控制阀用于安全仪表系统的符合性评估和SIL认证

Omal 欧玛尔 中国服务中心 控制阀用于安全仪表系统的符合性评估和控制阀用于安全仪表系统的符合性评估和 SILSIL 认证认证 文文 李宝华李宝华 引言引言 安全是是永恒的主题 安 全生产对于工业企业意义重大 正得到更多的重视 基于不同 技术的具有 安全保护 功能 的系统被广泛应用 安全设计 理念也从 故障安全 扩展到 功能安全 针对特定的危险 事件 为达到或保持手设备 Equipment Under Control EUC 或工艺过程 Process 的安全状态 由电气 电子 可编程电子 E E PE 安全相 关系统 Safety Related System SRS 或由传感器 逻 辑控制器 最终元件组成的安 全仪表系统 Safety Instrumented System SIS 其它技术安全相关系统或外部 风险降低设施实现的功能定义 为安全功能 功能安全作为整 体安全的一部分 是指安全功 能的安全性 即安全相关系统 或安全仪表系统以及其他保护 层正确行使安全功能 实现降 低风险的能力 过程工业中的安全仪表系 统 SIS 如紧急停车系统 ESD 安全联锁系统 SIS 燃烧器管 理系统 BMS 火灾或气体安全 系统 FGS 高压保护系统 HIPPS 等等 由传感器 逻辑 控制器 最终元件组成 用来 行使一项或多项安全仪表功能 SIF 对某个具体的潜在危险事 件采取对应的保护措施 控制 预防 减轻危险时间造成的影 响 SIS 是安全相关系统在过 程工业的分支 而不同于以过 程控制为目标的基本过程控制 系统 Basic Process Control System BPCS SIS 和 BPCS 典型应用示意图参见图 1 SIS 在安全保护层的位置见图 2 SIS 以整体安全生命周期 的架构 规定了各阶段的技术 活动和功能安全管理活动的内 容 以安全完整性等级 SIL 为指针 提出了基于可靠性分 析 确定安全仪表功能的失效 概率 评估执行安全仪表功能 的可靠程度的标准 SIS 的应 用还形成了安全仪表设备基于 经验使用和按照相关标准符合 性评估及认证的准入原则 以 及系统硬件配置和软件组态规 则 系统集成和调试 运行和 维护 功能安全评估和验证的 工作流程 最终元件是 SIS 的重要组 成 包括控制阀 电磁阀等执 行元件以及用于处理来自逻辑 控制器最终指令的所有元件和 连接 执行实现某种安全状态 所必须的实际动作 也有与 BPCS 混合应用的情况 用于 安全仪表系统时 接受相关安 全要求 以安 全仪表系统时 接受相关安全 要求 以安全 的方式进行设 计 维护 检验 测试和操作 的论证 辨识安全仪表功能和 可靠性评估以及适合性验证 通过 SIL 认证以及保证在选用 控制阀后不对系统造成结构约 束 由于功能安全是针对系统 而言 独立的仪表产品 控制阀 不存在单独的功能安全问题 对单个产品的要求是在可靠性 基础上的安全性 安全功能 当其成为 SIS 一个功能单元后 必须是从整个系统的安全性去 考虑 SIS 的功能安全 相关标准相关标准 经济活动和工业发展推动 着安全标准的制定 尤其是基 础类安全标准 在控制系统安 全标准方面 基于产品安全的 核心是物理安全 Physical Safety 有 IEC61010 系列物 理安全标准 测量和控制使用 的电气设备的安全要求 GB 18272 1 8 与控制阀 相关的是标准的第 205 部分 执行器 基于网络安全的核 心是信息安全 Security 有 IEC62443 系列信息安全标准 工业过程测量和控制安全 网 络和系统安全 基于安全相关 系统的核心是功能安全 Omal 欧玛尔 中国服务中心 Functional Safety 有 IEC61508 系列功能安全标准 电气 电子 可编程电子安全 相关系统的功能安全 基于 安全相关系统的核心是功能安 全 Functional Safety 有 IEC61508 系列功能安全标准 电气 电子 可编程电子安全 相关系统的功能安全 以上 这些都是综合性基础标准 并 引出一系列分支标准 