目录
1.范围
2.标准参考
3.术语,定义和缩略语
4.该国际标准的适应性
5.功能性安全的管理
5.1 目的
5.2 要求
6 安全使用周期要求
7 验证
7.1 目的
8.工艺危险和风险评估
8.1目的
8.2要求
9.保护层安全功能的分配
9.1目的
9.2分配工艺的要求
9.3安全完整性等级4的附加要求
9.4基本工艺控制系统作为保护层的要求
9.5防止出现一般原因,一般模式和相关故障的要求
10.SIS安全要求规范
10.1 目的
10.2 一般要求
10.3 SIS安全要求
11 SIS设计和工程管理
11.1 目的
11.2一般要求
11.3检测故障时系统工作情况的要求
11.4硬件故障容许限度的要求
11.5组成部分和子系统选择的要求
11.6现场设施
11.7接口
11.8维护或者测试的设计要求
11.9 SIF故障的可能性
12应用软件的要求,包括公用工程软件选择标准
12.1应用软件安全使用周期要求
12.2应用软件安全要求规范
12.3应用软件安全有效性规划
12.4应用软件设计和开发
12.5应用软件与SIS子系统的整合
12.6 FPL和 LVL软件的修改程序
12.7应用软件验证
13工厂验收测试(FAT)
13.1目的
13.2 建议
14 SIS安装和试运行
14.1目的
14.2要求
15SIS安全有效性
15.1目的
15.2要求
16 SIS操作和维护
16.1目的
16.2要求
16.3验证测试和检验
17 SIS修改工作
17.1目的
17.2要求
18 SIS停止试运行
18.1目的
18.2要求
19资料和文件要求
19.1目的
19.2要求
附件A(资料)运算安全仪表功能故障概率技术的示例
附件B(资料)典型的SIS构造研发
附件C(资料)安全PLC的应用特征
附件D(资料)SIS逻辑解算器应用软件开发方法
附件E(资料)安全组态的PE逻辑解算器外部组态诊断研发的示例
图1 该标准的整个框架图
图2 BPCS功能和初始原因单独说明
图3软件研发周期(V-模型)
图C1逻辑解算器
图E1EWDT计时图表
表格1――典型安全手册结构和内容
介绍
安全仪表系统已经使用了许多年,用以执行加工工艺领域中的安全仪表功能。如果仪表能够有效地用于安全仪表功能,最根本的一点是该仪表至少要达到一定的标准。
该国际标准说明了工艺领域安全仪表系统的应用。它还涉及到进行工艺危险和风险评估所需的安全仪表系统和其他安全系统之间的接口。安全仪表系统包括传感器,逻辑解算器和最终元件。
该国际标准有两个概念,安全使用周期和安全完整性等级,这是它的应用基础。安全使用周期与该国际标准中的大多数概念一起组成一个中心框架。
安全仪表系统逻辑解算器着重说明了电器(E)/电子(E)/和编程电子技术。在逻辑解算器使用其他技术的地方,也可采用该标准的基本原理。该标准还说明了安全仪表系统传感器和最终元件,与使用的技术无关。该国际标准就是IEC61508系列框架内的具体内容。
该国际标准确立了安全使用周期工作的一个方法,以实现这些最低标准要求。通过使用这个方法来保证合理和统一的技术。该标准的目的是提供如何遵守IEC61511-1的指导说明。
为了易于使用该标准,提供的条款和分项条款与IEC615内相关的文本内容一致(不包括在附件内)。
在大多数情况下,如果可行的话,安全的要求最好是通过固有安全工艺设计来实现。如果必要的话,还可使用一系列的保护系统,这些保护系统可依据不同的技术(例如,化学,机械,液压,气动,电气,电子,热动力,(例如阻火器,可编程电子),来管理任何一个已确定的残余风险。任何一个安全策略还应考虑其他保护系统中各个单独的安全仪表系统。为了简化该方法,该标准
●要求完成危险和风险评估以确定所有的安全要求。
●要求完成安全功能和相关的安全系统,例如安全仪表系统安全要求的分配工作。
●在适用于所有仪表执行功能安全方法的框架范围内工作。
●详细说明相关活动的使用情况,例如安全管理。这也许适用于执行功能安全的所有方法。
有关加工工业安全仪表系统的国际标准:
●从最初的概念,到设计完成,操作和维护以及停止运行来详细说明相关的安全使用周期阶段。
●使现有的或者新的国家特定工艺工业标准与该标准保持一致。
该标准在加工工艺领域一直保证较高水平的统一性(例如,其中的最基本的原理,术语,资料)。这在安全和经济两方面都能取得好的效益。
技术要求 技术支持部分
第一部分 参考
所有安全要求的制定 第2条款
(概念,范围定义, 第一部分
危险和风险评估) 定义和缩略语
第款 第3条款
第一部分 第一部分
安全要求分配给安全仪表功能 一致性
和安全要求规范的制定 第4条款
第9和10条款 第一部分
第一部分 功能安全的管理
安全仪表系统 安全仪表系统软件 第5条款
的设计阶段 的设计阶段 第一部分
第11条款 第12条款 安全使用周期要求
第一部分 第6条款
安全仪表系统的 验证
工厂验收测试,安 第7条款
装,和试运行以及安全 资料要求
有效性。 第19条款
第13,14,15条款 差异
附件A
第一部分 第一部分
安全仪表系统的 第一部分的应用指南
操作和维护,修改和改进,停止 第二部分
运行或者处理。 所需安全完整性等级的
第16,17,1款 确定指南
第三部分
澳大利亚标准
功能安全――工艺领域安全仪表系统
第二部分AS IEC61511。1的应用指南
1.范围
IEC 61511-2提供了 IEC 61511-1中规定的安全仪表功能和相关安全仪表系统的规格,设计,安装,操作和维护的指导说明。该标准已经进行了编排,所以各个条款和分项条款的编号与IEC 61511-1(附件除外)内的条款编号相同。
2. 标准参考
没有提供更详尽的指导说明。
3.术语,定义和缩略语
除IEC 61511-1的3. 2. 68和3. 2. 71之外,没有提供更详尽的指导说明。
3. 2. 68 安全功能必须可以防止特定的危险事件。例如,“防止容器#ABC456的压力超过100巴”,安全功能可通过以下内容来实现:
A)单个安全仪表系统(SIS),或者
B)一个或者多个安全仪表系统和/或者其他保护层。
在B)的情况中,各个安全仪表系统或者其他的保护层都可以执行安全功能并且所有组合都可以执行所需的风险降低操作(工艺安全目标)。
3. 2. 71 安全仪表功能由安全功能变化而来,与安全完整性等级(SIL)相关,可通过一个具体的安全仪表系统(SIS)来完成。例如,“当容器#ABC456的压力达到100巴时,在5秒内关闭阀#XY123”。需要说明的一点是安全仪表系统的部件可用于一个以上的安全仪表功能。
4.该国际标准的符合性
没有提供更详尽的指导说明。
5.功能安全的管理
5.1 目的
IEC 61511-1第5条款的目的是提供执行管理建议的要求,而这些是确保符合功能安全目标所必要的。
5.2要求
5.2.1 总述
5.2.1.1没有提供更详尽的指导说明。
5.2.1.2当一个组织机构负责功能安全所需的一个或者多个行动,并依据质量保证程序进行工作时,为实现质量的目的,该条款中所说明的许多行动都已完成。如果是这种情况,无需重复进行功能安全的这些行动。在这样情况下,必须审核质量保证程序以确立它们是合适的,这样就能达到功能安全的目的。
5.2.2 组织机构和资源
5.2.2.1在一个公司/现场/装置/项目范围内,必须确定与安全仪表系统相关的组织机构,并且各部分的任务和责任要清楚理解以及实现沟通。在一个结构内,必须确定单个任务,包括它们的说明和用途。对各个任务而言,必须确立清楚的责任。必须认识到具体的责任。另外必须确定单个报告给谁以及谁委派的。目的是确保机构中的每一个人都理解在安全仪表系统中他们的任务和责任。
5.2.2.2.必须确定在执行与安全仪表系统相关的安全使用周期的任何行动时所需的技术熟练工人和专业知识。对于单个技能而言,必须确定所需的权限等级。资源必须依据各个技能以及各个技能所需的人员数目进行权限评估。确定差异后,制定研究规划以便及时达到所需的权限等级。技术熟练工人短缺时,可以用有资质和有经验的人员来补充。
5.2.3 风险评估和风险管理
IEC61511中5.2.3中给出的要求是确定危险,确定评估的风险和必要的风险降低方法。在进行这些评估工作时可采用多个不同的方法。实际上鼓励读者对IEC61511-1中这个问题提出具体的方法。更详尽的指导说明参见8.2.1的内容。
5.2.4 计划
该分支条款的目的是确保,在整个项目中已进行了充分的安全计划,这样在安全使用周期的各个阶段(例如,工程设计,装置运行)内所有要求的行动都已涵盖。该标准不需要对这些计划行动设定任何特定的结构,但是需要对其进行定期更新或者审核。
5.2.5 执行和监测
5.2.5.1该分项条款的目的是确保制定有效的管理程序以:
●确保所有来自危险分析,风险评估,其他评估和审核行动,验证和有效性行动的建议都能够很好的解决。
●确定SIS在它的操作期限内一直依据安全要求规范运行。
5.2.5.2在该文本资料中,供货商包括设计承包商和维护承包商以及部件供货商。
5.2.5.3 必须定期进行对SIS进行性能审核,以确保仍然符合安全要求规范(SRS)制定期间形成的最初假设情况。例如对一个SIS内不同部件的假设故障率进行定期审核以确保它保持最初规定的值。如果故障率比最初预测的值还糟糕,就需要进行设计更改。同样的,还必须审核SIS的需求率。如果需求率超过最初假设的那个值,就需要在SIL内进行调整。
5.2.6评估,审核和修订
评估和审核是检测和消除错误的工具。以下这些章节详细说明了这些行动的区别。
功能安全评估的目的是评估在安全使用周期阶段制定的措施对于实现安全是否合适。评估人员根据负责实现安全功能的人员所采取的决定来进行评判。例如必须在投料试车之前进行评估这样就可确定检修程序是否得当。
功能安全审核人员应依据项目或者装置记录来确定是否由合格的人员按照规定的频次来执行这些必要的程序。审核人员不需要依据他们正在考虑的工作来进行评判。但是,如果他们意识到变更中有利益关系,报告中必须包括观察结果。
要注意在许多时候,会出现评估人员和审核人员交叉工作的情况。例如,审核人员不仅需要确定操作人员是否进行过必需的培训,另外还要对培训是否达到所需的能力进行判断。
5.2.6.1功能性安全评估
5.2.6.1.1 使用功能安全评估(FSA)是证明安全仪表系统(SIS)达到有关安全仪表功能和安全完整性等级(SIL)方面要求的基础。这个评估的基本目的是通过对系统的创建过程进行单独评估来证明是否符合拟定的标准和操作惯例。在不同的安全使用周期阶段可能需要SIS评估。为了进行有效的评估,必须制定一个程序以确定该评估的过程以及评估小组组织的指导说明。
以下是有关功能安全评估中好的做法:
●必须给各个FSA制定一个计划确定评估范围,评估人员,评估人员的资质和评估中出现的资料。
●FSA必须考虑其他的标准和操作惯例,可能包括在外部或者内部相关标准,指南,程序或者操作规范内。FSA计划必须确定在特殊评估/系统/应用区域要评估什么。
●FSA的频率因不同系统创建方法而有所变化,但是变化总在系统显示潜在危险之前出现。一些公司喜欢在施工/安装阶段进行评估以防止随后出现费用较高的重复工作。
●考虑系统特征时必须确定FSA频率和精确程度,例如:
●复杂性
●安全的重要性
●类似系统以前的经验
●设计特征的标准化
●评估前必须提供足够的有关设计,安装,验证和有效性行动的资料。资料的有效利用率本身就可以作为评估标准。资料必须显示出系统设计或者安装的当前状态/审核状态。
●评估人员必须保持适当的性。
●对将要评估的系统的技术和应用区域,评估人员必须拥有相应的经验和专业知识。
●保持FSA方法的系统性和一致性应贯穿在系统的安全使用周期和整个系统中。FSA是一个主观的行动,因此必须按照机构可以接受的方式来确定在使用检查清单中可能出现的详细指导说明。
从FSA中得出的报告必须是完整的并且作为结论同意在下一个安全使用周期开始之前负责SIS功能安全的管理工作。
5.2.6.1.2评估中要求某些人员于项目小组,是为了增加评估的客观性。需要某些能力较高的人员(例如,经验,学历,职位)以确保他们相关的问题都能很好地给出解释和说明。还要建议的是,在一些较大的项目或者评估小组中,还必须在该小组中有一个以上的于最初项目小组的高级人才。
根据公司内的组织机构和专家的要求,评估人员可以通过外部机构来提供。相反地,内部机构精通风险评估和安全仪表系统应用的公司,与项目的负责人是的和分开的(通过管理和其他资源),他们可以使用自己的资源来满足机构的要求。
5.2.6.1.3评估的工作量依据项目的规模和复杂性而定。可在同一时间评估不同阶段的结果。在运行装置中进行小规模变更的情况时尤其是这样。
5.2.6.1.4在一些国家,第三阶段进行的功能安全评估工作常被称作预-开工-安全-审核(PSSR)。
5.2.6.1.5没有提供更详尽的指导说明。
5.2.6.1.6没有提供更详尽的指导说明。
5.2.6.1.7评估小组必须易于获得进行评估工作必需的任何资料。这些资料还包括来自危险与风险评估的资料,设计阶段以及安装,投料试车和有效性的资料。
5.2.6.2 审核和修订
5.2.6.2.1 该分项条款利用图表来说明相关行动,提供关于审核工作的指导说明。
A)审核分类
安全仪表系统审核了与装置管理,仪表维护工程和仪表设计工程相关的有益资料。这样有助于管理工作以及了解安全仪表系统的执行程度和有效性。许多类型的审核工作,都可以完成。任何一个具体建议的审核实际类型,范围和频率必须都可反映出安全完整性建议的潜在影响。
审核的类型包括:
1)审核,包括的和自我审核。
2)检查
3)安全参观(例如,装置巡检和事故回顾)。
4)安全仪表系统观察(通过调查表)
“监察和检查”与审核行动之间需要进行区分。监察和检查主要是评估具体安全使用周期行动的完成情况(例如,监督人员检查部件返修之前维护工作的完成情况)。相比较而言,审核工作更复杂些,重点是有关安全使用周期的安全仪表系统的整个执行情况。审核工作还包括确定是否要完成监察和检查程序。
审核和检查工作可以由公司/现场/装置/项目自己的员工(例如,自我审核)或者的人员(例如,公司审核人员,质量保证部门,控制人员,客户或者第三方)来完成。
不同等级的管理工作也可采用相关的审核类型来获得安全仪表系统执行情况有效性的资料。来自审核的资料可用于识别那些没有正确使用的程序,以便改进执行情况。
B)审核策略
现场/装置/项目执行审核程序也可考虑滚动式程序,程序或者自己审核程序和检查程序。
滚动式程序要定期更新以反映以前的安全仪表系统性能和审核结果,和当前关系以及正在执行的优先程序。这些程序包括所有现场/装置/项目相关的行动以及合适的时间内安全仪表系统的状况。
审核的主要原因以及增加值依据所提供的资料,这些资料以时间为顺序。行动的目的是加强安全仪表系统的有效性,例如为了降低员工或者公众成员受伤或者死亡的风险,要致力于改善安全文化,致力于防止任何不可排放物质进入环境中。
总的来说,审核策略可以是多种形式的,通过管理来运作(客户),以便反馈管理链的相关资料及时采取行动。
C)审核程序和协议
所有的目的都是为了更好的执行审核,当各方(包括审核人员,联络员,装置经理和部门的领导等)了解审核的需要时才可执行并影响各个审核行动。以下审核过程和协议可以保证执行这些目的的一致性。审核过程分为5个关键步骤:
1)审核策略和程序
必须清楚确定各个审核工作的目的。确定审核分组,以及各个审核组的任务和责任。
必须具备审核策略。
必须有审核程序。
必须定期检查审核过程,程序和策略的执行情况。
2)审核的准备情况和预计划情况
开始审核之前,现场/装置/项目的高级经理和/或者合适的审核协调人员必须确定一个联络员。
审核人员和联络员必须在早期进行讨论,了解以下情况并达成一致意见。
――审核的范围。
――审核的时间。
――需要在场的人员。
――审核或者审核标准的依据。
――准备阶段将投入特别多的精力,并涉及到装置人员,这样才能增加审核工作优质完成的可能性。
以下内容应作为各个阶段时间划分的一个指南:
――审核准备工作:30%
――进行审核:40%
――报告结果:20%
――审核的后续情况:10%
审核人员必须为审核作准备工作,包括收集资料,程序/说明和数据等,以及在合适的时候准备检查清单。
如果发现严重的问题/故障,审核人员必须着重强调并解释在审核期间可能发生的审核范围变更的可能性问题。
3)进行审核
在确定审核期间,审核人员要连续工作数日,还要注意现场/装置/项目人员可能造成的负面影响。
在确定审核结果期间,联络员必须定期地简要介绍情况,以避免审核结束时出现意外情况。
审核人员必须在审核过程中尽量与装置人员沟通,将(过程和结论)中学到的东西传达给执行人员。
