近日有網(wǎng)友疑問：“為何會出現(xiàn)SIL0的說法？”詢問AI助手隨即給出了一套看似合理的解釋，將其描述為“廣泛使用”等非正式概念。然而，本文筆者葉向東(中國石化工程建設(shè)有限公司原副總工程師)在看到這一答案后，立刻引發(fā)了強烈質(zhì)疑！

在功能安全領(lǐng)域，SIL(安全完整性等級)是一個嚴謹且核心的概念，國際標準如IEC 61508和IEC 61511明確定義的安全完整性等級是從SIL1開始最高到SIL4。奇怪的是，最近被提起的“SIL0”是如何出現(xiàn)的？為何會有“SIL0”這一說法？它的出現(xiàn)是簡化了安全與非安全功能的劃分，還是造成了新的混淆？本期我們就來深入辨析這一不明飛來的“SIL0”！

【原疑文】關(guān)于“SIL0”，這是一個在功能安全領(lǐng)域非正式但廣泛使用的概念，尤其常見于工程實踐和討論中。它并不存在于IEC 61508、IEC 61511等核心功能安全標準中，但它的出現(xiàn)和流行有其特定的背景和邏輯。我們來探討一下“為何會有SIL0一說”。

【辨析】關(guān)于“SIL0”并不是一個“廣泛使用的概念”，并不“常見于工程實踐和討論中”，而是一個誤傳的、非法的用詞和定義，偶爾見于近期的某些宣傳和錯誤用法，幾乎沒有項目設(shè)計和規(guī)格書使用，怎么就說成是“廣泛使用”了呢？在IEC 61508、IEC 61511系列的關(guān)于安全儀表的功能安全標準確實沒有這個用詞及規(guī)定。

1、IEC標準中的安全等級
【原疑文】核心標準的定義起點是SIL1，國際標準如IEC 61508和IEC 61511明確定義的安全完整性等級是從SIL1開始的(最低要求)，最高到SIL4(最高要求)。

這些標準關(guān)注的是那些執(zhí)行安全儀表功能的設(shè)備或系統(tǒng)。SIF的設(shè)計目標就是降低特定危險事件的風險。

標準本身沒有為“不執(zhí)行SIF”或“與安全完全無關(guān)”的功能定義一個正式的“SIL0”。

【辨析】這段敘述是對的。IEC 61508和IEC 61511明確定義的安全等級是SIL1、2、3、4，只有這四個數(shù)字，不能外延或內(nèi)插，當然也就沒有“SIL0”。

2、天上掉下個SIL0
【原疑文】SIL0的誕生背景和含義，“SIL0”這個概念的出現(xiàn)，主要是為了填補標準留下的一個“空白”或在工程實踐中提供一種便捷的表達方式：指代“非安全相關(guān)”功能：這是SIL0最常見的含義。在一個復雜的系統(tǒng)(如化工廠、發(fā)電廠、制造設(shè)備)中，存在大量的儀器、控制系統(tǒng)、執(zhí)行機構(gòu)和功能。其中：一部分功能被設(shè)計為SIF，專門用于將風險降低到可接受的水平(SIL1-4)；另一大部分功能是基礎(chǔ)過程控制、監(jiān)視、操作界面、數(shù)據(jù)記錄、非關(guān)鍵聯(lián)鎖、舒適性功能等。這些功能本身的設(shè)計目的不是執(zhí)行安全功能，其失效通常不會直接導致不可接受的風險(雖然可能影響生產(chǎn)、效率或產(chǎn)品質(zhì)量)。

【辨析】IEC 61508和IEC 61511標準清清楚楚、詳細規(guī)定了安全功能SIF，怎么就留下了“空白”？而且還說明除此而外沒有需要的安全功能SIF，“非安全相關(guān)”功能是不用安全儀表系統(tǒng)的，不具備安全等級，怎么就弄出個SIL0“最常見的含義”呢？IEC 61511還規(guī)定了安全功能與非安全功能的關(guān)系和系統(tǒng)應(yīng)用方法。

注意1：不是“一部分功能被設(shè)計為SIF”，而是根據(jù)工藝過程的風險及操作運行評估，設(shè)計安全功能SIF的安全控制回路，確定回路的安全等級SIL，用安全儀表系統(tǒng)實現(xiàn)安全控制。并不是“將風險降低到可接受的水平”。

注意2：IEC 61508和IEC 61511只適用于流程工業(yè)如：石油化工廠、化工廠，而不適用于其它工廠和制造業(yè)，也不適用于發(fā)電廠。

注意3：儀器和儀表是不同的，連續(xù)測量并用于檢測、控制的稱為儀表，不稱為儀器。

控制功能和安全功能是不同的，因此分別采用控制系統(tǒng)和安全系統(tǒng)，執(zhí)行不同的控制，實現(xiàn)不同的功能，不能混淆。從運行過程來看，如果控制系統(tǒng)一直將工藝過程穩(wěn)定控制在工藝運行的設(shè)計范圍內(nèi)，就不會出安全事故，不會出現(xiàn)工藝生產(chǎn)的危險，當然就沒有生產(chǎn)的“風險”，執(zhí)行安全功能的安全儀表系統(tǒng)就不會起作用，這就是工藝過程的控制，是與安全功能無關(guān)的“非安全功能”。過程控制使工藝過程運行操作不出既定的范圍，也就不會引起安全儀表系統(tǒng)的動作。

