按IEC61511标准选择安全仪表系统的传感器

按IEC61511标准选择安全仪表系统的传感器圈子类别：现场仪表(晴天)2010-5-414:46:00[我要评论][加入收藏][加入圈子]概述这篇文章将讨论SIS应用中传感器的分类，这类传感器满足IEC61511规范，最小化生命周期中的成本。先讨论SIS标准的历史，然后讨论SIS应用中选择传感器的标准过程。传感器选择包括对两种选项的深入讨论：经过认证和以往使用。文章还讨论了选择SIS传感器其他要考虑的问题，诸如产品能力和限制，检验测试，安全精度和安全响应时间。新国际标准－对过程工业的运行增加了价值1996年，发布了用于安全的国际标准IEC61508。这个国际标准为所有的安全行为建立了一个通用方法。颁布这个通用标准的目的是为今后建立一系列的行业安全国际标准奠定基础。2003年，过程工业标准IEC61511颁布。这个标准由代表20多个国家用户的国际联盟所起草制定的。这个标准的目的是定义一套用于整个SIS生命周期里的功能规范（标识，设计，安装，运行、维护和退役），满足全球过程工业的需求。这个标准有三个部分组成：IEC61511-1框架、定义、系统、硬件和软件要求；IEC61511-2应用指南；IEC61511-3确定要求的安全完整性等级的指南。这个标准为过程工业的使用者和集成商提供了非常重要的价值。因为多数全球标准委员会和/或权威机构都期盼采用这个标准，用于他们各自的国家，很多公司现在能够开发使用安全仪表系统的标准化流程，满足所有标准提出的要求。这个标准还伴随有“生命周期”的方法，帮助用户确保SIS的设计，从概念到退役，满足工厂运行降低风险的要求。图1：IEC61508可以用于任何工业行业，也可以满足制造行业对SIS的安全要求。IEC61511特定用于过程工业，给出了针对最终用户和集成商的要求大纲。图2：IEC61511－IEC61511和IEC61508的关系在IEC61511中，提供了大量的陈述，进一步描述使用这两个标准的证据和应用。IEC61511列出了用户和集成商的要求。这个标准要求用于SIS应用的设备制造商和供应商遵循IEC61508部分2（硬件/软件）和部分3（指南）的要求大纲。这是非常重要的特性。IEC61511中陈述：范围b）：“（这个标准）适用于把满足IEC61508或IEC61511（以往使用或经过认证）部分中11.5要求的设备集成到可用于过程领域应用的整体系统中时，但不适用于希望声明装置适用于过程领域的安全仪表系统的制造商；”范围d）：“（这个标准）适用于开发使用有限可变语言或固定程序语言的系统的应用软件，而不适用于开发嵌入式软件（系统软件）或使用全可变语言的制造商、安全仪表系统设计师、集成商和用户；”IEC61511清楚地表明用于SIS设备制造商必须遵循IEC61508部分2和3的要求，除非用户满足了部分11.5中的“以往使用”的要求。注意，制造商不能声明满足“以往使用”这个标准，这是用户的职责。制造商需要遵循IEC61508的“以往使用”的要求。对用于安全仪表系统传感器的要求IEC61511文件定义了用于SIS的硬件规范要求。硬件分为两个组，一组仅由可编程电子逻辑解算器（PE逻辑解算器）组成；另一组由非PE设备，传感器和最终控制部件构成。这是本文讨论的重点。根据IEC61511部分11.5.2的内容选择传感器和最终控制部件，用户有两个选项：对于SIL1～SIL3的应用而言，安全仪表系统部件和子系统适合的条件，应符合IEC61508部分2和部分3或者符合IEC61511部分11.4和部分11.5.3到11.5.6的要求，基于以往使用选择部件和子系统的要求。图3：IEC61511的两个选项，用于选择SIS的传感器设计时选择IEC61508或者IEC61511以往使用的不同之处是：对传感器或者最终部件功能是否适合于SIS应用的需求，由谁负责证据的提供，证据的分界和证据的采用。下面是一个证据提供的简单图解。