按IEC61511标准选择安全仪表系统的传感器

1、按iec61511标准选择安全仪表系统的传感器圈子类别：现场仪表来天）©2010-5-4 14:46:00我要评论加入收藏加入圈门概述这篇文章将讨论s1s应用中传感器的分类，这类传感器满足1ec61511规范，最小化生命周 期中的/戊本。先讨论515标准的历史，然后讨论sis应川中选择传感器的标准过程。传感器选抒包括对 两种选项的深入讨论：经过认证和以往使用。文章还讨论了选择sis传感器其他要考虑的问题，诸如产品 能力和限制，检验测试，安伞粘度和安伞响应时闹，新国际标准一对过程工业的运行增加了价值 1996年，发布了用于安全的国呩标准tec61508。这个国&标准为所冇的安全

2、行为建立了一个通用方法。颁 布这个通用标准的h的是为今后建立一系列的行业安全国际标准奠定基础。2003牢，过程工业标准iec61511颁布。这个紐准由代农20多个園家川户的国际联盟所起草制定的。这个 标准的h的是定义一套用于整个sis生命周期甩的功能规范（标识，设计，安装，运行、维护和退役）， 满足全球过程工业的需求。这个标准宥三个部分组成：iec61511-1框架、定义、系统、硬件和软件要求：iec6151卜2应用指南;iec61511-3确定要求的安伞完整性等级的指南。这个标准为过程工业的使川者和集成商提供丫非常電要的价值。w为多数全球标准委m会和/或权威机构都 期盼采用这个标准，用于他们

3、各h的国家，很多公司现在能够开发使用安全仪表系统的标准化流程，满圮 所有标准提出的耍求。这个标准还伴随有“生命周期”的方法，帮助用户确保sis的设计，从概念到退役， 满足工厂运行降低风险的要求。图h iec61508可以用于任何工业行业，也可以满足制造行业对sis的安全要求。iec61511特定用于过程 工业，给出了针对®终用户和集成商的要求大纲。设备制造商 和供应商iec61508安全仪表系统设计者 集成商和用户iec61511流程行业安全 仪表系统标准图 2: tec61511tec61511 和 tec61508 的关系在tec61511屮，提供了大s的陈述，进-步描述使用这两

4、个标准的证据和应用。iec61511列出了川户和集成商的要求。这个标准要求用于s1s应川的设备制造商和供应商遒循1ec61508 部分2 （硬件/软件）和部分3 （栺南）的耍求人纲。这是非常重耍的特性。tec61511屮陈述：范闊b）:“（这个标准）适用于把满足iec61508或iec61511 （以往使用或经过认证）部分屮11. 5要求的设备巣成到可用于过程领域应用的整体系统屮时，似不适用于希望声明装置适用于过程领域的安全仪表 系统的制造商；”范围d）: “ （这个标准）适用于开发使用有限可变语言或固定程序语言的系统的应用软件,而不适用于 开发嵌入式软件（系统软件）或使川全可变语言的制造商、

5、安伞仪衣系统没计师、染成尚和川户；”iec61511淸楚地农明用于sis设裕制造商必须遵循iec61508部分2和3的要求，除非用户满足了部分11. 5 中的“以往使用”的要求。注意，制造簡不能声明满足“以往使川”这个标准，这是川户的职责。制造簡 需要遵循iec61508的“以往使用”的要求。对用于安全仪表系统传感器的要求iec61511文件定义了用于sis的硬件规范要求。硬件分为两个组，一组仅由可编程电子逻辑解算器（pli逻 辑解算器）组成；另一组由非pe没备，传感器和最终控制部件构成。这是本文w论的重点。根裾iec61511 部分11. 5. 2的内容选择传感器和最终控制部件，用户有两个选

6、项：对于sil1sil3的应用而言，安全仪表系统部件和子系统适合的条件，应符合iec61508部分2和部分符合iec61511部分11. 4和部分11. 5. 3到11. 5. 6的要求，基丁以往使用选择部件和子系统的要求。遵从旧c61508-2和旧 c61508-3的传感器基干“使用经验”（证实使用）的传感器图3: tec61511的两个选项，用于选择sts的传感器没计时选抒iec61508或者iec61511以往使川的不同之处是：对传感器或冇最终部件功能是否适合于sis 应用的需求，由谁负责证据的提供，证据的分界和证据的采川。不而是一个证据提供的简单阌解。当使用一个符介iec61508汄证

