Omal(欧玛尔)中国服务中心控制阀用于安全仪表系统的符合性评估和SIL认证文/李宝华引言安全是是永恒的主题,安全生产对于工业企业意义重大,正得到更多的重视。基于不同技术的具有“安全保护”功能的系统被广泛应用,安全设计理念也从“故障安全”扩展到“功能安全”。针对特定的危险事件,为达到或保持手设备(EquipmentUnderControl,EUC)或工艺过程(Process)的安全状态,由电气、电子、可编程电子(E/E/PE)安全相关系统(Safety-RelatedSystem,SRS)或由传感器、逻辑控制器、最终元件组成的安全仪表系统(SafetyInstrumentedSystem,SIS)、其它技术安全相关系统或外部风险降低设施实现的功能定义为安全功能。功能安全作为整体安全的一部分,是指安全功能的安全性,即安全相关系统或安全仪表系统以及其他保护层正确行使安全功能、实现降低风险的能力。过程工业中的安全仪表系统SIS(如紧急停车系统ESD、安全联锁系统SIS、燃烧器管理系统BMS、火灾或气体安全系统FGS、高压保护系统HIPPS,等等)由传感器、逻辑控制器、最终元件组成,用来行使一项或多项安全仪表功能SIF,对某个具体的潜在危险事件采取对应的保护措施,控制、预防、减轻危险时间造成的影响。SIS是安全相关系统在过程工业的分支,而不同于以过程控制为目标的基本过程控制系统(BasicProcessControlSystem,BPCS)。SIS和BPCS典型应用示意图参见图1,SIS在安全保护层的位置见图2。SIS以整体安全生命周期的架构,规定了各阶段的技术活动和功能安全管理活动的内容;以安全完整性等级(SIL)为指针,提出了基于可靠性分析、确定安全仪表功能的失效概率、评估执行安全仪表功能的可靠程度的标准。SIS的应用还形成了安全仪表设备基于经验使用和按照相关标准符合性评估及认证的准入原则,以及系统硬件配置和软件组态规则、系统集成和调试、运行和维护、功能安全评估和验证的工作流程。最终元件是SIS的重要组成,包括控制阀、电磁阀等执行元件以及用于处理来自逻辑控制器最终指令的所有元件和连接,执行实现某种安全状态所必须的实际动作(也有与BPCS混合应用的情况),用于安全仪表系统时,接受相关安全要求,以安全仪表系统时,接受相关安全要求,以安全的方式进行设计、维护、检验、测试和操作的论证,辨识安全仪表功能和可靠性评估以及适合性验证,通过SIL认证以及保证在选用控制阀后不对系统造成结构约束。由于功能安全是针对系统而言,独立的仪表产品/控制阀不存在单独的功能安全问题,对单个产品的要求是在可靠性基础上的安全性(安全功能),当其成为SIS一个功能单元后,必须是从整个系统的安全性去考虑SIS的功能安全。相关标准经济活动和工业发展推动着安全标准的制定,尤其是基础类安全标准。在控制系统安全标准方面:基于产品安全的核心是物理安全(PhysicalSafety),有IEC61010系列物理安全标准《测量和控制使用的电气设备的安全要求》(GB/18272.1~8),与控制阀相关的是标准的第205部分《执行器》;基于网络安全的核心是信息安全(Security),有IEC62443系列信息安全标准《工业过程测量和控制安全网络和系统安全》;基于安全相关系统的核心是功能安全(FunctionalSafety),有Omal(欧玛尔)中国服务中心IEC61508系列功能安全标准《电气/电子/可编程电子安全相关系统的功能安全》;基于安全相关系统的核心是功能安全(FunctionalSafety),有IEC61508系列功能安全标准《电气/电子/可编程电子安全相关系统的功能安全》;以上这些都是综合性基础标准,并引出一系列分支标准。IEC/TC65在1998年发布IEC61508《电气/电子/可编程电子安全相关系统的功能安全》的第1、3、4、5部分,2000年发布第2、6、7部分,等同采用IEC61508的中国国家标准为GB/T20438-1~7-2006。