范詠峰，唐彬

(1. 中科合成油工程有限公司，北京 100028；2. 天津市居安企業(yè)管理咨詢有限公司，天津 300200)

SILa的概念和實施方案一直存在較多的爭論，比如： 有人認為SILa是風(fēng)險圖法中的概念，不應(yīng)該用于保護層分析(LOPA)；有人認為SILa沒有達到SIL1級別，這部分風(fēng)險可以忽略；還有人認為SILa要按照SIL1執(zhí)行。

本文從風(fēng)險降低的目的出發(fā)，從方法論上分析SILa的概念。SILa代表現(xiàn)有風(fēng)險降低手段還沒有將初始風(fēng)險降低到可接受風(fēng)險，還存在風(fēng)險缺口，應(yīng)該重視這部分風(fēng)險，需要時可以進行“盡可能合理降低”原則ALARP(as low as reasonably practicable)分析，并需要考慮其他相關(guān)因素。比如有些行業(yè)或者企業(yè)規(guī)定如果后果嚴重程度為人身傷亡1～2人或者后果嚴重程度為更高，本著“以人為本”的原則，通常不采用ALARP分析減少風(fēng)險降低措施，而是盡可能地將風(fēng)險降低到可接受水平。以此為原則，如果后果嚴重程度為人身傷亡1～2人，經(jīng)過LOPA分析得出進一步安全措施的需求為SILa，這時應(yīng)切實地做好這部分風(fēng)險降低的設(shè)計和實施，不應(yīng)忽略這部分風(fēng)險。

1 風(fēng)險的定義

風(fēng)險是傷害發(fā)生的頻率與該傷害嚴重程度的組合。風(fēng)險有兩個部分組成： 可能性/頻率，可能性越高，危險越大；后果嚴重程度，嚴重程度越高，危險越大。按照影響對象后果可以分為人員傷亡、財產(chǎn)損失、環(huán)境污染、聲譽影響等。

降低風(fēng)險的措施有： 降低事件發(fā)生的可能性，降低事件后果的嚴重程度，同時降低事件發(fā)生的可能性和后果嚴重程度。

風(fēng)險分為廠外風(fēng)險和廠內(nèi)風(fēng)險，HAZOP和LOPA分析中通常采用的是廠內(nèi)風(fēng)險標準。不同國家、不同行業(yè)、不同企業(yè)風(fēng)險標準有所不同。

2 可容忍風(fēng)險

沒有絕對的零風(fēng)險，只有可容忍風(fēng)險?？扇萑田L(fēng)險指的是根據(jù)當前社會發(fā)展水平，在給定的范圍內(nèi)能夠接受的風(fēng)險?？扇萑田L(fēng)險細分為可容許風(fēng)險和可忽略風(fēng)險，這兩者風(fēng)險之間的區(qū)域為ALARP風(fēng)險區(qū)域。可容忍風(fēng)險示例見表1所列。

表1 可容忍風(fēng)險示例

3 “盡可能合理降低”原則

ALARP原則指在當前的技術(shù)條件和合理的費用下，對風(fēng)險的控制要做到在合理可行的原則下“盡可能得低”。ALARP原則示意如圖1所示，按照ALARP原則，風(fēng)險區(qū)域可分為以下幾種：

1)不可接受的風(fēng)險區(qū)域。在該區(qū)域，除非特殊情況，風(fēng)險是不可接受的。

2)允許的風(fēng)險區(qū)域。在該區(qū)域內(nèi)必須滿足以下條件之一時，風(fēng)險才是可允許的：

a)在當前的技術(shù)條件下，進一步降低風(fēng)險不可行。

b)降低風(fēng)險所需的成本遠遠大于降低風(fēng)險所獲得的收益。

3)廣泛可接受的風(fēng)險區(qū)域。在該區(qū)域，剩余風(fēng)險水平是可忽略的，一般不要求進一步采取措施降低風(fēng)險。

圖1 ALARP原則示意

4 風(fēng)險降低措施

風(fēng)險降低措施通常通過獨立保護層實現(xiàn)，一些常見的獨立保護層如： 基本過程控制系統(tǒng)(BPCS)、報警及響應(yīng)、安全儀表功能(SIF)、安全閥、防火堤等。所有的環(huán)節(jié)均應(yīng)滿足相關(guān)法規(guī)及標準的要求。風(fēng)險降低措施如圖2所示，安全閥同時具有預(yù)防措施和減緩措施兩種屬性。

圖2 風(fēng)險降低措施示意

5 確定安全完整性等級的方法

安全完整性是SIF達到規(guī)定安全功能的可能性的一個度量。一旦確定了目標風(fēng)險并估算了必要的風(fēng)險降低，就能分配SIS的安全完整性要求。確定安全完整性等級的方法有多種，包括安全矩陣法、風(fēng)險圖法、保護層分析法等。石油化工通常采用保護層分析法。

