安全仪表系统的十个事实（八）

维护SIS不仅是采集数据；系统也需要做出明智决策的背景
      为保持系统在工厂运行的背景下最大化正常运行时间，大多数SIS供应商应提供具有清楚指导方针或推荐的诊断工具。
      有新技术允许完成SIL确认的用户在确定SIL和降低现场设备的冗余或降低E/E/PES的总体要求的过程中取得很好的名誉。大部分这些要求假设具有诊断的现代现场设备（HART或基金会现场总线FF）使那些设备更安全。对维护管理来说，现场设备诊断具有极大的价值，它们不是设计或实施用于使设备更安全或提供安全仪表板帮助工厂人员做出决策。
      下面请看美国加利福尼亚州Irvine市Invensys过程系统公司的商标主管Luis Duran所写的论文：

SIS设备的第三方认证和SIL等级的重要性是什么？

摘要
      根据自动化市场中日益增加的安全认证的设备或系统的数量，这是功能安全认证的时代，特别是在过程工业。然而，就像听起来一样基础，“一种认证适合所有”认证过程吗？或者“已认证的设备”对你的应用有用的程度是多大？
      通过现在仍然存在的基础工作需要产生第三方认证代理机构的原因可以看出，需要解决的问题是：最终用户能从认证得到什么？；最终用户怎样能从已认证的设备受益？；这为什么比在IEC61511标准中定义的 “在使用中证明”的设备要好？
      本文说明了当配置安全仪表系统时，理解认证、选择和应用已认证的设备或系统的现实观点，并强调通过履行当前安全标准（例如，IEC61511标准和最好工程实践经验）的要求，实施公司和最终用户仍需要做什么。

BIO
      委内瑞拉首都加拉加斯西蒙博利瓦尔大学（Universidad Simon Bolivar）能提供MBA和BSEE学历，具有不同行业自动化学科15年的经验，包括在油气下游工业中商业改进的安全关断系统、重要控制器、BPCS、过程建模、设计软件和高级过程控制的设计和实施。

引言
      根据自动化市场中日益增加的安全认证的设备或系统的数量，这是功能安全认证的时代，特别是过程工业。然而，就像听起来一样基础，“一种认证适合所有”认证过程吗？或者“已认证的设备”对你的应用有用的程度是多大？
      毫无疑问，我们见证了在设计和制造自动化仪表和控制设备中的巨大改进。我们发现向用于安全仪表系统的更好的仪表和控制 相同的趋势发展。这包括改进测量系统和最终起作用的元件的诊断和应用到逻辑控制器或E/E/PES和新软件能力的新技术。
      有新技术允许完成SIL确认的用户在确定SIL和降低现场设备的冗余或降低E/E/PES的总体要求的过程中取得很好的名誉。
      项目预算听起来是好的，但是在实际中它能自动实现兼容安全标准吗？或者相反，我们需要更关心虚假的安全感吗？
      除非设计人员和现场人员分析这些新技术怎样应用到特殊安全系统，理解它们在过程性能上的影响，不关心这样的宣传几乎是不可能的。
根据ARC顾问集团最近的一项研究，过程工业致力于：
l 改进安全；
l 防止生产人员和生产区外部人民的身体损害；
l 避免破坏环境；
l 避免生产损失；
l 避免法律责任。

      不幸的是，我们都已经看见工业事故及其对社会的影响。
      最好的工程实践经验和安全（例如，IEC61508和IEC61511）是专门检查导致这些工业事故的条件和反映我们 曾经学到的教训的结果。
      我们的问题是：我们应降低SIS要求的门槛吗？或者相反，我们比过去更关心和从多个角度分析安全吗？
根据ARC顾问集团，过程工业迅速采用安全标准（特别是IEC61508 和IEC61511），这一点是勿庸置疑的。

图1过程工业迅速采用安全标准
      越来越多的采用标准看起来预示过程工业不准备降低安全系统设计和实施的门槛。实际上，看起来大体一致，“让它做的更好和更有效”。
      越来越多的采用标准正在影响制造商和功能安全系统供应商，鼓励两者采用新程序或改进现有程序并遵循满足标准的其他指导方针。
然而，因为标准不是法定的，有解释的空间，不是每个采用相同方法的人都能实现的，例如，
l 质量
l 确认测试
l 功能测试
l 维护
l 运行