IEC TC65 在 1998 年发布 IEC61508 电气 电子 可编程 电子安全相关系统的功能安全 的第 1 3 4 5 部分 2000 年发布第 2 6 7 部分 等同 采用 IEC61508 的中国国家标准 为 GB T20438 1 7 2006 标 准系列的 1 至 4 是标准部分 1 一般要求 2 电气 电子 可编程电子安全相关系统的要 求 3 软件要求 4 定义和 缩略语 标准系列的 5 至 7 是 信息解释部分 5 确定安全完 整性等级的方法示例 6 IEC60508 2 和 IEC60508 3 应用指南 7 技术和措施概述 此外 IEC TC65 在 2005 年发 布 IEC TR61508 0 2005 等同 采用该标准的中国国家标准为 GB Z29638 2013 指导性标准 功能安全概念及 GB T20438 系列概况 回答了安全功能 是什么 安全功能和安全相关 系统 功能安全示例 安全完 整性等级 以及 GB T20438 IEC61508 标准说 明 作为 GB T20438 IEC61508 系列标 准的补充 IEC TC65 在 2010 年又发布了 IEC60508 1 7 2010 的第 2 版 但现行的国际 GB T20438 还没有随之修订 IEC60508 是安全相关系统 功能安全的基础标准 基本涵 盖各工业领域和各阶段功能安 全相关活动 针对用于安全功 能的电气 电子 可编程电子系 统 E E PES 提出了安全生 命周期的通用评价方法 从危 险分析和安全功能的详细说明 开始到系统的停用和处理 描 述了安全相关系统的硬件和软 件的要求 标准采用 4 个安全 完整性等级来衡量安全功能 采用基于危险和风险分析的方 法确定安全完整性要求和量化 指标 提出了影响安全完整性 等级的两个因素以及安全故障 的比例和目标失效量的测量 与 IEC61508 对应的过程工 业领域分支标准 IEC61511 过 程工业领域安全仪表系统的功 能安全 于 2003 年发布 等同 采用 IEC61511 的中国国家标准 为 GB T21109 1 3 2007 IEC61511 GB T21109 阐 述了过程工业安全仪表系统的 应用 涉及从初始概念 设计 工程 安装 实现 运行和维 护直到停用的所有安全生命周 期 并给出应用指南和确定安 全完整性等级的指导原则 系 列标准包含 3 个部分 1 框架 定义 系统 硬件和软件要求 2 IEC61511 GB T21109 的应 用指南 3 确定要求的安全完 整性等级的指南 该标准主要 适用于安全仪表系统的设计者 集成商和用户 但不适用于安 全仪表的制作商 针对石油化工行业的安全 仪表系统 现行的中国国家标 准还有 GB T50770 2013 石油 化工安全仪表系统设计规范 实在 GB T21109 基础上制定 的 引入了安全生命周期概念 规范的主要技术内容包括总则 术语和缩略语 安全生命周期 安全完整性等级 设计基本原 则 测量仪表 最终元件 逻 辑控制器 通信接口 人机接 口 应用软件 工程设计 组 态 集成与测试 验收测试 操作维护 变更管理 文档管 理等 安全完整性安全完整性 SIS 执行安全功能时要正 确 系统的功能安全要可靠 预期达到的水平采用安全完整 性来表征 安全完整性 Safety Integrity 是一个 相对专业的概念 针对的对象 Omal 欧玛尔 中国服务中心 是 安全相关系统或安全仪表 系统 衡量的是该系统在规 定的条件下 规定的时间内 完成所要求的安全功能的概率 对要求的功能有明确的界定 安全完整性不同于经典的可靠 性 可靠性定义是 产品在规 定条件下和规定时间内 完成 规定功能的能力 控制阀执 行任务失败是产品可靠性的问 题 而风险事故是产品安全完 整性的问题 见图 4 安全完整性包括 系统安全完整性与随机安全完 整性两部分 系统安全完整性 是安全完整性里不可定量部分 并且与系统故障导致的硬件 软件的危险失效有关 系统故 障通常由系统 子系统和设备 在安全功能的生命周期内各种 人为错误导致 如规范 设计 制造 安装 操作 