近日有网友疑问：“为何会出现SIL0的说法？”询问AI助手随即给出了一套看似合理的解释，将其描述为“广泛使用”等非正式概念。然而，本文笔者叶向东(中国石化工程建设有限公司原副总工程师)在看到这一答案后，立刻引发了强烈质疑！

在功能安全领域，SIL(安全完整性等级)是一个严谨且核心的概念，国际标准如IEC 61508和IEC 61511明确定义的安全完整性等级是从SIL1开始最高到SIL4。奇怪的是，最近被提起的“SIL0”是如何出现的？为何会有“SIL0”这一说法？它的出现是简化了安全与非安全功能的划分，还是造成了新的混淆？本期我们就来深入辨析这一不明飞来的“SIL0”！

【原疑文】关于“SIL0”，这是一个在功能安全领域非正式但广泛使用的概念，尤其常见于工程实践和讨论中。它并不存在于IEC 61508、IEC 61511等核心功能安全标准中，但它的出现和流行有其特定的背景和逻辑。我们来探讨一下“为何会有SIL0一说”。

【辨析】关于“SIL0”并不是一个“广泛使用的概念”，并不“常见于工程实践和讨论中”，而是一个误传的、非法的用词和定义，偶尔见于近期的某些宣传和错误用法，几乎没有项目设计和规格书使用，怎么就说成是“广泛使用”了呢？在IEC 61508、IEC 61511系列的关于安全仪表的功能安全标准确实没有这个用词及规定。

1、IEC标准中的安全等级
【原疑文】核心标准的定义起点是SIL1，国际标准如IEC 61508和IEC 61511明确定义的安全完整性等级是从SIL1开始的(最低要求)，最高到SIL4(最高要求)。

这些标准关注的是那些执行安全仪表功能的设备或系统。SIF的设计目标就是降低特定危险事件的风险。

标准本身没有为“不执行SIF”或“与安全完全无关”的功能定义一个正式的“SIL0”。

【辨析】这段叙述是对的。IEC 61508和IEC 61511明确定义的安全等级是SIL1、2、3、4，只有这四个数字，不能外延或内插，当然也就没有“SIL0”。

2、天上掉下个SIL0
【原疑文】SIL0的诞生背景和含义，“SIL0”这个概念的出现，主要是为了填补标准留下的一个“空白”或在工程实践中提供一种便捷的表达方式：指代“非安全相关”功能：这是SIL0最常见的含义。在一个复杂的系统(如化工厂、发电厂、制造设备)中，存在大量的仪器、控制系统、执行机构和功能。其中：一部分功能被设计为SIF，专门用于将风险降低到可接受的水平(SIL1-4)；另一大部分功能是基础过程控制、监视、操作界面、数据记录、非关键联锁、舒适性功能等。这些功能本身的设计目的不是执行安全功能，其失效通常不会直接导致不可接受的风险(虽然可能影响生产、效率或产品质量)。

【辨析】IEC 61508和IEC 61511标准清清楚楚、详细规定了安全功能SIF，怎么就留下了“空白”？而且还说明除此而外没有需要的安全功能SIF，“非安全相关”功能是不用安全仪表系统的，不具备安全等级，怎么就弄出个SIL0“最常见的含义”呢？IEC 61511还规定了安全功能与非安全功能的关系和系统应用方法。

注意1：不是“一部分功能被设计为SIF”，而是根据工艺过程的风险及操作运行评估，设计安全功能SIF的安全控制回路，确定回路的安全等级SIL，用安全仪表系统实现安全控制。并不是“将风险降低到可接受的水平”。

注意2：IEC 61508和IEC 61511只适用于流程工业如：石油化工厂、化工厂，而不适用于其它工厂和制造业，也不适用于发电厂。

注意3：仪器和仪表是不同的，连续测量并用于检测、控制的称为仪表，不称为仪器。

控制功能和安全功能是不同的，因此分别采用控制系统和安全系统，执行不同的控制，实现不同的功能，不能混淆。从运行过程来看，如果控制系统一直将工艺过程稳定控制在工艺运行的设计范围内，就不会出安全事故，不会出现工艺生产的危险，当然就没有生产的“风险”，执行安全功能的安全仪表系统就不会起作用，这就是工艺过程的控制，是与安全功能无关的“非安全功能”。过程控制使工艺过程运行操作不出既定的范围，也就不会引起安全仪表系统的动作。

