分析階段是IEC61511安全生命周期中的重要階段,根據安全要求規范中的安全儀表功能(SIF)要求,合理設計安全儀表系統(SIS),選擇合適的功能安全設備、并基于診斷和測試技術進行安全儀表功能的驗證和確認是分析階段中至關重要的環節。本文將結合安全標準和規范要求,主要介紹安全儀表功能的實現和驗證過程。
1、安全儀表功能(SIF)的實現過程
安全儀表系統(SIS)的安全儀表功能(SIF)的設計要根據安全儀表要求規范(SRS)來完成。作為IEC61511中安全生命周期的重要性文件,SRS包括了所有安全儀表功能(SIF)設計的完整要求明細,主要包括以下內容:
①危險及其后果;
②危險性事件的概率;
③相應的PID;
④過程測量參數及跳閘點;
⑤主設備和輔助設備的響應要求;
⑥過程測量和輸出的關系,包括邏輯、算法功能和允許性-定義到所有的操作模式,例如開車、正常、異常、緊急停車等;
⑦所需的安全完整性等級;、
⑧目標測試周期;
⑨允許的最高無停車率;
⑩SIF的最大響應時間要求;手動啟動SIF的要求;
?SIF復位要求(鎖定或自動復位);
?故障診斷的SIF響應(自動停車、僅報警或其他);
?熱機界面要求-變量顯示和輸入;
?旁路維護能力要求;
?跳閘后的平均恢復,開車時間預估;
?正常操作和緊急狀態的環境條件。
除上述內筒外,還應根據不同的應用和不同的行業的不同要求增加相應的內容。
在確認SRS中的SIF設計目標后,應該進行設備選擇、確認冗余需求、SIF測試技術、以及SIF的確認計算等。SIF的簡要設計過程如圖1所示。
圖1 SIF的簡要設計過程
在設計階段,通過統計計算來驗證設計是否滿足所要求的SIL等級。驗證計算遵守IEC61508或ANSI/ISA 84.00.01的規定,常用的計算方法包括故障樹、馬爾可夫模型等。
2、安全儀表功能設備的選擇
用于安全儀表功能的設備,其性能必須完全符合安全功能要求,除應選擇適合其工藝的材質和滿足環境條件外,還要求對儀表的功能安全進行評估。所有的設計調整和變更均應以文件的方式做為項目記錄的一部分保存。
ANSI/ISA-84.00.01中要求用于SIS中的設備應基于IEC61508取得要求的SIL等級的認證,或根據先驗使用(Prior use)的原則(ANSI/ISA-84.00.01Partl,Section 11.5.3)合理使用。
先驗使用(Prior use)在標準中并沒有詳細定義,通常認為某個儀表的某個版本在用戶公司的多年使用文檔記錄中具有成功的應用(無危險故障)記錄,則該儀表也可用于安全儀表功能而不需要安全認證。
先驗使用(Prior Use)要求在用戶的現場使用中所有的現場失效和失效模式都具有完備的記錄,記錄中應包括儀表的硬件和軟件版本。設計的版本變化將可導致先驗使用(Prior use)數據的無效。
許多用戶要求儀表制造商提供先驗使用(Prior use)方面的協助,制造商往往委托第三方公司或機構進行不同等級的先驗使用(Ptior use)的評估,評估由第三方公司或機構(如TüV,FM或Exida)的專家來完成,通常制造商要求兩個或兩個以上的評估公司共同合作完成評估。
3、產品的功能安全評估方法
①FMEDA評估
儀表的FMEDA評估是指應用FMEDA(Failure Modes Effects and Diagnostic)對儀表進行硬件分析,確認儀表的失效率和失效模式。FMEDA是傳統的FMEA的擴展使用,安全工程師可通過采用FMEDA技術分析得到的數據來進行統計計算和安全儀表功能(SIF)的驗證計算。
在FMEDA分析中包括儀表的使用壽命周期和有效的驗證測試(Proof test)方式,驗證測試(Proof test)覆蓋率用于實際的PFH/PFD/PFDavg計算。應注意FMEDA分析不能作為選擇產品的充分條件。
②先驗使用(Prior Use)評估
先驗使用(Prior Use)的最初目的是通過獲取現場實際應用的故障數據來驗證產品的設計是否存在缺陷。雖然一些制造商通常會幫助用戶提供有關某設備的先驗使用(Prior Use)的數據和信息,一些制造商還可提供由第三方評估公司或機構提供的某一設備的現場故障記錄評估,但是先驗使用(Prior Use)的評估應由最終用戶來負責。
故障數據應包括硬件故障和軟件故障,評估應包括故障數據獲取過程和產品版本的修改過程,制造商必須提供足夠詳細的數據獲取過程,以保證數據的質量。數據獲取的方式、報告的完整性和分析的合理性應嚴格審查。
要注意的是,應對由現場故障記錄數據中計算出的故障率和通過FMEDA分析中得到的數據進行比較,如果足夠低于FMEDA數據,則證明產品的設計不存在重大缺陷。此外,考慮到數據的完整性,現場故障記錄中的故障率不能用于SIL驗算。
③按照IEC61508進行完整的評估
完整的IEC61508評估包括FMEDA,先驗使用(Prior Usc)和產品硬件和軟件開發中的故障避免和故障控制手段,同時還包括產品的測試,修改,用戶文件和制造過程的詳細分析。
先驗使用(Prior Use)中的故障數據記錄往往不能體現所有的故障數據,尤其是系統故障(System errors),例如軟件故障。某些軟件故障可通過軟件“復位”或開關電源來解決,不需要“更換”,因而軟件故障不能在用戶提供給制造商的維修更換報告中完全體現出來。