当使用一个符合IEC61508认证的安全型液位传感器，设备的能力和限制包括了浸湿部分。用户负责保证传感器与过程接口没有任何未检测到的失效。这个评估还必须考虑未检测到失效模式过程可能引起传感器浸湿部分的物理伤害，诸如水锤，腐蚀，氢渗透或氢脆变。用户负责决定指派接口的PFD（要求时失效概率）。用户负责提供所有相关以往使用条款的证据。用户决定这些传感器的PFD、性能和限制。以往使用评估还包括一个完整过程接口的危险未检测到失效的评估。图4：提供SIS传感器证据的责任符合IEC61508部分2和3传感器的选择按IEC61508标准设计的传感器，表示现场仪表的设计满足了IEC部分2和3中对硬件、系统和软件的详细要求。这个标准使用安全完整性等级（SIL）表，并把它应用于仪表系统设计，做为设备“安全等级”的测量。制造商遵从IEC61508使用的典型方法如下所示：制定安全要求和安全要求规范；按部分2的“规则”设计仪表体系结构和硬件；按部分3的“规则”设计、校验、验证和控制软件和系统达到希望的SIL等级（设备安全等级）；完成故障插入测试校验诊断；执行对变化管理的控制过程；执行制造控制，确保设备的安全不降级；完成失效模式影响诊断分析（FMEDA），决定失效率，安全失效分数（SFF）和要求时的失效概率（PFD）；对特定的PFD，详述设备“检验测试”的要求；与认证机构签约，如何对第三厂家的设计要求、硬件、软件、系统和设计控制进行复审；由认证机构提交对第三厂家的证明和报告；制造商提供一本“安全手册”文件，使用户能够在SIS应用中，正确地使用产品。制造商把产品提交给认证机构，证明产品满足所有要求。如果产品确实满足了要求，认证机构会公布一张证书，证明产品满足IEC61508的所有要求。下图是一个认证证书的样例。证书指明了产品名称，产品分类和可适用的硬件和软件SIL等级。图5：由TUV认证的传感器证书样例，证明传感器遵从IEC61508部分2和3所列出的要求认证机构包括了RWTUV-Augsburg-Germany,TUVSud,TUVRhineland,FactoryMutual,USA,和很多其他机构。在某些情况下，制造商会邀请工业专家帮助产品满足安全要求。这些专家，比如EXIDA或者Risknowledgy，不是认证机构的人员，但能提供专门的技术满足IEC61508要求，帮助实施诸如完成FMEDA过程，制定产品的安全要求。所有产品都有局限。这些限制在选择前需要进行检查。按IEC61508设计产品的限制要在产品安全手册中列出。安全手册至少要告诉用户：产品的安装、配置和安全操作要求、产品生命周期和维护要求诸如产品例行测试。传感器失效数据和PFD信息能够从产品的FMEDA中直接获得。如果有下面的情况，测量可能受物理环境的影响，超出了传感器的认证范围，诸如由于过程不洁或隔膜密封造成线路脉冲或初级部件阻塞，必须对PFD进行调整。用户把“按IEC61508设计”传感器用于SIS具有重要的价值。容易遵从IEC61511，供应商负责提供设备的安全等级文件；保证失效率数据和PFD值有效并且正确；SIS应用符合国际标准IEC61508（最小化系统的软件失效特别重要），保证仪表设计满足优秀工程实践；保证制造商在产品生命周期里，有处理“变化管理”的能力；提供的安全手册和认证报告，可确保SIS的正确执行。虽然“按IEC61508设计”为SIS设计师增加的价值，但在指定传感器时必须非常地小心。选择传感器的重要问题包括：安全复审和认证不意味着可靠性复审已经完成－“安全”不意味着“可靠”。因此要进行失效率的彻底复审，减少潜在的可能差错。按IEC61508设计的复审就像“白皮书”分析，没有操作经验方面的要求。在SIS应用中使用未经测试、未经证明的设备会带来非常高的风险。在把传感器安装到SIS应用前，用户应该具有使用设备的经验。由制造商提供的失效率数据不包含过程接口的失效率。而这在选择传感器时是非常重要的。