图1 保证复杂流程设备的安全是一个艰巨的任务。为了满足SIL安全认证的要求，从总体角度考查流程设备系统的安全性非常重要

在化工生产过程中，错误和故障会带来非常巨大的损失。构建一个高安全等级的系统与系统所使用的零部件的安全等级无关，因此定量分析和建立一套完善的安全评估体系非常重要。

获得了安全完整性等级（SIL）认证的产品不一定能够在化工设备和化工设备的控制系统中安全运行，有时候可能会带来非常大的安全隐患。因为高等级的SIL认证产品并不能保证安全运行，还必须要求各个零部件在风险评估和质量工程中有更高的安全认证等级。

SIL认证和功能性安全保证的概念常常被混淆在一起，有时甚至是把错误的观点也纳入这些概念当中。这样一来，整体系统应用的安全性就变得模糊不清。整体系统的安全性在EN 61508标准和EN 61511标准中都有所规定，其中，EN 61508标准描述了对生产企业的要求，而EN 61511标准则涉及在实际应用中对系统安全性的要求，它对流程设备的使用操作者提出了相应责任和义务。

2011年3月底，第二届曼海姆流程设备“功能性安全的理想与现实” 论坛成功举办，各界专家参加了此次论坛，论坛讨论的话题包括仪表和控制技术的讨论，及该技术的计划、贯彻落实情况，目前流程设备零部件做SIL认证还有许多不确定的因素。DVV公司技术负责人Bernd Obieglo先生说：“对于某些流程设备制造厂商对SIL认证不理解或者不完全理解，我们表示非常惊讶。这是什么证书？有什么用？这些是我们反复解释和说明的问题。”

安全系统的功能应在误操作或特定的条件下保证一定的可靠性，安全等级范围为SIL1~SIL 4。风险等级越大，对系统和零部件的可靠性要求越高。

如何构建安全的系统

安全等级取决于安全失效分数（SFF）和硬件故障裕度（HFT）。安全失效分数是由识别到的安全、危险的错误或故障得出的数据。安全的错误、故障不会带来危害，因为操作人员仍然可以控制流程设备，使其停止运行。但危险的错误、故障一旦出现就会带来危险。这些错误和故障共同决定了系统的故障概率。

在区分错误、故障是属于安全还是危险时，首先要判断故障、错误是主动的还是被动的或是系统的还偶然的等其他类型。主动的错误、故障导致某种保护功能起作用，因此是安全的，被动的错误故障则完全不同，系统诊断的目的就是为了发现这些被动的错误。故障检出率（DC）必须覆盖全部的主动式错误、故障。硬件容错涉及到的是系统的可用性和允许误差，随着数字（0，1和2）的提高，系统的可用性和持久性有所提高，系统的可用性和持久性表示了系统无故障运行时间的长短。

图2 “流程设备制造商对SIL安全认证的不理解或者不完全理解，我们表示非常的惊讶。”
—— Bernd Obieglo，DVV公司技术负责人

在电子检测、控制和调节元器件的SIL认证中，包含了安全失效分数（SFF）和硬件故障裕度（HFT）的重要安全技术特性数据和基础数据，例如：

与安全有关的未被发现的错误、故障；

与安全有关的已发现的错误、故障；

已发现的危险错误、故障；

未发现的危险错误、故障。

根据安全失效分数（SFF）还可以导出许多其他的有用数据，例如：

每小时的失效概率（PFD/PFH）；

允许的操作模式（低要求/高要求的PFD）；

硬件容错（HFT）；

仪器类型分类（A为简易的部分系统；B为复杂的整个系统）；

符合SIL等级(T1)规定的基本检验周期；

使用寿命周期（一般为8~12a）；

故障检出率（DC）。

为了达到所需的SIL等级，相关的硬件故障裕度（HFT）非常重要，等级必须是非常清楚的数据。“适合于SIL 3”这样的表达方式非常危险，容易出现不可预知的错误、故障。人们越来越关注SFF和PFD以及SIL值的可靠性，流程设备的操作者或检查人员应考虑作为检验基础资料的EN 61511标准中关于HFT的要求。如果对出现的差异没有足够的说明，计算时疏忽大意，将会导致非常严重的后果。

