SIS安全系统下,用户、设计院、厂家应该如何看待SIL认证!

2018-12-20 10:16:02
 

自安监局116号文件后,SIS安全系统也成了仪表厂家与仪表用户的话题,对于仪表厂家来说,SIS系统下仪表如何选型?是问题;对于仪表用户来说,什么情况下需要上SIS是问题?是问题,本文主要是引入SIS话题,希望有一个准确的说法,可以供大家参考,欢迎圈友一起讨论!

 

国家安全监管总局关于加强化工安全仪表系统管理的指导意见安监总管三〔2014〕116号


(十二)从2016年1月1日起,大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施,要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。
(十三)从2018年1月1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统。 

 

圈友讨论:如何界定项目是否需要上SIS?

 

 
 

SIL评估,现在有很多评估公司!

 

 
 

这个一般根据装置的危险程度而定!

 

 
 

在项目可研,设计院,安监局,环保等单位会有意见!

 

 
 

从理论上讲,需要做HAZOP分析和SIL分析,才能知道是否需要SIS,需要什么等级的SIS,有国标与IEC等效的gb/t20483,常用的设计标准gb/t50770。

 

 
 

目前只能按照惯例来设置SIS吧,IEC61511将SIS安全生命周期,分为分析-工程实施-操作运行三阶段,在分析阶段根据必要的风险降低和保护层安全功能分配结果决定是否需要上SIS系统。大于等于SIL1就要求上。中石化,中石油都有明文规定要求做。

 

 
 

GB50770内说明SIL1级测量仪表可以与基本控制系统共用。

 

 

 

新旧项目都要求做,还要验证。

 

 
 

HAZOP只是其中的一种分析方法,它是保护层的定性分析,LOPA是最终定量分析,也就是最终确定SIL等级的。

 

 
 

SIS的确认需要定性分析,HAZOP是目前主流分析方法,目前很多SIS系统的仪表没有SIL认证主要原因是节省投资。安监总局的文件主要是根据工艺特性作了简单粗暴的划分,和规范要求区分开来才有利于理解。

 

 
 

回路的SIL等级是从HAZOP到LOPA分析后的出来的,而要判断某个SIL回路是否满足安全等级要求,就得计算了,包括仪表,电缆,卡件,控制器等因素。

 

 

SIS安全仪表系统在功能和规范上有诸多要求在安全认证上也是如此,如TUV和SIL认证,TUV属于德国莱茵认证,产品取得TUV 标志认证,表明该产品已经通过TUV 南德或TUV莱茵独立的测试和工厂审查,证明该产品满足相关欧洲或国际标准的安全要求。

TUV 标志在欧洲乃至全球受到生产厂商和各国认证机构的广泛认可;

SIL英文全称:Safety integrity Level——安全完整性等级,是新引进的标准,SIL认证,国际上公认的一种功能安全认证,是根据国际电工委员会IEC颁布的功能安全标准IEC 61508(已转化为国标GB/T 20438归口标委会SAC/TC124/SC10)中对相关产品进行考核的认证的要求。需要做SIL认证的产品,都是使用可能对人、环境或财产造成较高危害的场合,考核的主要目的也是,不能因为产品本身的功能问题,引起人员的伤害、环境污染和财产损失。

现在国内化工企业对于SIL或者TUV基本上是知之甚少,导致了安监局让做安全系统的时候手忙脚乱,根本不知在哪里入手。

什么是SIL认证?

SIL认证就是基于IEC 61508(GB/T 20438), IEC 61511(GB/T 21109), IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准,对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估,硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。

SIL认证一共分为4个等级,SIL1、SIL2、SIL3、SIL4,包括对产品和对系统两个层次。 其中,以SIL4的要求最高。

 

主要标准:

  • IEC 61508:

电气/电子/可编程电子安全相关系统的功能安全性

IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计,其目标是既避免系统性设计故障,又避免随机性硬件失效。

IEC61508标准的主要目标为:

· 对所有的包括软、硬件在内的安全相关系统的元器件,在生命周期范围提供安全监督的系统方法;

· 提供确定安全相关系统安全功能要求的方法;

· 建立基础标准,使其可直接应用于所有工业领域。同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等);

· 鼓励运营商和维护部门使用以计算机为基础的技术;

· 建立概念统一、协调一致的标准架构和体系。

  • IEC61511:

过程工业领域安全仪表系统的功能安全要求

IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准,它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准,IEC61511在国内的协调标准为GB/T 21109。在过程工业中,仪表安全系统都被用来执行仪表安全功能,IEC61511标准解决了仪表应达到怎样的安全完整性和性能水平的问题。

对于与安全相关的装置安全功能的确认,SIL等级是全世界广泛认可的安全完整性定义方法。针对过程控制行业,与之相关的国际标准主要有IEC 61508 标准(设计和运行安全仪表系统的基础根据),IEC 61511 标准主要关注过程控制应用的系统,针对装置设计人员遵照 IEC 61511 标准并根据 IEC 61508 标准来完成设计。

