经过安全认证的传感器可以节省开支、同时提高性能,然而,必须考虑为此付出的代价。
过程安全设备和传感器,有时引入的垃圾比清除的垃圾更多。因为这些测量压力、温度、流量、液位和其他过程参数的设备,在决定过程单元输出的时候,起到了关键性的作用。一个错误的读数能够产生浪费或者夺取多条生命,造成轰动全国的大灾难。
现在,感谢先进的技术,传感器系统具有更高的智能,并因此具有更高的诊断能力。今天,传感器可以通过第三方机构的认证,取得IEC61508标准中所描述的安全完整性水平,或称为SIL。一个积极的结果就是有可能减少所使用传感器的数量,而不必降低安全程度,这将会降低布线和安装上的成本。另一个积极的影响是有可能改善过程控制,这极大地归功于传感器智能程度的提升。
英国壳牌石油公司产品进料台使用了安全认证的质量流量计。
Exida的北美总部在Sellersville(公司欧洲总部在德国Fischbacau),它提供功能安全培训、技术支持和专家团队,其合作伙伴和创始人William Goble声称:“经过认证的产品具有更好的质量,”Goble指出:优良的设计源自失败而不是
Goble的数据显示近年来通过认证的传感器数量急剧增加,数量从2003年的5种到2005年的8种再到2007年的24种。有迹象表明,供应商正在或者将要把其全部的未来产品线转换为安全认证产品。Goble指出,要想使此类传感器的优势最大化,必须正确设置系统。例如,对安全认证传感器进行诊断有可能使读数超量程,一台没有正确设置的控制器就会认为有错误发生,将过程非必要地切断。一种较好的方法就是使用保留最终值策略,只有当读数超量程达到一定时间,才会采取动作。
失败的教训
最早供应安全认证传感器的一家公司几年前被西门子能源与自动化(SEA)公司收购。Louis DiNapoli 是SEA生产安全认证传感器的过程仪表组的应用工程师和技术支持经理。DiNapoli说这些传感器与未经认证的传感器迥然不同。
例如,他们经常具有两个处理器,而且分别来自于不同供应商,基于不同的技术和实现方法。每片处理器从变送器得到输入,变送器的作用就是将物理参数翻译成电子信号输出。这两种计算方式得到的结果互相比较,如果结果类似,那么就可以确定处理器运转正常。这种新型传感器的另一种失效安全特性包括通过软件强制传感器达到某一设定状态的能力,例如80%的满量程,然后将这个结果与期望值互相比较,这为传感器正常工作提供了另一个佐证。
看待这些功能,关键要明白它们并不是用来保证读数的正确性,它们也不会阻止错误的发生。但是,DiNapoli指出,那并不是安全认证传感器的设计初衷。他说道:“你并不担心错误发生控制工程网版权所有,你担心的是不知道错误已经发生了。”传感器的失效,所带来的结果是已知的、预先确定的,这样就可以检测的到。当然,系统必须能够做到不会按照错误的值运行下去,因为这些结果本身就来源于一个错误。
当传输到外部的内部计算和结果校验之后,传感器系统就可以只使用一个变送器。DiNapoli说道:这个整个链条的前端,被证明是最难确保其可靠性的地方,这部分源于单一的过程测量机制www.cechina.cn,没有校验和对比,是无法确保可靠性的。
然而,由于提高了智能,又引入了一些精密的算法,使得可以轻松做到非直接校验。五年前,传感器的配置基本是哑巴型,现在,它们具有更高的智能性www.cechina.cn,可以提供信息,用于帮助确认安全操作进而优化进程。
例如,传感器可以使用一个寄存器,每当压力值超过三个设定点之一时,寄存器就会计数一次。设定点可以是过程设计最大值。这些计数值的柱状图可以揭示一些重要信息,例如过程压力超过设计最大值的时间比例。DiNapoli说道:这类结果可以说明设计流程或者一个控制系统是否工作正常。
另一家在安全相关传感器方面很有资历的公司是瑞士日内瓦的Endress+Hauser公司。这家公司有当地销售中心和代表处,美国总部在印第安纳州的Greenwood,这家公司还是罗克韦尔自动化公司的合作伙伴。
Gerold Klotz-Engmann是E+H公司德国销售中心安全技术部负责人。他指出公司的产品设计符合IEC61508标准要求,所有新产品的设计也都符合此标准要求。为满足此标准,要求产品具有自诊断功能控制工程网版权所有,可以检测到被动内部元件故障控制工程网版权所有,并辅以确认非软件故障和问题的机制。
公司几乎所有的产品都经过第三方认证,可以用于SIL2或SIL3安全仪表系统。系统体系结构决定了到底要使用多少安全认证传感器。例如,如果需要SIL 2 级别,那么要求相对简单,Klotz-Engmann说道:“通常单通道的体系结构搭配SI