摘要：用戶在部署安全儀表系統(tǒng)（SIS）之前，需要對(duì)儀表制造商的產(chǎn)品進(jìn)行第三方機(jī)構(gòu)的安全等級(jí)評(píng)估。這個(gè)工作可以減輕用戶用于安全應(yīng)用的儀表證明文件的負(fù)擔(dān)。本文敘述了四種評(píng)估儀表產(chǎn)品的方法。

　　終用戶必須謹(jǐn)慎地選擇用于安全儀表系統(tǒng)（SIS）應(yīng)用的所有儀表設(shè)備。所有要用的儀表設(shè)備必須仔細(xì)的驗(yàn)證。證明文件應(yīng)該包括足夠的信息，使用戶具有足夠的信心，保證儀表系統(tǒng)能夠很好地實(shí)現(xiàn)安全功能。儀表系統(tǒng)必須能夠執(zhí)行所有提出的功能要求，儀表使用的材料必須兼容流程材料，并且具有使用的經(jīng)驗(yàn)。流程環(huán)境條件不能超過(guò)儀表系統(tǒng)的額定參數(shù)。對(duì)儀表的功能安全必須進(jìn)行評(píng)估，所有證明結(jié)果必須成文，做為項(xiàng)目記錄的一部分。

　　功能安全評(píng)估

　　IEC 61511是用于流程工業(yè)的功能安全標(biāo)準(zhǔn)，要求用于安全儀表系統(tǒng)的設(shè)備必須基于 IEC 61508 、滿足相應(yīng)的SIL等級(jí)或者基于"以往使用"的證明（IEC61511,部分1,段11.5.3）來(lái)選擇。不幸的是，IEC61511 標(biāo)準(zhǔn)沒(méi)有給出詳細(xì)的規(guī)范，表出 "以往使用"的實(shí)際內(nèi)容是什么。然而，大多數(shù)人同意，如果用戶企業(yè)已有多年成功經(jīng)驗(yàn)的文檔（無(wú)危險(xiǎn)失效），已經(jīng)使用過(guò)某種儀表的特定版本，能夠提供使用這種儀表的證明，甚至沒(méi)有安全也可以接受為"以往使用"的證據(jù)。大多數(shù)人同意，以往使用需要在每個(gè)站點(diǎn)對(duì)系統(tǒng)所有現(xiàn)場(chǎng)的失效和失效模式進(jìn)行記錄。儀表的硬件和軟件版本必須與設(shè)計(jì)保持一致，否則以往使用的經(jīng)驗(yàn)是無(wú)效的。操作條件也必須記錄，并且要與設(shè)計(jì)的安全應(yīng)用相似。當(dāng)然，采用以往使用證明的問(wèn)題是很多流程現(xiàn)場(chǎng)不能保持記錄的水平?，F(xiàn)在，很多用戶希望制造商能幫助他們提供證明。其實(shí)，第三方的評(píng)估師可以更公正的對(duì)儀表制造商進(jìn)行不同等級(jí)的評(píng)估。當(dāng)用戶試圖證明某個(gè)儀表用于安全應(yīng)用，這項(xiàng)工作可以幫助用戶減少制作文件的負(fù)擔(dān)。市場(chǎng)上，對(duì)儀表產(chǎn)品的評(píng)估有四個(gè)等級(jí)：

　　1.根據(jù) IEC 61508 標(biāo)準(zhǔn)對(duì)硬件進(jìn)行失效模式影響和診斷分析（FMEDA）

　　對(duì)硬件的分析被稱為失效模式影響和診斷分析（FMEDA），它決定了一個(gè)儀表的失效率和失效模式。一個(gè)FMEDA是對(duì)一個(gè)硬件進(jìn)行詳細(xì)分析的過(guò)程，是對(duì)幾十年來(lái)發(fā)展和證明的傳統(tǒng)失效模式影響分析（FMEA）過(guò)程的擴(kuò)展。

　　這項(xiàng)技術(shù)首先在電子設(shè)備上應(yīng)用，近年來(lái)擴(kuò)展至機(jī)械和機(jī)電設(shè)備。

　　這些設(shè)備的失效率現(xiàn)在用安全失效分?jǐn)?shù)（SFF），診斷覆蓋率（DC）和要求時(shí)的平均失效概率（PFDavg）來(lái)計(jì)算。這些對(duì)硬件設(shè)備的評(píng)估為安全儀表工程師提供了 IEC 61508 / IEC61511 要求的失效數(shù)據(jù)。有些評(píng)估師還進(jìn)行生命周期的分析，給安全儀表工程師提供機(jī)械損耗和到退役的時(shí)間周期。有些 FMEDA 分析還擴(kuò)展到了給出檢驗(yàn)測(cè)試方法的效果評(píng)價(jià)。這為安全儀表工程師提供了檢驗(yàn)測(cè)試的覆蓋因素，比PFDavg 的計(jì)算更實(shí)際。

