|
|
|
|
浅谈SIL认证中的一些误区 |
|
|
|
声明:本篇文章中提及的内容仅为个人观点,如转载,请注明出处!本文中阐述的SIL认证指的是IEC 61508中阐述的功能安全要求和相应的认证过程。由于国内目前了解功能安全概念的人员比较少,所以本文中采用SIL认证来近似替代功能安全认证概念,但必须说明的是,将SIL认证等同于功能安全认证的理解是不全面的。
什么是SIL等级?
所有电子/电气/可编程电子设备,甚至包括一些最精密的设备/系统都可能产生故障。SIL 概念就是用来评定故障及其后果的一种方法,评估结果是根据概率计算得出的。为了简化安全评估,SIL 概念将安全级别划分为 SIL1~SIL4 (SIL4 最高安全级别)。对于一般的过程控制控制行业中,常见的SIL等级是SIL2/SIL3,而针对核电,铁路等高度关注安全的行业,则一般执行SIL4的最高安全等级。
对于与安全相关的装置安全功能的确认,SIL 是全世界广泛认可的方法。针对过程控制行业,与之相关的国际标准主要有IEC 61508 标准(设计和运行安全仪表系统的基础根据),IEC 61511 标准主要关注过程控制应用的系统,针对装置设计人员遵照 IEC 61511 标准并根据 IEC 61508 标准来完成设计。
什么是SIL认证 (功能安全认证)?
所谓功能安全认证,就是基于IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2等标准,对安全设备的安全完整性等级(SIL)或者性能等级(PL)进行评估和确认的一种第三方评估、验证和认证。功能安全认证主要涉及针对安全设备开发流程的文档管理(FSM)评估,硬件可靠性计算和评估、软件评估、环境试验、EMC电磁兼容性测试等内容。
SIL认证的作用 – 很多人在哭,很多人在笑
本文不是技术普及文章,针对SIL认证对于保证现代工业的安全作用就不再罗嗦了,网上有很多专业文章阐述SIL技术的作用。
其实一开始很多国外设备大量进入中国的时候,首先应用最广泛的就是石油化工等过程控制行业,当初很多现场技术人员对于截断阀等现场设备上的SIL标识是什么意思都不清楚,后来慢慢的国内从业人员以及业主单位认识到了SIL等级对于安全管理的重要性,大量具备SIL2/SIL3等级的设备被应用到行业内部,这些设备主要包含ESD(紧急停车系统),SIS(安全仪表系统),F&G(火气保护系统),HIPPS(高压管线保护系统), PSD(过程关闭系统),各类现场仪表(压力变送器/温度变送器/液位变送器等) ,安全执行机构,安全阀门等。
前期大量的外资企业设备供应商,也在不遗余力的向业主单位宣传选用具备SIL认证产品的好处,后来渐渐的大量中石油,中石化分厂以及地方石化单位在选用设备的时候,在标书中明确要求需要提供SIL认证证书。于是乎,国内大量供应商在面对一个新鲜的SIL概念的时候发现了它的重要作用,那就是因为没有SIL认证,让他们只有看的份,没有参与的机会,可能很多时候,你连买标书的机会都没有。后来,很多国内供应商认识到了SIL认证的重要性,也在积极的准备SIL认证。
但是作为一名专门的SIL认证行业从业人员,在实际工作中,我发现了很多国内企业在操作SIL认证时候的一些误区。看着客户在某些关键问题上耽误了很多时间,确实觉得不忍心,我简单的总结了一下发现的问题,写出来供大家参考!
国内部分企业在操作SIL认证时的两个主要误区:
1. 延续了CE认证的模式,自己独自埋头搞设计,没有贯彻IEC 61508强调的生命周期理念,不到万不得已绝对不联系认证机构。
国内很多设计生产安全装置的企业在执行SIL认证之前,大部分都经历过CE认证,然后在惯性思维的误导下,个别企业在产品设计完成之后,甚至出了样机到了可以批量生产之后,才想起来找认证机构帮助验证SIL等级,执行SIL认证。这种方法不仅是错的,而且是大错特错的。
第一, 在这个阶段你的硬件结构、软件结构基本已经定型,如果发现一开始计划产品安全功能的时候就忽略了一些因素,那么你面临的将是大量的重新评估和修改工作,小问题还好说,如果有大问题,很有可能需要把原来的设计推到重来,请问,你浪费了多少时间?你浪费掉的时间段内,可能浪费掉多少订单?古人云“迟则生变”,你敢保证反复修改过程中,市场、人员、主流产品技术等因素不发生任何变化?
