干货|安全仪表功能SIF的实现和验证过程

2019/12/23 12:35:22 人评论 次浏览 分类:热点聚焦  文章地址:http://yunrun.com.cn/news/1713.html

本文结合国际安全标准IEC61508、IEC61511及ANAI/ISA-84.00.01 (IEC61511 Mod)介绍了过程工业安全生命周期中通过安全仪表系统(SIS)实现安全仪表功能(SIF)的设计方法、功能安全设备的评估和选择、SIL的实现和安全功能的验证。

分析阶段是IEC61511安全生命周期中的重要阶段,根据安全要求规范中的安全仪表功能(SIF)要求,合理设计安全仪表系统(SIS),选择合适的功能安全设备、并基于诊断和测试技术进行安全仪表功能的验证和确认是分析阶段中至关重要的环节。本文将结合安全标准和规范要求,主要介绍安全仪表功能的实现和验证过程。

1、安全仪表功能(SIF)的实现过程
安全仪表系统(SIS)的安全仪表功能(SIF)的设计要根据安全仪表要求规范(SRS)来完成。作为IEC61511中安全生命周期的重要性文件,SRS包括了所有安全仪表功能(SIF)设计的完整要求明细,主要包括以下内容:
①危险及其后果;
②危险性事件的概率;
③相应的PID
④过程测量参数及跳闸点;
⑤主设备和辅助设备的响应要求;
⑥过程测量和输出的关系,包括逻辑、算法功能和允许性-定义到所有的操作模式,例如开车、正常、异常、紧急停车等;
⑦所需的安全完整性等级;、
⑧目标测试周期;
⑨允许的最高无停车率;
⑩SIF的最大响应时间要求;手动启动SIF的要求;
⑪SIF复位要求(锁定或自动复位);
⑫故障诊断的SIF响应(自动停车、仅报警或其他);
⑬热机界面要求-变量显示和输入;
⑭旁路维护能力要求;
⑮跳闸后的平均恢复,开车时间预估;
⑯正常操作和紧急状态的环境条件。
除上述内筒外,还应根据不同的应用和不同的行业的不同要求增加相应的内容。

在确认SRS中的SIF设计目标后,应该进行设备选择、确认冗余需求、SIF测试技术、以及SIF的确认计算等。SIF的简要设计过程如图1所示。
SIF的简要设计过程
                                                           图1    SIF的简要设计过程
在设计阶段,通过统计计算来验证设计是否满足所要求的SIL等级。验证计算遵守IEC61508或ANSI/ISA 84.00.01的规定,常用的计算方法包括故障树、马尔可夫模型等。

2、安全仪表功能设备的选择
用于安全仪表功能的设备,其性能必须完全符合安全功能要求,除应选择适合其工艺的材质和满足环境条件外,还要求对仪表的功能安全进行评估。所有的设计调整和变更均应以文件的方式做为项目记录的一部分保存。

ANSI/ISA-84.00.01中要求用于SIS中的设备应基于IEC61508取得要求的SIL等级的认证,或根据先验使用(Prior use)的原则(ANSI/ISA-84.00.01Partl,Section 11.5.3)合理使用。

先验使用(Prior use)在标准中并没有详细定义,通常认为某个仪表的某个版本在用户公司的多年使用文档记录中具有成功的应用(无危险故障)记录,则该仪表也可用于安全仪表功能而不需要安全认证。

先验使用(Prior Use)要求在用户的现场使用中所有的现场失效和失效模式都具有完备的记录,记录中应包括仪表的硬件和软件版本。设计的版本变化将可导致先验使用(Prior use)数据的无效。

许多用户要求仪表制造商提供先验使用(Prior use)方面的协助,制造商往往委托第三方公司或机构进行不同等级的先验使用(Ptior use)的评估,评估由第三方公司或机构(如TÜV,FM或Exida)的专家来完成,通常制造商要求两个或两个以上的评估公司共同合作完成评估。

