近日有網(wǎng)友疑問：“為何會(huì)出現(xiàn)SIL0的說(shuō)法？”詢問AI助手隨即給出了一套看似合理的解釋，將其描述為“廣泛使用”等非正式概念。然而，本文筆者葉向東(中國(guó)石化工程建設(shè)有限公司原副總工程師)在看到這一答案后，立刻引發(fā)了強(qiáng)烈質(zhì)疑！

在功能安全領(lǐng)域，SIL(安全完整性等級(jí))是一個(gè)嚴(yán)謹(jǐn)且核心的概念，國(guó)際標(biāo)準(zhǔn)如IEC 61508和IEC 61511明確定義的安全完整性等級(jí)是從SIL1開始最高到SIL4。奇怪的是，最近被提起的“SIL0”是如何出現(xiàn)的？為何會(huì)有“SIL0”這一說(shuō)法？它的出現(xiàn)是簡(jiǎn)化了安全與非安全功能的劃分，還是造成了新的混淆？本期我們就來(lái)深入辨析這一不明飛來(lái)的“SIL0”！

【原疑文】關(guān)于“SIL0”，這是一個(gè)在功能安全領(lǐng)域非正式但廣泛使用的概念，尤其常見于工程實(shí)踐和討論中。它并不存在于IEC 61508、IEC 61511等核心功能安全標(biāo)準(zhǔn)中，但它的出現(xiàn)和流行有其特定的背景和邏輯。我們來(lái)探討一下“為何會(huì)有SIL0一說(shuō)”。

【辨析】關(guān)于“SIL0”并不是一個(gè)“廣泛使用的概念”，并不“常見于工程實(shí)踐和討論中”，而是一個(gè)誤傳的、非法的用詞和定義，偶爾見于近期的某些宣傳和錯(cuò)誤用法，幾乎沒有項(xiàng)目設(shè)計(jì)和規(guī)格書使用，怎么就說(shuō)成是“廣泛使用”了呢？在IEC 61508、IEC 61511系列的關(guān)于安全儀表的功能安全標(biāo)準(zhǔn)確實(shí)沒有這個(gè)用詞及規(guī)定。

1、IEC標(biāo)準(zhǔn)中的安全等級(jí)
【原疑文】核心標(biāo)準(zhǔn)的定義起點(diǎn)是SIL1，國(guó)際標(biāo)準(zhǔn)如IEC 61508和IEC 61511明確定義的安全完整性等級(jí)是從SIL1開始的(最低要求)，最高到SIL4(最高要求)。

這些標(biāo)準(zhǔn)關(guān)注的是那些執(zhí)行安全儀表功能的設(shè)備或系統(tǒng)。SIF的設(shè)計(jì)目標(biāo)就是降低特定危險(xiǎn)事件的風(fēng)險(xiǎn)。

標(biāo)準(zhǔn)本身沒有為“不執(zhí)行SIF”或“與安全完全無(wú)關(guān)”的功能定義一個(gè)正式的“SIL0”。

【辨析】這段敘述是對(duì)的。IEC 61508和IEC 61511明確定義的安全等級(jí)是SIL1、2、3、4，只有這四個(gè)數(shù)字，不能外延或內(nèi)插，當(dāng)然也就沒有“SIL0”。

2、天上掉下個(gè)SIL0
【原疑文】SIL0的誕生背景和含義，“SIL0”這個(gè)概念的出現(xiàn)，主要是為了填補(bǔ)標(biāo)準(zhǔn)留下的一個(gè)“空白”或在工程實(shí)踐中提供一種便捷的表達(dá)方式：指代“非安全相關(guān)”功能：這是SIL0最常見的含義。在一個(gè)復(fù)雜的系統(tǒng)(如化工廠、發(fā)電廠、制造設(shè)備)中，存在大量的儀器、控制系統(tǒng)、執(zhí)行機(jī)構(gòu)和功能。其中：一部分功能被設(shè)計(jì)為SIF，專門用于將風(fēng)險(xiǎn)降低到可接受的水平(SIL1-4)；另一大部分功能是基礎(chǔ)過程控制、監(jiān)視、操作界面、數(shù)據(jù)記錄、非關(guān)鍵聯(lián)鎖、舒適性功能等。這些功能本身的設(shè)計(jì)目的不是執(zhí)行安全功能，其失效通常不會(huì)直接導(dǎo)致不可接受的風(fēng)險(xiǎn)(雖然可能影響生產(chǎn)、效率或產(chǎn)品質(zhì)量)。

