确定安全系统完整性等级(SIL)需求地方法

《确定安全系统完整性等级(SIL)需求地方法》由会员分享，可在线阅读，更多相关《确定安全系统完整性等级(SIL)需求地方法（16页珍藏版）》请在装配图网上搜索。

1、确定安全完整性等级（SIL）需求的方法优势与弊端1 简介安全完整性等级（SIL）的概念是随着BS EN 61508的发展被引进的。对于具有安全功 能的系统，SIL是对其质量或者说靠性进行的一种度量，具体来说，就是对系统能 否按预期执行相应功能的可信赖程度的一种度量。本文主要讨论在过程工业设备领域流行的两种确定SIL需求的方法：风险图表法和 保护层级分析（LOPA）法并指出两种方法各自的优势和局限，特别是针对风险图表法。 同时也给何种情况下应选择何种方法的推荐标准。2 SIL 的定义相关标准承认，不同的安全功能，其所需的运作方式也迥然不同。很多功能的实际 使用频率非常低，比如汽车的如下两项功能：

2、防抱死系统（ABS）。（当然，这跟司机也有关系） 安全气囊（SRS）另一方面，有些功能的使用频率很高，甚至是持续运作的，比如汽车的这两项功能 刹车 转向如此，一个根本性的问题便是：这两种类型的功能，其发生故障的频度达到多大会 导致事故的发生？针对二者的答案是不同的： 对于使用频率低者，事故频率由两个参数构成：1）功能的使用频率2）当使用时，该功能发生故障的概率故障概率（PFD）因此，这种情况下，PFD便能恰当地衡量该功能的性能表现，而PFD的倒 数则称为：风险消除因数（RRF）。 对于使用频率高者，或持续运作的功能，能恰当地衡量其表现的数据则是 故障频率（2 ）,或者平均无故障时间（MTTF）

3、。假设故障的发生呈指数 分布，则MTTF与入互为倒数。当然，以上的两种表达方式并不是独立的，而是相互关联的。最简单地，假设可以 以一个比正常使用频率高的频度对某功能进行检验，则以下关系成立：PFD =入 T/2 = T/（2xMTTF） 或者：RRF = 2/（入 T）或=（2xMTTF）/T其中T是检验间隔（注意：若要将事故速率显著降低到故障速率入以下，检验频率 1/T 应至少为正常使用频率的两倍，最好是能达到 5 倍或更高。）但这两者却是不 同的量：PFD是一个概率，是无量纲量；入是一个速率，量纲是t-1。然而标准中对 两种度量都使用相同的术语一一SIL,定义见下表：表1 - BS EN

4、61508中低使用频率下的SIL定义SIL平均PFD范围RRF范围410-5 W PFD V 10-4100000 三 RRF 10000310-4 W PFD V 10-310000 三 RRF 1000210-3 W PFD V 10-21000 三 RRF 100110-2 W PFD V 10-1100 三 RRF 10表2 - BS EN 61508中高使用频率或持续运作下的SIL定义SIL久范围（每小时故障次数）MTTF范围（年）410-9 W 入 V 10-8100000 三 MTTF 10000310-8 W 入 V 10-710000 三 MTTF 1000210-7 W 入

5、 V 10-61000 三 MTTF 100110-6 W 入 V 10-5100 三 MTTF 10在低使用频率模式下，SIL是PFD的代表；在高使用频率或持续运作模式下，SIL则 是故障速率的代表。（在标准中，高低使用频率的分界大体上被设置在每年一次， 这与3到 6个月的检验间隔是相符的。在很多情况下，要使检验间隔比这更短也不 大可行。）现在，考虑有这样一项功能，它可以同时对两种危险进行保护：其中一种平均两周 发生一次，约合25 次每年，也就是高使用频率型；另一种大约10 年发生一次，也 就是低使用频率型。如果该功能的平均无故障时间为50 年，那么对高频危险的保 护将达到 SIL1 级别。

