如何理解SILa的概念和工程实施

范咏峰，唐彬

(1. 中科合成油工程有限公司，北京 100028；2. 天津市居安企业管理咨询有限公司，天津 300200)

SILa的概念和实施方案一直存在较多的争论，比如： 有人认为SILa是风险图法中的概念，不应该用于保护层分析(LOPA)；有人认为SILa没有达到SIL1级别，这部分风险可以忽略；还有人认为SILa要按照SIL1执行。

本文从风险降低的目的出发，从方法论上分析SILa的概念。SILa代表现有风险降低手段还没有将初始风险降低到可接受风险，还存在风险缺口，应该重视这部分风险，需要时可以进行“尽可能合理降低”原则ALARP(as low as reasonably practicable)分析，并需要考虑其他相关因素。比如有些行业或者企业规定如果后果严重程度为人身伤亡1～2人或者后果严重程度为更高，本着“以人为本”的原则，通常不采用ALARP分析减少风险降低措施，而是尽可能地将风险降低到可接受水平。以此为原则，如果后果严重程度为人身伤亡1～2人，经过LOPA分析得出进一步安全措施的需求为SILa，这时应切实地做好这部分风险降低的设计和实施，不应忽略这部分风险。

1 风险的定义

风险是伤害发生的频率与该伤害严重程度的组合。风险有两个部分组成： 可能性/频率，可能性越高，危险越大；后果严重程度，严重程度越高，危险越大。按照影响对象后果可以分为人员伤亡、财产损失、环境污染、声誉影响等。

降低风险的措施有： 降低事件发生的可能性，降低事件后果的严重程度，同时降低事件发生的可能性和后果严重程度。

风险分为厂外风险和厂内风险，HAZOP和LOPA分析中通常采用的是厂内风险标准。不同国家、不同行业、不同企业风险标准有所不同。

2 可容忍风险

没有绝对的零风险，只有可容忍风险。可容忍风险指的是根据当前社会发展水平，在给定的范围内能够接受的风险。可容忍风险细分为可容许风险和可忽略风险，这两者风险之间的区域为ALARP风险区域。可容忍风险示例见表1所列。

表1 可容忍风险示例

3 “尽可能合理降低”原则

ALARP原则指在当前的技术条件和合理的费用下，对风险的控制要做到在合理可行的原则下“尽可能得低”。ALARP原则示意如图1所示，按照ALARP原则，风险区域可分为以下几种：

1)不可接受的风险区域。在该区域，除非特殊情况，风险是不可接受的。

2)允许的风险区域。在该区域内必须满足以下条件之一时，风险才是可允许的：

a)在当前的技术条件下，进一步降低风险不可行。

b)降低风险所需的成本远远大于降低风险所获得的收益。

3)广泛可接受的风险区域。在该区域，剩余风险水平是可忽略的，一般不要求进一步采取措施降低风险。

图1 ALARP原则示意

4 风险降低措施

风险降低措施通常通过独立保护层实现，一些常见的独立保护层如： 基本过程控制系统(BPCS)、报警及响应、安全仪表功能(SIF)、安全阀、防火堤等。所有的环节均应满足相关法规及标准的要求。风险降低措施如图2所示，安全阀同时具有预防措施和减缓措施两种属性。

图2 风险降低措施示意

5 确定安全完整性等级的方法

安全完整性是SIF达到规定安全功能的可能性的一个度量。一旦确定了目标风险并估算了必要的风险降低，就能分配SIS的安全完整性要求。确定安全完整性等级的方法有多种，包括安全矩阵法、风险图法、保护层分析法等。石油化工通常采用保护层分析法。

