相对于执行元件，测量元件对SIF 回路可用性的影响远大于可靠性，测量元件的采购费用也远小于阀门。中国石化对单点联锁导致装置误停车造成生产波动的问题有规定，推荐采用２取２或３取２架构，误停车率不属于文中讨论的重点。保证SIF回路高可用性的前提是必须保证其安全性，２取２的失效概率约为单台设备的一半，３取２的失效概率则为２取２的平方 。对于SIL１ 以上的SIF 回路，２ 取２是很难通过验证的，推荐优先采用３取２的架构。

鉴于当前国内厂家证书的收费现状，建议具备条件的安全仪表系统（SIS）测量元件至少要求SIL２ 的认证，既不会引起工程投资的过度增加，也不属于过度设计。优先选用智能变送器而不是开关，通过通讯手段实现在线诊断，既不影响在线测量功能，又能随时进行在线诊断和测试，提高智能仪表的诊断覆盖率 。还可以依据标准ＮＡＭＵＲ ＮＥ ４３Ｓｔａｎｄａｒｄｉｚａｔｉｏｎ ｏｆ ｔｈｅ ｓｉｇｎａｌ ｌｅｖｅｌ ｆｏｒ ｔｈｅ ｆａｉｌｕｒｅ ｉｎ⁃ｆｏｒｍａｔｉｏｎ ｏｆ ｄｉｇｉｔａｌ ｔｒａｎｓｍｉｔｔｅｒｓ，根据工艺高可靠性或高可用性要求，实施仪表故障模式设计 。

SIS 的测量元件与基本过程控制系统（BPCS）相互独立时，推荐在BPCS 中设计测量元件测量值与SIS测量值的偏差报警，报警的详细设计方式与架构及故障模式有关，这非常有利于通过验证，同时不会增加额外投资。

2.2　逻辑控制器

关于逻辑控制器的SIL 认证级别，推荐至少比相关SIF 回路的最高SIL定级高一个级别，最高可为SIL３。当大量SIF 回路的SIL 定级都为SIL１ 仅有１ 个SIL３ 时，为了避免整体投资过高，可设计为SIL２ 的SIS，针对个别SIL３ 设计单独的小型专用SIS。例如，经常使用的超速保护紧急停车系统或高完整性压力保护系统ＨＩＰＰＳ 等，该方式可节约投资。

原则上，SIS 设计首先要执行国家关于安全生产的强制性的法律法规，按强制性条文要求配置独立SIS 来实施要求的联锁动作，然后考虑SIL定级的要求。在SIS 设计中应根据工艺需要在仪表故障模式下实施故障安全型设计、架构降级设计及相关旁路设计 ，并不增加任何硬件的投资，内容比较复杂，可参考相关文献，文中不赘述。逻辑组态的软件模块同样需要安全认证，软件与硬件的地位同等重要。

2.3　执行元件

鉴于当前实施先验使用或经验使用时获取失效数据非常困难，以及国内阀门厂家SIL 证书的设计取费现状，建议所有SIS 的阀门、执行机构及附件如有条件提供至少SIL２ 等级的证书。在绝大多数的典型SIF 回路验证计算中，执行元件的PFDavg 权重占比基本上都在９０％ 以上，说明执行元件的架构设计及单台设备的PFDavg 成为影响是否通过SIL 验证的关键因素。

虽然单台阀门要求提供SIL２ 的证书，但实际上有时候甚至无法通过SIL１ 的验证，因为阀门的定级是有条件的，如果证书是在检验测试间隔时间为１ ａ 的条件下取得的，而连续生产３ ａ 未实施测试时，阀门的PFDavg 会变差，有可能达不到证书的等级。如果SIL１ 的ＲＲＦ 为１００，与SIL２ 没有区别，单台阀门有可能无法通过SIL２ 验证。最重要的是回路中执行元件的关键动作识别，执行元件在SIF回路中的架构对是否顺利通过验证至关重要。

气动切断阀的失效大部分来自于附件及工况，工况及气路组合的变化很多，当前也只能仅仅计算阀门及电磁阀，附件电磁阀对SIF 回路的可用性及可靠性影响较大。推荐２ 取１ 架构的阀门电磁阀采用２ 取２ 配置，不推荐同时采用２ 取１的配置，可用性不好。当必须采用时，国外公司也有带电联锁配专用ＤＯ 卡实施线路检测功能提高可用性的优化方案 ，可供参考。

