过程自动化功能安全综合指南：SIL、标准与冗余

在化工、石油和石化等危险工艺行业中，实施功能安全至关重要。这些行业的系统必须从最低实际层面进行设计，以最大限度地降低对人员、财产和环境的危害，尤其是在发生故障或失效的情况下。对于自动化设备分销商和工程师而言，了解这些框架并提供如气动阀门等合规组件，是交付安全可靠解决方案的关键。

核心标准：IEC 61508 与 IEC 61511

功能安全的基础标准是 IEC 61508。该标准涵盖电气、电子和可编程电子安全相关系统。它提供了使用风险图评估安全风险的方法，并概述了如何为传感器、逻辑电路和执行器设计合适的安全功能。

需要注意的是，IEC 61508 的要求仅适用于完整的安全仪表系统（SIS），而非单个组件。一个典型的 SIS 由以下关键要素组成：

• 传感器：如压力传感器、温度传感器以及液位计等装置。
• 评估单元：安全可编程逻辑控制器（PLC），负责评估输入并控制输出。
• 自动化工艺阀：由电磁阀、执行器和工艺阀本身组成的组件。

针对工艺行业，IEC 61511 标准详细说明了如何实施 IEC 61508，重点关注低需求模式的应用。低需求功能是指预期需求率小于每年一次的安全功能，与高需求安全功能（发生频率较高）不同。为实现合规，工厂必须定义并评估基于组件失效概率的风险，采取措施将残余风险降至最低，仅使用经过评估或认证的设备，并定期进行测试以确保安全功能符合要求。

解读安全完整性等级（SIL）

安全完整性等级（SIL）是衡量系统安全水平或预期风险的关键指标，以安全需求时的失效概率（PFD）来表示。

• SIL 分为四个等级，从 SIL 1（最低风险）到 SIL 4（最高可接受风险）。
• 一般而言，随着 SIL 等级的提高，安全水平也随之提升，而系统无法正常执行的概率则相应降低。
• 因此，系统的复杂性、安装和维护成本通常会随着 SIL 等级的升高而增加。

SIL 的计算不仅依赖 PFD，还涉及多个其他特征值，例如连续运行时的每小时失效概率（PFH）。其他重要指标包括：

• 安全失效分数（SFF）：安全失效占总失效的比例。
• 平均无故障时间（MTBF）：两次连续失效之间的平均时间。
• 硬件失效容错能力（HFT）：系统在发生故障时继续执行所需功能的能力。HFT 0 表示单个失效即可导致安全功能丧失；HFT 1 表示至少需同时发生两个失效才会丧失安全功能；HFT 2 则要求至少三个同时失效才会丧失安全功能。

SIS 架构中的多样化冗余

为提升可编程电子系统的安全完整性，IEC 61508 和 IEC 61511 等标准推荐采用多样化冗余。

• 1oo1（一取一）：最基本的架构，仅包含单个元件。若紧急情况下触点无法打开，系统可能发生危险失效。
• 1oo2（一取二）：通过增加冗余提高系统安全性，降低 PFD，因为只需一个触点即可启动安全停机。该架构中两个阀门串联连接，正常运行时通电；若任一阀门或电磁阀失效，整个系统排气以保护设备。介质输送管线常采用 1oo2 以实现更高安全水平。
• 2oo2（二取二）：增加冗余以提升工艺可靠性并提高在线时间。由于输出并联连接，必须两个触点同时动作才能启动停机，从而降低误跳闸率，但会提高 PFD。若阀门失效，系统仍保持运行。冷却回路通常采用 2oo2 架构以确保持续在线。
• 2oo3（二取三）：需三个通道中有两个同意输出结果。该配置提供高级冗余，同时降低误跳闸率和平均 PFD，实现安全与工艺可靠性的最佳平衡。但所需组件更多，会增加 I/O 和功耗。常用于燃气轮机、压缩机和加热器。

现场级硬件解决方案的实施

对于集成气动自动化组件的专业人士而言，将上述架构转化为实际物理配置，需要可靠的硬件支持。

• 冗余 NAMUR 模块：支持安装两个电磁阀（如 Festo VOFC 或 VOFD 系列），为自动化工艺阀提供冗余。可提供故障安全功能（1oo2）或更高在线时间（2oo2），可直接安装在四分之一转执行器上。
• 冗余在线阀：将两个 VOFD 系列阀门集成于一个紧凑外壳中，确保故障安全功能（1oo2）或更高在线时间（2oo2）。其特殊涂层使其符合严格的安全标准，并能耐受恶劣环境条件。
• 先进 2oo3 系统：将 NAMUR 模块与在线阀组合，可构建 2oo3 系统，实现最高安全性和工艺可用性。突出优势是支持旁路功能（通过钥匙解锁），允许维护人员在系统运行状态下更换单个阀门。此外，可直接在模块上安装机械压力指示器或电子压力传感器，实现可靠的状态监测。

通过采用这些标准化的冗余架构，工艺设施——无论是在本地扩展还是进军越南等新兴工业硬件市场——均能满足现代自动化系统所需的严格安全完整性要求。