SIL3 不是越高越好：IEC 62061 的 PFHd、硬件故障裕度 HFT 与 SFF 三道门槛

SIL3 不是把可靠性数字做到越小越好，而要同时跨过三道门槛：PFHd 落在 10⁻⁸~10⁻⁷/h 区间、HFT 与 SFF 满足架构约束、再加系统能力。本文讲清 IEC 62061 的量化指标与架构约束，附 SIL↔PFHd 区间图与 PL/SIL 换算表，并给出「机械回路用 ISO 13849、复杂电气用 IEC 62061」的选型建议。

一句话先答：SIL3 不是简单地把 PFHd 做得越低越好，而是要同时跨过三道门槛——量化指标 PFHd 落在 ≥10⁻⁸~<10⁻⁷/h 区间、硬件故障裕度 HFT 与安全失效分数 SFF 满足架构约束、再加上系统性能力要求；任何一道不达标，SIL3 都不成立。对绝大多数机械安全功能而言，用 ISO 13849-1 的 PL 体系反而更直接；只有当回路以复杂可编程电气/电子为主时，IEC 62061 的 SIL 体系才更顺手。

在选型沟通里经常听到一句话：「我们要最高的，给我做到 SIL3。」但 SIL（Safety Integrity Level，安全完整性等级）不是一个可以无限往上加的旋钮。IEC 62061 是面向机械的功能安全标准（脱胎自工业过程领域的 IEC 61508），它对 SIL 的判定从来不是单看一个数字，而是「定量 + 架构 + 系统性」三件事同时成立。这篇文章就把其中最容易被误解的两件——PFHd 区间，以及 HFT 与 SFF 这对架构约束——讲清楚。

第一道门槛：PFHd 必须落在对应的等级区间

PFHd（Probability of dangerous Failure per Hour，每小时危险失效概率）是高需求/连续模式下衡量安全功能可靠性的核心量化指标。注意它衡量的是「危险方向」的失效率——只有那些会让安全功能失效、却不被察觉的故障才计入。IEC 62061 给出的等级与区间是：SIL1 对应 ≥10⁻⁶ 到 <10⁻⁵/h，SIL2 对应 ≥10⁻⁷ 到 <10⁻⁶/h，SIL3 对应 ≥10⁻⁸ 到 <10⁻⁷/h。

这里有个反直觉的点：区间是「带下限」的。SIL3 的下限是 10⁻⁸，意思不是说你必须做到 10⁻⁸ 才算 SIL3，而是 PFHd 只要进入 10⁻⁸~10⁻⁷ 这个窗口就满足 SIL3 的定量条件。把 PFHd 拼命压到 10⁻⁹，对 SIL 等级判定本身并不会再「升一级」——上面已经没有 SIL4 给机械用了。这正是「不是越高越好」的第一层含义：定量指标达标即可，过度追求小数点后的位数，往往是把成本花在了边际收益几乎为零的地方。

PFHd 是整条安全功能各子系统贡献之和：传感子系统（如Type 4 安全光幕或安全激光扫描仪）+ 逻辑子系统（安全继电器或安全 PLC）+ 执行子系统（接触器、阀）。木桶效应在这里依旧成立——三段相加，任何一段的 PFHd 偏大，整条功能就被拖下去。所以「光幕是 SIL3」绝不等于「这条停机功能是 SIL3」。

第二、三道门槛：HFT 与 SFF 组成的架构约束

就算 PFHd 算出来漂亮地落进了 SIL3 区间，IEC 62061 还要再问一句：你的硬件架构「扛得住单点故障」吗？这就是架构约束（Architectural Constraints），它由两个参数共同决定一个子系统「最多能声称到第几级 SIL」。

• HFT（Hardware Fault Tolerance，硬件故障裕度）：子系统在发生 N 个危险故障时仍能执行安全功能的能力。HFT=0 表示一个危险故障就可能丢失安全功能（单通道）；HFT=1 表示要两个故障叠加才丢（典型的双通道冗余）。
• SFF（Safe Failure Fraction，安全失效分数）：在全部故障率中，「安全方向失效 + 被诊断覆盖的危险失效」所占的比例。直白说，就是「不会偷偷变危险」的那部分故障占比。诊断覆盖率 DC 越高，SFF 越高。

