确定安全完整性等级(SIL)需求的方法

确定安全完整性等级(SIL)需求的方法

——优势与弊端

1简介

安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。对于具有安全功

能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能

否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和

保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。

同时也给何种情况下应选择何种方法的推荐标准。

2SIL的定义

相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际

使用频率非常低，比如汽车的如下两项功能：

∙防抱死系统（ABS）。（当然，这跟司机也有关系）

∙安全气囊（SRS）

另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：∙刹车

∙转向

如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会

导致事故的发生？针对二者的答案是不同的：

∙对于使用频率低者，事故频率由两个参数构成：

1)功能的使用频率

2)当使用时，该功能发生故障的概率——故障概率（PFD）

因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒

数则称为：风险消除因数（RRF）。

∙对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是故障频率（λ），或者平均无故障时间（MTTF）。假设故障的发生呈指数

分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以

以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：

PFD = λT/2 = T/(2xMTTF)或者：

RRF = 2/( λT) 或 = (2xMTTF)/T

其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率

1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。）但这两者却是不

同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。然而标准中对两种度量都使用相同的术语——SIL，定义见下表：

表1 – BS EN 61508 中低使用频率下的SIL定义

SIL平均PFD范围RRF范围①

410-5≤ PFD ＜ 10-4100000 ≥ RRF ＞ 10000

310-4≤ PFD ＜ 10-310000 ≥ RRF ＞ 1000

210-3≤ PFD ＜ 10-21000 ≥ RRF ＞ 100

110-2≤ PFD ＜ 10-1100 ≥ RRF ＞ 10

表2 – BS EN 61508 中高使用频率或持续运作下的SIL定义

SILλ范围(每小时故障次数)MTTF范围(年) ②

410-9≤λ＜ 10-8100000 ≥ MTTF ＞ 10000

310-8≤λ＜ 10-710000 ≥ MTTF ＞ 1000

210-7≤λ＜ 10-61000 ≥ MTTF ＞ 100

110-6≤λ＜ 10-5100 ≥ MTTF ＞ 10

在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则是故障速率的代表。（在标准中，高低使用频率的分界大体上被设置在每年一次，这与3到6个月的检验间隔是相符的。在很多情况下，要使检验间隔比这更短也不大可行。）

现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周发生一次，约合25次每年，也就是高使用频率型；另一种大约10年发生一次，也就是低使用频率型。如果该功能的平均无故障时间为50年，那么对高频危险的保护将达到SIL1级别。同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。其他条件相同的情况下，对低频危险的防护等级实际上达到了：

PFD = 0.04/(2x50) = 4 x 10-4即：SIL3

那么，该功能达到的SIL等级究竟为何呢？显然答案不是唯一的，而是取决于具体保护的危险，特别是危险发生的频率是高还是低。

①此栏并非标准中所定义，但通常RRF比PFD更易处理。

②此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的MTTF值更有用，因为在这里，时间更多地是以年来计，而不是小时。

在前一种情况下，可以达到的SIL等级是由设备的内在属性决定的；后一种情况下，尽管设备的内在属性也很重要，但是可以达到的SIL等级同样受检验制度的影响，

这在过程工业领域很重要。在这里，可达到的SIL等级易受现场设备（过程仪表以

及其他特别是末端设备如关断阀等）可靠性的影响。这些现场设备需要定期地检验

方能达到需求的SIL等级。

每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是

容易混淆的。

3确定SIL需求的一些方法

BS EN 61508 提供了三种确定SIL需求的方法：

∙定量法。

∙风险图表法，在标准中被作为定性方法。

∙伤害事件严重性矩阵，在标准中同样被作为定性方法。

BS IEC 61511 则提供了：

∙半定量法。

∙安全层级矩阵模型，被作为半定性方法。

∙标准化风险图表法，在标准中被作为半定性方法，但业内也有些作为半定量方法。

∙风险图表法，被作为定性方法。

∙保护层级分析（LOPA）。（尽管标准并未指明是定性还是定量，但该方法是倾向于定量的。）

风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业

领域。两者的优势和弊端以及应用范围是本文的主要议题。

4风险图表法

风险图表法广泛使用的原因将在下文中介绍。典型的风险图表见图1。

C为后果参数，C A-C D表示不同的后果等级。

F为频率与暴露时间参数。

P为避免伤害的可能性。

W为无保护状态下，危险发生的速率。

图中的参数可被给予定性的描述，如：

C C≡造成数人死亡。

或定量的描述，如

C C≡发生死亡的概率为0.1到1.0。