下载文档原格式
英文回答:The purpose of this paper is to present the principles of the Safe Level Assessment Process, which is designed to conduct aprehensive assessment of industrial safety systems to determine their reliability and safety levels. SIL processes include four main steps: hazard analysis, determination of safety performance levels, establishment of safety performance requirements and system validation. During the hazard analysis phase, potential sources of risk will be identified and potential losses assessed. Depending on the gravity and probability of the hazard, safety performance levels are divided into four levels: SIL1, SIL2, SIL3 and SIL4. Once the level of safety performance is determined, corresponding security performance requirements will be established, covering both hardware and software requirements. System validation to ensure that the system meets security performance requirements and meets the expected level of security performance. The entire process involves aprehensive analysis of hazardous sources, determination of safety performance levels, identification of needs and validation, and is aprehensive assessment of industrial safety systems.本文旨在介绍安全等级评估技术SIL(Safety Integrity Level)流程原理,该流程旨在对工业安全系统进行全面评估,以确定其可靠性和安全性等级。
安全完整性(SIL)评测简介机械工业仪器仪表综合技术经济研究所测量控制设备及系统实验室 功能安全中心产品评测项目2015.6中国•北京西城区广安门外大街甲397, 1000551 机构简介机械工业仪器仪表综合技术经济研究所(简称ITEI)是中央直属的科研院所,主要负责国内仪表自动化的研究、测试和推广服务。
功能安全技术研发中心(简称“功能安全中心”)是ITEI的技术部门之一,主要负责功能安全技术的研究,以及安全产品和系统的测试、评估等工作。
功能安全中心拥有国内最权威的安全专家团队,其核心成员皆是IEC国际功能安全标准制订与修订的专家组成员,有着深厚的可靠性基础和工业安全经验。
功能安全技术研发中心可提供培训、辅导、面向项目的咨询服务、工程安全分析工具、详细的产品确认和验证分析以及一系列的安全与可靠性资源测量控制设备及系统实验室(简称MCDL)为中国合格评定国家认可委员会(简称CNAS)授权,可在国内开展相关标准的检验测试服务,并颁发CNAS认可的认证报告和证书。
MCDL隶属于ITEI,其中功能安全产品相关的评测由功能安全中心负责开展,对经过评测的产品可以颁发安全完整性等级(SIL)适用性证书和报告。