两者交叉，给出一张「最高可声称 SIL」的对照表（IEC 62061:2021 把它作为架构约束的核心）：当 SFF<60% 时，原则上不允许声称（除非满足特定豁免条件）；SFF 在 60%~<90% 区间，HFT=0/1/2 分别最高到 SIL1/SIL2/SIL3；SFF 在 90%~<99% 区间，分别到 SIL2/SIL3/SIL3；SFF≥99% 时，HFT=0 也能到 SIL3。

这张表的含义非常关键：要做到 SIL3，几乎必然要么走双通道冗余（HFT≥1）配合中等以上诊断，要么把单通道的诊断覆盖率做到极高（SFF≥99%）。换句话说，SIL3 是「PFHd 达标」和「架构够硬」两个条件的交集——光把可靠性数字做漂亮、却用一个没有冗余、没有自检的单通道架构，照样卡在架构约束这道门外。这就是为什么实务中 SIL3 停机回路普遍采用双通道 + 强制导向 + 互检结构，例如在安全光幕之后接一只双通道自监控的安全继电器。

为什么还有第三道「系统性」门槛

PFHd 和架构约束管的都是「随机硬件失效」——元件老化、偶发损坏这类可以用概率描述的故障。但很多事故的根因不是元件坏了，而是设计错了、软件有 bug、接线接反、规格理解偏差，这类叫「系统性失效」，没法用概率算。IEC 62061 用系统能力（Systematic Capability, SC）和一整套开发流程要求来压制它。所以即便你买到一堆标称 SIL3 的元件，若集成、配置、验证流程不到位，整条功能的系统性能力仍可能达不到 SIL3。

PL 还是 SIL？机械行业的现实选择

机械安全领域其实有两套并行的功能安全标准：ISO 13849-1（用 PL，性能等级 PLa~PLe）和 IEC 62061（用 SIL，SIL1~SIL3）。两者目标一致，参数体系不同，并可大致换算。常用的等价关系是：PLa≈无对应 SIL（低于 SIL1）、PLb/PLc≈SIL1、PLc/PLd≈SIL2、PLd≈SIL2、PLe≈SIL3。具体见图2 右侧换算表。

那到底用哪套？业内的经验性分工是：以离散元件、简单逻辑、机电回路为主的机械安全功能，用 ISO 13849-1（PL）更直接——它的范畴（Category B/1/2/3/4）、MTTFd、DCavg、CCF 等参数对装配式安全回路更友好，多数光电防护选型也是按 PL 沟通的；而当安全功能高度依赖复杂可编程电子（安全 PLC、复杂软件、总线安全通信）时，IEC 62061（SIL）的框架更完整。好消息是，从 IEC 62061:2021 与 ISO 13849-1 的新版协调来看，两套体系的参数与流程正在靠拢，很多产品会同时给出 PL 与 SIL 双标。

对一线工程师更实用的建议：先用 安全距离计算器 和现场风险评估确定「需要多高的等级」，再决定用哪套体系去证明它；选型阶段不必纠结术语，把危险动作、停止时间、回路结构讲清楚，等级判定交给具资质的安全工程师按现行标准复核。术语细节也可对照本站安全名词术语表。

三个最常见的误区

• 误区一：以为 PFHd 越小 SIL 越高。SIL 是带区间封顶的，进入窗口即达标，且还要过架构约束这一关。
• 误区二：把单个元件的等级当成整条功能的等级。整条安全功能取三段子系统相加后的 PFHd，并受最严架构约束封顶。
• 误区三：用单通道架构却想声称 SIL3。除非 SFF≥99%，否则 HFT=0 在 60%~<99% 的 SFF 区间最高只能到 SIL1/SIL2。

无论选 PL 还是 SIL 路线，落地都离不开「合格的传感器 + 可靠的安全逻辑 + 正确的安装距离」。戴迪斯科 DAIDISIKE / 金恩士 KEANSHI 可提供 Type 4 安全光幕、区域安全激光扫描仪 与双通道安全继电器，并配合现场出具符合等级要求的回路方案。把设备型号、危险区与停止时间告诉戴迪工程师，可按现场复核等级与安装距离。

免责声明：本文对政策、行业趋势、技术路线的解读为行业分析与预判，具体内容请以官方发布的法规文件、国家标准、企业公告为准。 文中提及的第三方品牌（如有）均为各自权利人注册商标，本文仅作行业信息梳理与技术对比，不构成商业关联或对其商誉的评价。