干貨|安全儀表功能SIF的實現(xiàn)和驗證過程

2019/12/23 12:35:22 人評論次瀏覽分類：熱點聚焦文章地址：http://prosperiteweb.com/news/1713.html

本文結(jié)合國際安全標(biāo)準(zhǔn)IEC61508、IEC61511及ANAI/ISA-84.00.01 (IEC61511 Mod)介紹了過程工業(yè)安全生命周期中通過安全儀表系統(tǒng)(SIS)實現(xiàn)安全儀表功能(SIF)的設(shè)計方法、功能安全設(shè)備的評估和選擇、SIL的實現(xiàn)和安全功能的驗證。

分析階段是IEC61511安全生命周期中的重要階段，根據(jù)安全要求規(guī)范中的安全儀表功能(SIF)要求，合理設(shè)計安全儀表系統(tǒng)(SIS)，選擇合適的功能安全設(shè)備、并基于診斷和測試技術(shù)進行安全儀表功能的驗證和確認是分析階段中至關(guān)重要的環(huán)節(jié)。本文將結(jié)合安全標(biāo)準(zhǔn)和規(guī)范要求，主要介紹安全儀表功能的實現(xiàn)和驗證過程。

1、安全儀表功能(SIF)的實現(xiàn)過程
安全儀表系統(tǒng)(SIS)的安全儀表功能(SIF)的設(shè)計要根據(jù)安全儀表要求規(guī)范(SRS)來完成。作為IEC61511中安全生命周期的重要性文件，SRS包括了所有安全儀表功能(SIF)設(shè)計的完整要求明細，主要包括以下內(nèi)容：
①危險及其后果；
②危險性事件的概率；
③相應(yīng)的PID；
④過程測量參數(shù)及跳閘點；
⑤主設(shè)備和輔助設(shè)備的響應(yīng)要求；
⑥過程測量和輸出的關(guān)系，包括邏輯、算法功能和允許性-定義到所有的操作模式，例如開車、正常、異常、緊急停車等；
⑦所需的安全完整性等級；、
⑧目標(biāo)測試周期；
⑨允許的最高無停車率；
⑩SIF的最大響應(yīng)時間要求；手動啟動SIF的要求；
?SIF復(fù)位要求(鎖定或自動復(fù)位)；
?故障診斷的SIF響應(yīng)(自動停車、僅報警或其他)；
?熱機界面要求-變量顯示和輸入；
?旁路維護能力要求；
?跳閘后的平均恢復(fù)，開車時間預(yù)估；
?正常操作和緊急狀態(tài)的環(huán)境條件。
除上述內(nèi)筒外，還應(yīng)根據(jù)不同的應(yīng)用和不同的行業(yè)的不同要求增加相應(yīng)的內(nèi)容。

在確認SRS中的SIF設(shè)計目標(biāo)后，應(yīng)該進行設(shè)備選擇、確認冗余需求、SIF測試技術(shù)、以及SIF的確認計算等。SIF的簡要設(shè)計過程如圖1所示。

圖1 SIF的簡要設(shè)計過程
在設(shè)計階段，通過統(tǒng)計計算來驗證設(shè)計是否滿足所要求的SIL等級。驗證計算遵守IEC61508或ANSI/ISA 84.00.01的規(guī)定，常用的計算方法包括故障樹、馬爾可夫模型等。

2、安全儀表功能設(shè)備的選擇
用于安全儀表功能的設(shè)備，其性能必須完全符合安全功能要求，除應(yīng)選擇適合其工藝的材質(zhì)和滿足環(huán)境條件外，還要求對儀表的功能安全進行評估。所有的設(shè)計調(diào)整和變更均應(yīng)以文件的方式做為項目記錄的一部分保存。

ANSI/ISA-84.00.01中要求用于SIS中的設(shè)備應(yīng)基于IEC61508取得要求的SIL等級的認證,或根據(jù)先驗使用(Prior use)的原則(ANSI/ISA-84.00.01Partl，Section 11.5.3)合理使用。

先驗使用(Prior use)在標(biāo)準(zhǔn)中并沒有詳細定義，通常認為某個儀表的某個版本在用戶公司的多年使用文檔記錄中具有成功的應(yīng)用(無危險故障)記錄，則該儀表也可用于安全儀表功能而不需要安全認證。

先驗使用(Prior Use)要求在用戶的現(xiàn)場使用中所有的現(xiàn)場失效和失效模式都具有完備的記錄，記錄中應(yīng)包括儀表的硬件和軟件版本。設(shè)計的版本變化將可導(dǎo)致先驗使用(Prior use)數(shù)據(jù)的無效。

許多用戶要求儀表制造商提供先驗使用(Prior use)方面的協(xié)助，制造商往往委托第三方公司或機構(gòu)進行不同等級的先驗使用(Ptior use)的評估，評估由第三方公司或機構(gòu)(如TüV，F(xiàn)M或Exida)的專家來完成，通常制造商要求兩個或兩個以上的評估公司共同合作完成評估。