【原疑文】SIL0就被用来明确标记这些“非安全相关”的功能或设备。它清晰地表明：“这个回路/设备/功能不在任何SIF的范畴内，不需要按照SIL1-4的要求进行设计、验证和维护”。

强调“无安全要求”：SIL0传达的信息是：对于该功能，没有分配任何特定的安全完整性要求。它的存在与否或是否失效，对安全目标的达成没有强制性贡献(当然，前提是安全分析确认了这点)。

【辨析】IEC 61508和IEC 61511标准并没有规定“非安全相关”的功能或设备，而SIL是安全完整性等级(安全程度的等级)，怎么就无中生有地臆造出“非安全相关”的“SIL0”来了呢？什么人在什么标准中编造出来的呢？

举个不太恰当的例子：酒店分1到5星等级，难道能将不是酒店的居民住宅都称为0级酒店吗？

再重复一遍：不是标记某功能，而是根据需要设计安全功能，并确定安全等级。不是给已经存在的某“功能”分配安全等级。过程控制是没有安全等级的，安全控制才有安全等级。

【原疑文】区分“安全相关”与“非安全相关”资产：

在资产管理(尤其是在遵循IEC 61511的过程工业中)、文档编制、标签系统、维护策略制定时，清晰地区分哪些设备属于SIF回路(SIL1-4)，哪些不属于(SIL0)至关重要。

将非安全相关资产标记为SIL0，可以防止混淆，避免将宝贵的SIF资源(如更严格的测试、更短的维护周期、备件管理)错误地应用到不需要的地方，从而优化成本和管理效率。

【辨析】在工厂中，用词为设备、管道、塔、罐、机泵、系统、仪表、电器、阀门等，不称为资产。前面说了，控制功能和安全功能是不同的，因此分别采用控制系统和安全系统，实现不同的功能，作用不同，功能不同，不能混淆，也就是干的活不一样。汽车是汽车，拖拉机是拖拉机，不把拖拉机标记为拖拉机就会与汽车混淆吗？

在工艺流程设计中，必须先设计好工艺流程和控制功能，才轮到根据工艺生产的安全程度补充和设计安全功能，而不是把生产设备分成“哪些设备属于SIF回路(SIL1-4)，哪些不属于(SIL0)”。有了安全功能的需要，才根据安全功能设计安全功能的回路，配置安全仪表系统，而不是确定哪些设备是属于安全等级的设备。

控制系统和安全系统同样重要，而且控制系统在生产运行中更重要，是保证安全生产的最重要的基础，不存在“宝贵的SIF资源”的说法。安全系统在hazop分析时确定的，是用安全系统实现安全功能的，怎么就会“错误地应用到不需要的地方”呢？用于安全功能的系统通常不适用于控制功能，因为两种系统的设计不同、采用的设备不同、工作原理不同、工作目的和方式不同。安全系统常用PLC，而控制系统常用DCS。

【原疑文】体现安全生命周期中的决策结果：在安全生命周期的最初阶段(危险和风险评估、SIF辨识和SIL分配)，工程师会确定哪些风险需要SIF来降低(并分配SIL等级)，哪些风险可以通过其他方式(本质安全设计、程序控制、其他?；げ?控制，或者其固有风险本身就可接受。对于那些确定不需要专门SIF来控制的风险，或者识别出的功能明确不承担安全角色，就可以归类为SIL0。这是风险评估和SIL分配过程的一个输出结论。

避免歧义和“灰色地带”：如果没有SIL0这个标签，对于那些显然不是SIF但又存在于工厂系统中的功能，其状态描述可能比较模糊(“普通控制回路”？“非关键”？)。SIL0提供了一个明确、简洁、行业内部易于理解的标签。

