拥有SIL认证的隔离器及安全栅
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
拥有SIL认证的菲尼克斯电气第四代MACX系列隔离器及安全栅
—现代信号隔离器确保安全
作者-Heinrich Käuper, 编译-孟昭晋
近年来,自动化行业发展迅猛,市场规模不断递增。伴随着应用市场对自动化产品各方面要求的不断提升,自动化行业在安全、标准化等方面要求也越来越高。 其中,可以确保自动化产品的高可靠性,高安全性的功能安全认证,已经成为国内企业必须面对的一项非常重要的工作。
目前全球相关行业和安全领域内,如石油化工、铁路信号、汽车电子、核电等领域,相关安全控制设备或者系统必须具备功能安全认证,已经成为了安全监管机构甚至业主在采购设备时的强制要求。
以过程行业为例,如果过程行业工厂和系统存在对人和环境的潜在危险,那么它们的仪表、控制技术和控制设备必须满足特殊的要求。下文将以MACX Analog Ex系列安全栅为例对防爆(Ex)和功能安全(SIL)的共同特点和区别进行讨论。(图1)
图1、MACX Analog Ex系列安全栅
在过程工厂和系统中,与防爆和功能安全相关的测量经常同时发生,并且相互补充。但是,它们又具有共同点,那就是保护生命、健康和环境以及物资。
使用本安保护类型的设备可以安全避免潜在爆炸区域的点火源
控制仪表和自动化技术的防爆是基于安全可靠的避免潜在爆炸区域(次级防爆)的点火源。众所周知并且已经被证明的最佳方式是本质安全保护。这是因为本质安全回路的低能量水平可以允许工作状态下的测量和改造。本质安全要求对于仪表的功能和控制回路的运行不是决定性的,但是仍可在故障条件下实现安全可靠地实现防爆测量。
本安保护的原则是安全限制馈入潜在爆炸危险区域的能量,这样不会有电火花或不允许的温升出现。用户要实现“本质安全”必须搭建完整的本质安全回路,这包括安装在危险区域的本质安全设备,本质安全关联设备和本质安全连接线缆。此外,本安信号隔离器可以在故障条件下保持本质安全所定义的参数。这些参数包括无负载电压、短路电流和最大功率等。但是,这些值限制了连接的电感和电容大小,因为电容值决定了电缆的长度。创新的本安信号隔离器,如MACX Analog Ex,避免自身带来最高的电容值(Co)(图2)。
图2、本质安全防护
本质安全功能与设备的器件水平有关,它确保了本质安全的各项限制参数的实现,这些参数也符合
EN 60079-0和EN 60079-11的设计规范。由于设计时安全系数的考虑,具有本安认证的器件有很长的使用寿命,两倍甚至三倍于普通器件,它们有更高的能量储备(如考虑热负载容量)、大的空气爬电距离。 为了满足Category 1G/D的要求,用于防爆0区的安全设备必须保证其必需的安全水平,甚至当两个可数故障或许多不可数故障出现时,如它们必须防止爆炸氛围的点火源。功能方面,如压力、温度、阀门开关测量没有考虑在内。
随着电子、电气、可编程电子器件和软件系统在自动化控制领域的大量使用,生产自动化程度和生产效率有了明显提高。但由于研发人员技术知识结构的缺失,以及企业在开发制造中风险管理意识的不足,自身安全性能存在缺陷的产品大量流入相关行业中,其可靠性问题已经造成人身安全、财产损失和环境危害等诸多影响,给社会带来了无法挽回的损失。
设备/系统危险故障残留风险
功能安全的定义是:无论零部件或者整体系统发生的失效是随机失效、系统失效还是共因失效,都不会导致安全系统的故障,进而不会对人员或者环境产生危害,那么这个系统在功能上就是安全的。功能安全描述了工厂安全或取决于安全系统正确功能的保护水平的部分。作为最小化风险的设备,如果危险情况发生,其保护水平任务是达到或维持一个工厂或系统的安全状态。如果需要,安全功能必须可靠的被执行,这意味着保护系统的危险故障概率必须尽可能的低。
