3.4　安全完整性等级选择

通过风险评估，明确了需要降低的风险值，以及为了提高安全性仍需要增加的安全仪表功能，接下来就需要为每个安全仪表功能SIF选择安全完整性等级SIL。IEC功能安全标准没有对安全完整性等级的选择方法做出任何要求。SIL选择的方法主要有两类：定性方法和定量方法。定性方法通过风险后果和可能性分类来描述风险。本章中讨论的定性方法有：风险矩阵和风险图。定量方法主要有：公式法和LOPA。

3.4.1　安全完整性等级确定原则

ALARP（as Low as Reasonably Practicable，ALARP）的中文意思是“最低合理可行”原则，如图3.3所示。ALARP原则是当前国外风险可接受水平普遍采用的一种项目风险判据原则。该项目风险判据原则依据风险的严重程度将项目可能出现的风险进行分级。风险水平上限和下限将项目风险分为风险严重区（不可容忍区）、ALARP区（或可容忍区）和可忽略区（广泛可接受区）。风险严重区和ALARP区是项目风险辨识的重点所在，项目风险辨识必须尽可能地找出该区所有的风险。同时该原则也提供了项目风险确定的判据标准，所以项目风险辨识也应该以此为原则。但应该看到，到目前为止国内尚没有提出符合我国标准的项目风险可容忍或可接受水平。但作为一种原则，各个项目或企业单位可结合本行业或企业本身的实际情况制定具体的风险可容忍或可接受水平。

ALARP起源于英国，所以其他国家有权不采用。当然法德都有类似的原则如GAMAB和MEM。ALARP有法律含义：只要在合理可行的前提下，相关者有义务把风险尽可能降低。如何判定某风险已经达到ALARP，主要靠义务相关者和权威人士的判断，这必将带有个人的主观性。ALARP原则的实施是基于西方发达国家内在的信任和职业道德体系上。

当根据ALARP原则对某个风险进行控制时，要考虑到现有已知的各种被行业接受或认同的技术或方案。最新但未成熟的肯定不是好方案。决定该采用哪些技术方案时，要考虑费用和相应的安全效益的权衡比较。

另外，要满足ALARP原则，该风险必须可以容忍。这里容忍界限的定义考虑的因素很多。不同国家和地区肯定不一样，一般都是基于过去的安全数据。也就是说，如果一个国家的事故率高，相应容忍界限应该要低些。其次不同行业也不一样，因为涉及的系统类型不一样。一般都是由国家定义一个可容忍的指标（如每年只能容许若干个人员伤亡），然后分配到各个行业（如铁路），最后分配到不同的系统类型（如铁路信号）。因为不同人群的风险暴露不一样，必要时还要针对不同的人群来考虑定义容忍界限，如公众，用户，和公司职员等。公司可以将这些指标作为参考来定义相应产品的风险容忍度。

3.4.2　安全完整性等级确定原理

风险降低原理是确定安全完整性等级的原理。安全完整性等级与风险降低的关系可以用图3.4来说明。从图3.4中可以看出，如果初始风险不同，直接的结果就是SRS或SIS所应该达到的SIL不同。同样，如果规定的可容忍风险不同，SRS或SIS所应该达到的SIL也不同。

3.4.3　安全完整性等级选择方法

IEC61508-5（GB20438-5）提供了3种确定SIL的方法：定量计算法、风险图法、风险矩阵法。IEC61511-3（GB21109.3）则提出了5种确定SIL的方法：半定量法；安全层级矩阵模型；半定性方法；（校正的）风险图法；保护层分析（LOPA）。IEC62061（GB28265）中只介绍了SIL分配风险矩阵。可见，同样的方法在不同标准中的名称略有不同。本节将基于风险降低原理来阐述常用的5种SIL选择的方法。