第二, 中国社会现状导致很多人心态很浮躁,如果原来研发团队的核心力量突然离开公司,对于公司管理者来说,你岂不是非常被动?有人说没事,大不了我再招几个人上来接着干。拜托,没有人清楚多长时间能找到合适的替代人选,而且即使你能够很快的安排人员到位,如果当初生命周期相关管理文档都没有,新人过来之后无所适从,需要耗费很多精力才能使研发工作走上正轨,肯定会耽误很多的时间和精力。
第三, CE认证是有样机后再作认证,这是没错的,因为CE认证要求测试的时候必须要有样机。但是SIL认证由于需要贯彻生命周期理念,整体认证内容不仅包含样机测试,还包含对整体认证流程中,相应文档管理的评估,术语叫FSM(功能安全管理)。SIL认证需要从一开始就要求认证机构介入给予指导,指明方向,这样才能提高效率,减少返工,也就是说,如果样机已经作出来了,才着手准备认证已经晚了。
2. 担心多花钱,结果反而浪费了钱,浪费了时间也浪费了订单!
很多人还有另外一种典型的心态:前期的工作我们能作多少就作多少,让技术人员自己找资料慢慢的啃着,然后摸着石头过河边走边研究,到最后实在是自己无法往下走的时候,再找认证机构帮我们完成验证和认证,这样就能节省认证机构的工作付出,从而节省下一部分认证费用。
表面上看,这种想法好像很符合逻辑,但是有一个核心的问题:在正式开始设计之前,你是否真正理解了自己需要作什么?是否真正理解了如何来完成设计工作?这段时间已经遇到过好几个这样的客户了,安全装置研发的差不多了,结果见面一聊天,对方研发人员连什么是IEC 61508标准都不清楚,生命周期是什么意思更是闻所未闻,产品拿过来一看,硬件、软件看上去还可以,但是仔细一测试,安全功能设计不合理,FMEA分析没作过,冗余有问题,诊断功能不完整,软件上也有各种各样的问题。到了最后详细一算,浪费了很长时间重新搞设计不说,期间还因为认证一直没做完,丢掉了几个很有潜力的订单,而整体认证费用不仅没省下来,反倒花的更多。
不管是一开始就联系认证机构,还是产品设计完成之后再联系,对于整体费用来讲,不会有太大差异。对于权威的认证机构来说,对于产品的审核工作是全方位而且是无法替代的,厂家自己的设计人员再牛,也必须由认证机构的人来完成大部分的工作。
有人说我自己作过部分测试,你们认证公司还要重复测试,然后重复收我们的钱,你们这纯粹是店大欺客。对于这类朋友,我只能遗憾的说您很无知。对产品进行认证,尤其是安全相关产品的认证,不是花很大一笔钱拿到的就是一张证书而已,这里面承载着我们的责任。如果经过我们认证过的产品在外面出了事故,死了一批人,污染了大片环境,不仅公司承受重大的损失,相关经手人也必然会被问责,甚至追究刑事责任。敢问,如果换成是你,你会冒着巨大的风险当甩手掌柜,拿着别人交上来的数据就直接往自己的报告里面写吗?
以上总结的观点,可能有不足之处,欢迎拍砖!无论有什么样的指教,都可以联系我,谢谢!
赵欣先生
010-65906186-308/13910216249
xin.zhao@tuv-sud.cn
北京市朝阳区东三环北路8号亮马河大厦2座9层
TÜV南德意志大中华集团 - 功能安全服务
IEC 61508, IEC 61511, IEC 61513, IEC 13849-1, IEC 62061, IEC 61800-5-2, ISO 26262, GB/T 20438, GB/T 21109, ANSI/ISA-84, 功能安全, SIL认证,SIL等级,PL等级,功能安全认证,功能安全培训,功能安全管理体系,安全完整性,安全仪表功能,故障树,马尔可夫,硬件容错,安全故障系数,故障概率,故障插入,危险故障概率,FS,FSM,SIL, SIF,FIT, FTA, FMEA, FMEDA, Markov, PFD, PFS, HFT, CCF, SFF, STL, MTTFd, HAZOP, LOPA, FTA ,1oo2,2oo3,2oo4
文字 |
|
|
|
|
评论仅代表评论人个人看法,不表明博客主人及中国工控网同意其观点或其描述 共1条评论 共1页 第1页
|
| 评论人署名:修电器的 |
|
评论时间:2011/8/14 21:15:00 |
我要发表评论 |
|
 相关博客新闻: |
|
| 相关技术论文: |
|
|
