計(jì)意外事件的發(fā)生頻率的，條件是在沒有任何附加的安全相關(guān)系統(tǒng)（電氣/電子/可編程電子或其他技術(shù)）但包含任何外部的風(fēng)險(xiǎn)消除設(shè)備的情況下?！保ǖ谖宀糠?，附錄D 一種定性的方法：風(fēng)險(xiǎn)圖表）（安全閥顯然屬于“其他技術(shù)的安全相關(guān)設(shè)備”）“W 考慮沒有安全儀表功能的情況下，每年發(fā)生危害事件的次數(shù)。考慮所有可導(dǎo)致危害事件的故障并估計(jì)總的發(fā)生速率即可得出該數(shù)值。其他層面的保護(hù)應(yīng)被考慮到其中?！保ǖ谌糠?，附錄D 半定量法，標(biāo)準(zhǔn)化的風(fēng)險(xiǎn)圖表）“W參數(shù)是用來估計(jì)沒有SIS加入的情況下意外事件的發(fā)生頻率的”（第三部分，附錄D 半定量法，標(biāo)準(zhǔn)化的風(fēng)險(xiǎn)圖表）以及：“W參數(shù)是用來估計(jì)意外事件

18、的發(fā)生頻率的，條件是在沒有任何附加的安全儀表系統(tǒng)（電氣/電子/可編程電子或其他技術(shù)）但包含任何外部的風(fēng)險(xiǎn)消除設(shè)備的情況下?！保ǖ谌糠?，附錄E 定性法，風(fēng)險(xiǎn)圖表）一種遵循標(biāo)準(zhǔn)且被證明有效的近似是：1. 基于沒有任何保護(hù)的情況，即：在使用SIF或任何機(jī)械保護(hù)之前，得出一個(gè)總體的風(fēng)險(xiǎn)消除（SIL）需求。2. 扣除機(jī)械設(shè)備的影響，通常安全閥相當(dāng)于SIL2（可用的故障率數(shù)據(jù)證明了其合理性，而且也被BS IEC 61511，第三部分，附錄F所支持）3. 需求的SIL等級就是在第一步中得到的等級減去2（或機(jī)械保護(hù)相應(yīng)的SIL等級）。這種近似的優(yōu)勢在于：· 得出的結(jié)果一般與傳統(tǒng)實(shí)踐相一致。

19、3; 既不假設(shè)機(jī)械設(shè)備完美無缺，也不假設(shè)其一無是處。· 承認(rèn)當(dāng)總體的SIL需求高于機(jī)械設(shè)備SIL等級時(shí)，SIF將需要具備SIL等級（如：總體需求SIL3；安全閥可達(dá)SIL2；則SIF需要SIL1）。4.4 針對過程工業(yè)工廠的標(biāo)準(zhǔn)化在風(fēng)險(xiǎn)圖表標(biāo)準(zhǔn)化之前，首先要確定使用的基準(zhǔn)是：· 個(gè)體風(fēng)險(xiǎn)（IR），通常針對在危險(xiǎn)中暴露最多的那個(gè)人。· 群體風(fēng)險(xiǎn)，針對暴露在危險(xiǎn)中的群體，如工廠中的工人或附近的居民。· 以上二者的某種組合。4.4.1 基于群體風(fēng)險(xiǎn)考慮將風(fēng)險(xiǎn)圖表應(yīng)用于指定工廠中工人的群體風(fēng)險(xiǎn)。假設(shè)工廠中有20個(gè)這樣的功能，那么，基于幾何平均數(shù)的殘余風(fēng)險(xiǎn)（每10

20、0萬年有1人因事故死亡），總的風(fēng)險(xiǎn)則為每5萬年有1人因事故死亡。將此結(jié)果與公布的風(fēng)險(xiǎn)可接受度準(zhǔn)則相對比。HSE譯注：健康、安全和環(huán)境管理體系建議：每5000年發(fā)生一次50人死亡的事故，這種風(fēng)險(xiǎn)是不可容忍的(HSE Books 2001)。在涉及主要工業(yè)設(shè)施的風(fēng)險(xiǎn)時(shí)，HSE參考了“危險(xiǎn)品運(yùn)輸中的主要風(fēng)險(xiǎn)”（HMSO譯注：危險(xiǎn)品儲(chǔ)存條例 1991），特別是其中的的F-N曲線（圖4）?？梢钥吹?，HSE認(rèn)為不可接受的“每5000年發(fā)生一次50人死亡的事故”剛好落在“本地警戒線”上。由此我們可以推斷：每100年有一人因事故死亡也同樣是不可接受的。同時(shí)，每10000年有一人因事故死亡則是“可廣泛被接受”的