当SIF 回路由不同系统串接来实现安全功能，例如SIS 与压缩机控制系统（ＣＣＳ）、燃烧器管理系统（ＢＭＳ） 等独立系统联动，不能通过验证时，其主要原因在于不同系统之间的连接是单点连接，成为整个回路可靠性最薄弱的环节。优化的设计方法是使用３ 取２ 表决方式触发另一个系统联动，该方法解决了很多类似的问题。对于电机类执行元件，不可能像阀门一样设计冗余的电气系统，遇到了大量SIL２ 或SIL３ 联锁机泵无法通过验证的情况。其原因也多是单点输出或继电器为普通继电器，进行该场景设计时，宜直接使用SIL３ 或SIL４ 认证的安全继电器，使用２ 取１ 方式输出触发联锁。对于汽轮机驱动的压缩机或泵的紧急停机，SIL２ 往往也有验证不通过的情况，不可能像阀门一样设计冗余的汽轮机系统。设计时，常用的优化方法是在汽轮机动力蒸汽管线上增加１ 个或２个切断阀，与去ＣＣＳ 停压缩机的速关阀形成２ 取１ 或３ 取１ 的冗余架构。

对于电动阀，常常用于罐区的紧急切断，往往不能通过高于SIL１ 的验证。当定级为SIL２ 及以上且没有气源时，需使用SIL２ 或SIL３ 的电液执行机构来代替电动执行机构。即便是SIL１ 的场景，因为架构的原因，储罐的阀门组是２ 组以上并联时，也有不能通过验证的情况，此时应当优化设计（增加罐根阀联锁）来改变架构。对于催化裂化特种阀门等特殊执行元件，没有冗余配置的可能性，只能通过先验使用或经验使用的方法来通过验证。让厂家提供相关数据，有特殊执行元件的SIF 回路应尽量避免SIL３ 定级，IEC ６１５１１ 有强制冗余的约束，优化工艺设计或增加保护层降级是合理的解决方案。对于执行元件的架构，很多工艺设计可

以根据关键动作的逻辑关系来优化。例如定级为SIL２ 及SIL３ 的加热炉联锁，每路主燃气支路都设计了２ 个切断阀，但还是经常不能通过验证，此时应优化工艺设计，在主路上增加１ 个或２ 个切断阀，同时与每个支路的阀一起动作，该优化方案最经济。

调节阀是否也可以通过联锁的方式来参与验证，从而节约投资，应该由项目组或项目危险与可操作性分析（ＨＡＺＯＰ）来决策。当工艺调节阀同时作为SIS 回路的执行元件时，该调节回路在相关场景的风险分析中不能视为独立保护层。

2.4辅助元件

在实际项目中发现，辅助元件很容易被忽视从而成为影响验证的关键因素。如果项目原则允许，SIL２ 及以上定级的设计可优先采用隔爆型仪表来减少安全栅环节。当必须是本质安全设计时，选择带SIL２ 及以上证书的安全栅，继电器也尽量选择配置SIL３ 及以上认证的安全继电器，辅助元件的价格比现场仪表低很多，尽量选择可靠性高的元件，使之不成为影响验证的关键因素。

2.5　典型回路经验架构

验证能否通过还与很多其他因素有关，重点关注回路中失效率最高的部件，优化设计的目标是使投资最高的设备成为验证的关键路径。表１为典型可通过SIL 验证的SIF 回路的经验架构，忽略了可靠性远高于其他元件的逻辑控制器以及苛刻的工艺工况。由于设备的质量也影响验证，表１ 的架构为大概率可通过验证的经验案例，仅供参考。

１）测试周期不可调的按照36个月设计；

２）未提及执行机构电磁阀配置为１ 取１。

对于典型储运罐区等非连续生产工艺的单元或装置，可以在设备不投用时进行测试，测试周期是可以调整的，推荐最短不少于６ 个月。当工艺装置连续生产时，推荐SIL３ 场景的阀门都带部分行程测试功能，调整检验测试间隔时间。

无论如何，通过SIL３ 验证都是非常困难的。如果Ｂ 类仪表设备的可靠性指标安全失效分数（SFF）不能超过９０％，ＩＥＣ ６１５０８ 强制要求架构约束HFT 为２ 。应尽量避免定级为SIL３。如果定级为SIL３，优先寻找尽量多的独立保护层；如果没有独立保护层，需要优化设计方案增加１ 个独立保护层，最终目的是将定级降为SIL２。