徐志杰，宋占兵

(1. Kenexis咨询公司,天津 300270；2. 中国安全生产科学研究院，北京 100029)

术语“风险降低因子(RRF)”在与功能安全和安全仪表系统相关的讨论中极为常见。大多数功能安全从业者认为RRF=1/PFDavg，其中，PFDavg是安全仪表功能的要求时平均失效概率。换句话讲，RRF是安全措施失效概率的倒数，尽管大多数人如此认为，但并非完全准确。事实上，上述公式仅在狭义且特定的情况下才成立。

1 RRF的具体内涵

除了特定公式之外，RRF还通常被用作定义安全仪表功能的性能指标，旨在表示安全仪表功能降低危险事件发生频率的程度，因此，应该考虑更为广泛的针对RRF的解释。从最为普通的意义上讲，RRF是指某一种情形与其他情形相比较时风险降低的次数，即一种情形是基准风险水平，另一种情形是对改变风险状况的某种修正，计算公式如式(1)所示：

RRF=风险(基准)/风险(修正)

(1)

在安全措施完全为预防性的情况下，这意味着如果安全措施被成功执行，后果便不会发生，那么“修正后情形”的RRF(即，在增加安全措施之后)势必等于安全措施PFDavg的倒数。该结果可以从风险降低的一般定义当中得出，这是因为修正后的风险等于基准风险乘以安全措施的PFDavg。计算公式如式(2)所示：

风险(修正)=风险(基准)×
PFDavg(预防性安全措施)

(2)

如果将式(2)回代入式(1)，可以得出如式(3)的结果：

RRF=风险(基准)/[风险(基准)×
PFDavg(预防性安全措施)]

(3)

此时，如果将式(3)的分子和分母同时除以风险(基准)，则可以得出RRF=1/PFDavg所针对的特定情形对应的结果。

2 不同安全措施失效后对风险状况的影响

尽管公式RRF=1/PFDavg很常见，但事实上它只是RRF的一种特殊情形。在某些情况下，RRF实际上并不一定等于安全措施的PFDavg的倒数。例如，减缓性安全措施的情况便是如此，并且还有可能包括如下情形： 即安全措施的失效会以不同的方式影响风险状况，并非只是无法防止后果发生的可能性这么简单。如果将安全措施的组成部分用作基本过程控制，其失效便会引发后果，如此一来，该组成部分就会对安全措施的PFDavg产生贡献，但同时也会对基准风险产生影响。这种情况带来的结果是，安全措施的PFDavg与基准风险无法相互分离，这就使得式(2)与式(3)所示的简化变得毫无意义。

3 安全措施类别对RRF贡献的应用示例

为更好地理解上述理论和概念，通过以下案例作为参考： 如果机泵的出口阀门没有关闭，则该机泵有可能会发生密封失效并引发火灾。

若机泵发生火灾会造成100万元人民币的财产损失，阀门失效的发生频率为每10年1次(即，1/10=0.1)，且因机泵密封失效而泄漏物料的点火概率为0.3，则该风险计算如式(4)所示：

风险=后果×频率

(4)

后果(基准)=1 000 000元(每起火灾)

频率(基准)=0.1×0.3=0.03(火灾次数/年)

风险(基准)=1 000 000 ×0.03=30 000(元/年)

若通过增加预防性的安全措施来改变该种情形的风险状况，则只有当该预防性的安全措施在机泵密封失效之前检测出机泵出口流量中断并关停机泵，才可以完全避免上述后果的发生，从而将风险降低。RRF的计算方法是： 首先计算应用安全措施之后的风险，然后再计算安全措施应用前后的风险比率。假设安全措施的PFDavg为0.1，则计算过程如下：

后果(修正)=1 000 000元(每起火灾)

(即，安全措施未能改变后果)

频率(修正)=频率(基准)×PFDavg(安全措施)

频率(修正)=0.03(火灾次数/年)× 0.1=

0.003(火灾次数/年)

风险(修正)=1 000 000 × 0.003=3 000(元/年)

因此，可以通过将风险(基准)除以风险(修正)来计算一般意义上的RRF：

RRF=风险(基准)/风险(修正)=

30 000/3 000=10

因此，通过应用PFDavg为0.1的预防性且独立的安全措施得出的RRF为10，结果与通过公式RRF=1/PFDavg计算的值相同。然而，这种计算方法并不一定始终正确。笔者以采用减缓性措施而非预防性停车措施的情形为例，如果不是关停机泵而是在现场选择安装火灾探测器和雨淋系统来扑灭任意检测到的火灾，在这种情况下，若火灾探测器和雨淋系统无法正常动作(假定PFDavg为0.1)，且财产损失为100万元人民币的后果仍保持不变，即使火灾探测器和雨淋系统均能够正常动作，在从火灾开始到其熄灭的这段时间里，火灾仍有可能导致较小的后果出现。

