功能安全技术讲座第三讲基于风险的SIL确定技术
SIL定级及验证示例
根据设备类型、系统复 杂性和风险分析结果等 因素,选择合适的SIL定 级方法,如基于失效模 式、基于安全功能等。
根据风险分析结果和所 选的定级方法,确定系 统或设备的安全完整性 等级。
根据确定的SIL等级和安 全目标,制定相应的安 全计划,包括安全功能 设计、测试和验证等。
建议:如何提高SIL定级的有效性
推广SIL理念和应用
推广SIL理念和应用,鼓励更多的企业和组织采 用SIL定级方法,以确保设备和系统的安全性和 可靠性。
感谢您的观看
THANKS
示例一:SIL3级定级及验证
要点一
总结词
在SIL3级定级及验证中,系统的安全性和可靠性要求最 高,需要对系统进行全面的安全分析和评估,确保系 统在任何情况下都能够安全运行。
要点二
详细描述
SIL3级定级及验证通常需要制定更为严格的安全策略和 防护措施,包括对系统中的所有设备和软件进行严格 的安全检测和测试,确保系统在面临各种异常情况时 仍能保持安全运行。在验证方面,需要采用多种测试 方法对系统进行全面的测试,包括功能测试、性能测 试、安全测试等,以确保系统的安全性和可靠性达到 预期要求。
充分了解设备或系统的特性
在进行SIL定级时,需要对设备或系统的特性有充 分的了解,包括设备的工作原理、系统的功能和 运行环境等。
考虑系统的实际运行环境
在确定SIL等级时,需要考虑系统的实际运行环境 ,包括温度、湿度、压力、电磁干扰等环境因素 。
选择有经验的专家进行定级
SIL定级需要专业的知识和经验,应选择有经验的 专家进行定级,以确保定级的准确性和有效性。
风险评估
对测试过程中可能出现的风 险进行评估,并制定相应的 应对措施。
测试用例
安全等级评估技术sil流程原理
英文回答:The purpose of this paper is to present the principles of the Safe Level Assessment Process, which is designed to conduct aprehensive assessment of industrial safety systems to determine their reliability and safety levels. SIL processes include four main steps: hazard analysis, determination of safety performance levels, establishment of safety performance requirements and system validation. During the hazard analysis phase, potential sources of risk will be identified and potential losses assessed. Depending on the gravity and probability of the hazard, safety performance levels are divided into four levels: SIL1, SIL2, SIL3 and SIL4. Once the level of safety performance is determined, corresponding security performance requirements will be established, covering both hardware and software requirements. System validation to ensure that the system meets security performance requirements and meets the expected level of security performance. The entire process involves aprehensive analysis of hazardous sources, determination of safety performance levels, identification of needs and validation, and is aprehensive assessment of industrial safety systems.本文旨在介绍安全等级评估技术SIL(Safety Integrity Level)流程原理,该流程旨在对工业安全系统进行全面评估,以确定其可靠性和安全性等级。
功能安全SIL认证介绍
安全完整性(SIL)评测简介机械工业仪器仪表综合技术经济研究所测量控制设备及系统实验室 功能安全中心产品评测项目2015.6中国•北京西城区广安门外大街甲397, 1000551 机构简介机械工业仪器仪表综合技术经济研究所(简称ITEI)是中央直属的科研院所,主要负责国内仪表自动化的研究、测试和推广服务。
