按IEC61511标准选择安全仪表系统的传感器

1、按IEC61511标准选择安全仪表系统的传感器 圈子类别：现场仪表 (晴天) 2010-5-4 14:46:00我要评论 加入收藏 加入圈子 概述这篇文章将讨论SIS应用中传感器的分类，这类传感器满足IEC61511规范，最小化生命周期中的成本。先讨论SIS标准的历史，然后讨论SIS应用中选择传感器的标准过程。传感器选择包括对两种选项的深入讨论：经过认证和以往使用。文章还讨论了选择SIS传感器其他要考虑的问题，诸如产品能力和限制，检验测试，安全精度和安全响应时间。新国际标准对过程工业的运行增加了价值1996年，发布了用于安全的国际标准IEC61508。这个国际标准为所有的安全行为建立了一个通用

2、方法。颁布这个通用标准的目的是为今后建立一系列的行业安全国际标准奠定基础。2003年，过程工业标准IEC61511颁布。这个标准由代表20多个国家用户的国际联盟所起草制定的。这个标准的目的是定义一套用于整个SIS生命周期里的功能规范（标识，设计，安装，运行、维护和退役），满足全球过程工业的需求。这个标准有三个部分组成：IEC61511-1框架、定义、系统、硬件和软件要求；IEC61511-2应用指南；IEC61511-3确定要求的安全完整性等级的指南。这个标准为过程工业的使用者和集成商提供了非常重要的价值。因为多数全球标准委员会和/或权威机构都期盼采用这个标准，用于他们各自的国家，很多公司现在

3、能够开发使用安全仪表系统的标准化流程，满足所有标准提出的要求。这个标准还伴随有“生命周期”的方法，帮助用户确保SIS的设计，从概念到退役，满足工厂运行降低风险的要求。图1：IEC61508可以用于任何工业行业，也可以满足制造行业对SIS的安全要求。IEC61511特定用于过程工业，给出了针对最终用户和集成商的要求大纲。图2：IEC61511IEC61511和IEC61508的关系在IEC61511中，提供了大量的陈述，进一步描述使用这两个标准的证据和应用。IEC61511列出了用户和集成商的要求。这个标准要求用于SIS应用的设备制造商和供应商遵循IEC61508部分2（硬件/软件）和部分3（指

4、南）的要求大纲。这是非常重要的特性。IEC61511中陈述：范围b）：“（这个标准）适用于把满足IEC61508或IEC61511（以往使用或经过认证）部分中11.5要求的设备集成到可用于过程领域应用的整体系统中时，但不适用于希望声明装置适用于过程领域的安全仪表系统的制造商；”范围d）：“（这个标准）适用于开发使用有限可变语言或固定程序语言的系统的应用软件，而不适用于开发嵌入式软件（系统软件）或使用全可变语言的制造商、安全仪表系统设计师、集成商和用户；”IEC61511清楚地表明用于SIS设备制造商必须遵循IEC61508部分2和3的要求，除非用户满足了部分11.5中的“以往使用”的要求。注意

5、，制造商不能声明满足“以往使用”这个标准，这是用户的职责。制造商需要遵循IEC61508的“以往使用”的要求。对用于安全仪表系统传感器的要求IEC61511文件定义了用于SIS的硬件规范要求。硬件分为两个组，一组仅由可编程电子逻辑解算器（PE逻辑解算器）组成；另一组由非PE设备，传感器和最终控制部件构成。这是本文讨论的重点。根据IEC61511部分11.5.2的内容选择传感器和最终控制部件，用户有两个选项： 对于SIL1SIL3的应用而言，安全仪表系统部件和子系统适合的条件，应符合IEC61508部分2和部分3或者 符合IEC61511部分11.4和部分11.5.3到11.5.6的要求，基于以

6、往使用选择部件和子系统的要求。 图3：IEC61511的两个选项，用于选择SIS的传感器设计时选择IEC61508或者IEC61511以往使用的不同之处是：对传感器或者最终部件功能是否适合于SIS应用的需求，由谁负责证据的提供，证据的分界和证据的采用。下面是一个证据提供的简单图解。当使用一个符合IEC61508认证的安全型液位传感器，设备的能力和限制包括了浸湿部分。用户负责保证传感器与过程接口没有任何未检测到的失效。这个评估还必须考虑未检测到失效模式过程可能引起传感器浸湿部分的物理伤害，诸如水锤，腐蚀，氢渗透或氢脆变。用户负责决定指派接口的PFD（要求时失效概率）。用户负责提供所有相关以往使用