审核人员的做事方式对审核顺利完成起着至关重要的作用――他必须乐意提供帮助,有建设性,有礼貌,认真和客观。
至少审核人员必须就范围和时间表达成一致意见――变化情况需要进行讨论。
4)报告结论
在审核结束或者稍后时候,审核人员必须举行一个结束会议,但要在提交最终报告之前。
应进行适当处理以便对报告草稿和结论提出意见,如果需要,还可在一个正式的闭幕会上谈论这些内容。
通常的做法是制定一个现场/装置/项目的行动计划,来说明报告的结论。
5) 审核的后续工作
审核报告通常要求以行动计划的形式作出回应。审核人员可以在一个合适的日期或者下一个审核工作时核实行动的完成情况。
可以使用现场/装置/项目跟踪系统来检查行动计划的执行情况。
各个审核小组的审核结果必须定期进行审查/汇总,其结果应广为告知。
审核的结论/结果可以用于核实审核工作的频率,贯穿到安全仪表系统的管理审核中。
5.2.6.2.2该分项条款强调了审核过程中变更管理所起的作用。
5.2.7.SIS配置管理
5.2.7.1要求
5.2.7.1.1为了在设备使用期内对设备进行管理并保持其可追溯性,可以建立一个机制来识别,管理和跟踪各个设备的型号和版本。
在安全使用周期的最早阶段,必须针对各个设施给出一个独特的装置识别方法。在某些情况下,还要保持和控制仍在使用的较早的型号和版本。这是配置管理程序的第一步,必须与以下事宜一起考虑:
配置管理系统必须包括:
A)在使用周期的所有阶段内,所有设备识别程序的规定。
B)各个设备(包括软件)的型号和版本独特的识别方法和组成状态,(包括供货商,日期,并在适用的地方,改变最初规定的型号和版本。
C)故障观察和审核中采取的所有行动和变更的识别方法和可追溯性。
D)文件发行投入使用的管理,识别相关设备型号和版本的状态。
E)制定保护措施确保在操作期间SIS上不会进行未授权的变更/修改。
F)各个软件版本的识别方法,还包括一个具体版本的完整设备。
G)一个或者多个装置内多个SIS更新的规定。
H) 授权使用的文件。
I)设备批准使用的授权签字人员名单。
J)配置管理中的级间/阶段设备。
K)相关交付文件的管理。
L)设备各个型号和版本的识别方法。
●功能规范
●技术规范
M) 确定SIS管理和维护中涉及的所有部门/机构,指定和了解所承担的责任。
6. 安全使用周期要求
6.1 目的
任何工艺设施内取得的功能性安全都取决于大量的以令人满意方式完成的行动而定。在安全仪表系统内采用系统的安全使用周期方法的目的可以保证执行功能安全所必需的所有行动都可以完成,并且证明这些工作都已按照合适的顺序完成。IEC 61511-1在图1和表2中说明了典型的使用周期。IEC 61511-1中第8到16条款给出了各个使用周期的要求。
如果所有要求都以满足,标准所规定的行动可以通过不同的方式来构建。如果允许安全行动以更好的方式合并到一般项目程序中,则该重新构建项目才是有益的。IEC 61511-1第6条款的目的是确保是否使用了不同的安全使用周期,各阶段使用周期的输入和输出都已定义,并已考虑到所有的基本要求。
6.2 要求
6.2.1 主要考虑的问题是提前确定要使用的SIS的安全使用周期。经验表明此问题很有可能出现,除非该行动已经提前计划好,并且所有负责任的人员,部门和机构已达成一致意见。最好的情况,一些工作会被推迟或者重新来做,如果是最坏的情况,安全会打折扣。
6.2.2虽然这不是一个要求,但是一般在工程早期有利于对工艺项目使用周期的SIS安全使用周期做出计划,包括本项目使用的IEC 61511-1标准图8方框中的内容进行计划。做这个工作时,必须考虑开始安全使用周期行动所需的资料以及可能提供资料的人。在某些情况下,不可能确定给出一个特定问题的准确资料,直到设计阶段的后期。在这种情况下,必须依据先前的经验,进行评估,随后确认数据。如果是这种情况,必须在安全使用周期上进行说明。
6.2.3安全使用周期计划的另一个重要部分是确定在各个阶段要使用的技术。这些技术的识别是很重要的,因为经常会用到一个具体的技术,而该技术需要人员或者部门拥有特殊技能和经验。例如,一个特定应用的结果可能是取决于故障事件发生后形成的最大压力。并且确定的唯一方法是开发工艺的动态模型。动态制模所需的资料对设计工艺有重要影响。
7.验证
7.1 目标
验证的目的是确保在实际中,通过验证规划确定的各个安全使用阶段的行动都已完成,阶段所需的输出数据,不管是以资料方式,还是硬件或者软件方式,
都已给出,并适用于各自用途。
7.1.1要求
7.1.1.1 IEC61511-1给出了有自己验证程序的机构,不需要一直用同一方法来完成。实际上,该分项条款的目的是提前规划所有的验证行动,以及要使用的程序,措施和技术。
7.1.1.2没有给出更详尽的指导说明。
7.1.1.3重要的一点是提供了验证结果,因此可以说明安全使用周期的所有阶段都进行了有效验证。
8.工艺危险和风险评估
8.1 目的
整个目的是要制定安全功能的要求(例如,保护层),以及为确保安全工艺所需的相关性能等级(风险降低)。在工艺部分有多个安全保护层是很正常的,这样单个保护层的故障就不会引起严重的危害后果。IEC61511-1图9给出了典型的安全保护层说明。
8.2 要求
8.2.1 危险和风险评估的要求只能根据任务的结果来确定。这意味着机构可以使用任何有效的技术,并给出安全功能和性能相关等级的详细说明。
危险和风险评估报告必须识别和强调说明在所有可能预见的情况下(包括故障状况和可以预见的错用状况)发生的危害和危险事件。
对于一个典型的项目,在基础工艺设计阶段的早期必须完成初步的危险和风险评估报告。该阶段的假定情况是通过基本的安全原理应用和成功工程惯例的应用来最大限度地消除或者降低危险(危险降低措施的行动不在IEC61511范围内)。对SIS 而言,这个初步的危险和风险评估报告是很重要的,因为制定,设计和执行SIS是一个很复杂的任务,还要花费很长的时间。早期进行这项工作的另一个原因是在工艺和仪表图完成之前需要系统构造的资料。通常有足够的资料可以在工艺流程图完成后和提供初步的工艺数据后开始进行初步的危险和风险评估。必须认可的一点是提出附加危险作为详细的设计结果。一旦完成工艺和仪表流程图就必须进行最终的危险和风险评估。这个最终分析通常采用的是一个正式的和完整的资料程序例如危险和可操作性研究分析(HAZOP)。必须确认所设计的安全保护层是合适的以确保装置的安全性。最终分析期间,必须考虑安全系统中的故障是否带来了新的危险或者要求。如果这一阶段出现了新的危险,则必须确定新的安全功能。另一个可能出现的结论是确定会导致危险的其他事件,该危害在初步阶段已经确定。必须考虑是否需要在初步分析中已确定的安全功能和性能要求的任何修订内容。
用于识别危险的方法要依据考虑的用途而定。对于某些简单的工艺,需要拥有标准设计丰富的操作经验,例如简单的海上钻井塔,采用工业用途的检查表就已经足够了(例如ISO 10418和API RP 14C中的安全分析检查表)。
在设计更复杂和考虑使用新工艺的地方,必须使用一个结构更完整的方法(例如IEC 60300-3-9;1995)。
注释:更详尽的选择合适技术的资料在ISO17776中给出。
考虑特定故障事件的结果时,所有可能的后果和导致故障事件的频率都必须进行分析。在风险分析中不可忽略或者排除可信的后果。管子或者容器的压力高于设计压力不会总是导致灾难性的泄漏。在许多情况时,设备的测试压力都会大于设计压力,而且结果并不一定是引发火灾的易燃物泄漏。评估结果时,还需要咨询负责装置机械完整性的人员。他们需要考虑最初的测试压力,还有考虑最初设计是否包括腐蚀裕量以及腐蚀控制管理程序是否到位。在依据这些假设情况确定结果的地方,清楚说明是非常重要的,这样相关的程序就能并入到安全管理系统中。考虑结果时,更进一步的问题是受特定危害影响的人员数量。在许多情况下,操作人员和维护人员只能偶尔出现在危险区域。预测结果时还应考虑到这一点。使用这个统计方法时要注意,因为它不是在所有的情况下都有效,例如开工期间发生危险的地方和员工出现的地方。还有考虑危险事件周围区域潜在增加的受影响的人员数量,作为开工期间事件征兆的调查结果。
评估SIS的潜在需要源时,评估工作必须包括以下情况:开工,连续操作,停车,维护错误,维护的手动调停(例如手动控制器)损耗(例如,空气,冷却水,氮气,动力,蒸汽,伴热等)。
考虑需求率时,在某些复杂的情况下,有必要进行故障树分析。由多个事件的同时故障造成严重后果的地方尤其需要作这样的分析。(例如卸压集管的设计没有考虑到所有压力源的最坏情况)。依据可导致危害的事件清单内包括的操作人员失误和这些事件的频率来进行判断。如果采取的是允许程序或者提供了锁闭设备来防止疏忽操作,则操作人员就不会经常出现误操作。在因操作人员的操作导致需求频率降低的地方也需要注意。采取的措施会因人为因素受到影响,例如如何快速采取措施以及涉及任务的复杂性。作为报警的结果,当操作人员进行操作时,要求的风险降低系数要大于10,然后依据IEC61511-1来设计整个系统。使用安全功能的系统还包括检测危险状况的传感器,报警显示器,人员响应状况和操作人员解除危险使用的设备。必须强调的一点是,应对风险降低率小于等于10进行说明,无需符合IEC61511的要求。在有这些说明的地方,需要特别考虑人为因素。报警风险降低率的任何说明都必须有报警所需响应设备的文件来说明,操作人员必须有足够的时间来采取正确的措施,并确保操作人员受到采取预防措施的培训。
通过降低SIS的需求率,报警系统可作为风险降低的一种方法。
●在失控可能导致SIS出现需求命令时,用于报警系统的传感器不能做控制用途使用。
●用于报警系统的传感器不能作为SIS的一部分。
●要考虑到BPCS和公共原因问题造成的风险降低的局限性。
IEC61511-3中给出了用于确立安全仪表系统SIL的技术实例,该规范中还包括给一个具体应用选择方法时要考虑的问题指南。
当确定是否需要风险降低时,必须有一些工艺安全和环境目标值。对于一个特定现场或者操作公司而言,它们可能是具体的。还可与没有附加安全功能的风险等级进行比较。在确定需要风险降低之后,必须考虑工艺返回安全状态需要执行什么功能。在理论上,如果不参照特殊技术,功能会按一般要求进行说明。例如超压保护的情况,功能可能被描述为保护压力上升防止超过规定的值。减压阀或者安全仪表系统中的任何一个都可执行该功能。如果功能的确如上所述,选择使用的技术类型就可在下一个使用周期阶段确定下来( 保护层安全仪表功能的分配))。实际上,功能要求因所选择的系统类型而不同,在某些情况下,这一阶段和下一阶段可以综合考虑。
总的来说,危险和风险分析必须考虑以下方面:
●各个已确定的危险事件以及影响它的事件顺序。
●与各个危险事件相关的事件顺序的结果和可能性,这些可以通过定性和定量来表达。
●各个危险事件必需的风险降低率。
●降低或者解除危险和风险所采取的措施。
●风险分析期间给出的假定情况包括预测的需求率和设备的故障率,因操作或者人为干涉而采取的任何措施都必须详细说明。
●在各个SIS使用阶段(例如验证和有效性行动)参考与安全系统相关的关键资料。
组成危险与风险分析的资料和结果必须以文件形式保存。
在整个SIS安全使用周期内的不同阶段,都必须重复进行危险与风险评估,以便作出决定,而且使得适用的资料更准确。
8.2.2 在加工工业中,许多应用中要考虑需求量的一个重要原因是BPCS故障。必须注意的是BPCS故障可能是由传感器,阀或者控制系统造成的。
有时,工艺中所采用的控制系统有冗余处理器,但是传感器和阀通常不是冗余的。当BPCS上给定一个故障率时,要认识到有一个重要的条件。IEC 61511-1了与特定危害有关的危险故障率,要求是每小时10-5,除非是依据该标准要求来操作系统。的原因是如果要求一个较低的危险故障率,它必须在IEC 61511-1表4的故障率范围之内。
条件可以确保那些不符合IEC 61511-1要求的系统不会有较高的可靠等级。
8.2.3没有给出更详尽的指定说明。
9.保护层的安全功能的分配
9.1 目的
为了确定SIS及其相关的SIL的需要量,重点要考虑其它保护层是什么(或者需要什么保护层)以及它们提供的保护程度。考虑了其它保护层之后,必须依据SIS保护层的需要来做决定。如果需要一个SIS保护层,则必须依据该SIS的安全仪表功能的SIL来做决定。
9.2 分配工艺的要求
9.2.1这里的要求是就使用的安全保护层达成一致意见以及依据安全仪表功能来分配性能目标。实际上,在许多情况下安全功能仅分配给在使用固有安全设计中出现问题的安全仪表系统或者其它技术系统。
这些问题的实例包括火炬容量的或者防止出现放热反应。必须确定使用仪表系统而不是一些传统方法,例如减压阀需要通过有效的方法来经受严格的审核考验。
如上所述,危险与风险评估和分配工作可能是同时进行的工作,在某些情况下,也许分配工作要进行在危险与风险评估之前。确定安全保护层上安全功能的分配通常以用户的可操作性为依据来完成。还必须考虑已确定的好的工业操作惯例。然后在安全仪表系统上来决定,假定其它安全保护层的信用等级。例如在已安装减压阀的地方,减压阀是依据工业规范来设计和安装的,可以确定这些减压阀在它们各自的位置上来说是合适的,能够适当降低风险。
安全仪表系统仅能减压阀的尺寸或者性能不完善时的压力或者防止向大气排放。
9.2.2没有给出更详尽的指导说明。
9.2.3当一个安全功能分配给安全仪表功能时,必须要考虑应用是否在需求模式还是在连续模式。大部分加工工业中的应用都是需求模式,需求不频繁。这种情况下,IEC61511-1的表3是可以使用的合适方法。有某些应用中需求是经常出现的(例如每年超过一次),这时应用在连续模式是比较合适的,因为危险故障率最初是由SIS的故障率决定的。在这种情况下,IEC61511-1的表4是可以使用的合适方法。故障会导致直接危害的连续模式应用是很少见的。如果保护系统不足以用于控制系统的所有故障模式,烧嘴或者透平速度控制可以是连续模式应用。
IEC61511-1的表3给出了通过PFDav(平均需求故障率)确定的SIL。目标PFDavg通过所需的风险降低来确定。所需的风险降低通过将非SIS的工艺风险和可容忍性风险做比较来确定。运用IEC61511-3中的技术按照定量或者定性的原则来确定。
IEC61511-1的表4按照完成SIF的危险故障的目标频率来确定SIL。这取决于SIS 的可容忍性故障率,还要考虑特殊应用中的故障结果。当IEC61511-1的表4用于确定所需的SIL时,目标值是依据安全仪表系统的危险故障率来确定的。使用IEC61511-1的表4时,不正确的做法是采用验证测试间隔或者需求率将危险故障率转化为危险故障需求率。同时虽然出现的单位是正确的,但结果进行的换算是不正确的,而且也不符合安全功能SIL的要求。
平均需求故障率或者每小时危险故障的频率的目标值适用于安全仪表功能,不是针对于单个组件或者分支系统。在一个具体的SIF应用时,一个部件或者分支系统(例如,传感器,逻辑解算器,最终元件)不能将SIL分配给外部。但是它可以有单独的最大SIL容量的要求。
危险与风险评估和分配过程的结果必须是对安全系统完成的功能的一个详细描述,包括潜在的安全仪表系统和安全完整性等级要求(以及操作模式,连续或者需求)的任何一个安全仪表功能。这是SIS安全要求规范的基础。功能说明必须是清楚的描述了需要完成什么工作来保持安全。
在这一执行阶段,不需要确定传感器和阀的构造详图。构造的细节是很复杂的,特殊系统是否需要2003传感器和1002阀要依据许多因素而定。
9.2.4 IEC61511-1的表3和表4的内容需要完全理解。特别是,单个安全仪表功能要求的PFDavg是限定为10-5,相关的风险降低率是105( (SIL4)。可靠性分析表明因为偶然硬件故障率小于10-5,所以可以实现PFDavg,但是IEC61511-1假设了系统故障和公共模式故障会限定可以实现的实际性能值。强烈建议,如果风险分析中表明需要一个高风险降低,必须注明在工艺中实现SIL4安全仪表功能的困难。应考虑使用多个单独的SIS,或者较低完整性等级。
参见注释4:
可以使用多个SIS来完成较高等级的风险降低(例如超过103)。使用多个SIS来完成较高等级的风险降低时,重要的一点是各个SIS都能完成安全功能, SIS之间都是的。例如,不建议将SIL2压力传感回路合并在SIL1液位传感回路上来实现超压安全功能,此时该安全功能的风险降低要求为103,,,因为当液位传感器检测到高液位时,容器可能已经超过它的压力限定值。
而且,在使用多个SIS的地方,必须仔细考虑公共原因故障。另外,还必须满足IEC61511-1中给出的所有其他要求,包括表5中给出的最小故障容错值。
可以用图示的方法来表示多个SIS如何组合以达到风险降低的更高等级,给出以下的实例:
