如何理解SILa的概念和工程實施

范詠峰，唐彬

(1. 中科合成油工程有限公司，北京 100028；2. 天津市居安企業管理咨詢有限公司，天津 300200)

SILa的概念和實施方案一直存在較多的爭論，比如： 有人認為SILa是風險圖法中的概念，不應該用于保護層分析(LOPA)；有人認為SILa沒有達到SIL1級別，這部分風險可以忽略；還有人認為SILa要按照SIL1執行。

本文從風險降低的目的出發，從方法論上分析SILa的概念。SILa代表現有風險降低手段還沒有將初始風險降低到可接受風險，還存在風險缺口，應該重視這部分風險，需要時可以進行“盡可能合理降低”原則ALARP(as low as reasonably practicable)分析，并需要考慮其他相關因素。比如有些行業或者企業規定如果后果嚴重程度為人身傷亡1～2人或者后果嚴重程度為更高，本著“以人為本”的原則，通常不采用ALARP分析減少風險降低措施，而是盡可能地將風險降低到可接受水平。以此為原則，如果后果嚴重程度為人身傷亡1～2人，經過LOPA分析得出進一步安全措施的需求為SILa，這時應切實地做好這部分風險降低的設計和實施，不應忽略這部分風險。

1 風險的定義

風險是傷害發生的頻率與該傷害嚴重程度的組合。風險有兩個部分組成： 可能性/頻率，可能性越高，危險越大；后果嚴重程度，嚴重程度越高，危險越大。按照影響對象后果可以分為人員傷亡、財產損失、環境污染、聲譽影響等。

降低風險的措施有： 降低事件發生的可能性，降低事件后果的嚴重程度，同時降低事件發生的可能性和后果嚴重程度。

風險分為廠外風險和廠內風險，HAZOP和LOPA分析中通常采用的是廠內風險標準。不同國家、不同行業、不同企業風險標準有所不同。

2 可容忍風險

沒有絕對的零風險，只有可容忍風險。可容忍風險指的是根據當前社會發展水平，在給定的范圍內能夠接受的風險。可容忍風險細分為可容許風險和可忽略風險，這兩者風險之間的區域為ALARP風險區域。可容忍風險示例見表1所列。

表1 可容忍風險示例

3 “盡可能合理降低”原則

ALARP原則指在當前的技術條件和合理的費用下，對風險的控制要做到在合理可行的原則下“盡可能得低”。ALARP原則示意如圖1所示，按照ALARP原則，風險區域可分為以下幾種：

1)不可接受的風險區域。在該區域，除非特殊情況，風險是不可接受的。

2)允許的風險區域。在該區域內必須滿足以下條件之一時，風險才是可允許的：

a)在當前的技術條件下，進一步降低風險不可行。

b)降低風險所需的成本遠遠大于降低風險所獲得的收益。

3)廣泛可接受的風險區域。在該區域，剩余風險水平是可忽略的，一般不要求進一步采取措施降低風險。

圖1 ALARP原則示意

4 風險降低措施

風險降低措施通常通過獨立保護層實現，一些常見的獨立保護層如： 基本過程控制系統(BPCS)、報警及響應、安全儀表功能(SIF)、安全閥、防火堤等。所有的環節均應滿足相關法規及標準的要求。風險降低措施如圖2所示，安全閥同時具有預防措施和減緩措施兩種屬性。

圖2 風險降低措施示意

5 確定安全完整性等級的方法

安全完整性是SIF達到規定安全功能的可能性的一個度量。一旦確定了目標風險并估算了必要的風險降低，就能分配SIS的安全完整性要求。確定安全完整性等級的方法有多種，包括安全矩陣法、風險圖法、保護層分析法等。石油化工通常采用保護層分析法。

