發布日期:2022-07-14 點擊率:95
摘要
用于過程控制部分的國際標準IEC61511已于2003年發布,它詳細敘述了安全儀表系統(SIS)生命周期里的要求。制造商已經生產出支持這一新技術的產品,可供設計者選擇的傳感器滿足安全要求,遵從新標準,降低整個生命周期的成本。
本文敘述了SIS應用中的傳感器選擇,符合IEC61511標準,最小化生命周期的成本。
關鍵詞
安全儀表 傳感器 經過認證 使用經驗 檢驗測試 故障裕度
Abstract:
The international standard for safety instrumented systems for the process control
sector (IEC 61511) was published in 2003 and details the lifecycle requirements for Safety Instrumented Systems (SIS). New technologies and support from manufacturers are now available that will allow designers to select "sensors" that meet safety requirements in compliance with these new standards while reducing overall lifecycle costs.
This paper will outline the selection of sensors for SIS applications that meet the requirements of IEC 61511 while minimizing lifecycle costs.
Key word
safety instrumented systems Sensor Certified Prior-use Proof-test Fault Tolerance
概述
這篇文章將討論SIS應用中傳感器的分類,這類傳感器滿足IEC61511規范,最小化生命周期中的成本。先討論SIS標準的歷史,然后討論SIS應用中選擇傳感器的標準過程。傳感器選擇包括對兩種選項的深入討論:經過認證和使用經驗。文章還討論了選擇SIS傳感器其他要考慮的問題,諸如產品能力和限制,檢驗測試,安全精度和安全響應時間。
新國際標準-對過程工業的運行增加了價值
1996年,發布了用于安全的國際標準IEC61508。這個國際標準為所有的安全行為建立了一個通用方法。頒布這個通用標準的目的是為今后建立一系列的行業安全國際標準奠定基礎。
2003年,過程工業標準IEC61511頒布。這個標準由代表20多個國家用戶的國際聯盟所起草制定的。這個標準的目的是定義一套用于整個SIS生命周期里的功能規范(標識,設計,安裝,運行、維護和退役),滿足全球過程工業的需求。這個標準有三個部分組成:
IEC 61511-1 框架、定義、系統、硬件和軟件要求;
IEC 61511-2 應用指南;
IEC 61511-3 確定要求的安全完整性等級的指南。
這個標準為過程工業的使用者和集成商提供了非常重要的價值。因為多數全球標準委員會和/或權威機構都期盼采用這個標準,用于他們各自的國家,很多公司現在能夠開發使用安全儀表系統的標準化流程,滿足所有標準提出的要求。這個標準還伴隨有“生命周期”的方法,幫助用戶確保SIS的設計,從概念到退役,滿足工廠運行降低風險的要求。
圖1:IEC61508可以用于任何工業行業,也可以滿足制造行業對SIS的安全要求。IEC61511特定用于過程工業,給出了針對最終用戶和集成商的要求大綱。
圖2:IEC61511-IEC61511和IEC61508的關系
在IEC61511中,提供了大量的陳述,進一步描述使用這兩個標準的證據和應用。
IEC61511列出了用戶和集成商的要求。這個標準要求用于SIS應用的設備制造商和供應商遵循IEC61508部分2(硬件/軟件)和部分3(指南)的要求大綱。這是非常重要的特性。IEC 61511 中陳述:
范圍b):“(這個標準)適用于把滿足IEC61508或IEC61511(使用經驗或經過認證)部分中11.5要求的設備集成到可用于過程領域應用的整體系統中時,但不適用于希望聲明裝置適用于過程領域的安全儀表系統的制造商;”
范圍d):“(這個標準)適用于開發使用有限可變語言或固定程序語言的系統的應用軟件,而不適用于開發嵌入式軟件(系統軟件)或使用全可變語言的制造商、安全儀表系統設計師、集成商和用戶;”
IEC61511清楚地表明用于SIS設備制造商必須遵循IEC61508部分2和3的要求,除非用戶滿足了部分11.5中的“使用經驗”的要求。注意,制造商不能聲明滿足“使用經驗”這個標準,這是用戶的職責。制造商需要遵循IEC61508的“使用經驗”的要求。
對用于安全儀表系統傳感器的要求
IEC61511文件定義了用于SIS的硬件規范要求。硬件分為兩個組,一組僅由可編程電子邏輯解算器(PE邏輯解算器)組成;另一組由非PE設備,傳感器和最終控制部件構成。這是本文討論的重點。根據IEC61511部分11.5.2的內容選擇傳感器和最終控制部件,用戶有兩個選項:
·對于SIL1~SIL3的應用而言,安全儀表系統部件和子系統適合的條件,應符合IEC61508部分2和部分3或者
·符合IEC61511部分11.4和部分11.5.3到11.5.6的要求,基于使用經驗選擇部件和子系統的要求。
圖3:IEC61511的兩個選項,用于選擇SIS的傳感器
設計時選擇IEC61508或者IEC61511使用經驗的不同之處是:對傳感器或者最終部件功能是否適合于SIS應用的需求,由誰負責證據的提供,證據的分界和證據的采用。
[DividePage:NextPage]
下面是一個證據提供的簡單圖解。當使用一個符合IEC61508認證的安全型液位傳感器,設備的能力和限制包括了浸濕部分。用戶負責保證傳感器與過程接口沒有任何未檢測到的失效。這個評估還必須考慮未檢測到失效模式過程可能引起傳感器浸濕部分的物理傷害,諸如水錘,腐蝕,氫滲透或氫脆變。用戶負責決定指派接口的PFD(要求時失效概率)。用戶負責提供所有相關使用經驗條款的證據。用戶決定這些傳感器的PFD、性能和限制。使用經驗評估還包括一個完整過程接口的危險未檢測到失效的評估。
圖4:提供SIS傳感器證據的責任
符合IEC61508部分2和3傳感器的選擇
按IEC61508標準設計的傳感器,表示現場儀表的設計滿足了IEC部分2和3中對硬件、系統和軟件的詳細要求。這個標準使用安全完整性等級(SIL)表,并把它應用于儀表系統設計,做為設備“安全等級”的測量。制造商遵從IEC61508使用的典型方法如下所示:
· 制定安全要求和安全要求規范;
·按部分2的“規則” 設計儀表體系結構和硬件;
·按部分3的“規則”設計、校驗、驗證和控制軟件和系統達到希望的SIL等級(設備安全等級);
·完成故障插入測試校驗診斷;
·執行對變化管理的控制過程;
· 執行制造控制,確保設備的安全不降級;
·完成失效模式影響診斷分析(FMEDA),決定失效率,安全失效分數(SFF)和要求時的失效概率(PFD);
·對特定的PFD,詳述設備“檢驗測試”的要求;
·與認證機構簽約,如何對第三廠家的設計要求、硬件、軟件、系統和設計控制進行復審;
· 由認證機構提交對第三廠家的證明和報告;
·制造商提供一本“安全手冊”文件,使用戶能夠在SIS應用中,正確地使用產品。
制造商把產品提交給認證機構,證明產品滿足所有要求。如果產品確實滿足了要求,認證機構會公布一張證書,證明產品滿足IEC61508的所有要求。下圖是一個認證證書的樣例。證書指明了產品名稱,產品分類和可適用的硬件和軟件SIL等級。
圖5:由TUV認證的傳感器證書樣例,證明傳感器遵從IEC61508部分2和3所列出的要求
認證機構包括了 RWTUV-Augsburg-Germany, TUV Sud, TUV Rhineland, Factory Mutual, USA, 和很多其他機構。在某些情況下,制造商會邀請工業專家幫助產品滿足安全要求。這些專家,比如 EXIDA 或者 Risknowledgy,不是認證機構的人員,但能提供專門的技術滿足IEC 61508要求,幫助實施諸如完成FMEDA過程,制定產品的安全要求。