【辨析】IEC 61508和IEC 61511標(biāo)準(zhǔn)清清楚楚、詳細(xì)規(guī)定了安全功能SIF，怎么就留下了“空白”？而且還說(shuō)明除此而外沒有需要的安全功能SIF，“非安全相關(guān)”功能是不用安全儀表系統(tǒng)的，不具備安全等級(jí)，怎么就弄出個(gè)SIL0“最常見的含義”呢？IEC 61511還規(guī)定了安全功能與非安全功能的關(guān)系和系統(tǒng)應(yīng)用方法。

注意1：不是“一部分功能被設(shè)計(jì)為SIF”，而是根據(jù)工藝過程的風(fēng)險(xiǎn)及操作運(yùn)行評(píng)估，設(shè)計(jì)安全功能SIF的安全控制回路，確定回路的安全等級(jí)SIL，用安全儀表系統(tǒng)實(shí)現(xiàn)安全控制。并不是“將風(fēng)險(xiǎn)降低到可接受的水平”。

注意2：IEC 61508和IEC 61511只適用于流程工業(yè)如：石油化工廠、化工廠，而不適用于其它工廠和制造業(yè)，也不適用于發(fā)電廠。

注意3：儀器和儀表是不同的，連續(xù)測(cè)量并用于檢測(cè)、控制的稱為儀表，不稱為儀器。

控制功能和安全功能是不同的，因此分別采用控制系統(tǒng)和安全系統(tǒng)，執(zhí)行不同的控制，實(shí)現(xiàn)不同的功能，不能混淆。從運(yùn)行過程來(lái)看，如果控制系統(tǒng)一直將工藝過程穩(wěn)定控制在工藝運(yùn)行的設(shè)計(jì)范圍內(nèi)，就不會(huì)出安全事故，不會(huì)出現(xiàn)工藝生產(chǎn)的危險(xiǎn)，當(dāng)然就沒有生產(chǎn)的“風(fēng)險(xiǎn)”，執(zhí)行安全功能的安全儀表系統(tǒng)就不會(huì)起作用，這就是工藝過程的控制，是與安全功能無(wú)關(guān)的“非安全功能”。過程控制使工藝過程運(yùn)行操作不出既定的范圍，也就不會(huì)引起安全儀表系統(tǒng)的動(dòng)作。

【原疑文】SIL0就被用來(lái)明確標(biāo)記這些“非安全相關(guān)”的功能或設(shè)備。它清晰地表明：“這個(gè)回路/設(shè)備/功能不在任何SIF的范疇內(nèi)，不需要按照SIL1-4的要求進(jìn)行設(shè)計(jì)、驗(yàn)證和維護(hù)”。

強(qiáng)調(diào)“無(wú)安全要求”：SIL0傳達(dá)的信息是：對(duì)于該功能，沒有分配任何特定的安全完整性要求。它的存在與否或是否失效，對(duì)安全目標(biāo)的達(dá)成沒有強(qiáng)制性貢獻(xiàn)(當(dāng)然，前提是安全分析確認(rèn)了這點(diǎn))。

【辨析】IEC 61508和IEC 61511標(biāo)準(zhǔn)并沒有規(guī)定“非安全相關(guān)”的功能或設(shè)備，而SIL是安全完整性等級(jí)(安全程度的等級(jí))，怎么就無(wú)中生有地臆造出“非安全相關(guān)”的“SIL0”來(lái)了呢？什么人在什么標(biāo)準(zhǔn)中編造出來(lái)的呢？

舉個(gè)不太恰當(dāng)?shù)睦樱壕频攴?到5星等級(jí)，難道能將不是酒店的居民住宅都稱為0級(jí)酒店嗎？

再重復(fù)一遍：不是標(biāo)記某功能，而是根據(jù)需要設(shè)計(jì)安全功能，并確定安全等級(jí)。不是給已經(jīng)存在的某“功能”分配安全等級(jí)。過程控制是沒有安全等級(jí)的，安全控制才有安全等級(jí)。

【原疑文】區(qū)分“安全相關(guān)”與“非安全相關(guān)”資產(chǎn)：

在資產(chǎn)管理(尤其是在遵循IEC 61511的過程工業(yè)中)、文檔編制、標(biāo)簽系統(tǒng)、維護(hù)策略制定時(shí)，清晰地區(qū)分哪些設(shè)備屬于SIF回路(SIL1-4)，哪些不屬于(SIL0)至關(guān)重要。

將非安全相關(guān)資產(chǎn)標(biāo)記為SIL0，可以防止混淆，避免將寶貴的SIF資源(如更嚴(yán)格的測(cè)試、更短的維護(hù)周期、備件管理)錯(cuò)誤地應(yīng)用到不需要的地方，從而優(yōu)化成本和管理效率。

