本文以某開關(guān)量輸入安全柵取得TUV功能安全認證為例,介紹基于IEC 61508標(biāo)準(zhǔn)的功能安全認證的過程,并對認證過程中各步驟順序、各階段主要工作、德國認證審核工程師最新要求變化等核心步驟進行了詳細的介紹。為用于過程測試和控制裝置等產(chǎn)品取得功能安全認證提供參考。
大約2010年左右,很多中石油、中石化單位選用設(shè)備時,在標(biāo)書中明確要求需要提供功能安全認證證書。若沒有功能安全認證,儀表廠商錯失了很多參與機會,大家逐漸認識到了功能安全認證的重要性,開始積極準(zhǔn)備功能安全認證。相信有人也是一樣,剛接觸認證時很茫然,不知從哪做起。本文結(jié)合開關(guān)量輸入安全柵功能安全認證實際經(jīng)歷,介紹認證要求、認證流程和注意事項。
功能安全認證對于現(xiàn)代工業(yè)的安全作用這里就不班門弄斧了,網(wǎng)上有許多專業(yè)文章闡述功能安全的作用。本文主要開關(guān)量輸入安全柵為例,基于IEC 61508標(biāo)準(zhǔn)進行功能安全認證的過程介紹。
1、防爆認證安全柵作為防爆產(chǎn)品,若想進入國際市場,必須符合強制性國際防爆認證要求,在功能安全認證之前需取得相關(guān)防爆認證。很多認證機構(gòu)都會提供IECEX防爆認證流程的介紹。
①申請單位向IECEX體系授權(quán)的認證機構(gòu)以書面形式提出認證的申請,及相關(guān)產(chǎn)品文件資料。機構(gòu)受理后,申請單位與認證機構(gòu)簽訂委托認證合同。
②認證機構(gòu)對申請認證產(chǎn)品進行防爆型式檢驗(包括圖紙文件防爆審查和樣機試驗);審核防爆檢驗報告。
③認證機構(gòu)對申請認證的制造單位進行工廠質(zhì)量條件檢查。
④認證機構(gòu)對型式檢驗結(jié)果和工廠檢查結(jié)果進行評價,評價合格頒發(fā)IECEX認證證書。
⑤認證機構(gòu)對申請單位實施年度監(jiān)督。
實際上,因功能安全認證審核需進行儀表安全完整性的評估,有可能改動電路,影響防爆參數(shù);或防爆認證審核時要求電路調(diào)整,產(chǎn)品的安全完整性需重新評估,所以推薦防爆認證和功能安全認證同步進行,以免造成時間、人員、費用等不必要的浪費。根據(jù)大量公司取證經(jīng)驗,建議先行提交防爆認證原理圖紙和功能安全認證概念階段的審核,等防爆相關(guān)圖紙審核通過后,可轉(zhuǎn)向功能安全認證的FMEA分析、FIT測試、EMC/環(huán)境測試等工作。待以上完成,原理圖和電路圖可基本確定,可繼續(xù)防爆認證后繼的文件定稿、樣機測試、工廠審核等工作。
2、功能安全認證
功能安全認證流程大致可分為概念階段審核、主檢階段審核、工廠審核和德國復(fù)審及發(fā)證;再細分的話主要工作又可分為設(shè)計開發(fā)文檔管理評估,硬件可靠性計算和評估、EMC電磁兼容性測試、環(huán)境測試等。本文介紹功能安全認證流程是以開關(guān)量輸入安全柵為例的,開關(guān)量輸入安全柵為純硬件電路設(shè)計,無需軟件安全完整性的審核評估,其他的儀表可能還需要進行軟件安全完整性的審核評估。
①概念階段
◆ 安全計劃(SP)
安全計劃中確定項目組織、項目人員及資質(zhì)、安全生命周期劃分、故障避免措施計劃、變更處理程序、配置管理等信息。

圖1 項目組織圖
◆ 驗證確認計劃(VVP)
驗證確認計劃中確定安全生命周期各階段驗證活動、確認的輸入、輸出文件和驗證人。
◆ 安全需求規(guī)范(SRS)
安全需求規(guī)范中確定安全功能、安全狀態(tài)、輸入/輸出描述和參數(shù)、故障響應(yīng)時間、SIL安全完整性等級、安全柵在整個安全回路中所占比例(TUV推薦值10%)、安全失效分數(shù)SFF、硬件故障裕度、檢驗測試間隔、操作模式、環(huán)境要求等。
