控制閥用于安全儀表系統(tǒng)的符合評估和SIL認證.docx

精品文檔控制閥用于安全儀表系統(tǒng)的符合性評估和SIL認證文/李寶華8歡迎下載8歡迎下載8歡迎下載。引言安全是是永恒的主題，安全生產對于工業(yè)企業(yè)意義重大，正得到更多的重視。基于不同技術的具有“安全保護”功能的系統(tǒng)被廣泛應用，安全設計理念也從“故障安全”擴展到“功能安全”。針對特定的危險事件，為達到或保持手設備（Equipment Under Control, EUC）或工藝過程（Process）的安全狀態(tài)，由電氣、電子、可編程電子（E/E/PE）安全相關系統(tǒng)（Safety-Related System, SRS）或由傳感器、邏輯控制器、最終元件組成的安全儀表系統(tǒng)（Safety Instrumented System, SIS）、其它技術安全相關系統(tǒng)或外部風險降低設施實現(xiàn)的功能定義為安全功能。功能安全作為整體安全的一部分，是指安全功能的安全性，即安全相關系統(tǒng)或安全儀表系統(tǒng)以及其他保護層正確行使安全功能、實現(xiàn)降低風險的能力。過程工業(yè)中的安全儀表系統(tǒng)SIS（如緊急停車系統(tǒng)ESD、安全聯(lián)鎖系統(tǒng)SIS、燃燒器管理系統(tǒng)BMS、火災或氣體安全系統(tǒng)FGS、高壓保護系統(tǒng)HIPPS，等等）由傳感器、邏輯控制器、最終元件組成，用來行使一項或多項安全儀表功能SIF，對某個具體的潛在危險事件采取對應的保護措施，控制、預防、減輕危險時間造成的影響。SIS是安全相關系統(tǒng)在過程工業(yè)的分支，而不同于以過程控制為目標的基本過程控制系統(tǒng)（Basic Process Control System, BPCS）。SIS和BPCS典型應用示意圖參見圖1，SIS在安全保護層的位置見圖2。SIS以整體安全生命周期的架構，規(guī)定了各階段的技術活動和功能安全管理活動的內容；以安全完整性等級（SIL）為指針，提出了基于可靠性分析、確定安全儀表功能的失效概率、評估執(zhí)行安全儀表功能的可靠程度的標準。SIS的應用還形成了安全儀表設備基于經驗使用和按照相關標準符合性評估及認證的準入原則，以及系統(tǒng)硬件配置和軟件組態(tài)規(guī)則、系統(tǒng)集成和調試、運行和維護、功能安全評估和驗證的工作流程。最終元件是SIS的重要組成，包括控制閥、電磁閥等執(zhí)行元件以及用于處理來自邏輯控制器最終指令的所有元件和連接，執(zhí)行實現(xiàn)某種安全狀態(tài)所必須的實際動作（也有與BPCS混合應用的情況），用于安全儀表系統(tǒng)時，接受相關安全要求，以安全儀表系統(tǒng)時，接受相關安全要求，以安全的方式進行設計、維護、檢驗、測試和操作的論證，辨識安全儀表功能和可靠性評估以及適合性驗證，通過SIL認證以及保證在選用控制閥后不對系統(tǒng)造成結構約束。由于功能安全是針對系統(tǒng)而言，獨立的儀表產品/控制閥不存在單獨的功能安全問題，對單個產品的要求是在可靠性基礎上的安全性（安全功能），當其成為SIS一個功能單元后，必須是從整個系統(tǒng)的安全性去考慮SIS的功能安全。相關標準經濟活動和工業(yè)發(fā)展推動著安全標準的制定，尤其是基礎類安全標準。在控制系統(tǒng)安全標準方面：基于產品安全的核心是物理安全（Physical Safety）,有IEC61010系列物理安全標準測量和控制使用的電氣設備的安全要求（GB/18272.18），與控制閥相關的是標準的第205部分執(zhí)行器；基于網(wǎng)絡安全的核心是信息安全（Security），有IEC62443系列信息安全標準工業(yè)過程測量和控制安全 網(wǎng)絡和系統(tǒng)安全；基于安全相關系統(tǒng)的核心是功能安全（Functional Safety），有IEC61508系列功能安全標準電氣/電子/可編程電子安全相關系統(tǒng)的功能安全 ；基于安全相關系統(tǒng)的核心是功能安全（Functional Safety），有IEC61508系列功能安全標準電氣/電子/可編程電子安全相關系統(tǒng)的功能安全 ；以上這些都是綜合性基礎標準，并引出一系列分支標準。