确定安全系统完整性等级SIL需求地方法Word文档下载推荐.docx

确定安全系统完整性等级SIL需求地方法Word文档下载推荐.docx

《确定安全系统完整性等级SIL需求地方法Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《确定安全系统完整性等级SIL需求地方法Word文档下载推荐.docx（18页珍藏版）》请在冰豆网上搜索。

平均PFD范围

RRF范围①

4

10-5≤PFD＜10-4

100000≥RRF＞10000

3

10-4≤PFD＜10-3

10000≥RRF＞1000

2

10-3≤PFD＜10-2

1000≥RRF＞100

1

10-2≤PFD＜10-1

100≥RRF＞10

表2–BSEN61508中高使用频率或持续运作下的SIL定义

λ范围（每小时故障次数）

MTTF范围（年）②

10-9≤λ＜10-8

100000≥MTTF＞10000

10-8≤λ＜10-7

10000≥MTTF＞1000

10-7≤λ＜10-6

1000≥MTTF＞100

10-6≤λ＜10-5

100≥MTTF＞10

在低使用频率模式下，SIL是PFD的代表；

在高使用频率或持续运作模式下，SIL则是故障速率的代表。

（在标准中，高低使用频率的分界大体上被设置在每年一次，这与3到6个月的检验间隔是相符的。

在很多情况下，要使检验间隔比这更短也不大可行。

）

现在，考虑有这样一项功能，它可以同时对两种危险进行保护：

其中一种平均两周发生一次，约合25次每年，也就是高使用频率型；

另一种大约10年发生一次，也就是低使用频率型。

如果该功能的平均无故障时间为50年，那么对高频危险的保护将达到SIL1级别。

同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。

其他条件相同的情况下，对低频危险的防护等级实际上达到了：

PFD=0.04/（2x50）=4x10-4即：

SIL3

那么，该功能达到的SIL等级究竟为何呢？

显然答案不是唯一的，而是取决于具体保护的危险，特别是危险发生的频率是高还是低。

①此栏并非标准中所定义，但通常RRF比PFD更易处理。

②此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的MTTF值更有用，因为在这里，时间更多地是以年来计，而不是小时。