6 SILa的定義和標準中的相關要求

6.1 SILa的定義

本文對于SILa的定義見表2所列。

表2 SILa的定義

6.2 標準中的相關要求

6.2.1GB/T 21109中的相關描述

GB/T21109.3—2007《過程工業領域安全儀表系統的功能安全 第3部分： 確定要求的安全完整性等級的指南》中附錄D半定性方法： 校正的風險圖中關于SILa的描述如圖3所示，其中，a表示無特殊安全要求且相當于SILa；b表示單獨一個SIF是不夠的；C表示后果參數；F表示暴露時間參數；P表示避免危險事件的概率；W表示在所考慮的SIF不存在時的每年發生危險事件的次數；—表示無安全要求；1，2，3，4表示安全完整性等級。

圖3 通用型式的風險圖示意

GB/T 21109.3—2007中附錄E定性方法： 風險圖中GB/T 21109，DIN V 19250和VDI/VDE 2180之間的關系如圖4所示，AK1相當于SILa。

圖4 GB/T 21109，DIN V 19250和VDI/VDE 2180之間的關系示意

6.2.2VDI/VDE 2180 Blatt1 Entwurf： 2018中的相關描述

有關SIL0的示意如圖5和圖6所示，SIL0相當于SILa。

6.3 標準中相關要求的總結

雖然上述所列標準的要求不能和表2中關于SILa的定義完全對應，但是方法論上和描述風險以及降低風險等方面是相通的，SILa只是一個代號，本文采用SILa來描述的安全功能故障值落在表2定義的區間對應的風險降低需求量。

7 需要SILa級別的風險降低措施的時機

LOPA等安全分析后得出的安全功能故障值處于表2定義的區間時，通常需要配置SILa級別的風險降低措施，除非經ALARP分析后可以忽略這部分的風險降低需求。分析風險是否可接受的(Ft/Fnp)流程如圖7所示，其中，Ft為后果可容忍頻率；Fnp為不考慮SIS保護的后果發生頻率(考慮SIS以外的其他保護)，當Ft/Fnp<1時需要進一步降低風險。

圖5 VDI/VDE 2180 Blatt1 Entwurf： 2018中關于SIL0的示意

圖6 VDI/VDE 2180 Blatt1 Entwurf： 2018風險圖關于SIL0的描述示意

8 SILa實施方案

SILa可以在BPCS或者SIS中實現，不需要滿足GB/T 50770—2013《石油化工安全儀表系統設計規范》和GB/T21109.3—2007等標準，但需要滿足其他相關標準的要求，比如BPCS，報警管理等標準的要求。在實際工程實施中應注意以下的環節：

1)對于一個事故場景，BPCS不能提供保護兩次以上，最多只允許參與兩個獨立保護層，并且要求獨立于初始事件，如果BPCS參與了初始事件，BPCS只允許參與一個獨立保護層。如果BPCS已經參與兩個獨立保護層或者參與了一個獨立保護層加初始事件，SILa不允許再由BPCS實現，SILa應由SIS實現，或者經ALARP分析后可以忽略這部分風險。

圖7 分析風險是否可接受(Ft/Fnp)流程示意

2)對于一個事故場景，假設BPCS提供保護達到了兩次，并且其中一個保護為BPCS聯鎖，并且安全分析評估得出SILa，可以考慮將作為獨立保護層的BPCS聯鎖采用SIS實現。比如，BPCS聯鎖失效率取值0.1，安全分析評估得出的需求為0.5，可以考慮采用PFD=0.05的SIL1級別的SIS實現。

9 結束語

風險辨識和風險降低措施的分析和評估是為了將初始風險降低到可接受風險，根據圖3風險分為三個區域： 不可接受風險區域、ALARP風險區域、廣泛可接受風險區域。

SILa和SIL1～SIL3沒有本質區別，都應該嚴格執行相關方法論，采取切實可行的風險降低措施，在ALARP風險區域執行ALARP分析原則確定需要采取的風險降低措施。有些公司針對人員傷亡、環境污染后果要求降低到廣泛可接受風險區域，針對財產損失后果可以采用ALARP分析原則。

不經分析就忽略SILa部分的風險降低是不正確的。不需要糾結SILa的概念和標準來源依據，SILa只是一個代號，應從方法論出發，正確理解風險降低的初心，在實際工程中應注意和重視SILa部分的風險降低需求，應針對SILa確定適合的風險降低實施方案。