应用案例

Soldo产品安全仪表功能的设计和SIL证书确认

发表时间:2020-07-12


Soldo产品安全仪表功能的设计和SIL证书确认


1. 引言

IEC 61511标准中的安全生命周期划分为分析阶段、实现阶段和操作阶段,在分析阶段要进行工厂或 装置的危险和风险分析,安全保护层的设计和安全要 求规范(SRS)的编制。在实现阶段中要根据安全要求 规范中的安全仪表功能(SIF)要求来合理的设计安 全仪表系统(SIS)和安全仪表功能,选择合适的功能 安全设备,确认诊断和测试的技术和安全仪表功能的 验证,包括SIL的确认。以下简要介绍了分析阶段的主 要内容和实施过程。

Soldo产品安全仪表功能的设计和SIL证书确认


2. 按照安全要求规范设计安全仪表功能

安全仪表系统(SIS)的安全仪表功能(SIF) 设计要根据安全仪表要求规范(SRS)来完成,作为 IEC 61511中安全生命周期要求的重要性文件,SRS 包括了安全仪表功能(SIF)设计的完整要求。主要包 括以下内容:

(1) 危险及其后果;

(2) 危险性事件的频率;

(3) 相应的P&ID;

(4) 过程安全状态的定义;

(5) 安全仪表功能的描述;

(6) 过程测量参数及跳闸点;

(7) 主设备和辅助设备的响应要求;

(8) 过程测宣和输出的关系,包括逻辑,算法功 能和允许性,定义到所有的操作模式,例如开车,正 常,异常,紧急,停车等;

(9) 所需的安全完整性等级;

(10) 目标测试周期;

(11) 允许的最高误停车率;

(12) SIF的最大响应时间要求;

(13) 手动启动SIF的要求;

(14) SIF复位要求(锁定或自动复位);

(15) 故障诊的SIF响应(自动停车,仅报警或其 它);

(16) 人机界面要求一变量显示和输入;

(17) 旁路维护能力要求;

(18) 跳闸后的平均恢复,开车时间预估;

(19) 正常操作和紧急状态的环境条件。

 除上述内容外,应根据不同的应用和行业的不同 要求增加相应的内容。

确认SRS中的SIF设计目标后,应该进行设备选 择,确认冗余需求,SIF测试技术,以及SIF的确认计 算等,简要设计过程,如图1所示。


          安全要求规范(SRS)

          每个SIF的功能描述,目标乩L,危险降低,过程参数,逻辑,旁路/维护要求,响应时间等。


Soldo产品安全仪表功能的设计和SIL证书确认



图1

3. 设备的选择

用于安全仪表功能的设备,其性能必须符合安全 功能要求,除应选择适合其工艺的材质和满足环境条 件外,并要求对仪表的功能安全进行评估。所有的设 计调整和变更均应以文件的方式做为项目记录的一部 分保存。

ANSI/ISA-84.00.01-2004 (IEC 61511 Mod) 中要求用于SIS中的设备应取得要求的SIL等级的 IEC 61508认证,或根据使用验证(Prior use)的原 (ANSI/ISA-84.00.01-2004 (IEC 61511 Mod), Parti, Section 11.5.3)合理使用。

使用验证(Prior use)在标准中并没有详细定义, 通常认为某个仪表的某个版本在用户公司的多年使用 文档记录中具有成功的应用(无危险故障)记录,则 该仪表也可用于安全仪表功能而不需要安全认证。

使用验证(Prior Use)要求在用户的现场使用中 所有的现场失效和失效模式都具有完备的记录,记录 中应包括仪表的硬件和软件版本,设计的版本变化则 可导致使用验证(Prior Use)数据的失效。

许多用户要求仪表制造商提供使用验证(Prior Use)方面的协助,制造商往往委托第三方公司进行不 同等级的使用验证(Prior Use)的评估,评估由第三方 公司(如TtlV, FM)的专家来完成,通常制造商要求 两个或两个以上的评估公司共同合作完成评估。

产品的功能安全评估方法如下:

(1) SOLDO阀位回讯器产品FMEDA 评估

SOLDO阀门回讯器产品的FMEDA评估是指应用FEDMA (Failure Modes Effects and Diagnostic)对仪表进行硬件分 ,确认仪表的失效率和失效模式。FMEDA是传统的 FMEA的扩展使用,安全工程师可通过采用FEDMA 技术分析得到的数据来进行统计计算和SIF的验证计 算。