系统（SRP/CS）中与安全有关，基于风险评估原理而提出了很高要求的零部件不应该只受到所用零件可靠性的制约。在一个完整系统内不能只把零部件的定量认证作为主要依据，定量分析和系统结构都非常重要。一般情况下，功能安全保护系统可按两种方式构建起来，即直接使用能够通过安全防护认证检验的单个零部件，或者使用由多个没有安全认证的零部件组成的冗余备用系统。

系统的功能安全认证

在构建过程控制系统时，无需对各个仪器设备提出附加的认证要求，例如，三个信号中的两个。控制系统中也可以使用没有安全认证的仪器设备，选择的多样性能够降低失效率。目前，在整个系统的功能性安全认证中常常出现过分高等级的SIL认证。操作者会认为拥有高SIL认证等级的零部件会使流程设备有更高的安全性，生产制造者会认为高SIL认证等级的产品在开拓市场方面有积极的作用。调节、控制系统中各个仪器设备的使用性能对流程设备的运行安全性和经济性起着决定性的作用，但这些并没有引起操作者和生产制造商重视。

要想把风险降低到最小，就必须重视过程连接和过程集成。例如，如果使用一个过程连接操作冗余的系统，可能因为过程连接中的一个错误、故障导致整个系统出现故障。因此，在EN 61511标准中给出了明确的空间范围。适用于部件的HFT指标应在过程连接和过程集成时得到保障，否则SIL安全一致性的设想从一开始就是错的。系统必须对可预见的故障进行合理的处理，例如管道内有介质沉积，及时的清洁处理就不会因沉积而导致管道堵塞。

图3 一个过程回路中中安全保护系统的结构（图1）：利用满足SIL 3安全认证的仪器设备构成安全保护系统（图2），这一系统也可以用多样性的仪器设备构成（图3）。

另一个实例是过程连接中的安全保护系统的应用实例（参见图1）。一般需要定量考察的安全防护系统元器件包括信号发生器、安全防护装置和执行机构，它们是定量评估的基础。这些元器件的输出数据有助于评估故障率。在实际的应用中系统只为控制单元提供了足够的安全信息数据，而信号发生器（传感器）和执行机构（执行器）没有安全信息数据。因此，为了能够对信号发生器和执行机构进行评估预测，为它们规定了一些数值标准。但对于部分情况不予评估，例如与过程控制接口的连接，安全防护系统内某单一仪器设备可能出现的错误和故障等。首先考虑需要认证的东西，即涉及到整个安全保护系统作用的安全元器件，包括过程连接，这些安全元器件的安全保护也要求在一个循环中有冗余结构。

SIL3的要求并不需要构成安全防护系统的元器件必须获得高的认证等级（参见图2），系统可以利用SIL1认证等级的元器件构成的冗余结构来实现SIL3的要求（图3）。但系统的元器件应由不同的生产厂家提供，以便实现多样化的结构，把由生产条件所决定的故障率降低到最小。多样性的配置系统提高了流程设备的可用性，省略了高认证等级的元器件，节省了元器件的投资费用。

结语

认证证书本身不能代替优质的工程。对所有子系统进行整体的综合分析不仅可以避免不良的相互干扰，而且还能够提高化工流程设备的安全性、环保性、可用性和工作效率。Obieglo先生说：“我作为一个认证审核人员，我有能力让流程设备的操作者相信检测的结果。”

从小处着眼

某氨存储设备的运营商在危险分析时选定了安全保护等级为SIL 2的气体检测系统，并为每一个储氨罐安装了一个具有自测功能的SIL 2气体传感器。然而这种安全等级的气体传感器的使用寿命是有限的，每两年要进行一次SIL安全认证复查。储氨罐运营商必须每两年停产一段时间，把所有的传感器更换下来送检。一方面，SIL 2传感器的投资费用高；另一方面，停产阶段的经济损失也非常巨大。TüV Süd专家建议使用三个没有认证（但证明是可靠）、价格便宜的传感器来代替SIL 2传感器，采用三通道中选用两个通道的结构设计使得两个通道能够执行安全保护的功能。使用这样的方案，不仅采购成本大大下降，而且维护保养周期也延长到了十年。