3、產(chǎn)品的功能安全評估方法
①FMEDA評估
儀表的FMEDA評估是指應(yīng)用FMEDA(Failure Modes Effects and Diagnostic)對儀表進行硬件分析，確認儀表的失效率和失效模式。FMEDA是傳統(tǒng)的FMEA的擴展使用，安全工程師可通過采用FMEDA技術(shù)分析得到的數(shù)據(jù)來進行統(tǒng)計計算和安全儀表功能(SIF)的驗證計算。

在FMEDA分析中包括儀表的使用壽命周期和有效的驗證測試(Proof test)方式，驗證測試(Proof test)覆蓋率用于實際的PFH/PFD/PFDavg計算。應(yīng)注意FMEDA分析不能作為選擇產(chǎn)品的充分條件。

②先驗使用(Prior Use)評估
先驗使用(Prior Use)的最初目的是通過獲取現(xiàn)場實際應(yīng)用的故障數(shù)據(jù)來驗證產(chǎn)品的設(shè)計是否存在缺陷。雖然一些制造商通常會幫助用戶提供有關(guān)某設(shè)備的先驗使用(Prior Use)的數(shù)據(jù)和信息，一些制造商還可提供由第三方評估公司或機構(gòu)提供的某一設(shè)備的現(xiàn)場故障記錄評估，但是先驗使用(Prior Use)的評估應(yīng)由最終用戶來負責(zé)。

故障數(shù)據(jù)應(yīng)包括硬件故障和軟件故障，評估應(yīng)包括故障數(shù)據(jù)獲取過程和產(chǎn)品版本的修改過程，制造商必須提供足夠詳細的數(shù)據(jù)獲取過程，以保證數(shù)據(jù)的質(zhì)量。數(shù)據(jù)獲取的方式、報告的完整性和分析的合理性應(yīng)嚴(yán)格審查。

要注意的是，應(yīng)對由現(xiàn)場故障記錄數(shù)據(jù)中計算出的故障率和通過FMEDA分析中得到的數(shù)據(jù)進行比較，如果足夠低于FMEDA數(shù)據(jù)，則證明產(chǎn)品的設(shè)計不存在重大缺陷。此外，考慮到數(shù)據(jù)的完整性，現(xiàn)場故障記錄中的故障率不能用于SIL驗算。

③按照IEC61508進行完整的評估
完整的IEC61508評估包括FMEDA，先驗使用(Prior Usc)和產(chǎn)品硬件和軟件開發(fā)中的故障避免和故障控制手段，同時還包括產(chǎn)品的測試，修改，用戶文件和制造過程的詳細分析。

先驗使用(Prior Use)中的故障數(shù)據(jù)記錄往往不能體現(xiàn)所有的故障數(shù)據(jù)，尤其是系統(tǒng)故障(System errors)，例如軟件故障。某些軟件故障可通過軟件“復(fù)位”或開關(guān)電源來解決，不需要“更換”，因而軟件故障不能在用戶提供給制造商的維修更換報告中完全體現(xiàn)出來。

完整的IEC61508評估保證了系統(tǒng)故障(System errors)數(shù)據(jù)的可靠性。IEC61508定義了多種用于減少系統(tǒng)故障(System errors)的故障避免和故障控制的硬件和軟件技術(shù)，尤其是在產(chǎn)品的IEC65108認證中，會明確地注明產(chǎn)品適用的安全等級、如SIL2或SIL3。

表1 簡要概括了不同評估技術(shù)采用的評估原則。

*視評估機構(gòu)而定，不是所有的第三方機構(gòu)都提供。

4、冗余結(jié)構(gòu)設(shè)計
除了通過合適的設(shè)備選擇以外，還可以通過子系統(tǒng)冗余設(shè)計來滿足所需要的安全頂級。表2是ANSI/ISA-84.00.01給出的有關(guān)現(xiàn)場設(shè)備的最小硬件故障裕度(HFT)與SIF等級的對應(yīng)關(guān)系。

ANSI/ISA-84.00.01給出的有關(guān)現(xiàn)場設(shè)備的最小硬件故障裕度(HFT)與SIF等級的對應(yīng)關(guān)系

表2清楚地說明了可以通過增加硬件故障裕度的方式來獲取較高的SIL等級，如對于SIF中要求SIL2等級的輸入子系統(tǒng)，在設(shè)計中要求采用兩臺變送器；對于SIL3的輸入子系統(tǒng)，則要求采用3臺變送器。

如果產(chǎn)品的選擇基于先驗使用(Prior Use)準(zhǔn)則，并且符合下列限制條件。則在同樣的HFT下可相應(yīng)提高1個SIL等級：
①設(shè)備只允許進行過程相關(guān)參數(shù)調(diào)整(例如，測量試范圍、上限或下限失效指向)；
②過程相關(guān)參數(shù)調(diào)整具有保護手段(如密碼等)；
③SIF的SIL等級要求小于4。
以上說明在一定的限制條件下，1臺先驗使用(Prior Use)的變送器也可以滿足SIL 2的要求，也可以采用1臺取得SIL 2認證的變送器。

