本文以某開關(guān)量輸入安全柵取得TUV功能安全認(rèn)證為例,介紹基于IEC 61508標(biāo)準(zhǔn)的功能安全認(rèn)證的過程,并對認(rèn)證過程中各步驟順序、各階段主要工作、德國認(rèn)證審核工程師最新要求變化等核心步驟進(jìn)行了詳細(xì)的介紹。為用于過程測試和控制裝置等產(chǎn)品取得功能安全認(rèn)證提供參考。
大約2010年左右,很多中石油、中石化單位選用設(shè)備時,在標(biāo)書中明確要求需要提供功能安全認(rèn)證證書。若沒有功能安全認(rèn)證,儀表廠商錯失了很多參與機(jī)會,大家逐漸認(rèn)識到了功能安全認(rèn)證的重要性,開始積極準(zhǔn)備功能安全認(rèn)證。相信有人也是一樣,剛接觸認(rèn)證時很茫然,不知從哪做起。本文結(jié)合開關(guān)量輸入安全柵功能安全認(rèn)證實(shí)際經(jīng)歷,介紹認(rèn)證要求、認(rèn)證流程和注意事項(xiàng)。
功能安全認(rèn)證對于現(xiàn)代工業(yè)的安全作用這里就不班門弄斧了,網(wǎng)上有許多專業(yè)文章闡述功能安全的作用。本文主要開關(guān)量輸入安全柵為例,基于IEC 61508標(biāo)準(zhǔn)進(jìn)行功能安全認(rèn)證的過程介紹。
1、防爆認(rèn)證安全柵作為防爆產(chǎn)品,若想進(jìn)入國際市場,必須符合強(qiáng)制性國際防爆認(rèn)證要求,在功能安全認(rèn)證之前需取得相關(guān)防爆認(rèn)證。很多認(rèn)證機(jī)構(gòu)都會提供IECEX防爆認(rèn)證流程的介紹。
①申請單位向IECEX體系授權(quán)的認(rèn)證機(jī)構(gòu)以書面形式提出認(rèn)證的申請,及相關(guān)產(chǎn)品文件資料。機(jī)構(gòu)受理后,申請單位與認(rèn)證機(jī)構(gòu)簽訂委托認(rèn)證合同。
②認(rèn)證機(jī)構(gòu)對申請認(rèn)證產(chǎn)品進(jìn)行防爆型式檢驗(yàn)(包括圖紙文件防爆審查和樣機(jī)試驗(yàn));審核防爆檢驗(yàn)報(bào)告。
③認(rèn)證機(jī)構(gòu)對申請認(rèn)證的制造單位進(jìn)行工廠質(zhì)量條件檢查。
④認(rèn)證機(jī)構(gòu)對型式檢驗(yàn)結(jié)果和工廠檢查結(jié)果進(jìn)行評價(jià),評價(jià)合格頒發(fā)IECEX認(rèn)證證書。
⑤認(rèn)證機(jī)構(gòu)對申請單位實(shí)施年度監(jiān)督。
實(shí)際上,因功能安全認(rèn)證審核需進(jìn)行儀表安全完整性的評估,有可能改動電路,影響防爆參數(shù);或防爆認(rèn)證審核時要求電路調(diào)整,產(chǎn)品的安全完整性需重新評估,所以推薦防爆認(rèn)證和功能安全認(rèn)證同步進(jìn)行,以免造成時間、人員、費(fèi)用等不必要的浪費(fèi)。根據(jù)大量公司取證經(jīng)驗(yàn),建議先行提交防爆認(rèn)證原理圖紙和功能安全認(rèn)證概念階段的審核,等防爆相關(guān)圖紙審核通過后,可轉(zhuǎn)向功能安全認(rèn)證的FMEA分析、FIT測試、EMC/環(huán)境測試等工作。待以上完成,原理圖和電路圖可基本確定,可繼續(xù)防爆認(rèn)證后繼的文件定稿、樣機(jī)測試、工廠審核等工作。
2、功能安全認(rèn)證
功能安全認(rèn)證流程大致可分為概念階段審核、主檢階段審核、工廠審核和德國復(fù)審及發(fā)證;再細(xì)分的話主要工作又可分為設(shè)計(jì)開發(fā)文檔管理評估,硬件可靠性計(jì)算和評估、EMC電磁兼容性測試、環(huán)境測試等。本文介紹功能安全認(rèn)證流程是以開關(guān)量輸入安全柵為例的,開關(guān)量輸入安全柵為純硬件電路設(shè)計(jì),無需軟件安全完整性的審核評估,其他的儀表可能還需要進(jìn)行軟件安全完整性的審核評估。
①概念階段
◆ 安全計(jì)劃(SP)
安全計(jì)劃中確定項(xiàng)目組織、項(xiàng)目人員及資質(zhì)、安全生命周期劃分、故障避免措施計(jì)劃、變更處理程序、配置管理等信息。
圖1 項(xiàng)目組織圖
◆ 驗(yàn)證確認(rèn)計(jì)劃(VVP)