6、同时，对于低频危险的保护来说，高频危险的发生有效地检 验了该功能。其他条件相同的情况下，对低频危险的防护等级实际上达到了：PFD = 0.04/（2x50） = 4 x 10-4 即：SIL3那么，该功能达到的SIL等级究竟为何呢？显然答案不是唯一的，而是取决于具体 保护的危险，特别是危险发生的频率是高还是低。 此栏并非标准中所定义，但通常 RRF 比 PFD 更易处理。 此栏并非标准中所定义，但作者发现在过程工业领域，这些近似的 MTTF 值更有用，因 为在这里，时间更多地是以年来计，而不是小时。在前一种情况下，可以达到的 SIL 等级是由设备的内在属性决定的；后一种情况下 尽管设备的内在属

7、性也很重要，但是可以达到的SIL等级同样受检验制度的影响， 这在过程工业领域很重要。在这里，可达到的SIL等级易受现场设备（过程仪表以 及其他特别是末端设备如关断阀等）可靠性的影响。这些现场设备需要定期地检验 方能达到需求的 SIL 等级。每天和标准打交道的人可能对这些定义的区别非常了解，但对于偶尔使用的人还是 容易混淆的。3 确定 SIL 需求的一些方法BS EN 61508提供了三种确定SIL需求的方法： 定量法。风险图表法，在标准中被作为定性方法。 伤害事件严重性矩阵，在标准中同样被作为定性方法。BS IEC 61511则提供了： 半定量法。 安全层级矩阵模型，被作为半定性方法。 标准化

8、风险图表法，在标准中被作为半定性方法，但业内也有些作为半定 量方法。 风险图表法，被作为定性方法。保护层级分析（LOPA）。（尽管标准并未指明是定性还是定量，但该方法 是倾向于定量的。）风险图表法和保护层级分析是两种流行的确定SIL需求的方法，特别是在过程工业 领域。两者的优势和弊端以及应用范围是本文的主要议题。4 风险图表法风险图表法广泛使用的原因将在下文中介绍。典型的风险图表见图 1。C为后果参数，CA-CD表示不同的后果等级。F 为频率与暴露时间参数。P 为避免伤害的可能性。W 为无保护状态下，危险发生的速率。图中的参数可被给予定性的描述，如：CC三造成数人死亡。或定量的描述，如CC三发

9、生死亡的概率为0.1到1.0。Startling pointfor risk reductionestimationP = Possibility of avoiding hazardW = Demand rate spuming no protectionC = Consequence parameterF = Frequencv and exposure=Na safety re quire merits u = No special safety requirements b = A single E/E/PE5 is noi sufficienr1,2, 3,4 = Safety In

10、tegrity Level图1 典型的风险图表第一种定义规避了问题的实质：“数人”是多少人？在实际应用中，要评估SIL需 求是非常困难的，除非有一套公认的，以定量范围的术语给出的参数值定义。这些 定义可能按照评估机构的风险准则标准化过，也可能没有，但这里，方法已经变成 半定量的了（或许是半定性？当然一定是在定量和定性两种极端之间的某个位置。）表3给出了一套典型的定义表3-风险图表参数的典型定义后果CA轻微伤害CB每次事故发生死亡的概率在0.01到0.1CC每次事故发生死亡的概率在0.1到1CD每次事故发生死亡的概率 1暴露时间FaV 10%的时间Fb三10%的时间伤害的可避免性/不可避免性PA

11、 90%可避免/ V 10%不可避免PBW 90%可避免/三10%不可避免发生速率W1低于30年次W23到30年一次W30.3到3年一次4.1 优势风险图表法具有如下优势：是一种半定性/半定量的方法不需要精确的伤害发生速率、后果以及其他参数的值不需要专业的计算或复杂的建模 只要对应用领域心里“有谱”的人就可以使用通常作为一种团队实践，类似于HAZOP译注：危险与可操作性分析个人偏见得以消除 对于风险与危害的理解得以在团队成员间传播(如从设计、操作、维护等 不同位置得出的理解)个人易忽视的问题得以被发现需要计划和制度 不需要详细学习相对轻微的伤害可以相对较快的速度评估多种危害可作为一种有效的筛查