  • ISO13849-1:

机械安全.控制系统的相关安全部分.第1部分:设计用一般原理

新版 ISO13849-1 标准在以往要求系统的确定性上,增加了一些系统故障概率方面的评估,从而可以实现从零部件到系统进行全面性安全评估。同时该标准也为设计人员提供了更多的,可以量化的设计实现方法,如增加了系统安全等级 (PLr)、系统平均无危险故障时间 (MTTFd)、系统诊断检测范围 (DC)、共因故障预防 (CCF)等参数,从而有效的解决了原有 EN954-1 标准无法实现定量化判断系统安全性的问题。

新版 ISO13849-1 标准针对一些新型的控制方法,提供了更有效的安全评估解决方案。可提升控制系统越来越复杂的机械设备的安全等级,保证生产安全性和高效率,并且结合新技术和设计经验,帮助企业在总体效率、生产力和灵活性方面得到提升,保证连续性生产,减少意外停机时间,并降低开发、操作和维护成本。尽快执行该项标准,可保证机械制造商在激烈竞争中抢得市场先机。

  • IEC62061:

机械安全.与安全有关的电气、电子和可编程序电子控制系统的功能安全

IEC/EN 62061与EN ISO 13849-1:2008标准均包含了与安全有关的电气控制系统。采用这两种标准后,可获得同样等级的安全性能与安全完整性。每种标准采用的方法存在差异,但都适于各自的读者。EN ISO 13849-1:2008在其说明部分的表1中给出一种限定情况。当采用复杂的可编程技术时,应将最高PL性能等级定义为PLd。

为了能够采用复杂的、可由先前非传统系统结构执行的安全功能,IEC/EN 62061标准提供相应的方法。为了提供采用传统的系统结构执行更传统的安全功能所需的更直接、更简单的路径,EN ISO 13849-1:2008标准也给出了相应的方法。这两种标准的重要区别是适用于不同的技术领域。IEC/EN 62061标准仅限于在电气系统领域。EN ISO 13849-1:2008标准则适用于启动、液压、机械以及电气系统。主要定义的参数为PFH、MTTF、DC、SFF等。

  • IEC61326-3-2:

测量、控制和实验室用电气设备.电磁兼容性(EMC)的要求:与安全相关的系统和用于与执行安全相关功能(功能安全)

IEC 61326-3-1和IEC 61326-3-2标准已经发布,其中规定了安全相关设备的抗扰度水平的附加要求,包括概率非常低的可能发生在任何场所的极端情况。试验模拟设备工作状态下严酷的电磁现象,如瞬时脉冲是模拟数字电路或者数字信号传输的瞬变状态。为了增加安全完整性等级(SIL)的电磁抗扰度的可置信度,在进行抗电磁现象性能试验时相对于基础标准要施加更多数量的脉冲或者加长试验的时间以及提高试验等级。例如对用于SIL3的设备,电快速瞬变试验的等级为4kV,试验持续时间应为基础标准规定时间的5倍。

  • ISO26262:

道路车辆系统设计功能安全

制定ISO 26262标准的目的是使得人们对安全相关功能有一个更好的理解,并尽可能明确地对它们进行解释。ISO 26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。此标准一经提出,即受到了各大汽车制造商、汽车零部件商的高度重视,并积极推动该标准在产品开发中的执行。

基于IEC 61508标准基础上,ISO 26262标准定义了电气、电子系统的使用安全性。汽车设计中的一大难点是如何预先评估潜在的危害和风险,并且采取适当的方法来减小这些风险。为了促进这一过程,ISO规定在开发工作的开始必须要进行“危害和风险分析”。

汽车工业均使用高性能的电子器件进行车辆的安全控制,全球知名各大汽车厂商所共同制定并认可的 ISO 26262 功能安全标准即针对车辆用电子零件、软硬件产品设计的要求进行规范。随着 ISO 26262 的颁布和实施,未来亦能够降低车辆可能发生的风险及意外发生时的危害程度,近而使国内的车辆工业提升国际未来的适应力与竞争能力。

  • IEC61800-5-2:

可调速的电动设备标准.第5-2部分: 功能安全要求

IEC61800-5-2定义了集成安全驱动器的安全功能,其中定义了一系列停车功能(Stop),即:

· 安全断开的力矩/安全中断扭距(STO- Safe Torque Off);

· 安全停车1/SS1(Safety Stop1)/ 安全停车2/SS2(Safety Stop2)

· 安全操作停止(Safety Operation Halt)

IEC61800-5-2同样定义了一些监控功能,这些监控功能方面有:加速度安全限制;步程安全限制;运动方向安全限制;速度安全限制;矩/力安全限制;位置安全限制;电动机温度安全限制。