　　很多用戶認(rèn)為這個(gè)等級(jí)是一個(gè)第三方評(píng)估的基本、的等級(jí)。當(dāng)這個(gè)評(píng)估等級(jí)結(jié)合用戶的詳細(xì)評(píng)價(jià)和以往使用經(jīng)驗(yàn)后，對(duì)有些公司的安全儀表系統(tǒng)應(yīng)用中的儀表選擇已經(jīng)足夠了。

　　2.按照 IEC 61511 中以往使用的考慮

　　有些制造商正在幫助用戶對(duì)他們以往使用的設(shè)備評(píng)估提供更多的信息。有些制造商已經(jīng)有第三方對(duì)已有設(shè)備現(xiàn)場(chǎng)失效記錄的評(píng)估。考慮了歸因于硬件和軟件的失效分布。評(píng)估還應(yīng)該有從現(xiàn)場(chǎng)收集的流程和產(chǎn)品更改的數(shù)據(jù)。

　　從第三方評(píng)估師提供的以往使用，可以幫助儀表設(shè)計(jì)師證明特定儀表的使用符合IEC61511以往使用的標(biāo)準(zhǔn)。然而，對(duì)來(lái)自不同設(shè)備提供商的相似申明，需要進(jìn)行仔細(xì)的復(fù)審， 確保他們可以用于特定的應(yīng)用。以往使用數(shù)據(jù)必須顯示環(huán)境的限制和應(yīng)用的限制。因?yàn)橹圃焐滩粫?huì)實(shí)際"使用"設(shè)備，以往使用方法必須依靠用戶收集的數(shù)據(jù)。用于收集、和分析這些數(shù)據(jù)的方法必須認(rèn)真地復(fù)審。當(dāng)現(xiàn)場(chǎng)失效記錄用于計(jì)算失效率時(shí)，對(duì)記錄的內(nèi)容必須非常仔細(xì)地審查，因?yàn)楝F(xiàn)場(chǎng)失效經(jīng)常不。

　　大多數(shù)人同意：來(lái)自以往使用的信息，在這種設(shè)備核準(zhǔn)用于安全儀表系統(tǒng)應(yīng)用前，必須結(jié)合用戶的詳細(xì)評(píng)價(jià)和特定的工廠經(jīng)驗(yàn)。

　　3. 結(jié)合 FMEDA 和使用證明評(píng)估，用嚴(yán)格定義的標(biāo)準(zhǔn) – exida公司的使用證明

　　exida 公司已經(jīng)定義特定擴(kuò)展標(biāo)準(zhǔn)用于"使用證明" （Proven in Use）評(píng)估，能夠簡(jiǎn)單地實(shí)現(xiàn)現(xiàn)場(chǎng)失效分析和更改過(guò)程復(fù)審。這個(gè)方法結(jié)合了硬件 FMEDA 分析和按嚴(yán)格書(shū)寫(xiě)標(biāo)準(zhǔn)收集現(xiàn)場(chǎng)性能的詳細(xì)研究。當(dāng)硬件失效率和失效模式分析結(jié)合現(xiàn)場(chǎng)失效性能的評(píng)估，獲得更高等級(jí)的信心。它還包括的是制造商現(xiàn)場(chǎng)返回過(guò)程的評(píng)估，工程改變、變更流程和制造商安全文件。這種方法傾向給用戶提供有用信息，結(jié)合特定用戶應(yīng)用多年的經(jīng)驗(yàn)，為特定的流程提供證明。

　　4. 依照 IEC 61508 進(jìn)行完整評(píng)估

　　選項(xiàng)4是按照IEC61508的要求進(jìn)行完整地評(píng)估。完整的評(píng)估包括所有的上述區(qū)域并且加上一個(gè)在硬件和軟件開(kāi)發(fā)期間，詳細(xì)的測(cè)試、變更、用戶文件和制造過(guò)程所有失效避免和失效控制測(cè)量的評(píng)估。

