确定安全完整性等级(SIL)需求的方法
安全完整性等级(SIL)验算方法及流程
2020年06月作业申请人在电脑端发起申请后,作业审批人员在移动端查看管辖范围内的待审批作业票,对符合作条件的作业票进行批复。
图1直接作业管理系统流程框架作业计划时间前作业票签发相关人员抵达作业现场,由施工单位技术人员向作业人员进行技术和安全交底,并通过移动端拍照留痕,并提交到系统。
对于需要进行采样检测的作业,需同步开展采样检测,并将采样检测结果输入至系统中。
作业票由作业申请人现场填报作业人员相关信息后生成,作业票由监护人员进行安全条件确认签字和签发人签字后签发。
为保证签字人现场签字,通过人员定位和人脸识别实现定位签发,证件真伪通过OCR 证件识别比照基础信息库信息和外部查询网站信息识别。
作业完工后,监护人现场定位签字验收。
作业流程从现场交底到完工验收全程实现视频监控,具有权限的用户可通过移动端远程查看现场作业场景。
同时具有权限用户也可在GIS 地图查看作业分布情况。
当作业完工验收后,作业票据及相关信息会上传至系统,系统会对作业情况进行分析,形成分析报告。
4结语直接作业信息管理系统的开发应用,能够规范管道企业直接作业流程,解决目前作业环节中存在的关键问题,实现直接作业管理现场透明化、作业标准化、系统信息化,颠覆直接作业传统管理形式。
对于提升和优化直接作业的安全管理,保障直接作业作业过程安全具有重要意义。
参考文献:[1]张少春,丁元华.天然气管道运营企业直接作业环节HSE 管理探讨[J].中国石油和化工标准与质量,2017,(10):47-48.[2]李成承,周玉峰.化工装置直接作业环节安全管理对策[J].安全、健康和环境,2018,18(11):53-55.[3]李彬,张建辉.浅谈石化企业直接作业环节的安全监管[J].石油化工安全环保技术,2019,35(5):3-5.[4]施红勋,王秀香,牟善军,等.石化企业作业票证移动定位签发系统的研发与应用[J].中国安全生产科学技术,2014,10(增):124-128.[5]刘珍,陈全.铜冶炼企业风险数据库与作业许可管理信息系统研发[J].工业安全与环保,2017,43(9):71-74.作者简介:邓付平(1986-),男,从事生产安全管理工作。
安全仪表系统(sis)的sil评估
亡问题,并且会造成巨额的经济损失,因此在过程工业中必须要开展安全仪表系统的安全评定,确保其安全性。
相关资料显示,在过程工业所出现的安全事故中,很多都是由于安全仪表系统存在问题导致的,安全仪表系统安全要求不合理,或者是对其进行了不恰当改造等因素,是导致出现安全事故的重要因素。
如果安全仪表系统的设计存在不合理的问题,那么可能会出现两方面问题:一方面,可能导致其在该跳车时不进行动作,出现拒动,拒动极有可能造成安全事故,甚至造成灾难性的后果;另一方面则是在不应该跳车时进行动作,造成误动,进而导致装置停车,会给企业带来比较严重的经济损失。
因此保证安全仪表系统的安全性具有重要意义,这就需要对其进行完整性评估,定量可靠性计算是最为重要的和有效的途径,通过这样的方式能够有效的防止各类事故的发生。
3 安全仪表系统功能安全评估等级划分相关标准对过程安全的安全等级进行了划分,IEC-61508将其划分为4个等级(SIL1-SIL4)。
而ISA-S84.01,则按照系统不响应连锁要求的概率对安全度等级进行了划分,分为了3级(SIL1-SIL3)。
我国当前根据自身的实际情况,按照所有事件发生的可能性、其可能导致后果的严重程度,以及其它安全措施的有效性等进行评估,并基于其制定了适当的安全等级,SIL 共分为1、2、3、4几个等级,级别越高则表示要求其危险失效概率越低。
其中,1级表示故障的发生概率很低。
如出现了事故,其所能够造成的影响也比较低,装置和产品可能受到轻微的影响,但是不会立即造成环境污染或者是人员伤亡,造成的经济损失不大;2级则表示事故偶尔发生。
如果出现事故则会给装置和产品造成比较大的影响,并有一定几率造成严重的环境污染,甚至人员伤亡,造成的经济损失比较大;3级事故则表示,事故发生的频率很高。
如果发生事故则会严重的影响到装置和产品,并且造成比较严重的环境问题,以及会导致人员出现伤亡,造成非常严重的经济损失。
评估安全完整性等级SIL 的主要参数就是PFDavg (probabilityoffailureon demand 平均危险故障率),按照从高到低将划分为1、2、3、4四个等级。