12、工具用于识别：- 需要更细致评估的危害- 无需额外防护的轻度危害 由此可使资源和维护成本投向更有效的方向，生命周期成本也得以优化。4.2残余风险范围的问题考虑例子中的参数分别取：CC,FB,PB,W2，这样表示需要达到SIL3的防护。C B B 2CC三每次事故发生死亡的概率在0.1到1F三暴露时间三10%BP三伤害不可避免的可能性三10%BW2三3到30年发生一次SIL3三 10000 三 RRF 三 1000假设所有参数均位于其范围的几何平均数处：后果=V (0.1 x 1.0)=每次事故发生死亡的概率为0.32 暴露时间=V (10% x 100%) = 32%不可避免性=V (10%

13、x 100%) = 32%发生速率=V(3 x 30) 10年发生一次RRF = = V (1000 x 10000) 3200(注意：之所以用几何平均数是因为风险图表的参数实际上是按对数坐标来标 定的)考虑不加保护的危害：风险最大值=(1 x 100% x 100%)/3 每3年有一人因事故死亡 风险几何平均值= (0.32 x 32% x 32%)/10 =每300年有一人因事故死亡 风险最小值=(1 x 10% x 10%)/30 每30000年有一人因事故死亡即：不加保护的风险从最小到最大有着4 个数量级之差。考虑加以SIL3级别的保护则：残余风险最大值(3 x 1000)=每3000

14、年有一人因事故死亡残余风险几何平均值(300 x 3200)每100万年有一人因事故死亡残余风险最小值(30000 x 10000)=每3000万年有一人因事故死亡即：加以保护后的风险从最小到最大有着5 个数量级之差。图2给出了基于平均情况的原理表示图2 -BS IEC 61511中的风险消除模型 对此单一的危害，一个合理的控制目标差不多在每10 万年有一人因事故死亡。在 最不利的情况下，我们只能达到目标值 30 分之一的风险消除程度；而平均情况下 能得到10 倍于目标的风险消除程度；在最有利的情况下，能得到3000 倍于目标的 风险消除程度。当然，实际上不可能所有参数都处在极限值上，但总的来

15、说，这种 方法必须给出一个保守的结果，以免风险消除的需求被低估。管理残余风险范围中内在的不确定性以期得到一个保守结果的方法包括：校准图表，以使平均残余风险远低于目标值，如前所述。谨慎选择参数值，即对参数值的选取存在不确定时，选择偏保守者。 仅当任何单一危害的平均残余风险在总体的风险控制目标中都只占很小的比 例时，才应使用此方法。假设有许多不同的系统或功能对不同的危害进行保 护，那么这些危害总的平均残余风险在总体的风险控制目标中将只占很小的 比例，于是单一危害被低估了的残余风险在总体风险控制目标中占据的比例 更小，而且在风险合并的时候，会和被高估了的危害相互抵偿掉。保守的结果同时也带来严重的成本

16、上升，特别是当得出更高的SIL需求时。4.3 在过程工业中的应用在过程工业中，风险图表被广泛用于评估各种跳闸、关断、泄放等功能高低压 力、温度、液位、流量等等，这些在典型的过程工业工厂中经常能见到。在这个应 用领域中，前文所述的优势十分确切，而且将许多功能的风险进行合并也是行得通 的。图3 -高压关断功能图3表示了一个典型的功能。目标是评估其装备的超压力关断功能（在BS IEC 61511的术语中，这被称为一种“安全仪表功能”（SIF），其是由“安全仪表系统” （S来实现的）。随即产生的一个问题便是：容器上的安全阀同样对其进行超压保 护，在类似这种情况下采用典型的风险图表时，该如何处理这个安全