【辨析】在hazop分析(包括危险和风险及可操作评估)确定安全功能并确定SIL1、2、3、4等级，非安全功能不在此列，非常清楚，不存在歧义和“灰色地带”。没有哪一个工程项目的hazop分析归类出SIL0的。硬生生弄出个“SIL0”反而会引起误解，除了“SIL0”还有没有别的什么“标签”呢？如果SIL1、2、3、4等级以外的统一划为“SIL0”，还有必要画蛇添足吗？

3、区分安全功能和非安全功能，区分安全控制与过程控制
【原疑文】使用SIL0时的重要注意事项。非标准术语：必须清楚认识到，SIL0不是IEC 61508/61511等标准的一部分。在正式的安全验证报告或合规性声明中，应使用标准定义的语言(如“非安全相关”、“非SIF设备”、“不属于任何SIF”)，而不是直接写“SIL0”。

【辨析】既然“庶出的”不能登大雅之堂，这个“名分”还有用吗？

【原疑文】不能等同于“无要求”或“可以忽略”：标记为SIL0的设备/功能仍然需要满足：
①基本的功能性要求：它需要能完成其设计的功能(如控制、显示、记录)。
②基本的可靠性要求：虽然不要求达到SIL级别的可靠性，但频繁的故障会影响生产、操作或可能导致不必要的生产中断，甚至在某些情况下可能间接影响安全(例如，一个SIL0的液位显示频繁失灵，可能导致操作员误判，进而触发不必要的SIF动作或忽略其他潜在问题)。
③良好的工程实践：设计、安装和维护仍需遵循适用的通用工程标准、制造商规范和行业最佳实践。
④不影响其他SIF：它的设计、运行或失效模式不能对真正的SIF(SIL1-4)产生负面影响(例如，不能干扰SIF的传感器信号、不能错误地触发SIF的动作器)。

【辨析】没有安全功能不等于没有非安全功能要求，两种功能和作用不一样。没有什么“基本的”或“非基本的”要求。电冰箱是冷冻保存食品的，洗衣机是洗衣服的，各有各的功能，各有各的质量保证。

不是安全系统，就是控制系统了，当然需要符合并满足工艺控制的需要和特性，具备控制系统的功能和要求?？刂葡低车氖粜允遣煌诎踩低车?，功能、作用、运行、设备、工具、检修、维护等待都不一样，不是“仍然”的关系。汽车和火车不一样。PLC与DCS是两种不同的系统。

【原疑文】风险评估是基?。阂桓龉δ苁欠衲鼙还槔辔胺前踩喙亍?即SIL0)，必须基于严格的风险评估(如HAZOP,LOPA)。不能随意假设。如果风险评估表明其失效可能对安全有贡献(即使是间接的或次要的)，或者它被识别为独立?；げ?，那么它可能就需要被赋予一个SIL等级(至少SIL1)，或者需要重新评估其设计。

【辨析】这是一段废话。不是“一个功能”被归类为“非安全相关”或“安全相关”，而是一个回路或工艺局部过程是否需要安全功能，如果需要就配置或设计安全仪表系统。而过程控制仍然是过程控制。

“其失效可能对安全有贡献”语言不通，“贡献”属于用词不当。

既然“赋予一个SIL等级(至少SIL1)”，那“SIL0”是什么呢？还算“安全等级”吗？

【原疑文】总结：“SIL0”的说法之所以存在，主要是为了：清晰界定复杂系统中非安全相关的功能和设备。

区分于那些承担着降低风险责任的、有正式SIL等级(1-4)的安全仪表功能。

优化资源管理，避免对非关键设备应用不必要的、成本高昂的SIL要求。

【辨析】总之，“SIL0”的说法是无中生有、没有根据、没有道理、没有意义的。上述关于“SIL0”的说法是虚无缥缈的，没有任何用途，只能添乱、混淆视听。IEC61508、IEC61511根本没有这东西。工业的工艺流程控制系统及安全系统也不需要臆造“SIL0”！

相关阅读
◆联锁回路中SILa怎么执行
◆再说安全完整性等级SIL含义
◆SIL定级与验证知识十问十答