功能安全確保工業(yè)安全

        近年來，自動化行業(yè)發(fā)展迅猛，市場規(guī)模不斷遞增。伴隨著應(yīng)用市場對自動化產(chǎn)品各方面要求的不斷提升，自動化行業(yè)在安全、標(biāo)準(zhǔn)化等方面要求也越來越高。 其中，可以確保自動化產(chǎn)品的高可靠性，高安全性的功能安全認(rèn)證，已經(jīng)成為國內(nèi)企業(yè)必須面對的一項非常重要的工作。

        目前全球相關(guān)行業(yè)和安全領(lǐng)域內(nèi)，如石油化工、鐵路信號、汽車電子、核電等領(lǐng)域，相關(guān)安全控制設(shè)備或者系統(tǒng)必須具備功能安全認(rèn)證，已經(jīng)成為了安全監(jiān)管機構(gòu)甚至業(yè)主在采購設(shè)備時的強制要求。
       以過程行業(yè)為例，如果過程行業(yè)工廠和系統(tǒng)存在對人和環(huán)境的潛在危險，那么它們的儀表、控制技術(shù)和控制設(shè)備必須滿足特殊的要求。下文將以MACX Analog Ex系列安全柵為例對防爆（Ex）和功能安全（SIL）的共同特點和區(qū)別進行討論。（圖1）

圖1、MACX Analog Ex系列安全柵

        在過程工廠和系統(tǒng)中，與防爆和功能安全相關(guān)的測量經(jīng)常同時發(fā)生，并且相互補充。但是，它們又具有共同點，那就是保護生命、健康和環(huán)境以及物資。

使用本安保護類型的設(shè)備可以安全避免潛在爆炸區(qū)域的點火源
        控制儀表和自動化技術(shù)的防爆是基于安全可靠的避免潛在爆炸區(qū)域（次級防爆）的點火源。眾所周知并且已經(jīng)被證明的最佳方式是本質(zhì)安全保護。這是因為本質(zhì)安全回路的低能量水平可以允許工作狀態(tài)下的測量和改造。本質(zhì)安全要求對于儀表的功能和控制回路的運行不是決定性的，但是仍可在故障條件下實現(xiàn)安全可靠地實現(xiàn)防爆測量。
       本安保護的原則是安全限制饋入潛在爆炸危險區(qū)域的能量，這樣不會有電火花或不允許的溫升出現(xiàn)。用戶要實現(xiàn)“本質(zhì)安全”必須搭建完整的本質(zhì)安全回路，這包括安裝在危險區(qū)域的本質(zhì)安全設(shè)備，本質(zhì)安全關(guān)聯(lián)設(shè)備和本質(zhì)安全連接線纜。此外，本安信號隔離器可以在故障條件下保持本質(zhì)安全所定義的參數(shù)。這些參數(shù)包括空載電壓、短路電流和最大功率等。但是，這些值限制了連接的電感和電容大小，因為電容值決定了電纜的長度。創(chuàng)新的本安信號隔離器，如MACX Analog Ex，避免自身帶來最高的電容值（Co）（圖2）。

 圖2、本質(zhì)安全防護

        本質(zhì)安全功能與設(shè)備的器件水平有關(guān)，它確保了本質(zhì)安全的各項限制參數(shù)的實現(xiàn)，這些參數(shù)也符合EN 60079-0和EN 60079-11的設(shè)計規(guī)范。由于設(shè)計時安全系數(shù)的考慮，具有本安認(rèn)證的器件有很長的使用壽命，兩倍甚至三倍于普通器件，它們有更高的能量儲備（如考慮熱負(fù)載容量）、大的空氣爬電距離。 為了滿足Category 1G/D的要求，甚至當(dāng)兩個可識別故障或許多不可識別故障出現(xiàn)時，用于防爆0區(qū)的安全設(shè)備必須保證其必需的安全水平，如它們必須防止爆炸氛圍的點火源。功能方面，如壓力、溫度、閥門開關(guān)測量沒有考慮在內(nèi)。

[DividePage:NextPage]

