什么是安全完整性等级（SIL）？

在故障安全系统的评估中，我们经常听到一个词“安全完整性等级”。今天这篇文章，我们来详细介绍下什么是安全完整性等级？

安全完整性等级（Safety Integrity Level，SIL）是国际标准IEC61508中定义的一种离散性的等级，它用来衡量安全相关系统成功执行规定的安全功能的概率。概率越高，则安全完整性等级越高。安全完整性等级分为4个级别，即SIL1、SIL2、SIL3和SIL4。其中SIL4最高，SIL1最低。我们国家标准GB/T 20438等同采用国际标准IEC61508，本文后续介绍安全完整性等级所涉及的相关术语，比如：危险、伤害、风险、安全完整性等，均来自GB/T 20438.4 《电气/电子/可编程电子安全相关系统的功能安全第4部分：定义和缩略语》。

工业自动化的生产过程都或多或少的存在危险。工业设备（比如：一套液压系统、一套电气传动系统或一套气动控制系统）在运行过程中可能会发生故障而导致某些危险，这些危险可能会造成的伤害包括人的身体的损伤、健康状态的损害、财产的损失或者环境的破坏。
发生危险时可能会造成伤害，也可能不会造成伤害。当造成伤害时，有的情况下是一种轻度伤害，有的情况下是比较严重的伤害。我们把危险发生时，造成伤害的概率和伤害程度的组合，称为风险（Risk）。

在当前社会发展水平下，如果某个给定范围内的风险都是可以接受的，称之为“可容忍风险”。我们将这种没有不可接受风险的状态，称为“安全”。

为了介绍安全完整性等级，还需要明确如下几个术语：

受控设备（Equipment Under Control，EUC）：是指用于制造业、流程工业、运输业、制药业或其他行业的设备、机器、装置或成套设备；
功能安全（Functional Safety）：整体安全中与受控设备和受控设备控制系统相关的部分，它取决于电气/电子/可编程电子安全相关系统和其他风险降低措施正确执行其功能；
安全状态（Safe State）：达到安全时受控设备的状态；
安全相关系统（Safety-related System）：是指能满足如下两项要求的系统：①执行要求的安全功能足以实现或保持受控设备的安全状态；②自身或与其他电气/电子/可编程电子安全相关系统、其他风险降低措施一起，能够实现要求的安全功能所需的安全完整性；
安全功能（Safety Function）：针对特定的危险事件，为实现或保持受控设备的安全状态，由电气/电子/可编程电子安全相关系统或其他风险降低措施实现的功能；安全功能包括①在要求时执行的功能，作为一种主动行为规避风险（比如主动关闭电机）；②采取预防行为的功能（比如防止电机误启动）；

有了对这些术语的理解，我们就可以介绍安全完整性。

安全完整性（Safety Integrity）是指在规定的时间段内和规定的条件下，安全相关系统成功执行规定的安全功能的概率。安全完整性由硬件安全完整性和系统性安全完整性构成。安全完整性越高，安全相关系统在要求时执行规定的安全功能或实现规定的状态的概率就越高。

在确定安全完整性时应包括所有导致非安全状态的失效原因，比如：硬件失效、软件导致的失效和电磁干扰导致的失效。某些类型的失效，尤其是随机硬件失效，可以用危险失效模式下的平均失效频率或安全相关保护系统未能在要求时动作的概率来量化。但是安全完整性还取决于许多不能精确量化的、只可定性考虑的因素。

为了量化安全完整性，定义了四个离散的等级，称为安全完整性等级。

GB/T 20438.1定义了不同安全完整性等级在低要求运行模式的安全功能目标失效量和高要求/连续运行模式下的安全功能目标失效量，如下图所示：

低要求运行模式下.png