【原疑文】SIL0就被用來明確標記這些“非安全相關(guān)”的功能或設(shè)備。它清晰地表明：“這個回路/設(shè)備/功能不在任何SIF的范疇內(nèi)，不需要按照SIL1-4的要求進行設(shè)計、驗證和維護”。

強調(diào)“無安全要求”：SIL0傳達的信息是：對于該功能，沒有分配任何特定的安全完整性要求。它的存在與否或是否失效，對安全目標的達成沒有強制性貢獻(當然，前提是安全分析確認了這點)。

【辨析】IEC 61508和IEC 61511標準并沒有規(guī)定“非安全相關(guān)”的功能或設(shè)備，而SIL是安全完整性等級(安全程度的等級)，怎么就無中生有地臆造出“非安全相關(guān)”的“SIL0”來了呢？什么人在什么標準中編造出來的呢？

舉個不太恰當?shù)睦樱壕频攴?到5星等級，難道能將不是酒店的居民住宅都稱為0級酒店嗎？

再重復一遍：不是標記某功能，而是根據(jù)需要設(shè)計安全功能，并確定安全等級。不是給已經(jīng)存在的某“功能”分配安全等級。過程控制是沒有安全等級的，安全控制才有安全等級。

【原疑文】區(qū)分“安全相關(guān)”與“非安全相關(guān)”資產(chǎn)：

在資產(chǎn)管理(尤其是在遵循IEC 61511的過程工業(yè)中)、文檔編制、標簽系統(tǒng)、維護策略制定時，清晰地區(qū)分哪些設(shè)備屬于SIF回路(SIL1-4)，哪些不屬于(SIL0)至關(guān)重要。

將非安全相關(guān)資產(chǎn)標記為SIL0，可以防止混淆，避免將寶貴的SIF資源(如更嚴格的測試、更短的維護周期、備件管理)錯誤地應(yīng)用到不需要的地方，從而優(yōu)化成本和管理效率。

【辨析】在工廠中，用詞為設(shè)備、管道、塔、罐、機泵、系統(tǒng)、儀表、電器、閥門等，不稱為資產(chǎn)。前面說了，控制功能和安全功能是不同的，因此分別采用控制系統(tǒng)和安全系統(tǒng)，實現(xiàn)不同的功能，作用不同，功能不同，不能混淆，也就是干的活不一樣。汽車是汽車，拖拉機是拖拉機，不把拖拉機標記為拖拉機就會與汽車混淆嗎？

在工藝流程設(shè)計中，必須先設(shè)計好工藝流程和控制功能，才輪到根據(jù)工藝生產(chǎn)的安全程度補充和設(shè)計安全功能，而不是把生產(chǎn)設(shè)備分成“哪些設(shè)備屬于SIF回路(SIL1-4)，哪些不屬于(SIL0)”。有了安全功能的需要，才根據(jù)安全功能設(shè)計安全功能的回路，配置安全儀表系統(tǒng)，而不是確定哪些設(shè)備是屬于安全等級的設(shè)備。

控制系統(tǒng)和安全系統(tǒng)同樣重要，而且控制系統(tǒng)在生產(chǎn)運行中更重要，是保證安全生產(chǎn)的最重要的基礎(chǔ)，不存在“寶貴的SIF資源”的說法。安全系統(tǒng)在hazop分析時確定的，是用安全系統(tǒng)實現(xiàn)安全功能的，怎么就會“錯誤地應(yīng)用到不需要的地方”呢？用于安全功能的系統(tǒng)通常不適用于控制功能，因為兩種系統(tǒng)的設(shè)計不同、采用的設(shè)備不同、工作原理不同、工作目的和方式不同。安全系統(tǒng)常用PLC，而控制系統(tǒng)常用DCS。

【原疑文】體現(xiàn)安全生命周期中的決策結(jié)果：在安全生命周期的最初階段(危險和風險評估、SIF辨識和SIL分配)，工程師會確定哪些風險需要SIF來降低(并分配SIL等級)，哪些風險可以通過其他方式(本質(zhì)安全設(shè)計、程序控制、其他保護層)控制，或者其固有風險本身就可接受。對于那些確定不需要專門SIF來控制的風險，或者識別出的功能明確不承擔安全角色，就可以歸類為SIL0。這是風險評估和SIL分配過程的一個輸出結(jié)論。

避免歧義和“灰色地帶”：如果沒有SIL0這個標簽，對于那些顯然不是SIF但又存在于工廠系統(tǒng)中的功能，其狀態(tài)描述可能比較模糊(“普通控制回路”？“非關(guān)鍵”？)。SIL0提供了一個明確、簡潔、行業(yè)內(nèi)部易于理解的標簽。