4 安全措施降低风险的程度对RRF的影响

假设减缓后的后果为5万元人民币且主要用于清理和修复较小火灾造成的轻微损坏，对于上述第二种情形，风险(基准)将保持不变，即3万元/年人民币。修正后的风险计算起来有些复杂，这是因为无论安全措施有效与否，均会导致后果发生。若要计算风险，则需要将安全措施失效时的风险与安全措施成功时的风险相加。具体计算过程如下所示：

风险(修正后安全措施失效)=后果(未减

缓)×频率(安全措施失效)

风险(修正后安全措施成功)=后果(减缓

后)×频率(安全措施成功)

将上文示例中的风险数值代入之后得到：

风险(修正后安全措施失效)=1 000 000×

(0.1×0.3×0.1)=3 000(元/年)

风险(修正后安全措施成功)=50 000×

(0.1×0.3×0.9)=1 350(元/年)

此时，导致的总体风险计算如下：

风险(修正后)=3 000 +1 350=4 350(元/年)

此时计算RRF，结果为 30 000/4 350=6.9。由此可见，实际得到的RRF=6.9并不是应用了安全措施的PFDavg=10的倒数，这是因为安全措施并不能降低所有风险，而只是降低了部分风险所致。

5 安全措施与发生频率对RRF的影响

上例的计算结果表明，实际的RRF并非PFDavg的倒数。笔者以另一个RRF的推导公式(也作为一般形式的特例)为例，可以将其应用于如下情形： 即基准事件和修正后的事件可以有所不同，但后果却保持不变，这种特殊情况下的公式只适用于完全预防性的安全措施。从式(1)RRF的一般形式开始可以对式(4)所示的风险进行扩展，具体过程如下：

RRF=后果(基准)×频率(基准)/[后果(修正)×频率(修正)]

对于预防性的安全措施而言，事件的后果并非由安全措施修正，而仅由发生频率进行修正，这就意味着基准后果与修正后的后果是相同的。由于它们相同，因此可以将分子和分母同时除以后果，最终得出新的定义RRF的公式(5)如下：

RRF=频率(基准)/频率(修正)

(5)

如果使用式(5)来计算第一个示例中的RRF，其中使用预防性的安全仪表功能来防止机泵密封失效和火灾，则RRF的计算过程如下：

频率(基准)=0.1×0.3=0.03(火灾次数/年)

频率(修正)=0.03×0.1=0.003(火灾次数/年)

RRF=0.03/0.003=10

正如预期的那样，在该种情况下，式(5)与其他公式完全一致，它能够准确地计算RRF。式(5)之所以可用，原因是当无法通过对安全措施的PFDavg取倒数计算RRF的时候，其仍可以有效地计算风险降低。综上所述，只有当安全措施完全独立于发生频率其他方面的时候，对安全措施的PFDavg取倒数才是适宜的。

6 初始原因独立性对RRF的影响

再次以机泵出口堵塞的工况为例，如果机泵的出口阀门是流量控制回路的一部分，则该流量控制回路失效将会导致危险情况的发生。如果选择使用该控制回路的流量变送器作为安全仪表功能的传感器，且该安全仪表功能可以停止机泵的运转，则会形成一种与危险事件初始原因相关的安全措施。由于变送器并不独立，因此不能将初始事件的频率乘以安全措施的PFDavg来计算事件频率。只有当逻辑控制器或阀门子系统成为控制回路失效(作为初始原因)的原因时，安全措施的PFDavg才是正确的。如果传感器失效作为初始事件的原因，则安全仪表功能便不能提供保护。如此一来，这种配置所提供的风险降低就不是安全仪表功能PFDavg的倒数，在该种情况下，只能采用能够说明该传感器既是初始原因又是安全措施这一既定事实的故障树来计算频率。只有获取了实施安全措施之前和之后的频率，才可以利用式(5)来确定实际提供的风险降低量。

7 结束语

对于PFDavg与RRF之间的关系，当前多数人的主流观点认为二者只是简单的数学倒数关系。事实上，尽管这种关系较为常见，但这只是二者关系的一种特殊形式而已。在计算RRF的过程中，应该秉承具体情况具体分析的原则，依据所实施的安全措施为预防性安全措施或减缓性安全措施来识别并确定修正后的风险频率及后果，然后再基于基准的频率与后果计算得出实际的RRF。按该实践做法计算出的RRF更加贴近实际且结果更加准确，在现实当中更具实用意义。