7、条款的证据。用户决定这些传感器的PFD、性能和限制。以往使用评估还包括一个完整过程接口的危险未检测到失效的评估。图4：提供SIS传感器证据的责任符合IEC61508部分2和3传感器的选择按IEC61508标准设计的传感器，表示现场仪表的设计满足了IEC部分2和3中对硬件、系统和软件的详细要求。这个标准使用安全完整性等级（SIL）表，并把它应用于仪表系统设计，做为设备“安全等级”的测量。制造商遵从IEC61508使用的典型方法如下所示： 制定安全要求和安全要求规范； 按部分2的“规则”设计仪表体系结构和硬件； 按部分3的“规则”设计、校验、验证和控制软件和系统达到希望的SIL等级（设备安全等级）

8、； 完成故障插入测试校验诊断； 执行对变化管理的控制过程； 执行制造控制，确保设备的安全不降级； 完成失效模式影响诊断分析（FMEDA），决定失效率，安全失效分数（SFF）和要求时的失效概率（PFD）； 对特定的PFD，详述设备“检验测试”的要求； 与认证机构签约，如何对第三厂家的设计要求、硬件、软件、系统和设计控制进行复审； 由认证机构提交对第三厂家的证明和报告； 制造商提供一本“安全手册”文件，使用户能够在SIS应用中，正确地使用产品。 制造商把产品提交给认证机构，证明产品满足所有要求。如果产品确实满足了要求，认证机构会公布一张证书，证明产品满足IEC61508的所有要求。下图是一个认证证

9、书的样例。证书指明了产品名称，产品分类和可适用的硬件和软件SIL等级。图5：由TUV认证的传感器证书样例，证明传感器遵从IEC61508部分2和3所列出的要求认证机构包括了RWTUV-Augsburg-Germany,TUVSud,TUVRhineland,FactoryMutual,USA,和很多其他机构。在某些情况下，制造商会邀请工业专家帮助产品满足安全要求。这些专家，比如EXIDA或者Risknowledgy，不是认证机构的人员，但能提供专门的技术满足IEC61508要求，帮助实施诸如完成FMEDA过程，制定产品的安全要求。所有产品都有局限。这些限制在选择前需要进行检查。按IEC6150

10、8设计产品的限制要在产品安全手册中列出。安全手册至少要告诉用户：产品的安装、配置和安全操作要求、产品生命周期和维护要求诸如产品例行测试。传感器失效数据和PFD信息能够从产品的FMEDA中直接获得。如果有下面的情况，测量可能受物理环境的影响，超出了传感器的认证范围，诸如由于过程不洁或隔膜密封造成线路脉冲或初级部件阻塞，必须对PFD进行调整。用户把“按IEC61508设计”传感器用于SIS具有重要的价值。 容易遵从IEC61511，供应商负责提供设备的安全等级文件； 保证失效率数据和PFD值有效并且正确； SIS应用符合国际标准IEC61508（最小化系统的软件失效特别重要），保证仪表设计满足优秀

11、工程实践； 保证制造商在产品生命周期里，有处理“变化管理”的能力； 提供的安全手册和认证报告，可确保SIS的正确执行。 虽然“按IEC61508设计”为SIS设计师增加的价值，但在指定传感器时必须非常地小心。选择传感器的重要问题包括： 安全复审和认证不意味着可靠性复审已经完成“安全”不意味着“可靠”。因此要进行失效率的彻底复审，减少潜在的可能差错。 按IEC61508设计的复审就像“白皮书”分析，没有操作经验方面的要求。在SIS应用中使用未经测试、未经证明的设备会带来非常高的风险。在把传感器安装到SIS应用前，用户应该具有使用设备的经验。 由制造商提供的失效率数据不包含过程接口的失效率。而这在

12、选择传感器时是非常重要的。一个高安全失效分数（来自传感器潜在危险失效的一个低）不包括诸如线路堵塞、线路冷冻、线路滑块或气体渗入的危险失效。 用户必须认真阅读证明陈述和安全手册很多设计需要有效的检验或者对它们的使用具有严格限制，才能保证安全认证有效性。 基于以往使用传感器的选择制定IEC61508和IEC61511的国际委员会认为：用户应该制定证明SIS回路部件的其他标准。因此，包括了以往使用（也称为使用证明）的条款。以往使用条款承认用户的方法论，接受不是按IEC61508部分2和3设计的传感器和控制器部件用于SIS应用。IEC61511中对以往使用的条款有下面陈述：IEC61511-1，部分1