在FMEDA分析中包括仪表的使用寿命周期和有 效的验证测试(Proof Test)方式,验证测试(Proof Test)覆盖率用于实际的PFH/PFD/PFDavg计算。

应注意FMEDA分析不能作为选择产品的充分条 件。

(2) SOLDO阀位回讯器使用验证(Prior Use)评估

使用验证(Prior Use)的最初目的是通过获取现 场实际应用的故障数据来验证产品的设计是否存在 缺陷,使用验证(Prior Use)的评估应由最终用户来负责,虽然一些制造商帮助用户提供有关某一设备的使 用验证(Prior Use)的数据和信息,一些制造商还可 提供由第三方评估公司提供的某一设备的现场故障记 录评估。

故障数据应包括硬件故障和软件故障,评估应包 括故障数据获取过程和产品版本的修改过程,制造商 必须提供足够详细的数据获取过程以保证数据的质 量。数据获取的方式、报告和分析应严格审查。

从现场故障记录数据中计算出的故障率与 FMEDA分析中得到的数据进行比较,如果足够低于 FMEDA数据,则证明产品的设计不存在重大缺陷。考 虑到数据的完整性,现场故障记录中的故障率不能用 SIL的验证计算。

(3) 按照IEC 61508进行完整的评估

完整的IEC 61508评估包括FMEDA,使用验证 (Prior Use)和产品硬件以及软件开发中的故障避免 和故障控制手段,同时还包括产品的测试、修改、用户 文件和制造过程的详细分析。

使用验证(Prior Use)中的故障数据记录往往不 能体现所有的故障数据,尤其是系统故障(System Errors)。例如软件故障,某些软件故障可通过软件 “复位”或开关电源来解决而不需要“更”,因而 软件故障不能在用户提供给制造商的维修更换报告中 完全体现出来。

完整的IEC 61508评估保证了系统故障(System Errors)数据的可靠性。在IEC 61508中定义了多种故 障的避免和故障控制的硬件和软件技术,用于减少系 统故障(System Errors),尤其是在产品的IEC 65108 认证中,会明确地注明产品适用的安全等级,如SIL2 SIL3。

表1对不同评估技术的比较进行了简要的描述。

表1

Soldo产品安全仪表功能的设计和SIL证书确认


*视评估机构而定-不是所有的第三方机构都提供。

4. SOLDO产品模拟量回讯与总线冗余结构设计

除了通过合适的设备选择以外,还可以通过子系 统的冗余设计来满足所需要的安全等级。ANSI/ISA- 84.00.01-2004 (IEC 61511 Mod)中有关现场设备的 最小硬件容错(HFT)与SIL等级的关系

如表2所示。

Soldo产品安全仪表功能的设计和SIL证书确认


表2清楚地说明了可以通过增加硬件容错方式来 获取较高的SIL等级,如对于SIF中要求SIL2等级的输 入子系统,在设计中要求采用2台SOLDO阀位回讯器(loo2),对于 SIL3的输入子系统,则要求采用3SOLDO阀位回讯器(loo3)。

标准中说明如果产品的选择基于使用验证(Prior Use)准则,并且符合下列限制条件,则在同样的HFT 下可相应提高1个SIL等级。

(1) 设备只允许进行过程相关参数调整,例如: 测量范围、上限或下限失效指向;

(2) 过程相关参数调整具有保护手段,如密码 等;

(3) SIF的SIL等级要求4。

以上说明在一定的限制条件下,1台先验使用 (Prior Use)的变送器也可以满足SIL2的要求,当然 也可以采用1台取得SIL2认证的变送器。

对于逻辑结算器(Logic Solver)子系统,通常 应采用经IEC 51508认证的产品,认证的SIL等级应等 同或高于SIF中要求SIL等级。

IEC 61508中有关逻辑结算器(Logic Solver) SIL等级与HFT关系要求(Type B)