3.4.3.1　风险矩阵

风险矩阵法将创建一个矩阵，它的行列分别代表事件后果的严重程度和发生的可能性，矩阵元素为某个SIL值。该方法是基于分级的方法，即将事件发生的后果和可能性分级，对应于矩阵的每一行和列。每一对事件后果和可能性就对应一个SIL值，而该SIL值代表使具有相应后果和可能性的事件的风险降低到可容忍范围所必要的风险降低总和。以上是二维风险矩阵的描述。二维风险矩阵是常见的风险矩阵。而三维风险矩阵融入了保护层，也可称为安全层矩阵。图3.5所示为一个三维风险矩阵。

图中[A]～[D]的注释分别为：

[A]一个SIL3的安全仪表系统不能提供足够的风险降低，需要附加风险降低措施；

[B]一个SIL3的安全仪表系统不能提供足够的风险降低，要求进行危险和风险分析以确定是否需要附加风险降低措施；

[C]可能不需要一个独立的安全仪表系统；

[D]事件可能性是在没有任何安全措施下危险事件发生的概率；

[E]独立保护层的数量

以下要求是风险矩阵的基础，并可保证风险矩阵方法的有效性。

①E/E/PE安全相关系统与其他风险降低措施都是独立的；

②认为每一个E/E/PE安全相关系统和其他风险降低措施都是降低风险的保护层；

③当增加一个保护层时，安全完整性等级则提高一个数量级；

④该方法确定必要的风险降低所对应的安全完整性等级，且只使用一个E/E/PE安全相关系统（但也可以与另一技术安全相关系统和/或外部风险降低设施结合）。

需要指出的是，上述填有数据的矩阵用以说明一般原理。对每一特定情况，或类似工业领域，应开发类似于图3.5的风险矩阵。风险矩阵虽未明确给出可容忍风险水平，但是已包含在方法之中。

风险矩阵选择SIL是通过绘制垂直于行和列的两条路径，这两条路径的交叉点即为SIL。对于二维风险矩阵，可以根据危险事件的后果和可能性分别绘制垂直于行和列的两条路径，两条路径的交叉点即为E/E/PE安全相关系统的SIL。对于三维风险矩阵，根据危险事件的后果和可能性绘制垂直于行的路径，根据保护层的数量绘制垂直于列的路径，两条路径的交叉点即为E/E/PE安全相关系统的SIL。

3.4.3.2　风险图

风险图最早源于德国的安全标准，主要考察对人员造成的伤害。该方法适用于过程工业和机械行业，并早已被德国过程工业和机械行业接受。类似风险矩阵，风险图也是基于分级的。但是与风险矩阵只考虑后果和可能性不同，风险图考虑的参数更多，包括可能性、后果、处于危险区域的时间长度（暴露时间、暴露频率）和人员避开危险的概率4个参数。每个参数都有一个分级标准。后果参数代表如果人处在危险区域，该种危险可能造成的平均伤亡数，包含预测的风险大小和危险受体对危险的脆弱性。处于危险区域的时间和频率是处在事故的受影响区域时间长度的度量。避开危险事件的概率依赖于人员了解危险的程度和已掌握的逃脱危险的方法。事故发生的可能性不考虑安全仪表系统的作用，只考虑其他风险降低措施的作用。这4个参数的组合表示了未经E/E/PE安全相关系统保护的风险水平。一旦确定了它们的分级，就可确定将风险降低至可容忍水平的安全相关系统的安全完整性等级，如图3.6所示。另外，同风险矩阵一样，可容忍风险仍然未明确给出，而是蕴含在风险图的结构当中。

采用风险图进行安全完整性等级的选择是通过绘制一条路径从左面的起点到右面的方格，按照后果、处于危险区域的时间和避开危险的概率的分级。这三者决定了哪一行被选中。被选中的行中哪一个方格被选中取决于不期望事件的发生概率或对E/E/PE安全功能要求率的分级。这个方格包含以下值或内容：1、2、3、4、a、b或“—”。如果方格中是一个数，那么这个数就是E/E/PE安全相关系统的SIL。如果方格中是“a”，那么说明不需要任何安全功能就可以达到可容忍风险水平。如果方格中是“b”，那么说明一个单独的安全功能不够使风险降低到可容忍风险水平。如果方格中是“—”，那么说明根本就无安全要求。