维护 修 改等错误 系统安全完整性的 随机危险失效部分 其中唯一 可以量化的部分就是硬件失效 相关的硬件安全完整性 硬件 失效是硬件部分有限的可靠性 导致的 硬件安全完整性定义 为 在危险失效模式中与随机 硬件失效有关的仪表安全功能 的安全完整性的一部分 与整 体危险失效率 要求时操作失 效的概率有关 风险和安全完 整性的关系见图 5 在 GB T20438 IEC61508 中依据 不同的操作模式 低要求操作 模式 高要求或连续操作模式 将安全完整性等级 SIL 定义为 SIL1 至 SIL4 四个等级 SIL4 等级最高 在 GB T21109 IEC61511 中保持 了 SIL1 至 SIL4 的等级划分 操作模式分为要求操作模式和 连续操作模式 但在过程工业 一般应用场合 SIL3 为最高级 当过程危险和风险分析确认需 要 SIL3 以上时 通常是采用其 他技术的安全相关系统或外部 风险降低使得对安全仪表功能 的 SIL 要求降低到 SIL3 或以下 参见表 1 至表 4 要求操作模式是指在响应 过程状态或其他要求时执行特 定的动作 如关闭 ESD 切断阀 特征是当安全仪表功能出现危 险失效 并且 要求 出现时 才会导致潜在危险发生 典型 的要求操作模式如 ESD 的应用 连续操作模式是指当安全仪表 功能出现危险失效时 潜在的 危险将会立即发生 除非存在 其它防止措施 连续模式涵盖 执行连续安全控制 以便保持 功能安全的安全仪表功能 符合性评估符合性评估 由执行机构和调节机构 阀 以及阀门定位器 电磁 阀等附件组成的控制阀组件作 为最终元件用于安全仪表系统 仍属于单独仪表设备 严格说 单个设备不具备功能安全 不 能用 SIL 去评价 只能是用 SIL 表示单个设备 控制阀 的安全完整性能力即最大可声 明的 SIL 等级 考虑控制阀执 行某一特定安全功能的能力 是指控制阀的 要求时的平均 失效概率 PFDavg 或 完成安 全仪表功能时的危险失效概率 次 每小时 符合对应的 SIL 值 控制阀具有越高等级 的 SIL 仅表示该产品可用于 更高等级的安全仪表系统中 有能力承担更高等级的风险控 制任务 控制阀 阀门定位器 电磁阀应分别作符合性评估 例如仅有电磁阀的符合性评估 结论 是难以涵盖控制阀的平 均失效概率 且控制阀的故障 概率是较高的 Omal 欧玛尔 中国服务中心 对控制阀等仪表设备进行 符合性 评估 是按照 GB T20438 2 IEC 61508 2 和 GB T20438 3 IEC61508 3 标准 确认其是否满足特定 安全相关应用场合的安全要求 评估随机失效即计算控制阀要 求时的危险失效概率 PFD 或 每小时危险失效概率 PFH 及 安全失效分数 SFF 要求达 到的安全完整性等级 SIL 对 应的目标实销量且满足结构约 束的要求 SFF 的要求 评估 对应的报告是失效模式 影响 和诊断分析报告 FMEDA 或 者按照 GB T21109 1 IEC61511 1 标 准 经使用验证的 Prowen in Use 来进行选择用于安全仪 表系统的控制阀等仪表设备以 及系统各组成的功能单元 但 必须有充分的文档数据和记录 或者依据 GB T50770 2013 标准 石油化工安全仪表系统设计 规范 按照满足安全完整性 的要求进行控制阀的设置 参 考该标准的条文说明 可采用 计算低要求操作模式的平均失 效概率的方法设计和验证最终 元件的安全完整性等级 也可 根据经验使用原则 有实际证 据证明这种最终元件在以前的 试验中有足够的安全完整性 就可确定选用该最终元件符合 相应的完全完整性等级 评估 流程参见图 6 不要孤立地理解 SIL 能 力 或者 IEC61508 认证 在实际控制阀符合性评估和选 型时 要关注产品安全手册和 认证报告中描述的使用条件规 定或限值 要确认确定的产品 可靠性 硬件故障裕度 诊断 覆盖率 抵御环境因素影响的 能力 避免操作失效导致系统 失效的能力 在全生命周期不 同阶段采取的避免措施 要了 解研发过程的管理 要了解包 括硬件配置 软件组态 接口 安装测试 故障响应 