17、阀？这种有 SIF 备份的机械保护很常见。可选的处理方式有三种：假设安全阀总能正常动作。假设安全阀总是不动作。 以上二者之间。UKOOA译注：英国海上作业者协会导则（KUOOA 1999 ）推荐第一种方式，但故 障率数据无法证明其合理性。第二种方式则易导致SIL需求被高估从而致使成本 上升，因此不被推荐。相关标准给出的指导意见见表4。表4 -标准中关于在使用风险图表时如何处理其他技术的安全相关系统”的指导意见BS EN 61508BS IEC 61511“W参数是用来估 计意外事件的发生 频率的，条件是在 没有任何附加的安 全相关系统（电气/ 电子/可编程电子或 其他技术）但包含 任何外部的风

18、险消 除设备的情况 下。”（第五部分，附录 D-一种定性的方 法：风险图表）（安全阀显然属于 “其他技术的安全 相关设备”）“W-考虑没有安全仪表功能的情况下，每年发生危害事 件的次数。考虑所有可导致危害事件的故障并估计总的 发生速率即可得出该数值。其他层面的保护应被考虑到 其中。”（第三部分，附录D -半定量法，标准化的风险图表）“W参数是用来估计没有SIS加入的情况下意外事件的发 生频率的”（第三部分，附录D -半定量法，标准化的风险图表）以及：“W参数是用来估计意外事件的发生频率的，条件是在 没有任何附加的安全仪表系统（电气/电子/可编程电子或其他技术）但包含任何外部的风险消除设备的情况

19、 下。”（第三部分，附录E -定性法，风险图表）一种遵循标准且被证明有效的近似是：1. 基于没有任何保护的情况，即：在使用SIF或任何机械保护之前，得出一个总体 的风险消除（SIL）需求。2. 扣除机械设备的影响，通常安全阀相当于SIL2 （可用的故障率数据证明了其合理 性，而且也被BS IEC 61511，第三部分，附录F所支持）3. 需求的SIL等级就是在第一步中得到的等级减去2 （或机械保护相应的SIL等级）。这种近似的优势在于：得出的结果一般与传统实践相一致。既不假设机械设备完美无缺，也不假设其一无是处。承认当总体的SIL需求高于机械设备SIL等级时，SIF将需要具备SIL等级（如:

20、总体需求SIL3；安全阀可达SIL2；则SIF需要SIL1）。4.4针对过程工业工厂的标准化在风险图表标准化之前，首先要确定使用的基准是：个体风险（IR），通常针对在危险中暴露最多的那个人。 群体风险，针对暴露在危险中的群体，如工厂中的工人或附近的居民。 以上二者的某种组合。4.4.1 基于群体风险考虑将风险图表应用于指定工厂中工人的群体风险。假设工厂中有20 个这样的功 能，那么，基于几何平均数的残余风险（每100万年有1人因事故死亡），总的风 险则为每5万年有1人因事故死亡。将此结果与公布的风险可接受度准则相对比。HSE译注：健康、安全和环境管理体 系建议：每5000年发生一次50人死亡的

21、事故，这种风险是不可容忍的（HSE Books 2001）。在涉及主要工业设施的风险时， HSE 参考了“危险品运输中的主要风险” （HMSO译注：危险品储存条例1991），特别是其中的的F-N曲线（图4）。可以看到，HSE认为不可接受的“每5000年发生一次50人死亡的事故”刚好落在 “本地警戒线”上。由此我们可以推断：每100年有一人因事故死亡也同样是不可 接受的。同时，每10000年有一人因事故死亡则是“可广泛被接受”的边界。因此 我们的目标应该定在“每1000年因事故死亡的人数少于1人”。如此，在SIF保 护下总的风险（每5万年有1人因事故死亡）仅为总体风险控制目标的2%，这为其他 与