21、邊界。因此我們的目標(biāo)應(yīng)該定在“每1000年因事故死亡的人數(shù)少于1人”。如此，在SIF保護(hù)下總的風(fēng)險(xiǎn)(每5萬年有1人因事故死亡)僅為總體風(fēng)險(xiǎn)控制目標(biāo)的2%，這為其他與SIF無關(guān)的危害留下了非常大的余地。然而，我們可能會(huì)選擇保留這種保守的附加元素以進(jìn)一步補(bǔ)償這種方法固有的不確定性。要計(jì)算在此標(biāo)準(zhǔn)化中的平均IR，先假設(shè)總共有50人定期暴露在此危險(xiǎn)中（即：在此輪班的所有工人之和）。那么，在SIF保護(hù)下，每年每5萬人中有1人因事故死亡的風(fēng)險(xiǎn)將分散到這些人頭上，因此，平均IR便是每年每250萬人中有1人因事故死亡.圖4 探討運(yùn)輸中的主要風(fēng)險(xiǎn)時(shí)的F-N曲線將此IR對比R2P2譯注：消除風(fēng)險(xiǎn)，保護(hù)人員(HSE

22、 Books 2001)中公布的標(biāo)準(zhǔn)：· 不可接受 =每年每1000人中有1人因事故死亡（指工人）· 廣泛接受=每年每100萬人中有1人因事故死亡因此我們針對IR的所有危害總體風(fēng)險(xiǎn)控制目標(biāo)可能定在“每年每5萬人中少于1人因事故死亡”。這樣，在SIF保護(hù)下總的風(fēng)險(xiǎn)又僅為總體風(fēng)險(xiǎn)控制目標(biāo)的2%，為其他危害留下了非常大的余地。我們或許能得出這樣的結(jié)論：此圖表在評估工人的平均個(gè)體風(fēng)險(xiǎn)時(shí)被過度標(biāo)準(zhǔn)化了。C和W參數(shù)的范圍可用來調(diào)節(jié)這種標(biāo)準(zhǔn)化。（F和P參數(shù)分別只有兩檔可選，而且FA和PA都表示風(fēng)險(xiǎn)降低至少10倍。）典型地，參數(shù)范圍可被上調(diào)或下調(diào)半個(gè)數(shù)量級。當(dāng)然，工廠的運(yùn)營組織可能會(huì)有自己

23、的風(fēng)險(xiǎn)標(biāo)準(zhǔn)，或許比R2P2和探討運(yùn)輸中的主要風(fēng)險(xiǎn)里的標(biāo)準(zhǔn)更嚴(yán)。4.4.2 基于暴露最多者的個(gè)體風(fēng)險(xiǎn)要針對暴露最多者來標(biāo)準(zhǔn)化風(fēng)險(xiǎn)圖表，就必須指出這個(gè)“暴露最多者”是誰，至少以其在工廠中的崗位和角色來表示。C參數(shù)的值必須根據(jù)對此個(gè)體的后果來定義，如：CA 輕度傷害CB 單次事故死亡的概率約為0.01CC 單次事故死亡的概率約為0.1CD 幾乎必死無疑暴露參數(shù)F的值必須根據(jù)此人的工作時(shí)間來定義，如：FA 暴露于危險(xiǎn)中的時(shí)間 10% 的工作時(shí)間FB 暴露于危險(xiǎn)中的時(shí)間 10% 的工作時(shí)間鑒于此人用于工作的時(shí)間僅占其生命的約20%，其潛在的風(fēng)險(xiǎn)僅有對SIF需求的20%。因此，再次使用CCFBPB和W2：

24、CC 單次事故死亡的概率約為0.1FB 暴露時(shí)間 10% 的工作周或年P(guān)B 有10% 到100% 的危害不可避免W2 3到30年發(fā)生一次SIL3 1000 RRF 10000考慮不加保護(hù)的危害：風(fēng)險(xiǎn)最大值 = 20% x (0.1 x 100% x 100%) * 每年因事故死亡的概率為1/3= 每年因事故死亡的概率約為1/150風(fēng)險(xiǎn)幾何平均值 = 20% x (0.1 x 100% x 100%) * 每年因事故死亡的概率為1/10= 每年因事故死亡的概率約為1/4700風(fēng)險(xiǎn)最小值 = 20% x (0.1 x 100% x 100%) * 每年因事故死亡的概率為1/30= 每年因事故死亡的