功能安全技术研发中心(简称“功能安全中心”)是ITEI的技术部门之一,主要负责功能安全技术的研究,以及安全产品和系统的测试、评估等工作。
功能安全中心拥有国内最权威的安全专家团队,其核心成员皆是IEC国际功能安全标准制订与修订的专家组成员,有着深厚的可靠性基础和工业安全经验。
功能安全技术研发中心可提供培训、辅导、面向项目的咨询服务、工程安全分析工具、详细的产品确认和验证分析以及一系列的安全与可靠性资源测量控制设备及系统实验室(简称MCDL)为中国合格评定国家认可委员会(简称CNAS)授权,可在国内开展相关标准的检验测试服务,并颁发CNAS认可的认证报告和证书。
MCDL隶属于ITEI,其中功能安全产品相关的评测由功能安全中心负责开展,对经过评测的产品可以颁发安全完整性等级(SIL)适用性证书和报告。
2目的与范围本评测项目主要针对单个的产品或零部件,本评测的目的是通过分析、检查、测试和现场审核等方式,证明产品是否具有相应的SIL 适用能力(包括SIL1/2/3/4)。
一般情况下,本评测依据的标准为三个部分:功能安全基础标准——IEC61508(国标GB/T20438);行业领域功能安全标准,如IEC61511,ISO13849等;产品标准,如产品的质量规范、国家/国际检测要求等;通过这些要求来满足随机硬件失效量目标控制量和系统性失效控制的双重要求,因此在评测的过程中需考察产品设计过程中以下三个方面:一、产品安全完整性技术论据(机械、电子、电气和软件等)二、产品研发过程管理(研发流程、文档化、管理规程等)三、产品生产质量管理过程3 评测方式在评测开始前,功能安全中心将成立专门的评测团队,负责本次项目的技术分析、测试和完成报告等工作。
确定安全完整性等级(SIL)需求的方法
确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。
对于具有安全功能的系统,SIL是对其质量或者说靠性进行的一种度量,具体来说,就是对系统能否按预期执行相应功能的可信赖程度的一种度量。
本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法:风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限,特别是针对风险图表法。
同时也给何种情况下应选择何种方法的推荐标准。
2SIL的定义相关标准承认,不同的安全功能,其所需的运作方式也迥然不同。
很多功能的实际使用频率非常低,比如汽车的如下两项功能:∙防抱死系统(ABS)。
(当然,这跟司机也有关系)∙安全气囊(SRS)另一方面,有些功能的使用频率很高,甚至是持续运作的,比如汽车的这两项功能:∙刹车∙转向如此,一个根本性的问题便是:这两种类型的功能,其发生故障的频度达到多大会导致事故的发生?针对二者的答案是不同的:∙对于使用频率低者,事故频率由两个参数构成:1)功能的使用频率2)当使用时,该功能发生故障的概率——故障概率(PFD)因此,这种情况下,PFD便能恰当地衡量该功能的性能表现,而PFD的倒数则称为:风险消除因数(RRF)。
∙对于使用频率高者,或持续运作的功能,能恰当地衡量其表现的数据则是故障频率(λ),或者平均无故障时间(MTTF)。
假设故障的发生呈指数分布,则MTTF与λ互为倒数。
当然,以上的两种表达方式并不是独立的,而是相互关联的。
最简单地,假设可以以一个比正常使用频率高的频度对某功能进行检验,则以下关系成立:PFD = λT/2 = T/(2xMTTF) 或者:RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔(注意:若要将事故速率显著降低到故障速率λ以下,检验频率1/T应至少为正常使用频率的两倍,最好是能达到5倍或更高。
)但这两者却是不同的量:PFD是一个概率,是无量纲量;λ是一个速率,量纲是t-1 。
SIL定级及验证示例教学内容
专一性:只被设计用来防止或减轻一个潜在的危险事件的后果,由于多种 原因都可能导致同一危险事件,因此,多个事件情景都可由一个IPL来启 动动作。例如:某储罐超压可以由安全阀保护,但造成超压的事件情景有 多种。
独立性:IPL是与已验明的危险相关系统的其他保护层相独立的。 可信性:可信任IPL能执行所设计的那些功能(随机失效和系统失效)。 可审核性:它被设计成能有助于定期确认保护功能。安全系统的检验测试
SIL为多少?
答案:SIL1
4.SIL定级---风险图法(定性的选择) 在HAZOP研究中识别出一个SIF,存在200磅剧毒的碳酰氯
从制作聚碳酸酯树脂的反应器中释放出来的事故风险,该风险 将导致7.6人死亡,这种事故未减低风险的频率为每112年发生 一次。参照风险矩阵完成一个SIL选定。 由HAZOP报告可知: C:可能导致7.6人死亡; W:每112年发生一次 F:? P:?
