安全是永恒的主题，基于不同技术的具有“安全保护”功能的系统被广泛应用，安全设计理念也从“故障安全”扩展到“功能安全”。控制阀用于安全仪表系统时，需接受相关安全要求，以安全的方式进行设计、维护、检验、测试和操作的论证，辨识安全仪表功能和可靠性评估以及适合性验证，通过SIL认证以及保证在选用控制阀后不对系统造成结构约束。

安全是永恒的主题，安全生产对于工业企业意义重大，正得到更多的重视。基于不同技术的具有“安全保护”功能的系统被广泛应用，安全设计理念也从“故障安全”扩展到“功能安全”。针对特定的危险事件，为达到或保持受控设备（Equipment Under Control，EUC）或工艺过程（Process）的安全状态，由电气、电子、可编程电子（E/E/PE）安全相关系统（Safety-Related System，SRS）或由传感器、逻辑控制器、最终元件组成的安全仪表系统（Safety Instrumented System，SIS）、其他技术安全相关系统或外部风险降低设施实现的功能定义为安全功能。功能安全作为整体安全的一部分，是指安全功能的安全性，即安全相关系统或安全仪表系统以及其他保护层正确行使安全功能、实现降低风险的能力。

过程工业中的安全仪表系统SIS（如紧急停车系统ESD、安全联锁系统SIS、燃烧器管理系统BMS、火灾或气体安全系统FGS、高压保护系统HIPPS，等等）由传感器、逻辑控制器和最终元件组成，用来行使一项或多项安全仪表功能SIF，对某个具体的潜在危险事件采取对应的保护措施，控制、预防和减轻危险时间造成的影响。SIS是安全相关系统在过程工业的分支，而不同于以过程控制为目标的基本过程控制系统（Basic Process Control System，BPCS）。SIS和BPCS典型应用示意图参见图1，SIS在安全保护层的位置见图2。

SIS以整体安全生命周期的架构，规定了各阶段的技术活动和功能安全管理活动的内容；以安全完整性等级（SIL）为指针，提出了基于可靠性分析、确定安全仪表功能的失效概率、评估执行安全仪表功能的可靠程度的标准。SIS的应用还形成了安全仪表设备基于经验使用和按照相关标准符合性评估及认证的准入原则，以及系统硬件配置和软件组态规则、系统集成和调试、运行和维护、功能安全评估和验证的工作流程。

最终元件是SIS的重要组成，包括控制阀、电磁阀等执行元件以及用于处理来自逻辑控制器最终指令的所有元件和连接，执行实现某种安全状态所必需的实际动作。控制阀是SIS常用的最终元件（也有与BPCS混合应用的情况），用于安全仪表系统时，接受相关安全要求，以安全的方式进行设计、维护、检验、测试和操作的论证，辨识安全仪表功能和可靠性评估以及适合性验证，通过SIL认证以及保证在选用控制阀后不对系统造成结构约束。由于功能安全是针对系统而言，独立的仪表产品/控制阀不存在单独的功能安全问题，对单个产品的要求是在可靠性基础上的安全性（安全功能），当其成为SIS一个功能单元后，必须是从整个系统的安全性去考虑SIS的功能安全。

相关标准

经济活动和工业发展推动着安全标准的制定，尤其是基础类安全标准。在控制系统安全标准方面：基于产品安全的核心是物理安全（Physical Safety），有IEC 61010系列物理安全标准《测量和控制使用的电气设备的安全要求》（GB/ 18272.1~8），与控制阀相关的是标准的第205部分《执行器》；基于网络安全的核心是信息安全（Security），有IEC 62443系列信息安全标准《工业过程测量和控制安全网络和系统安全》；基于安全相关系统的核心是功能安全（Functional Safety），有IEC 61508系列功能安全标准《电气/电子/可编程电子安全相关系统的功能安全》；以上这些都是综合性基础标准，并引出一系列分支标准。