7、的安全型液位传感器，设备的能力和限制 乜括了浸湿部分。用户负责保证传感器与过程接口没冇任何未检测到的失效。这个评佔还必须考虑未检测 到失效模式过程可能引起传感器没湿部分的物理伤害，诸如水锤，腐蚀，氢渗透或氢脆变。用户负责决定 指派接u的pfd （要求时失效概率）。川户负责提供所有相关以往使川条款的证掘。川户决定这些传感器 的pfd、性能和限制。以往使用评估还包括一个完整过程接口的危险未检测到失效的评估。被认证的使用ki4：提供sis传感器证据的责任符合iec61508部分2和3传感器的选择 按tec61508标准设计的传感器，表示现场仪表的没计满足了 tec部分2和3屮对硬件、系统和软件的详细

8、 要求。这个标准使用安余完整性等级（stl）表，并把它应用丁仪表系统设汁，做为设俗“安全等级”的测 s。制造商遵从iec61508使川的典型方法如下所示：制定安全要求和安全要求规范;按部分2的“规则”设汁仪衣体系结构和硬件；按部分3的“规则”没计、校验、验证和控制软件和系统达到希望的stl等级（没备安全等级）；完成故障插入测试校验诊断；执行对变化管理的控制过程；执行制造控制，确保设备的女全不降级；完成失效模忒影响诊断分析（fmeda），决定失效率，安全失效分数（sff）和耍求吋的失效概率（pfd）:对特定的pfd，详述没备“检验测试”的耍求；与认证机构签约，如何对第三厂家的设计要求、硬件、软件

9、、系统和设计控制进行复山认证机构提交对第三厂家的证明和报吿；制造商提供一本“安全手册”文件，使川户能够在sis应川中，正确地使川产品。制造商把产品提交给认证机构，证明产品满足所介要求。如果产品确实满足了要求，认证机构会公如一张 证中;，证明产品满疋1ec61508的所有要求，不阁是一个认证证书的样例。证书指明了产品名称，产品分类 和可适用的硬件和软件stl等级。certificate阁5:山tuv汄证的传感器证书样例，证明传感器遵从iec61508部分2和3所列岀的要求认证机构包括了 rwtuv-augsburg-germany, tuvsud, tuvrhineland, factorymu

10、tual, usa,和很多其他机构。 在菜些情况下，制造商会邀賭工业专家帮助产品满足安全要求。这些专家，比如exida或荞risknowledgy， 不足认证机构的人w，但能提供专门的技术满足iec61508要求，帮助实施沾如完成fmeda过程，制定产品 的安全要求。所行产品都打局限。这些限制在选择前需要进行检奔。按iec61508设计产品的限制要在产品安全手册屮列 出。安全手册至少耍告诉用户：产品的安装、配置和安全操作耍求、产品生命周期和维护耍求诸如产品例 行测试。传感器失效数据和pfd信息能够从产品的fmeda屮直接获得。如果冇卜而的惜况，测s可能受物现环境的 影响，超出了传感器的认证范凼

11、，诸如由丁过程不洁或隔膜密封造成线路脉冲或初级部件阻塞，必须对 进行调整。用户把“按1ec61508设计”传感器用于s1s具脊重要的价值。界易遵从iec61511，供应商负责提供设备的安全等级文件；保证失效率数裾和伹省效并且正确： sis疢川符合w际标准iec61508 （鉍小化系统的软件失效特别觅要），侃证仪表设计满足优秀工程劣践;保证制造商往产品生命周期里，奋处理“变化管理”的能力;提供的安全手册和认证报告，可确保sis的正确执行。虽然“按1ec61508设计”为ss设计师增加的价值，们在指记传感器吋必须非常地小心。选择传感器的重 要问题乜拈：安全鉍审和认证不意味着可靠性釔审已经完成一 “

12、安全”不意味着“可靠”。因此要进行失效率的彻底复审，减少潜在的可能差错。按tec61508设计的复审就像“白皮书”分析，没冇操作经验方而的耍求。在sts应用中使用未经测试、未经证明的设备会带來非常高的风险。在把传感器安装到s1s应用前，用户应该具有使用设备的经验。山制造商提供的失效率数裾不包含过程接口的失效率。而这在选择传感器时是非常ffi要的。一个岛安全失效分数（来自传感器潜在危险失效的-个低）不包括诸如线路堵塞、线路冷冻、线路滑块或气体渗入的危险失效。用户必须认真阅读证明陈述和安全t册一很多设计需要冇效的检验或者对它们的使用具冇严格限制，xt能保证安全汄证有效性。基于以往使用传感器的选择制