(注:与企业制定的可结束风险有关) ------占有率(暴露区域被占用的概率)(F);在发生危险事件时段内暴露区 被占用的概率。FA FB ------避免风险状况的概率(P);如果要求时SIF失效,暴露的人员能够避免 存在的风险状况的概率。PA PB ------要求率(W);在所考虑的SIF不存在的情况下,每年发生危险状况的次 数。W1 W2 W3
4.SIL定级---风险图法(定性的选择)
HAZOP报告中的每次事件将导致7.6人死亡 所以占有率(F)和避免风险状况的概率(P)取FB和PB
4.SIL定级---风险图法(定性的选择)
上述SIL选定是在“这种事故未减低风险的频率为每112年发生一 次。”的状况下进行的,若存在可以有效降低该事故的发生概率,或 者是可以有效减轻事故后果的独立保护层的话,可以将SIF的SIL等级 降下来。
SIL定级及验证示
SIL定级及验证过程中,由于需要 进行大量的实验和测试,导致验 证成本较高。
利用虚拟仿真技术
通过利用虚拟仿真技术进行实验 和测试,降低物理实验的需求, 从而降低验证成本。
优化实验方案
通过优化实验方案,减少不必要 的实验和测试,降低验证成本。
共享资源
与其他机构或企业共享资源,共 同进行实验和测试,分摊验证成 本。
失效预防和缓解措施
制定相应的失效预防和缓解措施,包括冗余设计、故障检测与诊断、修复与恢 复等。
Part
03
SIL验证方法
模拟验证
总结词
模拟验证是一种常用的SIL验证方法,通过模拟设备或系统的运行状态和行为,评估其安全性能。
详细描述
模拟验证通过建立数学模型或仿真模型来模拟设备或系统的运行状态和行为,可以模拟各种异常情况 和故障模式,以测试系统在异常情况下的表现和安全性。这种方法可以在早期设计阶段进行,以发现 和解决潜在的安全问题,降低开发成本和风险。
引进具有丰富经验和专业技能的 专家和人才,提高团队的整体水 平。
Part
05
SIL定级及验证的未来发展
人工智能在SIL定级及验证中的应用
自动化SIL定级
利用人工智能技术,自动识别和评估系统的安全风险,为SIL定级提供更准确、高效的支持。
实时监测与预警
通过人工智能技术,实时监测系统运行状态,及时发现潜在的安全问题,为预防性维护和应急响应提供预警。
建立数据收集机制
通过建立数据收集机制,确保能够获取到足够的历史数据 和实时数据。
数据整合与分析
对收集到的数据进行整合、清洗和分析,提取出关键信息 ,为SIL定级和验证提供依据。
利用先进技术
利用大数据、机器学习等技术对数据进行处理和分析,提 高SIL定级和验证的准确性和可靠性。
功能安全评估 sil评估
功能安全评估 sil评估
SIL评估(Safety Integrity Level Evaluation),是针对功能安全的一种评估方法。
其主要目的是评估系统在设计、开发和运行过程中对安全相关功能的保证程度。
SIL评估的目标是确定系统的安全完整性级别(SIL),以确保其满足特定的安全要求。
这些安全要求通常包括针对系统故障的概率限制,以及系统在故障状态下的安全功能恢复能力。
SIL评估通常包括以下步骤:
1. 确定安全要求:确定系统需要满足的特定安全要求,包括故障率限制和安全功能要求。
2. 识别故障模式:对系统进行故障分析,识别可能的故障模式和故障类型。
3. 评估可靠性性能:根据系统的设计和开发文档,评估系统的可靠性性能,包括故障检测和故障修复能力。
4. 计算SIL级别:根据评估的可靠性性能,计算系统的SIL级别。
SIL级别通常分为四个级别,从SIL 4(最高)到SIL 1(最低)。
5. 验证和确认:对评估结果进行验证和确认,确保系统满足SIL级别的要求。
SIL评估是功能安全的重要组成部分,可以帮助开发者和设计者确保系统在运行过程中提供足够的安全保障。
通过对系统进行综合评估,可以识别可能的安全风险,并采取相应的措施来降低这些风险。
SIL定级及验证示例(两篇)
引言:本文将介绍SIL(SafetyIntegrityLevel)定级及验证的示例。
SIL是衡量系统安全性的指标,对于某些关键的工艺、设备或系统,必须对其进行SIL定级和验证,以确保其在设计、运行和维护过程中的可靠性。