IEC61800-5-2标准主要针对安全编码器,安全解码器,交流伺服系统,伺服驱动器,伺服马达等系统提出了功能安全要求。例如,符合功能安全技术要求的马达控制器将支持安全扭矩停止(STO)以及安全停止 1 ( SS1 ) 等安全功能,防止意外启动的发生,产品设计必须符合 EN 61800-5-2 标准中的要求。IEC61800-5-2标准已经转化成为国标,标准号为GB/T 12668.5.2,国内对口的标委会为全国电力电子学标准化技术委员会调速电气传动系统半导体电力变流器分技术委员会(TC60/SC1)。

  • EN50156

IEC 61784-3:

测量和控制数字数据通信 第三部分 工业网络功能安全行规

该标准主要定义了如下内容:

1, 执行IEC 61508种安全相关数据通讯的要求基本原则,包含潜在的错误传输,应对措施和影响数据完整性方面的规定

2. 各种技术实现的通用内容

3. 各种通讯行规簇的功能安全行规的独立描述

4. 规定了几种安全通讯层,作为IEC61784-1和IEC61158系列标准中通讯服务行规部分。

  • EN50126

铁路应用:可靠性、可用性、可维护性和安全性(RAMS)规范和说明

该标准定义了系统的RAMS(reliability、availability、maintainability和safety),即可靠性、可用性、可维护性和安全性,并且规定了安全生命周期内各个阶段对RAMS的管理和要求,RAMS作为系统服务质量衡量的一个重要特征,是在整个系统安全生命周期内的各个阶段通过设计理念、技术方法而得到的。

  • EN50128

铁路应用:铁路控制和防护系统的软件

对铁路控制和防护系统的软件进行了安全完善度等级(SIL)的划分,针对不同的安全要求制订了相应的标准,按不同等级对整体软件开发、评估、检测过程中,包括对软件需求规格、测试规格、软件结构、软件设计开发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等提出相应的程序制定初相应的规范与要求。

  • EN50129

铁路应用:安全相关电子系统

对于安全管理,引入IEC61508提出的安全生命周期概念,就是说对于安全相关系统的安全部分,在设计时按照该步骤进行设计,并且需要进行全程的安全评估和验证,目的是进一步减少和安全相关的人为失误,进而减少系统故障风险。

 

SIL认证流程是?

第一阶段 概念评估

检查、评估安全概念

出具概念评估报告

第二阶段 主  检

进一步的功能、安全和环境测试

出具测试报告

第三阶段 发 证

进入测试产品发证流程

颁发证书

  • 概念评估阶段主要任务

  1. 检查并评审产品需求规范和安全设计概念

  2. 在产品各个生命周期阶段,尤其在开发过程中(质量管理),检查并评估故障避免措施的计划

  3. 编辑并评估检测和控制故障需采取的措施(诊断)FMEDA, 评价是否安全完整等级能够达到预期的目的

  4. 文件系统的审核(设计和质量管理)

  5. 电气安全,电磁兼容,环境测试需求的定义

  6. 为主检阶段出具项目计划

  7. 根据概念评估的结果出具报告

  • 主检阶段主要任务

  1. 测试所有的安全相关的功能,功能性的和最坏情况分析(软硬件)

  2. 检测和控制故障的验证(故障插入测试),FMEDA的验证与执行。

  3. 软件验证测试的评审(模块,集成测试,系统测试)

  4. 对开发过程中创建的产品文档评审(设计文档,测试、验证、审核记录)

  5. 安全相关的可靠性数据的定义及计算  (SIL CL, PL, PFD/PFH, SFF etc.)

  6. 电气安全的测试

  7. 环境测试(incl.EMC)

  8. 用户文档的检查(安装,操作手册,安全手册)

  9. 提供测试报告

  • 颁发证书

基于测试报告,认证机构颁发证书

 

案例分析

假如你现在实施一个SIS项目, 其中有一个燃气锅炉的安全释放回路是要求SIL3的话。 

 

1、那么你的控制系统必须是 SIL3等级的。 

这个很容易达到,大家都是这样做的。

 
2、 IO必须是SIL3等级的。

也很容易达到,不过极个别厂家的IO 只能到SIL2等级。

 
3. 去带动安全阀动作的继电器都必须是SIL3的! 
目前,几乎没有人这样做! 我们看到的是很多专业做燃气轮机的,如GE,ABB-Alstom,西门子PG等,还有HIMA厂家,他们倒是都配置了获得了故障安全认证的安全型继电器。 


4. 如果你的安全阀安装在防爆区。 那么不能用继电器,应该用DO型安全栅。 
你的安全栅也应该是 SIL3 安全等级的! 
遗憾的是,在我个人的印象中,P+F的K系列是SIL2的安全等级认证。 
MTL的大多数型号没有安全认证,有认证的基本上也都是SIL2等级。 


5. 你的安全阀也必须是有认证的! 
例如梅索尼兰的专门的安全阀,或者Emerson-Fisher的专门的安全阀, 或者其他的专业的经过TUV认证的执行机构。 而且安全阀是最终的执行元件。其安全等级必须达到SIL3! 