13、1.5.3.1：“应提供部件和子系统适用于该安全仪表系统的适当证据”。用于传感器的“适当证据”必须要有相关的证明文件。（参考IEC61511-1，部分11.5.3.2）： 制造商的质量、管理和配置管理系统的考虑； 这个条款要求设备的制造商确认，具有保证产品一致性的质量系统和当硬件和软件变更时，具有变化系统的管理。 部件或子系统满足要求的标识和规范； o这个条款要求以往使用产品具有硬件和软件资格标识。意图是当制造商更改产品时，让用户知道和评估SIF（安全仪表功能）影响。 在类似操作行规和实际环境中部件或子系统性能的证明； 这个条款要求资格设备证明一直在现场操作并且与设计的SIS物理环境相似。这个

14、条款的意图是确认PFD计算与设计的应用计算相同。 大量的操作经验； o这个条款要求证明产品连续性能评估的证据。这个条款的意图是确保用户在初始检验后能连续监视产品。为了满足这些要求，标准允许用户对操作经验进行成文，从基本流程控制应用到SIS应用。然而，标准要求操作经验与计划的SIS应用条件相同，收集的数据具有统计意义。另外，只有用户能够建立针对IEC61511的以往使用；供应商不能做这种申明。以往使用的传感器对PFD贡献必须由用户来计算。用户能够使用制造商产品的FMEDA做为起始点，然后用流程条件调整或确认计算PFD，但不能直接使用FMEDA中的数据而不做其他考虑。用户把“按IEC61508设计

15、”的传感器用于SIS具有重要的价值。 传感器具有知名的可靠性； 传感器已经被设计师和维护技师所熟悉； 传感器具有SIS和BPCS（基本过程控制系统）的使用实践； 对维护人员不需外加的培训； 节省备件清单的种类； 传感器失效历史一般包括过程接口的失效。 这就是为什么IEC61511仅允许用户建立以往使用，不是制造商或者供应商。用户知道更多关于这些传感器在现场的执行情况。IEC61511-1，范围b）：适用于把满足IEC61508或者IEC61511部分中11.5要求的设备（以往使用或使用证明）集成到可用于过程领域应用的整体系统中时，但并不适用于希望申明装置适用于过程领域的安全仪表系统的制造商。虽

16、然“以往使用”对用户提供了一些优势，但也有很多隐含的成本和风险，因此用户必须： 在传感器操作小时、环境和失效率方面维护文件，结果会增加维护成本（MaintEx）； 以往使用变化影响的监视管理。由于部件变化、或者增加特性、或者降低成本，制造商会不断改进传感器。这些变化对传感器操作能力的影响需要重新评估，做为证明文件申明。有些情况下，型状、安装、或者功能的变化可能否定以前所有的证据，检验过程必须从头再进行一遍（CapEx，MaintEx）。 传感器选择和它对硬件故障裕度的影响故障裕度定义为一个部件或子系统在有一个或几个硬件危险故障的情况下，仍能继续承担所要求的仪表安全功能的能力。这个能力由需要冗余

17、传感器的最小数量来表示。按SIL的要求见IEC61511-1的表6所示。这个表的第一列为SIL等级，第二列为故障裕度最小值。比如，一个SIL2应用需要一个冗余传感器。一个SIL3应用需要两个冗余传感器。IEC61511表6：用于传感器、最终部件和非可编程电子逻辑解算器的硬件故障裕度硬件故障裕度要求不影响认证或以往使用传感器的选择对于以往使用传感器，IEC61511部分11.4.4陈述：当使用的装置符合所有下列各项时，表6中规定的除PE（可编程电子）逻辑解算器以外所有子系统（如传感器、最终部件和非PE逻辑解算器），最低硬件故障裕度可减1： 根据以往使用选择设备硬件； 设备只允许调整过程参数；如测

18、量范围、上下限失效指示； 设备过程参数的调整要受保护，如跳线、密码等。 按IEC61508、IEC61511部分11.4.5设计的设备陈述为：若根据IEC61508-2的表2和表3进行一次评估，则可使用替代的故障裕度要求。这个陈述指示用户可根据IEC61508硬件故障裕度表选择类型A或者类型B设备。这些表根据安全失效分数（SFF）指定需要冗余传感器的数量。已知一个设备按IEC61508要求设计，SFF90，表3（类型B设备）展示了和IEC61511表6中减1相同的故障裕度要求。IEC61508表2:硬件安全完整性：B类安全相关子系统的结构约束这个标准下一步要求设计师复审所有过程接口可能引起危险

