3.3　安全要求分配

3.1节介绍了如何确定受控系统需要哪些安全功能，3.2节阐述了风险降低与SIL的关系。接下来讨论具体需要哪些保护层实现这些安全功能以及每个保护层需要提供多大保护能力就能实现风险降低目标，即安全功能分配和安全完整性分配问题，统称为安全要求分配问题。本节以SIS和其他风险降低措施为例来阐述安全要求分配的目的、分配过程中应考虑的事项等问题。SIL分配方法将在3.4节详细论述。

3.3.1　分配目的

①为指定的SIS保护层、其他风险降低措施保护层分配安全功能。考虑需要何种其他风险降低措施保护层及其保护能力（SIL）。

②在确定了其他风险降低措施保护层及其SIL后，应对SIS保护层的需要做出判断，确定需要哪些SIF。

③对每个确定的SIF分配安全完整性等级。如果需要一个SIS保护层，则应确定该SIS安全仪表功能的SIL。

3.3.2　分配过程要求

1）危险和风险评估与安全要求分配可以同时进行，甚至安全要求分配可以在危险与风险评估前进行。

2）通常，只有在其他风险降低措施不能满足风险降低目标时，才将安全功能分配给

SIS。例如，考虑燃烧能量的释放或者放热反应的保护时，需要确定是采用SIS还是采用安全阀。

3）在给SIS或其他风险降低措施分配安全功能时，应考虑整体安全生命周期的所有阶段中可能利用的技能和资源在实际运行中，运行、维护的可用技能和资源以及运行环境对所要实现的功能安全可能是关键的。

4）安全要求分配应该是重复进行的，直到受控系统达到必要的风险降低。把一个特定功能分配给1个还是几个SIS取决于多种因素，但主要取决于安全功能达到的风险降低。要求的风险降低越大，该功能就越可能分配给更多的SIS。

5）在把安全功能分配给SIS时，需要考虑SIS采用的运行模式，即低要求运行模式还是高要求/连续运行模式。过程工业的SIS大多采用低要求运行模式，但有些设备的SIS采用的是连续运行模式，如燃烧器或汽轮机的速度控制系统。

6）从表1.1可知，SIL与受控系统的风险降低因子（Risk Reduction Factor，RRF）相对应，并用SIS的要求时危险失效平均概率（PFDavg）来定义。PFDavg可以通过未采用SIS时的过程风险与可容忍风险的比值来确定。

7）从表1.2可知，SIL由SIS的每小时危险失效频率来定义，可通过SIS的可容忍失效率并考虑导致同一风险的其他保护层的失效率来确定。需要注意的是，用检验测试周期或要求率把危险失效频率转换为要求时危险失效概率是不正确的，因为这将导致确定的SIL不规范。

8）在当前的认知水平下，不可能定量地评估SIS的所有方面的安全完整性，有些影响SIS可靠性的方面只能用定性技术判断。如失效的系统原因（系统性失效）尚不能定量，而只能进行定性评估。

9）应对每个安全仪表功能进行验证，以确定是否能够达到所需的SIL。根据实现安全功能的各个设备、组件的可靠性相关数据、安全仪表系统结构、检验测试、维修策略等一系列约束条件集合，运用概率数学模型对安全功能的要求时危险失效平均概率（PFDavg）进行计算。

10）可以用几个较低SIL的系统来组成1个较高SIL的安全仪表系统，如使用1个SIL2和1个SIL1的系统来组成1个满足SIL3功能的安全仪表系统。

11）进行安全要求分配时，还应考虑共因失效。如果SIS与其他风险降低措施是独立的，则有：

①实现功能的途径是多种多样的；

②可以用不同类型的设备，不同技术达到相同的结果；

③不能用可导致所有系统共同失效的公用部件，如电源；

④不能使用公用的操作、维护或测试规程；

⑤应在物理上分开，使可预见的失效不会影响冗余安全相关系统和其他风险降低措施。

12）1个SIS可以实现不同SIL的安全仪表功能。对用于实现不同SIL的安全仪表系统，除非能够证实每个安全仪表功能之间是独立的，否则应把硬件和软件的相关部分按照最高SIL来考虑。

13）当软件执行不同SIL的安全功能时，所有的软件都应按照最高目标SIL进行要求，除非在设计中表明不同SIL的安全功能之间的充分独立性。软件SIL至少与所属安全功能的SIL一致，但是如果软件组件与其他硬件组件结合，则结合后达到的SIL至少与其所在安全功能一致。

14）分配给安全仪表功能的SIL不能高于4。在过程工业中几乎没某个SIF要求达到SIL4。因为正常情况下，在整个安全生命周期达到和保持SIL4是很困难的，所以应避免SIL4的应用。如果风险分析结果是分配给某个安全仪表功能的SIL为4，则应考虑改变过程设计，例如提高过程的本质安全或增加附加保护层。

15）如果基本过程控制系统（BPCS）能够实现降低过程风险，则BPCS可视为1个保护层，且其风险降低因子不大于10。此时，BPCS应保证能提供访问保密和更改管理。如果要求BPCS的风险降低因子大于10，则应按照SIS进行设计。

图3.2示意了E/E/PE安全相关系统和其他风险降低措施的安全要求分配。