IEC/TC65在1998年發(fā)布IEC61508 電氣/電子/可編程電子安全相關系統(tǒng)的功能安全的第1、3、4、5部分，2000年發(fā)布第2、6、7部分，等同采用IEC61508的中國國家標準為GB/T20438-17-2006。標準系列的1至4是標準部分：1、一般要求；2、電氣/電子/可編程電子安全相關系統(tǒng)的要求；3、軟件要求；4、定義和縮略語；標準系列的5至7是信息解釋部分；5、確定安全完整性等級的方法示例；6、IEC60508-2和IEC60508-3應用指南；7、技術和措施概述。此外，IEC/TC65在2005年發(fā)布IEC/TR61508-0-2005，等同采用該標準的中國國家標準為GB/Z29638-2013（指導性標準）功能安全概念及GB/T20438系列概況 ，回答了安全功能是什么、安全功能和安全相關系統(tǒng)、功能安全示例、安全完整性等級，以及GB/T20438（IEC61508）標準說明，作為GB/T20438（IEC61508）系列標準的補充。IEC/TC65在2010年又發(fā)布了IEC60508-17-2010的第2版，但現(xiàn)行的國際GB/T20438還沒有隨之修訂。IEC60508是安全相關系統(tǒng)功能安全的基礎標準，基本涵蓋各工業(yè)領域和各階段功能安全相關活動，針對用于安全功能的電氣/電子/可編程電子系統(tǒng)（E/E/PES），提出了安全生命周期的通用評價方法；從危險分析和安全功能的詳細說明開始到系統(tǒng)的停用和處理，描述了安全相關系統(tǒng)的硬件和軟件的要求；標準采用4個安全完整性等級來衡量安全功能，采用基于危險和風險分析的方法確定安全完整性要求和量化指標，提出了影響安全完整性等級的兩個因素以及安全故障的比例和目標失效量的測量。與IEC61508對應的過程工業(yè)領域分支標準IEC61511過程工業(yè)領域安全儀表系統(tǒng)的功能安全于2003年發(fā)布，等同采用IEC61511的中國國家標準為GB/T21109.13-2007。IEC61511/GB/T21109闡述了過程工業(yè)安全儀表系統(tǒng)的應用，涉及從初始概念、設計、工程、安裝、實現(xiàn)、運行和維護直到停用的所有安全生命周期，并給出應用指南和確定安全完整性等級的指導原則。系列標準包含3個部分：1、框架、定義、系統(tǒng)、硬件和軟件要求；2、IEC61511/GB/T21109的應用指南；3、確定要求的安全完整性等級的指南。該標準主要適用于安全儀表系統(tǒng)的設計者、集成商和用戶，但不適用于安全儀表的制作商。針對石油化工行業(yè)的安全儀表系統(tǒng)，現(xiàn)行的中國國家標準還有GB/T50770-2013石油化工安全儀表系統(tǒng)設計規(guī)范 ，實在GB/T21109基礎上制定的，引入了安全生命周期概念，規(guī)范的主要技術內容包括總則、術語和縮略語、安全生命周期、安全完整性等級、設計基本原則、測量儀表、最終元件、邏輯控制器、通信接口、人機接口、應用軟件、工程設計、組態(tài)、集成與測試、驗收測試、操作維護、變更管理、文檔管理等。安全完整性SIS執(zhí)行安全功能時要正確，系統(tǒng)的功能安全要可靠，預期達到的水平采用安全完整性來表征。安全完整性（Safety Integrity）是一個相對專業(yè)的概念，針對的對象是“安全相關系統(tǒng)或安全儀表系統(tǒng)”，衡量的是該系統(tǒng)在規(guī)定的條件下、規(guī)定的時間內，完成所要求的安全功能的概率，對要求的功能有明確的界定。安全完整性不同于經典的可靠性（可靠性定義是“產品在規(guī)定條件下和規(guī)定時間內，完成規(guī)定功能的能力”），控制閥執(zhí)行任務失敗是產品可靠性的問題，而風險事故是產品安全完整性的問題。見圖4，安全完整性包括系統(tǒng)安全完整性與隨機安全完整性兩部分。系統(tǒng)安全完整性是安全完整性里不可定量部分，并且與系統(tǒng)故障導致的硬件、軟件的危險失效有關。