在前一种情况下，可以达到的SIL等级是由设备的内在属性决定的；

后一种情况下，尽管设备的内在属性也很重要，但是可以达到的SIL等级同样受检验制度的影响，这在过程工业领域很重要。

在这里，可达到的SIL等级易受现场设备（过程仪表以及其他特别是末端设备如关断阀等）可靠性的影响。

这些现场设备需要定期地检验方能达到需求的SIL等级。

每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是容易混淆的。

3确定SIL需求的一些方法

BSEN61508提供了三种确定SIL需求的方法：

∙定量法。

∙风险图表法，在标准中被作为定性方法。

∙伤害事件严重性矩阵，在标准中同样被作为定性方法。

BSIEC61511则提供了：

∙半定量法。

∙安全层级矩阵模型，被作为半定性方法。

∙标准化风险图表法，在标准中被作为半定性方法，但业内也有些作为半定量方法。

∙风险图表法，被作为定性方法。

∙保护层级分析（LOPA）。

（尽管标准并未指明是定性还是定量，但该方法是倾向于定量的。

风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业领域。

两者的优势和弊端以及应用范围是本文的主要议题。

4风险图表法

风险图表法广泛使用的原因将在下文中介绍。

典型的风险图表见图1。

C为后果参数，CA-CD表示不同的后果等级。

F为频率与暴露时间参数。

P为避免伤害的可能性。

W为无保护状态下，危险发生的速率。

图中的参数可被给予定性的描述，如：

CC≡造成数人死亡。

或定量的描述，如

CC≡发生死亡的概率为0.1到1.0。

图1–典型的风险图表

第一种定义规避了问题的实质：

“数人”是多少人？

在实际应用中，要评估SIL需求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。

这些定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成半定量的了（或许是半定性？

当然一定是在定量和定性两种极端之间的某个位置。

表3给出了一套典型的定义

表3–风险图表参数的典型定义

后果

CA

轻微伤害

CB

每次事故发生死亡的概率在0.01到0.1

CC

每次事故发生死亡的概率在0.1到1

CD

每次事故发生死亡的概率>

1

暴露时间

FA

＜10%的时间

FB

≥10%的时间

伤害的可避免性/不可避免性

PA

＞90%可避免/＜10%不可避免

PB

≤90%可避免/≥10%不可避免

发生速率

W1

低于30年一次

W2

3到30年一次

W3

0.3到3年一次

4.1优势

风险图表法具有如下优势：

∙是一种半定性/半定量的方法

▪不需要精确的伤害发生速率、后果以及其他参数的值

▪不需要专业的计算或复杂的建模

▪只要对应用领域心里“有谱”的人就可以使用

∙通常作为一种团队实践，类似于HAZOP[译注：

危险与可操作性分析]

▪个人偏见得以消除

▪对于风险与危害的理解得以在团队成员间传播（如从设计、操作、维护等不同位置得出的理解）

▪个人易忽视的问题得以被发现

▪需要计划和制度

∙不需要详细学习相对轻微的伤害

▪可以相对较快的速度评估多种危害

▪可作为一种有效的筛查工具用于识别：

-需要更细致评估的危害

-无需额外防护的轻度危害

由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。

4.2残余风险范围的问题

考虑例子中的参数分别取：

CC,FB,PB,W2，这样表示需要达到SIL3的防护。

CC≡每次事故发生死亡的概率在0.1到1

FB≡暴露时间≥10%

PB≡伤害不可避免的可能性≥10%

W2≡3到30年发生一次

SIL3≡10000≥RRF≥1000

假设所有参数均位于其范围的几何平均数处：

后果=√（0.1x1.0）=每次事故发生死亡的概率为0.32

暴露时间=√（10%x100%）=32%

不可避免性=√（10%x100%）=32%

发生速率=√（3x30）≈10年发生一次

RRF==√（1000x10000）≈3200

（注意：

之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的）

考虑不加保护的危害：

风险最大值=（1x100%x100%）/3≈每3年有一人因事故死亡

风险几何平均值=（0.32x32%x32%）/10=每300年有一人因事故死亡

风险最小值=（1x10%x10%）/30≈每30000年有一人因事故死亡

即：

不加保护的风险从最小到最大有着4个数量级之差。

考虑加以SIL3级别的保护则：

残余风险最大值≈（3x1000）=每3000年有一人因事故死亡

残余风险几何平均值≈（300x3200）≈每100万年有一人因事故死亡

残余风险最小值≈（30000x10000）=每3000万年有一人因事故死亡

加以保护后的风险从最小到最大有着5个数量级之差。

图2给出了基于平均情况的原理表示

图2–BSIEC61511中的风险消除模型

对此单一的危害，一个合理的控制目标差不多在每10万年有一人因事故死亡。

在最不利的情况下，我们只能达到目标值30分之一的风险消除程度；

而平均情况下，能得到10倍于目标的风险消除程度；

在最有利的情况下，能得到3000倍于目标的风险消除程度。

当然，实际上不可能所有参数都处在极限值上，但总的来说，这种方法必须给出一个保守的结果，以免风险消除的需求被低估。

管理残余风险范围中内在的不确定性以期得到一个保守结果的方法包括：

∙校准图表，以使平均残余风险远低于目标值，如前所述。

∙谨慎选择参数值，即对参数值的选取存在不确定时，选择偏保守者。

∙仅当任何单一危害的平均残余风险在总体的风险控制目标中都只占很小的比例时，才应使用此方法。

假设有许多不同的系统或功能对不同的危害进行保护，那么这些危害总的平均残余风险在总体的风险控制目标中将只占很小的比例，于是单一危害被低估了的残余风险在总体风险控制目标中占据的比例更小，而且在风险合并的时候，会和被高估了的危害相互抵偿掉。