完整的IEC61508評估保證了系統故障(System errors)數據的可靠性。IEC61508定義了多種用于減少系統故障(System errors)的故障避免和故障控制的硬件和軟件技術,尤其是在產品的IEC65108認證中,會明確地注明產品適用的安全等級、如SIL2或SIL3。
表1 簡要概括了不同評估技術采用的評估原則。
*視評估機構而定,不是所有的第三方機構都提供。
4、冗余結構設計
除了通過合適的設備選擇以外,還可以通過子系統冗余設計來滿足所需要的安全頂級。表2是ANSI/ISA-84.00.01給出的有關現場設備的最小硬件故障裕度(HFT)與SIF等級的對應關系。
表2清楚地說明了可以通過增加硬件故障裕度的方式來獲取較高的SIL等級,如對于SIF中要求SIL2等級的輸入子系統,在設計中要求采用兩臺變送器;對于SIL3的輸入子系統,則要求采用3臺變送器。
如果產品的選擇基于先驗使用(Prior Use)準則,并且符合下列限制條件。則在同樣的HFT下可相應提高1個SIL等級:
①設備只允許進行過程相關參數調整(例如,測量試范圍、上限或下限失效指向);
②過程相關參數調整具有保護手段(如密碼等);
③SIF的SIL等級要求小于4。
以上說明在一定的限制條件下,1臺先驗使用(Prior Use)的變送器也可以滿足SIL 2的要求,也可以采用1臺取得SIL 2認證的變送器。
對于邏輯處理器(Logic Solver)子系統,通常應采用經IEC51508認證的產品,認證的SIL等級應等同或高于SIF中要求SIL等級。表3是IEC61508給出的B類相關邏輯處理器SIL等級與硬件故障裕度(HFT)的關系要求。
由表3可以得出結論,如果SFF值足夠高,在不增加HFT的條件下可以獲得較高的安全等級,如當SFF>99%時,HFT=0(單路結構)也可達到SIL 3級。
5、SIF的測試技術和方式
IEC61508對執行SIF功能的設備定義了3種操作模式(表4):連續要求操作模式(Continuous Demand)、高要求操作模式(High Demand)和低要求操作模式(Low Demand),針對3種不同操作模式的設備,其與測試技術的關系是不同的。
①連續要求操作模式(Continuous Demand):因為DI≤ATI、DI≤PTI,所以手動驗證測試和自動診斷的測試技術均不會對單通道系統(1oo1)產生影響,測試技術僅與冗余系統相關。
②高要求操作模式(High Demand):因為DI>ATI、DI≤PTI,所以自動診斷的測試技術即使對單通道系統(1oo1)也會產生影響,而手動驗證測試則不會產生影響。
③低要求模式(Low Demand):因為DI>ATI、DI>PTI,所以手動驗證測試和自動診斷的測試技術都會對系統產生影響,即使是單通道系統(1oo1)。
對于過程工業領域,多數情況下的SIF均為低要求操作模式(Low Demand)。特別是在正確設計了獨立保護層的條件下,更是如此。
6、安全儀表功能(SIF)的驗證
表5是IEC61508規定的低要求操作模式(Low Demand)下的SIL等級與要求的平均失效概率PFDavg的關系。
對于低要求操作模式(Low Demand)的SIF驗證應該包括:定義驗證測試程序;通過預估驗證診斷覆蓋率,確定驗證測試程序的有效性。具體地,應該根據IEC61508或ANSI/ISA 84.00.01的要求対SIF的設計進行SIL等級的驗證計算,以確認SIF的最終設計是否滿足SRS中的設計要求。計算方法包括故障樹(Fault Trees)分析、馬爾可夫模型(Markov Models)等,并以文件的形式出具驗證報告。
下面以示例簡要地介紹SIL2和SIL3回路系統的典型設計和驗證計算結果。
示例1:典型SIL2回路的構成如圖2所示。
SIL2回路配置及驗證計算結果見表6。
說明:在以上示例中,傳感器子單元選用了1個TüV認證SIL2的安全型變送器,也可以選用1個Prior Use變送器,或2個變送器(1oo2)或3個變送器(2oo3);最終元件子單元選用了1個具有PST功能的DVC切斷閥,也可以選用2個配有電磁閥的切斷閥(1oo2);但最終驗證計算結果符合SIL2等級。
示例2:典型的SIL3回路構成如圖3所示。
SIL3回路配置及驗證計算結果見表7。
說明:在以上示例中,傳感器子單元選用了2個TüV認證SIL2的安全型變送器,最終元件子單元選用了2個具有PST功能的DVC切斷閥,也可以在傳感器子單元中選用2個Prior Use變送器,或3個變送器(2oo3)。但最終驗證計算結果符合SIL3等級。
安全儀表系統和安全儀表功能的選擇和設計是過程工業安全生命周期中的重要組成部分。為了有效地降低風險,保證人身安全、財產安全和環境安全,安全生命周期的每一階段都至關重要,無論是分析階段,還是實施和操作階段。最終用戶、工程公司和設計院只有參照相關國際標準和規范設計要求使用安全儀表系統,才能有效降低風險,保證人身安全、財產安全和環境安全。
作者:姜榮懷,西門子(中國)有限公司