IEC/TC65在1998年发布IEC 61508《电气/电子/可编程电子安全相关系统的功能安全》的第1、3、4、5部分，2000年发布第2、6、7部分，等同采用IEC 61508的中国国家标准为GB/T 20438-1~7-2006。标准系列的1~4是标准部分：1.一般要求；2.电气/电子/可编程电子安全相关系统的要求；3.软件要求；4.定义和缩略语。标准系列的5~7是信息解释部分：5.确定安全完整性等级的方法示例；6.IEC 60508-2和IEC 60508-3应用指南；7.技术和措施概述。此外，IEC/TC65在2005年发布IEC/TR 61508-0-2005，等同采用该标准的中国国家标准为GB/Z 29638-2013（指导性标准）《功能安全概念及GB/T 20438系列概况》，回答了安全功能是什么、安全功能和安全相关系统、功能安全示例、安全完整性等级，以及GB/T 20438（IEC 61508）标准说明，作为GB/T 20438（IEC 61508）系列标准的补充。IEC/TC 65在2010年又发布了IEC 60508-1~7-2010的第2版，但现行的国标GB/T 20438还没有随之修订。

IEC 60508是安全相关系统功能安全的基础标准，基本涵盖各工业领域和各阶段功能安全相关活动，针对用于安全功能的电气/电子/可编程电子系统（E/E/PES），提出了安全生命周期的通用评价方法；从危险分析和安全功能的详细说明开始到系统的停用和处理，描述了安全相关系统的硬件和软件的要求；标准采用4个安全完整性等级来衡量安全功能，采用基于危险和风险分析的方法确定安全完整性要求和量化指标，提出了影响安全完整性等级的两个因素以及安全故障的比例和目标失效量的测量。

与IEC 61508对应的过程工业领域分支标准IEC 61511《过程工业领域安全仪表系统的功能安全》于2003年发布，等同采用IEC 61511的中国国家标准为GB/T 21109.1~3-2007。IEC 61511/GB/T21109阐述了过程工业安全仪表系统的应用，涉及从初始概念、设计、工程、安装、实现、运行和维护直到停用的所有安全生命周期，并给出应用指南和确定安全完整性等级的指导原则。系列标准包含3个部分：1.框架、定义、系统、硬件和软件要求；2.IEC 61511/GB/T21109的应用指南；3.确定要求的安全完整性等级的指南。该标准主要适用于安全仪表系统的设计者、集成商和用户，但不适用于安全仪表的制造商。

针对石油化工行业的安全仪表系统，现行的中国国家标准还有GB/T 50770-2013《石油化工安全仪表系统设计规范》，是在GB/T 20438和GB/T 21109基础上制定的，引入了安全生命周期概念，规范的主要技术内容包括总则、术语和缩略语、安全生命周期、安全完整性等级、设计基本原则、测量仪表、最终元件、逻辑控制器、通信接口、人机接口、应用软件、工程设计、组态、集成于测试、验收测试、操作维护、变更管理和文档管理等。

安全完整性

SIS执行安全功能时要正确，系统的功能安全要可靠，预期达到的水平采用安全完整性来表征。安全完整性（Safety Integrity）是一个相对专业的概念，针对的对象是“安全相关系统或安全仪表系统”，衡量的是该系统在规定的条件下、规定的时间内，完成所要求的安全功能的概率，对要求的功能有明确的界定。安全完整性不同于经典的可靠性（可靠性定义为“产品在规定条件下和规定时间内，完成规定功能的能力”），控制阀执行任务失败是产品可靠性的问题，而风险事故是产品安全完整性的问题。

安全完整性包括系统安全完整性与随机安全完整性两部分。系统安全完整性是安全完整性里不可定量部分，并且与系统故障导致的硬件、软件的危险失效有关。系统故障通常由系统、子系统和设备在安全功能的生命周期内各种人为错误导致（如规范、设计、制造、安装、操作、维护和修改等错误）。系统安全完整性采取质量管理和安全管理措施获得。随机安全完整性是安全完整性的随机危险失效部分，其中唯一可以量化的部分就是硬件失效相关的硬件安全完整性，硬件失效是硬件部分有限的可靠性导致的。硬件安全完整性定义为“在危险失效模式中与随机硬件失效有关的仪表安全功能的安全完整性的一部分”，与整体危险失效率、要求时操作失效的概率有关。