保守的结果同时也带来严重的成本上升，特别是当得出更高的SIL需求时。

4.3在过程工业中的应用

在过程工业中，风险图表被广泛用于评估各种跳闸、关断、泄放等功能——高低压力、温度、液位、流量等等，这些在典型的过程工业工厂中经常能见到。

在这个应用领域中，前文所述的优势十分确切，而且将许多功能的风险进行合并也是行得通的。

图3–高压关断功能

图3表示了一个典型的功能。

目标是评估其装备的超压力关断功能（在BSIEC61511的术语中，这被称为一种“安全仪表功能”（SIF），其是由“安全仪表系统”（SIS）来实现的）。

随即产生的一个问题便是：

容器上的安全阀同样对其进行超压保护，在类似这种情况下采用典型的风险图表时，该如何处理这个安全阀？

这种有SIF备份的机械保护很常见。

可选的处理方式有三种：

∙假设安全阀总能正常动作。

∙假设安全阀总是不动作。

∙以上二者之间。

UKOOA[译注：

英国海上作业者协会]导则（KUOOA1999）推荐第一种方式，但故障率数据无法证明其合理性。

第二种方式则易导致SIL需求被高估从而致使成本上升，因此不被推荐。

相关标准给出的指导意见见表4。

表4–标准中关于在使用风险图表时如何处理

“其他技术的安全相关系统”的指导意见

BSEN61508

BSIEC61511

“W参数是用来估计意外事件的发生频率的，条件是在没有任何附加的安全相关系统（电气/电子/可编程电子或其他技术）但包含任何外部的风险消除设备的情况下。

”

（第五部分，附录D–一种定性的方法：

风险图表）

（安全阀显然属于“其他技术的安全相关设备”）

“W–考虑没有安全仪表功能的情况下，每年发生危害事件的次数。

考虑所有可导致危害事件的故障并估计总的发生速率即可得出该数值。

其他层面的保护应被考虑到其中。

（第三部分，附录D–半定量法，标准化的风险图表）

“W参数是用来估计没有SIS加入的情况下意外事件的发生频率的”