所有產品都有局限。這些限制在選擇前需要進行檢查。按IEC61508設計產品的限制要在產品安全手冊中列出。安全手冊至少要告訴用戶:產品的安裝、配置和安全操作要求、產品生命周期和維護要求諸如產品例行測試。
傳感器失效數據和PFD信息能夠從產品的FMEDA中直接獲得。如果有下面的情況,測量可能受物理環境的影響,超出了傳感器的認證范圍,諸如由于過程不潔或隔膜密封造成線路脈沖或初級部件阻塞,必須對PFD進行調整。
· 用戶把“按IEC61508設計”傳感器用于SIS具有重要的價值。
· 容易遵從IEC61511,供應商負責提供設備的安全等級文件;
· 保證失效率數據和PFD值有效并且正確;
· SIS應用符合國際標準IEC61508(最小化系統的軟件失效特別重要),保證儀表設計滿足優秀工程實踐;
· 保證制造商在產品生命周期里,有處理“變化管理”的能力;
· 提供的安全手冊和認證報告,可確保SIS的正確執行。
雖然“按IEC61508設計”為SIS設計師增加的價值,但在指定傳感器時必須非常地小心。選擇傳感器的重要問題包括:
· 安全復審和認證不意味著可靠性復審已經完成-“安全”不意味著“可靠”。因此要進行失效率的徹底復審,減少潛在的可能差錯。
· 按IEC61508設計的復審就像“白皮書”分析,沒有操作經驗方面的要求。在SIS應用中使用未經測試、未經證明的設備會帶來非常高的風險。在把傳感器安裝到SIS應用前,用戶應該具有使用設備的經驗。
· 由制造商提供的失效率數據不包含過程接口的失效率。而這在選擇傳感器時是非常重要的。一個高安全失效分數(來自傳感器潛在危險失效的一個低%)不包括諸如線路堵塞、線路冷凍、線路滑塊或氣體滲入的危險失效。
· 用戶必須認真閱讀證明陳述和安全手冊-很多設計需要有效的檢驗或者對它們的使用具有嚴格限制,才能保證安全認證有效性。
基于使用經驗傳感器的選擇
制定IEC61508和IEC61511的國際委員會認為:用戶應該制定證明SIS回路部件的其他標準。因此,包括了使用經驗(也稱為使用證明)的條款。使用經驗條款承認用戶的方法論,接受不是按IEC61508部分2和3設計的傳感器和控制器部件用于SIS應用。
IEC61511中對使用經驗的條款有下面陳述:
IEC61511-1,部分11.5.3.1:“應提供部件和子系統適用于該安全儀表系統的適當證據”。用于傳感器的“適當證據”必須要有相關的證明文件。(參考IEC61511-1,部分11.5.3.2):
· 制造商的質量、管理和配置管理系統的考慮;
o 這個條款要求設備的制造商確認,具有保證產品一致性的質量系統和當硬件和軟件變更時,具有變化系統的管理。
· 部件或子系統滿足要求的標識和規范;
o 這個條款要求使用經驗產品具有硬件和軟件資格標識。意圖是當制造商更改產品時,讓用戶知道和評估SIF(安全儀表功能)影響。
· 在類似操作行規和實際環境中部件或子系統性能的證明;
o 這個條款要求資格設備證明一直在現場操作并且與設計的SIS物理環境相似。這個條款的意圖是確認PFD計算與設計的應用計算相同。
· 大量的操作經驗;
o 這個條款要求證明產品連續性能評估的證據。這個條款的意圖是確保用戶在初始檢驗后能連續監視產品。
為了滿足這些要求,標準允許用戶對操作經驗進行成文,從基本流程控制應用到SIS應用。然而,標準要求操作經驗與計劃的SIS應用條件相同,收集的數據具有統計意義。另外,只有用戶能夠建立針對IEC61511的使用經驗;供應商不能做這種申明。
使用經驗的傳感器對PFD貢獻必須由用戶來計算。用戶能夠使用制造商產品的FMEDA做為起始點,然后用流程條件調整或確認計算PFD,但不能直接使用FMEDA中的數據而不做其他考慮。
用戶把“按IEC61508設計”的傳感器用于SIS具有重要的價值。
· 傳感器具有知名的可靠性;
· 傳感器已經被設計師和維護技師所熟悉;
· 傳感器具有SIS和BPCS(基本過程控制系統)的使用實踐;
· 對維護人員不需外加的培訓;
· 節省備件清單的種類;
· 傳感器失效歷史一般包括過程接口的失效。
這就是為什么IEC61511僅允許用戶建立使用經驗,不是制造商或者供應商。用戶知道更多關于這些傳感器在現場的執行情況。