19、失效条件的影响。对于传感器，这些内容包括线路泄漏、冷冻、气体渗透等等。如果存在潜在的危险失效，故障裕度必须加1。图6：对被认证的设备需要清洁的接口做故障裕度信用下面的表（表1）是调整过的硬件故障裕度表，是减1的故障裕度。它可以用于满足以往使用要求或被认证SFF90并清洁接口过程的传感器。表1带信用的硬件故障裕度表应该知道的是：当考虑使用允许的信用时，安全和可用性经常交换使用。公共原因/公共模式/系统失效 虽然公共原因和公共模式在定义标准中稍微有些不同，公共原因和公共模式使用起来是同义的。这些失效定义为失效影响冗余系统两个或多个通道。一个这样的例子是电磁干扰会影响传感器。如果这种传感器使用2oo

20、3表决机制，这些传感器暴露在电磁区域，现场影响可能是消极的，影响所有传感器的输出，引起相同的错误结果和可能不安全的条件。另一些公共原因引起刺激的例子如温度瞬时变化、物理冲击、振动、设计错误、或维护错误。定义公共原因的术语是因数，并且用百分数表示。因数可以由第三方公司或者用户来计算。对于冗余系统首先计算PFD，然后乘以因数，最后把结果加到回路PFD。有些用户使用多种传感器（不同技术或者不同的供应商）会降低因数。这典型涉及到传感器的多样性。虽然理论上是非常好，但必须考虑产品的维护和对系统运行的影响。传感器能力和限制当选择传感器时，除了迄今为止讨论的内容，还有很多要考虑的问题，最重要的是产品的能力和

21、限制，维护和操作人员的能力和限制，维护“做为设计”用于SIS的功能安全。按IEC61508设计传感器的能力和限制应该写在产品安全手册的要求之中。重要的主题包括检验测试、安全精度、安全响应时间和不安全模式的操作。检验测试：IEC61511条款16.2.2要求制定的维护规程确保遵从SIL。计划的主要部分是决定检验测试和设定检验间隔。检验测试是用于SIS应用部件的IEC61511要求，并且是用于回路部件的IEC61508认证过程。制造商制定认证传感器的测试不是在危险不被检测失效模式。检验测试在产品安全手册中给出，并且表示覆盖的百分比。这个百分比是计算的一部分，用于维护SIL等级和遵从PFD。图7：设

22、计检验测试发现危险不被检测的失效考虑的事情是检测的复杂性，在检测期间需要旁路SIS，危险事件造成的结果和多长时间执行一次检测。所有这些都非常重要，就像维护行为造成的失效会驱动SIS动作并且停止工厂部分或者全部的生产。理想的传感器应该可以容易检验，测试周期等于或者大于正常停止的间隔。允许传感器的测试离线进行。以往使用传感器的检验测试由用户制定。以往使用检验测试也不特殊设计对检测传感器的特定不被检测危险故障，就像这里的分析不是以往使用传感器资格的一部分。通常使用日常维护，来证明传感器的资格。测试就像对设备进行简单的校准一样容易和熟悉。简单是有吸引力的，但问题是你不知道是否太频繁、不够频繁、或者没有

23、测试到正常的失效。幸运的是，制造商已经认识到这一点，并且把FMEDA分析范围扩大，包括传感器的检验。安全精度：安全精度与传感器精度是不同的。有些认证的智能安全传感器满足IEC61508部分2和3，在传感器内具有反馈机制，比较实际的mA输出和数字输出。另外能够设定一个阀值，在认为输出危险不被检测或者不安全前，允许关键部件一定量的漂移。传感器安全精度的典型值为25。图8：智能传感器带输出比较器的基本功能框图安全响应时间：与安全精度相似，安全响应时间一般是与传感器响应时间不同的。传感器响应时间是从输入传感器变化到输出响应这个变化使用的时间。安全响应时间是传感器响应时间加上运行所有诊断所用的时间。典型的安全响应时间为15秒钟。一个有资格传感器的能力和限制由用户以往使用的条款来定义。这可能产生潜在安全问题，就像用户可能不知道传感器所有的能力、限制、或者失效模式。幸运的是制造商已经