以及：

“W参数是用来估计意外事件的发生频率的，条件是在没有任何附加的安全仪表系统（电气/电子/可编程电子或其他技术）但包含任何外部的风险消除设备的情况下。

（第三部分，附录E–定性法，风险图表）

一种遵循标准且被证明有效的近似是：

1.基于没有任何保护的情况，即：

在使用SIF或任何机械保护之前，得出一个总体的风险消除（SIL）需求。

2.扣除机械设备的影响，通常安全阀相当于SIL2（可用的故障率数据证明了其合理性，而且也被BSIEC61511，第三部分，附录F所支持）

3.需求的SIL等级就是在第一步中得到的等级减去2（或机械保护相应的SIL等级）。

这种近似的优势在于：

∙得出的结果一般与传统实践相一致。

∙既不假设机械设备完美无缺，也不假设其一无是处。

∙承认当总体的SIL需求高于机械设备SIL等级时，SIF将需要具备SIL等级（如：

总体需求SIL3；

安全阀可达SIL2；

则SIF需要SIL1）。

4.4针对过程工业工厂的标准化

在风险图表标准化之前，首先要确定使用的基准是：

∙个体风险（IR），通常针对在危险中暴露最多的那个人。

∙群体风险，针对暴露在危险中的群体，如工厂中的工人或附近的居民。

∙以上二者的某种组合。

4.4.1基于群体风险

考虑将风险图表应用于指定工厂中工人的群体风险。

假设工厂中有20个这样的功能，那么，基于几何平均数的残余风险（每100万年有1人因事故死亡），总的风险则为每5万年有1人因事故死亡。

将此结果与公布的风险可接受度准则相对比。

HSE[译注：

健康、安全和环境管理体系]建议：

每5000年发生一次50人死亡的事故，这种风险是不可容忍的（HSEBooks2001）。

在涉及主要工业设施的风险时，HSE参考了“危险品运输中的主要风险”（HMSO[译注：

危险品储存条例]1991），特别是其中的的F-N曲线（图4）。

可以看到，HSE认为不可接受的“每5000年发生一次50人死亡的事故”刚好落在“本地警戒线”上。

由此我们可以推断：

每100年有一人因事故死亡也同样是不可接受的。

同时，每10000年有一人因事故死亡则是“可广泛被接受”的边界。

因此我们的目标应该定在“每1000年因事故死亡的人数少于1人”。

如此，在SIF保护下总的风险（每5万年有1人因事故死亡）仅为总体风险控制目标的2%，这为其他与SIF无关的危害留下了非常大的余地。

然而，我们可能会选择保留这种保守的附加元素以进一步补偿这种方法固有的不确定性。

要计算在此标准化中的平均IR，先假设总共有50人定期暴露在此危险中（即：

在此轮班的所有工人之和）。

那么，在SIF保护下，每年每5万人中有1人因事故死亡的风险将分散到这些人头上，因此，平均IR便是每年每250万人中有1人因事故死亡.

