3.5　安全完整性等级确定方法比较与应用示例

3.5.1　SIL确定方法比较

正如前所述，IEC61508.5（GB20438-5）提供了3种确定SIL的方法，IEC61511.3（GB21109.3—2007）则提出了5种确定SIL的方法。其中校正的风险图是在IEC61508.5（GB20438-5）的基础上修正得到的，更适用于过程工业。基于频率的定量方法是IEC61508.5（GB20438-5）中提出的，而并未出现在IEC61511.3（GB21109.3—2007）中。而IEC62061（GB28526—2012）提出了一种类似于风险图的SIL分配方法，即通过伤害后果严重程度S和发生伤害的概率CI（暴露频率和持续时间F、危险事件发生概率P、避免或控制伤害的概率A）来确定SRCF的SIL。

以下将分析比较5种SIL确定方法的特点和优缺点，以指导如何合理选择SIL确定方法，如表3.5所示。

下节将采用同一个实例来应用不同的SIL确定方法，以显示不同方法的优缺点。

3.5.2　不同SIL确定方法的应用示例

某天然气输送管线拟增设高压力保护系统：PAHH1001压力高高触发联锁I-1234，关断tSSV-0051/0052以避免下游管线及设备超压。PAH0003压力高报警可以提示操作人员及时切换另一条压力控制回路，操作人员失误的概率为10-1。如果该压力控制回路发生失效，将导致下游管线及设备超压，引起管线破裂，从而天然气泄漏至外部环境，遇火源将引发火灾爆炸事故，造成人员伤亡、财产损失和环境破坏。天然气管线的可容忍事故后果频率为10-6次/年。经风险分析可知，该事故后果的严重程度为5级，该压力控制回路发生失效的频率为10-1次/年，人员暴露于风险的概率为0.2，天然气泄漏后被点燃的概率为0.5。

3.5.2.1　风险矩阵

天然气泄漏引发的火灾爆炸事故后果严重程度为5级，属于重大的。事故发生的可能性应为压力控制回路发生失效的频率、修正因子（人员暴露于风险的概率及点燃的概率）以及独立保护层（操作人员响应）失效概率的乘积，即10-3次/年，属于事故发生可能性较大（中）。该天然气输送目前只有1个操作人员响应独立保护层。根据三维风险矩阵图3.5，SIS的SIL应为SIL3[B]。该结果表明，1个SIL3的安全仪表系统尚不能提供足够的风险降低，要求进行危险和风险分析以确定是否需要附加风险降低措施。

3.5.2.2　风险图

天然气泄漏引发的火灾爆炸事故后果严重程度为5级，对应风险图中的CC；人员暴露于风险的概率为0.2，且目前只有操作人员响应独立保护层，无SIS等其他独立保护层安全措施，则对应确定风险图中的FB和PB；根据压力控制回路发生失效的频率为10-1次/年，不考虑操作人员响应失误概率为0.1，天然气泄漏后被点燃的概率为0.5，则SIS的要求率为压力控制回路发生失效的频率、修正因子（人员暴露于风险的概率及点燃的概率）的乘积，即10-2次/年，对应确定风险图的W1。根据风险图3.6，确定该天然气管线的压力保护系统的SIL应为SIL2。

3.5.2.3　定量计算

天然气管线的可容忍事故后果频率为10-6次/年，即Ft=10-6次/年。危险事件发生的初始频率应为压力控制回路发生失效的频率与修正因子（人员暴露于风险的概率及点燃的概率）以及独立保护层（操作人员响应）失效概率的乘积，即Fnp=10-3次/年，则根据公式（3.1），有：

根据表1.1，则新增的SIS的安全完整性等级为SIL3。

3.5.2.4　LOPA

LOPA分析结果如表3.6。从表3.6可以看出，可容忍后果频率为10-6/a，减缓后频率为10-3/a，其比值为10-3，即是需要新增的SIS进一步降低的风险值。根据表1.1，确定新增的SIS的安全完整性等级为SIL3。

注：NA—不适用。

综合以上采用不同方法确定SIL的示例，可以看出，采用定量计算和LOPA方法确定压力控制回路的安全完整性等级为SIL3；风险矩阵确定该压力控制功能回路为SIL3[B]，尚须进一步确定是否需要附加风险降低措施，即风险矩阵方法较为保守；风险图方法确定该压力控制功能回路为SIL2，比其他方法确定的SIL低，即风险图法过于乐观。综上所述，风险矩阵和风险图法均较为主观，而且SIL确定的结果不够准确。