SIL定级及验证示例
根据设备类型、系统复 杂性和风险分析结果等 因素,选择合适的SIL定 级方法,如基于失效模 式、基于安全功能等。
根据风险分析结果和所 选的定级方法,确定系 统或设备的安全完整性 等级。
根据确定的SIL等级和安 全目标,制定相应的安 全计划,包括安全功能 设计、测试和验证等。
建议:如何提高SIL定级的有效性
推广SIL理念和应用
推广SIL理念和应用,鼓励更多的企业和组织采 用SIL定级方法,以确保设备和系统的安全性和 可靠性。
感谢您的观看
THANKS
示例一:SIL3级定级及验证
要点一
总结词
在SIL3级定级及验证中,系统的安全性和可靠性要求最 高,需要对系统进行全面的安全分析和评估,确保系 统在任何情况下都能够安全运行。
要点二
详细描述
SIL3级定级及验证通常需要制定更为严格的安全策略和 防护措施,包括对系统中的所有设备和软件进行严格 的安全检测和测试,确保系统在面临各种异常情况时 仍能保持安全运行。在验证方面,需要采用多种测试 方法对系统进行全面的测试,包括功能测试、性能测 试、安全测试等,以确保系统的安全性和可靠性达到 预期要求。
充分了解设备或系统的特性
在进行SIL定级时,需要对设备或系统的特性有充 分的了解,包括设备的工作原理、系统的功能和 运行环境等。
考虑系统的实际运行环境
在确定SIL等级时,需要考虑系统的实际运行环境 ,包括温度、湿度、压力、电磁干扰等环境因素 。
选择有经验的专家进行定级
SIL定级需要专业的知识和经验,应选择有经验的 专家进行定级,以确保定级的准确性和有效性。
风险评估
对测试过程中可能出现的风 险进行评估,并制定相应的 应对措施。
测试用例
SIL定级分析方法说明
v1.0 可编辑可修改1 SIL 定级分析方法SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。
安全完整性等级(SIL)由两部分组成:硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。
安全完整性等级(SIL)是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。
SIL 等级的说明参见表。
表–安全完整性等级(SIL)划分需求时的失效概率(PFD)目标风险降低系数SIL 1~10~100SIL 2~100~1000SIL 3~1000~10000SIL 4~10000~100000SIL 定级分析方法应用风险评价矩阵和保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。
SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。
结合相应的工艺流程设计、联锁设置和HAZOP 分析结果,来识别、分析装置中各联锁是否承担安全功能,是否属于安全仪表功能(SIF)回路。
对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率是什么。
综合考虑和分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平和公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。
这些风险包括人员伤亡、环境破坏以及直接和间接经济损失。
确定SIL 的目的是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。
v1.0 可编辑可修改该研究方法的特点是:保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果和各种保护措施等;风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。
SIL定级分析方法说明
1 SIL 定级分析方法1、1 SIL 定义IEC 61511(参考文献[i])中对安全完整性等级(SIL)的定义就是指在一定时间、一定条件下,安全相关系统执行其所定义的安全功能的可靠性。
