放眼认证之外!
对于声称符合特定SIL要求的产品,你不问可能会伤害到你。
T好消息是,1996年发布的安全标准ANSI/ISA S84.01和2000年发布的IEC 61508的出现和随后的宣传极大地提高了用户对正面解决安全系统需求的认识。
坏消息是,与这些标准以及用于满足这些标准的产品相关的术语、要求和认证存在很多误解。
IEC 61508“电气/电子/可编程电子安全相关系统的功能安全”是一项国际标准。ANSI/ISA S84.01-1996,“过程工业安全仪表系统的应用”,目前在美国使用,但可能很快被IEC 61511取代,这是一个新兴的国际标准,更具体地针对过程工业。
“安全故障分数”解释 |
年代安全故障分数(SFf)是一个相对较新的术语,由IEC的61508和61511委员会的工作产生,以量化容错和建立安全仪表功能所需的最小冗余水平。 根据IEC,安全故障率是(子系统的总安全故障率加上子系统的危险检测故障率)与子系统的总故障率的比率。(在IEC术语中,子系统是指单个设备。) 随机硬件故障有四种类型:
确定SFf需要用前三个的和除以所有四个的和。假设操作人员希望根据检测到的危险故障采取行动,因此即使设备有很大比例的危险故障,如果可以检测到足够多的危险故障并采取安全措施,那么该设备仍然被认为是安全设备。 安全失效率的计算公式为: SUd + Sd + Dd |
这些标准之间的一个重要共同点是建立安全完整性等级(SILs)的概念,以表明安全性能的不断提高。S84.01定义了SIL 1到SIL 3,而IEC 61511定义了SIL 1到SIL 4。
SILs的目的是建立可接受的按需失效概率(PFD)值。SIL值越高,故障的影响就越大,因此可接受的PFD率就越低。例如,最高级的SIL 4系统通常可以防止灾难性的冲击,因此整个安全系统的设计、安装、测试和维护必须实现非常低的故障概率(在万分之一到十万分之一之间)。(参见“理解安全完整性等级”和“将危险风险应用于安全完整性等级”)
安全标准明确规定SIL分配给安全仪器功能,而不是组成安全仪器功能的单个产品或设备。这意味着,安全plc(可编程逻辑控制器)、传感器、附件和阀门等产品不能通过认证以满足给定的SIL值。
认证是不够的
许多制造商都强调他们的产品是由第三方批准机构之一认证到特定SIL的。制造商应该说的是,‘经认证适合在SIL #安全应用中使用。“但是,仅仅知道一个设备被认证为适合SIL 3安全应用是不够的。除了安全应用程序的设计、安装、测试和维护方面的培训和经验外,用户还需要了解产品是如何测试和认证的,然后才能确定如何最好地应用这些产品以实现所需的风险降低(SIL)。
这与我们在日常生活中所期待的没有什么不同。例如,新汽车配备了安全气囊,但提供了具体的说明(条件/限制/指南),以确保小孩子不会因安全气囊的部署而受到伤害。在工作场所使用与安全相关的产品时,也需要同样的信息。
目前认证安全系统产品符合IEC和ANSI/ISA安全标准的两个关键组织是Factory Mutual Research(诺伍德,马萨诸塞州)和TÜV Rheinland(科隆,德国)。在任何一个组织的产品测试成功后,认证将连同一份报告一起颁发,该报告解释了产品是如何测试的,以及产品必须满足哪些条件才能满足认证要求。换句话说,只要满足某些条件,该产品就已被认证适合在指定的SIL安全应用中使用。获得证书的副本通常没有问题,但证书不能独立存在。认证的一个基本部分是批准报告。如果没有报告,用户只是猜测产品如何达到所需的风险降低(SIL)水平。
认证批准报告中的关键信息包括:
对认证产品的清晰描述;
产品使用的适用条件(限制);
生产企业安全生命周期和质量管理体系评价结果;
按需平均故障概率(PFD);
达到平均PFD条件所需的测试间隔;
诊断覆盖范围和安全故障比例(参见“安全故障比例解释”侧栏);
操作软件符合IEC 61508第3部分定义的结果;
基于IEC 61508推荐技术的常见原因因素;
产品诊断周期时间(确定产品是否适合特定安全应用所必需的时间);
故障插入测试的结果,以验证子系统的诊断和性能;而且
审查和评论有关环境测试和遵守其他相关国家和国际标准。
就目前的情况而言,用户可以要求获得特定产品的完整批准报告,如果您得到的回复是,“批准报告包含专有信息,因此无法提供给客户”,或其他类似的蹩脚借口,那么请另找供应商!只有充分阅读、理解和使用批准报告中包含的信息,才能确保您正在设计、安装、测试和维护的安全系统满足安全仪表功能所需的风险降低(SIL)要求。
评论?电子邮件dharrold@cahners.com |
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。