作者-Heinrich Käuper, 編譯-孟昭晉
近年來,自動化行業發展迅猛,市場規模不斷遞增。伴隨著應用市場對自動化產品各方面要求的不斷提升,自動化行業在安全、標準化等方面要求也越來越高。 其中,可以確保自動化產品的高可靠性,高安全性的功能安全認證,已經成為國內企業必須面對的一項非常重要的工作。
目前全球相關行業和安全領域內,如石油化工、鐵路信號、汽車電子、核電等領域,相關安全控制設備或者系統必須具備功能安全認證,已經成為了安全監管機構甚至業主在采購設備時的強制要求。
以過程行業為例,如果過程行業工廠和系統存在對人和環境的潛在危險,那么它們的儀表、控制技術和控制設備必須滿足特殊的要求。下文將以MACX Analog Ex系列安全柵為例對防爆(Ex)和功能安全(SIL)的共同特點和區別進行討論。(圖1)
圖1、MACX Analog Ex系列安全柵
在過程工廠和系統中,與防爆和功能安全相關的測量經常同時發生,并且相互補充。但是,它們又具有共同點,那就是保護生命、健康和環境以及物資。
使用本安保護類型的設備可以安全避免潛在爆炸區域的點火源
控制儀表和自動化技術的防爆是基于安全可靠的避免潛在爆炸區域(次級防爆)的點火源。眾所周知并且已經被證明的最佳方式是本質安全保護。這是因為本質安全回路的低能量水平可以允許工作狀態下的測量和改造。本質安全要求對于儀表的功能和控制回路的運行不是決定性的,但是仍可在故障條件下實現安全可靠地實現防爆測量。
本安保護的原則是安全限制饋入潛在爆炸危險區域的能量,這樣不會有電火花或不允許的溫升出現。用戶要實現“本質安全”必須搭建完整的本質安全回路,這包括安裝在危險區域的本質安全設備,本質安全關聯設備和本質安全連接線纜。此外,本安信號隔離器可以在故障條件下保持本質安全所定義的參數。這些參數包括空載電壓、短路電流和最大功率等。但是,這些值限制了連接的電感和電容大小,因為電容值決定了電纜的長度。創新的本安信號隔離器,如MACX Analog Ex,避免自身帶來最高的電容值(Co)(圖2)。
圖2、本質安全防護
本質安全功能與設備的器件水平有關,它確保了本質安全的各項限制參數的實現,這些參數也符合EN 60079-0和EN 60079-11的設計規范。由于設計時安全系數的考慮,具有本安認證的器件有很長的使用壽命,兩倍甚至三倍于普通器件,它們有更高的能量儲備(如考慮熱負載容量)、大的空氣爬電距離。 為了滿足Category 1G/D的要求,甚至當兩個可識別故障或許多不可識別故障出現時,用于防爆0區的安全設備必須保證其必需的安全水平,如它們必須防止爆炸氛圍的點火源。功能方面,如壓力、溫度、閥門開關測量沒有考慮在內。
隨著電子、電氣、可編程電子器件和軟件系統在自動化控制領域的大量使用,生產自動化程度和生產效率有了明顯提高。但由于研發人員技術知識結構的缺失,以及企業在開發制造中風險管理意識的不足,自身安全性能存在缺陷的產品大量流入相關行業中,其可靠性問題已經造成人身安全、財產損失和環境危害等諸多影響,給社會帶來了無法挽回的損失。
設備/系統危險故障殘留風險
功能安全的定義是:無論零部件或者整體系統發生的失效是隨機失效、系統失效還是共因失效,都不會導致安全系統的故障,進而不會對人員或者環境產生危害,那么這個系統在功能上就是安全的。功能安全描述了工廠安全或取決于安全系統正確功能的保護水平的部分。作為最小化風險的設備,如果危險情況發生,其保護水平任務是達到或維持一個工廠或系統的安全狀態。如果需要,安全功能必須可靠的被執行,這意味著保護系統的危險故障概率必須盡可能的低。
如果儀表和控制信號是防爆工廠或系統結構(安全儀表系統)內保護水平的一部分,那么考慮到本安測試的可用性和可靠性,用戶必須限制信號傳輸。全球有效的IEC61508標準和IEC61511過程行業應用標準正是源于此,標準規定了基于故障概率已確認的殘留故障數量。與較前的DIN V19250和DIN V19251標準相比較,新增了從傳感器到執行器安全安裝的描述,并且進一步明確,關注的是組織的措施,如人員的定期的功能檢查和測試培訓。IEC標準包含了整個安全生命周期,從最初的概念規劃到執行、安裝和試車進一步到運行、服務和維護及停止使用。
EN60079不同的子標準根據保護等級定義了用于防爆的純硬件測量,而IEC61508是通過選擇的故障數據分析來評價硬件。關鍵的數據通過整個信號鏈進行評估。安全完整性水平取決于工廠運行風險分析的一部分,它分配一個故障限值給安全功能。安全水平分為四級,最高是SIL4,最低是SIL1。每一級對應安全功能中不同故障概率的范圍。在過程行業,測量回路更多的執行SIL2,很少SIL3,如果執行SIL3,通常用于冗余組態。 SIL4從未應用過,因為它不能僅通過儀表和控制測量單獨實現。(圖3)