一个3选2变送器,一个3选2逻辑解算器和一个2选1最终元件可以得出这个SIS的PFDavg值为3.05×10-4。这个SIS可以完成的风险降低值大约为3.3×103。
错误的情况是同时使用两个这样的系统得出的风险降低值是10×106(3.3×103×3.3×103)。公共故障因素,例如使用类似的技术,根据同一功能规范设计两个系统,人为因素,(例如,编程,安装和维护),外部因素(例如腐蚀,空气管线堵塞,冻结,照明)会系统的改善措施。还必须考虑两个系统间共用的部件。
一个更可行的解决办法是采用一个无冗余的辅助系统,该系统尽可能使用不同的部件(以降低潜在的公共原因的问题)。
例如,建议采用带有一个单独开关,继电器逻辑和一个单独最终元件的SIS,可以得出这个系统的PFDavg值为7.7×10-3。。该系统可以完成的风险降低值大约为1.3×102。
将软件SIS与简单继电器SIS合并,理论上可以得出所有的风险降低值为4.3×105(3.3×103×1.3×102)。理论上,综合上述的性能,(因为各个SIS都可以来使工艺装置停车),必须要考虑公共的原因因素,已完成的风险降低值会因这些因素而稍稍减少。
9.3 安全完整性等级4的其他要求
9.3.1没有给出更详尽的指导说明。
9.3.2没有给出更详尽的指导说明。
9.4基本工艺控制系统作为保护层的要求
9.4.1 基本工艺控制系统在某些条件下可以确定作为保护层。如果在BPCS中执行功能来降低工艺风险时,可以给BPCS指定一个风险降低值以便确定要降低的风险。
9.4.2 小于10的风险降低值可以向不需要满足IEC61511-1的仪表系统要求。这样就可以使用BPCS来进行风险降低,同时不需要满足IEC61511-1的要求。任何一个要求都要根据BPCS的完整性(由可靠性分析或者性能数据来确定)以及配置,修改,操作和维护所用的程序来判断。在BPCS中将风险降低值指定到功能时,重要的一点是确保提供访问安全性和变更管理。BPCS功能中要求的风险降低值也可以由BPCS功能和初始原因之间的等级来确定。图2用图例的方法表示了BPCS功能和初始原因之间的性。
初始原因 传感器A―― 1
输入卡1――控制器#1――输出卡1――
传感器B―― 2
传感器C―― 3
风险降低层 输入卡2――控制器#2――输出卡2――
传感器D―― 4
BPCS
图2 BPCS功能和引发原因性的图示
例如,考虑流量控制回路为初始原因的情况。 这个初始原因包括一个流量变送器,一个控制器,和一个控制阀。为了给BPCS的压力控制回路分配风险降低值,压力变送器必须连接到一个的控制器上,调制一个单独的最终元件(例如,到火炬系统的放空阀)。
9.4.3 没有给出更详尽的指导说明。
9.5 防止出现公共原因,共同模式和相关故障的要求
9.5.1 在早期一个要考虑的重要问题是在各层的冗余部件之间(例如,同一容器上的2个减压阀之间),安全层之间,或者安全层和BPCS之间是否有任何的公共原因故障。这个例子说明在基本工艺控制系统测定的故障可以引发安全仪表系统的需求量以及在安全仪表系统中使用的特性相同的设备上的需求量。这时,就必须确定是否有可导致两个设备同时程序故障的可信故障模式,先确定故障的公共原因,然后再采取以下措施。
a)通过变更安全仪表系统或者基本工艺控制系统的设计来降低公共原因。设计的多样化和物理分离是减少公共原因故障可能性的两个有效方法。这通常是一个优先选择的方法。
b)确定全部风险降低值是否合适时,必须考虑共同故障事件的可能性。需要建立一个故障树形图来分析,包括需求量原因,保护系统故障。共同原因故障可以用这些故障树形图来说明,并且它们在所有风险中的效果可以通过合适的模拟方法来定量。
必须注意的一点是由BPCS 和SIS共用的任何一个传感器或者执行机构都非常容易出现公共原因故障,解决这些共用设备问题的方法必须在该分项条款中进行讨论。
9.5.2进行公共原因,公共模式和相关故障可能性的评估时,应考虑以下内容。评估的范围,形式和深度依据目的功能的安全完整性等级而定。
公共原因,公共模式和相关故障的效果主要出现在安全完整性等级3或者更高等级。必须考虑以下内容:
●保护层之间的性――必须完成故障模式效果分析来确立一个单独事件是否能导致多个保护层故障或者BPCS故障和一个保护层的故障。分析的深度和精确程度依据风险而定。
●保护层的多样性――保护层和BPCS之间的多样性,但是这一点不是总能达到。例如,BPCS压力控制回路故障时会导致一个需求,要求超压保护。BPCS 和SIS都需要压力测定,而且在合适设备上有所。可以使用不同生产厂家的设备来达到多样性。但是如果SIS 和BPCS传感器采用同样的连接类型连接到工艺上,多样性就会受到。
不同保护层之间的物理分离――物理分离会降低因物理原因导致的公共原因故障的影响。BPCS和SIS的测定连接位置必须依据功能需求例如精确度和响应时间给出最大物理分离量。
10.SIS安全要求规范
10.1 目的
SIS安全要求规范的制定工作是整个安全使用周期中比较重要的一个行动。该规范中用户可以确定如何设计他需要的安全仪表功能(SIF)以及如何并入SIS中。
采用该规范来确定SIS的最终有效性。
10.2一般要求
10.2.1 SIS安全要求规范可能是一个单独的文件或者是几个文件的合并本包括程序,图纸或者相关的标准操作惯例。由危险与风险评估小组和/或者项目组自己来制定这些要求。
10.3 SIS安全要求
10.3.1如IEC61511-1中描述的那样,在项目早期有许多设计要求需要确定以确保安全仪表功能提供所需的保护作用。
单个子系统的安全要求规范也可从这个规范中得到。
与安全要求规范有关的一些考虑的事项如下所述:
a)首先需要确定的问题是安全仪表功能以及它的安全完整性等级(SIL)。举个安全仪表功能的例子,例如 “通过在高压时关闭入口阀来防止反应器超压”。基本上功能描述会包括以下内容。
●需要采取哪些措施来检测危险状况。一个简单的例子是需要检测压力上升是否超过规定值。在执行时所用的参数值必须是超出正常操作值范围之外并且低于会导致危险状况的数值。制定系统响应和测量准确度的允许裕量。在设定限定值时,要与负责安全仪表系统设计和执行的人员一起讨论。
●所采取的可以防止危险状况的措施。一个简单的例子是在规定的时间内减少蒸汽到再沸器的流量。必须注意的是通常没有详细说明到再沸器的蒸汽流量必须是关闭的。设计人员需要了解什么是正确操作所必需的。热负载中,有一个例子是在一分钟内完全将流量降低到10%以下。另一个例子是在几秒钟内必须关闭紧密。
●不需要去预防危险状况的措施,它可能对操作有益。这些措施包括报警提示,关闭上游或者下游装置来降低其它保护系统上的需求量或者当危险消除后能快速启动的措施。重要的是将这些措施与为防止危险状况所必需采取的措施区别开,来降低成本并安全仪表系统的范围。范围设定的越广,整个需求量故障率都要满足相关规定的完整性等级的要求方面的困难就会越多。
●任何一个已识别的工艺状态或者SIS操作程序都必须避免,因为它们会导致危险状况。
b)该规范必须确定工艺中各个已识别功能的安全状态,哪一个流量必须开始或者停止,哪一个工艺阀必须打开或者关闭以及任何一个动设备(泵,压缩机,搅拌器)的操作情况。如果使用程序可以使工艺进入一个安全状态,也必须对程序进行识别。
注释:在确定最终元件时,多样性的益处必须考虑在内,例如,关闭产品物流并关闭物流流量来降低高压。
c)所需的验证测试间隔要求必须在初始阶段就确定下来,这样才能进行SIS的设计工作。例如,如果要完成的验证测试将在计划停车期间(例如每3年),设计可能需要比每年的验证测试间隔更长的时间。
d)必须定义用手动方式使工艺进入安全状态的要求。例如,要求操作人员用手动方式从控制室或者从现场来关闭一个设备。那么需要进行确定。任何与SIS逻辑解算器手动关闭开关无关的要求也需要进行定义。
e)停车后,所有重新启动工艺的要求都需要确定。例如有的用户在主控制盘或者现场都有电子复位开关,另一些用户喜欢使用带锁销的电磁阀。像这个复位措施如果有具体的要求,它必须成为安全要求规范的一部分。
f)如果跳闸有一个目标频率,它也必须是安全要求规范的一部分。这也是SIS设计中要考虑的一个因素。
g)SIS和操作人员之间的接口要进行完整描述,包括报警(预停车报警,停车报警,旁路报警,诊断报警),事件记录中的图表,顺序。
h)工艺运行期间,在SIS进行测试或者维护可能需要旁路。如果旁路设施作为键锁或者口令有具体的要求,这些要求也要确定下来并作为安全要求规范的一部分。
i)故障检测时,必须确定SIS的故障模式和响应状态。例如,所设计的变送器
不能进入跳闸状况或者不能跳闸。如果设计就是不能进入跳闸状况,重要的是操作人员会得到变送器故障的报警,受过培训的操作人员会采取必要的措施尽可能快的修复变送器。参见IEC61511-1,11。3中关于故障检测的要求。
10.3.2没有给出更详尽的指导说明。
11 SIS设计和工程设计
11.1目标
该分项条款的目的是提供SIS的设计指南。各个SIF都有它自己的SIL。SIS的一个部件,例如逻辑解算器,可以用于带不同SIL的多个SIF。
11.2一般要求
11.2.1没有给出更详尽的指导说明。
11.2.2没有给出更详尽的指导说明。
11.2.3没有给出更详尽的指导说明。
11.2.4 IEC61511-1的第1条款中有许多关于SIS的设计要求。需要注意的一点是SIS和BPCS之间的性。
因为以下原因,SIS通常与BPCS是分开的。
a)为了降低SIS上的BPCS影响,特别是当它们共用一个设备时。例如,如果SIS和BPCS共用一个阀进行切断和控制时,万一那个阀出现危险的故障,它就不能有效的进行SIS关闭功能。
b)为了保持BPCS的变更,维护,测试和文件的灵活性。
注释:1. SIS通常比BPCS有更多的要求。目的是BPCS不用承担SIS所需要的相同要求。但是必须注意的一点是未控制的BPCS修改会增加SIS的需求量。
c)为了简化SIS有效性和功能安全评估工作。
d)如果BPCS与SIS合用,需要BPCS的编程或者组态功能以满足修改管理安排。
如果公共设备故障导致SIS需求,必须进行分析以确保所有的危险率达到预期值。所有危险率是公共元件危险故障率与来自其它需求源的危险率的总和(包括与SIS无关部件的危险故障)。
BPCS与SIS之间的分离可以使用相同或者不同的分离方法。相同的分离方法意思是BPCS和SIS都使用同一技术,而另一方面,不同的分离方法意思是采用同一生产厂家的不同技术或者不同生产厂家的不同技术。
与相同分离方法相比较,它是根据偶然故障来提供帮助,而不同分离方法可以在降低系统故障率和降低公共原因故障方面提供更多的益处。
BPCS与SIS之间相同的分离方法在设计和维护方面还有一些优点,因为它可以降低维护失误的可能性。特别是要选择的不同部件用户以前没有使用过的情况。
BPCS与SIS之间相同的分离方法还适用于SIL1, SIL2,SIL3应用,虽然还要考虑公共原因故障的来源和效果以及所降低的可能性。一些公共原因故障的例子是:
a)仪表接口和脉冲导线堵塞。
b)腐蚀或者侵蚀。
c)因环境原因导致的硬件故障。
d)软件故障
e)供电和电力设施。
f)人为失误。
不同分离方法可以在降低系统故障率(SIL3和SIL4应用中一个特别重要的因素)和降低公共原因故障方面提供更多的益处。
通常给出了以下四个区域的SIS和BPCS分离方法:
1)现场传感器。
2)最终元件。
3)逻辑解算器
4)接线。
BPCS与SIS之间无需提供物理分离,可单独进行维护。设备布置和采用的程序可以确保SIS不会受到以下危险的影响:
●BPCS故障
●在BPCS上进行工作,例如维护,操作或者修改。
在程序必须保证SIS不受危险影响的地方,SIS设计人员要给出所采用的程序。
a)现场传感器
在BPCS与SIS上采用单个传感器还需要进一步的审核与分析。进行额外的审核与分析是必需的,因为该单个传感器的故障可以导致危险情况。例如用于BPCS与SIS高液位跳闸的单个液位传感器在传感器故障在低点(即:低于液位控制器的设定点)时就会产生一个需求信号。由于传感器故障在低点,控制器就会驱动阀打开。因为SIS使用的是同一传感器,所以它不会检测出最后的高液位状况。
b) 单个传感器用于BPCS与SIS功能的地方,如果传感器的诊断功能足以降低危险故障率以及在所需的时间内SIS能够将工艺设定在安全状态,通常只需满足IEC61511-1的要求。实际上,这一点在SIL1应用中很难实现。
c)对于一个SIL2, SIL3或者SIL4安全仪表功能,带有相同或者不同冗余的单独的SIS传感器通常需要满足所需的安全完整性。
注释2:使用单个的SIS传感器时,有一个优点是通过合适的隔离器将信号重复送至BPCS。通过进行BPCS和SIS传感器之间的信号比较,这个布置可以改善诊断覆盖率。
使用冗余SIS传感器时,传感器也可以通过合适的隔离器连接到BPCS。BPCS中合适的算法例如“三个值的中间值”可以通过降低SIS上的需求率来提高安全性。
b)最终元件
对于传感器采用同样的方法,在BPCS与SIS上采用单个阀还需要进一步的审核与分析。一般来说,如果一个阀的故障能导致SIS的需求量,则不建议在BPCS与SIS上使用单个阀。
如果BPCS与SIS使用了单个阀,如果阀的诊断功能足以降低危险故障率以及在所需的时间内SIS能够将工艺恢复到安全状态,通常只需满足IEC61511-1的要求。
实际上,这一点在SIL1应用中很难实现。对于一个SIL2, SIL3或者SIL4安全仪表功能,带有相同或者不同冗余的单独的SIS阀通常需要满足所需的安全完整性。
如果BPCS与SIS使用了单个阀,设计必须能够确保SIS操作超驰控制BPCS操作。一般通过将SIS直接连接到一个在执行机构上直接断电的电磁阀上来完成,例如阀的定位器和执行机构之间。
使用冗余的SIS阀时,阀可以连接到SIS和BPCS上。
注释3,即使带冗余阀,重要的一点是还要考虑BPCS和SIS阀之间的公共原因故障。
确定阀要求时需要考虑的其它事项有:
●关闭要求;
●类似工艺应用中有关阀的可靠性经验;
●阀的非安全故障模式。
●使阀的效率降低的操作程序(例如,要打开的旁通阀);
●验证测试要求;
c) 接线
给跳闸系统上电时,因为使安全功能意外失效却未留意的可能性存在,所以BPCS和相关现场设备接线应与SIS及其相关现场设备的接线区别开。以上类型系统的标准指南包括专用于SIS和BPCS单独的多导线电缆和接线盒的安装说明。在接线没有分开的地方,建议使用较好的标识及维修程序,最大限度地降低维修过程中产生潜在错误、防止SIS失效。
注释:上电跳闸是指在正常操作条件下使输出和设备断电的SIF回路。因应用动力(例如,电,空气)导致跳闸。
电缆支撑系统(例如,电缆槽,导管)可为断电跳闸和上电跳闸系统共用。因为其它原因要求分开的除外(例如,电磁干扰)。在上电跳闸系统中,在有火灾风险的区域需要对电缆槽采取防火保护措施。
11.2.5没有给出更详尽的指导说明。
11.2.6参见该标准中11.8的指导说明以及于IEC 61511-1中11.2.5注释相关的指导说明。
操作人员,维护人员,监督人员及经理在安全装置操作中都承担着重要的角色。但是人员也会出现失误或者不能完成任务,正如仪表和设备也会出现功能失灵或者故障。
因此,人的执行能力是系统设计中的一个重要因素。在将SIS状态发送给操作和维护人员时人机界面(HMI)是特别重要的。
人员可靠性分析(HRA)确定了能导致人员失误的条件并依据过去的统计情况和行为研究结果来提供预计的失误率。化学工艺安全风险中存在的人员失误样例包括:
●设计中未检测的失误;
●操作中的失误(例如,错误的设定值);
●维护不当(例如,用故障阀更换);
●校正,测试或者控制系统指令输出错误;
●正确响应紧急状况的故障;
注释:其它指导说明参见以下参考资料:
工艺安全中改进的人执行能力的CCPS/AICHE指导说明,纽约:美国化学工程学会(1994)。
化学工艺定量风险分析的CCPS/AICHE指导说明(第二版),纽约:美国化学工程学会(2000)。
HSE降低失误和影响,HSG48,健康和安全执行委员会,伦敦(1999),ISBN 0 7176 2452 8。
11.2.7该条款对在校正了跳闸条件后SIS立即自动重新启动工艺时可能出现的潜在危险进行了说明。必须对各个SIF进行分析以确定一旦校正了跳闸状况它如何复位。通常只在操作人员手动操作后才可能重新启动。
11.2.8手动操作意味着提供的SIS逻辑解算器和BPCS控制系统是分开的,以便操作人员在紧急情况时进行停车操作。通常在SRS中给出了手动停车的要求。
在必要时以及H 和RA组认为合适时,紧急制动可以与SIS PE逻辑解算器相连(例如,当需要程序停车时)。