6. 上述是你的执行回路,你的检测回路一样也必须达到SIL3等级。 
例如你的测压力的AI模块必须是SIL3认证的IO模块; 
你的AI的安全栅。必须是SIL3认证的安全栅; 
你的压力变送器必须是SIL3认证的压力变送器。 

7. 关于安全等级计算! 
A、目前地球上的压力变送器都是SIL2 安全认证等级的,你如何保证你的检测回路达到SIL3 ?
答:你应该仔细阅读 TUV规范,按照标准进行计算。 例如采用 3个SIL2 认证的压力变送器做3取1求中值或者 3取2表决, 这样,虽然每个压力变送器都不能达到SIL3安全等级,但是你的 AI检测回路达到SIL3了! 


B、关于安全栅和1入多出型安全栅!
现实情况:假如你需要一个2取1的 AI检测。 
在国内,不是安装2个压力变送器,进2个安全栅,再进2个AI模块, 
而是只安装1个压力变送器,进1个安全栅,这个安全栅是1入2出型,分别进2个AI模块。 安全栅挂了,你认为你就是配置 AI的2取1 或者3取2,甚至M取N的表决有用没? 仔细看一下老外的做法,这种1入多出型安全栅本身主要是给多个系统分配信号用的。 
例如一个压力变送器的信号,既要进DCS,又要进SIS-ESD,可以用1入2出型安全栅进行信号分配。实现同一个信号进多个控制系统的目的。 

 

对于你的变送器本身安全等级就达不到,安全栅本身安全等级也达不到的这种客观情况, 应该采用3个变送器做3取2表决,安装3个SIL2 安全等级的压力变送器,进3个SIL2 安全等级的安全栅,进3个AI模块,然后再CPU中作相应的表决计算。以保证 AI检测回路达到SIL3的等级。 

你的安全型控制系统,不管是Triconex,还是HIMA,还是ICS。 
你配置的再高端。你再符合TUV的规范,你再做多么高级别的冗余和表决。哪怕你是SIL4的, 只要你的外围器件达不到相应的安全等级,回路整体就达不到相应的安全等级。 


例如你选择了单AI,单变送器(SIL2),单安全栅(SIL2),你自己算你的AI 检测回路是多高的等级?你选择了一个破烂普通的继电器,例如Omron或者和泉,选择了一个普通的没有经过认证的安全释放阀。你自己计算你的安全释放回路是多高的等级? 

C、业主大部分时候都不懂。 
SIS 无非是一个更加贵一点的 PLC而已。按照公司的套路把项目做完就行了。至于哪样更安全,应该怎么配置,应该怎么评定安全等级,应该怎么测试。这不是我考虑的问题的,我也没有相应的水平,我也不具备相应的能力,我也只是个干活的,干SIS 还是干仪表,还是干PLC,对我来说,没有任何的差别。 

D、安全等级在现场每个项目的实际中,计算是一个相当麻烦的问题。 
而且从原则上来说,计算安全等级和评定安全等级,是需要相应的有资质的机构来进行的。 不过做为业主,必须要清醒的认识到,你的安全系统的安全等级是一个系统的概念,是一个整体的概念,不是给你配了Triconex ,他就达到了SIL3,也不是给你配置了HIMA Planna,他就达到了SIl4,更不是照套路给你照搬了 ABB AC160,他就达到了核电的安全等级。 
既然说安全等级是一个系统的概念,整体的概念。那么,其实,安全系统的最终安全等级,其实基本上取决于你的系统中最烂的那一块,最低的那一块。 
直白的说,不管你配置多么高档的SIS-ESD 安全型控制系统,你采用了一个破烂的变送器。并且这个变送器没有做任何的安全增强措施(例如冗余或者表决),你的这个系统安全等级和一个常规的PLC,DCS系统没有任何本质上的区别。 

安全型控制系统是整个SIS的大脑,对!没问题。 但是既然我说了,这是一个整体的概念,一个系统的概念,那么除了大脑要足够安全外,你的手、脚、身体的每一个部件都要足够的安全,这才是一个健康的完整的人。 

E、目前安全型执行机构,安全型阀门越来越得到大家的认可。 
但是其他的,如具有认证的变送器,传感器,具备安全认证的安全栅,具有安全认证的继电器。这些外围的元器件大家的重视还不够。 
 

 

那么究竟什么情况下需要上SIS?安全仪表系统下我们应该如何选型?是我们要不断思考的问题,如果你有想法,有观点,有支撑,欢迎在底部留言,与圈友们共同分享!谢谢!

 

 

本文整理自网络,个别引用归原作者所有,不完善之处,欢迎圈友补充!

 

自安监局116号文件后,SIS安全系统也成了仪表厂家与仪表用户的话题,对于仪表厂家来说,SIS系统下仪表如何选型?是问题;对于仪表用户来说,什么情况下需要上SIS是问题?是问题,本文主要是引入SIS话题,希望有一个准确的说法,可以供大家参考,欢迎圈友一起讨论!