图4–探讨运输中的主要风险时的F-N曲线

将此IR对比R2P2[译注：

消除风险，保护人员]（HSEBooks2001）中公布的标准：

∙不可接受=每年每1000人中有1人因事故死亡（指工人）

∙广泛接受=每年每100万人中有1人因事故死亡

因此我们针对IR的所有危害总体风险控制目标可能定在“每年每5万人中少于1人因事故死亡”。

这样，在SIF保护下总的风险又仅为总体风险控制目标的2%，为其他危害留下了非常大的余地。

我们或许能得出这样的结论：

此图表在评估工人的平均个体风险时被过度标准化了。

C和W参数的范围可用来调节这种标准化。

（F和P参数分别只有两档可选，而且FA和PA都表示风险降低至少10倍。

）典型地，参数范围可被上调或下调半个数量级。

当然，工厂的运营组织可能会有自己的风险标准，或许比R2P2和探讨运输中的主要风险里的标准更严。

4.4.2基于暴露最多者的个体风险

要针对暴露最多者来标准化风险图表，就必须指出这个“暴露最多者”是谁，至少以其在工厂中的岗位和角色来表示。

C参数的值必须根据对此个体的后果来定义，如：

CA≡轻度伤害

CB≡单次事故死亡的概率约为0.01

CC≡单次事故死亡的概率约为0.1

CD≡几乎必死无疑

暴露参数F的值必须根据此人的工作时间来定义，如：

FA≡暴露于危险中的时间＜10%的工作时间

FB≡暴露于危险中的时间≥10%的工作时间

鉴于此人用于工作的时间仅占其生命的约20%，其潜在的风险仅有对SIF需求的20%。

因此，再次使用CCFBPB和W2：

CC≡单次事故死亡的概率约为0.1

FB≡暴露时间≥10%的工作周或年

PB≡有10%到100%的危害不可避免

SIL3≡1000≥RRF＞10000

风险最大值=20%x（0.1x100%x100%）*每年因事故死亡的概率为1/3

=每年因事故死亡的概率约为1/150

风险几何平均值=20%x（0.1x100%x100%）*每年因事故死亡的概率为1/10

=每年因事故死亡的概率约为1/4700

风险最小值=20%x（0.1x100%x100%）*每年因事故死亡的概率为1/30

=每年因事故死亡的概率约为1/15万

残余风险最大值=每年因事故死亡的概率约为1/15万

残余风险几何平均值=每年因事故死亡的概率约为1/1500万

残余风险最小值=每年因事故死亡的概率约为1/15亿

假设此人暴露于10种受SIF保护的危险之中（即总共20种之中的一半），那么，基于几何平均数的残余风险，其从中获得的总的风险为：

每年因事故死亡的概率约为1/150万，这仅为所有危害总体IR控制目标1/50000的3.3%，因此也为其他与SIF无关的危害留下了非常大的余地。

此图表在评估我们假设的暴露最多者的风险时也被过度标准化了，但我们可以选择保留这种保守的附加元素。

（注意，此图表与前文中评估群体风险的图表并不相同，因为，尽管我们保留了这种形式，但我们用了另一组不同的参数定义。

在以上的定义中，C参数的值并不适合调整，所以，在这种情况下，只有W参数的范围可被调整以重新标准化该图表。

我们可能像这样改变W参数的范围：

W1≡低于10年一次

W2≡1到10年发生一次

W3≡不到1年发生一次

4.5典型结果

正如人们所预计的那样，不同的设施，在其中被评估为需要SIL等级的功能，其数量相差悬殊。

但表5给出了对一相当典型的近海天然气平台评估得出的大体结果。

表5–典型的SIL评估结果

功能数量

占总量百分比

无

18

281

0%

0.3%

6.0%

93.7%

合计

300

100%

典型地，可能会有一项SIL3的需求，而SIL4需求则非常罕见。

这些数字表明，以上为评估风险图表的标准化而做的假设是合理的。

4.6讨论

以上发现的问题总结起来便是：

∙评估SIL需求时，风险图表是一种非常有用但粗糙的工具。

（一种方法，使用了5个参数——C、F、P、W、SIL，每一个的值都有一个数量级的范围，将不可避免地产生一个拥有5个数量级范围的结果。

∙必须在一个保守的基准上进行标准化，以免低估了未防护的风险以及风险消除量/保护需求度而带来的危险。

∙只有当许多功能对于不同的危险进行保护，而这些危险各自只占总体危险的一小部分时，使用这种方法才最合适。

此时，被高估和被低估的残余风险很可能就在合并时被平均掉。

只有在这种情形下，说这种方法给出了一个“适当”且“充分”的，也因此才合法的风险评估才是实至名归。

∙更高的SIL需求（SIL2+）导致严重抬高投资费用（用于冗余和严密的设计需求）和运营成本（用于为更多的设备进行严密的维护，以及用于对更多的设备进行定期检测）。

这时就需要用一种更优良的方法重新评估了。

5保护层级分析（LOPA）

LOPA是由美国化学工程师协会发展起来的一种用于评估SIF的SIL等级需求的方法（AIChemE1993）.

这种方法需要首先列出设施里所有的过程危害。

这些危害可由HAZOP或其他危害识别方法识别出来。

而对其进行的分析将根据：

∙后果描述（“冲击事件描述”）

∙后果严重性预估（“严重性级别”）

∙对所有可能引起冲击事件的原因的描述（“诱发因素”）

∙预估所有诱发因素发生的频率（“诱发概率”）

严重性级别可以结合目标频率范围，以一种半定量的方式来表达（见表6），

表6–严重级别与缓和事件目标频率的定义示例

严重级别

缓和事件目标概率

轻度

严重损伤是最坏的情况

无特殊需求

严重

严重的永久性损伤到至多3人死亡

低于3*10-6每年或

平均大于33万年发生一次

扩大

4到5人死亡

低于2*10-6每年或

平均大于50万年发生一次

灾难

死亡5人以上

使用F-N曲线

或者可以表示为对损害进行的具体的定量估计，可以参考F-N曲线。

类似地，诱发概率也可以半定量地表示（见表7），

表7–BS诱发概率的定义示例

诱发概率

频率范围

低

低于1万年一次

中

100到1万年一次

高

高于100年一次

或者可以表示为具体的定量估计。

这种方法的优点在于，它承认在过程工业领域通常从诱发因素至其导致的冲击事件之间会有数个层次的保护。

具体地，包括了：

∙一般工艺流程设计。

如：

设计中可能会考虑到降低密封失效的概率或者在密封失效时降低着火的概率以降低火灾或爆炸事件的概率。

∙基本过程控制系统（BPCS）。

闭环控制故障可能是主要的诱发因素之一。

然而，可能另外存在可避免冲击事件的独立控制环，从而降低事件发生的频率。

∙报警。

假设在BPCS之外有一独立的报警，当报警发生时，操作员有充分的时间来做出有效的响应动作（如“拉出”一个“把手”），如此，得益于报警的作用，冲击事件发生的概率得以降低。

∙额外的缓和、限制措施。

即使冲击事件已经发生，还可能有限制危险区域扩大的措施（相当于风险图表法中的F参数），或者从危险区域有效疏散的途径（相当于风险图表法中的P参数），这些都可以降低事件的严重性等级。

∙独立的保护层级（IPL）。

每个IPL都必须满足一些标准，包括RRF≥100。

安全阀和爆破片通常都可以达到。

基于上述所有保护层级的诱发概率（频率