为安全应用选择仪表设备
国际工业自动化网
摘要: 用户在部署安全仪表系统(SIS)之前,需要对仪表制造商的产品进行第三方机构的安全等级评估。这个工作可以减轻用户用于安全应用的仪表证明文件的负担。本文叙述了四种评估仪表产品的方法。
Abstract:
Key words :
Abstract:
Before end user deploy Safety Instrumented System (SIS), different levels of assessment have been done by third party assessors for instrumentation manufactures. This work can help reduce the burden of documentation when an end user attempts to justfy an instrument for use on safety applications.This paper will outline four levels of assessment for instrumentation products.
Before end user deploy Safety Instrumented System (SIS), different levels of assessment have been done by third party assessors for instrumentation manufactures. This work can help reduce the burden of documentation when an end user attempts to justfy an instrument for use on safety applications.This paper will outline four levels of assessment for instrumentation products.
Key word
FMEDA Prior-use IEC61508
FMEDA Prior-use IEC61508
最终用户必须谨慎地选择用于安全仪表系统(SIS)应用的所有仪表设备。所有要用的仪表设备必须仔细的验证。证明文件应该包括足够的信息,使用户具有足够的信心,保证仪表系统能够很好地实现安全功能。仪表系统必须能够执行所有提出的功能要求,仪表使用的材料必须兼容流程材料,并且具有使用的经验。流程环境条件不能超过仪表系统的额定参数。对仪表的功能安全必须进行评估,所有证明结果必须成文,做为项目记录的一部分。
功能安全评估
IEC 61511是用于流程工业的功能安全标准,要求用于安全仪表系统的设备必须基于 IEC 61508 认证、满足相应的SIL等级或者基于“以往使用”的证明(IEC61511,部分1,段11.5.3)来选择。不幸的是,IEC61511 标准没有给出详细的规范,表出 “以往使用”的实际内容是什么。然而,大多数人同意,如果用户企业已有多年成功经验的文档(无危险失效),已经使用过某种仪表的特定版本,能够提供使用这种仪表的证明,甚至没有安全认证也可以接受为“以往使用”的证据。大多数人同意,以往使用需要在每个站点对系统所有现场的失效和失效模式进行记录。仪表的硬件和软件版本必须与设计保持一致,否则以往使用的经验是无效的。操作条件也必须记录,并且要与设计的安全应用相似。当然,采用以往使用证明的问题是很多流程现场不能保持记录的水平。现在,很多用户希望制造商能帮助他们提供证明。其实,第三方的评估师可以更公正的对仪表制造商进行不同等级的评估。当用户试图证明某个仪表用于安全应用,这项工作可以帮助用户减少制作文件的负担。市场上,对仪表产品的评估有四个等级:
1.根据 IEC 61508 标准对硬件进行失效模式影响和诊断分析(FMEDA)
对硬件的分析被称为失效模式影响和诊断分析(FMEDA),它决定了一个仪表的失效率和失效模式。一个FMEDA是对一个硬件进行详细分析的过程,是对几十年来发展和证明的传统失效模式影响分析(FMEA)过程的扩展。
这项技术首先在电子设备上应用,近年来扩展至机械和机电设备。
这些设备的失效率现在用安全失效分数(SFF),诊断覆盖率(DC)和要求时的平均失效概率(PFDavg)来计算。这些对硬件设备的评估为安全仪表工程师提供了 IEC 61508 / IEC61511 要求的失效数据。有些评估师还进行生命周期的分析,给安全仪表工程师提供机械损耗和到退役的时间周期。有些 FMEDA 分析还扩展到了给出检验测试方法的效果评价。这为安全仪表工程师提供了检验测试的覆盖因素,比PFDavg 的计算更实际。