本文以一个示例为基础,将介绍SIL定级的步骤、方法和验证的实施过程。
概述:SIL定级是通过对系统关键元素和功能的分析,以确定其对安全的贡献程度。
验证过程则是确认系统设计和实施是否满足所规定的SIL要求。
本文将以一个典型的工程控制系统为例,详细介绍SIL定级和验证的步骤、方法、关键要素及实施过程。
正文:一、需求分析与功能定义1.分析系统的功能和需求,定义系统的功能模块和关键元素。
2.与相关部门和人员沟通,明确系统在工艺过程中的安全要求,并将其转化为功能定义。
二、风险评估与SIL定级1.根据需求分析和功能定义,参考相关标准和法规要求,对系统面临的风险进行评估。
2.通过定性和定量方法对系统的可靠性进行分析,评估各个功能模块的影响程度。
3.根据评估结果,将系统的各个功能模块分级,确定其对安全性的贡献程度。
三、功能安全设计与实施1.根据SIL定级结果,制定功能安全设计的策略和方法。
2.根据功能定义和功能安全设计策略,进行详细的功能安全设计。
3.涉及到硬件和软件的实施过程中,需严格按照设计规范和标准要求进行操作。
4.对功能安全设计的实施过程进行记录和跟踪,确保符合相关要求。
四、验证计划与实施1.制定验证计划,明确验证的目的、方法、范围和时间表。
2.根据验证计划,实施各个功能模块的验证活动。
3.包括实际测试、仿真测试、故障注入等方法,验证功能模块的安全性能。
4.验证过程中,应及时记录和处理验证结果,并根据需要进行调整和改进。
五、验证结果和报告1.分析整个验证过程的结果,比较实际测试和设计要求的差异。
2.根据实际测试的结果,评估系统的可靠性和安全性能是否满足SIL要求。
3.撰写验证报告,明确验证的步骤、过程和结果,提供给相关部门和人员审查和评估。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[编者按] 本刊“安全控制技术”栏目自2005年开设以来,得到了广大读者的广泛关注与大力支持。
今年除了继续刊登这方面的优秀技术文章外,还特别增设一个板块“功能安全技术系列讲座”,共六讲,分别刊登在第一期至第六期,从功能安全的基本概念、方法、技术等各方面逐一深入讲解,使大家对功能安全有一个全面了解。
主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。
第三讲 基于风险的SIL确定技术主讲人简介:冯晓升,全国工业过程测量与控制标准化技术委员会主任委员,教授级高工。
一九八二年毕业于浙江大学。
不仅是IEC TC65 MT13工作组的中国专家,参与IEC 61508标准维护工作,还是IEC TC65 SC65C WG12工作组的中国专家,参与工业控制网络功能安全标准IEC 61784-3的制定。
同时又是等同采用IEC 61508的中国国家标准GB/T 20438.1~7的起草工作组组长,主持了国际功能安全标准的研究与中国国家标准GB/T 20438.1~7的制定工作,对功能安全标准及技术有深入研究。
冯晓升(机械工业仪器仪表综合技术经济研究所,北京市 100055)Fen g X iaosh en g(In strum en tation Tech n ology & E con om y In stitute, B eijin g 100055)Chapter 3: Confirmation Technology of SIL Based on RiskAbstract: T he paper explained th e confirm ation technology of S IL , and three m ethods to confirm th e S IL w ere given.Key words: S IL AL AR P【摘 要】【关键词】讲解基于风险的安全完整性等级确定技术,给出三种确定安全完整性等级的方法。
SIL ALARPSIL是安全相关系统的必备指标。
理论上,如何选择SIL取决于原有设备(未加装安全相关系统前的设备)的安全程度和加装安全相关系统后希望达到的安全程度。
实际操作时可能还要考虑一些技术的经济的甚至政治的问题。