13、定iec61508和iec61511的国际委员会认为:用户应该制定证明sts回路部件的其他标准。因此，包招 了以往使用（也称为使用证明）的条款。以往使用条款承认用广的方法论，接受不足按iec61508部分2和 3设计的传感器和控制器部件用于sis应用。iec61511屮对以往使用的条款育下而陈述：tec61511-1,部分11. 5. 3.1: “应提供部件和子系统适用于该安全仪表系统的适当证据”。用于传感器的 “适当证据”必须要有相关的证明文件。（参考iec61511-1，部分11.5.3.2）:制造商的质虽、管理和配置管理系统的考虑；这个条款要求设各的制造商确认，具有保证产品一致性的质量系

14、统和当硬件和软件变更吋，共有变化系统的管理。部件或了系统满足要求的标识和规范； o这个条款要求以往使川产品具打硬件和软件资格标识。意阁是当制造商史改产品时，让用户知道和评佔sie （安全仪农功能）影响。注炎似操作行规和实际环境中部件或子系统性能的证明；这个条款要求资格设济证明-直在现场操作并且与设计的sis物理环境相似。这个条款的意阁足确认pfd计算与设计的应用计算相m。大量的操作经验；0这个条款要求证明产品连续性能评佔的证掘。这个条款的意阁是确保用户次初始检验f能连续监视产品。为了满足这#要求，标准允许川户对操作经验进行成文，从基本流程控制应川到sis应川。然而，标准要 求操作经验与计划的s

15、1s应用条件相同，收集的数据具宵统计意义，另外，只有用户能够违立针对1ec61511 的以往使川；供应商不能做这种申明。以往使川的传感器对pfd贡献必须山hj户米计算。用户能够使川制边商产品的fmeda做为起始点，然后川 流程条件调整或确汄卟算叩d,但不能直接使用fmeda屮的数裾而不做况他考虑。用户把“按iec61508设计”的传感器用t sis具有重要的价值。传感器具有知名的可靠性;传感器已经被设计师和维护技师所熟悉；传感器具冇sts和bpcs （基本过程控制系统）的使用实践：对维护人员不需外加的培训：备件溃单的种类；传感器失效历史一般包拈过稈接u的失效。这就足为什么iec61511仅允许

16、川户建立以往使川，不足制造尚或冇供应仰。川户知道更多关t这些传感器 在现场的执行情况。iec6151卜1,范围b）:适川于把满足比061508或者61511部分屮11.5要求的设备（以往使用或使用 证明）集成到呵川于过程领域应川的整体系统屮时，但并不适用于希望屮明装背适用于过程领域的安全仪 表系统的制造商 hl然“以往使川”对川户提供了一些优势，似也介很多隐含的成本和风险，闪此川户必须: 在传感器操作小吋、环境和失效率方lw维护文件，结果会增加维护成本(maintex):以往使用变化影响的监视管现。山于部件变化、或者增加特性、或者降低成木，制造商会不断改进传感器。这些变化对传感器操作能力的影响

17、需要重新评估，做为证明文件屮明。有些情况下，型状、安装、或者功能的变化可能否定以前所有的证据，检验过程必须从义进行一遍(capex, maintex) o传感器选择和它对硬件故障裕度的影响 故师裕度定义为一个部件或子系统在冇一个或儿个硬件危险故障的情况不，仍能继续承扒所耍求的仪表安 全功能的能力。这个能力由需要冗余传感器的敁小数量來表示。按stl的要求见tec61511-1的衣6所示。 这个表的第-列为sil等级，笫二列为故障裕度最小位。比如，一个sil2应川耑要-个冗余传感器。一-个 s1l3应用志要w个冗余传感器。硬件故障裕度silftmin1021324见 iec61508iec6151

18、1表6:川于传感器、最终部件和非可编程电子逻辑解算器的硬件故障裕度硬件故障裕度要求不影响认证或以往使用传感器的选择对于以往使用传感器，1工61511部分11.4.4陈述：当使用的装置符合所冇下列各项吋，表6屮规定的除 pe (可编程电子)逻辑解算器以外所有子系统(如传感器、敁终部件和非pe逻辑解算器)，敁低硬件故障 裕度可减1:根裾以往使川选择设备硬件；设各只允许调整过程参数；如测量范围、上f限失效指示； 没备过程参数的调整要受保护，如跳线、密码等。按iec61508、iec61511部分11. 4. 5没计的没备陈述为：若根裾iec61508-2的农2和农3进行一次评估， 则吋使川替代的故降

19、裕度要求。这个陈述指示用户吋根据iec61508硬件故陷裕度表选择类沏a或卉类沏b 设备。这些表根据安全失效分数（sit）指定需要冗余传感器的数最。己知一个设备按iec61508要求设汁， sff90°%,表3 （类型b设备）展示了和iec61511表6中减1相同的故障裕度要求。安全失效分数硬件敌障！度01 2< 60%不允许sil1 sil260% - <90%sil1sil2sil390% - < 99%sil2 /sil3 /sil4> 99%sil3sil4sil4trc61508表2:硬件安全完整性：b类安令相欠子系统的结构约朿这个标池k一步要求设卟