      隨著電子、電氣、可編程電子器件和軟件系統(tǒng)在自動化控制領(lǐng)域的大量使用，生產(chǎn)自動化程度和生產(chǎn)效率有了明顯提高。但由于研發(fā)人員技術(shù)知識結(jié)構(gòu)的缺失，以及企業(yè)在開發(fā)制造中風(fēng)險管理意識的不足，自身安全性能存在缺陷的產(chǎn)品大量流入相關(guān)行業(yè)中，其可靠性問題已經(jīng)造成人身安全、財產(chǎn)損失和環(huán)境危害等諸多影響，給社會帶來了無法挽回的損失。
設(shè)備/系統(tǒng)危險故障殘留風(fēng)險
         功能安全的定義是：無論零部件或者整體系統(tǒng)發(fā)生的失效是隨機失效、系統(tǒng)失效還是共因失效，都不會導(dǎo)致安全系統(tǒng)的故障，進而不會對人員或者環(huán)境產(chǎn)生危害，那么這個系統(tǒng)在功能上就是安全的。功能安全描述了工廠安全或取決于安全系統(tǒng)正確功能的保護水平的部分。作為最小化風(fēng)險的設(shè)備，如果危險情況發(fā)生，其保護水平任務(wù)是達到或維持一個工廠或系統(tǒng)的安全狀態(tài)。如果需要，安全功能必須可靠的被執(zhí)行，這意味著保護系統(tǒng)的危險故障概率必須盡可能的低。
        如果儀表和控制信號是防爆工廠或系統(tǒng)結(jié)構(gòu)（安全儀表系統(tǒng)）內(nèi)保護水平的一部分，那么考慮到本安測試的可用性和可靠性，用戶必須限制信號傳輸。全球有效的IEC61508標(biāo)準(zhǔn)和IEC61511過程行業(yè)應(yīng)用標(biāo)準(zhǔn)正是源于此，標(biāo)準(zhǔn)規(guī)定了基于故障概率已確認(rèn)的殘留故障數(shù)量。與較前的DIN V19250和DIN V19251標(biāo)準(zhǔn)相比較，新增了從傳感器到執(zhí)行器安全安裝的描述，并且進一步明確，關(guān)注的是組織的措施，如人員的定期的功能檢查和測試培訓(xùn)。IEC標(biāo)準(zhǔn)包含了整個安全生命周期，從最初的概念規(guī)劃到執(zhí)行、安裝和試車進一步到運行、服務(wù)和維護及停止使用。
         EN60079不同的子標(biāo)準(zhǔn)根據(jù)保護等級定義了用于防爆的純硬件測量，而IEC61508是通過選擇的故障數(shù)據(jù)分析來評價硬件。關(guān)鍵的數(shù)據(jù)通過整個信號鏈進行評估。安全完整性水平取決于工廠運行風(fēng)險分析的一部分，它分配一個故障限值給安全功能。安全水平分為四級，最高是SIL4，最低是SIL1。每一級對應(yīng)安全功能中不同故障概率的范圍。在過程行業(yè)，測量回路更多的執(zhí)行SIL2，很少SIL3，如果執(zhí)行SIL3，通常用于冗余組態(tài)。 SIL4從未應(yīng)用過，因為它不能僅通過儀表和控制測量單獨實現(xiàn)。（圖3）

 圖3、根據(jù)IEC 61508的設(shè)備分類

正確設(shè)計安全為導(dǎo)向的測量回路所需要的重要的關(guān)鍵參數(shù)
        功能安全認(rèn)證除考慮常規(guī)的電氣安全、EMC電磁兼容性能之外，會額外對硬件的PFD、HFT、SFF、SIL等級等參數(shù)進行評估，這些參數(shù)，制造商會連同設(shè)備文件（安全手冊）一起提供。除此之外，安全手冊包括FEMDA結(jié)果（失效模式影響和診斷分析）。例如，硬件-如果可用-固件結(jié)構(gòu)和所有設(shè)備器件都在FMEDA另外會對整體開發(fā)流程、硬件結(jié)構(gòu)、軟件構(gòu)架等方面進行全方面的驗證。
        ? PFD (要求時平均失效概率)
        一個最重要的關(guān)鍵參數(shù)是危險失效概率，PFD，它由低要求操作模式所決定。這也說明了安全功能不被執(zhí)行的平均概率。這種情況僅出現(xiàn)在危險情況下，安全功能確實被要求時，為了監(jiān)控系統(tǒng)在一個定義的、安全的狀態(tài)下運行。進一步說，安全功能每年被要求只能小于等于每年一次。通常，化工行業(yè)工廠的保護系統(tǒng)運行在很低的要求概率。
        ? PFH (每小時危險失效概率)
        另一方面, PFH – 每小時危險失效概率 – 應(yīng)用于高要求或連續(xù)操作模式。這是保證被監(jiān)控系統(tǒng)永遠保持正常和安全狀態(tài)下的主要因素。（例如，監(jiān)視機器速度）
        ? SFF (安全失效分?jǐn)?shù))
        91.3%意味著100個安全功能故障中91.3個是非關(guān)鍵故障。通過自測試實現(xiàn)故障檢測，相應(yīng)的響應(yīng)能力也起著重要作用。和自動檢測到或檢測不到這些故障的可能性一樣，危險和非危險故障也有區(qū)別。在此情況下，本安MACX Analog Ex系列溫度變送安全柵中，除實際的信號傳輸功能之外，診斷功能也一直在運行，用于檢測不正確的狀態(tài)。
 

