一种安全仪表系统SIL分配的定量方法

　　1　引　言

　　基于电气/电子/可编程电子(E/EE/PES)的安全仪表系统(SIS)作为安全保护装置广泛用于化工、石油等过程工业,包括安全联锁(Interlock)、紧急停车系统(ESD)等,是现代工厂中必不可少的安全系统。安全仪表系统监视工艺过程的状态,判断危险条件,并在危险出现时适当动作以防止风险的发生。

　　工艺过程的控制系统有基本过程控制系统和安全仪表系统。基本过程控制系统是活动的、动态的;安全仪表系统是静态的、被动的,在危险情况出现时必须能够由静变动,正确完成其功能。安全仪表系统的这种特点决定了安全仪表系统有两点设计目标———正确的功能和良好的可靠性。安全仪表系统的功能通常是简单的开环控制逻辑,但其必须确保能够可靠执行,因此在安全仪表系统的设计中可靠性占据了更为重要的角色。IEC61508和IEC61511中定义了一种衡量安全仪表系统可靠性的指标———安全完整性水平(SIL)。安全完整性水平的定义为:在一定时间、一定条件下,安全相关系统执行其所规定的安全功能的可能性[1,2]。正确的SIL目标是安全仪表系统设计的基础。本文讨论了为安全仪表系统设计确定SIL目标的方法和需要考虑的因素,提出了一种基于事件频率和风险后果的定量方法。

　　2　SIL分配的基本思想

　　安全仪表系统目的是将工艺过程中存在的风险降低到一个允许的范围内。风险的直接后果是财产损失、人员伤亡、环境破坏等。允许的风险水平要除了考虑道德和法律方面的因素,还应该考虑经济等其它方面。一个好的风险管理要选择尽可能合理的允许风险就需要考虑多方面的因素,取得最好的平衡[3]。

　　安全仪表系统通过降低过程中危险事件发生的频率来降低风险。这个频率降低,也就是风险的减少量就是SIL。确定允许风险的选取原则就是制定这样一种衡量标准,按照这个标准能够将系统中存在的风险转换为必需的风险降低。从图1中可以看出,如果定义的允许风险不同,直接的结果就是安全仪表系统所应该达到的安全完整性水平不同。在某种意义上理解,允许风险对于SIL水平的选择是起决定性作用的。制定允许风险范围通常需要两步:①从人们心理和社会两方面标准,找到可以接受的风险;②将这种风险转换为安全完整性水平选择的方法。参考文献[4]中介绍了几种确定允许风险的方法。这里,安全完整性水平的选择方法可以是量化的,也可以是指导性的。

　　3　常用SIL分配方法

　　首先对受保护过程原始风险进行危险与可操作性分析(HAZOP)和保护层分析(LOPA)[5,6],然后SIL分配才可进行。一般的SIL分配方法有[4,7~12]:风险矩阵、风险图。

　　3.1　风险矩阵

　　风险矩阵是基于分类的方法。首先应该为风险的后果和可能性制定分类。如,后果可分为“较轻”、“严重”和“重大”,可能性分为“低”、“中等”和“高”。后果和可能性分别构成矩阵的一个坐标(行、列),同时每一个矩阵元素为一个安全完整性水平。这个安全完整性水平代表使一个具有相应后果和可能性的事件的风险降低到允许范围所必需的风险降低数量级。允许风险水平蕴含在矩阵结构之中。图2给出了一个风险矩阵的示例。风险矩阵的使用中应根据工厂实际情况确定后果和可能性分类,再定出矩阵元素代表的SIL值。

　　3.2　风险图

　　风险图也是定量和基于分类的。风险的允许水平蕴含在风险图的结构中。风险图分析使用4个参数来确定安全完整性水平:后果C、处于危险区域的时间F、避开危险的概率P和要求率W。表1列出了典型的后果分类。表2列出了典型的处于危险区域的时间分类。表3列出了典型的避开危险的概率。表4列出了三种典型的要求率分类。

一旦确定了这些分类,用风险图来选择安全仪表系统必需达到的的目标安全完整性水平。图3为一个风险图。该风险图不适用于要求率大于3次/年的情况。

　　4　基于事件频率和风险后果的定量方法

　　4.1　风险矩阵和风险图的不足

　　从使用者的角度来看,风险矩阵和风险图是两种简单易用的方法。但是从功能安全管理的角度来看,仍存在一些不足。

　　(1)允许风险水平并不表现出来,不能移植使用。在不同地区允许风险不同,如经济发达地区对风险要求更为苛刻,风险矩阵和风险图不能明确体现差异。

　　(2)建立风险图和风险矩阵的过程因人而异,通用性差。

　　(3)只能给出风险降低的数量级范围,包含信息量较少。

　　(4)修改不便,不利于建立文档说明。

　　本文提出的基于事件频率和风险后果的定量方法可弥补上述不足。

　　4.2　频率和后果定量法

　　本方法定量的确定SIS所需达到的SIL目标,所需输入为:①风险的后果C;②引起风险的危险事件Ei(i=1,2,…,n)的发生频率fEi;③Ei的独立保护层IPLij(j=1,2,…,mi)的平均要求时失效概率　　PFDij。

