确定安全完整性等级(SIL)需求的方法

确定安全完整性等级(SIL)需求的方法

——优势与弊端

1 简介

安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。对于具有安全功能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能否按预期执行相应功能的可信赖程度的一种度量。

本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限，特别是针对风险图表法。同时也给何种情况下应选择何种方法的推荐标准。

2 SIL的定义

相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际使用频率非常低，比如汽车的如下两项功能：

? 防抱死系统（ABS）。（当然，这跟司机也有关系） ? 安全气囊（SRS）

另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能：

? 刹车

? 转向

如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会导致事故的发生？针对二者的答案是不同的：

? 对于使用频率低者，事故频率由两个参数构成：

1) 功能的使用频率

2) 当使用时，该功能发生故障的概率——故障概率（PFD） 因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒数则称为：风险消除因数（RRF）。

? 对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是

故障频率（λ），或者平均无故障时间（MTTF）。假设故障的发生呈指数分布，则MTTF与λ互为倒数。

当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：

PFD = λT/2 = T/(2xMTTF) 或者： RRF = 2/( λT) 或 = (2xMTTF)/T

其中T是检验间隔（注意：若要将事故速率显著降低到故障速率λ以下，检验频率1/T应至少为正常使用频率的两倍，最好是能达到5倍或更高。）但这两者却是不同的量：PFD是一个概率，是无量纲量；λ是一个速率，量纲是t-1 。然而标准中对两种度量都使用相同的术语——SIL，定义见下表：

表1 – BS EN 61508 中低使用频率下的SIL定义

SIL 平均PFD范围 RRF范围 ① 4 3 2 1

10-5 ≤ PFD ＜ 10-4 10-4 ≤ PFD ＜ 10-3 10-3 ≤ PFD ＜ 10-2 10-2 ≤ PFD ＜ 10-1 100000 ≥ RRF ＞ 10000 10000 ≥ RRF ＞ 1000 1000 ≥ RRF ＞ 100 100 ≥ RRF ＞ 10 表2 – BS EN 61508 中高使用频率或持续运作下的SIL定义

SIL λ范围(每小时故障次数) MTTF范围(年) ② 100000 ≥ MTTF ＞ 10000 10000 ≥ MTTF ＞ 1000 1000 ≥ MTTF ＞ 100 100 ≥ MTTF ＞ 10 4 10-9 ≤ λ ＜ 10-8 3 2 1

10-8 ≤ λ ＜ 10-7 10-7 ≤ λ ＜ 10-6 10-6 ≤ λ ＜ 10-5 在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则是故障速率的代表。（在标准中，高低使用频率的分界大体上被设置在每年一次，这与3到6个月的检验间隔是相符的。在很多情况下，要使检验间隔比这更短也不大可行。）

现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周发生一次，约合25次每年，也就是高使用频率型；另一种大约10年发生一次，也就是低使用频率型。如果该功能的平均无故障时间为50年，那么对高频危险的保护将达到SIL1级别。同时，对于低频危险的保护来说，高频危险的发生有效地检验了该功能。其他条件相同的情况下，对低频危险的防护等级实际上达到了：