安全完整性等级(SIL)由两部分组成:•硬件安全完整性等级,这部分的安全完整性与随机硬件危险失效有关,主要体现在安全仪表功能的运行过程中,与部件的功能退化及老化等有关;•系统安全完整性等级,这部分的安全完整性与系统的危险失效有关,主要与系统设计、制造流程、变更改造、操作规划以及文档记录等有关。
安全完整性等级(SIL)就是一种离散的等级,用于规定分配给安全仪表系统中安全功能回路在需求时的失效概率。
SIL 等级的说明参见表1、1。
1、2应用风险评价矩阵与保护层分析(LOPA)方法,基于IEC 61508/61511 标准来评价装置现有的安全功能回路所需的安全完整性等级(SIL)。
SIL 定级分析采取会议的形式,利用头脑风暴的方法进行。
结合相应的工艺流程设计、联锁设置与HAZOP 分析结果,来识别、分析装置中各联锁就是否承担安全功能,就是否属于安全仪表功能(SIF)回路。
对于所识别出来的安全仪表功能回路,则进一步分析对此安全功能产生要求的因素有哪些,其要求频率就是什么。
综合考虑与分析所需保护设备或系统中已有的各类保护措施,并讨论其降低风险的有效性;依据残余风险的水平与公司风险可接受水平的高低来判定所需安全仪表功能回路的完整性等级。
这些风险包括人员伤亡、环境破坏以及直接与间接经济损失。
确定SIL 的目的就是通过应用可靠的安全仪表系统来降低危害事件的风险,从而把系统的风险降低到可接受水平。
该研究方法的特点就是:•保护层分析(LOPA):用于分析工艺流程中所保护对象可能发生的危害事件偏离情形,以及导致危害事件产生的原因、后果与各种保护措施等;•风险等级矩阵:利用风险等级矩阵来确定各个安全仪表功能(SIF)回路所需求的安全完整性等级(SIL)。
确定安全完整性等级(SIL)需求的方法
确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。
对于具有安全功能的系统,SIL是对其质量或者说靠性进行的一种度量,具体来说,就是对系统能否按预期执行相应功能的可信赖程度的一种度量。
本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法:风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限,特别是针对风险图表法。
同时也给何种情况下应选择何种方法的推荐标准。
2SIL的定义相关标准承认,不同的安全功能,其所需的运作方式也迥然不同。
很多功能的实际使用频率非常低,比如汽车的如下两项功能:∙防抱死系统(ABS)。
(当然,这跟司机也有关系)∙安全气囊(SRS)另一方面,有些功能的使用频率很高,甚至是持续运作的,比如汽车的这两项功能:∙刹车∙转向如此,一个根本性的问题便是:这两种类型的功能,其发生故障的频度达到多大会导致事故的发生?针对二者的答案是不同的:∙对于使用频率低者,事故频率由两个参数构成:1)功能的使用频率2)当使用时,该功能发生故障的概率——故障概率(PFD)因此,这种情况下,PFD便能恰当地衡量该功能的性能表现,而PFD的倒数则称为:风险消除因数(RRF)。
∙对于使用频率高者,或持续运作的功能,能恰当地衡量其表现的数据则是故障频率(λ),或者平均无故障时间(MTTF)。
假设故障的发生呈指数分布,则MTTF与λ互为倒数。
当然,以上的两种表达方式并不是独立的,而是相互关联的。
最简单地,假设可以以一个比正常使用频率高的频度对某功能进行检验,则以下关系成立:PFD = λT/2 = T/(2xMTTF) 或者:RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔(注意:若要将事故速率显著降低到故障速率λ以下,检验频率1/T应至少为正常使用频率的两倍,最好是能达到5倍或更高。
)但这两者却是不同的量:PFD是一个概率,是无量纲量;λ是一个速率,量纲是t-1 。
安全评价资质 sil评估
安全评价资质 sil评估
SIL(Safety Integrity Level,安全完整水平)是一种用于评估安全系统的资质,目的是确定系统的可靠性和安全性水平。
SIL评估是根据国际标准IEC 61508(功能安全)和IEC 61511(过程工业安全系统)进行的。
这些标准定义了安全系统的要求和规范,并提供了一套评估方法和工具,以便确定系统的SIL等级。
SIL评估一般包括以下步骤:
1. 安全要求分析(SRS):根据系统的功能和安全要求,确定系统的安全目标和功能。