3、产品的功能安全评估方法
①FMEDA评估
仪表的FMEDA评估是指应用FMEDA(Failure Modes Effects and Diagnostic)对仪表进行硬件分析,确认仪表的失效率和失效模式。FMEDA是传统的FMEA的扩展使用,安全工程师可通过采用FMEDA技术分析得到的数据来进行统计计算和安全仪表功能(SIF)的验证计算。

在FMEDA分析中包括仪表的使用寿命周期和有效的验证测试(Proof test)方式,验证测试(Proof test)覆盖率用于实际的PFH/PFD/PFDavg计算。应注意FMEDA分析不能作为选择产品的充分条件。

②先验使用(Prior Use)评估
先验使用(Prior Use)的最初目的是通过获取现场实际应用的故障数据来验证产品的设计是否存在缺陷。虽然一些制造商通常会帮助用户提供有关某设备的先验使用(Prior Use)的数据和信息,一些制造商还可提供由第三方评估公司或机构提供的某一设备的现场故障记录评估,但是先验使用(Prior Use)的评估应由最终用户来负责。

故障数据应包括硬件故障和软件故障,评估应包括故障数据获取过程和产品版本的修改过程,制造商必须提供足够详细的数据获取过程,以保证数据的质量。数据获取的方式、报告的完整性和分析的合理性应严格审查。

要注意的是,应对由现场故障记录数据中计算出的故障率和通过FMEDA分析中得到的数据进行比较,如果足够低于FMEDA数据,则证明产品的设计不存在重大缺陷。此外,考虑到数据的完整性,现场故障记录中的故障率不能用于SIL验算

③按照IEC61508进行完整的评估
完整的IEC61508评估包括FMEDA,先验使用(Prior Usc)和产品硬件和软件开发中的故障避免和故障控制手段,同时还包括产品的测试,修改,用户文件和制造过程的详细分析。

先验使用(Prior Use)中的故障数据记录往往不能体现所有的故障数据,尤其是系统故障(System errors),例如软件故障。某些软件故障可通过软件“复位”或开关电源来解决,不需要“更换”,因而软件故障不能在用户提供给制造商的维修更换报告中完全体现出来。

完整的IEC61508评估保证了系统故障(System errors)数据的可靠性。IEC61508定义了多种用于减少系统故障(System errors)的故障避免和故障控制的硬件和软件技术,尤其是在产品的IEC65108认证中,会明确地注明产品适用的安全等级、如SIL2或SIL3。

表1  简要概括了不同评估技术采用的评估原则。
不同评估技术采用的评估原则
*视评估机构而定,不是所有的第三方机构都提供。

4、冗余结构设计
除了通过合适的设备选择以外,还可以通过子系统冗余设计来满足所需要的安全顶级。表2是ANSI/ISA-84.00.01给出的有关现场设备的最小硬件故障裕度(HFT)与SIF等级的对应关系。
ANSI/ISA-84.00.01给出的有关现场设备的最小硬件故障裕度(HFT)与SIF等级的对应关系
表2清楚地说明了可以通过增加硬件故障裕度的方式来获取较高的SIL等级,如对于SIF中要求SIL2等级的输入子系统,在设计中要求采用两台变送器;对于SIL3的输入子系统,则要求采用3台变送器。

如果产品的选择基于先验使用(Prior Use)准则,并且符合下列限制条件。则在同样的HFT下可相应提高1个SIL等级:
①设备只允许进行过程相关参数调整(例如,测量试范围、上限或下限失效指向);
②过程相关参数调整具有保护手段(如密码等);
③SIF的SIL等级要求小于4。
以上说明在一定的限制条件下,1台先验使用(Prior Use)的变送器也可以满足SIL 2的要求,也可以采用1台取得SIL 2认证的变送器。