标准系列的1至4是标准部分:1、一般要求;2、电气/电子/可编程电子安全相关系统的要求;3、软件要求;4、定义和缩略语;标准系列的5至7是信息解释部分;5、确定安全完整性等级的方法示例;6、IEC60508-2和IEC60508-3应用指南;7、技术和措施概述。此外,IEC/TC65在2005年发布IEC/TR61508-0-2005,等同采用该标准的中国国家标准为GB/Z29638-2013(指导性标准)《功能安全概念及GB/T20438系列概况》,回答了安全功能是什么、安全功能和安全相关系统、功能安全示例、安全完整性等级,以及GB/T20438(IEC61508)标准说明,作为GB/T20438(IEC61508)系列标准的补充。IEC/TC65在2010年又发布了IEC60508-1~7-2010的第2版,但现行的国际GB/T20438还没有随之修订。IEC60508是安全相关系统功能安全的基础标准,基本涵盖各工业领域和各阶段功能安全相关活动,针对用于安全功能的电气/电子/可编程电子系统(E/E/PES),提出了安全生命周期的通用评价方法;从危险分析和安全功能的详细说明开始到系统的停用和处理,描述了安全相关系统的硬件和软件的要求;标准采用4个安全完整性等级来衡量安全功能,采用基于危险和风险分析的方法确定安全完整性要求和量化指标,提出了影响安全完整性等级的两个因素以及安全故障的比例和目标失效量的测量。与IEC61508对应的过程工业领域分支标准IEC61511《过程工业领域安全仪表系统的功能安全》于2003年发布,等同采用IEC61511的中国国家标准为GB/T21109.1~3-2007。IEC61511/GB/T21109阐述了过程工业安全仪表系统的应用,涉及从初始概念、设计、工程、安装、实现、运行和维护直到停用的所有安全生命周期,并给出应用指南和确定安全完整性等级的指导原则。系列标准包含3个部分:1、框架、定义、系统、硬件和软件要求;2、IEC61511/GB/T21109的应用指南;3、确定要求的安全完整性等级的指南。该标准主要适用于安全仪表系统的设计者、集成商和用户,但不适用于安全仪表的制作商。针对石油化工行业的安全仪表系统,现行的中国国家标准还有GB/T50770-2013《石油化工安全仪表系统设计规范》,实在GB/T21109基础上制定的,引入了安全生命周期概念,规范的主要技术内容包括总则、术语和缩略语、安全生命周期、安全完整性等级、设计基本原则、测量仪表、最终元件、逻辑控制器、通信接口、人机接口、应用软件、工程设计、组态、集成与测试、验收测试、操作维护、变更管理、文档管理等。安全完整性SIS执行安全功能时要正确,系统的功能安全要可靠,预期达到的水平采用安全完整性来表征。安全完整性(SafetyIntegrity)是一个相对专业的Omal(欧玛尔)中国服务中心概念,针对的对象是“安全相关系统或安全仪表系统”,衡量的是该系统在规定的条件下、规定的时间内,完成所要求的安全功能的概率,对要求的功能有明确的界定。安全完整性不同于经典的可靠性(可靠性定义是“产品在规定条件下和规定时间内,完成规定功能的能力”),控制阀执行任务失败是产品可靠性的问题,而风险事故是产品安全完整性的问题。见图4,安全完整性包括系统安全完整性与随机安全完整性两部分。系统安全完整性是安全完整性里不可定量部分,并且与系统故障导致的硬件、软件的危险失效有关。系统故障通常由系统、子系统和设备在安全功能的生命周期内各种人为错误导致(如规范、设计、制造、安装、操作、维护、修改等错误)。系统安全完整性的随机危险失效部分,其中唯一可以量化的部分就是硬件失效相关的硬件安全完整性,硬件失效是硬件部分有限的可靠性导致的。硬件安全完整性定义为“在危险失效模式中与随机硬件失效有关的仪表安全功能的安全完整性的一部分”,与整体危险失效率、要求时操作失效的概率有关。风险和安全完整性的关系见图5。