2目的与范围本评测项目主要针对单个的产品或零部件,本评测的目的是通过分析、检查、测试和现场审核等方式,证明产品是否具有相应的SIL 适用能力(包括SIL1/2/3/4)。
一般情况下,本评测依据的标准为三个部分:功能安全基础标准——IEC61508(国标GB/T20438);行业领域功能安全标准,如IEC61511,ISO13849等;产品标准,如产品的质量规范、国家/国际检测要求等;通过这些要求来满足随机硬件失效量目标控制量和系统性失效控制的双重要求,因此在评测的过程中需考察产品设计过程中以下三个方面:一、产品安全完整性技术论据(机械、电子、电气和软件等)二、产品研发过程管理(研发流程、文档化、管理规程等)三、产品生产质量管理过程3 评测方式在评测开始前,功能安全中心将成立专门的评测团队,负责本次项目的技术分析、测试和完成报告等工作。
确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。
对于具有安全功能的系统,SIL是对其质量或者说靠性进行的一种度量,具体来说,就是对系统能否按预期执行相应功能的可信赖程度的一种度量。
本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法:风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限,特别是针对风险图表法。
同时也给何种情况下应选择何种方法的推荐标准。
2SIL的定义相关标准承认,不同的安全功能,其所需的运作方式也迥然不同。
很多功能的实际使用频率非常低,比如汽车的如下两项功能:∙防抱死系统(ABS)。
(当然,这跟司机也有关系)∙安全气囊(SRS)另一方面,有些功能的使用频率很高,甚至是持续运作的,比如汽车的这两项功能:∙刹车∙转向如此,一个根本性的问题便是:这两种类型的功能,其发生故障的频度达到多大会导致事故的发生?针对二者的答案是不同的:∙对于使用频率低者,事故频率由两个参数构成:1)功能的使用频率2)当使用时,该功能发生故障的概率——故障概率(PFD)因此,这种情况下,PFD便能恰当地衡量该功能的性能表现,而PFD的倒数则称为:风险消除因数(RRF)。
∙对于使用频率高者,或持续运作的功能,能恰当地衡量其表现的数据则是故障频率(λ),或者平均无故障时间(MTTF)。
假设故障的发生呈指数分布,则MTTF与λ互为倒数。
当然,以上的两种表达方式并不是独立的,而是相互关联的。
最简单地,假设可以以一个比正常使用频率高的频度对某功能进行检验,则以下关系成立:PFD = λT/2 = T/(2xMTTF) 或者:RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔(注意:若要将事故速率显著降低到故障速率λ以下,检验频率1/T应至少为正常使用频率的两倍,最好是能达到5倍或更高。
)但这两者却是不同的量:PFD是一个概率,是无量纲量;λ是一个速率,量纲是t-1 。
功能安全评估 sil评估
SIL评估(Safety Integrity Level Evaluation),是针对功能安全的一种评估方法。
其主要目的是评估系统在设计、开发和运行过程中对安全相关功能的保证程度。
SIL评估的目标是确定系统的安全完整性级别(SIL),以确保其满足特定的安全要求。
这些安全要求通常包括针对系统故障的概率限制,以及系统在故障状态下的安全功能恢复能力。
SIL评估通常包括以下步骤:
1. 确定安全要求:确定系统需要满足的特定安全要求,包括故障率限制和安全功能要求。
2. 识别故障模式:对系统进行故障分析,识别可能的故障模式和故障类型。
3. 评估可靠性性能:根据系统的设计和开发文档,评估系统的可靠性性能,包括故障检测和故障修复能力。
4. 计算SIL级别:根据评估的可靠性性能,计算系统的SIL级别。
SIL级别通常分为四个级别,从SIL 4(最高)到SIL 1(最低)。
5. 验证和确认:对评估结果进行验证和确认,确保系统满足SIL级别的要求。
SIL评估是功能安全的重要组成部分,可以帮助开发者和设计者确保系统在运行过程中提供足够的安全保障。
通过对系统进行综合评估,可以识别可能的安全风险,并采取相应的措施来降低这些风险。