如表3所示

Soldo产品安全仪表功能的设计和SIL证书确认

从上表中可以得出结论,如果SFF值足够高,在不 增加HFT的条件下也可获得较高的安全等级,如:当 SFF>99%, HFT=0 (单路结构)也可达到SIL3级。


5. SOLDO阀位回讯器验证SIF设计是否符合功能整体要求和SIL 确认

在IEC 61508中对执行SIF功能的设备定义了 3种操作模式(见表4),连续要求(命令)操作模式 (Continuous Demand),高要求操作(命令)模式 (High Demand)和低要求操作(命令)模式(Low Demand),针对执行3种不同操作模式的设备,其与测 试技术的关系是不同的。

Soldo产品安全仪表功能的设计和SIL证书确认

对于低要求(命令)操作模式(Low Demand) SIF验证应该包括:

(1) 定义验证测试程序。

(2) 通过预估的验证诊断覆盖率确定验证测试 程序的有效性。

应该根据IEC 61508或ANSI/ISA 84.00.01-2004 (IEC 61511)的要求,对SIF的设计进行SIL等级的确 认计算,验证SIF的最终设计是否满足SRS中的设计 要求。计算方法包括故障树(Fault Trees)分析,马尔 可夫模型(Markov Models)等,并以文件的形式出具 验证报告。

设备硬件SIL的确认过程如图2所示。


Soldo产品安全仪表功能的设计和SIL证书确认

        1-连续要求(命令)操作模式(Continuous Demand):因为DI <= ATI; DI v= PTI,所以,手动 验证测试和自动诊断的测试技术均不会对单通道系 (lool)的产生影响,测试技术仅与冗余系统相 美。

        2-高要求(命令)操作模式(High Demand): 因为DI » ATI; DI <= PTL所以自动诊断的测试技 术即使对单通道系统(lool)也会产生影响,而手动验 证测试则不会产生影响。

        3-低要求(命令)模式(Low Demand):因为 DI » ATI; DI » PTI,所以手动验证测试和自动诊 断的测试技术都会对系统产生影响,即使是单通道系 (lool) O

针对过程工业,多数情况下的SIF均为低要求(命 令)操作模式(Low Demand),尤其是在正确设计了 独立保护层的条件下。

IEC 61508中的低要求(命令)操作模式(Low Demand)下的SIL等级与平均的要求(命令)失效概 率PFDavg的关系

如表5所示

Soldo产品安全仪表功能的设计和SIL证书确认


在以下示例中简要地介绍了SOLDO阀位回讯器 SIL2和SIL3的典型 设计和PFD验证计算。

示例1:典型的SIL2回路构成


Soldo产品安全仪表功能的设计和SIL证书确认

SIL2回路配置及验证计算结果如表6所示

Soldo产品安全仪表功能的设计和SIL证书确认

说明:在以上的示例中,传感器子单元选用了 1 TUV认证SIL2的SOLDO安全型阀门回信器,也可以选用1个Prior Use变送器,或者选用2个变送器(loo2),或者选用 3个变送器(2oo3);最终元件子单元选用了 1个具有SOLDO阀位回讯器PST功能的DVC切断阀,也可以选用2个配有电磁阀的 切断阀(loo2);最终的验证计算结果应符合SIL2级。

示例2:典型的SIL 3回路构成

SOLDO阀位回讯器如图4所示

Soldo产品安全仪表功能的设计和SIL证书确认


 SIL3回路配置及验证计算结果如表7所示


Soldo产品安全仪表功能的设计和SIL证书确认

说明:在以上示例中,传感器子单元选用了2 TUV认证SIL2SOLDO阀位回讯器,最终元件子单元选 用了 2个具有SOLDO阀位回讯器PST功能的DVC切断阀,也可以在传感器 孑单元中选用2个Prior Use变送器,或3个变送器( 2oo3), 一个SIL3认证的切断阀,最终验证计算结果符合SIL3等级。

安全仪表系统和安全仪表功能的选择和设计是 过程工业安全生命周期中的重要组成部分,为了有效 地保证过程安全,安全生命周期的每一阶段都至关重 要,无论是分析阶段,还是实施和操作阶段。严格按照 相关国际标准和规范设计使用安全仪表系统,能够有效地降低风险,从而保证工厂的安全运行。

Copyright ©2019 All Rights Reserved 珠海市胜威科自动化设备有限公司

 粤ICP备17134002号-1