SIL并非越高越好,但必须够用或起码能被接受。
SIL越高,意味着经济支出和管理要求都会相应提高。
所以SIL的选择要以合适为好。
图1是安全生命周期图。
SIL的选择是基于前三个步骤的第四步骤。
前三个步骤主要解决确定保护范围,即确定EUC的范围;找出危险源;评估危险源的风险;以及确定危险源的允许风险。
第四个步骤则是确定安全功能和安全功能的安全完整性等级,即SIL。
第五个步骤是将安全功能分配给具体的安全相关系统,同时对每个安全相关系统分配安全完整性等级,即确定每个安全相关系统的SIL。
下面就如何确定SIL的理论性问题和有些操作的原理性方法进行一个简要的介绍。
在这之前,先搞清几个概念。
1)必要的风险降低必要的风险降低是降低风险来保证在特定情况下不超过允许风险。
必要的风险降低的概念在开发E/E/PE安全相关系统的安全要求方面非常重要(特别是安全要求中的安全完整性部分)。
确定特定危险事件的允许风险的目的是说明危险事件的频率和其特定后果。
安全相关系统是为减少危险事件的频率或危险事件的后果而设计的。
2)允许风险允许风险是根据当今社会的水准,在给定的范围内能够接受的风险。
允许风险应依据许多因素(如伤害的严重程度、暴露在危险中的人数、暴露在危险中的频率和持续时间等)决定。
对于一个特定应用,允许风险的构成应考虑以下方面:* 相关权威安全法规的导则;* 与应用有关的不同团体的讨论与协议;* 工业标准。
国家标准和国际标准在确定特定应用的允许风险中起到越来越重要的作用;* 国际讨论和协议;* 来自咨询机构的最好的独立工业、专家和科学的建议;* 通用的和直接与特定应用有关的法律要求。
3)EUC风险EUC风险是EUC、EUC控制系统和有关人为因素在特定危险事件中存在的风险——在确定这一风险时未考虑指定的安全防护特性。
4)残余风险残余风险是使用了E/E/PE安全相关系统、外部风险降低设施和其它技术安全相关系统后, 仍存在于EUC的特定危险事件中的风险。
5) 风险和安全完整性正确区分并完全理解风险和安全完整性是非常重要的。
风险是对一个特定危险事件出现的概率和结果的估量,可以对不同情况的风险进行评价(EUC风险、要求满足允许风险的风险、实际风险)。
允许风险根据社会基础和有关社会和政治因素的考虑来确定。
安全完整性只应用于E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施,并作为这些系统在规定安全功能方面取得必要的风险降低概率的措施。
一旦确定了允许风险,并估计了必要的风险降低,就可分配安全相关系统的安全完整性要求。
安全相关系统在获取必要的风险降低方面所起的作用可由图2来说明。
图2 风险降低的通用概念在这里EUC风险是一个实际存在的值,允许风险是一个人为的值,两个值之间的差距是必要的风险降低。
从上面的概念中可以看出, 必要的风险降低是由安全相关系统来完成的,而安全相关系统的安全完整性必须与必要的风险降低相匹配。
EUC风险是靠评估获得的,允许风险的确定一般会遵照一些原则。
下面介绍一个较常用的确定允许风险的思想方法,即合理可行的和允许风险的概念,这是取得允许风险的一个基本原理,ALARP原理。
图3描述了规定工业风险的主要方法。
图3 允许风险和ALARP原理图图1 安全生命周期图3中:a) 风险非常大,完全不可接受b) 将产生或已产生的风险非常小,可以认为无关紧要c) 风险介于上述a)和b)之间,考虑接受风险带来的利益和任何进一步减小风险所需的成本,风险已被降低到可行的最低水平。
根据c),ALARP原理要求任何风险必须降低到可行的合理水平或与可行的合理水平一样低(最后5个字构成了缩写的ALARP)。
如果风险介于两个极限值之间(即不可行的区域和广泛可接受的区域),并应用了ALARP原理,这样产生的风险即这种特定应用的允许风险。
在一定的水平之上,风险被认为是不允许的,并且不能在任何正常情况下进行判断。
低于这一水平,存在一个允许区域,在此范围内可采取将有关风险降低到可行的合理水平的措施,在这里允许不同于可接受。
其表明这样一种愿望,即允许存在风险以保证一定利益,同时又期望它保持在可检查并能被减小的范围内。
在此要求一个或清楚或含蓄地权衡成本和需要其它附加安全措施的成本。