25、概率約為1/15萬考慮加以SIL3級別的保護(hù)則：殘余風(fēng)險(xiǎn)最大值= 每年因事故死亡的概率約為1/15萬殘余風(fēng)險(xiǎn)幾何平均值= 每年因事故死亡的概率約為1/1500萬殘余風(fēng)險(xiǎn)最小值 = 每年因事故死亡的概率約為1/15億假設(shè)此人暴露于10種受SIF保護(hù)的危險(xiǎn)之中（即總共20種之中的一半），那么，基于幾何平均數(shù)的殘余風(fēng)險(xiǎn)，其從中獲得的總的風(fēng)險(xiǎn)為：每年因事故死亡的概率約為1/150萬，這僅為所有危害總體IR控制目標(biāo)1/50000的3.3%，因此也為其他與SIF無關(guān)的危害留下了非常大的余地。我們或許能得出這樣的結(jié)論：此圖表在評估我們假設(shè)的暴露最多者的風(fēng)險(xiǎn)時(shí)也被過度標(biāo)準(zhǔn)化了，但我們可以選擇保留這種保守的附加

26、元素。（注意，此圖表與前文中評估群體風(fēng)險(xiǎn)的圖表并不相同，因?yàn)?，盡管我們保留了這種形式，但我們用了另一組不同的參數(shù)定義。）在以上的定義中，C參數(shù)的值并不適合調(diào)整，所以，在這種情況下，只有W參數(shù)的范圍可被調(diào)整以重新標(biāo)準(zhǔn)化該圖表。我們可能像這樣改變W參數(shù)的范圍：W1 低于10年一次W2 1到10年發(fā)生一次W3 不到1年發(fā)生一次4.5 典型結(jié)果正如人們所預(yù)計(jì)的那樣，不同的設(shè)施，在其中被評估為需要SIL等級的功能，其數(shù)量相差懸殊。但表5給出了對一相當(dāng)?shù)湫偷慕Ｌ烊粴馄脚_(tái)評估得出的大體結(jié)果。表5 典型的SIL評估結(jié)果SIL功能數(shù)量占總量百分比4321無001182810%0%0.3%6.0%93.7%合計(jì)

27、300100%典型地，可能會(huì)有一項(xiàng)SIL3的需求，而SIL4需求則非常罕見。這些數(shù)字表明，以上為評估風(fēng)險(xiǎn)圖表的標(biāo)準(zhǔn)化而做的假設(shè)是合理的。4.6 討論以上發(fā)現(xiàn)的問題總結(jié)起來便是：· 評估SIL需求時(shí)，風(fēng)險(xiǎn)圖表是一種非常有用但粗糙的工具。（一種方法，使用了5個(gè)參數(shù)C、F、P、W、SIL，每一個(gè)的值都有一個(gè)數(shù)量級的范圍，將不可避免地產(chǎn)生一個(gè)擁有5個(gè)數(shù)量級范圍的結(jié)果。）· 必須在一個(gè)保守的基準(zhǔn)上進(jìn)行標(biāo)準(zhǔn)化，以免低估了未防護(hù)的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)消除量/保護(hù)需求度而帶來的危險(xiǎn)。· 只有當(dāng)許多功能對于不同的危險(xiǎn)進(jìn)行保護(hù)，而這些危險(xiǎn)各自只占總體危險(xiǎn)的一小部分時(shí)，使用這種方法才最合適。此

28、時(shí)，被高估和被低估的殘余風(fēng)險(xiǎn)很可能就在合并時(shí)被平均掉。只有在這種情形下，說這種方法給出了一個(gè)“適當(dāng)”且“充分”的，也因此才合法的風(fēng)險(xiǎn)評估才是實(shí)至名歸。· 更高的SIL需求（SIL2+）導(dǎo)致嚴(yán)重抬高投資費(fèi)用（用于冗余和嚴(yán)密的設(shè)計(jì)需求）和運(yùn)營成本（用于為更多的設(shè)備進(jìn)行嚴(yán)密的維護(hù)，以及用于對更多的設(shè)備進(jìn)行定期檢測）。這時(shí)就需要用一種更優(yōu)良的方法重新評估了。5 保護(hù)層級分析（LOPA）LOPA是由美國化學(xué)工程師協(xié)會(huì)發(fā)展起來的一種用于評估SIF的SIL等級需求的方法（AIChemE 1993）.這種方法需要首先列出設(shè)施里所有的過程危害。這些危害可由HAZOP或其他危害識別方法識別出來。而對其進(jìn)