系統(tǒng)故障通常由系統(tǒng)、子系統(tǒng)和設備在安全功能的生命周期內各種人為錯誤導致（如規(guī)范、設計、制造、安裝、操作、維護、修改等錯誤）。系統(tǒng)安全完整性的隨機危險失效部分，其中唯一可以量化的部分就是硬件失效相關的硬件安全完整性，硬件失效是硬件部分有限的可靠性導致的。硬件安全完整性定義為“在危險失效模式中與隨機硬件失效有關的儀表安全功能的安全完整性的一部分”，與整體危險失效率、要求時操作失效的概率有關。風險和安全完整性的關系見圖5。在GB/T20438（IEC61508）中依據(jù)不同的操作模式（低要求操作模式、高要求或連續(xù)操作模式）將安全完整性等級SIL定義為SIL1至SIL4四個等級，SIL4等級最高。在GB/T21109（IEC61511）中保持了SIL1至SIL4的等級劃分，操作模式分為要求操作模式和連續(xù)操作模式。但在過程工業(yè)一般應用場合，SIL3為最高級，當過程危險和風險分析確認需要SIL3以上時，通常是采用其他技術的安全相關系統(tǒng)或外部風險降低使得對安全儀表功能的SIL要求降低到SIL3或以下。參見表1至表4.要求操作模式是指在響應過程狀態(tài)或其他要求時執(zhí)行特定的動作（如關閉ESD切斷閥），特征是當安全儀表功能出現(xiàn)危險失效，并且“要求”出現(xiàn)時，才會導致潛在危險發(fā)生。典型的要求操作模式如ESD的應用。連續(xù)操作模式是指當安全儀表功能出現(xiàn)危險失效時，潛在的危險將會立即發(fā)生。除非存在其它防止措施，連續(xù)模式涵蓋執(zhí)行連續(xù)安全控制，以便保持功能安全的安全儀表功能。符合性評估由執(zhí)行機構和調節(jié)機構（閥）以及閥門定位器、電磁閥等附件組成的控制閥組件作為最終元件用于安全儀表系統(tǒng)，仍屬于單獨儀表設備。嚴格說單個設備不具備功能安全，不能用SIL去評價，只能是用SIL表示單個設備（控制閥）的安全完整性能力即最大可聲明的SIL等級?？紤]控制閥執(zhí)行某一特定安全功能的能力，是指控制閥的“要求時的平均失效概率PFDavg”或“完成安全儀表功能時的危險失效概率（次/每小時）”符合對應的SIL值。控制閥具有越高等級的SIL，僅表示該產品可用于更高等級的安全儀表系統(tǒng)中，有能力承擔更高等級的風險控制任務。控制閥、閥門定位器、電磁閥應分別作符合性評估，例如僅有電磁閥的符合性評估結論，是難以涵蓋控制閥的平均失效概率，且控制閥的故障概率是較高的。對控制閥等儀表設備進行“符合性”評估，是按照GB/T20438.2（IEC 61508-2）和GB/T20438.3（IEC61508-3）標準，確認其是否滿足特定安全相關應用場合的安全要求。評估隨機失效即計算控制閥要求時的危險失效概率（PFD）或每小時危險失效概率（PFH）及安全失效分數(shù)（SFF），要求達到的安全完整性等級（SIL）對應的目標實銷量且滿足結構約束的要求（SFF的要求）。評估對應的報告是失效模式、影響和診斷分析報告（FMEDA）。或者按照GB/T21109.1（IEC61511-1）標準“經使用驗證的（Prowen in Use）”來進行選擇用于安全儀表系統(tǒng)的控制閥等儀表設備以及系統(tǒng)各組成的功能單元，但必須有充分的文檔數(shù)據(jù)和記錄；或者依據(jù)GB/T50770-2013標準石油化工安全儀表系統(tǒng)設計規(guī)范 ，按照滿足安全完整性的要求進行控制閥的設置，參考該標準的條文說明“可采用計算低要求操作模式的平均失效概率的方法設計和驗證最終元件的安全完整性等級，也可根據(jù)經驗使用原則，有實際證據(jù)證明這種最終元件在以前的試驗中有足夠的安全完整性，就可確定選用該最終元件符合相應的完全完整性等級”。評估流程參見圖6。不要孤立地理解“SIL能力”或者“IEC61508認證”，在實際控制閥符合性評估和選型時，要關注產品安全手冊和認證報告中描述的使用條件規(guī)定或限值，要確認確定的產品可靠性、硬件故障裕度、診斷覆蓋率、抵御環(huán)境因素影響的能力、避免操作失效導致系統(tǒng)失效的能力，在全生命周期不同階段采取的避免措施；要了解研發(fā)過程的管理，要了解包括硬件配置、軟件組態(tài)、接口、安裝測試、故障響應、平均維修時間MTTR等細節(jié)?？