2. 危险性和可靠性分析(HRA):识别和评估潜在的危险和故障情况,以确定系统的安全完整性水平。
3. 安全完整性级别(SIL)确定:根据HRA的结果,确定系统的SIL等级,通常分为SIL 1至SIL 4。
4. 定义安全功能:根据SIL等级,确定实施安全功能所需的硬件和软件要求。
5. 验证和验证:对实施的安全功能进行验证和验证,以确保其满足SIL要求。
SIL评估是一项专业的技术工作,需要有相关领域的专业知识
和经验。
通常由专门的工程师、安全专家或独立的第三方机构进行评估。
评估结果被用于指导安全系统的设计、实施和监督,以确保系统在操作过程中的安全性和可靠性。
SIL定级及验证示
SIL定级及验证过程中,由于需要 进行大量的实验和测试,导致验 证成本较高。
利用虚拟仿真技术
通过利用虚拟仿真技术进行实验 和测试,降低物理实验的需求, 从而降低验证成本。
优化实验方案
通过优化实验方案,减少不必要 的实验和测试,降低验证成本。
共享资源
与其他机构或企业共享资源,共 同进行实验和测试,分摊验证成 本。
失效预防和缓解措施
制定相应的失效预防和缓解措施,包括冗余设计、故障检测与诊断、修复与恢 复等。
Part
03
SIL验证方法
模拟验证
总结词
模拟验证是一种常用的SIL验证方法,通过模拟设备或系统的运行状态和行为,评估其安全性能。
详细描述
模拟验证通过建立数学模型或仿真模型来模拟设备或系统的运行状态和行为,可以模拟各种异常情况 和故障模式,以测试系统在异常情况下的表现和安全性。这种方法可以在早期设计阶段进行,以发现 和解决潜在的安全问题,降低开发成本和风险。
引进具有丰富经验和专业技能的 专家和人才,提高团队的整体水 平。
Part
05
SIL定级及验证的未来发展
人工智能在SIL定级及验证中的应用
自动化SIL定级
利用人工智能技术,自动识别和评估系统的安全风险,为SIL定级提供更准确、高效的支持。
实时监测与预警
通过人工智能技术,实时监测系统运行状态,及时发现潜在的安全问题,为预防性维护和应急响应提供预警。
建立数据收集机制
通过建立数据收集机制,确保能够获取到足够的历史数据 和实时数据。
数据整合与分析
对收集到的数据进行整合、清洗和分析,提取出关键信息 ,为SIL定级和验证提供依据。
利用先进技术
利用大数据、机器学习等技术对数据进行处理和分析,提 高SIL定级和验证的准确性和可靠性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。
对于具有安全功能的系统,SIL是对其质量或者说靠性进行的一种度量,具体来说,就是对系统能否按预期执行相应功能的可信赖程度的一种度量。
本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法:风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限,特别是针对风险图表法。
同时也给何种情况下应选择何种方法的推荐标准。
2SIL的定义相关标准承认,不同的安全功能,其所需的运作方式也迥然不同。
很多功能的实际使用频率非常低,比如汽车的如下两项功能:•防抱死系统(ABS)。
(当然,这跟司机也有关系)•安全气囊(SRS)另一方面,有些功能的使用频率很高,甚至是持续运作的,比如汽车的这两项功能:•刹车•转向如此,一个根本性的问题便是:这两种类型的功能,其发生故障的频度达到多大会导致事故的发生?针对二者的答案是不同的:•对于使用频率低者,事故频率由两个参数构成:1)功能的使用频率2)当使用时,该功能发生故障的概率——故障概率(PFD)因此,这种情况下,PFD便能恰当地衡量该功能的性能表现,而PFD的倒数则称为:风险消除因数(RRF)。
•对于使用频率高者,或持续运作的功能,能恰当地衡量其表现的数据则是故障频率(λ),或者平均无故障时间(MTTF)。
假设故障的发生呈指数分布,则MTTF与λ互为倒数。
当然,以上的两种表达方式并不是独立的,而是相互关联的。
最简单地,假设可以以一个比正常使用频率高的频度对某功能进行检验,则以下关系成立:PFD = λT/2 = T/(2xMTTF) 或者:RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔(注意:若要将事故速率显著降低到故障速率λ以下,检验频率1/T应至少为正常使用频率的两倍,最好是能达到5倍或更高。