风险越高,需用于减少风险的花费会成比例的加大。
在可允许的极限,应对获得的利益和不成比例的花费进行判断。
此处将实质定义允许风险,并对相应努力的同等要求进行判断,既使风险只减小了一点。
当风险较不明显时,也只需较小比例花费去减小风险,在允许区域的低值端,会达到成本与利益的平衡。
在低于允许区域,风险的水平被认为是非常不明显的,不需要进一步改善。
这是一个广泛接受区域,在此区域内风险小于我们每天会实际经历的风险,无需为论证ALARP进行细致工作。
但需提高警惕以确保风险维持在这一水平。
当采用定性或定量的风险目标时可使用ALARP的概念。
允许风险的确定:获得允许风险目标的一个方法是对于一系列确定的后果分配允许频率。
后果与允许频率的匹配应在有关机构中讨论并达成一致(如安全管理政府机构、产生风险的机构和承受风险的机构)。
考虑ALARP概念,后果与允许频率的匹配可通过风险等级确定。
表1是一系列后果和频率的四种风险等级(1、2、3、4)的示例。
表2使用ALARP概念解释了每一风险等级。
四种风险等级中的每一种描述都依据图3。
这些风险等级定义中的风险是采取风险降低措施后出现的风险。
根据图3,风险等级如下:* 风险等级1在不允许区域;* 风险等级2和3在ALARP区域,风险等级2正好在ALARP区域内;* 风险等级4在广泛可接受区域。
对每一种规定的情况或可比较的工业领域,应考虑大量的社会、政治和经济因素,并开发类似于表1的表。
每一后果将与频率相匹配,并将风险等级填入表中。
例如,表1中的频率可指明很可能持续出现的事件可能被规定频率大于每年10次。
一个危险的后果是个体死亡或大量严重伤害或严重职业病。
表1 意外事件的风险等级示例表2 风险等级解释确定了允许风险后,理论上就可以得出安全完整性等级了,但实际情况要复杂的多。
下面介绍几种方法。
1)安全完整性等级的确定:一种定量方法该方法描述了如何通过采用一种定量方法来确定安全完整性等级,并说明如何使用表1中的信息。
这种定量方法是一种特定值,即当以数据形式规定了允许风险(如一个特定的后果不能以大于1次/104年的频率出现)后,对安全相关系统的安全完整性等级的数字目标进行规定。
这里不是提供明确的方法而是说明一般原理。
一般方法:说明一般原理的模式已在图2中表示。
方法中的关键步骤如下(这些步骤需要对由E/E/PE安全相关系统实现的每一安全功能来实施):* 从类似表1的表中确定允许风险;* 确定EUC风险;* 确定满足允许风险的必要的风险降低;* 将必要的风险降低分配到E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施。
表1应填入风险频率和规定的数字允许风险目标(Ft)。
与EUC存在的风险有关的频率,包括EUC控制系统和人的因素(EUC风险),在没有任何防护因素时,可使用定量风险评估方法进行估计。
没有防护因素时危险事件可能出现的频率(Fnp)是EUC风险两个构成部分之一;另一构成部分是危险事件的后果。
Fnp可由下确定:* 从可比较的情况分析失效率;* 有关数据库的数据;* 使用适当的预计方法进行计算。
计算示例:图4提供了一个如何计算单一安全防护系统的目标安全完整性的示例。
对这一情况:PFDavg≤Ft/Fnp式中:PFDavg——安全防护系统要求的失效平均概率,即低要求操作模式下操作的安全防护系统的安全完整性失效量;Ft——允许风险频率;Fnp——对安全防护系统的要求率,即没有防护因素时危险事件可能出现的频率。
另外在图4中:* C是危险事件的后果* Fp是具有防护因素的风险频率可以看出,因为Fnp与PFDavg的关系,以及由此引起的与安全防护系统的安全完整性等级的关系,可以确定EUC的Fnp是很重要的。
获得安全完整性等级(当后果C保持不变时)的必要步骤如下(图4所示),这是针对全部必要的风险降低是通过单一安全防护系统得到的情况,该安全防图4 安全防护系统示例护系统必须将危险率从Fnp至少减小至Ft:* 确定不附加任何防护因素的EUC风险的频率因素(Fnp);* 确定不附加任何防护因素的后果C;* 通过使用表1,确定无论频率还是后果是否达到允许风险等级。