引言:本文将介绍SIL(SafetyIntegrityLevel)定级及验证的示例。
SIL是衡量系统安全性的指标,对于某些关键的工艺、设备或系统,必须对其进行SIL定级和验证,以确保其在设计、运行和维护过程中的可靠性。
本文以一个示例为基础,将介绍SIL定级的步骤、方法和验证的实施过程。
概述:SIL定级是通过对系统关键元素和功能的分析,以确定其对安全的贡献程度。
验证过程则是确认系统设计和实施是否满足所规定的SIL要求。
本文将以一个典型的工程控制系统为例,详细介绍SIL定级和验证的步骤、方法、关键要素及实施过程。
正文:一、需求分析与功能定义1.分析系统的功能和需求,定义系统的功能模块和关键元素。
2.与相关部门和人员沟通,明确系统在工艺过程中的安全要求,并将其转化为功能定义。
二、风险评估与SIL定级1.根据需求分析和功能定义,参考相关标准和法规要求,对系统面临的风险进行评估。
2.通过定性和定量方法对系统的可靠性进行分析,评估各个功能模块的影响程度。
3.根据评估结果,将系统的各个功能模块分级,确定其对安全性的贡献程度。
三、功能安全设计与实施1.根据SIL定级结果,制定功能安全设计的策略和方法。
2.根据功能定义和功能安全设计策略,进行详细的功能安全设计。
3.涉及到硬件和软件的实施过程中,需严格按照设计规范和标准要求进行操作。
4.对功能安全设计的实施过程进行记录和跟踪,确保符合相关要求。
四、验证计划与实施1.制定验证计划,明确验证的目的、方法、范围和时间表。
2.根据验证计划,实施各个功能模块的验证活动。
3.包括实际测试、仿真测试、故障注入等方法,验证功能模块的安全性能。
4.验证过程中,应及时记录和处理验证结果,并根据需要进行调整和改进。
五、验证结果和报告1.分析整个验证过程的结果,比较实际测试和设计要求的差异。
2.根据实际测试的结果,评估系统的可靠性和安全性能是否满足SIL要求。
3.撰写验证报告,明确验证的步骤、过程和结果,提供给相关部门和人员审查和评估。
功能安全SIL$show_blogurl$SIL 分级目标量的定义首先SIL 分级起始于安全相关系统的分配。
目标级别从机器设备的风险分析中获得(见附录2)。
应该避免SIL4(见IEC61508-1,9.3节)(IEC61508-1,7.6.2.9表格2和3)在低要求操作模式下分配给一个E/E/PE 安全系统的安全功能目标失效量在高要求或连续操作模式下分配给一个E/E/PE 安全相关系统的安全功能目标失效量Definition of the target values of the SIL-classFirst of all the SIL-classification is stated, in which the safety related system (SRS) is to be deployed. The target class is derived from th e risk analysis of the plant (see Appendix 2). SIL 4 should be avoided (see IEC 61508-1, Para 9.3)(IEC 61508-1, 7.6.2.9 Tables 2 and 3)Low demand mode of operation{SIL1 , SIL2, SIL3, SIL4 的定义分级}SIL(安全完整性等级)低要求操作模式(在要求时就执行其设计功能要求的平均失效概率)4 ≥10-5 < 10-4 3 ≥10-4 < 10-3 2 ≥10-3 < 10-2 1≥10-2 < 10-1SIL(安全完整性等级)高要求或连续操作模式(每小时危险失效概率)4 ≥10-9 < 10-8 3 ≥10-8 < 10-7 2 ≥10-7 < 10-6 1≥10-6 < 10-5SIL(Safety Integrity Level)Average probability of failure to perform its design function on demand -PFD4 ≥10-5 < 10-4 3≥10-4 < 10-32≥10-3 < 10-21≥10-2 < 10-1High demand mode of operationSIL(Safety Integrity Level)Probability of dangerous failure per hour- PFH 4≥10-9 < 10-83≥10-8 < 10-72≥10-7 < 10-61≥10-6 < 10-5。
