活動(dòng)鏈接：2013年控制網(wǎng)技術(shù)專(zhuān)題---新時(shí)代的安全變革 


                        
                      作者-Heinrich Käuper, 編譯-孟昭晉

   近年來(lái)，自動(dòng)化行業(yè)發(fā)展迅猛，市場(chǎng)規模不斷遞增。伴隨著(zhù)應用市場(chǎng)對自動(dòng)化產(chǎn)品各方面要求的不斷提升，自動(dòng)化行業(yè)在安全、標準化等方面要求也越來(lái)越高。 其中，可以確保自動(dòng)化產(chǎn)品的高可靠性，高安全性的功能安全認證，已經(jīng)成為國內企業(yè)必須面對的一項非常重要的工作。

   目前全球相關(guān)行業(yè)和安全領(lǐng)域內，如石油化工、鐵路信號、汽車(chē)電子、核電等領(lǐng)域，相關(guān)安全控制設備或者系統必須具備功能安全認證，已經(jīng)成為了安全監管機構甚至業(yè)主在采購設備時(shí)的強制要求。

   以過(guò)程行業(yè)為例，如果過(guò)程行業(yè)工廠(chǎng)和系統存在對人和環(huán)境的潛在危險，那么它們的儀表、控制技術(shù)和控制設備必須滿(mǎn)足特殊的要求。下文將以MACX Analog Ex系列安全柵為例對防爆（Ex）和功能安全（SIL）的共同特點(diǎn)和區別進(jìn)行討論。（圖1）
 
                      
                             圖1、MACX Analog Ex系列安全柵

   在過(guò)程工廠(chǎng)和系統中，與防爆和功能安全相關(guān)的測量經(jīng)常同時(shí)發(fā)生，并且相互補充。但是，它們又具有共同點(diǎn)，那就是保護生命、健康和環(huán)境以及物資。

  使用本安保護類(lèi)型的設備可以安全避免潛在爆炸區域的點(diǎn)火源

   控制儀表和自動(dòng)化技術(shù)的防爆是基于安全可靠的避免潛在爆炸區域（次級防爆）的點(diǎn)火源。眾所周知并且已經(jīng)被證明的最佳方式是本質(zhì)安全保護。這是因為本質(zhì)安全回路的低能量水平可以允許工作狀態(tài)下的測量和改造。本質(zhì)安全要求對于儀表的功能和控制回路的運行不是決定性的，但是仍可在故障條件下實(shí)現安全可靠地實(shí)現防爆測量。

    本安保護的原則是安全限制饋入潛在爆炸危險區域的能量，這樣不會(huì )有電火花或不允許的溫升出現。用戶(hù)要實(shí)現“本質(zhì)安全”必須搭建完整的本質(zhì)安全回路，這包括安裝在危險區域的本質(zhì)安全設備，本質(zhì)安全關(guān)聯(lián)設備和本質(zhì)安全連接線(xiàn)纜。此外，本安信號隔離器可以在故障條件下保持本質(zhì)安全所定義的參數。這些參數包括空載電壓、短路電流和最大功率等。但是，這些值限制了連接的電感和電容大小，因為電容值決定了電纜的長(cháng)度。創(chuàng )新的本安信號隔離器，如MACX Analog Ex，避免自身帶來(lái)最高的電容值（Co）（圖2）。
 
                  
                                     圖2、本質(zhì)安全防護

  本質(zhì)安全功能與設備的器件水平有關(guān)，它確保了本質(zhì)安全的各項限制參數的實(shí)現，這些參數也符合EN 60079-0和EN 60079-11的設計規范。由于設計時(shí)安全系數的考慮，具有本安認證的器件有很長(cháng)的使用壽命，兩倍甚至三倍于普通器件，它們有更高的能量?jì)洌ㄈ缈紤]熱負載容量）、大的空氣爬電距離。 為了滿(mǎn)足Category 1G/D的要求，甚至當兩個(gè)可識別故障或許多不可識別故障出現時(shí)，用于防爆0區的安全設備必須保證其必需的安全水平，如它們必須防止爆炸氛圍的點(diǎn)火源。功能方面，如壓力、溫度、閥門(mén)開(kāi)關(guān)測量沒(méi)有考慮在內。