很多用户认为这个等级是一个第三方评估的最基本、最低的等级。当这个评估等级结合用户的详细评价和以往使用经验后,对有些公司的安全仪表系统应用中的仪表选择已经足够了。
2.按照 IEC 61511 中以往使用的考虑
有些制造商正在帮助用户对他们以往使用的设备评估提供更多的信息。有些制造商已经有第三方对已有设备现场失效记录的评估。考虑了归因于硬件和软件的失效分布。评估还应该有从现场收集的流程和产品更改的数据。
从第三方评估师提供的以往使用报告,可以帮助仪表设计师证明特定仪表的使用符合IEC61511以往使用的标准。然而,对来自不同设备提供商的相似申明,需要进行仔细的复审, 确保他们可以用于特定的应用。以往使用数据必须显示环境的限制和应用的限制。因为制造商不会实际“使用”设备,以往使用方法必须依靠用户收集的数据。用于收集、报告和分析这些数据的方法必须认真地复审。当现场失效记录用于计算失效率时,对记录的内容必须非常仔细地审查,因为现场失效经常不报告。
大多数人同意:来自以往使用报告的信息,在这种设备核准用于安全仪表系统应用前,必须结合用户的详细评价和特定的工厂经验。
3. 结合 FMEDA 和使用证明评估,用严格定义的标准 – exida公司的使用证明
exida 公司已经定义特定扩展标准用于“使用证明” (Proven in Use)评估,能够简单地实现现场失效分析和更改过程复审。这个方法结合了硬件 FMEDA 分析和按严格书写标准收集现场性能的详细研究。当硬件失效率和失效模式分析结合现场失效性能的评估,获得更高等级的信心。它还包括的是制造商现场返回过程的评估,工程改变、变更流程和制造商安全文件。这种方法倾向给用户提供有用信息,结合特定用户应用多年的经验,为特定的流程提供证明。
4. 依照 IEC 61508 进行完整评估
选项4是按照IEC61508的要求进行一次完整地评估。完整的评估包括所有的上述区域并且加上一个在硬件和软件开发期间,详细的测试、变更、用户文件和制造过程所有失效避免和失效控制测量的评估。
一个依照IEC61508的完整评估是一种最有效的全面评估。不幸的是,它变得越来越必要,并且更多的软件加入进仪表系统。由于设计错误(系统错误)的现场失效正不断增加。这其中软件的错误占有了大部分。这种类型的失效是不太可能写入报告反映到制造商,因为“维修”常常是“软件复位”或者电源重启。因此“以往使用”或者基于返回到制造商的现场失效评价技术不是十分有效。
IEC 61508 的很多要求集中在使用世界最好的产品设计方法消除系统错误。为了展示遵从IEC61508的所有要求,要展示一个产品的创建过程中失效控制和失效避免过程的广泛应用。这个特别设计的软件必须能容忍软件失效。IEC61508委员会的成员已经定义了一套实践方法,表现了很好的软件工程实现。他们必须能严格地应用于不同的等级,如仪表产品的安全功能SIL等级。
这个选项适合于新开发的产品或者已经存在的产品。当一个产品已经展示了遵从IEC61508的全部要求,用户就有一个高水平的信心,因为产品是一个依从SIL等级的安全产品。
当一个产品遵从IEC61508的全部要求时,使用中就像产品的“安全手册”提供的没有任何重要的“约束”。一个具厚的安全手册具有长段的详细指令列表,告诉用户怎样使产品“安全”,除非这些限制由用户已经执行,否则制造商的产品可能不满足应用的要求。
以上四种评估技术中的不同点在下表中给出。
评估标准 仅FMEDA Exida 的FMEDA 以往使用 /IEC 61511 Exida 的使用证明标准 IEC 61508 认证
* 依据评估机构 – 不是所有机构都能执行详细的分析
表 1: 常用评估的不同
评估工作通常由第三方的专家诸如 exida、TUV 和 FM 等执行。一般做为仪表制造商的请求,两个或多个公司将会组队进行评估。
用于安全的PLC产品,多数用户需要按IEC61508进行所有认证。对于大多数设备制造商来说,具有全部的认证是一个最基本的要求。
用于现场的设备,使用IEC 61508 的认证是比较少的。然而,随着最近的新产品发布,可以非常清楚地看到:将后将会实现变送器、甚至是阀门的全部认证。
应该注意的是:所有这些评估技术,包括全部 IEC 61508 认证没有评价一个仪表合适于某个特定过程或者过程连接的失效概率。用户必须评价这些问题。在安全关键性应用的用法必须谨慎地证明。
做为安全仪表系统的设计和执行,非常清楚的一点是制造商和用户必须一起工作,才能达到功能性安全。制造商必须规定环境和应用的限制。用户必须把应用中设计使用的产品,不超出仪表本身设计的限制。现场可靠性和安全性能必须与制造商进行沟通,使得任何不曾预料的设计问题可以得到所有方面的理解和认知。
此内容为AET网站原创,未经授权禁止转载。