功能安全
      把功能安全理解为依赖系统响应输入的正确运行的安全领域，历史显示在实施上有很大变化。在过去20年，从简单、诊断困难的技术转变到采用具有更好诊断的更复杂的系统。
      但是借助这些新技术，很难完全确定每个故障模式，很难完全测试所有可能的行为，很难预测安全性能。
因此周期性的在线证明测试变成确保在其生命周期之内正确运行E/E/PES的必要措施。
      这些新系统的设计，结合它们增加的复杂性应使它们更强健，更安全，降低潜在的危险故障和那些所谓的“安全”故障的数量。
危险故障的例子如下：
l 不合适的硬件或软件规范；
l 冗长的安全要求规范；
l 任意硬件故障机制；
l 系统硬件故障机制；
l 软件错误；
l 常见原因故障；
l 人为失误；
l 环境影响——例如，电磁，温度，机械；
l 系统供电电压波动——例如，供电损失，电压降低。
      然而，在过程故障的情况下，“安全”是相对的术语，因为导致关断的安全系统故障除了对运行不利的经济影响之外，还能引起很多危险的条件。

认证
      认证是确定产品、服务或过程遵循特定标准（例如，ISO9002质量认证过程）的正式过程。在功能安全领域的例子能证明SIS元件遵循IEC61508标准。
      从历史的观点来看，最终用户或技术从业者已经测试或认证特定应用的设备。二十年前，每个制造商都从供应商列表中选择产品，为了进入供应商列表，每个供应商必须经过大量功能测试。例如，测试需要恰当的资源、时间、实验室设备和专业设备。
      随着设备改进成更复杂的系统，实现工厂内的测试是不现实的，也是不可行的。最终用户开始依赖第三方认证代理机构证明其产品适合特定使用，因此降低用户对不是同类标准一部分的应用的特定测试的范围。
      在安全仪表系统自动化中，第三方认证处理制造商对工业标准的兼容，研发最好的方法、电气设备和EMC要求，主要目标是证明已知产品适合在特殊工业设备中使用。
      现在，很容易发现证明适合证明已知应用（例如，用于火气系统的NFPA 72标准或用于锅炉的NFPA 85标准）的特殊要求的特定应用测试。
      遵循IEC 61508标准（和其他可用的标准）的认证是一件长期的事业。不象一部分公司在一段很短的时间内进行产品认证，承诺IEC 61508标准用永久的变化极大影响公司的结构。包含质量保证、组态管理、项目管理和功能安全评估的公司必须建立新功能安全管理系统。
      很多制造商组织缺乏成功地获得认证的人员和资金。试图进行IEC 61508认证的公司应充分意识到必要的投资。这一点对评估决定IEC 61508认证是否切实可行和有益的组织是非常重要的。
      通过现在仍然存在的基础工作需要产生第三方认证代理机构的原因可以看出，需要解决的问题是：最终用户能从认证得到什么？最终用户怎样能从已认证的设备受益？这为什么比在IEC61511标准中定义的 “在使用中证明”的设备要好？
      根据过程相关的风险和要求降低风险的因素，各种认证代理机构都能进行认证过程。
根据不同的认证对象，有不同类型的认证。
l 产品认证（根据特殊技术标准）
l 过程认证（根据ISO9000或类似标准）
l 人员认证
l 整体认证（证明人的认证）

      要求从安全完整性等级1的相同组织的独立人员到安全完整性等级4不等的审核机构的独立等级。
安全完整性等级2和3要求的独立等级受其他因素的影响：
l 系统的复杂性
l 设计的新颖
l 开发人员以前的经验
      这些因素明显存在于应用到SIS的新兴技术中。如上所述，在E/E/PES中使用的设备更复杂，包括对行业内的任何人（除了设计人员）都不熟悉的创新。这导致关于要求评估这些技术的资源的更大问题。
      也有特殊要求：审核机构应能胜任从事的活动