11.2.9该分项条款表明需要在SIS和其它保护层之间,而不仅仅是SIS和BPCS之间的性进行分析。(参见IEC61511-1,图9)。
在某些情况下,可以接受的一点是SIS和BPCS之间不是完全分开的。在公共设备的故障不会导致SIS需求量的地方这是一个特例。这种情况下,必须参照 IEC61511-1标准来操作公共或者共享设备。
如果公共设备的故障可能导致SIS的需求,必须进行分析以确保所有的危险率都满足预计值。所有的危险率是公共元件的危险故障率和其它需求源的危险率(包括SIS单个部件的危险故障)的总和。确定与公共设备的危险故障相关的危险情况时,必须考虑以下情况:
a)一部分冗余组态用做BPCS的地方,考虑因故障仪表而使SIS性能减弱的状况时,还要考虑公共设备的危险故障引发的危险情况。
b)在共享仪表没有冗余的地方,假定SIS不响应时,考虑公共设备的危险故障引发的危险情况。
11.2.10提供BPCS和SIS上使用公共元件的指导说明。注释中的“足够低”意味着共享设备的危险故障率乘以其它层(不同于SIF)的PFD会满足用户的相关风险准则。
11.2.11电源损耗时,最终元件不能达到安全状态(例如,上电到跳闸系统) 的情况,必须给出就地手动操作办法的规定说明以达到安全状态。
11.3故障检测时系统行为的要求
11.3.1没有给出更详尽的指导说明。
11.3.2没有给出更详尽的指导说明。
11.3.3没有给出更详尽的指导说明。
11.4硬件故障容错的要求
11.4.1传统的安全系统设计是确保单个故障不会导致预期功能的损失。系统构造比如1002或者2003的故障容容错是1,因为即使存在一个危险故障,它也可以按需要发挥作用。这个系统可作为安全系统的标准来使用并保证它们足以承受偶然的硬件故障。故障容错还可以对大范围的系统故障进行保护,(主要是硬件中),因为在同一瞬时一定不会出现这样的故障。
该标准识别了加工工业需要安全系统多等级的性能,并且依据具体应用中风险降低的需要而增加的性能,该标准已经接受了安全完整性等级的概念。因为不同等级的性能,就不能要求所有的安全完整性等级都在故障容错范围内。选择用于具体的完整性等级的结构时,重要的一点是确保它足以用于偶然硬件故障和系统故障。为了确保它足以用于偶然的硬件故障,该标准要求完成可靠性分析。
该部分标准的要求是确保结构针对偶然硬件故障和某些系统故障有所需的故障容许值。在确定所需的故障容错的范围时,必须考虑如下的一些因素:
●子系统内所用设备的复杂性。如果已经确定故障模式,可以在故障条件下确定行为模式,因为有大量来自现场经验的故障数据,所以设备出现系统故障的可能性就很低。
●导致安全状况的故障范围或者通过检测得出故障范围,这样就可采取具体的措施。这个能力被称为设备的安全故障百分率。
●具体应用中的安全完整性等级要求。
准备IEC61508的国际工作组要考虑以上因素还要确定IEC61508-2中要求的故障容错的范围。在准备工艺部分的具体标准时,现场设备和非PE逻辑解算器的故障容许值要求是可以被简化的,而且IEC61511-1的要求也可以作为替代之一。必须注意的一点是子系统设计所要求的部件冗余量要比表5和6中规定的量多以满足适用要求。
硬件故障容错的要求也可以应用于单个部件或者需要完成SIF的子系统。例如,当传感器子系统包含多个冗余传感器时,故障容错要求还适用于所有的传感器子系统,而不是单个传感器。
11.4.2 IEC61511-1的表5给出了PE逻辑解算器的最小故障容错。故障容错要求取决于SIS和子系统安全故障百分率所需的SIL。逻辑解算器的安全故障百分率资料通常可以从PE逻辑解算器供货商那里得到。根据SFF运算中的假定情况,如果不能使用PE逻辑解算器,则必须仔细考虑安全故障百分率的要求。尤其是,必须对假定情况进行测试以确保SFF运算中假定的范围和环境在应用中有效。这是因为SFF取决于一系列的问题,例如子系统是否是上电跳闸或者是断电跳闸。SFF运算期间的数据资料和假定情况要进行文件记录。SFF仅于偶然硬件故障有关。确定SFF时,必须假设子系统已经根据应用进行过正确选择,并已正确安装,投料试车和维护,这样用的太长时间的故障和老化故障就不包括评估中。确定SFF时,不需要考虑人为因素。
11.4.3 IEC61511-1的表6给出了传感器,最终元件和非PE逻辑解算器最低等级的故障容错,在第一栏中有所需的SIL要求极限值。表6中的要求是依据IEC61508-2中用于 PE设备的要求而定,PE设备的SFF在60-90%之间。要求是依据主要故障模式是安全状态或者已检测出危险故障等假设情况而定。
11.4.4 该分项条款中所有子系统(除PE逻辑解算器之外)的硬件故障容错在一定条件下可以降低。这些条件适用于这些设施,阀或者智能变送器,可以降低系统故障的可能性,这样,要求就会与IEC61508-2中非PE设施的要求相符合。
11.4.5 在某些情况下,遵守IEC61508-2的故障容错要求,有可能降低故障容错。可通过引入附件的诊断功能来实现这一点,比如信号比较或者定期按计划进行局部冲程测试,这样子系统的SFF就会超过90%。
11.5 组件和子系统选择的要求
11.5.1目的
没有给出更详尽的指导说明。
11.5.2一般要求
11.5.2.1选择用于SIS的组件和子系统时需要考虑一些事项。第一项是部件的设计要依据IEC61508-2(电气/电子/编程电子安全相关系统的要求)和IEC61508-3(软件要求)。第二项是要使用那些在类似场合和类似环境中充分使用而熟知其可靠性的部件和子系统。
无论选择哪种方案,必须证明组件或子系统
a) 足够可靠,可达到总的目标PFD或安全仪表功能的目标危险故障率,
b) 满足结构限定要求,并且
c) 具有足够低的系统故障可能性。
c) 的要求可通过遵循IEC 6 150 8-2和IEC 6 150 8-3或该标准11.5以前所使用的要求来满足。
11.5.2.2 没有提供进一步的参考指南。
11.5.2.3 没有提供进一步的参考指南。
11.5.2.4 没有提供进一步的参考指南。
11.5.3 根据以前的使用情况对组件和子系统提出的选择要求
11.5.3.1 极少数设备是根据IEC61508-2和IEC61508-3来进行设计的。因此,用户很大程度上都会使用“在使用中验证”的现场设备。
许多用户都有可在其装置使用的已批准或推荐使用的仪表清单。这些清单是以他们在BPCS方面所具有的丰富和成功的经验基础上形成的。那些性能没有达到要求的传感器和阀不在考虑范围之内。
通常情况下,那些包含在已批准或推荐使用的仪表清单中的传感器和阀,如果用于BPCS的话,根据61511-1的评估要求,也可看作是“在使用中验证”的SIS设备。该仪表清单应包含有设备型号并且得到由用户和制造商返回的监控记录的支持。此外,制造商必须有用于评价所记录的故障和改造影响的修改过程。
如果没有这样的清单,用户和设计者需要对传感器和阀进行评估,以确保它们能够满足仪表的性能要求。这就需要与其它的用户或设计者进行讨论,看看是否有类似的应用情况。
11.5.3.2 必须注意的是,对于复杂设备来说,要证明通过应用获得的的经验是否于要求相关会更加困难。例如:对于采用简单的梯形逻辑的PLC应用所取得的经验不适用于将其用于复杂计算或程序的设备。
通常,现场设备的操作分布相关方面与逻辑解算器的不同。
对于现场设备,下面这几点对操作分布有影响
•功能性(如:测量、作用)
•操作范围
•工艺特性(如:化学特性、温度、压力)
•工艺连接
对于逻辑解算器,下面这几点对操作分布有影响
• 硬件的型号和结构
• 系统软件的版本和组态
• 应用软件
• I/O组态
• 响应时间
• 工艺需求率
对于所有设备,下面这几点对操作分布有影响
• EMC
• 环境条件
11.5.4. 根据以前的使用情况,FPL可编程组件和子系统(如:现场设备)的选择要求:
11.5.4. 1 没有提供进一步的参考指南。
11.5.4.2 没有提供进一步的参考指南。
11.5.4.3 没有提供进一步的参考指南。
11.5.4.4 该子条款解释了将一套FPL可编程设备取证为具有安全完整度等级3的额外要求
11.5.4.5 该子条款管理一套安全手册,用于具有安全完整度等级为3 (SIL 3)的FPL可编程设备。
11.5.5 根据以前的使用情况,LVL可编程组件和子系统(如:逻辑解算器)的选择要求:
11.5.5.1 该子条款列出了用于安全完整度等级1或2的LVL PE 逻辑解算器的额外要求。具有安全完整度等级3或4的LVL PE 逻辑解算器应遵守IEC 61508-2 和IEC 61508-3。
11.5.5.2 没有提供进一步的参考指南。
11.5.5.3 没有提供进一步的参考指南。
11.5.5.4 没有提供进一步的参考指南。
11.5.5.5 该子条款列出了用于达到安全完整度等级1或2的一套安全组态的PE 逻辑解算器的额外要求,至于另外的考虑见附录D。
11.5.5.6 该子条款列出了用于达到安全完整度等级2的一套安全组态的PE 逻辑解算器的额外要求
11.5.5.7 该子条款提供一套安全手册,用于具有安全完整性等级为3的LVL可编程设备。
11.5.5.6用于FPL可编程组件和子系统(如:逻辑解算器)的选择要求:
11.5.6.1没有提供进一步的参考指南。
11.6 现场设备。
11.6.1 没有提供进一步的参考指南。
11.6.2 没有提供进一步的参考指南。
11.6.3没有提供进一步的参考指南。
11.6.4 没有提供进一步的参考指南。
11.7 接口
到SIS的用户接口是操作员接口及维护/工程师接口。在SIS和控制器显示器之间进行通讯的信息或数据可能是与SIS相关的或提供信息。
如果操作员的行为是安全仪表功能的一部分,那么执行该行为时,作为SIF部分的任何事情都应进行考虑。这有可能包括,例如:报警指示操作人员必须停工,在这个例子中,停工开关应当作为SIF.的部分考虑进去。
如果可证明不影响安全仪表功能(在BPCS内只读存取),那么不是SIF一部分的数据通讯(如:若SIF的跳闸功能实现,一台SIF传感器真实数据的显示)可在BPCS内显示出。
11.7.1操作员接口要求
用于在操作员与SIS之间进行通讯信息的操作员接口可包括:
• 视频显示。
• 包含有灯,按钮和开关的盘。
• 报警器(可视的和可听的)。
• 打印机(不必是唯一的通讯方法)
• 上述任何组合
a)视频显示
.BPCS视频显示可具有SIS 和 BPCS所提供的显示数据的功能,它仅提供信息。有关安全的重要信息可通过SIS另外显示(例如,如果操作人员是安全功能的一部分)。
在紧急情况下当操作人员需要采取措施时,在遵守安全要求规范的前提下,必须进行更新和恢复控制器显示器。
与SIS相关的视频显示应清楚地识别,应避免模糊,以防在紧急情况下使操作人员混淆。
BPCS操作员接口提供安全仪表功能自动记录事件和BPCS报警功能。
记录的事件包括下面:
– SIS事件(如:出现跳闸和预跳闸)。
– 任何时候进入SIS进行程序的改变。
– 诊断(如:差异等)。
通过一个报警和/或操作程序警告操作人员对SIS任何部分进行旁路视非常重要的。例如:在一套SIS(例如:切断阀)中最终元件旁路报警可由位于旁路阀上限位开关检测到,它通过在旁路阀上安装密封或机械锁发出一个报警,由操作程序进行控制。一般建议将这些旁路报警与BPCS分开。
b) 操作盘
操作盘应位于操作人员易于接近的地方。
操作盘在配置上应确保按钮、灯、表及其它信息的布置不会使操作人员混淆。那些看上去相同并且放在一组的不同工艺单元或者设备的停工开关,可能会导致操作人员在紧急状况下由于压力太大而停错设备,停工开关必须物理上是的,并且对它们的功能以标签作出标示。应提供所有灯的测试方法。
c) 打印机或记录仪
如果连接到SIS的打印机出现关闭、断开、打印纸用完或异常故障应当不会影响安全仪表功能。
打印机视非常有用的,它可通过附有时间和日期以及设备位号的标识来记录出现的事件、诊断和其他事件及报警的顺序。应当提供记录格式。
如果打印有缓冲功能(存储信息,然后根据需要或者按照指定的时间表打印出),缓冲空间应足够大以免信息丢失以及在任何情况下SIS 功能不会受到缓冲存储空间的影响。
11.7.1.1 操作人员应对一台显示器上的信息有足够的了解,以便能够快速传达重要信息。显示的一致性是很重要的,所采用的显示方法、报警惯例和显示组分必须与BPCS显示一致。
显示布置也很重要。必须避免在一台显示器上布置大量的信息,因为,它们可能会导致操作人员读错数据以及采取错误的行动。应采用不同颜色的、闪光的指示器和适宜的数据间距给操作人员提供重要的信息,以便减少混淆的可能性。
显示器在设计上应考虑到那些有色盲的操作人员可辨识出数据。例如,通过红色和绿色显示的条件还可以通过已填满和未填满的图形来显示。
11.7.1.2没有提供进一步的参考指南。
11.7.1.3没有提供进一步的参考指南。
11.7.1.4没有提供进一步的参考指南。
11.7.1.5没有提供进一步的参考指南。
11.7.2 维护/工程接口要求
11.7.2.1没有提供进一步的参考指南。
11.7.2.2维护/工程接口由对SIS进行编程、测试和维护接口组成。
a) 系统硬件配置。
b) 逻辑解算器应用软件的开发、资料及下载。
c) 利用应用软件进行更改、测试和监控。
d) 观看SIS 系统资源和诊断信息。
e) 改变SIS 安全等级以及利用应用软件变量 。
维护/工程接口应具有显示包括它们之间通讯在内的所有SIS组件(例如,作为输入模块、处理器)的操作和诊断状态。
维护/工程接口应提供应用程序存储备份的方法。
一台连接到SIS用作维护/工程应用目的的个人计算机,在计算机出现故障、被关闭或断开时,不应影响安全功能。
11.7.2.3没有提供进一步的参考指南。
11.7.2.4没有提供进一步的参考指南。
11.7.3 通讯接口要求
11.7.3.1没有提供进一步的参考指南。
11.7.3.2没有提供进一步的参考指南。
11.7.3.3没有提供进一步的参考指南。
11.7.3.4没有提供进一步的参考指南。
11.8 维护或测试设计要求
11.8.1 SIS 的设计应考虑如何对系统进行维护和测试。如果工艺正在运行时要对SIS进行测试,设计上必须满足不需要断开电源线,采用跨接线或强行软件注册扽要求,因为采用这些技术可危及到SIS完整性。为了实现对传感器、逻辑解算器和最终元件安全地进行完整的系统测试,系统设计时应提供SIS技术和程序上的要求 。
对SIS如何在工业运行时完成维护来进行定义是非常重要的。例如,如果变送器或者阀门将要进行工作的话,应考虑维护人员如何在不引起伪跳闸的前提下进行工作,保证工艺安全。
必须注意的是,在对SIF的PFDavg进行计算时应考虑最终元件测试时间间隔的任何限定。
11.8.2 没有提供进一步的参考指南。
11.8.3 设置旁路可降低SIS安全等级。这种安全等级的降低可通过以下方式得到克服,
a) 使用密码和/或键盘锁定开关。有些设计把适当的旁路开关装在锁定的机柜内。
b) 管线旁路必须能够清楚辨认,可通过密封阀的位置或设置安全标示指出该位置的重要性的方式来实现。
例如:对于一个2选1的传感器的配置,一些用户喜欢同时将两个传感器都旁路,但是另外的用户喜欢将每个传感器单独旁路。如果两个传感器都旁路的话,非常有必要采取措施以确保所剩余的风险仍是可容忍的,但是必须在设计之前进行说明。
同样的,当工艺正在运行时,一些工艺操作不支持将阀进行移动,或者在阀附近安装一个旁路是不切实际的。在这些情况下,设计上应使SIS的测试尽可能的切合实际,即:至少可通过电磁阀。在这种情况下,电磁阀附近的某些类型的旁通可包括在设计内,此类旁通带有常规报警或程序控制。
11.8.4没有提供进一步的参考指南。
11.9 SIF故障率
11.9.1 用户和设计者应参考本标准附录A技术指南,以确保SIS设计满足于偶然软件故障相关的性能。
11.9.2 本标准附录A中的大多数技术需要一些SIS诊断率的定量数据。诊断是自动进行的测试,用于检测SIS内可能导致的安全或危险故障。
一种特定的诊断技术不能检测到所有可能的故障。应提供对所采用诊断有效性的评估,用于对所说明的故障进行设定。在IEC 61508-2的子条款7.4.4.5 和 7.4.4.6 提供了如何确定诊断的要求(也可见IEC 61508-6附录C的如何计算诊断覆盖率的例子)。
提高SIS的诊断覆盖率有助于满足SIL要求。在这种情况下,在计算SIS的故障率(需求模式)或故障频率(连续模式)时,应将诊断率和诊断测试之间的时间(诊断测试间隔)都考虑进去。关于进一步的指南,参见 IEC 61508-6附录 B或ISA TR84.00.02.
