ASIEC 615112标准.docx
《ASIEC 615112标准.docx》由会员分享,可在线阅读,更多相关《ASIEC 615112标准.docx(68页珍藏版)》请在冰豆网上搜索。
ASIEC615112标准
介绍
目录
1.范围
2.标准参考
3.术语,定义和缩略语
4.该国际标准的适应性
5.功能性安全的管理
5.1目的
5.2要求
6安全使用周期要求
7验证
7.1目的
8.工艺危险和风险评估
8.1目的
8.2要求
9.保护层安全功能的分配
9.1目的
9.2分配工艺的要求
9.3安全完整性等级4的附加要求
9.4基本工艺控制系统作为保护层的要求
9.5防止出现一般原因,一般模式和相关故障的要求
10.SIS安全要求规范
10.1目的
10.2一般要求
10.3SIS安全要求
11SIS设计和工程管理
11.1目的
11.2一般要求
11.3检测故障时系统工作情况的要求
11.4硬件故障容许限度的要求
11.5组成部分和子系统选择的要求
11.6现场设施
11.7接口
11.8维护或者测试的设计要求
11.9SIF故障的可能性
12应用软件的要求,包括公用工程软件选择标准
12.1应用软件安全使用周期要求
12.2应用软件安全要求规范
12.3应用软件安全有效性规划
12.4应用软件设计和开发
12.5应用软件与SIS子系统的整合
12.6FPL和LVL软件的修改程序
12.7应用软件验证
13工厂验收测试(FAT)
13.1目的
13.2建议
14SIS安装和试运行
14.1目的
14.2要求
15SIS安全有效性
15.1目的
15.2要求
16SIS操作和维护
16.1目的
16.2要求
16.3验证测试和检验
17SIS修改工作
17.1目的
17.2要求
18SIS停止试运行
18.1目的
18.2要求
19资料和文件要求
19.1目的
19.2要求
附件A(资料)运算安全仪表功能故障概率技术的示例
附件B(资料)典型的SIS构造研发
附件C(资料)安全PLC的应用特征
附件D(资料)SIS逻辑解算器应用软件开发方法
附件E(资料)安全组态的PE逻辑解算器外部组态诊断研发的示例
图1该标准的整个框架图
图2BPCS功能和初始原因单独说明
图3软件研发周期(V-模型)
图C1逻辑解算器
图E1EWDT计时图表
表格1――典型安全手册结构和内容
介绍
安全仪表系统已经使用了许多年,用以执行加工工艺领域中的安全仪表功能。
如果仪表能够有效地用于安全仪表功能,最根本的一点是该仪表至少要达到一定的标准。
该国际标准说明了工艺领域安全仪表系统的应用。
它还涉及到进行工艺危险和风险评估所需的安全仪表系统和其他安全系统之间的接口。
安全仪表系统包括传感器,逻辑解算器和最终元件。
该国际标准有两个概念,安全使用周期和安全完整性等级,这是它的应用基础。
安全使用周期与该国际标准中的大多数概念一起组成一个中心框架。
安全仪表系统逻辑解算器着重说明了电器(E)/电子(E)/和编程电子技术。
在逻辑解算器使用其他技术的地方,也可采用该标准的基本原理。
该标准还说明了安全仪表系统传感器和最终元件,与使用的技术无关。
该国际标准就是IEC61508系列框架内的具体内容。
该国际标准确立了安全使用周期工作的一个方法,以实现这些最低标准要求。
通过使用这个方法来保证合理和统一的技术政策。
该标准的目的是提供如何遵守IEC61511-1的指导说明。
为了易于使用该标准,提供的条款和分项条款与IEC615内相关的文本内容一致(不包括在附件内)。
在大多数情况下,如果可行的话,安全的要求最好是通过固有安全工艺设计来实现。
如果必要的话,还可使用一系列的保护系统,这些保护系统可依据不同的技术(例如,化学,机械,液压,气动,电气,电子,热动力,(例如阻火器,可编程电子),来管理任何一个已确定的残余风险。