◆ 安全概念(SC)
安全概念中確定可靠性框圖,功能框圖(功能安全部分用不同顏色區(qū)分)各功能塊的功能、各功能塊使用的診斷措施(滿足對應(yīng)SIL等級)各功能塊診斷測試間隔、診斷后各功能塊如何進入安全狀態(tài)。
實際上,為確保安全失效分數(shù)滿足SIL等級,減少后期文檔調(diào)整,本司認證的安全柵首先進行簡單降額和FMEA分析摸底,盡可能排除嚴重的設(shè)計缺陷。
◆ 需求追蹤表(RT)
另外還有一非常重要文檔貫穿整個認證周期,那就是需求追蹤表:安全需求規(guī)范(SRS)、安全概念(SC)以及測試計劃(TP)、測試報告(TR)等文檔中每個安全相關(guān)項均使用序號(SR1、SC1、TP1、TR1等)行排序,體現(xiàn)各文檔間安全相關(guān)項的關(guān)系,方便各個文檔間的相互追蹤。
認證機構(gòu)的審核意見會以LOP文檔形式發(fā)給申請單位,經(jīng)過幾輪修改,LOP中認證機構(gòu)意見全部關(guān)閉,就表示安全柵通過了認證機構(gòu)概念階段的審核評估,認證進入了主檢階段。
② 主檢階段
主檢階段任務(wù):進一步的功能、安全和環(huán)境測試,驗證是否達到定義的安全功能和SIL等級。
◆ 降額報告
萊茵TUV要求器件降額,在2/3原則和GJB/Z 35-93中的2級降額中選擇嚴酷的一種要求執(zhí)行;本安器件保險絲、齊納管等降額參照國標(biāo)GB 3836要求執(zhí)行。如有器件降額不滿足降額要求,則需重新選擇合適器件。
表1 降額
元件 名稱 規(guī)格 降額參數(shù) 手冊 要求降額 實際 實際降額 結(jié)論
電感 L1 422776156 瞬態(tài)電流(A) 0.8 0.67 0.06 0.09 pass
介質(zhì)耐壓(V) 800 0.5 30 0.0375 pass
工作電流(A) 0.4 0.6 0.03 0.075 pass
熱電溫度(℃) 85 THS-(25~10) 60.063 小于THS-(25~10) pass
電容 C1 C2012N102N101T 工作電壓(V) 100 0.6 29. 0.299 pass
最高額定環(huán)境溫度(℃) 125 TAM-10 60 小于TAM-10 pass
◆ FMEA分析報告
a、確定產(chǎn)品結(jié)構(gòu),按照可靠性框圖,將整機拆為多個功能塊。
b、選取合適的可靠性數(shù)據(jù)庫,器件失效率基準(zhǔn)值λref可通過查閱西門子數(shù)據(jù)庫SN 29500獲得,也可通過廠家獲得;參與計算的置信度要求為70%,如果廠家提供的置信度為60%,需折算:λ70% = λ60%×1.204,/,0.917
c、確定環(huán)境條件(如溫度、壓力等):FMEA分析時,需根據(jù)器件實際使用的電壓、電流、溫度等數(shù)據(jù),參照西門子數(shù)據(jù)庫,計算失效率λ實際值。
d、參照IEC 62061附錄D中器件失效模式以及各失效模式所占比例,分別計算各功能塊的失效率總和、安全失效分數(shù)SFF,要求每個功能塊的SFF值均滿足相應(yīng)SIL等級。
表2 功能塊安全失效分數(shù)計算
ID 數(shù)量 規(guī)格 功能 失效模式 失效影響 危險判據(jù) 診斷措施 DC λ λs λD λDD λDU SFF
U6 1 MAX3256 全橋 開路 無影響或輸出失電,進入安全狀態(tài) 0 無 0 16.4 3.28 3.28 0 0
任意兩端短路 無影響或輸出失電,進入安全狀態(tài) 0 無 0 3.28 0 0 0