  隨著(zhù)電子、電氣、可編程電子器件和軟件系統在自動(dòng)化控制領(lǐng)域的大量使用，生產(chǎn)自動(dòng)化程度和生產(chǎn)效率有了明顯提高。但由于研發(fā)人員技術(shù)知識結構的缺失，以及企業(yè)在開(kāi)發(fā)制造中風(fēng)險管理意識的不足，自身安全性能存在缺陷的產(chǎn)品大量流入相關(guān)行業(yè)中，其可靠性問(wèn)題已經(jīng)造成人身安全、財產(chǎn)損失和環(huán)境危害等諸多影響，給社會(huì )帶來(lái)了無(wú)法挽回的損失。

   設備/系統危險故障殘留風(fēng)險

   功能安全的定義是：無(wú)論零部件或者整體系統發(fā)生的失效是隨機失效、系統失效還是共因失效，都不會(huì )導致安全系統的故障，進(jìn)而不會(huì )對人員或者環(huán)境產(chǎn)生危害，那么這個(gè)系統在功能上就是安全的。功能安全描述了工廠(chǎng)安全或取決于安全系統正確功能的保護水平的部分。作為最小化風(fēng)險的設備，如果危險情況發(fā)生，其保護水平任務(wù)是達到或維持一個(gè)工廠(chǎng)或系統的安全狀態(tài)。如果需要，安全功能必須可靠的被執行，這意味著(zhù)保護系統的危險故障概率必須盡可能的低。

  如果儀表和控制信號是防爆工廠(chǎng)或系統結構（安全儀表系統）內保護水平的一部分，那么考慮到本安測試的可用性和可靠性，用戶(hù)必須限制信號傳輸。全球有效的IEC61508標準和IEC61511過(guò)程行業(yè)應用標準正是源于此，標準規定了基于故障概率已確認的殘留故障數量。與較前的DIN V19250和DIN V19251標準相比較，新增了從傳感器到執行器安全安裝的描述，并且進(jìn)一步明確，關(guān)注的是組織的措施，如人員的定期的功能檢查和測試培訓。IEC標準包含了整個(gè)安全生命周期，從最初的概念規劃到執行、安裝和試車(chē)進(jìn)一步到運行、服務(wù)和維護及停止使用。

   EN60079不同的子標準根據保護等級定義了用于防爆的純硬件測量，而IEC61508是通過(guò)選擇的故障數據分析來(lái)評價(jià)硬件。關(guān)鍵的數據通過(guò)整個(gè)信號鏈進(jìn)行評估。安全完整性水平取決于工廠(chǎng)運行風(fēng)險分析的一部分，它分配一個(gè)故障限值給安全功能。安全水平分為四級，最高是SIL4，最低是SIL1。每一級對應安全功能中不同故障概率的范圍。在過(guò)程行業(yè)，測量回路更多的執行SIL2，很少SIL3，如果執行SIL3，通常用于冗余組態(tài)。 SIL4從未應用過(guò)，因為它不能僅通過(guò)儀表和控制測量單獨實(shí)現。（圖3）
  
                 
                             圖3、根據IEC 61508的設備分類(lèi)

  正確設計安全為導向的測量回路所需要的重要的關(guān)鍵參數

   功能安全認證除考慮常規的電氣安全、EMC電磁兼容性能之外，會(huì )額外對硬件的PFD、HFT、SFF、SIL等級等參數進(jìn)行評估，這些參數，制造商會(huì )連同設備文件（安全手冊）一起提供。除此之外，安全手冊包括FEMDA結果（失效模式影響和診斷分析）。例如，硬件-如果可用-固件結構和所有設備器件都在FMEDA另外會(huì )對整體開(kāi)發(fā)流程、硬件結構、軟件構架等方面進(jìn)行全方面的驗證。

  • PFD (要求時(shí)平均失效概率)

   一個(gè)最重要的關(guān)鍵參數是危險失效概率，PFD，它由低要求操作模式所決定。這也說(shuō)明了安全功能不被執行的平均概率。這種情況僅出現在危險情況下，安全功能確實(shí)被要求時(shí)，為了監控系統在一個(gè)定義的、安全的狀態(tài)下運行。進(jìn)一步說(shuō)，安全功能每年被要求只能小于等于每年一次。通常，化工行業(yè)工廠(chǎng)的保護系統運行在很低的要求概率。

   • PFH (每小時(shí)危險失效概率)

   另一方面, PFH – 每小時(shí)危險失效概率 – 應用于高要求或連續操作模式。這是保證被監控系統永遠保持正常和安全狀態(tài)下的主要因素。（例如，監視機器速度）

