你能依靠那个传感器吗?

您不必费力就能找到自动化组件在关键情况下发生故障并导致灾难性结果的例子。几名丰田车主报告说，他们的汽车防抱死制动系统出现了问题，导致他们的汽车在预期之外加速。造成“深水地平线”漏油事件的原因有很多，但一个主要原因是防喷器失效。安全传感器可以最大限度地减少关键故障，从而最大限度地提高安全性和可靠性，并有助于确保在发生故障时不影响安全性。

什么是安全传感器?

许多人将该术语理解为用于测量可能存在潜在危险的过程条件的仪表装置。该设备通常是用于安全仪表功能(SIF)的设备集的一部分，其中还包括逻辑求解器和最终元件。SIF是安全仪表系统(SIS)的一部分，其目的是将过程驱动到安全状态，或者在特定条件存在时允许其向前移动。安全传感器产品的例子包括压力变送器，温度变送器，气体探测器，液位变送器，流量变送器，火焰探测器，声学探测器，甚至接近开关。这些常见的项目是可识别的，但不能区分普通过程传感器和安全传感器。那么区别是什么呢?

安全传感器的设计和开发标准

IEC 61508是一个涵盖自动化系统功能安全的多行业国际标准。“功能安全”一词与电气安全或危险区域安全不同。本标准不涉及冲击危险、燃烧危险或爆炸性环境;相反，它涵盖了设备的正确操作(可靠性)，也许最重要的是，设备是如何故障的。包括两种不同类型的故障:随机故障和系统故障。

该标准的两个主要目标是明确的。首先是正确的操作——设备必须足够可靠。可靠性需要防止随机和系统故障。随机故障被定义为“在随机时间发生的故障，由硬件中的一种或多种可能的退化机制引起。”在IEC 61508中，系统故障被定义为“一种故障，以确定的方式与某种原因相关，只能通过修改设计或制造过程、操作程序、文件或其他相关因素来消除。”该标准通过为设计、测试和制造过程提供数百个要求来防止系统故障。这些要求反映了已知的避免设计错误和制造错误的最佳工程实践。

第二个主要目标是设备必须以可预测的方式失败。对随机故障进行了定量的失效模式分析，每种失效模式都有公布的数字。这些数字为安全系统设计人员提供了所需的信息，以确定安全传感器在与逻辑求解器和最终控制元件结合使用时是否足够可靠，以满足所需的安全完整性水平(SIL)。这个任务称为SIL验证。

IEC 61508定义了四个不同级别的安全完整性(图1)。每个安全完整性级别的要求是不同的。SIL 1表示最低级别。每一个安全完整性级别都是为了表示安全性和可靠性的一个数量级的改进，因此带有更严格的要求。SIL 3认证的要求比SIL 2认证要严格得多，SIL 2认证的要求比SIL 1认证的要求要严格得多。

当仪表传感器经过有能力的第三方机构评估并符合IEC 61508的要求时，通常将其标记为安全传感器或安全认证的仪器。2010年版本的IEC 61508引入了术语“系统能力”，这表示设备在按照其安全手册应用时可以提供的最佳安全性能。经过认证的器件可以具有从1到4的系统能力等级，该等级与它可能使用的SIF的SIL级别相匹配。

失效模式分析

根据IEC 61508的要求，通过定量故障率和失效模式分析，可以最好地评估随机故障的影响。最好的技术被称为故障模式、影响和诊断分析(FMEDA)。FMEDA要求对器件中的每个组件(电阻器、晶体管、电容器等)进行单独检查，以评估其失效模式及其对器件运行的影响。评估任何自诊断检测故障的能力，并计算所有组件故障的累积影响。这将为设备生成一组数字——每种故障模式的故障率。然后，系统设计人员使用这些数字来满足每个SIF的目标和所需的SIL级别。

FMEDA过程是非常详细和系统的，经常发现可以修复的设计问题，以提高设计的安全性和可靠性。作为认证的一部分，对产品现场故障数据的数量和类型进行分析，作为总累积工作时间的函数。然后可以将观察到的故障率与FMEDA中计算的故障率进行比较。如果值是可比的，这有助于证明产品开发和质量过程是有效的。

您应该为SIS选择安全传感器吗?

过程工业特定的功能安全标准是IEC 61511 (ISA 84.00.01-2004)。本标准要求仔细选择SIS中使用的设备并证明其合理性。虽然所有传感器设备都必须针对任何特定应用进行评估，但选择“符合IEC 61508要求”的设备是证明足够安全完整性性能的常用方法。如果不使用安全认证的传感器，IEC 61511允许最终用户执行他或她自己的使用证明。有了使用证明，最终用户就有责任审核供应商的设计和质量保证流程，审查制造商关于故障模式和故障率的文件，以及通过记录其他工厂类似应用的运行历史来收集适用性证据。

SIS设计人员选择安全认证的传感器，而不是做一个经过验证的使用证明，原因有很多，包括:

•确保产品具有较高的设计可靠性和安全性
•避免供应商设计和制造审核的负担
•减少安全系统设计(SIL验证)的工作量和成本
•降低产品应用的风险和潜在责任
•监管机构偏好或要求IEC 61508认证产品
避免记录工作时间和分析所有维修和故障。

如果没有完整的工厂维护记录，特别是证明-测试-发现状态记录，设计人员将很难提供他或她的工厂的无故障运行历史记录。由于使用证明意味着对传感器的可靠性和安全性负责，因此高质量的数据非常重要。有些人更愿意避免供应商审计和这些审计的文档的负担。除了安全完整性问题，其他工艺操作人员还指定安全传感器，以确保高水平的设计质量和可靠性。一些国家的法规规定，在某些应用中必须使用经过安全认证的产品。