22、 SIF 无关的危害留下了非常大的余地。然而，我们可能会选择保留这种保守的附 加元素以进一步补偿这种方法固有的不确定性。要计算在此标准化中的平均IR,先假设总共有50人定期暴露在此危险中（即：在 此轮班的所有工人之和）。那么，在SIF保护下，每年每5万人中有1人因事故死 亡的风险将分散到这些人头上，因此，平均IR便是每年每250万人中有1人因事 故死亡.100 nn ill lion years1 in10 years黑一=思E2OE 3 N JOLz) AQLBnb 巴LL10D years10DD yearsID, ODD yearsIQQJ-OQ yearsi mil h on year

23、s10 milIIon yearsNumber (N) of fatalities图4 -探讨运输中的主要风险时的F-N曲线将此IR对比R2P2译注：消除风险，保护人员(HSE Books 2001)中公布的标准：不可接受 = 每年每1000人中有1人因事故死亡(指工人)广泛接受 =每年每100万人中有1人因事故死亡因此我们针对IR的所有危害总体风险控制目标可能定在“每年每5万人中少于1 人因事故死亡”。这样，在SIF保护下总的风险又仅为总体风险控制目标的2%， 为其他危害留下了非常大的余地。我们或许能得出这样的结论：此图表在评估工人 的平均个体风险时被过度标准化了。C和W参数的范围可用来调节

24、这种标准化。(F和P参数分别只有两档可选，而且FA和PA都表示风险降低至少10倍。)典型地，参数范围可被上调或下调半个数量 AA级。当然，工厂的运营组织可能会有自己的风险标准，或许比R2P2和探讨运输中的主 要风险里的标准更严。4.4.2 基于暴露最多者的个体风险要针对暴露最多者来标准化风险图表，就必须指出这个“暴露最多者”是谁，至少 以其在工厂中的岗位和角色来表示。C参数的值必须根据对此个体的后果来定义， 如：CA三轻度伤害CB三单次事故死亡的概率约为0.01BCC三单次事故死亡的概率约为0.1CD三几乎必死无疑暴露参数 F 的值必须根据此人的工作时间来定义，如：FA三暴露于危险中的时间V

25、10%的工作时间FB三暴露于危险中的时间三10%的工作时间B鉴于此人用于工作的时间仅占其生命的约20%,其潜在的风险仅有对SIF需求的 20%。因此，再次使用 C F P 和 W ：C B B2CC三单次事故死亡的概率约为0.1FB三暴露时间三10%的工作周或年BP三有10%到100%的危害不可避免BW2三3到30年发生一次SIL3三 1000 三 RRF10000考虑不加保护的危害：风险最大值 = 20% x (0.1 x 100% x 100%) *每年因事故死亡的概率为1/3 =每年因事故死亡的概率约为1/150风险几何平均值 = 20% x (0.1 x 100% x 100%) *每

26、年因事故死亡的概率为1/10 =每年因事故死亡的概率约为1/4700风险最小值 = 20% x (0.1 x 100% x 100%) *每年因事故死亡的概率为1/30 =每年因事故死亡的概率约为1/15万考虑加以 SIL3 级别的保护则：残余风险最大值=每年因事故死亡的概率约为1/15万残余风险几何平均值 =每年因事故死亡的概率约为1/1500万残余风险最小值=每年因事故死亡的概率约为1/15亿假设此人暴露于10种受SIF保护的危险之中（即总共20种之中的一半），那么， 基于几何平均数的残余风险，其从中获得的总的风险为：每年因事故死亡的概率约 为1/150万，这仅为所有危害总体IR控制目标1

27、/50000的3.3%，因此也为其他与 SIF无关的危害留下了非常大的余地。我们或许能得出这样的结论：此图表在评估 我们假设的暴露最多者的风险时也被过度标准化了，但我们可以选择保留这种保守 的附加元素。（注意，此图表与前文中评估群体风险的图表并不相同，因为，尽管 我们保留了这种形式，但我们用了另一组不同的参数定义。）在以上的定义中，C参数的值并不适合调整，所以，在这种情况下，只有W参数 的范围可被调整以重新标准化该图表。我们可能像这样改变W参数的范围：W三低于10年一次1W2三1到10年发生一次W3三不到1年发生一次4.5典型结果正如人们所预计的那样，不同的设施，在其中被评估为需要SIL等级的

