SIL级别

第七届工业仪表与自动化学术会议

23

本安仪表与功能安全要求—实现方法的研究



AntonHeinshill

（库柏克劳斯-哈恩斯公司，德国）



摘要：过去几年对控制和仪表功能安全的关注更加增强了。SIL是全世界广泛认可的评定功能安全的系统化的方法。为了

避免在危险区域发生爆炸，本安型回路包含了限能装置。具体解释说明SIL概念，以及通过典型实例说明如何将其应用在本

安型回路上。

关键词：标准风险评估现场连接PFD预测



0引言

工厂内的设备/系统故障可能会引起环境破坏、爆炸和人员伤亡。SIL概念使得工厂运行者能够根据预期损

害来规定其设备的要求。另外，SIL概念为产品制造商提供了一个描述产品故障性能的方法。

所有设备/系统，甚至包括那些最精密的设备/系统都可能产生故障。SIL概念就是评定故障及其后果。评估

结果是根据概率计算得出的。为了简化安全评估，SIL概念将安全级别划分为SIL1~SIL4(SIL4最高安全级别）。



1标准

对于与安全相关的装置，SIL是全世界广泛认可的方法。IEC61508标准是设计和运行安全仪表系统(SIS)

的基础根据。此外，IEC61511标准主要关注过程控制应用的系统。该标准同前一个有着紧密的联系。装置设计

人员遵照IEC61511标准并根据IEC61508标准来使用设计的设备。



2装置风险评估

图1中的图表让装置使用者能够确定他的回路需要什么样的SIL级别。

S表示后果的严重程度(S1：轻伤，……，S4：死

伤众多的灾难性后果)；

A表示工作人员暴露(于危险中)(A1：极少，A2：

频繁/持续)；

G表示避免危险的可选方案(G1：可能、G2：不大

可能)；

W表示可能性(W1：很低，……，W3：高)。

在确定了SIL要求后，必须估计设备/回路/系统的

运行模式。IEC61508-4标准的3.15.12节声明了如下

两个组：

①LDM(低要求模式)。设备最多一年一次有效运

行，而且在维修周期内决不需要超过两次维修。本模式应用于紧急停止设备、溢流检测器回路，但通常并不应

用于直接的控制回路上；

②CM(连续模式)。全部均为非LDM应用。



3产品/系统性能

即使是运行性能最佳的产品和系统也有可能产生故障。故障可能引发危险情况或非危险情况。为了对产品

性能进行分类，制造商声明与安全有关的如下数值：

①HFT(硬件容错)——0表示单路、1表示冗余、2表示双冗余；

②SFF(安全故障系数)——非危险故障率(按％)；

③PFD(按要求的故障概率)——安全功能有可能产生故障的几率。该值是一个运行时间函数，因此它总是

参照某个时间周期；

④PFH(每小时的危险故障概率)——参照1小时的时间周期。

可以根据上述产品参数计算出整个回路/系统的参数。

对整个系统进行SIL分类如表1和表2所示。



第七届工业仪表与自动化学术会议

24

表1PFD(按要求的故障概率)/PFH(每小时的危险故障概率)和SIL(整体安全性等级)(IEC61508-1标准，7.6节)

SIL安全失效系数PFD按要求的故障概率PFH每小时的危险故障概率

1≥10

-2

...<10

-1

≥10

-6

...<10

-5



2≥10

-3

...<10

-2

≥10

-7

...<10

-6



3≥10

-4

...<10

-3

≥10

-8

...<10

-7



4≥10

-5

...<10

-4

≥10

-9

...<10

-8





表2HFT（硬件容错）/SFF（安全故障系数）和SIL（整体安全性等级）（IEC61508-2标准，7.4节）

子系统A硬件容错子系统B硬件容错

SFF（安全故障系数）

HFT0HFT1HFT2HFT0HFT1HFT2

≤60%SIL1SIL2SIL3-SIL1SIL2

>60%~≤90%SIL2SIL3SIL4SIL1SIL2SIL3

>90%~≤99%SIL3SIL4SIL4SIL2SIL3SIL4

>99%SIL3SIL4SIL4SIL3SIL4SIL4



由于安全问题可能会牵涉到高度危险，所以同样必须很好地考虑到风险评估自身。表3显示了这些规则。

表3风险评估机构（IEC61508-1标准，8.2.14节，表2）

SIL（整体安全性等级）由以下人员或机构执行

1独立人员（公司内）

2独立部门（公司内）

3独立机构（公司外）

4独立机构（公司外）



41001本安型系统（线性系统）

1001本安型系统如图2所示。

整个系统必须计算HFT、SFF、PFD和PFH参数。

HFT=1

PFDtotal=∑PFDdevices

PFHtotal=∑PFHdevices

SFF=min(SFFdevices)

整个系统的SIL值绝对不会优于每个设备的最低值。HFT和SFF将不会降级，然而PFD和PFH将会随着

回路中设备数量的增加而增加。出于对表1的考虑，整个系统的SIL值可能会降低。

为了保持系统的SIL值，经常进行“PFD预算”并相应地调整对部件的要求。在此良好惯例就是进行如图

3所示的PFD预算。

执行器是最关键的设备，并且具有最高的故障率。因此，

50％的PFD预算与输出部分相关。本安型设计要求使用（隔

离）安全栅。安全栅通常能够获得允许的PFD最大值的10％

预算。