对于逻辑处理器(Logic Solver)子系统,通常应采用经IEC51508认证的产品,认证的SIL等级应等同或高于SIF中要求SIL等级。表3是IEC61508给出的B类相关逻辑处理器SIL等级与硬件故障裕度(HFT)的关系要求。
IEC61508给出的B类相关逻辑处理器SIL等级与硬件故障裕度(HFT)的关系要求
由表3可以得出结论,如果SFF值足够高,在不增加HFT的条件下可以获得较高的安全等级,如当SFF>99%时,HFT=0(单路结构)也可达到SIL 3级。

5、SIF的测试技术和方式
IEC61508对执行SIF功能的设备定义了3种操作模式(表4):连续要求操作模式(Continuous Demand)、高要求操作模式(High Demand)和低要求操作模式(Low Demand),针对3种不同操作模式的设备,其与测试技术的关系是不同的。

①连续要求操作模式(Continuous Demand):因为DI≤ATI、DI≤PTI,所以手动验证测试和自动诊断的测试技术均不会对单通道系统(1oo1)产生影响,测试技术仅与冗余系统相关。
②高要求操作模式(High Demand):因为DI>ATI、DI≤PTI,所以自动诊断的测试技术即使对单通道系统(1oo1)也会产生影响,而手动验证测试则不会产生影响。
③低要求模式(Low Demand):因为DI>ATI、DI>PTI,所以手动验证测试和自动诊断的测试技术都会对系统产生影响,即使是单通道系统(1oo1)。
对于过程工业领域,多数情况下的SIF均为低要求操作模式(Low Demand)。特别是在正确设计了独立保护层的条件下,更是如此。

6、安全仪表功能(SIF)的验证
表5是IEC61508规定的低要求操作模式(Low Demand)下的SIL等级与要求的平均失效概率PFDavg的关系。
IEC61508规定的低要求操作模式(Low Demand)下的SIL等级与要求的平均失效概率PFDavg的关系
对于低要求操作模式(Low Demand)的SIF验证应该包括:定义验证测试程序;通过预估验证诊断覆盖率,确定验证测试程序的有效性。具体地,应该根据IEC61508或ANSI/ISA 84.00.01的要求対SIF的设计进行SIL等级的验证计算,以确认SIF的最终设计是否满足SRS中的设计要求。计算方法包括故障树(Fault Trees)分析、马尔可夫模型(Markov Models)等,并以文件的形式出具验证报告。

下面以示例简要地介绍SIL2和SIL3回路系统的典型设计和验证计算结果。
示例1:典型SIL2回路的构成如图2所示。

典型的SIL2回路构成图

SIL2回路配置及验证计算结果见表6。
SIL2回路配置及验证计算结果
说明:在以上示例中,传感器子单元选用了1个TÜV认证SIL2的安全型变送器,也可以选用1个Prior Use变送器,或2个变送器(1oo2)或3个变送器(2oo3);最终元件子单元选用了1个具有PST功能的DVC切断阀,也可以选用2个配有电磁阀的切断阀(1oo2);但最终验证计算结果符合SIL2等级。

示例2:典型的SIL3回路构成如图3所示。

典型的SIL3回路构成图

SIL3回路配置及验证计算结果见表7。
SIL3回路配置及验证计算结果
说明:在以上示例中,传感器子单元选用了2个TÜV认证SIL2的安全型变送器,最终元件子单元选用了2个具有PST功能的DVC切断阀,也可以在传感器子单元中选用2个Prior Use变送器,或3个变送器(2oo3)。但最终验证计算结果符合SIL3等级。

安全仪表系统和安全仪表功能的选择和设计是过程工业安全生命周期中的重要组成部分。为了有效地降低风险,保证人身安全、财产安全和环境安全,安全生命周期的每一阶段都至关重要,无论是分析阶段,还是实施和操作阶段。最终用户、工程公司和设计院只有参照相关国际标准和规范设计要求使用安全仪表系统,才能有效降低风险,保证人身安全、财产安全和环境安全。
作者:姜荣怀,西门子(中国)有限公司

共有访客发表了评论 网友评论

  客户姓名:
邮箱或QQ:
验证码: 看不清楚?