28、功能，其数 量相差悬殊。但表5 给出了对一相当典型的近海天然气平台评估得出的大体结果。表5 -典型的SIL评估结果SIL功能数量占总量百分比400%300%210.3%1186.0%无28193.7%合计300100%典型地，可能会有一项SIL3的需求，而SIL4需求则非常罕见。 这些数字表明，以上为评估风险图表的标准化而做的假设是合理的。4.6 讨论以上发现的问题总结起来便是：评估SIL需求时，风险图表是一种非常有用但粗糙的工具。（一种方法，使用 了 5个参数C、F、P、W、SIL，每一个的值都有一个数量级的范围，将不可避免地产生一个拥有 5 个数量级范围的结果。）必须在一个保守的基准上进行

29、标准化，以免低估了未防护的风险以及风险消 除量/保护需求度而带来的危险。 只有当许多功能对于不同的危险进行保护，而这些危险各自只占总体危险的 一小部分时，使用这种方法才最合适。此时，被高估和被低估的残余风险很 可能就在合并时被平均掉。只有在这种情形下，说这种方法给出了一个“适 当”且“充分”的，也因此才合法的风险评估才是实至名归。更高的SIL需求（SIL2+）导致严重抬高投资费用（用于冗余和严密的设计需求） 和运营成本（用于为更多的设备进行严密的维护，以及用于对更多的设备进 行定期检测）。这时就需要用一种更优良的方法重新评估了。5保护层级分析（ LOPA）LOPA是由美国化学工程师协会发展起来

30、的一种用于评估SIF的SIL等级需求的方法 （AIChemE 1993） .这种方法需要首先列出设施里所有的过程危害。这些危害可由 HAZOP 或其他危害 识别方法识别出来。而对其进行的分析将根据： 后果描述（“冲击事件描述”） 后果严重性预估（“严重性级别”） 对所有可能引起冲击事件的原因的描述（“诱发因素”） 预估所有诱发因素发生的频率（“诱发概率”）严重性级别可以结合目标频率范围，以一种半定量的方式来表达（见表6），表6严重级别与缓和事件目标频率的定义示例严重级别后果缓和事件目标概率轻度严重损伤是最坏的 情况无特殊需求严重严重的永久性损伤 到至多3人死亡低于3*10-6每年或 平均大于3

31、3万年发生一次扩大4到5人死亡低于2*10-6每年或 平均大于50万年发生一次灾难死亡5人以上使用F-N曲线或者可以表示为对损害进行的具体的定量估计，可以参考F-N曲线。类似地，诱发概率也可以半定量地表示（见表7），表7 -BS诱发概率的定义示例诱发概率频率范围低低于1万年次中100到1万年一次高高于100年一次或者可以表示为具体的定量估计。这种方法的优点在于，它承认在过程工业领域通常从诱发因素至其导致的冲击事件 之间会有数个层次的保护。具体地，包括了： 一般工艺流程设计。如：设计中可能会考虑到降低密封失效的概率或者在密 封失效时降低着火的概率以降低火灾或爆炸事件的概率。基本过程控制系统（BP

32、CS）。如：闭环控制故障可能是主要的诱发因素之一。 然而，可能另外存在可避免冲击事件的独立控制环，从而降低事件发生的频 率。报警。假设在BPCS之外有一独立的报警，当报警发生时，操作员有充分的时 间来做出有效的响应动作（如“拉出”一个“把手”），如此，得益于报警 的作用，冲击事件发生的概率得以降低。额外的缓和、限制措施。即使冲击事件已经发生，还可能有限制危险区域扩 大的措施（相当于风险图表法中的F参数），或者从危险区域有效疏散的途 径（相当于风险图表法中的P参数），这些都可以降低事件的严重性等级。 独立的保护层级（IPL）。每个IPL都必须满足一些标准，包括RRF三100。安 全阀和爆破片通常