在SIS仅用作保护层及在连续操作模式下用于安全功能操作的情形下,那么诊断测试间隔需要满足以下要求:能够及时检测出SIS的故障以确保SIS的完整性,并且,万一工艺或者基本工艺控制系统出现故障时,能够采取措施以确保安全状态。
为了达到该目的,诊断测试间隔和达到安全状态的反应时间的总和必须小于“工艺安全时间” 。工艺安全时间的定义为:工艺或基本工艺控制系统(具有发生危险事件的可能性)出现的故障和如果没有使用安全仪表功能出现的危险事件之间的时间间隔。
公共组件(例如CPU/RAM/ROM故障)的重要的或潜在重要的故障通常会阻止几乎全部数据的处理,因此,这些故障比单个输出点的故障更容易达到。必须非常确信能够将那些具有高故障率的故障模式检测出。此外,应考虑故障模式的检测能力。
在进行每种诊断时,测试间隔及对故障检测所采取的最终措施应满足安全要求规范。
如果供货商所提供的设备中没有“内置”这些诊断,为了达到SIF的SIL,可在系统或应用级别进行外部诊断组态。
诊断可能检测不到系统故障(如:软件故障)。然而,能够采取适当的预防措施,来检测可能的系统故障。
诊断可通过采用各种或几种方法的组合来完成,包括:
a) 传感器
1) 提供诊断报警用于检测一台传感器已彻底出现故障(低量程或超量程)。其中一个办法是采用超量程报警。例如:在具有冗余温度变送器的高温跳闸应用中,通过增加低超量程报警可诊断出变送器故障或变送器信号损失。
2) 如果采用冗余变送器,通过对模拟值进行比较,可检测出正常操作期间出现的异常。如果使用了三台变送器,可采用三个读数中的中间读数(中间值选择)。中间值选择与平均值相比有优势,这是因为,平均值被那些功能不正常的设备曲解,读数之间严重的偏差可能由以下原因导致:
•脉冲管线堵塞或冻凝。
•吹扫压力降低
•热偶温度计套管覆盖工艺介质。
•接地或供电电源故障
•输出值长期不发生变化,变送器没有响应。
3) 应提供延时器,用于防止由传感器的位置或传感器的技术问题而导致传感器对工艺改变响应而产生的不必要的报警。例如:一些冗余的流量传感器可能有1个或2个延时器,为了触发诊断报警,从供货商处可获得许多软件包用于监测冗余传感器的读数并计算出标准偏差。
4)传感器诊断的另一个方法是对比相关的变量(例如:流量累加器与罐液位的变化,或者压力和温度的关系)。
b) 最终元件
1) 对来自最终元件(例如:限位开关或定位变送器)反馈信息与需要的状态进行对比,以确认已采取了预期的措施。应采用足够的延时器,以过滤阀切换时(例如:全开到全关)的报警。作为正常操作的一部分,如果定期将阀切换到安全状态,那么可将来自最终元件(例如:限位开关或定位变送器)反馈信息与需要的状态进行的对比仅看作是诊断(例如:批量操作)。
2)一些阀、执行器 、电磁阀和/或控制器可能提供诊断能力。
c) 逻辑解算器
安全配置的或者IEC 61508 系列PE逻辑解算器通常包含有检测各种故障的诊断。诊断类型和诊断率将在安全手册中讲述。
d) 外部配置的诊断
外部配置的诊断的例子包括监视器定时器和终端监视器。
参考注释IEC 61511-1 的11.9.2.c)关于可靠数据置信度的说明,通常,平均故障时间(MTTF)通过对累计操作小时期间内所记录的组件样品出现故障的数量(n)进行确定。通过采用‘Chi-square’测试(见‘可靠性、维护能力和风险D J Smith’ ISBN 0 7506 5168 7)可算出最终的MTTF的置信度等级。这意味着将用于SIS可靠性计算的MTTF值,一般说来,要低于按照T/n算出的MTTF值,对于较高要求的置信度等级以及较低的观察到的故障数量,这一降低因数将更高。然而,一般地,合理的假定:同与可靠性模型相关的其它不确定源相比 在70 %置信度等级时降低因数是不重要的。
12 应用软件的要求,包括公用软件选择标准在内
IEC 61511-1的条款12在SIL 3和较低的SIL应用软件设计方法上没有差别,因为,经验表明在方法上几乎没有差别,当采用
•FPLs 或者 LVLs 时; 以及
•满足IEC 61511-1的逻辑解算器;以及
•相应的安全手册
对于不同的SILs在测试和审核时可能有差别。见本指南的该部分的12.7.2.3
12.1 应用软件安全使用周期要求
12.1.1 目标
12.1.1.1没有提供进一步的参考指南。
12.1.2 要求
12.1.2.1没有提供进一步的参考指南。
12.1.2.2注释1和 2: 在对应用软件的设计、执行、审核、确认时采用了有限的可变化性语言,例如:IEC 61131-3梯状图或功能块状图,仅需应用在图3中给出的 “V”模型标准软件的两个等级。在这种情况下,假定所使用的功能框图符合IEC 61508-3, 那么:
•每个SIF 的软件采用了“应用软件结构设计”,这样可确保软件设计与硬件结构一致。
• “应用软件开发”被解释为:采用符合IEC 61508-3 和IEC 61508-4有限的可变性的语言,进行安全逻辑功能的设计和执行 。
• “应用软件的测试” 被解释为:对应用软件的审核及测试; 以及
• “应用软件与子系统的结合” 被解释为:采用符合有限的可变化性的语言进行每种工艺安全功能的结合以及审核。在附录D中给出了符合IEC 61508系列SIL 3的PLC应用软件开发使用周期的一个例子。
当要执行一个新“功能”或“功能块”时,采用符合IEC 61508系列元件的有限可变化性语言(例如:一个公共烧嘴的联锁程序或泵联锁程序的执行),那么:
•在“V”模型中“应用模块开发”被解释为:新功能的设计和执行; 以及
• “应用模块的测试” 被解释为:新功能的审核以及测试。
在这种情况下,新功能将用完全可变化性语言编写成,因此,需要开发软件规范,那么,正如在“V” 模型(见图3 ) 指出,开发商应遵守IEC 61508-3
中所定义的所有使用周期阶段和程序。
注释:除非有其它说明,本图中的子条款编号指的是IEC61511-1中的编号。
图-3 软件开发使用周期(v-模型)
12.1.2.3没有提供进一步的参考指南。
12.1.2.4方法、技术和工具选择应考虑下面内容:
为了选择可能会对有质量要求的软件有影响的方法、技术和工具,对于软件应用应考虑下面的关键质量参数
• 简易性
• 适当的注解和常用语言支持
•反映应用的划分。
•测试覆盖率。
•技术支持过程人员的可理解性
•与其它相关应用软件的通用性
确定重要参数的方法包括
• 与股东讨论包括操作和维护内的内容。
•重审当前的应用和工业标准
•重审制造商的建议
•对以前的经验进行分析
• 与同行进行讨论
为了获得最佳重要质量参数,方法、技术和工具的选择应考虑下面内容
在软件开发期间,所选择的方法和技术必须能使应用软件出现故障的风险达到最低。可能包括对下面这些内容:
• 很好定义的句法和语义;
• 应用的实用性;
• 应用开发商的理解能力;
• 对SIF重要性能保证(例如:最糟糕情况的执行时间);
• 在类似应用中成功使用的证明;
• 旨在使用方法的“不安全”性能的规定和
为了减少在实际应用中的人为错误,应选择执行这些方法和技术的工具。这可能包括对以下方面的考虑:
•软件开发小组的具体成员应熟悉这些工具;
•在类似应用中成功使用这些工具的证明;
•旨在使用方法的“不安全”性能的规定和;
•所有工具和SIS准确版本的资料清单;
•不同的工具与SIS之间的兼容性
•撰写应用软件资料的能力
在使用周期阶段所使用的工具的具体的例子包括:
• 应用标准产生
• 配置管理
• 静态分析(例如:位号名称检验器、扫描时间检验器);
•仿真器;
•包括软件测试程序的测试应用;
•工程师工作站
需要考虑的其他方法、技术和工具包括:公制测量(例如:测试覆盖率)以及使用不同的工具以加强功能审核。(例如:背靠背工具)。
为了揭示出及排除在软件已存在的故障。建议对开发使用周期的整个过程进行审核。常用的方法在12.7.2.3.中进行了说明。
为了确保在软件中仍然存在的故障不会导致不可接受的结果,应考虑下面这些内容:
•在线检查技术和例外情况处理;
•使用供货商工厂外数据库和全球的故障报告;
•SIS故障报告、工艺项目以及它们对SIS 的影响的监控。
•其它系统关键SIS功能性的反映
•在培训期间使用SIS应用软件的副本。
为了确保软件在SIS整个使用周期的正常使用,应考虑到以下几个方面:
•变更管理的程序(见IEC 61511-1的第17条);
•进行管理支持和维护培训;
•在SIS整个使用周期支持工具和开发平台的可利用性;
•在SIS整个使用周期,使用完整记录及最广泛使用的方法,促进足够的人力资源和技术;
•使用开发和文件规定,旨在便于了解和限定更改软件的影响;
•“竣工”和更新资料;
•开发和离线测试能力
12.1.2.5没有提供进一步的参考指南。
12.1.2.6没有提供进一步的参考指南。
12.1.2.7没有提供进一步的参考指南。
12.1.2.8没有提供进一步的参考指南。
12.2 应用软件安全要求规范
12.2.1 目标
12.2.1.1没有提供进一步的参考指南。
12.2.2 要求
SIS 的总体结构可能会对具体的安全仪表功能提出额外的功能性的软件要求。典型的例子是冗余传感器的2 选1选择逻辑以及所规定的由传感器自诊断检测出危险故障的安全措施,在附录B中给出的例子列出了所采用结构的那些要求。
应用软件也要考虑到由PES提供的诊断并且所开发的软件能够按照逻辑解算器安全手册中的规定采取恰当的行动。
通常可通过使用逻辑图或原因及结果图,来对每个安全仪表功能详细的安全要求进行定义。在许多情况下由逻辑解算器供货商提供的编程语言可用于定义这些要求。可使用的典型的语言是功能框图或原因结果矩阵。所选择的由供货商提供的语言必须适合使用。使用由供货商提供的语言来定义详细的要求,可避免在翻译另一种形式资料的安全要求过程中出错。使用文字说明来定义安全和非安全功能以及所有安全功能的SIL 要求。
详细的功能性的安全要求规范必须包括在受到保护的工艺各种操作模式期间所有必需的功能。此外,必须提供所有安全仪表功能的定期测试。这就需要定义维护超驰能力使传感器和最终元件在不需要停工即可进行测试。在上述段落中所讲述的同样的方法也可用于记录这些要求。
如果为了实现安全仪表功能而使用多个SIS,必须提供资料对每个SIS使用的具体功能进行解释。如果为了实现相同的安全仪表功能而使用多个SIS,必须提供每个SIS交互的和的资料。该资料应包括必须由每个SIS提供预期的SIL。
对于另外的参考指南,参考本标准的10.2.1 和 10.3.1。
12.2.2.1没有提供进一步的参考指南。
12.2.2.2 在开发应用软件之前,用户提供一套根据安全仪表功能及它们的SIL来确定软件安全要求的工艺风险及危险评估。对于安全要求规范中的任何矛盾、差异以及遗漏必须提出以引起软件设计者的注意。一个例子是软件的安全功能执行顺序的影响,另一个例子是当能源中断时应用软件的响应。
12.2.2.3 应用软件安全要求被开发成对SIF安全要求规范的一种可跟踪的响应。重点说明的内容包括:
•执行用户定义的SIF功能和时间要求;
•软件系统的人机界面;
•工艺危险与由应用软件提供的功能之间的关系
•为了使应用软件行为保持在工艺安全范围内的允许界限(例如:不能处理错误的输入条件);
•在逻辑解算器内所提供的公用工程软件容许功能性(例如:安全逻辑和通讯I/O优先次序的区分,故障处理和系统诊断);
•执行应用软件的硬件平台和系统软件,以及硬件和系统软件配置;
•软件作为系统的一部分,(例如:在断电时出现的不恰当的故障模式)由于系统功能的结果,在工艺中可能出现危险;
•作为支持逻辑解算器安全手册的一部分,设计者可能使用的方法和程序的限定。
为了避免日后开发过程出现困难,考虑有关战略是很重要的,这个战略的目的是表明应用软件的要求已经达到。
如果安全仪表功能中使用了原因软件的话,功能性安全评估应包括以下内容:
•检查技术,用于证明应用软件功能达到工艺危险要求。
•功能测试,用于证明应用软件执行了所要求的功能,且尽最大可能地证明软件的任何额外功能将不会导致危险状况;
•结构测试,用于证明应用软件在必要的时间内执行了所要求的功能。
•功能性故障分析和“如果…那将会怎样” 的分析用于证明应用软件功能将不会导致危险状况;
•审查,证明软件的开发和审核过程已经到位,并且使用正确的软件版本。
12.2.2.4没有提供进一步的参考指南。
12.2.2.5. 没有提供进一步的参考指南。
12.2.2.6没有提供进一步的参考指南。
12.3 应用软件安全批准计划
对于进一步的参考指南,见14.3.
