如何设计SIL安全等级

上两期我们讨论了什么是机器安全和过程安全，也分别看了两种安全领域的两款代表产品，那今天我们来讨论一下如何设计SIL安全等级？

　　许多最终用户指定使用达到SIL3等级的冗余逻辑控制器。有大量的，冗余的可编程逻辑控制器经认证达到SIL3等级。然而，仅用这些逻辑控制器中的一个是无法建立一个SIL3系统的。一个系统包括传感器和终端设备。许多项目都将实现冗余的逻辑控制器与非冗余的现场设备一起使用，其结果可能只达到了SIL1系统，毕竟，一根链条的强度取决于它最薄弱环节的强度。
　　事实上SIL3安全系统只有在非常特殊的情况下才可以不冗余。在一个达到SIL3要求的设计中，传感器、逻辑控制器和终端设备（或执行机构）几乎都是需要冗余。当一个达到SIL3等级的逻辑控制器不是与一个SIL3系统相连，或SIL3等级不是必需的，为什么要支付额外的费用呢？
　　SIL标准“硬件故障容差为‘1’时，意味着如有两个装置时，其系统结构应能在两个元器件中的一个或一个子系统发生危险故障的时候，进行安全保护动作。”
　　故障容差必须应用于任何SIL等级的现场仪表，其有关的规定已经清楚地定义在SIL标准中，请看以下图表。

　　最低硬件故障容差的减少已经定义成减少由于在SIF（安全仪表功能）设计中假设的数字，连同在各种工程应用中设备或子系统故障率的不确定性而造成的SIF设计潜在的缺陷。
　　换而言之，规定最低故障容差等级将会防止使用中出现极低的合格率。一个简短的人工测试计算可以用来对提出的方案的设计性能进行测试。
　　标准描述了在什么情况下故障容差要求（具体规定在图表里可以找到）可以降低一点。它也描述了在什么情况下需要提高一点。
　　当现场仪表经认证是具有较低等级的危险故障模式，或当其硬件有详细的数据资料的情况下，诸如有故障率、故障方式、内部自诊断的水平等的详细资料时，可以降低故障容差的要求。这个简单的图表包括在IEC61511中，因为被认为多数的最终用户不可能拥有如此详细的信息资料，而且在很多情况下，现场仪表的低等级危险故障的认证几乎是无法获得的。
　　要满足终端设备特别是阀门的这些要求的难度特别大而且费用昂贵。增加安全完整性等级以允许恰当地维护和测试对阀门的数量以及对其安装的复杂性有着重大的影响。已经做了很多工作如采用局部撞击试验方法来提高性能，然而阀门对任何回路的故障概率，回路的控制或防护而言仍起着主要作用。
　　一个真正的SIL3系统通常要求有三重变送器，三重（三选二）或1002D（带自诊断的二选一）的逻辑控制器。无论是系列的三联阀门或是系列的复式双联阀门，要完成局部撞击试验或是非常频繁的全撞击试验，通常是不可能的。辅助变送器、阀门等增加了SIL-3系统的成本。还要考虑到如保险、供应、维护等操作因素。相比较而言，典型的SIL-2系统用不太复杂的逻辑控制器和根据应用类型选择的单独或双重变送器和阀门。
　　合理的解决方法
　　当判断SIL等级的技术被有效地应用，SIL-3的需求应该极少。在许多情况下，重新设计危险性较低的程序比要求使用SIL-3安全系统更有效的多，SIL-2将成为多数使用者最实际的系统等级。
　　通用型PLC仅适用于SIL1等级的应用。以我们的经验，三选二和二选一的通过SIL-3认证的安全型PLC，相对SIL-2等级来说，是过于安全的设计而且是不必要的开销。那么，SIL-2的该解决方案是明智的决定吗？
　　SIL-3逻辑处理器不是安全设施的万能钥匙，仅仅规定保证使用SIL-3逻辑处理器是不能保证整个系统就能达到SIL-3要求，也不意味着整体设计就符合行业标准的要求。对大部分应用而言，一般的安全完整性水平往往不会超过SIL2等级。使用目前经认证为SIL2等级的安全平台与类似于控制平台的相连接。这样就能容易的完成上诉的要求，并降低生命周期成本。