Entendendo os níveis de integridade de segurança (SIL)

风险结构如何影响安全项目

理解风险监管背后的哲学对于为危险环境设计仪表安全系统（SIS）至关重要。安全完整性等级（SIL），根据IEC 61508和特定应用标准（如IEC 61511）定义，提供确定适当SIL的基础，反映了在特定情况下可接受的风险水平。 但是，将这些抽象概念与SIL的实际实施联系起来可能会是一个挑战。

对于安全工程师、系统集成商、设计师和设计团队，了解监管机构如何处理风险容忍度，可以帮助阐明某些SIL要求存在的原因，以及监管机构如何在不同司法管辖区评估安全系统的需求。

风险容忍度结构

尽管 ALARP（As Low As Reasonably Practicable，或尽可能低）是一个熟悉的术语，但更广泛的可接受性结构提供了确定您的 SIL 计算是否转化为监管合规性的结构化方法。该结构在 IEC 61508 第 1 部分中有所引用，并在 IEC 61511 中详细说明，描述了我们如何决定一个安全系统是否足够好，或者是否仍需要改进，这被称为功能安全。

三个风险区域在SIL背景下的情况

国际安全标准使用三区风险模型来确定何时需要SIL：

图1：HSE结构以容忍风险

不可接受的风险：无法被合理化的风险，无论其带来的利益如何。

通常情况下，当个人致命事故的风险每年超过1/1000时，就会应用这一规则，这个值在任何情况下都是不可接受的。在进行任何SIL评估之前，不可接受的风险必须降低到可容忍的水平。工程的含义是，你的安全案例必须在进行SIL分析之前，证明风险降低到这个极限以下。这通常需要一个本质上更安全的设计或被动保护。

可接受风险：大多数SIL实现的操作空间。

个体风险通常在每年1/1000到1/1000000之间变化（这因管辖区域和应用而异）。 可接受风险意味着风险仍然存在，但可能是可接受的。这需要证明风险是“最低合理可行水平”（ALARP）或“尽最大合理努力”（SFARP）。 在这里，工程的含义是您的SIL计算非常宝贵的地方——在于证明进一步的风险降低在获得的收益上变得粗略不成比例。

风险广泛可接受：通常不是重大安全问题（SIL）。

在这个类别中的风险，对个人来说，大多数情况下每年低于1/100万。 这里的风险非常低，除了良好的工程实践外，不需要采取额外的安全措施。 这意味着过度的工程可能在经济上或从风险的角度来看不是必要的。

填补标准与现实之间的差距

IEC 61511标准鼓励采用灵活和基于风险的方法来选择SIL，并在其可接受性结构内进行操作，尽管该标准允许在实施选择方面具有灵活性。

LOPA 与容差的整合

层次解算分析（LOPA）将危险事件进行分解并结合可接受性原则，系统地降低风险。 它增加了保护层，如报警、联锁系统或操作员响应。每增加一层保护，风险就会降低；剩余风险会与可接受性限值进行比较。 这样从危险识别到SIL的合理性都创建了一个清晰的路径，监管机构可以轻松理解和验证。

风险图形：一种视觉方法

风险图形是一种更快、更直观的方法来估算所需的SIL。 它们提供了一种直观的联系，将可接受性概念与SIL的选择联系起来，同时考虑潜在结果的严重性、它可能发生的频率以及人们是否暴露在危险中。这些因素被映射到SIL级别中，无需进行数学计算。

图2：风险频率和后果的SIL矩阵

国际上对风险的容忍度差异

各国和各行业以不同的方式应对风险。 这为跨国项目带来了挑战和机遇，这些差异意味着 SIL 决策需要同时考虑技术计算和当地监管机构的期望。

欧罗巴： 这里的方法强调严格证明ALARP，即证明额外的安全措施非常昂贵以至于无法证明其合理性。

北美： 通常，这里有更多的灵活性，高度依赖行业共识标准。

亚太地区: 该地区对IEC 61508/61511标准结构的采用正在增长，但通常会应用更保守的数字标准。

SIL实用项目为现实生活

容差结构从根本上改变了我们定义项目范围和评估风险深度的方式。

高风险系统（例如，SIL3） 您需要超越过程的直接风险，考虑系统性的组织因素， 例如与其他系统的集成、操作员互动以及启动和停机的潜在风险。

常见的外部风险 火灾、洪水、停电甚至网络攻击都应独立于其发生的可能性进行评估。 重点应放在后果的严重性及其发生的可能性上。

不仅仅是数字 SIL系统应符合基本工程实践（GEP），无论风险计算结果如何。 遵守基本安全标准和基于风险的论据，可以在保护和实用性之间创造平衡。

价值链条上的责任

供应链中的每个利益相关方在评估风险时都有不同的责任。例如，机器供应商或OEM通常遵循EN 62061标准，重点是与机器直接相关的风险，特别是那些可能影响操作员或在附近工作的维护人员的风险。

情况对最终用户（如过程工厂的操作员）变得更加复杂。他们需要考虑机器层面的直接风险以及可能因设备故障而引发的更广泛的后果，包括设备可能导致火灾或爆炸。风险不仅限于设备，还包括整个工厂的安全性，甚至公众的暴露风险。由于供应商不知道设备将如何或在哪里使用，这些风险很可能不会被考虑。

基本上，当涉及到SIL时，并不存在一种适用于所有情况的解决方案。了解谁对每个风险负责有助于确保安全以整体的方式进行处理，而不是仅限于局部：

设备制造商应确保其产品符合国际安全期望，并且可以作为SIL系统的一部分使用。

系统集成商 面临将项目与风险结构对齐的挑战，同时证明所选的SIL是合适的。

设施运营商 负责使用安全管理系统、测试计划和生命周期管理来保持系统在长时间内正常运行。

管理耐受性评估中的不确定性

任何安全评估都不可能是完美的，规范基于这样一种观点，即并非总是拥有所有必要的数据来做出完美的预测。因此，它们制定了应对不确定性的指导方针：

数据的限制

使用保守的故障率，如果我没有准确的数据。

对SIL验证计算应用安全裕度。

考虑到系统性故障，而不仅仅是随机故障。

测试的局限性

了解您的测试可以和不能检测到什么。

确保测试之间的间隔在安全性和实用性之间取得平衡。

主要结论

• 1. 风险容忍度结构为SIL决策提供框架，以确保安全系统在技术上兼容且真正有效。

• 2. 理解这些规范背后的哲学有助于安全专业人员满足工程和社会的期望。

• 3. 使用容错结构作为 SIL 决策的基础，使我们能够构建适应不断发展的技术、监管变化的系统，并最终在实际操作环境中为用户提供更安全的环境。