功能安全sil等级功能安全 (Safety Integrity Level, SIL) 简介功能安全 (Safety Integrity Level, SIL) 是指在系统或设备的设计、开发和运行中,通过采取特定的安全措施来确保避免或减轻可能造成的危险事故,并且保护人员、财产和环境免受伤害。
一、SIL的定义与意义功能安全是指系统或设备在正常操作的情况下,能够执行既定任务,并以预期的方式对故障和异常情况做出响应,从而保护人员的安全。
SIL为度量系统或设备的安全性提供了一种通用的方法。
根据不同的应用需求,SIL被分为四个级别,从SIL1到SIL4,SIL4代表着最高的安全要求。
SIL的设定与评估主要包括以下几个步骤:1. 风险评估:确定系统或设备可能引发的危险事故,并评估其后果,包括人员伤害、财产损失和环境影响等。
2. 安全功能需求:确定保护系统或设备的安全功能需求,以确保在发生故障或异常情况时,能够采取合适的措施和策略。
3. SIL分级:根据风险评估和安全功能需求,将系统或设备分级为相应的SIL等级,以确定所需的安全性能。
4. 验证与验证:通过测试和验证,确保系统或设备满足相应的SIL等级要求,并符合相关的标准和规范。
SIL的意义在于为系统和设备的设计与开发提供了一种基准和目标。
通过根据应用需求确定适当的SIL等级,并在设计和开发过程中采取相应的安全措施,可以最大限度地减少系统或设备可能引发的危险事故,并降低人员伤害和财产损失的风险。
二、功能安全与汽车行业功能安全在汽车行业中尤为重要。
随着汽车电子技术的不断发展和普及,车辆中的电子系统和控制装置越来越多,这就对汽车的功能安全提出了更高的要求。
汽车行业普遍采用ISO26262标准作为功能安全的参考。
该标准涵盖了整个汽车电子系统的生命周期,包括硬件和软件的设计、开发、测试、验证和维护等。
根据ISO26262标准,汽车电子系统被分为多个安全功能,并为每个安全功能指定了相应的SIL等级要求。
控制阀用于安全仪表系统的符合性评估和SIL认证文/李宝华引言安全是是永恒的主题,安全生产对于工业企业意义重大,正得到更多的重视。
基于不同技术的具有“安全保护”功能的系统被广泛应用,安全设计理念也从“故障安全”扩展到“功能安全”。
针对特定的危险事件,为达到或保持手设备(Equipment Under Control, EUC)或工艺过程(Process)的安全状态,由电气、电子、可编程电子(E/E/PE)安全相关系统(Safety-Related System, SRS)或由传感器、逻辑控制器、最终元件组成的安全仪表系统(Safety Instrumented System, SIS)、其它技术安全相关系统或外部风险降低设施实现的功能定义为安全功能。
功能安全作为整体安全的一部分,是指安全功能的安全性,即安全相关系统或安全仪表系统以及其他保护层正确行使安全功能、实现降低风险的能力。
过程工业中的安全仪表系统SIS(如紧急停车系统ESD、安全联锁系统SIS、燃烧器管理系统BMS、火灾或气体安全系统FGS、高压保护系统HIPPS,等等)由传感器、逻辑控制器、最终元件组成,用来行使一项或多项安全仪表功能SIF,对某个具体的潜在危险事件采取对应的保护措施,控制、预防、减轻危险时间造成的影响。
SIS是安全相关系统在过程工业的分支,而不同于以过程控制为目标的基本过程控制系统(BasicProcess Control System,BPCS)。
SIS和BPCS典型应用示意图参见图1,SIS在安全保护层的位置见图2。
SIS以整体安全生命周期的架构,规定了各阶段的技术活动和功能安全管理活动的内容;以安全完整性等级(SIL)为指针,提出了基于可靠性分析、确定安全仪表功能的失效概率、评估执行安全仪表功能的可靠程度的标准。
SIS的应用还形成了安全仪表设备基于经验使用和按照相关标准符合性评估及认证的准入原则,以及系统硬件配置和软件组态规则、系统集成和调试、运行和维护、功能安全评估和验证的工作流程。