驗(yàn)證確認(rèn)計(jì)劃中確定安全生命周期各階段驗(yàn)證活動、確認(rèn)的輸入、輸出文件和驗(yàn)證人。
◆ 安全需求規(guī)范(SRS)
安全需求規(guī)范中確定安全功能、安全狀態(tài)、輸入/輸出描述和參數(shù)、故障響應(yīng)時間、SIL安全完整性等級、安全柵在整個安全回路中所占比例(TUV推薦值10%)、安全失效分?jǐn)?shù)SFF、硬件故障裕度、檢驗(yàn)測試間隔、操作模式、環(huán)境要求等。
◆ 安全概念(SC)
安全概念中確定可靠性框圖,功能框圖(功能安全部分用不同顏色區(qū)分)各功能塊的功能、各功能塊使用的診斷措施(滿足對應(yīng)SIL等級)各功能塊診斷測試間隔、診斷后各功能塊如何進(jìn)入安全狀態(tài)。
實(shí)際上,為確保安全失效分?jǐn)?shù)滿足SIL等級,減少后期文檔調(diào)整,本司認(rèn)證的安全柵首先進(jìn)行簡單降額和FMEA分析摸底,盡可能排除嚴(yán)重的設(shè)計(jì)缺陷。
◆ 需求追蹤表(RT)
另外還有一非常重要文檔貫穿整個認(rèn)證周期,那就是需求追蹤表:安全需求規(guī)范(SRS)、安全概念(SC)以及測試計(jì)劃(TP)、測試報(bào)告(TR)等文檔中每個安全相關(guān)項(xiàng)均使用序號(SR1、SC1、TP1、TR1等)行排序,體現(xiàn)各文檔間安全相關(guān)項(xiàng)的關(guān)系,方便各個文檔間的相互追蹤。
認(rèn)證機(jī)構(gòu)的審核意見會以LOP文檔形式發(fā)給申請單位,經(jīng)過幾輪修改,LOP中認(rèn)證機(jī)構(gòu)意見全部關(guān)閉,就表示安全柵通過了認(rèn)證機(jī)構(gòu)概念階段的審核評估,認(rèn)證進(jìn)入了主檢階段。
② 主檢階段
主檢階段任務(wù):進(jìn)一步的功能、安全和環(huán)境測試,驗(yàn)證是否達(dá)到定義的安全功能和SIL等級。
◆ 降額報(bào)告
萊茵TUV要求器件降額,在2/3原則和GJB/Z 35-93中的2級降額中選擇嚴(yán)酷的一種要求執(zhí)行;本安器件保險(xiǎn)絲、齊納管等降額參照國標(biāo)GB 3836要求執(zhí)行。如有器件降額不滿足降額要求,則需重新選擇合適器件。
表1 降額
元件 名稱 規(guī)格 降額參數(shù) 手冊 要求降額 實(shí)際 實(shí)際降額 結(jié)論
電感 L1 422776156 瞬態(tài)電流(A) 0.8 0.67 0.06 0.09 pass
介質(zhì)耐壓(V) 800 0.5 30 0.0375 pass
工作電流(A) 0.4 0.6 0.03 0.075 pass
熱電溫度(℃) 85 THS-(25~10) 60.063 小于THS-(25~10) pass
電容 C1 C2012N102N101T 工作電壓(V) 100 0.6 29. 0.299 pass
最高額定環(huán)境溫度(℃) 125 TAM-10 60 小于TAM-10 pass
◆ FMEA分析報(bào)告
a、確定產(chǎn)品結(jié)構(gòu),按照可靠性框圖,將整機(jī)拆為多個功能塊。
b、選取合適的可靠性數(shù)據(jù)庫,器件失效率基準(zhǔn)值λref可通過查閱西門子數(shù)據(jù)庫SN 29500獲得,也可通過廠家獲得;參與計(jì)算的置信度要求為70%,如果廠家提供的置信度為60%,需折算:λ70% = λ60%×1.204,/,0.917
c、確定環(huán)境條件(如溫度、壓力等):FMEA分析時,需根據(jù)器件實(shí)際使用的電壓、電流、溫度等數(shù)據(jù),參照西門子數(shù)據(jù)庫,計(jì)算失效率λ實(shí)際值。
d、參照IEC 62061附錄D中器件失效模式以及各失效模式所占比例,分別計(jì)算各功能塊的失效率總和、安全失效分?jǐn)?shù)SFF,要求每個功能塊的SFF值均滿足相應(yīng)SIL等級。
表2 功能塊安全失效分?jǐn)?shù)計(jì)算
ID 數(shù)量 規(guī)格 功能 失效模式 失效影響 危險(xiǎn)判據(jù) 診斷措施 DC λ λs λD λDD λDU SFF
U6 1 MAX3256 全橋 開路 無影響或輸出失電,進(jìn)入安全狀態(tài) 0 無 0 16.4 3.28 3.28 0 0
任意兩端短路 無影響或輸出失電,進(jìn)入安全狀態(tài) 0 無 0 3.28 0 0 0
