摘要：用戶在部署安全儀表系統(tǒng)（SIS）之前，需要對儀表制造商的產(chǎn)品進行第三方機構的安全等級評估。這個工作可以減輕用戶用于安全應用的儀表證明文件的負擔。本文敘述了四種評估儀表產(chǎn)品的方法。

　　終用戶必須謹慎地選擇用于安全儀表系統(tǒng)（SIS）應用的所有儀表設備。所有要用的儀表設備必須仔細的驗證。證明文件應該包括足夠的信息，使用戶具有足夠的信心，保證儀表系統(tǒng)能夠很好地實現(xiàn)安全功能。儀表系統(tǒng)必須能夠執(zhí)行所有提出的功能要求，儀表使用的材料必須兼容流程材料，并且具有使用的經(jīng)驗。流程環(huán)境條件不能超過儀表系統(tǒng)的額定參數(shù)。對儀表的功能安全必須進行評估，所有證明結果必須成文，做為項目記錄的一部分。

　　功能安全評估

　　IEC 61511是用于流程工業(yè)的功能安全標準，要求用于安全儀表系統(tǒng)的設備必須基于 IEC 61508 、滿足相應的SIL等級或者基于"以往使用"的證明（IEC61511,部分1,段11.5.3）來選擇。不幸的是，IEC61511 標準沒有給出詳細的規(guī)范，表出 "以往使用"的實際內(nèi)容是什么。然而，大多數(shù)人同意，如果用戶企業(yè)已有多年成功經(jīng)驗的文檔（無危險失效），已經(jīng)使用過某種儀表的特定版本，能夠提供使用這種儀表的證明，甚至沒有安全也可以接受為"以往使用"的證據(jù)。大多數(shù)人同意，以往使用需要在每個站點對系統(tǒng)所有現(xiàn)場的失效和失效模式進行記錄。儀表的硬件和軟件版本必須與設計保持一致，否則以往使用的經(jīng)驗是無效的。操作條件也必須記錄，并且要與設計的安全應用相似。當然，采用以往使用證明的問題是很多流程現(xiàn)場不能保持記錄的水平。現(xiàn)在，很多用戶希望制造商能幫助他們提供證明。其實，第三方的評估師可以更公正的對儀表制造商進行不同等級的評估。當用戶試圖證明某個儀表用于安全應用，這項工作可以幫助用戶減少制作文件的負擔。市場上，對儀表產(chǎn)品的評估有四個等級：

　　1.根據(jù) IEC 61508 標準對硬件進行失效模式影響和診斷分析（FMEDA）

　　對硬件的分析被稱為失效模式影響和診斷分析（FMEDA），它決定了一個儀表的失效率和失效模式。一個FMEDA是對一個硬件進行詳細分析的過程，是對幾十年來發(fā)展和證明的傳統(tǒng)失效模式影響分析（FMEA）過程的擴展。

　　這項技術首先在電子設備上應用，近年來擴展至機械和機電設備。

　　這些設備的失效率現(xiàn)在用安全失效分數(shù)（SFF），診斷覆蓋率（DC）和要求時的平均失效概率（PFDavg）來計算。這些對硬件設備的評估為安全儀表工程師提供了 IEC 61508 / IEC61511 要求的失效數(shù)據(jù)。有些評估師還進行生命周期的分析，給安全儀表工程師提供機械損耗和到退役的時間周期。有些 FMEDA 分析還擴展到了給出檢驗測試方法的效果評價。這為安全儀表工程師提供了檢驗測試的覆蓋因素，比PFDavg 的計算更實際。

　　很多用戶認為這個等級是一個第三方評估的基本、的等級。當這個評估等級結合用戶的詳細評價和以往使用經(jīng)驗后，對有些公司的安全儀表系統(tǒng)應用中的儀表選擇已經(jīng)足夠了。

　　2.按照 IEC 61511 中以往使用的考慮

　　有些制造商正在幫助用戶對他們以往使用的設備評估提供更多的信息。有些制造商已經(jīng)有第三方對已有設備現(xiàn)場失效記錄的評估。考慮了歸因于硬件和軟件的失效分布。評估還應該有從現(xiàn)場收集的流程和產(chǎn)品更改的數(shù)據(jù)。

　　從第三方評估師提供的以往使用，可以幫助儀表設計師證明特定儀表的使用符合IEC61511以往使用的標準。然而，對來自不同設備提供商的相似申明，需要進行仔細的復審， 確保他們可以用于特定的應用。以往使用數(shù)據(jù)必須顯示環(huán)境的限制和應用的限制。因為制造商不會實際"使用"設備，以往使用方法必須依靠用戶收集的數(shù)據(jù)。用于收集、和分析這些數(shù)據(jù)的方法必須認真地復審。當現(xiàn)場失效記錄用于計算失效率時，對記錄的內(nèi)容必須非常仔細地審查，因為現(xiàn)場失效經(jīng)常不。