【辨析】在hazop分析(包括危險和風險及可操作評估)確定安全功能并確定SIL1、2、3、4等級，非安全功能不在此列，非常清楚，不存在歧義和“灰色地帶”。沒有哪一個工程項目的hazop分析歸類出SIL0的。硬生生弄出個“SIL0”反而會引起誤解，除了“SIL0”還有沒有別的什么“標簽”呢？如果SIL1、2、3、4等級以外的統(tǒng)一劃為“SIL0”，還有必要畫蛇添足嗎？

3、區(qū)分安全功能和非安全功能，區(qū)分安全控制與過程控制
【原疑文】使用SIL0時的重要注意事項。非標準術(shù)語：必須清楚認識到，SIL0不是IEC 61508/61511等標準的一部分。在正式的安全驗證報告或合規(guī)性聲明中，應(yīng)使用標準定義的語言(如“非安全相關(guān)”、“非SIF設(shè)備”、“不屬于任何SIF”)，而不是直接寫“SIL0”。

【辨析】既然“庶出的”不能登大雅之堂，這個“名分”還有用嗎？

【原疑文】不能等同于“無要求”或“可以忽略”：標記為SIL0的設(shè)備/功能仍然需要滿足：
①基本的功能性要求：它需要能完成其設(shè)計的功能(如控制、顯示、記錄)。
②基本的可靠性要求：雖然不要求達到SIL級別的可靠性，但頻繁的故障會影響生產(chǎn)、操作或可能導致不必要的生產(chǎn)中斷，甚至在某些情況下可能間接影響安全(例如，一個SIL0的液位顯示頻繁失靈，可能導致操作員誤判，進而觸發(fā)不必要的SIF動作或忽略其他潛在問題)。
③良好的工程實踐：設(shè)計、安裝和維護仍需遵循適用的通用工程標準、制造商規(guī)范和行業(yè)最佳實踐。
④不影響其他SIF：它的設(shè)計、運行或失效模式不能對真正的SIF(SIL1-4)產(chǎn)生負面影響(例如，不能干擾SIF的傳感器信號、不能錯誤地觸發(fā)SIF的動作器)。

【辨析】沒有安全功能不等于沒有非安全功能要求，兩種功能和作用不一樣。沒有什么“基本的”或“非基本的”要求。電冰箱是冷凍保存食品的，洗衣機是洗衣服的，各有各的功能，各有各的質(zhì)量保證。

不是安全系統(tǒng)，就是控制系統(tǒng)了，當然需要符合并滿足工藝控制的需要和特性，具備控制系統(tǒng)的功能和要求。控制系統(tǒng)的屬性是不同于安全系統(tǒng)的，功能、作用、運行、設(shè)備、工具、檢修、維護等待都不一樣，不是“仍然”的關(guān)系。汽車和火車不一樣。PLC與DCS是兩種不同的系統(tǒng)。

【原疑文】風險評估是基礎(chǔ)：一個功能是否能被歸類為“非安全相關(guān)”(即SIL0)，必須基于嚴格的風險評估(如HAZOP,LOPA)。不能隨意假設(shè)。如果風險評估表明其失效可能對安全有貢獻(即使是間接的或次要的)，或者它被識別為獨立保護層，那么它可能就需要被賦予一個SIL等級(至少SIL1)，或者需要重新評估其設(shè)計。

【辨析】這是一段廢話。不是“一個功能”被歸類為“非安全相關(guān)”或“安全相關(guān)”，而是一個回路或工藝局部過程是否需要安全功能，如果需要就配置或設(shè)計安全儀表系統(tǒng)。而過程控制仍然是過程控制。

“其失效可能對安全有貢獻”語言不通，“貢獻”屬于用詞不當。

既然“賦予一個SIL等級(至少SIL1)”，那“SIL0”是什么呢？還算“安全等級”嗎？

【原疑文】總結(jié)：“SIL0”的說法之所以存在，主要是為了：清晰界定復雜系統(tǒng)中非安全相關(guān)的功能和設(shè)備。

區(qū)分于那些承擔著降低風險責任的、有正式SIL等級(1-4)的安全儀表功能。

優(yōu)化資源管理，避免對非關(guān)鍵設(shè)備應(yīng)用不必要的、成本高昂的SIL要求。

【辨析】總之，“SIL0”的說法是無中生有、沒有根據(jù)、沒有道理、沒有意義的。上述關(guān)于“SIL0”的說法是虛無縹緲的，沒有任何用途，只能添亂、混淆視聽。IEC61508、IEC61511根本沒有這東西。工業(yè)的工藝流程控制系統(tǒng)及安全系統(tǒng)也不需要臆造“SIL0”！

相關(guān)閱讀
◆聯(lián)鎖回路中SILa怎么執(zhí)行
◆再說安全完整性等級SIL含義
◆SIL定級與驗證知識十問十答