SIL（Safety Integrity Level，安全完整性等級）在製程產業中被廣泛引用，但更重要的是，必須正確認識 IEC 61508 規範下 SIL 認證真正代表的意義。

一套安全儀表功能（SIF）最終可達成的 SIL 等級，並非僅由單一元件決定，而是取決於整體系統架構、元件可靠度資料、驗證測試策略、維護假設以及實際操作條件等多項因素的綜合評估。

SIL 驗證通常會考量以下內容：

• PFDavg（平均按需故障機率）
• 硬體容錯（HFT）與架構限制
• 證明測試（Proof Test）間隔與測試效能
• 診斷能力與平均修復時間（MTTR）
• 執行器、電磁閥與附件配置
• 實際應用條件與維護管理方式

因此，功能安全認證通常都會明確要求：
每一項應用皆需針對 SIL 適用性進行評估，並以完整的 SIF 架構進行驗證。

同時也必須理解，SIL 等級所代表的是「安全功能中危險故障發生的機率」，而非單純產品壽命、機械耐久性或一般意義上的無故障時間。

功能安全的核心，在於將經認證的產品，應用於正確的系統架構、工程假設與維護策略中，才能真正達成製程現場所要求的風險降低目標。

唯有正確認識 SIL 的判定方式，才能協助產業做出更安全、更專業且更有依據的工程決策。

在 TAWD，我們始終認為，功能安全應建立在技術透明、完整工程評估以及應用導向驗證的基礎上，以確保設備在真實製程環境中的長期可靠與安全運作。

 

閥門的 SIL2？還是 SIL3？

關於閥門 SIL 證書與 PFDavg 的正確認知 

在功能安全（Functional Safety）領域中，SIL（Safety Integrity Level，安全完整性等級）已成為許多石化、化工、能源及製程產業客戶選擇設備的重要參考依據。然而，在實務應用上，對於閥門 SIL 證書所代表的意義，以及其與 PFDavg（平均按需失效機率）之間的關係，經常存在誤解。 

SIL 評估的對象是安全功能，而非單一設備 

根據 IEC 61508 與 IEC 61511 國際標準，SIL 所評估的對象是整體安全儀表功能（Safety Instrumented Function, SIF），而非單一產品或單一設備。 

一套完整的 SIF 通常包含： 

• 感測器（Sensor） 
• 邏輯解算器（Logic Solver） 
• 最終元件（Final Element） 

例如在緊急切斷系統中，壓力變送器偵測到異常壓力後，由安全控制系統發出跳脫指令，再由緊急切斷閥（ESD Valve 或 SDV）執行關閉動作。只有當整個安全功能鏈都能在需要時正確運作，才能達到預期的風險降低效果。 

因此，IEC 所定義的 SIL 等級，評估的是整體安全功能的可靠度，而不是其中任一單獨元件的性能。 

PFDavg 與 PFH 的適用取決於需求模式 

IEC 標準規定： 

• 在低需求模式（Low Demand Mode）下，以 PFDavg（Average Probability of Failure on Demand）作為 SIL 評估指標。 
• 在高需求模式（High Demand Mode）或連續模式（Continuous Mode）下，則以 PFH（Probability of Dangerous Failure per Hour）作為評估依據。 

因此，是否使用 PFDavg 或 PFH，並非取決於設備種類，而是取決於該設備所執行之安全功能的實際需求頻率。 

以 SIS 系統中的 ESD Valve、SDV、MOV 或 XV 等閥門為例，若僅在異常狀況發生時才需要動作，通常屬於低需求模式；若安全功能需要頻繁執行，則可能屬於高需求或連續模式，其評估方式也將有所不同。 

為什麼不能直接用閥門 SIL 等級推論其 PFDavg？ 

實務上經常可以看到以下說法： 

「這顆閥門具有 SIL 3 認證，因此其 PFDavg 一定落在 SIL 3 的範圍內。」 

然而，這樣的理解並不完整。 

事實上，單一閥門並不存在一個固定且唯一的 PFDavg 數值。 

PFDavg計算通常可表示為：PFDavg=f (λDU,TI,PST,DC,Architecture)  

其中包含： 

• λDU：危險未偵測失效率（Dangerous Undetected Failure Rate）  
• TI：Proof Test Interval（功能測試週期）  
• PST：Partial Stroke Test Interval（部分行程測試間隔）  
• DC：Diagnostic Coverage（診斷覆蓋率）  
• Architecture：系統架構（如 1oo1、1oo2、2oo3 等）  

因此，即使是同一顆閥門，在不同的系統設計與維護條件下，也可能得到不同的 PFDavg 結果。 

換句話說，PFDavg 並非設備本身固定擁有的數值，而是必須結合整體應用條件進行計算與驗證。 

例如： 

• 每年進行一次 Proof Test  
• 每三年進行一次 Proof Test  
• 是否執行 PST  
• 採用 1oo1 或 1oo2 架構  

皆會影響最終 PFDavg。 

因此：閥門本身並不存在一個固定且唯一的 PFDavg 值。 

閥門 SIL 證書真正代表什麼？ 

• 在 TÜV、Exida 等第三方認證機構所核發的閥門 SIL 證書中，經常可以看到以下表述： 
• Suitable for use in SIL 3 applications 
• Capable for use in SIL 3 Safety Instrumented Functions 

這類認證的真正意義在於：該設備已通過 IEC 61508 所要求的系統能力（SC）、安全失效比例（SFF）、硬體容錯能力（HFT）及相關可靠度評估要求，可作為特定 SIL 等級安全功能的一部分使用。 

也就是說，認證證明的是：該設備適合被應用於 SIL 3 的安全功能設計中。 

結論 

選擇具有 SIL 認證的閥門，是建立功能安全系統的重要基礎。然而，閥門 SIL 證書上所標示的 SIL 2 或 SIL 3，並不直接代表該閥門本身已具備對應 SIL 等級所要求的 PFDavg，亦不代表其單獨即可達成特定的風險降低能力。 

依據 IEC 61508 與 IEC 61511 的功能安全理念，SIL 等級的符合性應以完整的安全儀表功能（Safety Instrumented Function, SIF）為評估對象，而非單一設備。因此，經認證的閥門應作為 SIF 架構中的組成元件，結合感測器、邏輯解算器及最終元件等完整系統架構，並依據實際應用條件、設備可靠度資料、Proof Test 策略、維護管理要求及運轉環境進行 PFDavg 計算與 SIL Verification。 

唯有透過完整且符合實際工況的功能安全評估與驗證，才能確認整體 SIF 是否達到目標 SIL 等級，並確保安全功能在需求發生時能夠可靠執行其保護任務，進而達成製程現場所要求的風險降低目標與功能安全要求。