任何一个安全策略还应考虑其他保护系统中各个单独的安全仪表系统。
为了简化该方法,该标准
●要求完成危险和风险评估以确定所有的安全要求。
●要求完成安全功能和相关的安全系统,例如安全仪表系统安全要求的分配工作。
●在适用于所有仪表执行功能安全方法的框架范围内工作。
●详细说明相关活动的使用情况,例如安全管理。
这也许适用于执行功能安全的所有方法。
有关加工工业安全仪表系统的国际标准:
●从最初的概念,到设计完成,操作和维护以及停止运行来详细说明相关的安全使用周期阶段。
●使现有的或者新的国家特定工艺工业标准与该标准保持一致。
该标准在加工工艺领域一直保证较高水平的统一性(例如,其中的最基本的原理,术语,资料)。
这在安全和经济两方面都能取得好的效益。
技术要求技术支持部分
第一部分参考
所有安全要求的制定第2条款
(概念,范围定义,第一部分
危险和风险评估)定义和缩略语
第8条款第3条款
第一部分第一部分
安全要求分配给安全仪表功能一致性
和安全要求规范的制定第4条款
第9和10条款第一部分
第一部分功能安全的管理
安全仪表系统安全仪表系统软件第5条款
的设计阶段的设计阶段第一部分
第11条款第12条款安全使用周期要求
第一部分第6条款
安全仪表系统的验证
工厂验收测试,安第7条款
装,和试运行以及安全资料要求
有效性。
第19条款
第13,14,15条款差异
附件A
第一部分第一部分
安全仪表系统的第一部分的应用指南
操作和维护,修改和改进,停止第二部分
运行或者处理。
所需安全完整性等级的
第16,17,18条款确定指南
第三部分
澳大利亚标准
功能安全――工艺领域安全仪表系统
第二部分ASIEC61511。
1的应用指南
1.范围
IEC61511-2提供了IEC61511-1中规定的安全仪表功能和相关安全仪表系统的规格,设计,安装,操作和维护的指导说明。
该标准已经进行了编排,所以各个条款和分项条款的编号与IEC61511-1(附件除外)内的条款编号相同。
2.标准参考
没有提供更详尽的指导说明。
3.术语,定义和缩略语
除IEC61511-1的3.2.68和3.2.71之外,没有提供更详尽的指导说明。
3.2.68安全功能必须可以防止特定的危险事件。
例如,“防止容器#ABC456的压力超过100巴”,安全功能可通过以下内容来实现:
A)单个安全仪表系统(SIS),或者
B)一个或者多个安全仪表系统和/或者其他保护层。
在B)的情况中,各个安全仪表系统或者其他的保护层都可以执行安全功能并且所有组合都可以执行所需的风险降低操作(工艺安全目标)。
3.2.71安全仪表功能由安全功能变化而来,与安全完整性等级(SIL)相关,可通过一个具体的安全仪表系统(SIS)来完成。
例如,“当容器#ABC456的压力达到100巴时,在5秒内关闭阀#XY123”。
需要说明的一点是安全仪表系统的部件可用于一个以上的安全仪表功能。
4.该国际标准的符合性
没有提供更详尽的指导说明。
5.功能安全的管理
5.1目的
IEC61511-1第5条款的目的是提供执行管理建议的要求,而这些是确保符合功能安全目标所必要的。
5.2要求
5.2.1总述
5.2.1.1没有提供更详尽的指导说明。
5.2.1.2当一个组织机构负责功能安全所需的一个或者多个行动,并依据质量保证程序进行工作时,为实现质量的目的,该条款中所说明的许多行动都已完成。
如果是这种情况,无需重复进行功能安全的这些行动。
在这样情况下,必须审核质量保证程序以确立它们是合适的,这样就能达到功能安全的目的。
5.2.2组织机构和资源
5.2.2.1在一个公司/现场/装置/项目范围内,必须确定与安全仪表系统相关的组织机构,并且各部分的任务和责任要清楚理解以及实现沟通。
在一个结构内,必须确定单个任务,包括它们的说明和用途。
对各个任务而言,必须确立清楚的责任。
必须认识到具体的责任。