器械制造商认证

在20世纪90年代末和21世纪初制定功能安全标准时，安全认证概念正处于发展阶段。虽然一些PLC产品通过了IEC 61508安全认证，但当时的传感器设备较少。E+H Liquiphant Fail-Safe是一种音叉电平开关，在1996年通过了德国VDE0801/A1标准的安全认证。第一个符合IEC 61508的安全认证传感器是1998年Moore Products的345压力变送器。随着时间的推移，额外的传感器设备通过了严格的要求，并从2006年开始强劲增长。今天，有许多安全认证的传感器设备，适用于几乎所有主要仪器制造商的过程变量。图3显示了安全传感器设备数量的累积计数。安全自动化设备清单(www.sael-online.com)维护了包括传感器在内的安全认证设备清单。该清单定期更新，因为从各种主管认证机构添加了新的认证，而过时的产品被删除。

开发更安全的产品

开发符合IEC 61508标准的产品是一个严格而苛刻的过程。在大约330项器械安全认证要求中，大约70%涉及设计和测试过程。这种关注水平的明确目标是设计质量。值得注意的是，大多数需求(大约200个)都与软件开发过程有关。为什么会这样?请记住，在20世纪90年代末，许多国家的法规禁止软件用于安全应用。核工业中仍然存在着强烈的软件偏执狂，以至于即使存在经过充分验证的替代方案，仍在不断开发纯粹由硬件实现的新定制设计。IEC 61508对SIL 3功能的软件工程要求非常强，大多数人认为这是合适的，因为在没有充分测试的情况下编写软件似乎很容易。然而，一些人质疑，在一个简单的传感器设备上，是否需要如此关注软件工程。这个东西被称为“智能”压力变送器，但软件真的有那么复杂吗? Some ask, "Could this pressure transmitter that fits in my hand possibly be as complex as the rack of equipment in the safety PLC cabinet?"

在20世纪90年代末，没有人质疑PLC产品是否需要安全认证。PLC的软件设计有些复杂，并且被认为是这样的。一个设计示例的软件有两个主要的执行任务:逻辑解决和通信。通过处理器和存储器的大小可以大致了解设计的复杂性。20世纪90年代的安全PLC使用16位微处理器和4兆字节的内存进行逻辑求解。在2010年代，许多传感器设计比旧的plc复杂得多。如今的传感器设计采用多任务操作系统，配备32位微处理器和更大的内存。传感器设备充分利用这种处理能力，提供对过程变量的高速统计分析、更好的自动自诊断以及更多功能。考虑到2010年新时代设计的复杂性甚至比1999年的安全PLC更大，软件工程质量的重要性比以往任何时候都更大。

没有安保就没有安全

根据IEC 61508，如果安全威胁被认为是合理可预见的，那么就应该进行安全威胁分析。如果确定了安全威胁，则应进行漏洞分析，以便指定要纳入设计的安全需求。ISA安全合规研究所(ISCI)已经制定了一个程序，用于安全测试和认证具有以太网连接的关键控制系统产品，如plc，数字保护继电器，通信模块，甚至传感器设备。该项目被称为ISA安全，利用ISA-99工业标准等公开资源开发的测试规范和协议。随着Stuxnet病毒的出现，以及未来可能发生的类似Stuxnet的攻击，控制系统网络安全的重要性无疑受到了极大的关注。因此，网络安全已成为一些认证机构安全认证过程的一部分。

认证认证方

IEC 61508功能安全标准要求在根据SIL级别不同的功能安全评估中具有一定程度的独立性。然而，它不需要任何特定的认证，即使是SIL 3或SIL 4，正如电气安全标准所要求的那样。IEC 61511标准甚至使用“满足IEC 61508的要求”而不是使用术语“已认证”。因此，我们可以得出结论，任何人都可以根据IEC 61508对传感器设备进行功能安全评估。实际上，IEC 61508是一个庞大而复杂的文档。理解这些问题所需的技术深度是相当高的，这是市场所认可的。因此，主要终端用户公司的采购规范通常包含指示所需能力的语言，甚至指示接受哪些特定的认证机构。

虽然标准不禁止制造商进行自我认证，但很少有人遵循这条道路，因为他们认识到市场对具有传统电气安全以外技术技能的认可测试实验室/认证机构的需求。

认证机构的认可是根据IEC指南65 (EN45011)和ISO 17025进行的，前者对产品认证程序的操作有要求，后者对测试实验室有要求。对每个认证领域的技术能力进行评估(例如，功能安全，网络安全，电气安全等)。认证是由每个国家的政府或准政府组织完成的。例如，在美国，认证是由美国国家标准协会(ANSI)完成的。

前进道路

不难想象，功能安全认证将成为传感器设备的标准组成部分。在电气安全标准的早期，危险区域的批准是一种选择。今天，很难买到没有危险区域等级的现场设备。随着越来越多的设备获得功能安全认证，越来越多的制造商将功能安全作为产品开发过程的标准组成部分。在未来，功能安全可能会成为传感器设备的标准属性。最近一个压力变送器产品的广告宣传就表明了这一点，广告上说:“安全不是一个选项。”生产的每个设备都有评级。随着设计质量的提高和神秘的现场故障的减少，这将提供良好的投资回报。

William Goble博士是exida认证机构的首席工程师和功能安全认证组主任。他的博士学位是自动化系统的定量可靠性和安全性分析。

在线:

有关安全传感器的更多资讯，请浏览:www.exida.com/certification

查看安全认证的传感器，逻辑求解器，最终控制元件的列表，以及更多:www.sael-online.com

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。