6 SILa的定义和标准中的相关要求

6.1 SILa的定义

本文对于SILa的定义见表2所列。

表2 SILa的定义

6.2 标准中的相关要求

6.2.1GB/T 21109中的相关描述

GB/T21109.3—2007《过程工业领域安全仪表系统的功能安全 第3部分： 确定要求的安全完整性等级的指南》中附录D半定性方法： 校正的风险图中关于SILa的描述如图3所示，其中，a表示无特殊安全要求且相当于SILa；b表示单独一个SIF是不够的；C表示后果参数；F表示暴露时间参数；P表示避免危险事件的概率；W表示在所考虑的SIF不存在时的每年发生危险事件的次数；—表示无安全要求；1，2，3，4表示安全完整性等级。

图3 通用型式的风险图示意

GB/T 21109.3—2007中附录E定性方法： 风险图中GB/T 21109，DIN V 19250和VDI/VDE 2180之间的关系如图4所示，AK1相当于SILa。

图4 GB/T 21109，DIN V 19250和VDI/VDE 2180之间的关系示意

6.2.2VDI/VDE 2180 Blatt1 Entwurf： 2018中的相关描述

有关SIL0的示意如图5和图6所示，SIL0相当于SILa。

6.3 标准中相关要求的总结

虽然上述所列标准的要求不能和表2中关于SILa的定义完全对应，但是方法论上和描述风险以及降低风险等方面是相通的，SILa只是一个代号，本文采用SILa来描述的安全功能故障值落在表2定义的区间对应的风险降低需求量。

7 需要SILa级别的风险降低措施的时机

LOPA等安全分析后得出的安全功能故障值处于表2定义的区间时，通常需要配置SILa级别的风险降低措施，除非经ALARP分析后可以忽略这部分的风险降低需求。分析风险是否可接受的(Ft/Fnp)流程如图7所示，其中，Ft为后果可容忍频率；Fnp为不考虑SIS保护的后果发生频率(考虑SIS以外的其他保护)，当Ft/Fnp<1时需要进一步降低风险。

图5 VDI/VDE 2180 Blatt1 Entwurf： 2018中关于SIL0的示意

图6 VDI/VDE 2180 Blatt1 Entwurf： 2018风险图关于SIL0的描述示意

8 SILa实施方案

SILa可以在BPCS或者SIS中实现，不需要满足GB/T 50770—2013《石油化工安全仪表系统设计规范》和GB/T21109.3—2007等标准，但需要满足其他相关标准的要求，比如BPCS，报警管理等标准的要求。在实际工程实施中应注意以下的环节：

1)对于一个事故场景，BPCS不能提供保护两次以上，最多只允许参与两个独立保护层，并且要求独立于初始事件，如果BPCS参与了初始事件，BPCS只允许参与一个独立保护层。如果BPCS已经参与两个独立保护层或者参与了一个独立保护层加初始事件，SILa不允许再由BPCS实现，SILa应由SIS实现，或者经ALARP分析后可以忽略这部分风险。

图7 分析风险是否可接受(Ft/Fnp)流程示意

2)对于一个事故场景，假设BPCS提供保护达到了两次，并且其中一个保护为BPCS联锁，并且安全分析评估得出SILa，可以考虑将作为独立保护层的BPCS联锁采用SIS实现。比如，BPCS联锁失效率取值0.1，安全分析评估得出的需求为0.5，可以考虑采用PFD=0.05的SIL1级别的SIS实现。

9 结束语

风险辨识和风险降低措施的分析和评估是为了将初始风险降低到可接受风险，根据图3风险分为三个区域： 不可接受风险区域、ALARP风险区域、广泛可接受风险区域。

SILa和SIL1～SIL3没有本质区别，都应该严格执行相关方法论，采取切实可行的风险降低措施，在ALARP风险区域执行ALARP分析原则确定需要采取的风险降低措施。有些公司针对人员伤亡、环境污染后果要求降低到广泛可接受风险区域，针对财产损失后果可以采用ALARP分析原则。

不经分析就忽略SILa部分的风险降低是不正确的。不需要纠结SILa的概念和标准来源依据，SILa只是一个代号，应从方法论出发，正确理解风险降低的初心，在实际工程中应注意和重视SILa部分的风险降低需求，应针对SILa确定适合的风险降低实施方案。