在GB/T20438（IEC 61508）中依据不同的操作模式（低要求操作模式、高要求或连续操作模式）将安全完整性等级SIL定义为SIL 1至SIL 4四个等级，SIL 4等级最高。在GB/T21109（IEC 61511）中保持了SIL 1至SIL 4的等级划分，操作模式分为要求操作模式和连续操作模式。但在过程工业一般应用场合，SIL 3为最高级，当过程危险和风险分析确认需要SIL 3以上时，通常是采用其他技术的安全相关系统或外部风险降低使得对安全仪表功能的SIL要求降低到SIL 3或以下。参见表1至表4。

要求操作模式是指在响应过程状态或其他要求时执行特定的动作（如关闭ESD切断阀），特征是当安全仪表功能出现危险失效，并且“要求”出现时，才会导致潜在危险分发生。典型的要求操作模式如ESD的应用。连续操作模式是指当安全仪表功能出现危险失效时，潜在的危险将会立即发生。除非存在其他防止措施，连续模式涵盖执行连续安全控制，以便保持功能安全的安全仪表功能。

符合性评估

由执行机构和调节机构（阀）以及阀门定位器、电磁阀等附件组成的控制阀组件作为最终元件用于安全仪表系统，仍属于单独仪表设备。严格说单个设备不具备功能安全，不能用SIL去评价，只能是用SIL表示单个设备（控制阀）的安全完整性能力即最大可声明的SIL等级。考虑控制阀执行某一特定安全功能的能力，是指控制阀的“要求时的平均失效概率PFDavg”或“完成安全仪表功能时的危险失效概率（次/每小时）”符合对应的SIL值。控制阀具有越高等级的SIL，仅表示该产品可用于更高等级的安全仪表系统中，有能力承担更高等级的风险控制任务。控制阀、阀门定位器和电磁阀应分别作符合性评估，例如仅有电磁阀的符合性评估结论，是难以涵盖控制阀的平均失效概率，且控制阀的故障概率是较高的。

对控制阀等仪表设备进行“符合性”评估，是按照GB/T 20438.2（IEC 61508-2）和GB/T 20438.3（IEC 61508-3）标准，确认其是否满足特定安全相关应用场合的安全要求。评估随机失效即计算控制阀要求时的危险失效概率（PFD）或每小时危险失效概率（PFH）及安全失效分数（SFF），要求达到的安全完整性等级（SIL）对应的目标失效量且满足结构约束的要求（SFF的要求）。评估对应的报告是失效模式、影响和诊断分析报告（FMEDA）。或者按照GB/T 21109.1（IEC 61511-1）标准“经使用验证的（Proven in Use）”来进行选择用于安全仪表系统的控制阀等仪表设备以及系统各组成的功能单元，但必须有充分的文档数据和记录；或者依据GB/T 50770-2013标准《石油化工安全仪表系统设计规范》，按照满足安全完整性的要求进行控制阀的设置，参考该标准的条文说明“可采用计算低要求操作模式的平均失效概率的方法设计和验证最终元件的安全完整性等级，也可根据经验使用原则，有实际证据证明这种最终元件在以前的试验中有足够的安全完整性，就可确定选用该最终元件符合相应的安全完整性等级”。评估流程参见图3。

不要孤立地理解“SIL能力”或者“IEC 61508认证”，在实际控制阀符合性评估和选型时，要关注产品安全手册和认证报告中描述的使用条件规定或限值，要确认确定的产品可靠性、硬件故障裕度、诊断覆盖率、抵御环境因素影响的能力和避免操作失效导致系统失效的能力，在全生命周期不同阶段采取的避免措施；要了解研发过程的管理，要了解包括硬件配置、软件组态、接口、安装、测试、故障响应和平均维修时间MTTR等细节。控制阀又是可修的产品，要考虑其可用性和维护性，考虑平均故障间隔时间MTBF。而“经使用验证的”设备（控制阀），必须评估表明有足够低的危险失效率，有证据能证明适用于SIS，在先前的操作期间，满足所有的设计要求没有更改，至少有10个不同的应用实例，至少1万小时的操作运行经历并且至少1年的现场服务期的条件，要有充分的文档化材料。对于属于定制化产品的控制阀，每一台都有可能存在依照用户操作条件做细节修改和部件变动及改换材料即设计有改动，尤其是特殊工况控制阀/切断阀，真正做到符合“经使用验证”条件确实不易。