确定安全完整性等级(SIL)需求的方法——优势与弊端1简介安全完整性等级(SIL)的概念是随着BS EN 61508的发展被引进的。
对于具有安全功能的系统.SIL是对其质量或者说靠性进行的一种度量.具体来说.就是对系统能否按预期执行相应功能的可信赖程度的一种度量。
本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法:风险图表法和保护层级分析(LOPA)法并指出两种方法各自的优势和局限.特别是针对风险图表法。
同时也给何种情况下应选择何种方法的推荐标准。
2SIL的定义相关标准承认.不同的安全功能.其所需的运作方式也迥然不同。
很多功能的实际使用频率非常低.比如汽车的如下两项功能:∙防抱死系统(ABS)。
(当然.这跟司机也有关系)∙安全气囊(SRS)另一方面.有些功能的使用频率很高.甚至是持续运作的.比如汽车的这两项功能:∙刹车∙转向如此.一个根本性的问题便是:这两种类型的功能.其发生故障的频度达到多大会导致事故的发生?针对二者的答案是不同的:∙对于使用频率低者.事故频率由两个参数构成:1)功能的使用频率2)当使用时.该功能发生故障的概率——故障概率(PFD)因此.这种情况下.PFD便能恰当地衡量该功能的性能表现.而PFD的倒数则称为:风险消除因数(RRF)。
∙对于使用频率高者.或持续运作的功能.能恰当地衡量其表现的数据则是故障频率(λ).或者平均无故障时间(MTTF)。
假设故障的发生呈指数分布.则MTTF与λ互为倒数。
当然.以上的两种表达方式并不是独立的.而是相互关联的。
最简单地.假设可以以一个比正常使用频率高的频度对某功能进行检验.则以下关系成立:PFD = λT/2 = T/(2xMTTF) 或者:RRF = 2/( λT) 或 = (2xMTTF)/T其中T是检验间隔(注意:若要将事故速率显著降低到故障速率λ以下.检验频率1/T应至少为正常使用频率的两倍.最好是能达到5倍或更高。
)但这两者却是不同的量:PFD是一个概率.是无量纲量;λ是一个速率.量纲是t-1 。
SIL定级分析方法说明1.确定安全功能:首先,需要明确需要进行可靠性分析的安全功能是什么。
安全功能是指系统中的一些功能或组合,用于减少或防止人身伤害、环境破坏或财产损失的风险。
2.识别危险:通过对系统的分析和评估,识别出可能导致人身伤害、环境破坏或财产损失的潜在危险。
3.评估风险:对识别出的危险进行定量或定性的风险评估。
这可以通过使用各种分析方法(如风险图、故障树分析和事件树分析)来完成。
风险评估的目标是确定各个危险的严重性和发生频率。
4.确定SIL级别:基于风险评估的结果,决定每个安全功能所需的SIL级别。
SIL级别分为4个等级,从低到高分别为SIL1、SIL2、SIL3和SIL4、SIL级别越高,要求的可靠性越高。
5.确定安全完整性水平:根据SIL级别,确定每个安全功能的安全完整性水平(SIL)。
安全完整性水平是一种用于衡量安全系统在运行期间保持其功能完整性的指标,通常以百万分之一(PFH)的故障频率来表示。
6.设计和验证:根据确定的SIL级别和安全完整性水平,设计安全功能和采取相应的措施来确保其满足相关要求。
设计和验证过程通常包括使用可靠性工程原则、故障模式与影响分析(FMEA)和故障树分析等工具。
7.验证和验证:对设计的安全功能进行验证和验证,以确保其满足预期的性能和要求。
验证和验证可以包括使用仿真、实验室测试和现场测试等方法。
总结起来,SIL定级分析方法是一种系统性的过程,用于确定特定安全功能的可靠性要求和目标。
通过识别和评估危险,确定SIL级别和安全完整性水平,并进行设计、验证和审核,可以保证安全系统的可靠性和功能完整性,从而降低潜在风险。
这种方法在许多行业中被广泛应用,如化工、石油、天然气和核能等领域,以确保人身安全和环境保护。
SIL定级分析方法说明SIL(Safety Integrity Level)是用于评估安全系统性能的标准化方法,可以帮助确定和实施适当的安全措施以降低风险。
在工业、交通和医疗等领域,SIL定级分析方法被广泛应用来评估系统的可靠性和安全性。