對于邏輯處理器(Logic Solver)子系統(tǒng)，通常應(yīng)采用經(jīng)IEC51508認證的產(chǎn)品，認證的SIL等級應(yīng)等同或高于SIF中要求SIL等級。表3是IEC61508給出的B類相關(guān)邏輯處理器SIL等級與硬件故障裕度(HFT)的關(guān)系要求。

IEC61508給出的B類相關(guān)邏輯處理器SIL等級與硬件故障裕度(HFT)的關(guān)系要求

由表3可以得出結(jié)論，如果SFF值足夠高，在不增加HFT的條件下可以獲得較高的安全等級，如當(dāng)SFF＞99%時，HFT=0(單路結(jié)構(gòu))也可達到SIL 3級。

5、SIF的測試技術(shù)和方式
IEC61508對執(zhí)行SIF功能的設(shè)備定義了3種操作模式(表4)：連續(xù)要求操作模式(Continuous Demand)、高要求操作模式(High Demand)和低要求操作模式(Low Demand)，針對3種不同操作模式的設(shè)備，其與測試技術(shù)的關(guān)系是不同的。

①連續(xù)要求操作模式(Continuous Demand)：因為DI≤ATI、DI≤PTI，所以手動驗證測試和自動診斷的測試技術(shù)均不會對單通道系統(tǒng)(1oo1)產(chǎn)生影響，測試技術(shù)僅與冗余系統(tǒng)相關(guān)。
②高要求操作模式(High Demand)：因為DI＞ATI、DI≤PTI，所以自動診斷的測試技術(shù)即使對單通道系統(tǒng)(1oo1)也會產(chǎn)生影響，而手動驗證測試則不會產(chǎn)生影響。
③低要求模式(Low Demand)：因為DI＞ATI、DI＞PTI，所以手動驗證測試和自動診斷的測試技術(shù)都會對系統(tǒng)產(chǎn)生影響，即使是單通道系統(tǒng)(1oo1)。
對于過程工業(yè)領(lǐng)域，多數(shù)情況下的SIF均為低要求操作模式(Low Demand)。特別是在正確設(shè)計了獨立保護層的條件下，更是如此。

6、安全儀表功能(SIF)的驗證
表5是IEC61508規(guī)定的低要求操作模式(Low Demand)下的SIL等級與要求的平均失效概率PFDavg的關(guān)系。

IEC61508規(guī)定的低要求操作模式(Low Demand)下的SIL等級與要求的平均失效概率PFDavg的關(guān)系

對于低要求操作模式(Low Demand)的SIF驗證應(yīng)該包括：定義驗證測試程序；通過預(yù)估驗證診斷覆蓋率，確定驗證測試程序的有效性。具體地，應(yīng)該根據(jù)IEC61508或ANSI/ISA 84.00.01的要求対SIF的設(shè)計進行SIL等級的驗證計算，以確認SIF的最終設(shè)計是否滿足SRS中的設(shè)計要求。計算方法包括故障樹(Fault Trees)分析、馬爾可夫模型(Markov Models)等，并以文件的形式出具驗證報告。

下面以示例簡要地介紹SIL2和SIL3回路系統(tǒng)的典型設(shè)計和驗證計算結(jié)果。
示例1：典型SIL2回路的構(gòu)成如圖2所示。

典型的SIL2回路構(gòu)成圖

SIL2回路配置及驗證計算結(jié)果見表6。

說明：在以上示例中，傳感器子單元選用了1個TüV認證SIL2的安全型變送器，也可以選用1個Prior Use變送器，或2個變送器(1oo2)或3個變送器(2oo3)；最終元件子單元選用了1個具有PST功能的DVC切斷閥，也可以選用2個配有電磁閥的切斷閥(1oo2)；但最終驗證計算結(jié)果符合SIL2等級。

示例2：典型的SIL3回路構(gòu)成如圖3所示。

典型的SIL3回路構(gòu)成圖

SIL3回路配置及驗證計算結(jié)果見表7。

說明：在以上示例中，傳感器子單元選用了2個TüV認證SIL2的安全型變送器，最終元件子單元選用了2個具有PST功能的DVC切斷閥，也可以在傳感器子單元中選用2個Prior Use變送器，或3個變送器(2oo3)。但最終驗證計算結(jié)果符合SIL3等級。

安全儀表系統(tǒng)和安全儀表功能的選擇和設(shè)計是過程工業(yè)安全生命周期中的重要組成部分。為了有效地降低風(fēng)險，保證人身安全、財產(chǎn)安全和環(huán)境安全，安全生命周期的每一階段都至關(guān)重要，無論是分析階段，還是實施和操作階段。最終用戶、工程公司和設(shè)計院只有參照相關(guān)國際標(biāo)準(zhǔn)和規(guī)范設(shè)計要求使用安全儀表系統(tǒng)，才能有效降低風(fēng)險，保證人身安全、財產(chǎn)安全和環(huán)境安全。
作者：姜榮懷，西門子(中國)有限公司

上一篇：儀表人，共享知識和技能掙錢吧！

下一篇：昌暉儀表聊智能儀表通信與工業(yè)網(wǎng)絡(luò)