在GB/T20438(IEC61508)中依据不同的操作模式(低要求操作模式、高要求或连续操作模式)将安全完整性等级SIL定义为SIL1至SIL4四个等级,SIL4等级最高。在GB/T21109(IEC61511)中保持了SIL1至SIL4的等级划分,操作模式分为要求操作模式和连续操作模式。但在过程工业一般应用场合,SIL3为最高级,当过程危险和风险分析确认需要SIL3以上时,通常是采用其他技术的安全相关系统或外部风险降低使得对安全仪表功能的SIL要求降低到SIL3或以下。参见表1至表4.要求操作模式是指在响应过程状态或其他要求时执行特定的动作(如关闭ESD切断阀),特征是当安全仪表功能出现危险失效,并且“要求”出现时,才会导致潜在危险发生。典型的要求操作模式如ESD的应用。连续操作模式是指当安全仪表功能出现危险失效时,潜在的危险将会立即发生。除非存在其它防止措施,连续模式涵盖执行连续安全控制,以便保持功能安全的安全仪表功能。符合性评估由执行机构和调节机构(阀)以及阀门定位器、电磁阀等附件组成的控制阀组件作为最终元件用于安全仪表系统,仍属于单独仪表设备。严格说单个设备不具备功能安全,不能用SIL去评价,只能是用SIL表示单个设备(控制阀)的安全完整性能力即最大可声明的SIL等级。考虑控制阀执行某一特定安全功能的能力,是指控制阀的“要求时的平均失效概率PFDavg”或“完成安全仪表功能时的危险失效概率(次/每小时)”符合对应的SIL值。控制阀具有越高等级的SIL,仅表示该产品可用于更高等级的安全仪表系统中,有能力承担更高等级的风险控制任务。控制阀、阀门定位器、电磁阀应分别作符合性评估,例如仅有电磁阀的符合性评估结论,是难以涵盖控制阀的平均失效概率,且控制阀的故障概率是较高的。Omal(欧玛尔)中国服务中心对控制阀等仪表设备进行“符合性”评估,是按照GB/T20438.2(IEC61508-2)和GB/T20438.3(IEC61508-3)标准,确认其是否满足特定安全相关应用场合的安全要求。评估随机失效即计算控制阀要求时的危险失效概率(PFD)或每小时危险失效概率(PFH)及安全失效分数(SFF),要求达到的安全完整性等级(SIL)对应的目标实销量且满足结构约束的要求(SFF的要求)。评估对应的报告是失效模式、影响和诊断分析报告(FMEDA)。或者按照GB/T21109.1(IEC61511-1)标准“经使用验证的(ProweninUse)”来进行选择用于安全仪表系统的控制阀等仪表设备以及系统各组成的功能单元,但必须有充分的文档数据和记录;或者依据GB/T50770-2013标准《石油化工安全仪表系统设计规范》,按照满足安全完整性的要求进行控制阀的设置,参考该标准的条文说明“可采用计算低要求操作模式的平均失效概率的方法设计和验证最终元件的安全完整性等级,也可根据经验使用原则,有实际证据证明这种最终元件在以前的试验中有足够的安全完整性,就可确定选用该最终元件符合相应的完全完整性等级”。评估流程参见图6。不要孤立地理解“SIL能力”或者“IEC61508认证”,在实际控制阀符合性评估和选型时,要关注产品安全手册和认证报告中描述的使用条件规定或限值,要确认确定的产品可靠性、硬件故障裕度、诊断覆盖率、抵御环境因素影响的能力、避免操作失效导致系统失效的能力,在全生命周期不同阶段采取的避免措施;要了解研发过程的管理,要了解包括硬件配置、软件组态、接口、安装测试、故障响应、平均维修时间MTTR等细节。控制阀又是可修的产品,要考虑其可用性和维护性,考虑平均故障间隔时间MTBF。而“经使用验证的”设备(控制阀),必须评估表明有足够低的危险失效率,有证据能证明适用于SIS,在先前的操作期间,满足所有的设计要求没有更改、至少有10个不同的应用实例、至少1万小时的操作运行经历并且至少1年的现场服务期的条件,要有充分的文档化材料。对于属于定制化产品的控制阀,每一台都有可能存在依照用户操作条件做细