另外必须确定单个报告给谁以及谁委派的。
目的是确保机构中的每一个人都理解在安全仪表系统中他们的任务和责任。
5.2.2.2.必须确定在执行与安全仪表系统相关的安全使用周期的任何行动时所需的技术熟练工人和专业知识。
对于单个技能而言,必须确定所需的权限等级。
资源必须依据各个技能以及各个技能所需的人员数目进行权限评估。
确定差异后,制定研究规划以便及时达到所需的权限等级。
技术熟练工人短缺时,可以用有资质和有经验的人员来补充。
5.2.3风险评估和风险管理
IEC61511中5.2.3中给出的要求是确定危险,确定评估的风险和必要的风险降低方法。
在进行这些评估工作时可采用多个不同的方法。
实际上鼓励读者对IEC61511-1中这个问题提出具体的方法。
更详尽的指导说明参见8.2.1的内容。
5.2.4计划
该分支条款的目的是确保,在整个项目中已进行了充分的安全计划,这样在安全使用周期的各个阶段(例如,工程设计,装置运行)内所有要求的行动都已涵盖。
该标准不需要对这些计划行动设定任何特定的结构,但是需要对其进行定期更新或者审核。
5.2.5执行和监测
5.2.5.1该分项条款的目的是确保制定有效的管理程序以:
●确保所有来自危险分析,风险评估,其他评估和审核行动,验证和有效性行动的建议都能够很好的解决。
●确定SIS在它的操作期限内一直依据安全要求规范运行。
5.2.5.2在该文本资料中,供货商包括设计承包商和维护承包商以及部件供货商。
5.2.5.3必须定期进行对SIS进行性能审核,以确保仍然符合安全要求规范(SRS)制定期间形成的最初假设情况。
例如对一个SIS内不同部件的假设故障率进行定期审核以确保它保持最初规定的值。
如果故障率比最初预测的值还糟糕,就需要进行设计更改。
同样的,还必须审核SIS的需求率。
如果需求率超过最初假设的那个值,就需要在SIL内进行调整。
5.2.6评估,审核和修订
评估和审核是检测和消除错误的工具。
以下这些章节详细说明了这些行动的区别。
功能安全评估的目的是评估在安全使用周期阶段制定的措施对于实现安全是否合适。
评估人员根据负责实现安全功能的人员所采取的决定来进行评判。
例如必须在投料试车之前进行评估这样就可确定检修程序是否得当。
功能安全审核人员应依据项目或者装置记录来确定是否由合格的人员按照规定的频次来执行这些必要的程序。
审核人员不需要依据他们正在考虑的工作来进行评判。
但是,如果他们意识到变更中有利益关系,报告中必须包括观察结果。
要注意在许多时候,会出现评估人员和审核人员交叉工作的情况。
例如,审核人员不仅需要确定操作人员是否进行过必需的培训,另外还要对培训是否达到所需的能力进行判断。
5.2.6.1功能性安全评估
5.2.6.1.1使用功能安全评估(FSA)是证明安全仪表系统(SIS)达到有关安全仪表功能和安全完整性等级(SIL)方面要求的基础。
这个评估的基本目的是通过对系统的创建过程进行单独评估来证明是否符合拟定的标准和操作惯例。
在不同的安全使用周期阶段可能需要SIS评估。
为了进行有效的评估,必须制定一个程序以确定该评估的过程以及评估小组组织的指导说明。
以下是有关功能安全评估中好的做法:
●必须给各个FSA制定一个计划确定评估范围,评估人员,评估人员的资质和评估中出现的资料。
●FSA必须考虑其他的标准和操作惯例,可能包括在外部或者内部相关标准,指南,程序或者操作规范内。
FSA计划必须确定在特殊评估/系统/应用区域要评估什么。
●FSA的频率因不同系统创建方法而有所变化,但是变化总在系统显示潜在危险之前出现。
一些公司喜欢在施工/安装阶段进行评估以防止随后出现费用较高的重复工作。
●考虑系统特征时必须确定FSA频率和精确程度,例如:
●复杂性
●安全的重要性
●类似系统以前的经验
●设计特征的标准化
●评估前必须提供足够的有关设计,安装,验证和有效性行动的资料。