如果仪表和控制信号是防爆工厂或系统结构(安全仪表系统)内保护水平的一部分,那么考虑到本安测试的可用性和可靠性,用户必须限制信号传输。全球有效的IEC61508标准和IEC61511过程行业应用标准正是源于此,标准规定了基于故障概率已确认的残留故障数量。与较前的DIN V19250和DIN V19251标准相比较,新增了从传感器到执行器安全安装的描述,并且进一步明确,关注的是组织的措施,如人员的定期的功能检查和测试培训。IEC标准包含了整个安全生命周期,从最初的概念规划到执行、安装和试车进一步到运行、服务和维护及停止使用。
EN60079不同的子标准根据保护等级定义了用于防爆的纯硬件测量,而IEC61508是通过选择的故障数据分析来评价硬件。关键的数据通过整个信号链进行评估。安全完整性水平取决于工厂运行风险分析的一部分,它分配一个故障限值给安全功能。安全水平分为四级,最高是SIL4,最低是SIL1。每一级对应安全功能中不同故障概率的范围。在过程行业,测量回路更多的执行SIL2,很少SIL3,如果执行SIL3,通常用于冗余组态。 SIL4从未应用过,因为它不能仅通过仪表和控制测量单独实现。(图3)
图3、根据IEC 61508的设备分类
正确设计安全为导向的测量回路所需要的重要的关键参数
功能安全认证除考虑常规的电气安全、EMC电磁兼容性能之外,会额外对硬件的PFD、HFT、SFF、SIL等级等参数进行评估,这些参数,制造商会连同设备文件(安全手册)一起提供。除此之外,安全手册包括
FEMDA结果(失效模式影响和诊断分析)。例如,硬件-如果可用-固件结构和所有设备器件都在FMEDA另外会对整体开发流程、硬件结构、软件构架等方面进行全方面的验证。
∙PFD (要求时平均失效概率)
一个最重要的关键参数是危险失效概率,PFD,它由低要求操作模式所决定。这也说明了安全功能不被执行的平均概率。这种情况仅出现在危险情况下,安全功能确实被要求时,为了监控系统在一个定义的、安全的状态下运行。进一步说,安全功能每年被要求只能小于等于每年一次。通常,化工行业工厂的保护系统运行在很低的要求概率。
∙PFH (每小时危险失效概率)
另一方面, PFH – 每小时危险失效概率 – 应用于高要求或连续操作模式。这是保证被监控系统永远保持正常和安全状态下的主要因素。(例如,监视机器速度)
∙SFF (安全失效分数)
91.3%意味着100个安全功能故障中91.3个是非关键故障。通过自测试实现故障检测,相应的响应能力也起着重要作用。和自动检测到或检测不到这些故障的可能性一样,危险和非危险故障也有区别。在此情况下,本安MACX Analog Ex系列温度变送安全栅中,除实际的信号传输功能之外,诊断功能也一直在运行,用于检测不正确的状态。
∙HFT (硬件故障裕度)
HFT提供系统所能容许的故障数量。HFT值为0,表明是单通道应用,如果只有一个单独故障出现,就会引起安全功能丧失。
∙A类和B类设备
进一步说,当评估安全性时,在“简单”和“复杂”设备。“简单”的A类设备器件故障-如纯模拟量4-20mA本安馈电隔离器,型号MACX MCR-EX-SL-RPSSI-I可被完全定义。另一方面,“复杂”的B类设备器件故障,如本安温度变送器MACX MCR-EX-SL-RTD-I的微处理器和固件,并不被完全知道。
如果根据IEC61508研发和认证本安信号隔离器,硬件和软件要全部进行评估,同时,所有的故障避免和故障处理措施必须在研发、生产和运行(安全生命周期管理)时考虑在内。这些措施对产品质量的提高具有重要意义。
低PFD组件有益于接口产品
完整的安全回路的PFD是源于所有独立器件的PFD之和。如本安保护类型,如果进行完整的本质安全测量回路设计,需要实现功能安全,那么完整的以安全导向的测量回路必须进行评估。一个独立的设备没有SIL认证,但是因为它的安全参数符合要求,可用于安全导向测量回路,例如,根据SIL2,PFD值在1 x 10-3 和 1 x 10-2之间,(如图4所示安全回路(安全控制回路)常见故障分布),对于SIL2,所有PFD之和不能超过0.99 x 10-2,然而本安温度变送器不能超过10%的总PFD(图4),如MACX MCR-EX-SL-RTD-I 温度变送安全栅PFD值为9.1 x 10-4,远远低于全部PFD的10%。对于用户,可以带来的好处是,规定的测试间隔可以灵活的延长至最多7年。