   • SFF (安全失效分數)

   91.3%意味著(zhù)100個(gè)安全功能故障中91.3個(gè)是非關(guān)鍵故障。通過(guò)自測試實(shí)現故障檢測，相應的響應能力也起著(zhù)重要作用。和自動(dòng)檢測到或檢測不到這些故障的可能性一樣，危險和非危險故障也有區別。在此情況下，本安MACX Analog Ex系列溫度變送安全柵中，除實(shí)際的信號傳輸功能之外，診斷功能也一直在運行，用于檢測不正確的狀態(tài)。

  • HFT (硬件故障裕度)

   HFT提供系統所能容許的故障數量。HFT值為0，表明是單通道應用，如果只有一個(gè)單獨故障出現，就會(huì )引起安全功能喪失。

  • A類(lèi)和B類(lèi)設備

  進(jìn)一步說(shuō)，當評估安全性時(shí)，在“簡(jiǎn)單”和“復雜”設備。“簡(jiǎn)單”的A類(lèi)設備器件故障-如純模擬量4-20mA本安饋電隔離器，型號MACX MCR-EX-SL-RPSSI-I可被完全定義。另一方面，“復雜”的B類(lèi)設備器件故障，如本安溫度變送器MACX MCR-EX-SL-RTD-I的微處理器和固件，并不被完全知道。

  如果根據IEC61508研發(fā)和認證本安信號隔離器，硬件和軟件要全部進(jìn)行評估，同時(shí)，所有的故障避免和故障處理措施必須在研發(fā)、生產(chǎn)和運行（安全生命周期管理）時(shí)考慮在內。這些措施對產(chǎn)品質(zhì)量的提高具有重要意義。

  低PFD組件有益于接口產(chǎn)品

  完整的安全回路的PFD是源于所有獨立器件的PFD之和。如本安保護類(lèi)型，如果進(jìn)行完整的本質(zhì)安全測量回路設計，需要實(shí)現功能安全，那么完整的以安全導向的測量回路必須進(jìn)行評估。一個(gè)獨立的設備沒(méi)有SIL認證，但是因為它的安全參數符合要求，可用于安全導向測量回路，例如，根據SIL2，PFD值在1 x 10-3 和 1 x 10-2之間，（如圖4所示安全回路（安全控制回路）常見(jiàn)故障分布），對于SIL2，所有PFD之和不能超過(guò)0.99 x 10-2，然而本安溫度變送器不能超過(guò)10%的總PFD（圖4），如MACX MCR-EX-SL-RTD-I 溫度變送安全柵PFD值為9.1 x 10-4，遠遠低于全部PFD的10%。對于用戶(hù)，可以帶來(lái)的好處是，規定的測試間隔可以靈活的延長(cháng)至最多7年。
 
                
                           圖4、安全控制回路故障分布

  總結

   創(chuàng )新的MACX Analog Ex系列安全柵不僅滿(mǎn)足防爆相關(guān)的高要求，還可用于安全導向的回路研發(fā)和認證。對應當前本安回路ATEX標準，電子接口產(chǎn)品標識有Ex II(1)GD [Ex ia] IIC/IIB 表明可以安裝在防爆0區（氣體）和20區（粉塵）。因此，根據IEC 61511，它們最高可用于SIL 2應用，某些情況下，可用于SIL3應用。因此，MACX Analog Ex系列產(chǎn)品幾乎可應用于所有應用，并在提高系統利用率方面扮演重要角色。而且，該系列產(chǎn)品具有12.5mm超薄設計，更多的節省柜內空間。同時(shí)，模塊導軌連接器實(shí)現底部橋接供電，減少了接線(xiàn)時(shí)間和成本。這也是該系列安全柵產(chǎn)品具有高性?xún)r(jià)比的原因。

   功能安全不但在過(guò)程自動(dòng)化和工廠(chǎng)自動(dòng)化為保障系統和設備安全功能完整，在國內能源領(lǐng)域內，如在火電于汽輪機保護和鍋爐保護領(lǐng)域，甚至在太陽(yáng)能和風(fēng)力發(fā)電等新能源領(lǐng)域內，功能安全認證也即將成為強制要求；另外針對類(lèi)似電梯、扶梯等關(guān)系到公眾人身安全的公共設施，國家近期也已經(jīng)對相應的標準進(jìn)行了修改，使得功能安全評估和測試要求成為強制國標中的重要組成部分。