资料的有效利用率本身就可以作为评估标准。
资料必须显示出系统设计或者安装的当前状态/审核状态。
●评估人员必须保持适当的独立性。
●对将要评估的系统的技术和应用区域,评估人员必须拥有相应的经验和专业知识。
●保持FSA方法的系统性和一致性应贯穿在系统的安全使用周期和整个系统中。
FSA是一个主观的行动,因此必须按照机构可以接受的方式来确定在使用检查清单中可能出现的详细指导说明。
从FSA中得出的报告必须是完整的并且作为结论同意在下一个安全使用周期开始之前负责SIS功能安全的管理工作。
5.2.6.1.2评估中要求某些人员独立于项目小组,是为了增加评估的客观性。
需要某些能力较高的人员(例如,经验,学历,职位)以确保他们相关的问题都能很好地给出解释和说明。
还要建议的是,在一些较大的项目或者评估小组中,还必须在该小组中有一个以上的独立于最初项目小组的高级人才。
根据公司内的组织机构和专家的要求,独立评估人员可以通过外部机构来提供。
相反地,内部机构精通风险评估和安全仪表系统应用的公司,与项目的负责人是独立的和分开的(通过管理和其他资源),他们可以使用自己的资源来满足独立机构的要求。
5.2.6.1.3评估的工作量依据项目的规模和复杂性而定。
可在同一时间评估不同阶段的结果。
在运行装置中进行小规模变更的情况时尤其是这样。
5.2.6.1.4在一些国家,第三阶段进行的功能安全评估工作常被称作预-开工-安全-审核(PSSR)。
5.2.6.1.5没有提供更详尽的指导说明。
5.2.6.1.6没有提供更详尽的指导说明。
5.2.6.1.7评估小组必须易于获得进行评估工作必需的任何资料。
这些资料还包括来自危险与风险评估的资料,设计阶段以及安装,投料试车和有效性的资料。
5.2.6.2审核和修订
5.2.6.2.1该分项条款利用图表来说明相关行动,提供关于审核工作的指导说明。
A)审核分类
安全仪表系统审核了与装置管理,仪表维护工程和仪表设计工程相关的有益资料。
这样有助于管理工作以及了解安全仪表系统的执行程度和有效性。
许多类型的审核工作,都可以完成。
任何一个具体建议的审核实际类型,范围和频率必须都可反映出安全完整性建议的潜在影响。
审核的类型包括:
1)审核,包括独立的和自我审核。
2)检查
3)安全参观(例如,装置巡检和事故回顾)。
4)安全仪表系统观察(通过调查表)
“监察和检查”与审核行动之间需要进行区分。
监察和检查主要是评估具体安全使用周期行动的完成情况(例如,监督人员检查部件返修之前维护工作的完成情况)。
相比较而言,审核工作更复杂些,重点是有关安全使用周期的安全仪表系统的整个执行情况。
审核工作还包括确定是否要完成监察和检查程序。
审核和检查工作可以由公司/现场/装置/项目自己的员工(例如,自我审核)或者独立的人员(例如,公司审核人员,质量保证部门,控制人员,客户或者第三方)来完成。
不同等级的管理工作也可采用相关的审核类型来获得安全仪表系统执行情况有效性的资料。
来自审核的资料可用于识别那些没有正确使用的程序,以便改进执行情况。
B)审核策略
现场/装置/项目执行审核程序也可考虑滚动式程序,独立程序或者自己审核程序和检查程序。
滚动式程序要定期更新以反映以前的安全仪表系统性能和审核结果,和当前关系以及正在执行的优先程序。
这些程序包括所有现场/装置/项目相关的行动以及合适的时间内安全仪表系统的状况。
审核的主要原因以及增加值依据所提供的资料,这些资料以时间为顺序。
行动的目的是加强安全仪表系统的有效性,例如为了降低员工或者公众成员受伤或者死亡的风险,要致力于改善安全文化,致力于防止任何不可排放物质进入环境中。
总的来说,审核策略可以是多种形式的,通过管理来运作(客户),以便反馈管理链的相关资料及时采取行动。
C)审核程序和协议