圖3、根據IEC 61508的設備分類
正確設計安全為導向的測量回路所需要的重要的關鍵參數
功能安全認證除考慮常規的電氣安全、EMC電磁兼容性能之外,會額外對硬件的PFD、HFT、SFF、SIL等級等參數進行評估,這些參數,制造商會連同設備文件(安全手冊)一起提供。除此之外,安全手冊包括FEMDA結果(失效模式影響和診斷分析)。例如,硬件-如果可用-固件結構和所有設備器件都在FMEDA另外會對整體開發流程、硬件結構、軟件構架等方面進行全方面的驗證。
• PFD (要求時平均失效概率)
一個最重要的關鍵參數是危險失效概率,PFD,它由低要求操作模式所決定。這也說明了安全功能不被執行的平均概率。這種情況僅出現在危險情況下,安全功能確實被要求時,為了監控系統在一個定義的、安全的狀態下運行。進一步說,安全功能每年被要求只能小于等于每年一次。通常,化工行業工廠的保護系統運行在很低的要求概率。
• PFH (每小時危險失效概率)
另一方面, PFH – 每小時危險失效概率 – 應用于高要求或連續操作模式。這是保證被監控系統永遠保持正常和安全狀態下的主要因素。(例如,監視機器速度)
• SFF (安全失效分數)
91.3%意味著100個安全功能故障中91.3個是非關鍵故障。通過自測試實現故障檢測,相應的響應能力也起著重要作用。和自動檢測到或檢測不到這些故障的可能性一樣,危險和非危險故障也有區別。在此情況下,本安MACX Analog Ex系列溫度變送安全柵中,除實際的信號傳輸功能之外,診斷功能也一直在運行,用于檢測不正確的狀態。
• HFT (硬件故障裕度)
HFT提供系統所能容許的故障數量。HFT值為0,表明是單通道應用,如果只有一個單獨故障出現,就會引起安全功能喪失。
• A類和B類設備
進一步說,當評估安全性時,在“簡單”和“復雜”設備。“簡單”的A類設備器件故障-如純模擬量4-20mA本安饋電隔離器,型號MACX MCR-EX-SL-RPSSI-I可被完全定義。另一方面,“復雜”的B類設備器件故障,如本安溫度變送器MACX MCR-EX-SL-RTD-I的微處理器和固件,并不被完全知道。
如果根據IEC61508研發和認證本安信號隔離器,硬件和軟件要全部進行評估,同時,所有的故障避免和故障處理措施必須在研發、生產和運行(安全生命周期管理)時考慮在內。這些措施對產品質量的提高具有重要意義。
低PFD組件有益于接口產品
完整的安全回路的PFD是源于所有獨立器件的PFD之和。如本安保護類型,如果進行完整的本質安全測量回路設計,需要實現功能安全,那么完整的以安全導向的測量回路必須進行評估。一個獨立的設備沒有SIL認證,但是因為它的安全參數符合要求,可用于安全導向測量回路,例如,根據SIL2,PFD值在1 x 10-3 和 1 x 10-2之間,(如圖4所示安全回路(安全控制回路)常見故障分布),對于SIL2,所有PFD之和不能超過0.99 x 10-2,然而本安溫度變送器不能超過10%的總PFD(圖4),如MACX MCR-EX-SL-RTD-I 溫度變送安全柵PFD值為9.1 x 10-4,遠遠低于全部PFD的10%。對于用戶,可以帶來的好處是,規定的測試間隔可以靈活的延長至最多7年。
圖4、安全控制回路故障分布
總結
創新的MACX Analog Ex系列安全柵不僅滿足防爆相關的高要求,還可用于安全導向的回路研發和認證。對應當前本安回路ATEX標準,電子接口產品標識有Ex II(1)GD [Ex ia] IIC/IIB 表明可以安裝在防爆0區(氣體)和20區(粉塵)。因此,根據IEC 61511,它們最高可用于SIL 2應用,某些情況下,可用于SIL3應用。因此,MACX Analog Ex系列產品幾乎可應用于所有應用,并在提高系統利用率方面扮演重要角色。而且,該系列產品具有12.5mm超薄設計,更多的節省柜內空間。同時,模塊導軌連接器實現底部橋接供電,減少了接線時間和成本。這也是該系列安全柵產品具有高性價比的原因。
功能安全不但在過程自動化和工廠自動化為保障系統和設備安全功能完整,在國內能源領域內,如在火電于汽輪機保護和鍋爐保護領域,甚至在太陽能和風力發電等新能源領域內,功能安全認證也即將成為強制要求;另外針對類似電梯、扶梯等關系到公眾人身安全的公共設施,國家近期也已經對相應的標準進行了修改,使得功能安全評估和測試要求成為強制國標中的重要組成部分。