33、都可以达到。基于上述所有保护层级的诱发概率（频率）和PFD，可计算出一个介于诱发事件和 冲击事件之间的中间事件发生概率（频率）。计算过程必须涵盖所有的诱发事件方 可得出针对所有诱发事件总体的中间事件发生概率。此概率便可与缓和事件目标概 率（频率）进行对比。至此，尚未将任何 SIF 纳入考量。而上述二者之比：中间事件发生概率 /缓和事件目标概率即为SIF所需的RRF或（1/PFD）值，根据此值即可得出SIL需求。5.1优势LOPA 法的优势在于： 可被用作半定量法或定量法作为半定量时，与风险图表法有着许多相似的优势。作为定量法时，分析的逻辑仍可发展为一种团队实践，而相应的细节则可 由专家在“线下

34、”开发。明确了风险缓和因素，如报警和安全阀等，这些在风险图表法中是作为调节 因素来体现的（如鉴于报警的存在而降低W参数的值，将安全阀的SIL等级 从结果中扣除等）。对于高SIL功能可从从半定量分析提升至定量分析而无需改变形式。6 事后防护过程设备中的有些功能是“事后”发挥作用的，即在密封失效之后，甚至起火之后 或爆炸发生之后。火焰与燃气泄漏检测以及紧急关断是这种功能的典型代表。在评 估这种功能的SIL需求时，表现出以下具体问题： 由于是在事件发生之后操作，可能已经造成了无法挽回的结果。初始结果和 后续结果之间必须是隔离的。 取决于众多的中间事件，事情可能会发展升级成多种不同严重程度的最终结 果

35、。分析这些结果的可定能性是专家的任务，通常是基于事件树（图5）。ofIgnitionG朋FirecontainmentdetectiondetectionFailsPossible escalationImmediateJ蹴 fine： immediate fatalities aixi irijuriesOperates Release IsolatedConsequenceOutcome 1Outcome 2Si#nificaint g日吕比筒吕FailsExplDSiDn. jet lireRelease isolated OperatesRelsase i&olaledFailsPos

36、sitil& esc誇Ian心仇Outcome 3Outcome 4Outcome 5No ignitionOutcome 6图5 -事后防护的事件树风险图表发并不适用于以下类型的评估： 预期的使用频率非常低，如1000到10000年一次。这已经低于风险图表给出 的范围了，即低于W到两个数量级。功能可能的最终结果，其范围非常之大，从单一人员受伤到大量死亡。当可能的结果存在于一个很大的范围时，使用风险图表这种粗糙的方法便很难称 得上是“适当”且“充分”的。LOPA 法则不存在这些问题，特别是用作定量法时。7 总结两种方法的优势与弊端总结如下风险图表LOPA优 势1、可相对快速地用于大量的功能以

37、排除没有或几乎没有安全需求者，凸显安全需求强烈者。2、可以作为一种团队实践，涉及一 系列的学科和专业知识。1、既可作为相对粗糙的过滤工具也可 作为更精确的分析。2、可以作为一种团队实践，至少在半 定量评估时。3、促进对所有相关风险缓和机制的识 别并在评估时计入其影响。4、定量应用时，残余风险水平的不确 定性得以降低，因此无需保守的评 估。5、可用于评估事后功能的需求。弊 端1、作为一种粗略的方法，只适合在 在单一残余风险在总风险控制目标 中占比很小的情况。2、需要经过多种方式的调整以计入 报警和机械保护设备等其他风险缓 和机制。3、不适用于事后功能。1、用于半定量分析时，较风险图表法 为慢。2、不易作为团队实践，因其占用成员 较多的时间以及不够直观。两种方法各有其用，但还是要谨慎地根据情况做出恰当的选择。