 

国家安全监管总局关于加强化工安全仪表系统管理的指导意见安监总管三〔2014〕116号


(十二)从2016年1月1日起,大型和外商独资合资等具备条件的化工企业新建涉及“两重点一重大”的化工装置和危险化学品储存设施,要按照本指导意见的要求设计符合相关标准规定的安全仪表系统。
(十三)从2018年1月1日起,所有新建涉及“两重点一重大”的化工装置和危险化学品储存设施要设计符合要求的安全仪表系统。其他新建化工装置、危险化学品储存设施安全仪表系统,从2020年1月1日起,应执行功能安全相关标准要求,设计符合要求的安全仪表系统。 

 

圈友讨论:如何界定项目是否需要上SIS?

 

 

SIL评估,现在有很多评估公司!

 

 

这个一般根据装置的危险程度而定!

 

 

在项目可研,设计院,安监局,环保等单位会有意见!

 

 

从理论上讲,需要做HAZOP分析和SIL分析,才能知道是否需要SIS,需要什么等级的SIS,有国标与IEC等效的gb/t20483,常用的设计标准gb/t50770。

 

 

目前只能按照惯例来设置SIS吧,IEC61511将SIS安全生命周期,分为分析-工程实施-操作运行三阶段,在分析阶段根据必要的风险降低和保护层安全功能分配结果决定是否需要上SIS系统。大于等于SIL1就要求上。中石化,中石油都有明文规定要求做。

 

 

GB50770内说明SIL1级测量仪表可以与基本控制系统共用。

 

 

新旧项目都要求做,还要验证。

 

 

HAZOP只是其中的一种分析方法,它是保护层的定性分析,LOPA是最终定量分析,也就是最终确定SIL等级的。

 

 

SIS的确认需要定性分析,HAZOP是目前主流分析方法,目前很多SIS系统的仪表没有SIL认证主要原因是节省投资。安监总局的文件主要是根据工艺特性作了简单粗暴的划分,和规范要求区分开来才有利于理解。

 

 

回路的SIL等级是从HAZOP到LOPA分析后的出来的,而要判断某个SIL回路是否满足安全等级要求,就得计算了,包括仪表,电缆,卡件,控制器等因素。

 

 

SIS安全仪表系统在功能和规范上有诸多要求在安全认证上也是如此,如TUV和SIL认证,TUV属于德国莱茵认证,产品取得TUV 标志认证,表明该产品已经通过TUV 南德或TUV莱茵独立的测试和工厂审查,证明该产品满足相关欧洲或国际标准的安全要求。

TUV 标志在欧洲乃至全球受到生产厂商和各国认证机构的广泛认可;

SIL英文全称:Safety integrity Level——安全完整性等级,是新引进的标准,SIL认证,国际上公认的一种功能安全认证,是根据国际电工委员会IEC颁布的功能安全标准IEC 61508(已转化为国标GB/T 20438归口标委会SAC/TC124/SC10)中对相关产品进行考核的认证的要求。需要做SIL认证的产品,都是使用可能对人、环境或财产造成较高危害的场合,考核的主要目的也是,不能因为产品本身的功能问题,引起人员的伤害、环境污染和财产损失。

现在国内化工企业对于SIL或者TUV基本上是知之甚少,导致了安监局让做安全系统的时候手忙脚乱,根本不知在哪里入手。

什么是SIL认证?

SIL认证就是基于IEC 61508(GB/T 20438), IEC 61511(GB/T 21109), IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准,对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估,硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。

SIL认证一共分为4个等级,SIL1、SIL2、SIL3、SIL4,包括对产品和对系统两个层次。 其中,以SIL4的要求最高。

 

主要标准:

  • IEC 61508:

电气/电子/可编程电子安全相关系统的功能安全性

IEC61508标准规定了常规系统运行和故障预测能力两方面的基本安全要求。这些要求涵盖了一般安全管理系统、具体产品设计和符合安全要求的过程设计,其目标是既避免系统性设计故障,又避免随机性硬件失效。

IEC61508标准的主要目标为:

· 对所有的包括软、硬件在内的安全相关系统的元器件,在生命周期范围提供安全监督的系统方法;

· 提供确定安全相关系统安全功能要求的方法;

· 建立基础标准,使其可直接应用于所有工业领域。同时,亦可指导其他领域的标准,使这些标准的起草具有一致性(如基本概念、技术术语、对规定安全功能的要求等);

· 鼓励运营商和维护部门使用以计算机为基础的技术;

· 建立概念统一、协调一致的标准架构和体系。

  • IEC61511:

过程工业领域安全仪表系统的功能安全要求

IEC61511是专门针对流程工业领域安全仪表系统的功能安全标准,它是国际电工委员会继功能安全基础标准IEC61508之后推出的专业领域标准,IEC61511在国内的协调标准为GB/T 21109。在过程工业中,仪表安全系统都被用来执行仪表安全功能,IEC61511标准解决了仪表应达到怎样的安全完整性和性能水平的问题。