当使用风险图确定连续模式的安全功能的SIL时，需要重新定义风险图中的参数。选择的参数应能反映与应用特点相关的风险因素。例如，参数W应被重新定义为系统处于运行状态下的寿命百分比。

3.4.3.3　校正的风险图

校正的风险图是IEC61511是基于IEC61508中的风险图提出的，它更适用于过程工业。在校正的风险图中，事件发生的可能性W用要求率表示，而且将风险图推广应用于环境保护和资产保护中。需要注意的是，一旦事故发生，其后果造成环境破坏和财产损失是不可避免的，因此占用率F不适用于环境破坏和财产损失。

风险图的校正是给风险图参数赋值的过程。校正风险图的目的是：用某种方法描述所有参数，使得评估组能根据应用特点进行客观判断；确保针对某个应用选择的SIL符合某个特定的风险准则；能够验证参数的选择确定过程。

为了校正风险图，应给每个参数赋予1个值或值范围。与每个参数组相关的风险则以个体风险和社会风险的方式进行评估。然后就可确定满足所确立的风险准则所需的风险降低。在确定1个特定应用的SIL时，不需要每次都要执行这样的校正活动。对于类似的危险，仅需要进行1次校正工作。

表3.1～表3.4是基于以上校正准则的校正示例。表3.1列出了典型的后果分类。表3.2列出了典型的处于危险区域的时间长度分类。表3.3列出了典型的未能避开危险的概率分类。表3.4列出了三种典型的要求率分类。

通常，SIS在要求时安全功能失效的后果涉及多种风险（伤害或损失）类型，应分别确定与某类风险相关的SIL。当确定某个功能所规定的SIL时，应考虑要求时安全功能失效所涉及的所有风险的总和。

3.4.3.4　基于频率定量计算SIL

安全仪表系统（SIS）通过降低系统中风险发生的频率来减少风险，这个频率降低，即风险的减少量就是SIL。这就是基于频率定量计算SIL的原理。

由图3.7可知，安全完整性等级与必要的风险降低相关，因此，当必要的风险降低仅由单一安全措施实现，且当事件发生的后果不变时，该安全措施的要求时危险失效平均概率可直接计算。因为事故是在有危险事件且安全相关系统的安全功能没有正确执行的情况下才会发生，因此事故发生频率等于初始危险事件发生频率与安全功能要求时失效概率之积。当事故发生频率为可容忍频率时，安全功能最大要求时失效概率由式（3.1）确定。

式中　PFDavg——低要求运行模式下安全功能要求时的平均失效概率；

Ft——可容忍风险频率；

Fnp——危险事件发生的初始频率。

根据表1.1可将PFDavg转换为相应的安全完整性等级。

需要指出的是，在使用基于频率的可容忍风险目标时，必须建立不希望事故的可容忍频率。不同情况下的可容忍频率取决于事故的后果。对于某个已有安全功能装置保护的事故的发生，初始事件发生时安全系统必须同时失效，才会导致风险。因为这两种情况在逻辑上是“与”的关系，缓解事故的概率通过安全功能失效概率相乘来计算。如果安全功能不仅仅是单一安全措施，则求E/E/PE安全功能装置的PFD时，有：

式中各个符号的意义同式（3.1）。

3.4.3.5　LOPA用于SIL选择

2.4节已经详细阐述了如何用LOPA确定初始事件导致的后果发生频率，或者称为通过独立保护层（包括其他措施独立保护层和现有的SIS保护层）减缓后的事故后果发生频率，将可容忍风险用“可容忍后果频率”表示，则“可容忍后果频率”与“减缓后的事故后果发生频率”的比值即为需要（新增的）SIS进一步降低的风险降低因子，根据表1.1，即可确定该风险降低因子对应的SIL。