平均维 修时间 MTTR 等细节 控制阀又 是可修的产品 要考虑其可用 性和维护性 考虑平均故障间 隔时间 MTBF 而 经使用验证 的 设备 控制阀 必须评估 表明有足够低的危险失效率 有证据能证明适用于 SIS 在 先前的操作期间 满足所有的 设计要求没有更改 至少有 10 个不同的应用实例 至少 1 万 小时的操作运行经历并且至少 1 年的现场服务期的条件 要 有充分的文档化材料 对于属 于定制化产品的控制阀 每一 台都有可能存在依照用户操作 条件做细节修改和部件变动及 改换材料即设计有改动 尤其 是特殊工况控制阀 切断阀 真 Omal 欧玛尔 中国服务中心 正做到符合 经使用验证 条 件确实不易 SILSIL 认证认证 SIL 的评估贯穿于系统和 产品的全生命周期 SIL 也使 安全仪表系统的设计者 集成 商 用户和制造商紧密联系在 一起 控制阀安全完整性等级 SIL 认证的模式为型式试验 安全功能型式试验和制造厂质 量体系评定及认证后监督 SIL 认证不同于 CE 认证 不仅仅是 对已经设计制造出来的控制阀 样机进行测试 必须从着手设 计研发就开始考虑 SIL 认证 此外 型式试验是个小样本的 问题 并非每一台控制阀都进 行项目繁多的试验 这就需要 控制阀可靠性和可用性评估来 适应 以及考虑控制阀多组件 组合带来的问题 控制阀制造商首先要做到 产品硬件满足 PFDavg 条件 基 于 GB T20438 IEC61508 认 证的 FMEDA 失效模式 影响和 诊断分析 达到目标 SIL 的期 望 对安全仪表功能满足安全 失效分数 在认证工艺上 根 据目标 SIL 和系统可容忍故障 满足软件的要求以及满足设计 工艺的要求 还要准备好给用 户的控制阀安全手册 SIL1 可由公司内独立人员 执行风险评估 SIL2 可由公司 内部独立部门执行风险评估 SIL3 和 SIL4 由外部独立机构 执行风险评估 通常是由第三 方认证机构对控制阀进行 SIL 认证 如美国 exida 德国 BGIA 德国 T V T V S D T V 南德 T V Rheinland 莱恩 T V T V Nord T V 北德 中 国机械工业仪器仪表综合技术 经济研究所 ITEI 功能安全 技术研发中心 FSchina 等 SIL 认证的主要流程是 第一阶段检查 评估安全 概念 进行概念评估 出具概 念评估报告 主要任务是检查 并评审控制阀需要规范和安全 设计概念 检查并评估在产品 全生命周期各阶段尤其是研发 过程 质量管理 中的故障避 免措施的计划 进行 FMEDA 失 效模式 影响和诊断分析 评 估检测和控制故障需采取的措 施 评价是否安全完整性等级 能达到预期目的 对设计和质 量管理的文档进行审核 定义 需求的电气安全 电磁兼容 环境测试 制定主检的项目计 划 第二阶段做进一步的功能 安全和环境测试 进行主检 出具测试报告 检查控制阀的 技术要求 安全失效位置 压力 等级 类型 扭矩 推力 材料 泄漏 流体能力 流量特性 噪声 震动等 检查 ESD 控制阀 及其 ESD 阀门定位器的部分行 程测试 PST 测试所有的安全 相关的功能 分析硬件软件功 能性的和最坏情况 检测和控 制故障的验证 故障插入方法 虚警方法 FMEDA 失效模式 影响和诊断分析的验证和执行 软件验证测试的评审 模块 集成测试 系统测试 对研发 过程中创建的产品文档评审 设计文档和测试 验证 审 核记录 安全相关的可靠性数 据的定义和计算 电气安全 环境测试 包括 EMC 检查提 交的用户文档 安装和操作手 册 安全手册 第三阶段进入测试产品发 证流程 基于测试报告 颁发 相应证书 证明该控制阀产品 符合应用到某一 SIL 的安全相 关系统 安全仪表系统 根据 SIL 证书或相关网站查验 可 供设计选用和系统集成参考 结束语结束语 对控制阀的安全功能必须 进行符合性评估和 SIL 认证 从而获得 符合 IEC61508 GB T20438 SILn 的安全相关系统 安全仪表系统 应用 控制阀组件各部分如调 节机构和执行机构 配置的阀 门定位器 电磁阀都应有分别 的