对于与安全相关的装置安全功能的确认,SIL等级是全世界广泛认可的安全完整性定义方法。针对过程控制行业,与之相关的国际标准主要有IEC 61508 标准(设计和运行安全仪表系统的基础根据),IEC 61511 标准主要关注过程控制应用的系统,针对装置设计人员遵照 IEC 61511 标准并根据 IEC 61508 标准来完成设计。

  • ISO13849-1:

机械安全.控制系统的相关安全部分.第1部分:设计用一般原理

新版 ISO13849-1 标准在以往要求系统的确定性上,增加了一些系统故障概率方面的评估,从而可以实现从零部件到系统进行全面性安全评估。同时该标准也为设计人员提供了更多的,可以量化的设计实现方法,如增加了系统安全等级 (PLr)、系统平均无危险故障时间 (MTTFd)、系统诊断检测范围 (DC)、共因故障预防 (CCF)等参数,从而有效的解决了原有 EN954-1 标准无法实现定量化判断系统安全性的问题。

新版 ISO13849-1 标准针对一些新型的控制方法,提供了更有效的安全评估解决方案。可提升控制系统越来越复杂的机械设备的安全等级,保证生产安全性和高效率,并且结合新技术和设计经验,帮助企业在总体效率、生产力和灵活性方面得到提升,保证连续性生产,减少意外停机时间,并降低开发、操作和维护成本。尽快执行该项标准,可保证机械制造商在激烈竞争中抢得市场先机。

  • IEC62061:

机械安全.与安全有关的电气、电子和可编程序电子控制系统的功能安全

IEC/EN 62061与EN ISO 13849-1:2008标准均包含了与安全有关的电气控制系统。采用这两种标准后,可获得同样等级的安全性能与安全完整性。每种标准采用的方法存在差异,但都适于各自的读者。EN ISO 13849-1:2008在其说明部分的表1中给出一种限定情况。当采用复杂的可编程技术时,应将最高PL性能等级定义为PLd。

为了能够采用复杂的、可由先前非传统系统结构执行的安全功能,IEC/EN 62061标准提供相应的方法。为了提供采用传统的系统结构执行更传统的安全功能所需的更直接、更简单的路径,EN ISO 13849-1:2008标准也给出了相应的方法。这两种标准的重要区别是适用于不同的技术领域。IEC/EN 62061标准仅限于在电气系统领域。EN ISO 13849-1:2008标准则适用于启动、液压、机械以及电气系统。主要定义的参数为PFH、MTTF、DC、SFF等。

  • IEC61326-3-2:

测量、控制和实验室用电气设备.电磁兼容性(EMC)的要求:与安全相关的系统和用于与执行安全相关功能(功能安全)

IEC 61326-3-1和IEC 61326-3-2标准已经发布,其中规定了安全相关设备的抗扰度水平的附加要求,包括概率非常低的可能发生在任何场所的极端情况。试验模拟设备工作状态下严酷的电磁现象,如瞬时脉冲是模拟数字电路或者数字信号传输的瞬变状态。为了增加安全完整性等级(SIL)的电磁抗扰度的可置信度,在进行抗电磁现象性能试验时相对于基础标准要施加更多数量的脉冲或者加长试验的时间以及提高试验等级。例如对用于SIL3的设备,电快速瞬变试验的等级为4kV,试验持续时间应为基础标准规定时间的5倍。

  • ISO26262:

道路车辆系统设计功能安全

制定ISO 26262标准的目的是使得人们对安全相关功能有一个更好的理解,并尽可能明确地对它们进行解释。ISO 26262是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。此标准一经提出,即受到了各大汽车制造商、汽车零部件商的高度重视,并积极推动该标准在产品开发中的执行。

基于IEC 61508标准基础上,ISO 26262标准定义了电气、电子系统的使用安全性。汽车设计中的一大难点是如何预先评估潜在的危害和风险,并且采取适当的方法来减小这些风险。为了促进这一过程,ISO规定在开发工作的开始必须要进行“危害和风险分析”。

汽车工业均使用高性能的电子器件进行车辆的安全控制,全球知名各大汽车厂商所共同制定并认可的 ISO 26262 功能安全标准即针对车辆用电子零件、软硬件产品设计的要求进行规范。随着 ISO 26262 的颁布和实施,未来亦能够降低车辆可能发生的风险及意外发生时的危害程度,近而使国内的车辆工业提升国际未来的适应力与竞争能力。

  • IEC61800-5-2:

可调速的电动设备标准.第5-2部分: 功能安全要求

IEC61800-5-2定义了集成安全驱动器的安全功能,其中定义了一系列停车功能(Stop),即:

· 安全断开的力矩/安全中断扭距(STO- Safe Torque Off);

· 安全停车1/SS1(Safety Stop1)/ 安全停车2/SS2(Safety Stop2)

· 安全操作停止(Safety Operation Halt)

IEC61800-5-2同样定义了一些监控功能,这些监控功能方面有:加速度安全限制;步程安全限制;运动方向安全限制;速度安全限制;矩/力安全限制;位置安全限制;电动机温度安全限制。