下面,我将详细说明SIL定级分析方法。
1.确定安全功能:首先,需要确定系统的安全功能。
安全功能是系统中能够识别和响应潜在危险的功能。
例如,在一个化工厂的安全系统中,安全功能可能包括泄漏检测、紧急关断等。
2.识别危险:接下来,需要识别系统中可能存在的危险。
危险是指可能导致人员伤害、环境破坏或财产损失的事件。
例如,在化工厂中,危险可能包括有害物质泄漏、火灾等。
3.评估风险:对识别到的危险进行风险评估,确定其可能发生的频率和严重程度。
一般来说,风险评估可以采用定性或定量的方法。
定性方法可以使用风险矩阵来评估风险级别,定量方法则需要收集数据进行数学模型分析。
4.确定SIL等级:基于风险评估的结果,可以确定系统的SIL等级。
SIL等级共分为四个级别,从SIL1到SIL4,SIL1表示风险较低,而SIL4表示风险最高。
5.实施适当的安全措施:针对不同的SIL等级,需要采取不同的安全措施来降低风险。
根据SIL4等级的要求,需要实施更为严格的安全措施,例如采用双冗余系统、故障屏蔽等。
6.验证和验证:实施安全措施后,需要进行验证和验证以确保系统的可靠性和安全性。
验证是指通过分析和测试来确认系统设计是否满足SIL 等级的要求;验证是指通过实际操作来验证系统的性能。
1.标准化:SIL定级分析方法基于标准化的SIL等级,使得不同领域的系统可以采用同样的方法进行评估和分析,提高了工作效率和可比性。
2.有效性:SIL定级分析方法可以帮助识别系统中的潜在危险,并基于风险评估结果确定适当的安全措施,从而降低风险。
3.可靠性:SIL定级分析方法不仅考虑了系统的可靠性,还考虑了安全功能的完整性和可靠性。
安全等级评估技术sil流程原理下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!标题:安全等级评估技术SIL流程原理导言安全等级评估技术(Safety Integrity Level,简称SIL)是指针对工业自动化系统,根据系统对安全性的要求,采用一种标准化的方法对系统进行评估和分类的技术。
[编者按] 本刊“安全控制技术”栏目自2005年开设以来,得到了广大读者的广泛关注与大力支持。
今年除了继续刊登这方面的优秀技术文章外,还特别增设一个板块“功能安全技术系列讲座”,共六讲,分别刊登在第一期至第六期,从功能安全的基本概念、方法、技术等各方面逐一深入讲解,使大家对功能安全有一个全面了解。
主讲人是全国工业过程测量和控制标准化技术委员会主任委员、机械工业仪器仪表综合技术经济研究所副所长冯晓升教授。
第三讲 基于风险的SIL确定技术主讲人简介:冯晓升,全国工业过程测量与控制标准化技术委员会主任委员,教授级高工。
一九八二年毕业于浙江大学。
不仅是IEC TC65 MT13工作组的中国专家,参与IEC 61508标准维护工作,还是IEC TC65 SC65C WG12工作组的中国专家,参与工业控制网络功能安全标准IEC 61784-3的制定。
同时又是等同采用IEC 61508的中国国家标准GB/T 20438.1~7的起草工作组组长,主持了国际功能安全标准的研究与中国国家标准GB/T 20438.1~7的制定工作,对功能安全标准及技术有深入研究。
冯晓升(机械工业仪器仪表综合技术经济研究所,北京市 100055)Fen g X iaosh en g(In strum en tation Tech n ology & E con om y In stitute, B eijin g 100055)Chapter 3: Confirmation Technology of SIL Based on RiskAbstract: T he paper explained th e confirm ation technology of S IL , and three m ethods to confirm th e S IL w ere given.Key words: S IL AL AR P【摘 要】【关键词】讲解基于风险的安全完整性等级确定技术,给出三种确定安全完整性等级的方法。
SIL ALARPSIL是安全相关系统的必备指标。
理论上,如何选择SIL取决于原有设备(未加装安全相关系统前的设备)的安全程度和加装安全相关系统后希望达到的安全程度。