IEC61511-1,范圍b):適用于把滿足IEC61508或者IEC61511部分中11.5要求的設備(使用經驗或使用證明)集成到可用于過程領域應用的整體系統中時,但并不適用于希望申明裝置適用于過程領域的安全儀表系統的制造商。
雖然“使用經驗”對用戶提供了一些優勢,但也有很多隱含的成本和風險,因此用戶必須:
· 在傳感器操作小時、環境和失效率方面維護文件,結果會增加維護成本(MaintEx);
· 使用經驗變化影響的監視管理。由于部件變化、或者增加特性、或者降低成本,制造商會不斷改進傳感器。這些變化對傳感器操作能力的影響需要重新評估,做為證明文件申明。有些情況下,型狀、安裝、或者功能的變化可能否定以前所有的證據,檢驗過程必須從頭再進行一遍(CapEx,MaintEx)。
傳感器選擇和它對硬件故障裕度的影響
故障裕度定義為一個部件或子系統在有一個或幾個硬件危險故障的情況下,仍能繼續承擔所要求的儀表安全功能的能力。這個能力由需要冗余傳感器的最小數量來表示。按SIL的要求見IEC61511-1的表6所示。這個表的第一列為SIL等級,第二列為故障裕度最小值。比如,一個SIL 2 應用需要一個冗余傳感器。一個SIL 3應用需要兩個冗余傳感器。
IEC 61511 表6:用于傳感器、最終部件和非可編程電子邏輯解算器的硬件故障裕度
硬件故障裕度要求不影響認證或使用經驗傳感器的選擇
對于使用經驗傳感器,IEC 61511部分11.4.4陳述:當使用的裝置符合所有下列各項時,表6中規定的除PE(可編程電子)邏輯解算器以外所有子系統(如傳感器、最終部件和非PE邏輯解算器),最低硬件故障裕度可減1:
· 根據使用經驗選擇設備硬件;
· 設備只允許調整過程參數;如測量范圍、上下限失效指示;
· 設備過程參數的調整要受保護,如跳線、密碼等。
按IEC61508、IEC61511部分11.4.5設計的設備陳述為:若根據IEC61508-2的表2和表3進行一次評估,則可使用替代的故障裕度要求。這個陳述指示用戶可根據IEC61508硬件故障裕度表選擇類型A或者類型B設備。這些表根據安全失效分數(SFF)指定需要冗余傳感器的數量。已知一個設備按IEC61508要求設計,SFF>90%,表3(類型B設備)展示了和IEC61511表6中減1相同的故障裕度要求 。
IEC 61508 表 2: 硬件安全完整性:B類安全相關子系統的結構約束
[DividePage:NextPage]
這個標準下一步要求設計師復審所有過程接口可能引起危險失效條件的影響。對于傳感器,這些內容包括線路泄漏、冷凍、氣體滲透等等。如果存在潛在的危險失效,故障裕度必須加1。
圖 6:對被認證的設備需要清潔的接口做故障裕度信用
下面的表(表1)是調整過的硬件故障裕度表,是減1的故障裕度。它可以用于滿足使用經驗要求或被認證SFF>90%并清潔接口過程的傳感器。
表 1 -帶信用的硬件故障裕度表
應該知道的是:當考慮使用允許的信用時,安全和可用性經常交換使用。
公共原因/公共模式/系統失效
雖然公共原因和公共模式在定義標準中稍微有些不同,公共原因和公共模式使用起來是同義的。這些失效定義為失效影響冗余系統兩個或多個通道。一個這樣的例子是電磁干擾會影響傳感器。如果這種傳感器使用2oo3表決機制,這些傳感器暴露在電磁區域,現場影響可能是消極的,影響所有傳感器的輸出,引起相同的錯誤結果和可能不安全的條件。另一些公共原因引起刺激的例子如溫度瞬時變化、物理沖擊、振動、設計錯誤、或維護錯誤。定義公共原因的術語是β因數,并且用百分數表示。β因數可以由第三方公司或者用戶來計算。對于冗余系統首先計算PFD,然后乘以β因數,最后把結果加到回路PFD。
有些用戶使用多種傳感器(不同技術或者不同的供應商)會降低β因數。這典型涉及到傳感器的多樣性。雖然理論上是非常好,但必須考慮產品的維護和對系統運行的影響。
傳感器能力和限制
當選擇傳感器時,除了迄今為止討論的內容,還有很多要考慮的問題,最重要的是產品的能力和限制,維護和操作人員的能力和限制,維護“做為設計”用于SIS的功能安全。
按IEC61508設計傳感器的能力和限制應該寫在產品安全手冊的要求之中。重要的主題包括檢驗測試、安全精度、安全響應時間和不安全模式的操作。