IEC61800-5-2标准主要针对安全编码器,安全解码器,交流伺服系统,伺服驱动器,伺服马达等系统提出了功能安全要求。例如,符合功能安全技术要求的马达控制器将支持安全扭矩停止(STO)以及安全停止 1 ( SS1 ) 等安全功能,防止意外启动的发生,产品设计必须符合 EN 61800-5-2 标准中的要求。IEC61800-5-2标准已经转化成为国标,标准号为GB/T 12668.5.2,国内对口的标委会为全国电力电子学标准化技术委员会调速电气传动系统半导体电力变流器分技术委员会(TC60/SC1)。

  • EN50156

IEC 61784-3:

测量和控制数字数据通信 第三部分 工业网络功能安全行规

该标准主要定义了如下内容:

1, 执行IEC 61508种安全相关数据通讯的要求基本原则,包含潜在的错误传输,应对措施和影响数据完整性方面的规定

2. 各种技术实现的通用内容

3. 各种通讯行规簇的功能安全行规的独立描述

4. 规定了几种安全通讯层,作为IEC61784-1和IEC61158系列标准中通讯服务行规部分。

  • EN50126

铁路应用:可靠性、可用性、可维护性和安全性(RAMS)规范和说明

该标准定义了系统的RAMS(reliability、availability、maintainability和safety),即可靠性、可用性、可维护性和安全性,并且规定了安全生命周期内各个阶段对RAMS的管理和要求,RAMS作为系统服务质量衡量的一个重要特征,是在整个系统安全生命周期内的各个阶段通过设计理念、技术方法而得到的。

  • EN50128

铁路应用:铁路控制和防护系统的软件

对铁路控制和防护系统的软件进行了安全完善度等级(SIL)的划分,针对不同的安全要求制订了相应的标准,按不同等级对整体软件开发、评估、检测过程中,包括对软件需求规格、测试规格、软件结构、软件设计开发、软件检验和测试、软硬件集成、软件确认评估、质量保证、生命周期、文档等提出相应的程序制定初相应的规范与要求。

  • EN50129

铁路应用:安全相关电子系统

对于安全管理,引入IEC61508提出的安全生命周期概念,就是说对于安全相关系统的安全部分,在设计时按照该步骤进行设计,并且需要进行全程的安全评估和验证,目的是进一步减少和安全相关的人为失误,进而减少系统故障风险。

 

SIL认证流程是?

第一阶段 概念评估

检查、评估安全概念

出具概念评估报告

第二阶段 主  检

进一步的功能、安全和环境测试

出具测试报告

第三阶段 发 证

进入测试产品发证流程

颁发证书

  • 概念评估阶段主要任务

  1. 检查并评审产品需求规范和安全设计概念

  2. 在产品各个生命周期阶段,尤其在开发过程中(质量管理),检查并评估故障避免措施的计划

  3. 编辑并评估检测和控制故障需采取的措施(诊断)FMEDA, 评价是否安全完整等级能够达到预期的目的

  4. 文件系统的审核(设计和质量管理)

  5. 电气安全,电磁兼容,环境测试需求的定义

  6. 为主检阶段出具项目计划

  7. 根据概念评估的结果出具报告

  • 主检阶段主要任务

  1. 测试所有的安全相关的功能,功能性的和最坏情况分析(软硬件)

  2. 检测和控制故障的验证(故障插入测试),FMEDA的验证与执行。

  3. 软件验证测试的评审(模块,集成测试,系统测试)

  4. 对开发过程中创建的产品文档评审(设计文档,测试、验证、审核记录)

  5. 安全相关的可靠性数据的定义及计算  (SIL CL, PL, PFD/PFH, SFF etc.)

  6. 电气安全的测试

  7. 环境测试(incl.EMC)

  8. 用户文档的检查(安装,操作手册,安全手册)

  9. 提供测试报告

  • 颁发证书

基于测试报告,认证机构颁发证书

 

案例分析

假如你现在实施一个SIS项目, 其中有一个燃气锅炉的安全释放回路是要求SIL3的话。 

 

1、那么你的控制系统必须是 SIL3等级的。 

这个很容易达到,大家都是这样做的。

 
2、 IO必须是SIL3等级的。

也很容易达到,不过极个别厂家的IO 只能到SIL2等级。

 
3. 去带动安全阀动作的继电器都必须是SIL3的! 
目前,几乎没有人这样做! 我们看到的是很多专业做燃气轮机的,如GE,ABB-Alstom,西门子PG等,还有HIMA厂家,他们倒是都配置了获得了故障安全认证的安全型继电器。 


4. 如果你的安全阀安装在防爆区。 那么不能用继电器,应该用DO型安全栅。 
你的安全栅也应该是 SIL3 安全等级的! 
遗憾的是,在我个人的印象中,P+F的K系列是SIL2的安全等级认证。 
MTL的大多数型号没有安全认证,有认证的基本上也都是SIL2等级。 


5. 你的安全阀也必须是有认证的! 
例如梅索尼兰的专门的安全阀,或者Emerson-Fisher的专门的安全阀, 或者其他的专业的经过TUV认证的执行机构。 而且安全阀是最终的执行元件。其安全等级必须达到SIL3! 