12.3.1 目标
12.3.2 要求
12.3.2.1没有提供进一步的参考指南。
12.4 应用软件设计和开发
12.4.1 目标
12.4.1.1没有提供进一步的参考指南。
12.4.1.2没有提供进一步的参考指南。
12.4.1.3没有提供进一步的参考指南。
12.4.1.4没有提供进一步的参考指南。
12.4.1.5没有提供进一步的参考指南。
12.4.2 一般要求
有许多途径可提供SIS的安全应用软件。然而,不管采用何种途径来得到安全应用软件,假定安全使用周期的步骤优先于已正确执行的应用软件开发(例如:危险和风险评估,功能性描述软件开发 ,设备(硬件和软件)选择)。该途径的可信度是确定PE逻辑解算器在SIS应用的主要因素。
在装置没有经验,技术支持或故障处理能力时,进行下面工作前,建议先进行培训和获取操作经验(最好是非安全应用方面)。为了努力做到这一点,应建立与在相同的环境下使用相同设备的其他PE逻辑解算器用户之间的联络。
在SISs应用软件的开发时,要考虑到下面列出的内容。
• 对于每个SIF,把应用软件分成具有一个SIL的SIF ;
•了解每个SIF 的硬件结构并在每个SIF应用软件中复制此硬件结构;
•如果会导致过于复杂 ,不要优化应用软件(通常,这需要一个先进的编程器来解读应用软件);
•使用从供货商手册(例如,安全手册)中获得的应用软件开发技巧;
•不要将一个SIF的应用软件与任何其它SIF的应用软件组合;
•使用此装置已接收过培训并且能够理解和进行故障处理的应用软件语言(例如:类型、功能)。
•提供应用软件的书面介绍,应与在应用软件资料的功能介绍中的内容一致。
•模块化的应用软件与工艺流程一致。(例如:第一个模块是与SIF无关但却是SIS需要的公共应用软件,第二个模块是位于工艺入口的第一个SIF,最后一个模块是位于工艺出口的最后一个SIF。)
•每个应用软件模块的全面测试(例如:模拟、检查、审查)并得到二次的分析结果。(其中包括这里的操作和维护部门以及所有后续的步骤);对组成工艺子系统的模块组合进行全面地测试并且得到二次的分析结果。
•全面地测试SIS应用软件;
•得到第二次的分析结果;
•在检查硬件时使用应用软件(例如:确认I/O连接到正确的传感器/最终元件上);
•包括工艺运行时应用软件的测试;(例如:在没有危险材料的情况下的工艺操作),
•在工艺交接给装置期间(例如:投料试车)必须有应用软件技术支持小组成员。
应用软件资料用于确定应用软件对每个SIF SIL的适用性。应进行的分析以确定应用软件满足SIL的要求。
IEC61508-3 和IEC 61508-6提供了在这种情况下不同的途径和进一步的指南 。
12.4.2.1没有提供进一步的参考指南。
12.4.2.2就应用软件设计方法和技术的选择指南而言,按照作为系统一部分并符合IEC 61508的供应商安全手册中给出的说明,安全系统的设计必须小于等于SIL 3。对于SIL 4系统,开发商必须另外确认所选择的方法满足IEC 61508-3的要求。
就应用软件设计测试和审核方法及技术的选择指南而言,小于等于SIL 3的安全系统要求必须应按照12.7给出的指南进行审核,如果是SIL4系统的话,审核人员也必须确认所选择的方法确实满足IEC 61508-3的要求。
12.4.2.3没有提供进一步的参考指南。
12.4.2.4 一般说来,为了确保测试能力,建议在设计和开发阶段就考虑到应用软件完整性测试规范。
12.4.2.5 如果一套SIS中应用软件应用于不同SIL的安全仪表功能,应对它们作出明显的区分并做出标记。这样每个安全仪表功能的软件都可针对于正确的传感器和最终元件的冗余进行追溯。同时也实现对功能进行的功能性和验证测试与SIL 相匹配。标签上应可识别出SIF 和 SIL。
对于非安全和安全仪表功能应使用的软件区域。达到充分的一个方法是遵守所有下面要求:
a)按照SIF应用规范,对应用软件的安全仪表功能作出明显标记;
b) 明显区分应用软件的非安全仪表功能;
c) 对执行安全仪表功能的所有参数作出明显标记 ;
d)按照非安全仪表功能规范对执行非安全仪表功能的所有应用规范作出标记;
e)使用非安全参数和SIF参数的所有应用规范满足下列条件;
–非安全应用规范(程序、功能和功能块)中没有写入任何用在安全应用规范的SIF参数;
–安全应用规范与用于执行安全仪表功能的任何非安全参数无关;
f)所有安全应用软件(例如:规范和参数)用于防止任何非安全的更改软件;
g)如果安全和非安全应用软件共用同样的资源(例如:CPU、操作系统资源、存储器、总线),那么安全应用软件的安全仪表功能(例如:响应时间)不会受到影响。
理想上认为,应用规范(SIF和非安全)和所有的参数(SIF和非安全)之间的相互影响可由应用开发软件进行自动检查。
如果达不到此性能,应用软件开发商和对应用软件进行审核及批准的其他人员应检查所有的应用规范和与上面给出的的规定一致的相关参数。
12.4.2.6没有提供进一步的参考指南。
12.4.2.7没有提供进一步的参考指南。
12.4.3 应用软件结构要求
一个典型的SIS逻辑解算器的软件结构的改变可能性是非常小的,并且这一点通过看应用程序开发的主要阶段可得到很好的理解。在对应用程序进行开发和测试时,开发商通常进行下面的主要过程:
a) I/O模块和存储器变化的数据区域的组态
b)对所有的 I/O和存储器参数的编码名称的开发,编码名称应遵守一致的惯例。
c)定义维护超驰的技术。一些用户要求通过数字输出点与开关相连接,来触发维护超驰。其他的用户将使用从显示站到SIS的控制数据输入,无论何种情况,确保安全以避免意外的超驰,维护超驰必须进行告知。
d)定义传感器和最重元件的诊断以及定期测试概念。这将取决于传感器和最终元件的冗余。此概念需仔细定义并且应当包括在测试期间恰当的报警。
e)定义到SIS的其它外围系统的通讯参数。如参数是存储器参数,必须将它们分配至恰当的数据域。因此它们能够被通讯子系统读。应仔细定义那些到SIS的其它外围系统的可修改的通讯参数,通常将它们放在存储器特殊的读/写区域内。
f)定义事件顺序是在哪儿以及如何记录并了解它对SIS的影响。
g)开发客户功能和功能块。由于重复性的操作可在应用软件中进行编程、测试和重复地使用,因此,客户化是非常受欢迎的。
注释:在IEC 61131-3 中对功能、功能块和程序进行了定义。
h)决定在某一给定的程序内必须包括哪些安全仪表功能及其它功能。要求将安全和非安全功能分离到各自的程序,这样可将重点放在安全关键程序。 同时也要求限定一些程序功能的大小。
i)开发应用程序。应用程序结构应与工艺结构一致(例如:在一化工装置中,每个工艺单元的应用程序应分在一组。为了便于了解和维护,在工艺单元内设备之间是的。)
j) 根据所有应用程序的每个程序和执行顺序以及要求执行速率,确定网络和逻辑正确的执行顺序。
确认应用程序的执行速率与软件要求规范中要求的工艺响应时间。
k)利用软件开发环境(如果可能的话)的监控能力测试应用软件。
l)将应用软件下载到逻辑解算器。
m)测试到SIS其它外围系统所有逻辑解算器输入、输出、应用软件和接口 。
12.4.3.1没有提供进一步的参考指南。
12.4.3.2没有提供进一步的参考指南。
12.4.3.3没有提供进一步的参考指南。
12.4.3.4没有提供进一步的参考指南。
12.4.3.5安全数据完整性验证的示例包括:
•超量程I/O数据检查;
•通讯的应用数据确认;
•位号一致性检查,例如:多次使用相同位号进行检查;
•超驰验证检查,例如:维护和开工超驰验证检查;
•报警和设定电验证检查。
12.4.4 支持工具、用户手册及应用语言的要求
开发环境是一套支持应用软件规范,对应用参数和接口以及应用软件的测试/监控执行进行组态的工具。典型的开发环境具有以下能力:
a)组态编辑器。该编辑器用于组态I/O子系统、I/O存储器参数和通讯功能。
B)语言编辑器。应用软件编程人员使用这些编辑器来开发执行系统(安全和非安全)所需的所有功能的程序。
c)确认的功能和功能块程序库。可将这些功能和功能块用于应用程序。
d)客户功能和功能块开发能力。一些供应商提供开发环境,以允许用户开发能够通过支持应用软件语言来使用客户功能和功能块。这些顾客功能和功能块在应用程序使用前必须进行彻底的测试。
e)应用程序进度表软件。这些进度表软件支持所要求的执行顺序以及它们的扫描速率次序的设定。
f)下载能力。这允许开发商将应用软件、功能块程序库、参数数据和其它的组态信息下载到用于执行的逻辑解算器硬件内。
g)模拟能力。 一些供应商提供了具有在支持开发环境的计算机上模拟所有应用程序能力的开发环境。这允许在将它们下载到逻辑解算器前,可彻底通过离线对应用程序进行测试。
h)程序监控能力。该监控能力允许用户从用户定义的屏幕上的执行程序中,或者从真实的功能块或梯状程序屏幕上观看数据。开发环境同时也具有监控模拟器执行的能力。此外,也监控逻辑解算器的程序执行。
i) 逻辑解算器诊断显示。这些显示表明了系统主处理器模块、通讯模块以及I/O模块的状态。通常,显示包括每个模块的通过、故障、激活状态;并且在许多情况下,还包括有关系统故障的更多详细的信息。
12.4.4.1没有提供进一步的参考指南。
12.4.4.2没有提供进一步的参考指南。
12.4.4.3没有提供进一步的参考指南。
12.4.4.4 优先使用那些已经验证使用和/或已取得由行业标准接受的已认证的应用语言解译器。
12.4.4.5没有提供进一步的参考指南。
12.4.4.6没有提供进一步的参考指南。
12.4.4.7 安全手册举例
对于符合本标准并在SIF中使用的组件和设备来说,如果此组件或设备要满足应用的安全要求规范,那么所提供的资料必须包括必须遵守的有关安装、维护、组态、编程和操作方面的所有已知的详细内容。
本标准多次命名为组件或设备“安全手册”。但是,它可能由供应商的标准安装、维护和用户手册以及附加的资料组成,这些资料规定了那些与SIF应用相关的内容、在这些应用方面的,对诊断报警和已知故障模式应必须采取的措施。它同时还必须定义当组件或设备在一个SIF中使用时,那些不能使用的性能、组态和/或 程序说明类型。
有限可变性编程允许用户使用全局数据,因此安全手册应为编程人员提供指南,即如何使用编程工具以及如何检查数据参数的使用是否正确。要重点说明的其它性能可能包括存储器地图,对状态标志的检查以及对输入值验证检查。
说明和举例的目的是使一组编程人员能够写出具有相同格式和形式的程序。这些程序可做为安全手册的一部分或者作为具体的应用资料。如果某些算法或函数可能会导致影响安全的意外行为的话,那么有关这些具体的算法或函数的详细内容必须包括在这些说明中。
必须警告编程人员不要作出任何超越安全手册中所定义的假定。例如:不要使用安全手册中忽略的程序编程器的能力。最理想的情况是,此程序编程器已进行组态可强化这些限定条件。
典型的安全手册的构成和内容举例
下面是符合IEC 61511典型的逻辑解算器内容举例的手册构成图。
下面这个例子显示的是每个单独的章节以及每个章节的主要内容。
表-1典型的安全手册的构成和内容
| 章节 | 主要内容 |
| 介绍 | 总体信息,设备要求,手册组成,惯例,相关资料,术语,产品概述 |
| 安装 | 现场计划环境,工艺连接,开工步骤,停工步骤,应用修改,正在操作系统的功能执行 |
| 组态和应用结构 | 设计考虑,能力和性能 ,屏幕指导 |
| 运行时间操作 | 生产操作,操作概述,操作说明 |
| 维护 | 预防性维护,硬件指示器,故障信息,应用和系统报警,故障发现和用户维修 |
| 附录 | 系统信息,检查表,应用解决 |
| 索引 | 安全信息索引 |
| 设计考虑规定了与PE 逻辑解算器安全组态和编程相关的组态和应用程序各个方面。这些将包括但不仅限于: -逻辑解算器处理时间,I/O 更新速率,通讯速率,逻辑解算器操作顺序; -系统报警处理要求 -组态和编程要求。 | |
12.4.5应用软件开发要求
在进行应用软件开发前,应检查以下内容:
•SIS逻辑解算器以及与它相关的I/O模块应符合IEC 61511-1标准;
•在用户资料或由逻辑解算器供货商给出的资料中应提供所有符合IEC 61511-1标准必要的和操作程序。这些资料通常被称为安全手册;
•采用可编程的电子元件的传感器和最终元件应符合IEC 61511-1;
•当进行定期在线测试时,可提供维护超驰能力以允许对传感器和最终元件进行测试。
应用软件通常是由逻辑解算器供货商或智能现场设备供应商提供的程序语言写成的。应用软件可用一种完全可变性语言(FVL),例如说明列表或C语言 ,一种有限可变性语言(LVL),例如:功能块图或梯状图,或者固定程序语言(FPL)。此种语言用户只能输入固定程序需要的数据。
如果应用软件是由FVL 语言写成,开发商应遵守IEC61508-3的要求和指南。如果应用软件是由LVL或FPL语言写成,开发商应遵守IEC61511-1的要求和指南。开发商可遵守由逻辑解算器供货商安全手册所所提供的和程序,如果需要,同时应开发和使用编程指南和编码/组态规则。
12.4.5.1没有提供进一步的参考指南。
12.4.5.2没有提供进一步的参考指南。
12.4.5.3 应用全局变量的有关例子是安全报警,例如一个高温报警,它随着工艺操作下批量操作而改变。
应用全局常数的一个例子是火灾和气体保护系统中的可燃性气体的报警高限,例如:20 % LEL (爆炸下限)。
12.4.5.4没有提供进一步的参考指南。
12.4.5.5没有提供进一步的参考指南。
12.4.5.6没有提供进一步的参考指南。
12.4.6 应用软件模块测试要求
应用软件测试最初可在模拟器上进行,然后按照在设计和要求规定阶段形成的规范在逻辑解算器硬件上进行测试。初始测试阶段(按照设计规范进行模拟以及测试)的目的是:
•为了说明软件模块提供了必要的功能并且不存在任何被禁止的行为。
• 通过使软件应用于大范围的程序和条件来证明它可使意外行为恢复原状。 后续阶段测试(完整性测试和工厂验收测试)的目的是为了表明应用软件在具体的硬件和规定的时间关系内达到了它的要求。
测试的最终阶段,例如:用于证明完整的系统在它预计的环境下,用预计的物理设备和接口以及规定的操作程序进行正常的工作,仅能在整个系统进行安装和试车期间进行全面的测试。
从正规测试开始,所有软件功能和组态数据的更改应严格按照规定的修改程序进行。
12.4.6.1没有提供进一步的参考指南。
12.4.6.2没有提供进一步的参考指南。
12.4.6.3没有提供进一步的参考指南。
12.4.7 应用软件完整性测试要求
12.4.7.1没有提供进一步的参考指南。
12.4.7.2没有提供进一步的参考指南
12.4.7.3没有提供进一步的参考指南。
12.5 将应用软件与SIS s子系统结合起来
12.5.1 目标
12.5.1.1没有提供进一步的参考指南。
12.5.2 要求
12.5.2.1完整性测试可在达到SIS验证测试的任何阶段进行。
12.5.2.2没有提供进一步的参考指南。
12.5.2.3没有提供进一步的参考指南。
12.6 FPL 和 LVL 软件修改程序
12.6.1 目标
12.6.1.1没有提供进一步的参考指南。
12.6.2 修改要求
如果可能的话,应避免进行安全仪表的在线修改。
如果需要在线修改,应对完整的程序进行记录,并经安全计划批准。
建议对可编程安全仪表功能进行的所有更改遵循以下的过程:
a) 计划和资源保存
必须对可编程安全仪表功能做出更改的程序进行管理、计划及资源保存,使之达到恰当的级别,确保更改的安全性。
b)影响分析
所要求的修改可能要求全部的危险和风险评估,包括对系统(安全影响分析)未更改部分所有可能的影响。
c) 设计
设计更改应遵守在IEC 61511−1所讲述的安全使用周期全部过程。
d)审核
对于硬件和应用软件全面的离线审核应在进行更改前完成。
软件更改的界限应进行清楚地描绘及控制,只有所描绘的应用软件需要在投料试车前进行审核。
e) 安装和投料试车
对于更改内容的安装和投料试车应遵循IEC 61511−1所规定的安全仪表系统的安装和投料试车要求。
f)验收测试审核
在将系统经过修改的部分引入在线前,应对系统经过修改的部分进行系统审核(原因和结果测试)。
g) 人员
只有那些经过培训并且有能力及资质进行修改的人员才能够获得授权进行修改工作。
h) 离线修改
当对应用软件进行离线修改,应确认应用软件正确的版本号,包括使用的操作参数。
12.6.2.1没有提供进一步的参考指南。
12.7 应用软件审核
12.7.1 目标
12.7.1.1没有提供进一步的参考指南。
12.7.1.2没有提供进一步的参考指南。
12.7.2 要求
应用软件安全要求规范将包括:
•安全仪表功能要求 (例如:安全仪表功能的 SIL’s ; 逻辑流程图/原因及结果图);
•时间 (例如:输入到输出的最小响应时间) ;
•结构(例如:冗余要求,通讯接口和功能分类)。
审核确保了在应用软件开发的每个阶段满足具体要求。
数据审核包括确认在应用软件内所使用的数据是正确和唯一的(例如:位号名称是唯一设定的,数据不会被随后的功能误用,而且报警设定点之类的常数是有效和正确的)
审核可防止未授权的更改,包括审核现有机构(例如:带有存取级别的口令保护)存在同时充分使用了对这些机构。
12.7.2.1没有提供进一步的参考指南
12.7.2.2没有提供进一步的参考指南。