实际操作时可能还要考虑一些技术的经济的甚至政治的问题。
SIL并非越高越好,但必须够用或起码能被接受。
SIL越高,意味着经济支出和管理要求都会相应提高。
所以SIL的选择要以合适为好。
图1是安全生命周期图。
SIL的选择是基于前三个步骤的第四步骤。
前三个步骤主要解决确定保护范围,即确定EUC的范围;找出危险源;评估危险源的风险;以及确定危险源的允许风险。
第四个步骤则是确定安全功能和安全功能的安全完整性等级,即SIL。
第五个步骤是将安全功能分配给具体的安全相关系统,同时对每个安全相关系统分配安全完整性等级,即确定每个安全相关系统的SIL。
下面就如何确定SIL的理论性问题和有些操作的原理性方法进行一个简要的介绍。
在这之前,先搞清几个概念。
1)必要的风险降低必要的风险降低是降低风险来保证在特定情况下不超过允许风险。
必要的风险降低的概念在开发E/E/PE安全相关系统的安全要求方面非常重要(特别是安全要求中的安全完整性部分)。
确定特定危险事件的允许风险的目的是说明危险事件的频率和其特定后果。
安全相关系统是为减少危险事件的频率或危险事件的后果而设计的。
2)允许风险允许风险是根据当今社会的水准,在给定的范围内能够接受的风险。
允许风险应依据许多因素(如伤害的严重程度、暴露在危险中的人数、暴露在危险中的频率和持续时间等)决定。
对于一个特定应用,允许风险的构成应考虑以下方面:* 相关权威安全法规的导则;* 与应用有关的不同团体的讨论与协议;* 工业标准。
国家标准和国际标准在确定特定应用的允许风险中起到越来越重要的作用;* 国际讨论和协议;* 来自咨询机构的最好的独立工业、专家和科学的建议;* 通用的和直接与特定应用有关的法律要求。
3)EUC风险EUC风险是EUC、EUC控制系统和有关人为因素在特定危险事件中存在的风险——在确定这一风险时未考虑指定的安全防护特性。
4)残余风险残余风险是使用了E/E/PE安全相关系统、外部风险降低设施和其它技术安全相关系统后, 仍存在于EUC的特定危险事件中的风险。
5) 风险和安全完整性正确区分并完全理解风险和安全完整性是非常重要的。
风险是对一个特定危险事件出现的概率和结果的估量,可以对不同情况的风险进行评价(EUC风险、要求满足允许风险的风险、实际风险)。
允许风险根据社会基础和有关社会和政治因素的考虑来确定。
安全完整性只应用于E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施,并作为这些系统在规定安全功能方面取得必要的风险降低概率的措施。
一旦确定了允许风险,并估计了必要的风险降低,就可分配安全相关系统的安全完整性要求。
安全相关系统在获取必要的风险降低方面所起的作用可由图2来说明。
图2 风险降低的通用概念在这里EUC风险是一个实际存在的值,允许风险是一个人为的值,两个值之间的差距是必要的风险降低。
从上面的概念中可以看出, 必要的风险降低是由安全相关系统来完成的,而安全相关系统的安全完整性必须与必要的风险降低相匹配。
EUC风险是靠评估获得的,允许风险的确定一般会遵照一些原则。
下面介绍一个较常用的确定允许风险的思想方法,即合理可行的和允许风险的概念,这是取得允许风险的一个基本原理,ALARP原理。
图3描述了规定工业风险的主要方法。
图3 允许风险和ALARP原理图图1 安全生命周期图3中:a) 风险非常大,完全不可接受b) 将产生或已产生的风险非常小,可以认为无关紧要c) 风险介于上述a)和b)之间,考虑接受风险带来的利益和任何进一步减小风险所需的成本,风险已被降低到可行的最低水平。
根据c),ALARP原理要求任何风险必须降低到可行的合理水平或与可行的合理水平一样低(最后5个字构成了缩写的ALARP)。
如果风险介于两个极限值之间(即不可行的区域和广泛可接受的区域),并应用了ALARP原理,这样产生的风险即这种特定应用的允许风险。
在一定的水平之上,风险被认为是不允许的,并且不能在任何正常情况下进行判断。
低于这一水平,存在一个允许区域,在此范围内可采取将有关风险降低到可行的合理水平的措施,在这里允许不同于可接受。
其表明这样一种愿望,即允许存在风险以保证一定利益,同时又期望它保持在可检查并能被减小的范围内。