)但这两者却是不同的量:PFD是一个概率,是无量纲量;λ是一个速率,量纲是t-1 。
然而标准中对两种度量都使用相同的术语——SIL,定义见下表:表1 – BS EN 61508 中低使用频率下的SIL定义表2 – BS EN 61508 中高使用频率或持续运作下的SIL定义在低使用频率模式下,SIL是PFD的代表;在高使用频率或持续运作模式下,SIL则是故障速率的代表。
(在标准中,高低使用频率的分界大体上被设置在每年一次,这与3到6个月的检验间隔是相符的。
在很多情况下,要使检验间隔比这更短也不大可行。
)现在,考虑有这样一项功能,它可以同时对两种危险进行保护:其中一种平均两周发生一次,约合25次每年,也就是高使用频率型;另一种大约10年发生一次,也就是低使用频率型。
如果该功能的平均无故障时间为50年,那么对高频危险的保护将达到SIL1级别。
同时,对于低频危险的保护来说,高频危险的发生有效地检验了该功能。
其他条件相同的情况下,对低频危险的防护等级实际上达到了:PFD = 0.04/(2x50) = 4 x 10-4即:SIL3那么,该功能达到的SIL等级究竟为何呢?显然答案不是唯一的,而是取决于具体保护的危险,特别是危险发生的频率是高还是低。
①此栏并非标准中所定义,但通常RRF比PFD更易处理。
②此栏并非标准中所定义,但作者发现在过程工业领域,这些近似的MTTF值更有用,因为在这里,时间更多地是以年来计,而不是小时。
在前一种情况下,可以达到的SIL等级是由设备的内在属性决定的;后一种情况下,尽管设备的内在属性也很重要,但是可以达到的SIL等级同样受检验制度的影响,这在过程工业领域很重要。
在这里,可达到的SIL等级易受现场设备(过程仪表以及其他特别是末端设备如关断阀等)可靠性的影响。
这些现场设备需要定期地检验方能达到需求的SIL等级。
每天和标准打交道的人可能对这些定义的区别非常了解,但对于偶尔使用的人还是容易混淆的。
3确定SIL需求的一些方法BS EN 61508 提供了三种确定SIL需求的方法:•定量法。
•风险图表法,在标准中被作为定性方法。
•伤害事件严重性矩阵,在标准中同样被作为定性方法。
BS IEC 61511 则提供了:•半定量法。
•安全层级矩阵模型,被作为半定性方法。
•标准化风险图表法,在标准中被作为半定性方法,但业内也有些作为半定量方法。
•风险图表法,被作为定性方法。
•保护层级分析(LOPA)。
(尽管标准并未指明是定性还是定量,但该方法是倾向于定量的。
)风险图表法和保护层级分析是两种流行的确定SIL需求的方法,特别是在过程工业领域。
两者的优势和弊端以及应用范围是本文的主要议题。
4风险图表法风险图表法广泛使用的原因将在下文中介绍。
典型的风险图表见图1。
C为后果参数,C A-C D表示不同的后果等级。
F为频率与暴露时间参数。
P为避免伤害的可能性。
W为无保护状态下,危险发生的速率。
图中的参数可被给予定性的描述,如:C C≡造成数人死亡。
或定量的描述,如C C≡发生死亡的概率为0.1到1.0。
图1 –典型的风险图表第一种定义规避了问题的实质:“数人”是多少人?在实际应用中,要评估SIL需求是非常困难的,除非有一套公认的,以定量范围的术语给出的参数值定义。
这些定义可能按照评估机构的风险准则标准化过,也可能没有,但这里,方法已经变成半定量的了(或许是半定性?当然一定是在定量和定性两种极端之间的某个位置。
)表3给出了一套典型的定义表3 –风险图表参数的典型定义4.1 优势风险图表法具有如下优势:•是一种半定性/半定量的方法▪不需要精确的伤害发生速率、后果以及其他参数的值▪不需要专业的计算或复杂的建模▪只要对应用领域心里“有谱”的人就可以使用•通常作为一种团队实践,类似于HAZOP[译注:危险与可操作性分析]▪个人偏见得以消除▪对于风险与危害的理解得以在团队成员间传播(如从设计、操作、维护等不同位置得出的理解)▪个人易忽视的问题得以被发现▪需要计划和制度•不需要详细学习相对轻微的伤害▪可以相对较快的速度评估多种危害▪可作为一种有效的筛查工具用于识别:-需要更细致评估的危害-无需额外防护的轻度危害由此可使资源和维护成本投向更有效的方向,生命周期成本也得以优化。
4.2 残余风险范围的问题考虑例子中的参数分别取:C C,F B,P B,W2,这样表示需要达到SIL3 的防护。
