3.2　风险降低与SIL分配

风险降低目标是将受控系统风险降低至可容忍风险水平。安全功能及SIL选择过程中涉及以下4种风险指标：

①初始风险指由受控设备或受控设备与受控设备控制系统相互作用而产生的风险；

②可容忍风险是指以现行社会标准为基础的给定范围下可被接受的风险；

③残余风险指采取了防护措施之后仍然保留的风险；

④必要的风险降低是通过E/E/PE安全相关系统、其他风险降低措施实现的风险降低，以确保不超过可容忍的风险。

这四种风险指标的关系如图3.1所示。

图3.1　风险指标的关系

确定可容忍风险的选取原则就是制定一种衡量标准，按照这个标准能够将过程中存在的初始风险通过可容忍风险转变为必要的风险降低。因此，必要的风险降低就是过程中存在的风险和可容忍风险之差。SIL只应用于E/E/PE安全相关系统、其他风险降低措施，并作为这些系统/功能在规定安全功能方面取得必要的风险降低的概率的衡量。一旦确定了可容忍风险，并估计了必要的风险降低，就可对E/E/PE安全相关系统、其他风险降低措施进行SIL分配。

由图3.1可以看出，E/E/PE安全相关系统、其他风险降低措施的安全功能分别承担了一定的风险降低任务。从另一角度说，是将必要的风险降低（或实际的风险降低）分配给了E/E/PE安全相关系统和其他风险降低措施，即安全功能分配。而风险降低因子（RRF）对应着SIL，因此，根据风险降低因子，可以对E/E/PE安全相关系统和其他风险降低措施进行SIL分配。综上所述，为实现风险降低目标，需要考虑安全功能分配和安全完整性分配问题，统称为安全要求分配。