12.7.2.3 在应用软件开发周期(包括测试)的每个不同阶段,审核确认该阶段已成功完成。一般说来,审核是由一个审核小组(由一个或多个人员组成)来完成。
为了减少由于先入之见导致的错误 ,审核应包括:
•对于SIL 1, 由应用软件开发小组另外成员进行同行之间的审核;
•对于SIL2, 由非应用软件开发小组成员进行同行之间的审核;
•对于SIL3,由部门成员的人员进行同行之间的审核;
软件开发工具包括一些自动审核操作(例如: 位号( 已命名变量)的双重使用检查),然后审核组应确认工具已正确的使用,并得到正确的结果。
对于所有的SIL, 建议测试覆盖率应包含所有应用软件SIF 和SIS 故障响应(例如:供电故障,处理器故障,输入硬件故障,输出硬件故障和通讯故障)。然而为了极一步减少在软件中仍然存在的任何故障,对于较高的SIL,建议进行下面额外的测试:
•对于SIL 2 和 SIL3, 测试基于内部结构(例如: 内部算法,内部状态) ;
•对于SIL 3, 应力测试(例如:输入变量和内部变量异常状况范围,输入异常组合,异常顺序和载入)。
对于所有的SIL,建议提供充分的审核和测试资料,以证明已进行过成功的审核和测试。然而对于较高的SIL同时也建议:
•对于SIL 2 和 SIL 3, 应有足够的资料用于对审核和测试的准确性进行评估。
•对于SIL3, 应有足够的资料用于让另外的人员进行重复测试并审核所获得的覆盖率。
12.7.2.4没有提供进一步的参考指南。
13 工厂验收测试 (FAT)
13.1 目标
13.1.1 没有提供进一步的参考指南。
13.2 建议
13.2.1 尽管进行工厂验收测试(FAT)不是一项要求,对于那些具有相当复杂应用逻辑获冗余配置(例如:1oo2, 1oo2D, 2oo3 等)的执行安全仪表功能的逻辑解算器来说,建议进行FAT。
13.2.2 FAT最重要的部分是要有一份定义正确,书写完整且结构优秀的测试程序,它将确定如何测试应用逻辑和在每一步后该做什么。
将要进行工艺操作的人员应参加FAT,因为这将对他们进行SIS操作早期培训。通常他们能够对设计阶段没有预计到的测试程序提出好的建议或者见解。
13.2.3 没有提供进一步的参考指南。
13.2.4 没有提供进一步的参考指南。
13.2.5 在 FAT期间, 应对接口进行测试(例如: BPCS 和 SIS之间的通讯)。
13.2.6没有提供进一步的参考指南。
13.2.7没有提供进一步的参考指南。
14 SIS安装和投料试车
14.1 目标
14.1.1 没有提供进一步的参考指南。
14.2 要求
14.2.1 不提供进一步指南。
14.2.2 应按设计和安装计划来安装SIS。应与项目组一起审查与设计存在的差异,以确保所有设计要求都能满足。SIS正确安装完成后,应开始全面开车和确认工作。
14.2.3 当IEC61511-1讨论将投料试车作为一个单个的阶段时,实际应用、项目组经验以及项目的需要都可能要求投料试车工作在几个阶段中完成。
14.2.4 不提供进一步指南。
14.2.5 不提供进一步指南。
15 SIS 安全确认
15.1 目的
15.1.1 SIS 安全确认的目的是确认SIS是否达到安全要求规范中的要求。确认工作应在投入SIS操作之前完成。
15.2 要求
15.2.1 不提供进一步指南。
15.2.2 不提供进一步指南。
15.2.3 不提供进一步指南。
15.2.4 如果SIS已通过了工厂验收测试(FAT),确认阶段应将此情况考虑进去。确认小组应审查FAT结果,以确保所有应用软件已成功测试完毕,并确保在FAT期间发现的所有问题都已更正。
在最终确认阶段没有必要重复进行应用软件的测试。在下列情况下,该测试是适用的:
●预期有这种方法并且它包括在确认计划中:
●已经证实该应用软件满足了FAT期间的安全要求规范,并且
●已经证实所有应用软件与FAT阶段测试的版本一样。
然而,要确保运输/存放/搬运中没有出现损坏,确保所有传感器和最终元件都已正确地连至逻辑解算器上,确保该安全仪表功能运行正常并确保操作员界面提供了必要的信息,这一点是非常重要的。因为逻辑解算器和现场元件的单独测试不等于完整的端对端的验证测试,所以强烈推荐使用与验证测试等同的方法进行SIS确认。
15.2.5 不提供进一步指南。
15.2.6 不提供进一步指南。
15.2.7 不提供进一步指南。
15.2.8 不提供进一步指南。
16 SIS 操作和维修
16.1 目的
不提供进一步指南。
16.2 要求
16.2.1不提供进一步指南。
16.2.2不提供进一步指南。
16.2.3不提供进一步指南。
16.2.4不提供进一步指南。
16.2.5不提供进一步指南。
16.2.6不提供进一步指南。
16.2.7不提供进一步指南。
16.2.8不提供进一步指南。
16.3 验证测试和检验
16.3.1 验证测试
16.3.1.1 按照安全要求规范的要求,选择验证测试间隔来获得平均需求故障率。
16.3.1.2 不提供进一步指南。
16.3.1.3 验证测试的频率必须与适用的制造商建议和良好的工程设计惯例保持一致。如果根据以前的操作经验确定有必要增加验证测试频率的话,则增加验证测试频率。
有许多用于选择SIF验证测试间隔的策略。
例如,许多用户喜欢使该验证测试时间间隔尽可能地长,以最大限度地降低维修成本并减少测试的潜在影响。在这种情况下,SIS设计可涵盖较多的设备冗余,较高的诊断范围和耐用的组件。设计完成之后,可进行设计计算、确定可实现由SIF确定的SIL性能的最大测试时间间隔。该设计原理的府卖弄是装置中的每一系统都有不同的测试时间间隔,这就可能需要对一致性进行更加严格的跟踪。建议也可根据性能曲线的低端值来设计验证测试频率(例如,SIL 1 系统:PFDavg=10―1, Sil 2系统:PFDavg=10―2)。
其他用户可能希望在规定测试时间间隔的基础上,在同一测试时间间隔中对制造厂所有设备进行测试和实现标准化。例如,他们可能希望每年测试每一个SIF,这样他们就可相应地设计每一个SIS。在用户公司开始设计前通过预先选择验证测试时间间隔,预先选择结构、组件和诊断覆盖率,从而满足大部分的SIL要求。通过将这些特性定义到公司的标准中,可降低大部分应用中的工程设计成本。在这种情况下,必须对SIS进行计算,确保所需SIL性能满足预先选择好的验证测试时间间隔。
在选择一个验证测试时间间隔时,必须考虑需求模式系统的需求率、每一正在测试组件的故障率以及整个系统的性能要求。
注:如果应用中使用最终跳闸元件可能不实际的话,书写的程序应包括以下内容:
a)在装置停车期间测试最终元件。
b)在线测试期间,尽可能实际地执行输出(例如:输出跳闸继电器、停车电磁阀和部分阀移动)来测试SIS。
c)在计算SIF的PFDavg时,应考虑在最终元件测试期的所有条件。
16.3.1.4不提供进一步指南。
16.3.1.5不提供进一步指南。
16.3.1.6不提供进一步指南。
16.3.2 检查
如IEC 61511-1中所述,检查SIS不同于验证测试。虽然验证测试将确保SIS正常运行,但还需要对SIS进行目视检查,以确保装置机械的完整性。
通常在做验证测试的同时检查SIS,但如果需要的话,也可更频繁的对SIS进行检查。
16.3.3 验证测试和检查记录
对验证测试和检查的结果进行记录是非常重要的。对于这些结果必须保留多长时间,没有特定的要求,但通常情况下,保留足够多的量,便于对以前结果进行重新检查,看组件是否有故障发生的历史记录。
例如,如果传感器使验证测试失败,就可查看以前验证测试的结果,看该传感器在以前的几次测试中是否曾使验证测试失败。如果历史记录显示该故障已重复发生多次,应考虑重新设计SIS,使用不同类型的传感器。
17 SIS 修改
17.1 目的
不提供进一步指南。
17.2 要求
17.2.1不提供进一步指南。
17.2.2不提供进一步指南。
17.2.3不提供进一步指南。
17.2.4不提供进一步指南。
17.2.5不提供进一步指南。
17.2.6不提供进一步指南。
18 SIS 停运
18.1 目的
不提供进一步指南。
18.2 要求
18.2.1不提供进一步指南。
18.2.2不提供进一步指南。
18.2.3不提供进一步指南。
18.2.4不提供进一步指南。
18.2.5不提供进一步指南。
19 信息和资料要求
19.1 目的
不提供进一步指南。
19.2 要求
19.2.1执行SIS所用的信息和资料清单包括:
a)危险和风险评估
b)确定安全完整性等级时所用的假设
c)安全要求规范
d)应用逻辑
e)设计资料
f)修改信息和/或资料
g)核实和确认记录
h)投料试车和SIS确认程序
i)SIS操作程序
j)SIS 维修程序
k)验证测试
l)评估和审查结果
19.2.2不提供进一步指南。
19.2.3不提供进一步指南。
19.2.4不提供进一步指南。
19.2.5不提供进一步指南。
19.2.6不提供进一步指南。
19.2.7不提供进一步指南。
19.2.8不提供进一步指南。
19.2.9不提供进一步指南。
附录 A (资料参考)
计算安全仪表功能需求故障率的方法举例
A.1 总述
根据IEC61511-1,该附录参考了对设计与安装好的安全仪表系统进行故障率计算的很多方法。这些内容实际均为参考资料,不应认为可用的评估方法只限于此。
以下方法出自IEC 61508-6附录B,IEC 61078,IEC 61025,IEC 61165和ISA TR 84.00.02等标准系列。
A.2 可靠性方框图法
IEC 61078 和IEC 61508-6附录B说明根据IEC61511-1和本标准,用可靠性方框图方法计算设计好的安全仪表功能的故障概率。
A.3 简化方程式法
ISA TR 84.00.02说明根据IEC61511-1和本标准,用简化方程式法计算设计好的安全仪表功能的故障概率。
A.4 故障树分析法
IEC 61025和ISA TR 84.00.02说明根据IEC61511-1和本标准,用故障树分析法计算设计好的安全仪表功能的故障率。
A.5 Markov 模型法
IEC 61165和ISA TR 84.00.02说明根据IEC61511-1和本标准,用Markov 模型法计算设计好的安全仪表功能的故障率。
附录 B(资料参考)
典型的SIS结构开发
B.1背景
B.1.1 介绍
以下内容为举例,说明开发SIS结构所采取的不同步骤,该结构符合IEC61511-1的要求。SIS工程设计遵循以下指南和惯例并使用以下标准化设备。
B.1.2 指南及惯例
过去,安全应用被称为“关键仪表设备”。还开发了工程设计规定、典型实例、最佳惯例以及测试程序。
现有确定所需安全仪表功能、SIL和保护层分析(LOPA,见IEC61511-3的附录F)的指南、仪表冗余和设计规范。
B.1.3 仪表
安全应用(SIS)中的仪表使用了有关诊断和安全故障百分比(SFF)的厂商信息和来自应用的性能信息,以此计算需求故障率(PFD)。
B.1.4 逻辑解算器
逻辑解算器硬件、系统软件和开发系统符合IEC 61508 SIL 3,而且还有应用程序的有限可变性语言。
系统安全手册提供了系统应用和应用软件的开发的详细指南。
标准用户可定义安全功能(例如,变送器故障检查、诸如2选1和3选2的冗余选择以及输出安全超驰)可作为应用程序模板进行利用。
B.2 工作流程
B.2.1 介绍
所有工程设计工作遵循预先规定的整个项目的工作流程。开发SIS有其自身的流程。将单个步骤汇入整个流程中。在合适阶段进行功能安全评估。
B.2.2 典型的SIS使用周期步骤
开发SIS应用需要下列典型步骤。下面我们将只讨论步骤3和4以及步骤5中与系统结构相关的部分。
| 步骤 | 名称 | 工作 |
| 1. | 应用范围 | 定义工艺设备 |
| 2. | 工艺设备的功能安全要求 | 定义潜在危险,进行保护层分析(LOPA) |
| 3. | 系统安全要求分配。 | 设计SIS结构。 |
| 4. | SIS内的安全要求分配 | 确认SIS硬件 |
| 5. | 应用软件开发 | 设计SIS软件 |
| 6. | 应用软件测试及确认 | 测试SIS |
| 7. | 安装 | 现场安装 |
| 8. | 投料试车 | 整体验收 |
| 9. | 操作 | 运行过程 |
来自LOPA的可用信息: SIS应用的安全要求规范和SIL(例如,每一个SIF的SIL。)
用于获取SIL的模型:
| 传感器配置 | 逻辑系统和I/O | 最终元件配置 | ||
简化方法:在与SIL要求相关的表中可提供包括冗余类型(例如,2选1)、可用诊断和测试时间间隔在内的标准仪表配置。这些表格必须依据装置各工艺应用的经验数据和已验证的设计。把替换系统配置和已知元件数据结合起来组成方框图,可实现最佳选择。
SIS组件规范:所有系统组件都具备IEC61511-1多规定的验证特性(例如:所规定SIL的PFD、SFF、故障容错和系统要求)。
●根据操作经验正确选择适合工艺应用的传感器和最终元件,并通过工程设计部门来对各种类型的特点进行标准化。
● 逻辑系统:根据传感器和最终元件要求,规定I/O。逻辑解算器、应用语言、开发工具和通信接口是已获准安全系统一部分。操作员接口应适合应用要求。
B.2.4 SIS内的安全要求分配
在该步骤中,安全要求规范中所有功能分配到系统组件、功能或软件中。安全完整性要求将决定合适的SIS组件和可能的SIS结构。
B.2.5 与结构相关的应用软件要求
按照传感器、逻辑解算器和最终元件的要求,在选定SIS结构之后,为执行冗余(例如,2选1)和/或进行诊断指定应用软件。
B.2.6 应用软件开发
编程语言用于功能方框图(有限可变性语言)中。标准的开发和测试是众所周知的过程。另外,对在系统安全手册中详细描述的安全功能编程有一些。
B.3 实例 1
B.3.1 介绍
下面使用的例子不是取自真实情况,而且没有考虑到与其他安全层有关的共同原因。它仅仅为了证明如何使用前面叙述的SIS设计过程。
B.3.2 危险情况
蒸汽加热反应器的温度控制出现故障并且蒸汽控制阀全开。
B.3.3 SRS和SIL
安全要求规范:如果反应器压力超过10巴,在20秒内关闭到反应器夹套的蒸汽,以避免发生放热反应。没有必要采取操作员行动。所需SIL为3。
B.3.4 系统结构
系统组件:压力传感器配置、逻辑解算器配置、最终元件配置。已在使用中验证的智能传感器可直接将其连接到逻辑系统的输入。紧急截断阀与电磁阀连为一体并直接连接到逻辑系统的输出上。所有MTTF数据均来自实际操作经验。
可利用的仪表
● 压力传感器符合IEC 61511-1中的11.4.4条款:MTTF 105 h,DC=70%,SFF=90%,每年验证测试时间间隔 MTTR=8 h。
●紧急截断阀符合IEC 61511-1中的11.4.4条款:MTTF 8 X 104 h,DC=0%,SFF=90%,每6个月的验证测试时间间隔 MTTR=8 h。
单一元件 PFD
● 传感器:2,2 X 10-3 (见条款A.1)--不可接受。
● 逻辑解算器(冗余):包括(来自证书)的I/O 接口,1,3 X 10-4 。
● 阀:2,41 X 10-3(见条款A.1)--不可接受。
找到可接受的传感器结构:选择2选1冗余。
公共原因=10%,DC=90% (见条款A.1)
用于2选1传感器结构的新PFD:2,3 X 10-4
IEC61511-1的检查表6和IEC 61511-1的条款11.4.4, 实际容错=1→SIL3-可接受。
找到可接受最终元件的结构:选择2选1的冗余。
公共原因=10% (见条款A.1)
用于2选1最终元件结构的新PFD:4,65 X 10-4
IEC61511-1的检查表6和IEC 61511-1的条款11.4.4,实际容错=1→SIL3-可接受。
PFD检查:传感器+逻辑解算器+最终元件。
(2,3+1,3+4,7)X 10-4=8,3 X 10-4<10-3
B.3.5 与额外结构相关的安全软件
传感器组态软件:在以下条件下,对高于2选1的传感器信号进行编程(现有功能块),关闭蒸汽阀:
●两个传感器中的其中一个传感器读数超出规定工艺值的条件。
●诊断显示危险故障。
最终元件组态软件:当通过安全程序发出安全输出动作的命令时,两个蒸汽阀输出掉电。
B.4 实例2
B.4.1 介绍
与导致较低SIL的结果相类似的例子。
B.4.2危险情况
蒸汽加热反应器的温度控制出现故障并且蒸汽控制阀全开。
B.4.3 SRS和SIL
安全要求规范:如果批处理反应器压力超过10巴,在20秒内,关闭到反应器的反应物“A”进料,以避免发生放热反应。操作员没有必要采取行动。要求的SIL为2。
B.4.4系统结构
系统组件:压力传感器配置、逻辑解算器配置、最终元件配置。已在使用中验证的智能传感器可直接与逻辑系统的输入连接。紧急截断阀与电磁阀连为一体并直接连接到逻辑系统的输出上。所有MTTF数据均来自实际操作经验。
可利用仪表:
● 压力传感器符合IEC 61511-1中的11.4.4条款:MTTF 105 h,DC=70%,SFF=90%,每年验证测试间隔 MTTR=8 h。
●紧急截断阀符合IEC 61511-1中的11.4.4条款:MTTF 2,5 X 104 h,DC=0%,SFF=60%,每周的验证测试间隔 MTTR=8 h。
单一元件 PFD
● 传感器:2,2 X 10-3 (见条款A.1)-可接受。
● 逻辑解算器(冗余):包括(来自证书)的I/O 接口,1,3 X 10-4 。