　　一個(gè)依照IEC61508的完整評(píng)估是一種有效的全面評(píng)估。不幸的是，它變得越來(lái)越必要，并且更多的軟件加入進(jìn)儀表系統(tǒng)。由于設(shè)計(jì)錯(cuò)誤（系統(tǒng)錯(cuò)誤）的現(xiàn)場(chǎng)失效正不斷增加。這其中軟件的錯(cuò)誤占有了大部分。這種類型的失效是不太可能寫(xiě)入反映到制造商，因?yàn)?維修"常常是"軟件復(fù)位"或者電源重啟。因此"以往使用"或者基于返回到制造商的現(xiàn)場(chǎng)失效評(píng)價(jià)技術(shù)不是十分有效。

　　IEC 61508 的很多要求集中在使用世界的產(chǎn)品設(shè)計(jì)方法消除系統(tǒng)錯(cuò)誤。為了展示遵從IEC61508的所有要求，要展示一個(gè)產(chǎn)品的創(chuàng)建過(guò)程中失效控制和失效避免過(guò)程的廣泛應(yīng)用。這個(gè)特別設(shè)計(jì)的軟件必須能容忍軟件失效。IEC61508委員會(huì)的成員已經(jīng)定義了一套實(shí)踐方法，表現(xiàn)了很好的軟件工程實(shí)現(xiàn)。他們必須能嚴(yán)格地應(yīng)用于不同的等級(jí)，如儀表產(chǎn)品的安全功能SIL等級(jí)。

　　這個(gè)選項(xiàng)適合于新開(kāi)發(fā)的產(chǎn)品或者已經(jīng)存在的產(chǎn)品。當(dāng)一個(gè)產(chǎn)品已經(jīng)展示了遵從IEC61508的全部要求，用戶就有一個(gè)高水平的信心，因?yàn)楫a(chǎn)品是一個(gè)依從SIL等級(jí)的安全產(chǎn)品。

　　當(dāng)一個(gè)產(chǎn)品遵從IEC61508的全部要求時(shí)，使用中就像產(chǎn)品的"安全手冊(cè)"提供的沒(méi)有任何重要的"約束".一個(gè)具厚的安全手冊(cè)具有長(zhǎng)段的詳細(xì)指令列表，告訴用戶怎樣使產(chǎn)品"安全",除非這些限制由用戶已經(jīng)執(zhí)行，否則制造商的產(chǎn)品可能不滿足應(yīng)用的要求。

　　以上四種評(píng)估技術(shù)中的不同點(diǎn)在下表中給出。

　　評(píng)估標(biāo)準(zhǔn) 僅FMEDA  Exida 的FMEDA 以往使用 /IEC 61511 Exida 的使用證明標(biāo)準(zhǔn) IEC 61508

　　依據(jù)評(píng)估機(jī)構(gòu) – 不是所有機(jī)構(gòu)都能執(zhí)行詳細(xì)的分析

　　表 1: 常用評(píng)估的不同

　　評(píng)估工作通常由第三方的諸如 exida、TUV 和 FM 等執(zhí)行。一般做為儀表制造商的請(qǐng)求，兩個(gè)或多個(gè)公司將會(huì)組隊(duì)進(jìn)行評(píng)估。

　　用于安全的PLC產(chǎn)品，多數(shù)用戶需要按IEC61508進(jìn)行所有。對(duì)于大多數(shù)設(shè)備制造商來(lái)說(shuō)，具有全部的是一個(gè)基本的要求。

　　用于現(xiàn)場(chǎng)的設(shè)備，使用IEC 61508 的是比較少的。然而，隨著近的新產(chǎn)品發(fā)布，可以非常清楚地看到：將后將會(huì)實(shí)現(xiàn)變送器、甚至是閥門的全部。

　　應(yīng)該注意的是：所有這些評(píng)估技術(shù)，包括全部 IEC 61508 沒(méi)有評(píng)價(jià)一個(gè)儀表合適于某個(gè)特定過(guò)程或者過(guò)程連接的失效概率。用戶必須評(píng)價(jià)這些問(wèn)題。在安全關(guān)鍵性應(yīng)用的用法必須謹(jǐn)慎地證明。

　　做為安全儀表系統(tǒng)的設(shè)計(jì)和執(zhí)行，非常清楚的一點(diǎn)是制造商和用戶必須一起工作，才能達(dá)到功能性安全。制造商必須規(guī)定環(huán)境和應(yīng)用的限制。用戶必須把應(yīng)用中設(shè)計(jì)使用的產(chǎn)品，不超出儀表本身設(shè)計(jì)的限制?，F(xiàn)場(chǎng)可靠性和安全性能必須與制造商進(jìn)行溝通，使得任何不曾預(yù)料的設(shè)計(jì)問(wèn)題可以得到所有方面的理解和認(rèn)知。