　　通过对受保护过程原始风险进行量化的危险与可操作性分析和保护层分析,可得到上述各输入。本方法还需制定一个函数T,其自变量为风险后果C,因变量为风险允许频率ftol,即:

　　ftol=T(C)                                                                                       (1)

　　例如,若风险后果C为人员伤亡,可分为四类,如表5所示。

　4.3　频率和后果定量法的特点

　　从4.2的内容可以总结出本文提出的这种定量的方法具有以下特点:

　　(1)显示表达允许风险,通用性好,不同场合只需改变输入和T(C)。

　　(2)除了SIL等级之外,还给出风险降低值,信息量增大。

　　(3)直观、易懂,较好地表达了SIL分配的基本原理,便于建立文档。

　　5　计算举例

　　设通过危险与可操作性分析和保护层分析得到SIS安全功能保护的风险会造成5人以上的伤亡。ftol=T(C)仍采用第4部分的示例。引起该风险的危险事件及其独立保护层信息如表7所示。

　　6　总　结

　　安全仪表系统已广泛应用于工业生产之中,如石油、化工等行业。在进行安全仪表系统设计前,应该明确设计目标,包括两方面———正确的功能(SIF)和良好的可靠性(SIL)。在过去,可靠性目标通常容易被忽视。随着功能安全的发展,诸如IEC61508、IEC61511等功能安全国际标准的发布,表明安全仪表系统的可靠性所处的地位是更加重要的。

　　完全消除风险是不可能的。使用安全仪表系统的目的是将工艺过程中的风险降低到一个允许的水平之下。本文紧紧抓住了这一基本思想,阐述了为安全仪表系统分配SIL设计目标和方法的基本原理,即安全仪表系统的SIL等级就是它必须提供的风险降低。风险矩阵和风险图是IEC61508和IEC61511中提到的为安全仪表系统分配SIL的方法。这两种方法将SIL分配的基本原理蕴含于风险矩阵和风险图本身的结构当中,虽然风险的后果和可能性会对应某一SIL值,但很难理解其缘由。这为风险图和风险矩阵的复用和正确性审查带来了一定的困难。IEC61508和IEC61511是基于目标的标准,它们不限制使用的方法。

　　HAZOP和LOPA分析在工艺过程原始风险分析中使用非常广泛。基于事件频率和风险后果的定量方法利用了HAZOP和LOPA的分析结果,是一种通用的方法,易于移植复用,并且充分、直观地体现出了分配安全仪表系统SIL设计目标的基本思想。

　　参考文献:

　　[1]　IEC 61508, FunctionalSafety ofElectrical/ElectroNIc/Program2mable Electronic Safety2Related Systems, International Electro2technicalCommission[S].

　　[2]　IEC 61511, Functional Safety2Safety Instrumented Systems forthe Process Industry Sector, InternationalElectrotechnicalCom2mission[S].

　　[3]　Marszal E. Tolerable Risk Guidelines[ J]. ISA Transactions,2001, 40(4): 3912399.

　　[4]　STAVRIANIDIS P, KBHIMAVARAPU K. Safety InstrumentedFunctions and Safety Integrity Levels(SIL) [ J]. ISA Transac2tions, 1998, 37(4): 3372351.

　　[5]　DOWELL A. Layer ofProtection Analysis and Inherently SaferProcesses[J]. Process Safety Progress, 1999, 18(4): 2142220.

　　[6]　DOWELLA.LayerofProtectionAnalysis forDeterminingSafetyIntegrity level[J]. ISA Transactions, 1998, 37(3): 1552165.

　　[7]　SUMMERSA.Techniques forAssigning aTargetSafety Integri2ty Level[J]. ISA Transactions, 1998, 37(2): 952104.

　　[8]　MARSZAL E, SCHARPF E. Safety Integrity Level Selection:Systematic Methods Including Layer of Protection Analysis[M].US: ISA, 2002: 1652177.

　　[9]　MARSZAL E, FULLER B, SHAH J.Comparison ofSafety Integ2rity LevelSelectionMethods andUtilization ofRisk Based Ap2proaches[J]. Process Safety Progress, 1999, 18(4): 1892194.

　　[10]　STAVRIANIDIS P, KBHIMAVARAPU K. Performance2basedStandards: Safety Instrumented Functions and Safety IntegrityLevels[J]. Journal of Hazardous Materials, 2000, 71 (1):　　4492465.

　　[11]　BELL R,REINERTD.Risk and System IntegrityConcepts forSafety2related ControlSystems[J].Microprocessors andMicr2osystems, 1993, 17(1): 1892199.

　　[12]　郭海涛,阳宪惠.安全系统的安全完整性水平及其选择[J].化工自动化及仪表, 2006, 33(2): 71275.