　　大多數(shù)人同意：來自以往使用的信息，在這種設備核準用于安全儀表系統(tǒng)應用前，必須結合用戶的詳細評價和特定的工廠經(jīng)驗。

　　3. 結合 FMEDA 和使用證明評估，用嚴格定義的標準 – exida公司的使用證明

　　exida 公司已經(jīng)定義特定擴展標準用于"使用證明" （Proven in Use）評估，能夠簡單地實現(xiàn)現(xiàn)場失效分析和更改過程復審。這個方法結合了硬件 FMEDA 分析和按嚴格書寫標準收集現(xiàn)場性能的詳細研究。當硬件失效率和失效模式分析結合現(xiàn)場失效性能的評估，獲得更高等級的信心。它還包括的是制造商現(xiàn)場返回過程的評估，工程改變、變更流程和制造商安全文件。這種方法傾向給用戶提供有用信息，結合特定用戶應用多年的經(jīng)驗，為特定的流程提供證明。

　　4. 依照 IEC 61508 進行完整評估

　　選項4是按照IEC61508的要求進行完整地評估。完整的評估包括所有的上述區(qū)域并且加上一個在硬件和軟件開發(fā)期間，詳細的測試、變更、用戶文件和制造過程所有失效避免和失效控制測量的評估。

　　一個依照IEC61508的完整評估是一種有效的全面評估。不幸的是，它變得越來越必要，并且更多的軟件加入進儀表系統(tǒng)。由于設計錯誤（系統(tǒng)錯誤）的現(xiàn)場失效正不斷增加。這其中軟件的錯誤占有了大部分。這種類型的失效是不太可能寫入反映到制造商，因為"維修"常常是"軟件復位"或者電源重啟。因此"以往使用"或者基于返回到制造商的現(xiàn)場失效評價技術不是十分有效。

　　IEC 61508 的很多要求集中在使用世界的產(chǎn)品設計方法消除系統(tǒng)錯誤。為了展示遵從IEC61508的所有要求，要展示一個產(chǎn)品的創(chuàng)建過程中失效控制和失效避免過程的廣泛應用。這個特別設計的軟件必須能容忍軟件失效。IEC61508委員會的成員已經(jīng)定義了一套實踐方法，表現(xiàn)了很好的軟件工程實現(xiàn)。他們必須能嚴格地應用于不同的等級，如儀表產(chǎn)品的安全功能SIL等級。

　　這個選項適合于新開發(fā)的產(chǎn)品或者已經(jīng)存在的產(chǎn)品。當一個產(chǎn)品已經(jīng)展示了遵從IEC61508的全部要求，用戶就有一個高水平的信心，因為產(chǎn)品是一個依從SIL等級的安全產(chǎn)品。

　　當一個產(chǎn)品遵從IEC61508的全部要求時，使用中就像產(chǎn)品的"安全手冊"提供的沒有任何重要的"約束".一個具厚的安全手冊具有長段的詳細指令列表，告訴用戶怎樣使產(chǎn)品"安全",除非這些限制由用戶已經(jīng)執(zhí)行，否則制造商的產(chǎn)品可能不滿足應用的要求。

　　以上四種評估技術中的不同點在下表中給出。

　　評估標準 僅FMEDA  Exida 的FMEDA 以往使用 /IEC 61511 Exida 的使用證明標準 IEC 61508

　　依據(jù)評估機構 – 不是所有機構都能執(zhí)行詳細的分析

　　表 1: 常用評估的不同

　　評估工作通常由第三方的諸如 exida、TUV 和 FM 等執(zhí)行。一般做為儀表制造商的請求，兩個或多個公司將會組隊進行評估。

　　用于安全的PLC產(chǎn)品，多數(shù)用戶需要按IEC61508進行所有。對于大多數(shù)設備制造商來說，具有全部的是一個基本的要求。

　　用于現(xiàn)場的設備，使用IEC 61508 的是比較少的。然而，隨著近的新產(chǎn)品發(fā)布，可以非常清楚地看到：將后將會實現(xiàn)變送器、甚至是閥門的全部。

　　應該注意的是：所有這些評估技術，包括全部 IEC 61508 沒有評價一個儀表合適于某個特定過程或者過程連接的失效概率。用戶必須評價這些問題。在安全關鍵性應用的用法必須謹慎地證明。

　　做為安全儀表系統(tǒng)的設計和執(zhí)行，非常清楚的一點是制造商和用戶必須一起工作，才能達到功能性安全。制造商必須規(guī)定環(huán)境和應用的限制。用戶必須把應用中設計使用的產(chǎn)品，不超出儀表本身設計的限制。現(xiàn)場可靠性和安全性能必須與制造商進行溝通，使得任何不曾預料的設計問題可以得到所有方面的理解和認知。