6 SILa的定義和標準中的相關(guān)要求

6.1 SILa的定義

本文對于SILa的定義見表2所列。

表2 SILa的定義

6.2 標準中的相關(guān)要求

6.2.1GB/T 21109中的相關(guān)描述

GB/T21109.3—2007《過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第3部分： 確定要求的安全完整性等級的指南》中附錄D半定性方法： 校正的風(fēng)險圖中關(guān)于SILa的描述如圖3所示，其中，a表示無特殊安全要求且相當于SILa；b表示單獨一個SIF是不夠的；C表示后果參數(shù)；F表示暴露時間參數(shù)；P表示避免危險事件的概率；W表示在所考慮的SIF不存在時的每年發(fā)生危險事件的次數(shù)；—表示無安全要求；1，2，3，4表示安全完整性等級。

圖3 通用型式的風(fēng)險圖示意

GB/T 21109.3—2007中附錄E定性方法： 風(fēng)險圖中GB/T 21109，DIN V 19250和VDI/VDE 2180之間的關(guān)系如圖4所示，AK1相當于SILa。

圖4 GB/T 21109，DIN V 19250和VDI/VDE 2180之間的關(guān)系示意

6.2.2VDI/VDE 2180 Blatt1 Entwurf： 2018中的相關(guān)描述

有關(guān)SIL0的示意如圖5和圖6所示，SIL0相當于SILa。

6.3 標準中相關(guān)要求的總結(jié)

雖然上述所列標準的要求不能和表2中關(guān)于SILa的定義完全對應(yīng)，但是方法論上和描述風(fēng)險以及降低風(fēng)險等方面是相通的，SILa只是一個代號，本文采用SILa來描述的安全功能故障值落在表2定義的區(qū)間對應(yīng)的風(fēng)險降低需求量。

7 需要SILa級別的風(fēng)險降低措施的時機

LOPA等安全分析后得出的安全功能故障值處于表2定義的區(qū)間時，通常需要配置SILa級別的風(fēng)險降低措施，除非經(jīng)ALARP分析后可以忽略這部分的風(fēng)險降低需求。分析風(fēng)險是否可接受的(Ft/Fnp)流程如圖7所示，其中，F(xiàn)t為后果可容忍頻率；Fnp為不考慮SIS保護的后果發(fā)生頻率(考慮SIS以外的其他保護)，當Ft/Fnp<1時需要進一步降低風(fēng)險。

圖5 VDI/VDE 2180 Blatt1 Entwurf： 2018中關(guān)于SIL0的示意

圖6 VDI/VDE 2180 Blatt1 Entwurf： 2018風(fēng)險圖關(guān)于SIL0的描述示意

8 SILa實施方案

SILa可以在BPCS或者SIS中實現(xiàn)，不需要滿足GB/T 50770—2013《石油化工安全儀表系統(tǒng)設(shè)計規(guī)范》和GB/T21109.3—2007等標準，但需要滿足其他相關(guān)標準的要求，比如BPCS，報警管理等標準的要求。在實際工程實施中應(yīng)注意以下的環(huán)節(jié)：

1)對于一個事故場景，BPCS不能提供保護兩次以上，最多只允許參與兩個獨立保護層，并且要求獨立于初始事件，如果BPCS參與了初始事件，BPCS只允許參與一個獨立保護層。如果BPCS已經(jīng)參與兩個獨立保護層或者參與了一個獨立保護層加初始事件，SILa不允許再由BPCS實現(xiàn)，SILa應(yīng)由SIS實現(xiàn)，或者經(jīng)ALARP分析后可以忽略這部分風(fēng)險。

圖7 分析風(fēng)險是否可接受(Ft/Fnp)流程示意

2)對于一個事故場景，假設(shè)BPCS提供保護達到了兩次，并且其中一個保護為BPCS聯(lián)鎖，并且安全分析評估得出SILa，可以考慮將作為獨立保護層的BPCS聯(lián)鎖采用SIS實現(xiàn)。比如，BPCS聯(lián)鎖失效率取值0.1，安全分析評估得出的需求為0.5，可以考慮采用PFD=0.05的SIL1級別的SIS實現(xiàn)。

9 結(jié)束語

風(fēng)險辨識和風(fēng)險降低措施的分析和評估是為了將初始風(fēng)險降低到可接受風(fēng)險，根據(jù)圖3風(fēng)險分為三個區(qū)域： 不可接受風(fēng)險區(qū)域、ALARP風(fēng)險區(qū)域、廣泛可接受風(fēng)險區(qū)域。

SILa和SIL1～SIL3沒有本質(zhì)區(qū)別，都應(yīng)該嚴格執(zhí)行相關(guān)方法論，采取切實可行的風(fēng)險降低措施，在ALARP風(fēng)險區(qū)域執(zhí)行ALARP分析原則確定需要采取的風(fēng)險降低措施。有些公司針對人員傷亡、環(huán)境污染后果要求降低到廣泛可接受風(fēng)險區(qū)域，針對財產(chǎn)損失后果可以采用ALARP分析原則。

不經(jīng)分析就忽略SILa部分的風(fēng)險降低是不正確的。不需要糾結(jié)SILa的概念和標準來源依據(jù)，SILa只是一個代號，應(yīng)從方法論出發(fā)，正確理解風(fēng)險降低的初心，在實際工程中應(yīng)注意和重視SILa部分的風(fēng)險降低需求，應(yīng)針對SILa確定適合的風(fēng)險降低實施方案。