SIL定级技术要求有哪些?我们该如何正确理解和应用?

导 读

近年来,安全完整性等级(SIL)的评估工作在石化行业越来越受到重视。一般来说,石油化工行业确定SIF的SIL等级的主流方法有两种:保护层分析(LOPA)风险图法,两种方法各有优缺点。风险图法相对LOPA更加简单,其优点在于当SIF数量较多时,通过风险图法可以筛选所需SIF,但精确度较低。

近年来国际标准要求

01

SIF及其相关定义国际标准

IEC 61508对所有基于电子、电气及可编程电子技术等相关的安全系统具有约束性,该标准作为非特定行业通用文件,能够广泛用于不同的领域。IEC 61511是IEC 61508的延伸。IEC 61511“专门针对功能安全:安全仪表系统属于过程工业领域”,ANSI/ISA 84.00.01-2004在IEC 61511基础上有小幅修改之后便完全采纳其标准内容,一般来说任何涉及IEC 61511的内容都等同于参考ISA84.00.01,反之亦然。


SIF是应用于安全仪表系统(SIS)的安全保护功能,由传感器、逻辑解算器和终端元件组成,一个SIF必须能够实现由SIL所代表的特定完整性等级,值得注意的是SIS或SIF均独立于基本过程控制系统。


IEC 61511中规定,任何SIF必须是基于先前风险评估确定的现行设备风险等级,这个风险等级会与可接受风险等级进行比较,设备真正的风险与可接受风险的比值即所需要降低风险程度(见图1),又称风险降低系数(RRF)。可接受风险等级作为风险评估的基准线,需要具体到每个工艺或者设备,并设置为企业风险标准。

02

SIF及定级方法

SIF是一种离散性能指标,用来表示SIF在执行预期功能时可能失效的最大可接受范围,SIL等级被定义成系统在操作需求模式时的平均需求失效概率(PFDavg),如表1所示。

SIL的定级涉及到选择SIF所需要的SIL等级,通常是在风险评估之后,并且要求对所需的SIF进行定义。IEC 61511和IEC 61508中有多种建议方法来确定SIL,这些方法包含定量、半定量和定性等多种形式,其中最严谨复杂的方法是完全定量分析(参考IEC 61508第五部分的附录D,以及IEC 61511第三部分附录B),如定量风险评估(QRA),然而这种方法并未广泛使用,原因是定级过程过分复杂。目前使用较多的方法有LOPA、风险图法和风险矩阵法。石油化工行业主流方法为LOPA及风险图法。

01

风险矩阵法

在IEC 61508第五部分附录G以及IEC 61511第三部分附录D中对风险矩阵法有详细介绍,它是一种定性的方法,IEC 61511称之为安全层矩阵,而IEC 61508则将其命名为事件危害严重等级矩阵,这种方法基于针对危害事件定性的可能性和后果。风险矩阵法假设每增加一个保护层,风险就会降低一个数量级,图2是矩阵图


02

保护层分析法

LOPA是一种相对简单的半定量风险分析方法,由辨识评估的可能性(半定量)、初始事件的严重度等级(定性)、以及由现有的独立保护层(IPL)失效概率所降低导致的危害事件可能性组成,LOPA将计算的事件可能性与企业风险标准进行对比,以确定由SIF能够额外降低的风险。


LOPA是从危害场景(表2中1~4)中初始事件的风险(严重度和可能性)开始,然后将事件的可能性乘以独立保护层(IPLs)失效的概率(表2中5~8),再乘以条件修改概率(表2中9~10)得到中间事件的发生概率(表2中11),之后把残余风险概率(即表2中11)与可接受风险(表2中12)进行对比,以确定是否需要额外的风险降低措施,如果需要,则计算RRF(需要降低的风险等级)(表2中13)。

LOPA由危害场景的每个组成简单假设得来,而这种简化相对偏向保守,这种方法能识别现有的保护层,并且能确定是否需要增加额外的保护层。

03

风险图法

风险图法在某些标准里是定性的方法(IEC2010b),而在其他的标准里是半定量的方法(IEC2003b),但实际上并没有本质的变化。风险图法对SIL等级的选择是一种基于对风险因素与工艺及其控制系统知识的简单分析,这种方法是由树状图组成,树的每个阶段代表一个风险因素,分支代表每个因素所取的不同值,风险图的目的是对风险场景进行分级评估。在风险场景内没有SIF的情况下,风险因素组成的一系列参数通过预先确定的值来确定,图3是从IEC 61511第三部分选出的风险图的例子。

IEC 61511定义的风险图法的因素为:

a) 后果因子C(严重度)。这个参数是该区域内潜在死亡和重伤人数,它考虑了该区域受危害程度以及人员脆弱性(C=人员的数目×人员脆弱性)。

b) 占有率因子F(频率和暴露时间)。区域暴露在占危险事件的发生时间概率(基于时间的分数),典型的值有:

①小于10%的时间;

②10%的时间或者更大。

c) 避免危害的概率P。P为假设所有保护系统响应失效,个人能够避免危害的可能性。P取决于可用的IPLs能警示暴露区域的人员、能关断工艺使得危害可以避免或者人员撤离到安全区域、逃生途径的可行性。参数P实际上是没有受到危害的概率。

d) 需求率W。W是指在没有SIF的情况下危险条件发生的可能性,单位为每年。W的确定是由所有能导致危险事件的失效和风险事件发生的可能性共同决定的。


图3中的参数包括数值因子或定性的值,在任何情况下,参数的值应该来自于风险图与企业风险标准的对照,对照涉及到风险图每个参数的分配过程。因此企业风险标准能够显示风险可接受等级嵌入到参数校准图中。一般来说定性参数比较主观,还需要适当考虑调整,当一个数值因子被分配到风险图的参数中时,此时的校准为半定量的方法(校准风险图)。DeSalis认为风险图只有在被合适的设计和校准时才为半定量,表3是IEC 61511提供的风险图校准实例。


04

分段SIL定级法

SIL的定级其实并不适合只用单一方法进行,有专家提出分阶段方法,即“利用简单技术筛选,之后系统地逐步运用更加复杂的技术选出最优SIL”。这种方法运用了三种理念的筛选,即分别从定性、半定量到完全定量。可运用每种方法的定量程度及安全保障措施的完整性评价程度来度量每种方法的严谨程度。


通过定性方法(如风险矩阵、风险图法)计算得到的结果相对更加保守。定性的方法能得出可接受风险等级,但是它们之间关系并不是很清楚,这些方法可能“使得分析更简单;但是当SIL仅仅增加一个等级时,SIF的优化成本却明显增加;而使用更加复杂的分析方法却可节省更多成本”。


当使用分阶段方法时,风险图法可以对大量安全功能的初步筛选进行第一阶段分析,第二阶段中与SIL相关的安全功能以选择更加严谨的方法,然而某些专家指出在石油化工行业更适合使用LOPA,由于企业管理和监管人员等利益相关方对可辩证的数值方法的需求逐渐增加,风险图法在石油化工行业中已经落后,而LOPA相对更加适用。在SIL定级中的不准确性“通常来源于缺乏对初始原因频率和对可接受风险减缓频率的明确分类”。