刂崎y又是可修的產品，要考慮其可用性和維護性，考慮平均故障間隔時間MTBF。而“經使用驗證的”設備（控制閥），必須評估表明有足夠低的危險失效率，有證據(jù)能證明適用于SIS，在先前的操作期間，滿足所有的設計要求沒有更改、至少有10個不同的應用實例、至少1萬小時的操作運行經歷并且至少1年的現(xiàn)場服務期的條件，要有充分的文檔化材料。對于屬于定制化產品的控制閥，每一臺都有可能存在依照用戶操作條件做細節(jié)修改和部件變動及改換材料即設計有改動，尤其是特殊工況控制閥/切斷閥，真正做到符合“經使用驗證”條件確實不易。SIL認證SIL的評估貫穿于系統(tǒng)和產品的全生命周期，SIL也使安全儀表系統(tǒng)的設計者、集成商、用戶和制造商緊密聯(lián)系在一起?？刂崎y安全完整性等級SIL認證的模式為型式試驗、安全功能型式試驗和制造廠質量體系評定及認證后監(jiān)督。SIL認證不同于CE認證，不僅僅是對已經設計制造出來的控制閥樣機進行測試，必須從著手設計研發(fā)就開始考慮SIL認證。此外，型式試驗是個小樣本的問題，并非每一臺控制閥都進行項目繁多的試驗，這就需要控制閥可靠性和可用性評估來適應，以及考慮控制閥多組件組合帶來的問題?？刂崎y制造商首先要做到產品硬件滿足PFDavg條件，基于GB/T20438（IEC61508）認證的FMEDA失效模式、影響和診斷分析，達到目標SIL的期望，對安全儀表功能滿足安全失效分數(shù)；在認證工藝上，根據(jù)目標SIL和系統(tǒng)可容忍故障滿足軟件的要求以及滿足設計工藝的要求；還要準備好給用戶的控制閥安全手冊。SIL1可由公司內獨立人員執(zhí)行風險評估，SIL2可由公司內部獨立部門執(zhí)行風險評估，SIL3和SIL4由外部獨立機構執(zhí)行風險評估。通常是由第三方認證機構對控制閥進行SIL認證，如美國exida、德國BGIA、德國TV（TV SD/TV南德、TV Rheinland/萊恩TV、TV Nord/TV北德）、中國機械工業(yè)儀器儀表綜合技術經濟研究所（ITEI）功能安全技術研發(fā)中心（FSchina）等。SIL認證的主要流程是：第一階段檢查、評估安全概念，進行概念評估，出具概念評估報告。主要任務是檢查并評審控制閥需要規(guī)范和安全設計概念；檢查并評估在產品全生命周期各階段尤其是研發(fā)過程（質量管理）中的故障避免措施的計劃；進行FMEDA失效模式、影響和診斷分析，評估檢測和控制故障需采取的措施，評價是否安全完整性等級能達到預期目的；對設計和質量管理的文檔進行審核，定義需求的電氣安全、電磁兼容、環(huán)境測試；制定主檢的項目計劃。第二階段做進一步的功能、安全和環(huán)境測試，進行主檢，出具測試報告；檢查控制閥的技術要求-安全失效位置、壓力等級、類型、扭矩/推力、材料、泄漏、流體能力、流量特性、噪聲/震動等，檢查ESD控制閥及其ESD閥門定位器的部分行程測試PST，測試所有的安全相關的功能，分析硬件軟件功能性的和最壞情況；檢測和控制故障的驗證（故障插入方法/虛警方法），F(xiàn)MEDA失效模式、影響和診斷分析的驗證和執(zhí)行；軟件驗證測試的評審（模塊、集成測試、系統(tǒng)測試）；對研發(fā)過程中創(chuàng)建的產品文檔評審（設計文檔和測試、驗證、審核記錄）；安全相關的可靠性數(shù)據(jù)的定義和計算；電氣安全、環(huán)境測試（包括EMC）；檢查提交的用戶文檔（安裝和操作手冊、安全手冊）。第三階段進入測試產品發(fā)證流程。基于測試報告，頒發(fā)相應證書，證明該控制閥產品符合應用到某一SIL的安全相關系統(tǒng)/安全儀表系統(tǒng)。根據(jù)SIL證書或相關網(wǎng)站查驗，可供設計選用和系統(tǒng)集成參考。結束語對控制閥的安全功能必須進行符合性評估和SIL認證，從而獲得“符合IEC61508（GB/T20438）SILn的安全相關系統(tǒng)/安全儀表系統(tǒng)應用”?？刂崎y組件各部分如調節(jié)機構和執(zhí)行機構、配置的閥門定位器、電磁閥都應有分別的符合性評估，新型號產品必須經過量化的SIL認證，已存在產品也可用定性方法以安全使用的文檔數(shù)據(jù)來證