在此要求一个或清楚或含蓄地权衡成本和需要其它附加安全措施的成本。
风险越高,需用于减少风险的花费会成比例的加大。
在可允许的极限,应对获得的利益和不成比例的花费进行判断。
此处将实质定义允许风险,并对相应努力的同等要求进行判断,既使风险只减小了一点。
当风险较不明显时,也只需较小比例花费去减小风险,在允许区域的低值端,会达到成本与利益的平衡。
在低于允许区域,风险的水平被认为是非常不明显的,不需要进一步改善。
这是一个广泛接受区域,在此区域内风险小于我们每天会实际经历的风险,无需为论证ALARP进行细致工作。
但需提高警惕以确保风险维持在这一水平。
当采用定性或定量的风险目标时可使用ALARP的概念。
允许风险的确定:获得允许风险目标的一个方法是对于一系列确定的后果分配允许频率。
后果与允许频率的匹配应在有关机构中讨论并达成一致(如安全管理政府机构、产生风险的机构和承受风险的机构)。
考虑ALARP概念,后果与允许频率的匹配可通过风险等级确定。
表1是一系列后果和频率的四种风险等级(1、2、3、4)的示例。
表2使用ALARP概念解释了每一风险等级。
四种风险等级中的每一种描述都依据图3。
这些风险等级定义中的风险是采取风险降低措施后出现的风险。
根据图3,风险等级如下:* 风险等级1在不允许区域;* 风险等级2和3在ALARP区域,风险等级2正好在ALARP区域内;* 风险等级4在广泛可接受区域。
对每一种规定的情况或可比较的工业领域,应考虑大量的社会、政治和经济因素,并开发类似于表1的表。
每一后果将与频率相匹配,并将风险等级填入表中。
例如,表1中的频率可指明很可能持续出现的事件可能被规定频率大于每年10次。
一个危险的后果是个体死亡或大量严重伤害或严重职业病。
表1 意外事件的风险等级示例表2 风险等级解释确定了允许风险后,理论上就可以得出安全完整性等级了,但实际情况要复杂的多。
下面介绍几种方法。
1)安全完整性等级的确定:一种定量方法该方法描述了如何通过采用一种定量方法来确定安全完整性等级,并说明如何使用表1中的信息。
这种定量方法是一种特定值,即当以数据形式规定了允许风险(如一个特定的后果不能以大于1次/104年的频率出现)后,对安全相关系统的安全完整性等级的数字目标进行规定。
这里不是提供明确的方法而是说明一般原理。
一般方法:说明一般原理的模式已在图2中表示。
方法中的关键步骤如下(这些步骤需要对由E/E/PE安全相关系统实现的每一安全功能来实施):* 从类似表1的表中确定允许风险;* 确定EUC风险;* 确定满足允许风险的必要的风险降低;* 将必要的风险降低分配到E/E/PE安全相关系统、其它技术安全相关系统和外部风险降低设施。
表1应填入风险频率和规定的数字允许风险目标(Ft)。
与EUC存在的风险有关的频率,包括EUC控制系统和人的因素(EUC风险),在没有任何防护因素时,可使用定量风险评估方法进行估计。
没有防护因素时危险事件可能出现的频率(Fnp)是EUC风险两个构成部分之一;另一构成部分是危险事件的后果。
Fnp可由下确定:* 从可比较的情况分析失效率;* 有关数据库的数据;* 使用适当的预计方法进行计算。
计算示例:图4提供了一个如何计算单一安全防护系统的目标安全完整性的示例。
对这一情况:PFDavg≤Ft/Fnp式中:PFDavg——安全防护系统要求的失效平均概率,即低要求操作模式下操作的安全防护系统的安全完整性失效量;Ft——允许风险频率;Fnp——对安全防护系统的要求率,即没有防护因素时危险事件可能出现的频率。
另外在图4中:* C是危险事件的后果* Fp是具有防护因素的风险频率可以看出,因为Fnp与PFDavg的关系,以及由此引起的与安全防护系统的安全完整性等级的关系,可以确定EUC的Fnp是很重要的。
获得安全完整性等级(当后果C保持不变时)的必要步骤如下(图4所示),这是针对全部必要的风险降低是通过单一安全防护系统得到的情况,该安全防图4 安全防护系统示例护系统必须将危险率从Fnp至少减小至Ft:* 确定不附加任何防护因素的EUC风险的频率因素(Fnp);* 确定不附加任何防护因素的后果C;* 通过使用表1,确定无论频率还是后果是否达到允许风险等级。