【辨析】在工廠中，用詞為設(shè)備、管道、塔、罐、機(jī)泵、系統(tǒng)、儀表、電器、閥門等，不稱為資產(chǎn)。前面說(shuō)了，控制功能和安全功能是不同的，因此分別采用控制系統(tǒng)和安全系統(tǒng)，實(shí)現(xiàn)不同的功能，作用不同，功能不同，不能混淆，也就是干的活不一樣。汽車是汽車，拖拉機(jī)是拖拉機(jī)，不把拖拉機(jī)標(biāo)記為拖拉機(jī)就會(huì)與汽車混淆嗎？

在工藝流程設(shè)計(jì)中，必須先設(shè)計(jì)好工藝流程和控制功能，才輪到根據(jù)工藝生產(chǎn)的安全程度補(bǔ)充和設(shè)計(jì)安全功能，而不是把生產(chǎn)設(shè)備分成“哪些設(shè)備屬于SIF回路(SIL1-4)，哪些不屬于(SIL0)”。有了安全功能的需要，才根據(jù)安全功能設(shè)計(jì)安全功能的回路，配置安全儀表系統(tǒng)，而不是確定哪些設(shè)備是屬于安全等級(jí)的設(shè)備。

控制系統(tǒng)和安全系統(tǒng)同樣重要，而且控制系統(tǒng)在生產(chǎn)運(yùn)行中更重要，是保證安全生產(chǎn)的最重要的基礎(chǔ)，不存在“寶貴的SIF資源”的說(shuō)法。安全系統(tǒng)在hazop分析時(shí)確定的，是用安全系統(tǒng)實(shí)現(xiàn)安全功能的，怎么就會(huì)“錯(cuò)誤地應(yīng)用到不需要的地方”呢？用于安全功能的系統(tǒng)通常不適用于控制功能，因?yàn)閮煞N系統(tǒng)的設(shè)計(jì)不同、采用的設(shè)備不同、工作原理不同、工作目的和方式不同。安全系統(tǒng)常用PLC，而控制系統(tǒng)常用DCS。

【原疑文】體現(xiàn)安全生命周期中的決策結(jié)果：在安全生命周期的最初階段(危險(xiǎn)和風(fēng)險(xiǎn)評(píng)估、SIF辨識(shí)和SIL分配)，工程師會(huì)確定哪些風(fēng)險(xiǎn)需要SIF來(lái)降低(并分配SIL等級(jí))，哪些風(fēng)險(xiǎn)可以通過其他方式(本質(zhì)安全設(shè)計(jì)、程序控制、其他保護(hù)層)控制，或者其固有風(fēng)險(xiǎn)本身就可接受。對(duì)于那些確定不需要專門SIF來(lái)控制的風(fēng)險(xiǎn)，或者識(shí)別出的功能明確不承擔(dān)安全角色，就可以歸類為SIL0。這是風(fēng)險(xiǎn)評(píng)估和SIL分配過程的一個(gè)輸出結(jié)論。

避免歧義和“灰色地帶”：如果沒有SIL0這個(gè)標(biāo)簽，對(duì)于那些顯然不是SIF但又存在于工廠系統(tǒng)中的功能，其狀態(tài)描述可能比較模糊(“普通控制回路”？“非關(guān)鍵”？)。SIL0提供了一個(gè)明確、簡(jiǎn)潔、行業(yè)內(nèi)部易于理解的標(biāo)簽。

【辨析】在hazop分析(包括危險(xiǎn)和風(fēng)險(xiǎn)及可操作評(píng)估)確定安全功能并確定SIL1、2、3、4等級(jí)，非安全功能不在此列，非常清楚，不存在歧義和“灰色地帶”。沒有哪一個(gè)工程項(xiàng)目的hazop分析歸類出SIL0的。硬生生弄出個(gè)“SIL0”反而會(huì)引起誤解，除了“SIL0”還有沒有別的什么“標(biāo)簽”呢？如果SIL1、2、3、4等級(jí)以外的統(tǒng)一劃為“SIL0”，還有必要畫蛇添足嗎？

3、區(qū)分安全功能和非安全功能，區(qū)分安全控制與過程控制
【原疑文】使用SIL0時(shí)的重要注意事項(xiàng)。非標(biāo)準(zhǔn)術(shù)語(yǔ)：必須清楚認(rèn)識(shí)到，SIL0不是IEC 61508/61511等標(biāo)準(zhǔn)的一部分。在正式的安全驗(yàn)證報(bào)告或合規(guī)性聲明中，應(yīng)使用標(biāo)準(zhǔn)定義的語(yǔ)言(如“非安全相關(guān)”、“非SIF設(shè)備”、“不屬于任何SIF”)，而不是直接寫“SIL0”。