20、师复帘所打过程接114能引起危险失效条件的影响。对于传感器，这些内容包括 线路淅漏、冷冻、气体渗透等等。如果存在潜在的危险失效，故障裕度必须加1。被认hi的使用轻骑阁6:对被汄证的设备需要淸洁的接i i做故障裕度信用下而的表（表1）是调粮过的硬件故障裕度表，是减1的故障裕度。它可以川于满足以往使川要求或被认 证sff90%并淸洁接口过稃的传感器。硬件故障裕度silftmin1020314见 iec 61508农1 一带倌用的硬件故障裕度农/、v该知道的是：，考虑使用允许的信用时，安全和4用性经常交换使用。公共原因/公共模式/系统失效虽然公共原因和公共模式在定义穌准中稍微奋些不同，公共原因和公共

21、模式使川起来是同义的。这些失 效定义为失效影响冗余系统两个或多个通道。一个这样的例子是电磁十扰会影响传感器。如果这种传感器 使用2003表决机制，这些传感器暴露在电磁区域，现场影响呵能是消极的，影响所打传感器的输出，引起 扣m的错误结果和可能不安全的条件。另一些公共原因引起刺激的例子如温度瞬吋变化、物邱冲击、振动、 设计错误、或维护错误。定义公井原因的术语足p因数，并且用百分数表示。p因数可以由第三方公司或 冇川户来计算。对了冗余系统首先计算pfd,然后乘以p因数，最后把结米加到冋路pfd。冇些用广使用多种传感器（不m技术或者不m的供应商）会降低p因数。这典型涉及到传感器的多样性。 虽然理论上

22、足非常好，们.必须考虑产品的维护和对系统运行的影响。传感器能力和限制当选择传感器吋，除了迄今为止讨论的内荇，还冇很多耍考虑的问题，坡重耍的是产品的能力和限制，维 护和操作人员的能力和限制，维护“做为设计”用于sis的功能安全。按iec61508设计传感器的能力和限制应该写布产品安令手册的要求之屮。贯要的主题包括检验测试、安全 精度、安全响应时间和不安全模式的操作。检验测试:wc61511条款16. 2. 2耍求制定的维护规程确侃遵从siu计划的主要部分记决定检验测试和设定检验fhj隔。 检验测试是川于s1s应用部件的1ec61511要求，并且是用于回路部件的1ec61508汄证过程。制造商制定

23、 认证传感器的测试不是在危险不被检测失效校式。检验测试在产品安全手册屮给出，并1l表示覆盖的百分 比。这个百分比足计筇的一部分，用于维护sil等级和遵从pfd。0%50%95%图7:设汁检验测试发现危险不被检测的失效考虑的事情足检测的w杂性，在检测期叫需要旁路sis,危险事件造成的结來和多长吋刖执行一次检测。 所有这些都非常重要，就像维护行为造成的失效会驱动sis动作并且停ik工厂部分或奍全部的生产。理想 的传感器疢该町以容易检验，测试周期等于或者大于正常停止的m隔。允许传感器的测试离线进行。以往使用传感器的检验测试由用制定。以往使用检验测试也不特殊设计对检测传感器的特定不被检测危 险故障，就

24、像这沮的分析不是以往使用传感器资格的一部分。通常使用n常维护，來证明传感器的资格。 测试就像对设各进行简準的校准-样容易和熟悉。简单足有吸引力的，们.问题足你不知道足否太频繁、不 够频繁、或冇没宥测试到正常的失效。幸运的足，制造尚已经认识到这-点，并且把fmeda分析范闱扩大, 包括传感器的检验。安全精度：安全粘度与传感器粘度足不同的、有些认证的智能安全传感器满足iec61508部分2和3,在传感器内a有 反馈机制，比较实际的n)a输出和数字输出。另外能够没定一个阀位，在认为输出危险不被检测或冇不安伞 前，允许关键部件一定量的漂移。传感器安全精疫的典型值为2 5%。模拍量pv阁8:智能传感器带输出比较器的基本功能框i冬i安全响应时间：与安全精度相似，安伞响应时m-般足与传感器响应时m不同的。传感器响应吋m足从输入传感器变化到 输出响应这个变化使川的时间。安全响应时间足传感器响应时间加上运行所侖诊断所川的时间。典型的& 全响应时间为1 一5秒钟。一个奋资格传感器的能力和限制由川户以往使川的条款来定义。这可能产生潜办:安全问题