功能安全的主要目标是预防事故。 当人们想到功能安全时,会想到诸如故障率和安全完整性等级 (SIL) 等关键词。 然而,这些话只是触及了理解功能安全的皮毛。 工厂工程师和最终用户都知道,仅使用 IEC 61508 认证设备并不能保证设计的安全,尤其是对于最终元件组装。 例如,远程驱动阀组件的现场故障报告分析表明,许多此类故障的根本原因是应用不匹配、寿命扭矩匹配不足和组装错误。 在英国进行的一项研究也支持这一点(图 1)。 认识到这些自动化阀门组件并不总是提供预期的安全性。上海迈尔斯阀门制造有限公司已率先获取SIL3认证证书,保证买一台阀门都经过功能安全性检测。让经销商买的放心,工程公司买的省心,终端用户用着安心。
组织和委员会现在正在努力应对这些挑战,并制定专门针对远程驱动阀组件 (RAVA) 的新推荐做法。 这些实践增加了与工程环、设计和完成的最终元件组件的测试相关的严格性,并已成为前进的道路。
许多制造商已开始采用这些新做法,允许将整个组件作为集成产品进行设计、设计和测试。 这种增加的严格性创造了一种新的功能安全认证形式,有可能显着减少系统故障,从而实现更安全的设计和产品。
安全仪表功能分析
对 80,000 多个安全仪表功能 (SIF) 设计的统计分析表明,近 70% 的按需故障平均概率 (PFDavg) 来自最终元件(图 2)。 PFDavg 指标表示自动保护在需要时不起作用的可能性。 设计这些自动保护系统的工程师的一个目标是降低 PFDavg 并降低误跳闸率。 误跳闸率和 PFDavg 基于几个变量,包括用于每个 SIF 的所有设备的故障率。 这些设备分为三组:传感器组件,用于检测危险情况; 逻辑求解器,决定何时启动保护; 以及执行保护工作的最后一个元素。 最后一个元件通常是一个远程驱动的阀门,可以打开或关闭。
最终用户正在寻求制造商的帮助,以降低这一百分比并使他们的工厂更安全。
影响因素
许多现场故障报告显示了由于寿命扭矩匹配不足、装配测试不足、制造错误或应用不匹配导致的根本原因。 这些自动阀门组件并不总是提供预期和必要的安全性。 通常,最终元素的要求没有足够清晰和详细地指定,以促进设计良好且可验证的子系统。 将此与自然工程过程相结合,该过程侧重于使事情正常工作,很少考虑设备故障时会发生什么。 交付的 RAVA 受到设备制造商、分销商、工程承包商、集成商、第三方供应商等的影响。存在许多误解和设计问题的机会,需要做更多工作才能将 IEC 61508 要求的生命周期工程严格性应用于 整个 RAVA 供应链。
单件 VS 预先设计的最终元件组件
通常,安全功能设计工程师会为 RAVA 选择满足工艺规范的设备。通常会选择 IEC 61508 认证的设备。然后进行组装设计,并由集成商组装设备。如何改进这个过程?
当设备(如执行器或阀门)通过功能安全认证时,需要执行大量审核和评估步骤。基本步骤之一是 FMEA(故障模式和影响分析),然后是更详细的 FMEDA(故障模式影响和诊断分析)。审查每个组件故障模式,然后识别和评估对整个设备的影响。这种关注发生故障时会发生的事情确定了使设备更好的潜在解决方案。设计工程过程也经过仔细审核,必须提供足够的设计分析和测试。这是一种行之有效的方法,适用于各个设备,但是,这种方法能否与 RAVA 一起使用以提供验证和结构?
答案是肯定的。认证评估方法适用于整个 RAVA(图 3)。已利用多个文件来获得过程自动化用户协会 (WIB)、国际标准化组织 (ISO)、美国仪器学会 (ISA)、美国石油学会 (API) 和美国学会等组织的 RAVA 认证要求机械工程师 (ASME)。这些相关标准/推荐实践的最终要求定义了一个认证方案,该方案将减少工程错误和遗漏,表征寿命扭矩并匹配执行器输出,提供完整的设计测试,并验证制造质量。该计划还需要一份名为“安全手册”的用户文档,其中提供了安全设计数据,包括应用限制、预测故障率、维护程序和有效的验证测试程序。 RAVA 计划的目标是通过减少工程错误、减少通信错误、发现和解决设计中的问题以及降低操作/维护复杂性来实现更少的错误跳闸和更高的安全性。
RAVA 认证方案不仅确保组件是整体设计的,还包括对设计参数的详细审查,以准确估算设计强度。 当制造商具有具有特殊涂层、表面光洁度和强大强度余量的创新设计时,就会获得荣誉。 当最终用户应用程序审查是组装工程过程的一部分时,应用程序不匹配的数量会减少,并且也会给予信用。
这到底是什么意思? 也就是我们故障的几率越来越小。
对 SIF 设计验证结果的影响
已完成认证的 RAVA 产品显示出较低的误跳闸率和更好的安全性,从而显着降低了整体 SIF 生命周期成本。
为了证明这一点,我们使用了一个工程工具来执行 SIF 分析(图 4),其中包含传感器、逻辑求解器和最终元件组件,包括螺线管、执行器和试图实现 SIL 2 SIF 的阀门。 两个 SIF 具有相同的设备,并且对于 SIF #1 和 SIF #2 均保持假设。 RAVA 的 PFDavg 贡献已针对 SIF #1(具有单独认证设备的传统组装)和 SIF #2(RAVA 认证组装)进行建模。 在此分析中,我们看到 SIF #1 达到 SIL 1 级别,但未达到 SIL 2 的目标。SIF #2 RAVA 达到 SIL 2 级别。
这里仍然可以考虑两种选择,以使 SIF #1 达到我们的 SIL 2 目标。 在选项 #1 中,我们可以添加额外的冗余 Final Element 组件(使其成为 1oo2 组件)。 或者使用选项 #2,我们可以将验证测试间隔 (PTI) 减少到 3 个月。 这两种选择都将显着增加 SIF 设计及其使用寿命的成本。
评估生命周期成本分析工具(图 5)中的两个 SIF 选项表明,使用 SIF #2 RAVA 认证的最终元件组装可显着节省成本。 在此示例中,总生命周期成本降低了 265,797 美元,实现了 45% 的节省。
总结
尽管远程驱动阀中使用的设备通常具有 IEC 61508 认证,但人们认识到还可以做得更多。 IEC 61508 概念可以应用于整个组件,而不仅仅是单独的部件。
在考虑整个最终元件组装时,RAVA 认证就是这样做的。这是一个可靠的评估和认证过程,可以验证、验证和记录改进的远程驱动阀门组件。或许结果会是远程驱动的阀门将不再赢得安全减少的第一名。更重要的是,最终用户将享受到更好的产品,这些产品可以显着提高安全性、减少误操作并降低整体生命周期成本。