6. 上述是你的执行回路,你的检测回路一样也必须达到SIL3等级。 
例如你的测压力的AI模块必须是SIL3认证的IO模块; 
你的AI的安全栅。必须是SIL3认证的安全栅; 
你的压力变送器必须是SIL3认证的压力变送器。 

7. 关于安全等级计算! 
A、目前地球上的压力变送器都是SIL2 安全认证等级的,你如何保证你的检测回路达到SIL3 ?
答:你应该仔细阅读 TUV规范,按照标准进行计算。 例如采用 3个SIL2 认证的压力变送器做3取1求中值或者 3取2表决, 这样,虽然每个压力变送器都不能达到SIL3安全等级,但是你的 AI检测回路达到SIL3了! 


B、关于安全栅和1入多出型安全栅!
现实情况:假如你需要一个2取1的 AI检测。 
在国内,不是安装2个压力变送器,进2个安全栅,再进2个AI模块, 
而是只安装1个压力变送器,进1个安全栅,这个安全栅是1入2出型,分别进2个AI模块。 安全栅挂了,你认为你就是配置 AI的2取1 或者3取2,甚至M取N的表决有用没? 仔细看一下老外的做法,这种1入多出型安全栅本身主要是给多个系统分配信号用的。 
例如一个压力变送器的信号,既要进DCS,又要进SIS-ESD,可以用1入2出型安全栅进行信号分配。实现同一个信号进多个控制系统的目的。 

 

对于你的变送器本身安全等级就达不到,安全栅本身安全等级也达不到的这种客观情况, 应该采用3个变送器做3取2表决,安装3个SIL2 安全等级的压力变送器,进3个SIL2 安全等级的安全栅,进3个AI模块,然后再CPU中作相应的表决计算。以保证 AI检测回路达到SIL3的等级。 

你的安全型控制系统,不管是Triconex,还是HIMA,还是ICS。 
你配置的再高端。你再符合TUV的规范,你再做多么高级别的冗余和表决。哪怕你是SIL4的, 只要你的外围器件达不到相应的安全等级,回路整体就达不到相应的安全等级。 


例如你选择了单AI,单变送器(SIL2),单安全栅(SIL2),你自己算你的AI 检测回路是多高的等级?你选择了一个破烂普通的继电器,例如Omron或者和泉,选择了一个普通的没有经过认证的安全释放阀。你自己计算你的安全释放回路是多高的等级? 

C、业主大部分时候都不懂。 
SIS 无非是一个更加贵一点的 PLC而已。按照公司的套路把项目做完就行了。至于哪样更安全,应该怎么配置,应该怎么评定安全等级,应该怎么测试。这不是我考虑的问题的,我也没有相应的水平,我也不具备相应的能力,我也只是个干活的,干SIS 还是干仪表,还是干PLC,对我来说,没有任何的差别。 

D、安全等级在现场每个项目的实际中,计算是一个相当麻烦的问题。 
而且从原则上来说,计算安全等级和评定安全等级,是需要相应的有资质的机构来进行的。 不过做为业主,必须要清醒的认识到,你的安全系统的安全等级是一个系统的概念,是一个整体的概念,不是给你配了Triconex ,他就达到了SIL3,也不是给你配置了HIMA Planna,他就达到了SIl4,更不是照套路给你照搬了 ABB AC160,他就达到了核电的安全等级。 
既然说安全等级是一个系统的概念,整体的概念。那么,其实,安全系统的最终安全等级,其实基本上取决于你的系统中最烂的那一块,最低的那一块。 
直白的说,不管你配置多么高档的SIS-ESD 安全型控制系统,你采用了一个破烂的变送器。并且这个变送器没有做任何的安全增强措施(例如冗余或者表决),你的这个系统安全等级和一个常规的PLC,DCS系统没有任何本质上的区别。 

安全型控制系统是整个SIS的大脑,对!没问题。 但是既然我说了,这是一个整体的概念,一个系统的概念,那么除了大脑要足够安全外,你的手、脚、身体的每一个部件都要足够的安全,这才是一个健康的完整的人。 

E、目前安全型执行机构,安全型阀门越来越得到大家的认可。 
但是其他的,如具有认证的变送器,传感器,具备安全认证的安全栅,具有安全认证的继电器。这些外围的元器件大家的重视还不够。 
 

 

那么究竟什么情况下需要上SIS?安全仪表系统下我们应该如何选型?是我们要不断思考的问题,如果你有想法,有观点,有支撑,欢迎在底部留言,与圈友们共同分享!谢谢!

 

 

本文整理自网络,个别引用归原作者所有,不完善之处,欢迎圈友补充!

 

说点什么

仪堂课

专栏

频道

HOT!