檢驗測試:
IEC61511條款16.2.2要求制定的維護規程確保遵從SIL。計劃的主要部分是決定檢驗測試和設定檢驗間隔。檢驗測試是用于SIS應用部件的IEC61511要求,并且是用于回路部件的IEC61508認證過程。制造商制定認證傳感器的測試不是在危險不被檢測失效模式。檢驗測試在產品安全手冊中給出,并且表示覆蓋的百分比。這個百分比是計算的一部分,用于維護SIL等級和遵從PFD。
圖 7:設計檢驗測試發現危險不被檢測的失效
考慮的事情是檢測的復雜性,在檢測期間需要旁路SIS,危險事件造成的結果和多長時間執行一次檢測。所有這些都非常重要,就像維護行為造成的失效會驅動SIS動作并且停止工廠部分或者全部的生產。理想的傳感器應該可以容易檢驗,測試周期等于或者大于正常停止的間隔。允許傳感器的測試離線進行。
使用經驗傳感器的檢驗測試由用戶制定。使用經驗檢驗測試也不特殊設計對檢測傳感器的特定不被檢測危險故障,就像這里的分析不是使用經驗傳感器資格的一部分。通常使用日常維護,來證明傳感器的資格。測試就像對設備進行簡單的校準一樣容易和熟悉。簡單是有吸引力的,但問題是你不知道是否太頻繁、不夠頻繁、或者沒有測試到正常的失效。幸運的是,制造商已經認識到這一點,并且把FMEDA分析范圍擴大,包括傳感器的檢驗。
安全精度:
安全精度與傳感器精度是不同的。有些認證的智能安全傳感器滿足IEC61508部分2和3,在傳感器內具有反饋機制,比較實際的mA輸出和數字輸出。另外能夠設定一個閥值,在認為輸出危險不被檢測或者不安全前,允許關鍵部件一定量的漂移。傳感器安全精度的典型值為2-5%。
圖 8:智能傳感器帶輸出比較器的基本功能框圖
安全響應時間:
與安全精度相似,安全響應時間一般是與傳感器響應時間不同的。傳感器響應時間是從輸入傳感器變化到輸出響應這個變化使用的時間。安全響應時間是傳感器響應時間加上運行所有診斷所用的時間。典型的安全響應時間為1-5秒鐘。
一個有資格傳感器的能力和限制由用戶使用經驗的條款來定義。這可能產生潛在安全問題,就像用戶可能不知道傳感器所有的能力、限制、或者失效模式。幸運的是制造商已經知到這種需求,把特定傳感器安全使用的能力和限制信息給予用戶,提供不按IEC61508設計產品的安全手冊。
選擇用于SIS系統傳感器的其他考慮
當選擇特定的傳感器類型和制造商時,對于一個SIS的設計師還有其他內容要考慮。用于SIS的傳感器,特別重要的考慮是:
過程工業使用的智能變送器等級超過其他行業:
用于SIS應用的壓力和溫度變送器是過程行業中使用等級最好的傳感器。這些設備按照高可靠性過程等級應用和環境設計,具有很好的安裝性能和響應時間、短的平均修復時間(MTTR)。智能變送器能提供連續的電子信號,因此,如果沒有接收到信號或者變送器內部發生報警時,可以被SIS邏輯解算器檢測到。
安裝實踐:
傳感器的合理設計和安裝對于確保安全是非常重要的。比如,過程對傳感器的相關影響,諸如過程線路堵塞、腐蝕或者氣體滲透會引起傳感器的危險失效條件。正確安裝實踐能夠減少或者消除這些系統隱患。
結論
總之,有兩個用于SIS的國際標準。IEC61508由SIS的設備制造商使用。IEC61511由SIS系統的集成商和用戶使用。
IEC61511要求用戶選擇傳感器基于“按IEC61508設計”或者基于“使用經驗”。兩種方法各有優缺點。
“最佳實踐”方法應該是結合上述兩種元素的綜合。
·SIS傳感器應該具有BPCS和SIS的公共特性;
·使用經驗或者按IEC61508設計傳感器應該有現場使用的光輝歷史;
·制造商應該提供重要文件支持使用經驗的傳感器:
o 質量證明和變化系統的管理;
o FMEDA;
o 可靠性和性能數據;
o 硬件和軟件升級注釋;
o 檢測要求。
·傳感器檢測間隔應該等于或者大于工廠停機時間表;
·對比基本過程控制系統,用于SIS的傳感器不應增加安裝、調試、或者檢測要求;
供應商滿足這些要求將允許你執行“最佳實踐”選擇用于SIS的傳感器。這個實踐確保滿足安全要求,而最小化生命周期中的成本。
(羅克韋爾自動化(中國)有限公司 華镕)
下一篇: PLC、DCS、FCS三大控
上一篇: 互感器檢定操作步驟