所有的目的都是为了更好的执行审核,当各方(包括审核人员,联络员,装置经理和部门的领导等)了解审核的需要时才可执行并影响各个审核行动。
以下审核过程和协议可以保证执行这些目的的一致性。
审核过程分为5个关键步骤:
1)审核策略和程序
必须清楚确定各个审核工作的目的。
确定审核分组,以及各个审核组的任务和责任。
必须具备审核策略。
必须有审核程序。
必须定期检查审核过程,程序和策略的执行情况。
2)审核的准备情况和预计划情况
开始审核之前,现场/装置/项目的高级经理和/或者合适的审核协调人员必须确定一个联络员。
审核人员和联络员必须在早期进行讨论,了解以下情况并达成一致意见。
――审核的范围。
――审核的时间。
――需要在场的人员。
――审核或者审核标准的依据。
――准备阶段将投入特别多的精力,并涉及到装置人员,这样才能增加审核工作优质完成的可能性。
以下内容应作为各个阶段时间划分的一个指南:
――审核准备工作:
30%
――进行审核:
40%
――报告结果:
20%
――审核的后续情况:
10%
审核人员必须为审核作准备工作,包括收集资料,程序/说明和数据等,以及在合适的时候准备检查清单。
如果发现严重的问题/故障,审核人员必须着重强调并解释在审核期间可能发生的审核范围变更的可能性问题。
3)进行审核
在确定审核期间,审核人员要连续工作数日,还要注意现场/装置/项目人员可能造成的负面影响。
在确定审核结果期间,联络员必须定期地简要介绍情况,以避免审核结束时出现意外情况。
审核人员必须在审核过程中尽量与装置人员沟通,将(过程和结论)中学到的东西传达给执行人员。
审核人员的做事方式对审核顺利完成起着至关重要的作用――他必须乐意提供帮助,有建设性,有礼貌,认真和客观。
至少审核人员必须就范围和时间表达成一致意见――变化情况需要进行讨论。
4)报告结论
在审核结束或者稍后时候,审核人员必须举行一个结束会议,但要在提交最终报告之前。
应进行适当处理以便对报告草稿和结论提出意见,如果需要,还可在一个正式的闭幕会上谈论这些内容。
通常的做法是制定一个现场/装置/项目的行动计划,来说明报告的结论。
5)审核的后续工作
审核报告通常要求以行动计划的形式作出回应。
审核人员可以在一个合适的日期或者下一个审核工作时核实行动的完成情况。
可以使用现场/装置/项目跟踪系统来检查行动计划的执行情况。
各个审核小组的审核结果必须定期进行审查/汇总,其结果应广为告知。
审核的结论/结果可以用于核实审核工作的频率,贯穿到安全仪表系统的管理审核中。
5.2.6.2.2该分项条款强调了审核过程中变更管理所起的作用。
5.2.7.SIS配置管理
5.2.7.1要求
5.2.7.1.1为了在设备使用期内对设备进行管理并保持其可追溯性,可以建立一个机制来识别,管理和跟踪各个设备的型号和版本。
在安全使用周期的最早阶段,必须针对各个设施给出一个独特的装置识别方法。
在某些情况下,还要保持和控制仍在使用的较早的型号和版本。
这是配置管理程序的第一步,必须与以下事宜一起考虑:
配置管理系统必须包括:
A)在使用周期的所有阶段内,所有设备识别程序的规定。
B)各个设备(包括软件)的型号和版本独特的识别方法和组成状态,(包括供货商,日期,并在适用的地方,改变最初规定的型号和版本。
C)故障观察和审核中采取的所有行动和变更的识别方法和可追溯性。
D)文件发行投入使用的管理,识别相关设备型号和版本的状态。
E)制定保护措施确保在操作期间SIS上不会进行未授权的变更/修改。
F)各个软件版本的识别方法,还包括一个具体版本的完整设备。
G)一个或者多个装置内多个SIS更新的规定。
H)授权使用的文件。
I)设备批准使用的授权签字人员名单。
J)配置管理中的级间/阶段设备。
K)相关交付文件的管理。
L)设备各个型号和版本的识别方法。
●功能规范
●技术规范