【辨析】既然“庶出的”不能登大雅之堂，這個(gè)“名分”還有用嗎？

【原疑文】不能等同于“無(wú)要求”或“可以忽略”：標(biāo)記為SIL0的設(shè)備/功能仍然需要滿足：
①基本的功能性要求：它需要能完成其設(shè)計(jì)的功能(如控制、顯示、記錄)。
②基本的可靠性要求：雖然不要求達(dá)到SIL級(jí)別的可靠性，但頻繁的故障會(huì)影響生產(chǎn)、操作或可能導(dǎo)致不必要的生產(chǎn)中斷，甚至在某些情況下可能間接影響安全(例如，一個(gè)SIL0的液位顯示頻繁失靈，可能導(dǎo)致操作員誤判，進(jìn)而觸發(fā)不必要的SIF動(dòng)作或忽略其他潛在問題)。
③良好的工程實(shí)踐：設(shè)計(jì)、安裝和維護(hù)仍需遵循適用的通用工程標(biāo)準(zhǔn)、制造商規(guī)范和行業(yè)最佳實(shí)踐。
④不影響其他SIF：它的設(shè)計(jì)、運(yùn)行或失效模式不能對(duì)真正的SIF(SIL1-4)產(chǎn)生負(fù)面影響(例如，不能干擾SIF的傳感器信號(hào)、不能錯(cuò)誤地觸發(fā)SIF的動(dòng)作器)。

【辨析】沒有安全功能不等于沒有非安全功能要求，兩種功能和作用不一樣。沒有什么“基本的”或“非基本的”要求。電冰箱是冷凍保存食品的，洗衣機(jī)是洗衣服的，各有各的功能，各有各的質(zhì)量保證。

不是安全系統(tǒng)，就是控制系統(tǒng)了，當(dāng)然需要符合并滿足工藝控制的需要和特性，具備控制系統(tǒng)的功能和要求?？刂葡到y(tǒng)的屬性是不同于安全系統(tǒng)的，功能、作用、運(yùn)行、設(shè)備、工具、檢修、維護(hù)等待都不一樣，不是“仍然”的關(guān)系。汽車和火車不一樣。PLC與DCS是兩種不同的系統(tǒng)。

【原疑文】風(fēng)險(xiǎn)評(píng)估是基礎(chǔ)：一個(gè)功能是否能被歸類為“非安全相關(guān)”(即SIL0)，必須基于嚴(yán)格的風(fēng)險(xiǎn)評(píng)估(如HAZOP,LOPA)。不能隨意假設(shè)。如果風(fēng)險(xiǎn)評(píng)估表明其失效可能對(duì)安全有貢獻(xiàn)(即使是間接的或次要的)，或者它被識(shí)別為獨(dú)立保護(hù)層，那么它可能就需要被賦予一個(gè)SIL等級(jí)(至少SIL1)，或者需要重新評(píng)估其設(shè)計(jì)。

【辨析】這是一段廢話。不是“一個(gè)功能”被歸類為“非安全相關(guān)”或“安全相關(guān)”，而是一個(gè)回路或工藝局部過程是否需要安全功能，如果需要就配置或設(shè)計(jì)安全儀表系統(tǒng)。而過程控制仍然是過程控制。

“其失效可能對(duì)安全有貢獻(xiàn)”語(yǔ)言不通，“貢獻(xiàn)”屬于用詞不當(dāng)。

既然“賦予一個(gè)SIL等級(jí)(至少SIL1)”，那“SIL0”是什么呢？還算“安全等級(jí)”嗎？

【原疑文】總結(jié)：“SIL0”的說(shuō)法之所以存在，主要是為了：清晰界定復(fù)雜系統(tǒng)中非安全相關(guān)的功能和設(shè)備。

區(qū)分于那些承擔(dān)著降低風(fēng)險(xiǎn)責(zé)任的、有正式SIL等級(jí)(1-4)的安全儀表功能。

優(yōu)化資源管理，避免對(duì)非關(guān)鍵設(shè)備應(yīng)用不必要的、成本高昂的SIL要求。

【辨析】總之，“SIL0”的說(shuō)法是無(wú)中生有、沒有根據(jù)、沒有道理、沒有意義的。上述關(guān)于“SIL0”的說(shuō)法是虛無(wú)縹緲的，沒有任何用途，只能添亂、混淆視聽。IEC61508、IEC61511根本沒有這東西。工業(yè)的工藝流程控制系統(tǒng)及安全系統(tǒng)也不需要臆造“SIL0”！

相關(guān)閱讀
◆聯(lián)鎖回路中SILa怎么執(zhí)行
◆再說(shuō)安全完整性等級(jí)SIL含義
◆SIL定級(jí)與驗(yàn)證知識(shí)十問十答