C C≡每次事故发生死亡的概率在0.1到1F B≡暴露时间≥ 10%P B≡伤害不可避免的可能性≥ 10%W2≡ 3到30年发生一次SIL3 ≡ 10000 ≥ RRF ≥ 1000假设所有参数均位于其范围的几何平均数处:后果 = √(0.1 x 1.0) = 每次事故发生死亡的概率为0.32暴露时间 = √(10% x 100%) = 32%不可避免性 = √(10% x 100%) = 32%发生速率 = √(3 x 30) ≈ 10年发生一次RRF = = √(1000 x 10000) ≈ 3200(注意:之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标定的)考虑不加保护的危害:风险最大值 = (1 x 100% x 100%)/3 ≈每3年有一人因事故死亡风险几何平均值= (0.32 x 32% x 32%)/10 = 每300年有一人因事故死亡风险最小值 = (1 x 10% x 10%)/30 ≈每30000年有一人因事故死亡即:不加保护的风险从最小到最大有着4个数量级之差。
考虑加以SIL3级别的保护则:残余风险最大值≈ (3 x 1000) = 每3000年有一人因事故死亡残余风险几何平均值≈ (300 x 3200) ≈每100万年有一人因事故死亡残余风险最小值≈ (30000 x 10000) = 每3000万年有一人因事故死亡即:加以保护后的风险从最小到最大有着5个数量级之差。
图2给出了基于平均情况的原理表示图2 – BS IEC 61511 中的风险消除模型对此单一的危害,一个合理的控制目标差不多在每10万年有一人因事故死亡。
在最不利的情况下,我们只能达到目标值30分之一的风险消除程度;而平均情况下,能得到10倍于目标的风险消除程度;在最有利的情况下,能得到3000倍于目标的风险消除程度。
当然,实际上不可能所有参数都处在极限值上,但总的来说,这种方法必须给出一个保守的结果,以免风险消除的需求被低估。
管理残余风险范围中内在的不确定性以期得到一个保守结果的方法包括:•校准图表,以使平均残余风险远低于目标值,如前所述。
•谨慎选择参数值,即对参数值的选取存在不确定时,选择偏保守者。
•仅当任何单一危害的平均残余风险在总体的风险控制目标中都只占很小的比例时,才应使用此方法。
假设有许多不同的系统或功能对不同的危害进行保护,那么这些危害总的平均残余风险在总体的风险控制目标中将只占很小的比例,于是单一危害被低估了的残余风险在总体风险控制目标中占据的比例更小,而且在风险合并的时候,会和被高估了的危害相互抵偿掉。
保守的结果同时也带来严重的成本上升,特别是当得出更高的SIL需求时。
4.3 在过程工业中的应用在过程工业中,风险图表被广泛用于评估各种跳闸、关断、泄放等功能——高低压力、温度、液位、流量等等,这些在典型的过程工业工厂中经常能见到。
在这个应用领域中,前文所述的优势十分确切,而且将许多功能的风险进行合并也是行得通的。
图3 –高压关断功能图3 表示了一个典型的功能。
目标是评估其装备的超压力关断功能(在BS IEC 61511的术语中,这被称为一种“安全仪表功能”(SIF),其是由“安全仪表系统”(SIS)来实现的)。
随即产生的一个问题便是:容器上的安全阀同样对其进行超压保护,在类似这种情况下采用典型的风险图表时,该如何处理这个安全阀?这种有SIF备份的机械保护很常见。
可选的处理方式有三种:•假设安全阀总能正常动作。
•假设安全阀总是不动作。
•以上二者之间。
UKOOA[译注:英国海上作业者协会]导则(KUOOA 1999)推荐第一种方式,但故障率数据无法证明其合理性。
第二种方式则易导致SIL需求被高估从而致使成本上升,因此不被推荐。
相关标准给出的指导意见见表4。
表4 –标准中关于在使用风险图表时如何处理“其他技术的安全相关系统”的指导意见一种遵循标准且被证明有效的近似是:1. 基于没有任何保护的情况,即:在使用SIF或任何机械保护之前,得出一个总体的风险消除(SIL)需求。
2. 扣除机械设备的影响,通常安全阀相当于SIL2(可用的故障率数据证明了其合理性,而且也被BS IEC 61511,第三部分,附录F所支持)3. 需求的SIL等级就是在第一步中得到的等级减去2(或机械保护相应的SIL等级)。