M)确定SIS管理和维护中涉及的所有部门/机构,指定和了解所承担的责任。
6.安全使用周期要求
6.1目的
任何工艺设施内取得的功能性安全都取决于大量的以令人满意方式完成的行动而定。
在安全仪表系统内采用系统的安全使用周期方法的目的可以保证执行功能安全所必需的所有行动都可以完成,并且证明这些工作都已按照合适的顺序完成。
IEC61511-1在图1和表2中说明了典型的使用周期。
IEC61511-1中第8到16条款给出了各个使用周期的要求。
如果所有要求都以满足,标准所规定的行动可以通过不同的方式来构建。
如果允许安全行动以更好的方式合并到一般项目程序中,则该重新构建项目才是有益的。
IEC61511-1第6条款的目的是确保是否使用了不同的安全使用周期,各阶段使用周期的输入和输出都已定义,并已考虑到所有的基本要求。
6.2要求
6.2.1主要考虑的问题是提前确定要使用的SIS的安全使用周期。
经验表明此问题很有可能出现,除非该行动已经提前计划好,并且所有负责任的人员,部门和机构已达成一致意见。
最好的情况,一些工作会被推迟或者重新来做,如果是最坏的情况,安全会打折扣。
6.2.2虽然这不是一个要求,但是一般在工程早期有利于对工艺项目使用周期的SIS安全使用周期做出计划,包括本项目使用的IEC61511-1标准图8方框中的内容进行计划。
做这个工作时,必须考虑开始安全使用周期行动所需的资料以及可能提供资料的人。
在某些情况下,不可能确定给出一个特定问题的准确资料,直到设计阶段的后期。
在这种情况下,必须依据先前的经验,进行评估,随后确认数据。
如果是这种情况,必须在安全使用周期上进行说明。
6.2.3安全使用周期计划的另一个重要部分是确定在各个阶段要使用的技术。
这些技术的识别是很重要的,因为经常会用到一个具体的技术,而该技术需要人员或者部门拥有特殊技能和经验。
例如,一个特定应用的结果可能是取决于故障事件发生后形成的最大压力。
并且确定的唯一方法是开发工艺的动态模型。
动态制模所需的资料对设计工艺有重要影响。
7.验证
7.1目标
验证的目的是确保在实际中,通过验证规划确定的各个安全使用阶段的行动都已完成,阶段所需的输出数据,不管是以资料方式,还是硬件或者软件方式,
都已给出,并适用于各自用途。
7.1.1要求
7.1.1.1IEC61511-1给出了有自己验证程序的机构,不需要一直用同一方法来完成。
实际上,该分项条款的目的是提前规划所有的验证行动,以及要使用的程序,措施和技术。
7.1.1.2没有给出更详尽的指导说明。
7.1.1.3重要的一点是提供了验证结果,因此可以说明安全使用周期的所有阶段都进行了有效验证。
8.工艺危险和风险评估
8.1目的
整个目的是要制定安全功能的要求(例如,保护层),以及为确保安全工艺所需的相关性能等级(风险降低)。
在工艺部分有多个安全保护层是很正常的,这样单个保护层的故障就不会引起严重的危害后果。
IEC61511-1图9给出了典型的安全保护层说明。
8.2要求
8.2.1危险和风险评估的要求只能根据任务的结果来确定。
这意味着机构可以使用任何有效的技术,并给出安全功能和性能相关等级的详细说明。
危险和风险评估报告必须识别和强调说明在所有可能预见的情况下(包括故障状况和可以预见的错用状况)发生的危害和危险事件。
对于一个典型的项目,在基础工艺设计阶段的早期必须完成初步的危险和风险评估报告。
该阶段的假定情况是通过基本的安全原理应用和成功工程惯例的应用来最大限度地消除或者降低危险(危险降低措施的行动不在IEC61511范围内)。
对SIS而言,这个初步的危险和风险评估报告是很重要的,因为制定,设计和执行SIS是一个很复杂的任务,还要花费很长的时间。
早期进行这项工作的另一个原因是在工艺和仪表图完成之前需要系统构造的资料。
通常有足够的资料可以在工艺流程图完成后和提供初步的工艺数据后开始进行初步的危险和风