卡阻 無影響或輸出失電,進(jìn)入安全狀態(tài) 0 無 0 3.28 0 0 0
輸出寄生振蕩 安全功能丟失 1 無 0 0 3.28 0 3.28
值改變 無影響或輸出失電,進(jìn)入安全狀態(tài) 1 無 0 3.28 0 0 0
C62 2 0603 5% 濾波 開路 無影響 0 無 0 44 14.67 0 0 0
C43 CL10F101 短路 F3開路輸出失電,進(jìn)入安全狀態(tài) 0 無 0 14.67 0 0 0
值改變 無影響 0 無 0 14.67 0 0 0
Total 60.4 57.12 3.28 0 3.28 0.9457
◆ DC-診斷覆蓋率
診斷覆蓋率依賴于采取的措施,它的值約為60%、90%和99%。IEC 61508-2的表A.2-表A.15為診斷測試推薦的技術(shù)和措施。
開關(guān)量輸入雙路輸出安全柵可靠性框圖如圖3所示。根據(jù)德國認(rèn)證工程師最新要求,繼電器需作為單獨(dú)功能塊進(jìn)行考核,參與FMEA分析。電源和輸入存在共因失效,對PFD和PFH進(jìn)行計(jì)算。
圖2 可靠性框圖和PFD計(jì)算
◆ FIT故障插入測試(Fault insert Test)
FIT測試是認(rèn)證機(jī)構(gòu)用來驗(yàn)證FMEA報(bào)告的正確性。FIT測試結(jié)果如與FMEA不一致,需返回設(shè)計(jì)階段修改,或按實(shí)測結(jié)果修改FMEA報(bào)告,重新進(jìn)行安全失效分?jǐn)?shù)和失效率計(jì)算,核定SIL等級。
◆ 性能測試、EMC/環(huán)境測試
按照GB 3836要求,安全柵需嚴(yán)格進(jìn)行型式試驗(yàn);同時根據(jù)VVP要求,安全柵需進(jìn)行整機(jī)性能測試,用于確認(rèn)整機(jī)安全功能的執(zhí)行。
具有功能安全的安全柵EMC測試項(xiàng)目、參考標(biāo)準(zhǔn)及實(shí)驗(yàn)等級參照IEC 2061附錄E要求,其中靜電放電、電快速脈沖群、浪涌項(xiàng)目采取加強(qiáng)測試要求。
◆ 體系文件
有功能安全要求的安全柵,其體系文件須同時滿足管理體系和IEC 1508要求,保障安全生命周期內(nèi)各項(xiàng)工作準(zhǔn)確開展。
◆ 設(shè)計(jì)手冊
設(shè)計(jì)手冊是為實(shí)現(xiàn)設(shè)計(jì)功能而制定的基礎(chǔ)文件,包括外殼、結(jié)構(gòu)要求、原理、清單及功能等內(nèi)容,按照標(biāo)準(zhǔn)要求盡量采用圖表形式表達(dá)。
◆ 驗(yàn)證報(bào)告
驗(yàn)證是生產(chǎn)商在完成組裝后開展的自查活動,包括電氣安全符合性驗(yàn)證報(bào)告,邊界值測試報(bào)告。
◆ 生產(chǎn)要求
生產(chǎn)要求是生產(chǎn)商為實(shí)現(xiàn)功能而制定的規(guī)范,包括功能要求、安全要求、環(huán)境要求等內(nèi)容。
◆ 用戶手冊
用戶手冊是產(chǎn)品規(guī)格、功能、安裝和操作、運(yùn)行、驗(yàn)證測試等說明文件,包括安全提示、操作方法、故障排除等內(nèi)容。
實(shí)施管理文件審核的目的在于確認(rèn)實(shí)現(xiàn)安全要求的手段和依據(jù)是否充分且合理,文件內(nèi)容是否滿足安全生命周期各階段工作需要,是否能夠?yàn)閷?shí)施功能安全認(rèn)證提供審核依據(jù)。
當(dāng)以上文件全部通過審核,認(rèn)證機(jī)構(gòu)安排簽發(fā)儀表功能安全證書。
目前已經(jīng)有不少功能安全研究機(jī)構(gòu)及相關(guān)測試機(jī)構(gòu),如上海自動化儀表研究所、機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所等,均開始在國內(nèi)開展了功能安全認(rèn)證業(yè)務(wù),人員不斷增加、水平不斷提高,安全柵儀表的功能安全認(rèn)證可在國內(nèi)實(shí)現(xiàn)。每家機(jī)構(gòu)習(xí)慣、認(rèn)知等存在不少差別,建議大家還是深入學(xué)習(xí)IEC 6508,結(jié)合本公司產(chǎn)品實(shí)際情況,不拘泥樣板套路,早日取得功能安全證書。
作者:張紅云