● 阀:见以下内容 (见条款A.1中的公式)。
单个传感器的PFD
用于1选1传感器结构的PFD:2,2 X 10-3
检查IEC61511-1的表6,实际容错=0→SIL2-可接受。
单个的最终元件PFD:(见条款A.1中的公式)
PFD=λD X tCE ,λD=1/(25 000 X 2), tCE=168/2+8
1选1最终元件结构的PFD为:1,84 X 10-3。
检查IEC61511-1的表6和条款11.4.4,实际容错=0→SIL2-可接受。
B.4.4.1 PFD检查:传感器+逻辑解算器+最终元件
(2,2+0,1+1,8)X 10-3=4,1 X 10-3<10-2
B.4.5 与额外结构相关的安全软件
最终元件组态软件:
当通过安全程序命令安全输出动作时,该蒸汽阀输出掉电。
另外,写入监测软件,此监测软件可证明每次(一批一次,一般每隔8小时一次)操作阀时,阀都能够达到安全状态。如果出现测试故障或自上次测试起经过的时间已超过168多小时,那么逻辑解算器输出处于安全状态(紧急截断阀关闭)而且在这一条件下报警。在PFD计算中,该自动测试容许将验证测试时间间隔设定到168小时。
附录C(资料参考)
安全PLC的应用特点
以下是使用SIS应用中的小型安全PLC(例如,小于150I/O)时,集成器应考虑的一些关键步骤。该内容在最初设计计划期间会对读者有所帮助。
安全PLC是符合IEC61508系列标准,经过认证的SIS逻辑解算器。对于特定的安全应用,将传感器和最终元件连接到SIS逻辑解算器I/O端子并执行应用程序。SIS逻辑解算器故障的所有安全功能(例如:在线检查、时间控制)属于内置系统的一部分。在应用软件中执行传感器和最终元件的必要检查;对于一些功能,配有已获准的功能块。
配有所有设备的安全整体性数据(例如:PFD,SIL要求等)。在逻辑解算器手册中提供了逻辑解算器的安全整体性数据。
C.1 系统
逻辑解算器是一个PLC,是专为安全应用而设计的。其类型已审核通过,符合IEC61508系列标准,SIL级别最高可达到SIL3。该逻辑解算器有输入和输出接口,用于与安全相关的工艺信号,以及与其他安全PLC之间的通信。同时它还配有用于非安全方面信号和通信的接口,该系统包括:
●CPU,该CPU具有功能安全、特殊操作系统和内置式控制故障功能等特殊硬件特点(用于应用编程和软件集成,集成的冗余由开发系统覆盖,编程者仅能看见一个CPU)。
●有限可变性语言的开发系统(例如,功能块图)
●已获准的功能块库
●安全仪表功能参数的专用组态工具
●确认已下载运行时间的应用软件和资源应用软件具有相同的工具。
●安全手册
| 应用软件 | ||||||
| 硬件 | ||||||
| 传感器 | 最终 | |||||
| 逻辑解算器 | 元件 | |||||
C.2 工作流程
a)安全要求规范符合该标准:以下内容要重点考虑:
1)所有安全仪表功能的规范;
2)模拟输入范围;
3)传感器和最终元件的在线诊断定义;
4)一旦检测到故障模式时有关系统反应的说明;
5)安全仪表功能参数的定义(例如,最长循环周期、比较输入差异的最长容许时间);
6)安全手册的
b)应用软件安全要求规范必须来自a)
在安全手册中说明了逻辑解算器硬件(PLC)的安全要求。条件主要是指诸如性能范围、 存储大小和响应时间各项要求。
在安全手册中说明了软件结构和执行标准的条件。这些条件是指PLC的开发系统。 大多数条件是通过有限可变性语言的形式来体现。
c)应用软件结构设计:应用结构设计必须密切反馈安全仪表功能和工艺规定的操作模式。
d)应用软件开发:通过使用现有功能块来方便应用软件的开发。
e)集成:集成包括组态数据和应用软件的下载(例如,I/O表)以及所有参数的设定,这些参数不同于缺省设定值。
确认:在系统集成之前或之后确认应用软件。该确认通过开发环境来支持。
附件D(资料参考)
SIS逻辑解算器应用软件开发的方法举例
本实例说明一个专用的SIS逻辑解算器集成器如何为用户开发安全应用软件。一般按以下章节所讨论的整个系统集成过程的一部分来开发该软件。
因为要强调的是安全应用软件开发方法,所以讨论过去都用来开发应用程序的应用软件开发工具、编程语言和编码标准是重要的。该讨论的目的是提供典型的SIS逻辑软件开发工具、编程语言和相关语言翻译程序的实例。
逻辑解算器配有支持许多IEC61131-3语言的应用编程软件开发工具。IEC61131-3标准为可编程逻辑控制器的通用编程确定了许多语言。因为IEC61131-3标准不重点说明安全应用,做出决定如下:
● 使用工艺部分共用的有限可变性语言;
● 去除不适合安全应用的语言结构;
● 使用编程标准,以进一步关键应用中的语言结构;
● 结合存取安全和文件保护的特点
● 提供IEC61131-3功能、功能块和与工艺相关功能的认证程序库(例如,模拟数据处理、火灾和气体传感器)
● 提供应用编程软件开发工具、程序库和语言翻译程序的第三方认证。
以上决定在第D.2条款的应用开发软件有详细讨论。
在第D.3条款中讨论SIS逻辑解算器程序员使用的编码标准实例。在第D.4条款中讨论软件开发工具应考虑的额外要求。
D.1 整个系统集成过程的总结
与SIS逻辑解算器一起提供的主要安全仪表系统集成服务包括许多行动:
a)硬件集成
硬件集成包括将SIS逻辑解算器安装到有合适端子盘的机柜中,以及将工艺信号连接到逻辑解算器I/O模块上。逻辑解算器和现场设备的电源和配电也包括在内。
b)应用逻辑的确定
SIS逻辑解算器集成服务也可与用户工程师紧密合作来确定详细的逻辑。确定每一安全仪表功能的应用逻辑要考虑传感器和最终元件的冗余。确定当工艺正在运行时SIS测试和维修的接口,以满足用户操作的要求。该服务也包括额外的非安全关键逻辑,但是要严格地进行隔离并按照与安全功能相同的标准进行设计。
c)应用软件的实施和硬件的配置
用SIS逻辑解算器安全认证应用软件开发包来组态SIS逻辑解算器I/O和通信硬件。同样也要执行和测试每一安全仪表功能的应用软件和非关键应用软件。
d)工厂验收测试
在装船并运送到装置之前,许多用户要做工厂验收测试,检查硬件和应用软件的操作是否正确。由用户工程师和其他操作人员彻底测试硬件和应用软件。
e)在用户现场安装SIS
在装置现场提供供货商安装服务或监督安装服务。
f)现场验收测试
检查进入SIS逻辑解算器的每一个传感器和最终元件是否运行和校验正确。重新测试诸如整个应用软件、维修旁路功能等各项内容。
g)应用软件和硬件修改
首次安装和操作之后,用严格的装置审批修改程序对应用软件和硬件进行修改。
D.2 SIS逻辑解算器应用开发软件
正如前面所提到的那样,SIS逻辑解算器使用应用开发软件包是以IEC61131-3语言为基础的。该软件支持三种IEC61131-3语言:结构文本、梯形图和功能块。对于每一种语言,有的编码标准是必要的。因为说明清单类似于汇编语言,且不适合于应用编程器,所以该软件没有说明清单。这与IEC61508-7的表C.1相一致。
根据与IEC61508-3要求(7.4.4和表A.3)和IEC61508-7(条款C.4)相一致的IEC61131-3语言定义, 加入许多额外的条件。它包括以下内容:
IEC 61131-3 标准定义了20种数据类型 (BOOL, SINT, INT, DINT, LINT,USINT, UINT, UDINT, ULINT, REAL, LREAL, TIME, DATE, TOD, DT, STRING, BYTE, WORD, DWORD, LWORD)。 必须注明它仅为8个整数数据类型。这些数据类型也需要许多转换和截断函数的支持。对于安全应用来说,以上许多数据类型是没有必要的。所支持的数据类型限定为11种。对于特殊的语言,所提供的选择数据类型有BOOL, INT, DINT, DWORD, REAL, LREAL, STRING, TIME, DATE, TOD, 和 DT。这一决定与IEC 61508 的建议一致,以了语言的子集 (见IEC 61508-3中的表A.3)。
由于IEC 61508-3图解执行控制元件(例如,无条件跳闸、有条件跳车、无条件返回和有条件返回)可以导致所执行的元件出现回路和意外的旁路,因此不支持使用该元件(IEC61508-7条款C.4.6)。
因为许多结构文本语言语句(例如,FOR…END_FOR, WHILE…END_WHILE 和 REPEAT…END_REPEAT)可导致回路,所以在此不支持以上语句。
利用条件的目的在于该语言不容许将多个程序写入相同的全局变量中。许多程序可读出全局变量,但为了防止矛盾和重写,只有一个程序可以写入全局变量中。另外,如果意外地编入了多个写入,应用编程软件会提供报警。
编程软件应清晰地定义程序中所有元件的执行顺序。该语言有确定执行顺序并在每一可执行元件上显示执行顺序的运算法则。
编程软件应有分隔安全关键软件和非安全关键软件的规定,该软件还使编程人员能够定义安全程序和非安全程序。同时还能定义安全和非安全变量。不能将非安全程序写入安全变量中。
a)已发现使用VAR_IN_OUT变量非常容易使绝大多数应用者感到迷惑。使用VAR_IN_OUT变量需要自始至终地做记录,否则编程语言不支持这些变量。
D.3 应用编程人员的编码标准
为了确保安全应用软件的开发,必须为应用编程人员建立编程标准。以下是开发具有该特定开发软件的应用软件时,应用编程人员所用的指南:
a)应用软件应使用有限可变性语言(功能块图或梯形图),以执行安全仪表功能。即便是这些语言,也必须进行。(见D.2条款的语言子集)
b)结构文本(ST)是完全可变性语言,必须其使用。如果可能的话,必须将其使用到执行功能和功能块。执行这一可使不精通编程的操作人员理解安全程序。
c)必须将程序的大小到合理的大小。不同工艺装置的安全仪表功能应在不同的程序中。理想状况下,一个程序应只包含一个工艺装置较少的安全仪表功能。
d)应避免混淆现象。例如,如果编程软件支持阵列,使用阵列的程序应对阵列指示器进行检查,以确保其在有效范围内。
e)如果应用包括非安全关键逻辑和安全关键逻辑的话,非安全关键逻辑必须位于的程序中并且使用程序中的规则。
D.4 用于安全应用的组态/编程和运行时间系统的其他要求
应用编程软件具有许多容许用户存取SIS逻辑解算器信息的特点。然而确保已开发软件的安全和容许用户检查该软件运行是否正常是必要的。现将一些特点概括如下:
a)编程软件提供了安全系统,它可所有用户仅使用与其职责相当的那些功能(例如,公司经理、现场经理、项目经理、项目工程师、高级工程师、程序员和操作工)。每一个用户输入其姓名和密码后进入系统,在分配好的功能等级范围内工作。因为用户公司可能想将更改安全程序这一职能为现场的几个人,故安全系统同时也提供了安全编程用户等级,也为非安全编程提供了另一等级。
b)提供了保护或锁定功能和程序库,程序员不能访问或改变功能和程序库。这就保证不能修改已认证或彻底测试的程序库,除非通过正式的修改请求加以审批。安全系统为用户确定了可以存取和改变程序库的高级人员(一般是公司经理或现场经理)。
c)编程软件也提供了有关正在开发项目的所有元件的版本号。系统组态、功能、功能块或程序的变更将会导致那一元件的版本号也发生了变化。这就使用户迅速知道他们的文件是否已过期并使用户将精力集中在已修改项的测试中。同时还包括版本比较功能,这样用户就可检查所有变更、包括非预期的变更。这些比较功能必须包括通用位号数据库和程序执行清单的所有变更。
d)该软件通过计算和检查所有数据流的循环冗余检查来保证文件的安全性。该数据流保存在应用项目的复合文件结构中。
e)SIS逻辑解算器提供到其诊断信息的存取,因此程序员可根据逻辑解算器状态来采取合适的行动。
f)SIS逻辑解算器提供运算例外情况的运行时间环境,因此程序员要检查运算过程是否正确。
g)编程软件在编程工作站上提供模仿所有已开发程序的能力。这样,在下载已开发软件进入SIS逻辑解算器之前,使程序员检查所有已开发软件是否离线。当该系统运行时,对在线程序进行变更, 这一特点应具有强制性。
h)该软件支持用于到仿真软件接口的DDE(动态数据交换)。在下载应用软件进入安全控制器之前,它提供了对应用软件进行额外离线测试的能力。
D.5 假设
本条款讨论了与硬件和软件的相关的假设(该硬件和软件用来开发应用软件)。也讨论了记录和程序。
1)假设第三方已对SIS逻辑解算器和其相关的I/O模块进行了评估并发现它与IEC61508系列标准相符。由第三方授予的IEC61508系列标准证书的范围是为了在SIL3安全仪表功能中将SIS逻辑解算器和其相关的I/O模块用作组件。
2)假设这些语言是IEC61131-3功能方框图(FBD)、梯形图(LD)和结构文本(ST)语言的可变性子集。在应用库中提供的所有功能和功能块有一种属性,该属性可确认功能是否用于安全或是否将其仅为非安全。只有具有安全属性的功能和功能块可以用来在指定具有安全属性的应用程序中执行安全仪表功能。指定具有非安全属性的应用程序可以使用具有非安全属性和安全属性的功能和功能块。
3)假设所有具有安全属性的功能和功能块的支持IEC61131-3编程语言和程序库都已认证,并符合IEC61508系列标准。
4)假设在用户资料中提供了所有认证机构和操作程序。
5)假设对于SIS所有元件的定期测试,维修超弛的方法一般是必要的,这样在工艺不停车的情况下仍可进行在线测试。
6)假设使用ISO9000或等同程序执行所有系统集成功能。
附录E (资料参考)
为安全组态PE 逻辑解算器来开发外部组态诊断的实例
已在使用中验证的PE逻辑解算器已证明PE逻辑解算器设计中有充足的诊断。该诊断基于软件和硬件,必须包括整个逻辑解算器,例如,输入模块、主处理器、输出模块和通信。
可使用以下方案,为安全组态PE逻辑解算器提供诊断。
E.1 内部组态诊断
加工工业专业的PE逻辑解算器有内部组态诊断。在本附件中这些诊断是指内部监视计时器(IWDT)。IWDT包括PE逻辑解算器中由制造商提供的软件、硬件和通信诊断子系统。
在SIF应用中,PE逻辑解算器应为PE逻辑解算器的所有元件提供诊断。一个IWDT系统可提供从输入或输出卡的停车到系统整个停车的用户可选项。IWDT诊断检查那些逻辑解算器制造商认为最重要的项目。IWDT可以包括:
●潜在的公共模式故障,在该故障中由于与逻辑解算器具有相同的原因,IWDT故障,从而导致IWDT不能执行其诊断功能;
●执行不可能为用户提供与逻辑解算器的故障状态相关的诊断信息。
●不能监控整个PE逻辑解算器,包括I/O,主要处理器和通信。
●不能监控应用软件模块和执行。
E.2 外部组态诊断
●为了使PE逻辑解算器执行安全仪表功能,IWDT潜在的可能要求增加外部监视器(EWDT)。使用EWDT决不能消除安全仪表功能对IWDT的需要。
●以旋转脉冲计(rotopulsor)监控器或电子计时器为例,频繁使用EWDT设备。以最基本的形式,在PE逻辑解算器的应用软件中,应用逻辑持续脉冲EWDT。通用的理念是为(关键存储位置中普遍的)几组指令进行编程,以产生合适区域的方形波。图E.1是显示PE逻辑解算器的脉冲输出和EWDT输出的计时图。
●该方形波在正确计时程序中,驱动PE逻辑解算器输出为on(开)和off(关),该程序保持EWDT输出上电。注意EWDT一般都有内置式可调节开延迟和关延迟的计时器功能。设定EWDT的开延迟和关延迟的计时器设定值,这样就不会发生继电器的超时现象。如果EWDT超时,就无EWDT输出且SIF可能停车和/或报警。该方形波中的脉冲随着方形波发生器中的应用程序的变化而变化。
●当进行EWDT诊断时要额外考虑的设计特点,即:
●EWDT的PE逻辑解算器方形波的产生利用了SIF应用软件中所使用的相同指令组。
●监控逻辑解算器输入母线状态的专用PE逻辑解算器输入,旨在检测异常操作。
●分配横跨PE逻辑解算器不同存储位置的EWDT程序,可最好地监督整个存储功能。
-将所产生的方形波传送到整个PE逻辑解算器通信系统,以提高PE逻辑解算器的通信诊断能力。
●可能需要复位按钮。如果在开工或停车时使EWDT连锁,那么需要复位按钮。在设计复位电路时,既要考虑EWDT还要考虑IWDT。
●可能需要测试按钮。用测试按钮确认EWDT功能可能很理想。
●监控逻辑解算器的输出母线状态的专用PE逻辑解算器输出,旨在检测异常操作。
●浪涌抑制器,它可从任何电子-机械继电器触点来抑制对电子的感应交互作用。检查对额外电源线整理要求的应用情况,具体如下:
●低压保护
●电噪声抑止
●电击保护
●报警开发,旨在确定EWDT和IWDT初始化。
E.3 参考
CCPS, “化学工艺安全自动的指南”, AIChE(美国化学工程师协会), 345 East 47th
(图见原文)
PE逻辑解算器的脉冲输出 闭合(on)
断开(off)
EWDT输出 on
Off
键
(1)闭合控制电路可使输出上电。
(2)在设定时间间隔(假定是1秒)完成之前,断开和重新闭合控制电路使EWDT输出持续上电。只要监控脉冲在每一设定时间间隔内持续提供至少一个传送,输出就保持上电。
(3)如果所监控的控制停留在on位置的时间长于预设定时间(③),EWDT输出就掉电。
(4)如果所监控的控制停留在off位置的时间长于预设定时间(④),EWDT输出就掉电。
图 E.1 - EWDT计时图
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