一个高安全失效分数（来自传感器潜在危险失效的一个低％）不包括诸如线路堵塞、线路冷冻、线路滑块或气体渗入的危险失效。用户必须认真阅读证明陈述和安全手册－很多设计需要有效的检验或者对它们的使用具有严格限制，才能保证安全认证有效性。基于以往使用传感器的选择制定IEC61508和IEC61511的国际委员会认为：用户应该制定证明SIS回路部件的其他标准。因此，包括了以往使用（也称为使用证明）的条款。以往使用条款承认用户的方法论，接受不是按IEC61508部分2和3设计的传感器和控制器部件用于SIS应用。IEC61511中对以往使用的条款有下面陈述：IEC61511-1，部分11.5.3.1：“应提供部件和子系统适用于该安全仪表系统的适当证据”。用于传感器的“适当证据”必须要有相关的证明文件。（参考IEC61511-1，部分11.5.3.2）：制造商的质量、管理和配置管理系统的考虑；这个条款要求设备的制造商确认，具有保证产品一致性的质量系统和当硬件和软件变更时，具有变化系统的管理。部件或子系统满足要求的标识和规范；o这个条款要求以往使用产品具有硬件和软件资格标识。意图是当制造商更改产品时，让用户知道和评估SIF（安全仪表功能）影响。在类似操作行规和实际环境中部件或子系统性能的证明；这个条款要求资格设备证明一直在现场操作并且与设计的SIS物理环境相似。这个条款的意图是确认PFD计算与设计的应用计算相同。大量的操作经验；o这个条款要求证明产品连续性能评估的证据。这个条款的意图是确保用户在初始检验后能连续监视产品。为了满足这些要求，标准允许用户对操作经验进行成文，从基本流程控制应用到SIS应用。然而，标准要求操作经验与计划的SIS应用条件相同，收集的数据具有统计意义。另外，只有用户能够建立针对IEC61511的以往使用；供应商不能做这种申明。以往使用的传感器对PFD贡献必须由用户来计算。用户能够使用制造商产品的FMEDA做为起始点，然后用流程条件调整或确认计算PFD，但不能直接使用FMEDA中的数据而不做其他考虑。用户把“按IEC61508设计”的传感器用于SIS具有重要的价值。传感器具有知名的可靠性；传感器已经被设计师和维护技师所熟悉；传感器具有SIS和BPCS（基本过程控制系统）的使用实践；对维护人员不需外加的培训；节省备件清单的种类；传感器失效历史一般包括过程接口的失效。这就是为什么IEC61511仅允许用户建立以往使用，不是制造商或者供应商。用户知道更多关于这些传感器在现场的执行情况。IEC61511-1，范围b）：适用于把满足IEC61508或者IEC61511部分中11.5要求的设备（以往使用或使用证明）集成到可用于过程领域应用的整体系统中时，但并不适用于希望申明装置适用于过程领域的安全仪表系统的制造商。虽然“以往使用”对用户提供了一些优势，但也有很多隐含的成本和风险，因此用户必须：在传感器操作小时、环境和失效率方面维护文件，结果会增加维护成本（MaintEx）；以往使用变化影响的监视管理。由于部件变化、或者增加特性、或者降低成本，制造商会不断改进传感器。这些变化对传感器操作能力的影响需要重新评估，做为证明文件申明。有些情况下，型状、安装、或者功能的变化可能否定以前所有的证据，检验过程必须从头再进行一遍（CapEx，MaintEx）。传感器选择和它对硬件故障裕度的影响故障裕度定义为一个部件或子系统在有一个或几个硬件危险故障的情况下，仍能继续承担所要求的仪表安全功能的能力。这个能力由需要冗余传感器的最小数量来表示。按SIL的要求见IEC61511-1的表6所示。这个表的第一列为SIL等级，第二列为故障裕度最小值。比如，一个SIL2应用需要一个冗余传感器。一个SIL3应用需要两个冗余传感器。IEC61511表6：用于传感器、最终部件和非可编程电子逻辑解算器的硬件故障裕度硬件故障裕度要求不影响认证或以往使用传感器的选择对于以往使用传感器，IEC61511部分11.4.4陈述：当使用的装置符合所