SIL认证

SIL的评估贯穿于系统和产品的全生命周期，SIL也使安全仪表系统的设计者、集成商、用户和制造商紧密联系在一起。控制阀安全完整性等级SIL认证的模式为型式试验、安全功能型式试验和制造厂质量体系评定以及认证后监督。SIL认证不同于CE认证，不仅仅是对已经设计制造出来的控制阀样机进行测试，必须从着手设计研发就开始考虑SIL认证。此外，型式试验是个小样本的问题，并非每一台控制阀都进行项目繁多的试验，这就需用控制阀可靠性和可用性评估来适应，以及考虑控制阀多组件组合带来的问题。

控制阀制造商首先要做到产品硬件满足PFDavg条件，基于GB/T 20438（IEC 61508）认证的FMEDA失效模式、影响和诊断分析，达到目标SIL的期望，对安全仪表功能满足安全失效分数；在认证工艺上，根据目标SIL和系统可容忍故障满足软件的要求以及满足设计工艺的要求；还要准备好给用户的控制阀安全手册。

SIL 1可由公司内独立人员执行风险评估，SIL 2可由公司内独立部门执行风险评估，SIL 3和SIL 4由外部独立机构执行风险评估。通常是由第三方认证机构对控制阀进行SIL认证，如美国exida、德国BGIA、德国TüV（TüV SüD/TüV南德、TüV Rheinland/莱茵TüV、TüV Nord/TüV北德）、中国机械工业仪器仪表综合技术经济研究所（ITEI）功能安全技术研发中心（FSchina）等。SIL认证的主要流程是：

第一阶段检查、评估安全概念，进行概念评估，出具概念评估报告。主要任务是检查并评审控制阀需求规范和安全设计概念；检查并评估在产品全生命周期各阶段尤其是研发过程（质量管理）中的故障避免措施的计划；进行FMEDA失效模式、影响和诊断分析，评估检测和控制故障需采取的措施，评价是否安全完整性等级能达到预期目的；对设计和质量管理的文档进行审核，定义需求的电气安全、电磁兼容、环境测试；制定主检的项目计划。

第二阶段做进一步的功能、安全和环境测试，进行主检，出具测试报告；检查控制阀的技术要求-安全失效位置、压力等级、类型、扭矩/推力、材料、泄漏、流体能力、流量特性和噪声/振动等，检查ESD控制阀及其ESD阀门定位器的部分行程测试PST，测试所有的安全相关的功能，分析硬件软件功能性的和最坏情况；检测和控制故障的验证（故障插入方法/虚警方法），FMEDA失效模式、影响和诊断分析的验证和执行；软件验证测试的评审（模块、集成测试、系统测试）；对研发过程中创建的产品文档评审（设计文档和测试、验证、审核记录）；安全相关的可靠性数据的定义和计算；电气安全、环境测试（包括EMC）；检查提交的用户文档（安装和操作手册、安全手册）。

第三阶段进入测试产品发证流程。基于测试报告，颁发相应证书，证明该控制阀产品符合应用到某一SIL的安全相关系统/安全仪表系统。根据SIL证书或相关网站查验，可供设计选用和系统集成参考。

结语

对控制阀的安全功能必须进行符合性评估和SIL认证，从而获得“符合IEC 61508（GB/T 20438）SILn的安全相关系统/安全仪表系统应用”。控制阀组件各部分如调节机构和执行机构、配置的阀门定位器、电磁阀都应有分别的符合性评估，新型号产品必须经过量化的SIL认证，已存在产品也可用定性方法以安全使用的文档数据来证明其是符合“经使用验证的”。

控制阀SIL认证是专为安全应用提出、围绕安全仪表系统的安全完整性开展的。控制阀用于过程工业基本控制系统或其他非安全控制应用时是要遵守相应标准规范的，不要以SIL认证一概而论，不能将SIL认证作为其他细分市场的营销竞争说辞和设计集成的选择条件。

围绕GB/T 20438（IEC 61508）和GB/T 21109（IEC 61511）标准和安全相关系统/安全仪表系统以及安全功能、功能安全、安全完整性和SIL，已见到的论述和专著较多，但要认真研讨的和需实际解决的问题更多。本文试述控制阀用于安全仪表系统的符合性评估和SIL认证，探讨控制阀安全应用问题，以期有更多人关注。文中恐有遗误，敬请读者予以指正。