本文以某開關(guān)量輸入安全柵取得TUV功能安全認證為例，介紹基于IEC 61508標(biāo)準(zhǔn)的功能安全認證的過程，并對認證過程中各步驟順序、各階段主要工作、德國認證審核工程師最新要求變化等核心步驟進行了詳細的介紹。為用于過程測試和控制裝置等產(chǎn)品取得功能安全認證提供參考。

大約2010年左右，很多中石油、中石化單位選用設(shè)備時，在標(biāo)書中明確要求需要提供功能安全認證證書。若沒有功能安全認證，儀表廠商錯失了很多參與機會，大家逐漸認識到了功能安全認證的重要性，開始積極準(zhǔn)備功能安全認證。相信有人也是一樣，剛接觸認證時很茫然，不知從哪做起。本文結(jié)合開關(guān)量輸入安全柵功能安全認證實際經(jīng)歷，介紹認證要求、認證流程和注意事項。

功能安全認證對于現(xiàn)代工業(yè)的安全作用這里就不班門弄斧了，網(wǎng)上有許多專業(yè)文章闡述功能安全的作用。本文主要開關(guān)量輸入安全柵為例，基于IEC 61508標(biāo)準(zhǔn)進行功能安全認證的過程介紹。

1、防爆認證安全柵作為防爆產(chǎn)品，若想進入國際市場，必須符合強制性國際防爆認證要求，在功能安全認證之前需取得相關(guān)防爆認證。很多認證機構(gòu)都會提供IECEX防爆認證流程的介紹。
①申請單位向IECEX體系授權(quán)的認證機構(gòu)以書面形式提出認證的申請，及相關(guān)產(chǎn)品文件資料。機構(gòu)受理后，申請單位與認證機構(gòu)簽訂委托認證合同。
②認證機構(gòu)對申請認證產(chǎn)品進行防爆型式檢驗(包括圖紙文件防爆審查和樣機試驗)；審核防爆檢驗報告。
③認證機構(gòu)對申請認證的制造單位進行工廠質(zhì)量條件檢查。
④認證機構(gòu)對型式檢驗結(jié)果和工廠檢查結(jié)果進行評價，評價合格頒發(fā)IECEX認證證書。
⑤認證機構(gòu)對申請單位實施年度監(jiān)督。

實際上，因功能安全認證審核需進行儀表安全完整性的評估，有可能改動電路，影響防爆參數(shù)；或防爆認證審核時要求電路調(diào)整，產(chǎn)品的安全完整性需重新評估，所以推薦防爆認證和功能安全認證同步進行，以免造成時間、人員、費用等不必要的浪費。根據(jù)大量公司取證經(jīng)驗，建議先行提交防爆認證原理圖紙和功能安全認證概念階段的審核，等防爆相關(guān)圖紙審核通過后，可轉(zhuǎn)向功能安全認證的FMEA分析、FIT測試、EMC/環(huán)境測試等工作。待以上完成，原理圖和電路圖可基本確定，可繼續(xù)防爆認證后繼的文件定稿、樣機測試、工廠審核等工作。

2、功能安全認證
功能安全認證流程大致可分為概念階段審核、主檢階段審核、工廠審核和德國復(fù)審及發(fā)證；再細分的話主要工作又可分為設(shè)計開發(fā)文檔管理評估，硬件可靠性計算和評估、EMC電磁兼容性測試、環(huán)境測試等。本文介紹功能安全認證流程是以開關(guān)量輸入安全柵為例的，開關(guān)量輸入安全柵為純硬件電路設(shè)計，無需軟件安全完整性的審核評估，其他的儀表可能還需要進行軟件安全完整性的審核評估。

①概念階段
◆ 安全計劃(SP)
安全計劃中確定項目組織、項目人員及資質(zhì)、安全生命周期劃分、故障避免措施計劃、變更處理程序、配置管理等信息。

圖1  項目組織圖
◆ 驗證確認計劃(VVP)
驗證確認計劃中確定安全生命周期各階段驗證活動、確認的輸入、輸出文件和驗證人。
◆ 安全需求規(guī)范(SRS)
安全需求規(guī)范中確定安全功能、安全狀態(tài)、輸入/輸出描述和參數(shù)、故障響應(yīng)時間、SIL安全完整性等級、安全柵在整個安全回路中所占比例（TUV推薦值10%）、安全失效分數(shù)SFF、硬件故障裕度、檢驗測試間隔、操作模式、環(huán)境要求等。
◆ 安全概念(SC)
安全概念中確定可靠性框圖，功能框圖(功能安全部分用不同顏色區(qū)分)各功能塊的功能、各功能塊使用的診斷措施(滿足對應(yīng)SIL等級)各功能塊診斷測試間隔、診斷后各功能塊如何進入安全狀態(tài)。
實際上，為確保安全失效分數(shù)滿足SIL等級，減少后期文檔調(diào)整，本司認證的安全柵首先進行簡單降額和FMEA分析摸底，盡可能排除嚴重的設(shè)計缺陷。
◆ 需求追蹤表(RT)
另外還有一非常重要文檔貫穿整個認證周期，那就是需求追蹤表：安全需求規(guī)范(SRS)、安全概念(SC)以及測試計劃(TP)、測試報告(TR)等文檔中每個安全相關(guān)項均使用序號(SR1、SC1、TP1、TR1等)行排序，體現(xiàn)各文檔間安全相關(guān)項的關(guān)系，方便各個文檔間的相互追蹤。
認證機構(gòu)的審核意見會以LOP文檔形式發(fā)給申請單位，經(jīng)過幾輪修改，LOP中認證機構(gòu)意見全部關(guān)閉，就表示安全柵通過了認證機構(gòu)概念階段的審核評估，認證進入了主檢階段。

② 主檢階段
主檢階段任務(wù)：進一步的功能、安全和環(huán)境測試，驗證是否達到定義的安全功能和SIL等級。
◆ 降額報告
萊茵TUV要求器件降額，在2/3原則和GJB/Z 35-93中的2級降額中選擇嚴酷的一種要求執(zhí)行；本安器件保險絲、齊納管等降額參照國標(biāo)GB 3836要求執(zhí)行。如有器件降額不滿足降額要求，則需重新選擇合適器件。
表1    降額

開關(guān)量輸入雙路輸出安全柵可靠性框圖如圖3所示。根據(jù)德國認證工程師最新要求，繼電器需作為單獨功能塊進行考核，參與FMEA分析。電源和輸入存在共因失效，對PFD和PFH進行計算。

圖2   可靠性框圖和PFD計算