卡阻 無影響或輸出失電,進入安全狀態(tài) 0 無 0 3.28 0 0 0
輸出寄生振蕩 安全功能丟失 1 無 0 0 3.28 0 3.28
值改變 無影響或輸出失電,進入安全狀態(tài) 1 無 0 3.28 0 0 0
C62 2 0603 5% 濾波 開路 無影響 0 無 0 44 14.67 0 0 0
C43 CL10F101 短路 F3開路輸出失電,進入安全狀態(tài) 0 無 0 14.67 0 0 0
值改變 無影響 0 無 0 14.67 0 0 0
Total 60.4 57.12 3.28 0 3.28 0.9457
◆ DC-診斷覆蓋率
診斷覆蓋率依賴于采取的措施,它的值約為60%、90%和99%。IEC 61508-2的表A.2-表A.15為診斷測試推薦的技術(shù)和措施。
開關(guān)量輸入雙路輸出安全柵可靠性框圖如圖3所示。根據(jù)德國認證工程師最新要求,繼電器需作為單獨功能塊進行考核,參與FMEA分析。電源和輸入存在共因失效,對PFD和PFH進行計算。

圖2 可靠性框圖和PFD計算
◆ FIT故障插入測試(Fault insert Test)
FIT測試是認證機構(gòu)用來驗證FMEA報告的正確性。FIT測試結(jié)果如與FMEA不一致,需返回設(shè)計階段修改,或按實測結(jié)果修改FMEA報告,重新進行安全失效分數(shù)和失效率計算,核定SIL等級。
◆ 性能測試、EMC/環(huán)境測試
按照GB 3836要求,安全柵需嚴格進行型式試驗;同時根據(jù)VVP要求,安全柵需進行整機性能測試,用于確認整機安全功能的執(zhí)行。
具有功能安全的安全柵EMC測試項目、參考標(biāo)準(zhǔn)及實驗等級參照IEC 2061附錄E要求,其中靜電放電、電快速脈沖群、浪涌項目采取加強測試要求。
◆ 體系文件
有功能安全要求的安全柵,其體系文件須同時滿足管理體系和IEC 1508要求,保障安全生命周期內(nèi)各項工作準(zhǔn)確開展。
◆ 設(shè)計手冊
設(shè)計手冊是為實現(xiàn)設(shè)計功能而制定的基礎(chǔ)文件,包括外殼、結(jié)構(gòu)要求、原理、清單及功能等內(nèi)容,按照標(biāo)準(zhǔn)要求盡量采用圖表形式表達。
◆ 驗證報告
驗證是生產(chǎn)商在完成組裝后開展的自查活動,包括電氣安全符合性驗證報告,邊界值測試報告。
◆ 生產(chǎn)要求
生產(chǎn)要求是生產(chǎn)商為實現(xiàn)功能而制定的規(guī)范,包括功能要求、安全要求、環(huán)境要求等內(nèi)容。
◆ 用戶手冊
用戶手冊是產(chǎn)品規(guī)格、功能、安裝和操作、運行、驗證測試等說明文件,包括安全提示、操作方法、故障排除等內(nèi)容。
實施管理文件審核的目的在于確認實現(xiàn)安全要求的手段和依據(jù)是否充分且合理,文件內(nèi)容是否滿足安全生命周期各階段工作需要,是否能夠為實施功能安全認證提供審核依據(jù)。
當(dāng)以上文件全部通過審核,認證機構(gòu)安排簽發(fā)儀表功能安全證書。
目前已經(jīng)有不少功能安全研究機構(gòu)及相關(guān)測試機構(gòu),如上海自動化儀表研究所、機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所等,均開始在國內(nèi)開展了功能安全認證業(yè)務(wù),人員不斷增加、水平不斷提高,安全柵儀表的功能安全認證可在國內(nèi)實現(xiàn)。每家機構(gòu)習(xí)慣、認知等存在不少差別,建議大家還是深入學(xué)習(xí)IEC 6508,結(jié)合本公司產(chǎn)品實際情況,不拘泥樣板套路,早日取得功能安全證書。
作者:張紅云