29、行的分析將根據(jù)：· 后果描述（“沖擊事件描述”）· 后果嚴(yán)重性預(yù)估（“嚴(yán)重性級別”）· 對所有可能引起沖擊事件的原因的描述（“誘發(fā)因素”）· 預(yù)估所有誘發(fā)因素發(fā)生的頻率（“誘發(fā)概率”）嚴(yán)重性級別可以結(jié)合目標(biāo)頻率范圍，以一種半定量的方式來表達(dá)（見表6），表6 嚴(yán)重級別與緩和事件目標(biāo)頻率的定義示例嚴(yán)重級別后果緩和事件目標(biāo)概率輕度嚴(yán)重?fù)p傷是最壞的情況無特殊需求嚴(yán)重嚴(yán)重的永久性損傷到至多3人死亡低于3*10-6 每年 或平均大于33萬年發(fā)生一次擴(kuò)大4到5人死亡低于2*10-6 每年 或平均大于50萬年發(fā)生一次災(zāi)難死亡5人以上使用F-N曲線或者可以表示為對損害進(jìn)行

30、的具體的定量估計(jì)，可以參考F-N曲線。類似地，誘發(fā)概率也可以半定量地表示（見表7），表7 BS 誘發(fā)概率的定義示例誘發(fā)概率頻率范圍低低于1萬年一次中100到1萬年一次高高于100年一次或者可以表示為具體的定量估計(jì)。這種方法的優(yōu)點(diǎn)在于，它承認(rèn)在過程工業(yè)領(lǐng)域通常從誘發(fā)因素至其導(dǎo)致的沖擊事件之間會(huì)有數(shù)個(gè)層次的保護(hù)。具體地，包括了：· 一般工藝流程設(shè)計(jì)。如：設(shè)計(jì)中可能會(huì)考慮到降低密封失效的概率或者在密封失效時(shí)降低著火的概率以降低火災(zāi)或爆炸事件的概率。· 基本過程控制系統(tǒng)（BPCS）。如：閉環(huán)控制故障可能是主要的誘發(fā)因素之一。然而，可能另外存在可避免沖擊事件的獨(dú)立控制環(huán)，從而降低事件

31、發(fā)生的頻率。· 報(bào)警。假設(shè)在BPCS之外有一獨(dú)立的報(bào)警，當(dāng)報(bào)警發(fā)生時(shí)，操作員有充分的時(shí)間來做出有效的響應(yīng)動(dòng)作（如“拉出”一個(gè)“把手”），如此，得益于報(bào)警的作用，沖擊事件發(fā)生的概率得以降低。· 額外的緩和、限制措施。即使沖擊事件已經(jīng)發(fā)生，還可能有限制危險(xiǎn)區(qū)域擴(kuò)大的措施（相當(dāng)于風(fēng)險(xiǎn)圖表法中的F參數(shù)），或者從危險(xiǎn)區(qū)域有效疏散的途徑（相當(dāng)于風(fēng)險(xiǎn)圖表法中的P參數(shù)），這些都可以降低事件的嚴(yán)重性等級。· 獨(dú)立的保護(hù)層級（IPL）。每個(gè)IPL都必須滿足一些標(biāo)準(zhǔn)，包括RRF 100。安全閥和爆破片通常都可以達(dá)到?；谏鲜鏊斜Ｗo(hù)層級的誘發(fā)概率（頻率）和PFD，可計(jì)算出一個(gè)介于誘發(fā)事件和沖擊事件之間的中間事件發(fā)生概率（頻率）。計(jì)算過程必須涵蓋所有的誘發(fā)事件方可得出針對所有誘發(fā)事件總體的中間事件發(fā)生概率。此概率便可與緩和事件目標(biāo)概率(頻率)進(jìn)行對比。至此，尚未將任何SIF納入考量。而上述二者之比：中間事件發(fā)生概率 / 緩和事件目標(biāo)概率即為SIF所需的RRF或（1/PFD）值，根據(jù)此值即可得出SIL需求。5.1