[DividePage:NextPage]

     ? HFT (硬件故障裕度)
        HFT提供系統(tǒng)所能容許的故障數(shù)量。HFT值為0，表明是單通道應(yīng)用，如果只有一個單獨故障出現(xiàn)，就會引起安全功能喪失。
        ? A類和B類設(shè)備
        進一步說，當(dāng)評估安全性時，在“簡單”和“復(fù)雜”設(shè)備?！昂唵巍钡腁類設(shè)備器件故障-如純模擬量4-20mA本安饋電隔離器，型號MACX MCR-EX-SL-RPSSI-I可被完全定義。另一方面，“復(fù)雜”的B類設(shè)備器件故障，如本安溫度變送器MACX MCR-EX-SL-RTD-I的微處理器和固件，并不被完全知道。
        如果根據(jù)IEC61508研發(fā)和認(rèn)證本安信號隔離器，硬件和軟件要全部進行評估，同時，所有的故障避免和故障處理措施必須在研發(fā)、生產(chǎn)和運行（安全生命周期管理）時考慮在內(nèi)。這些措施對產(chǎn)品質(zhì)量的提高具有重要意義。
低PFD組件有益于接口產(chǎn)品
        完整的安全回路的PFD是源于所有獨立器件的PFD之和。如本安保護類型，如果進行完整的本質(zhì)安全測量回路設(shè)計，需要實現(xiàn)功能安全，那么完整的以安全導(dǎo)向的測量回路必須進行評估。一個獨立的設(shè)備沒有SIL認(rèn)證，但是因為它的安全參數(shù)符合要求，可用于安全導(dǎo)向測量回路，例如，根據(jù)SIL2，PFD值在1 x 10-3 和 1 x 10-2之間，（如圖4所示安全回路（安全控制回路）常見故障分布），對于SIL2，所有PFD之和不能超過0.99 x 10-2，然而本安溫度變送器不能超過10%的總PFD（圖4），如MACX MCR-EX-SL-RTD-I 溫度變送安全柵PFD值為9.1 x 10-4，遠遠低于全部PFD的10%。對于用戶，可以帶來的好處是，規(guī)定的測試間隔可以靈活的延長至最多7年。
 

圖4、安全控制回路故障分布

總結(jié)
        創(chuàng)新的MACX Analog Ex系列安全柵不僅滿足防爆相關(guān)的高要求，還可用于安全導(dǎo)向的回路研發(fā)和認(rèn)證。對應(yīng)當(dāng)前本安回路ATEX標(biāo)準(zhǔn)，電子接口產(chǎn)品標(biāo)識有Ex II(1)GD [Ex ia] IIC/IIB 表明可以安裝在防爆0區(qū)（氣體）和20區(qū)（粉塵）。因此，根據(jù)IEC 61511，它們最高可用于SIL 2應(yīng)用，某些情況下，可用于SIL3應(yīng)用。因此，MACX Analog Ex系列產(chǎn)品幾乎可應(yīng)用于所有應(yīng)用，并在提高系統(tǒng)利用率方面扮演重要角色。而且，該系列產(chǎn)品具有12.5mm超薄設(shè)計，更多的節(jié)省柜內(nèi)空間。同時，模塊導(dǎo)軌連接器實現(xiàn)底部橋接供電，減少了接線時間和成本。這也是該系列安全柵產(chǎn)品具有高性價比的原因。
　　功能安全不但在過程自動化和工廠自動化為保障系統(tǒng)和設(shè)備安全功能完整，在國內(nèi)能源領(lǐng)域內(nèi)，如在火電于汽輪機保護和鍋爐保護領(lǐng)域，甚至在太陽能和風(fēng)力發(fā)電等新能源領(lǐng)域內(nèi)，功能安全認(rèn)證也即將成為強制要求；另外針對類似電梯、扶梯等關(guān)系到公眾人身安全的公共設(shè)施，國家近期也已經(jīng)對相應(yīng)的標(biāo)準(zhǔn)進行了修改，使得功能安全評估和測試要求成為強制國標(biāo)中的重要組成部分。

（轉(zhuǎn)載）