以我的经历告诉你仪表安全认证流程及注意事项

本贴以某开关量输入安全栅取得TUV功能安全认证为例，介绍基于IEC 61508标准的功能安全认证的过程，并对认证过程中各步骤顺序、各阶段主要工作、德国认证审核工程师最新要求变化等核心步骤进行了详细的介绍。为用于过程测试和控制装置等产品取得功能安全认证提供参考。

大约2010年左右，很多中石油、中石化单位选用设备时，在标书中明确要求需要提供功能安全认证证书。若没有功能安全认证，仪表厂商错失了很多参与机会，大家逐渐认识到了功能安全认证的重要性，开始积极准备功能安全认证。相信有人也是一样，刚接触认证时很茫然，不知从哪做起。本文结合开关量输入安全栅功能安全认证实际经历，介绍认证要求、认证流程和注意事项。
安全认证流程yunrun.com.cn/news/1940.html
功能安全认证对于现代工业的安全作用这里就不班门弄斧了，网上有许多专业文章阐述功能安全的作用。本文主要开关量输入安全栅为例，基于IEC 61508标准进行功能安全认证的过程介绍。

1、防爆认证安全栅作为防爆产品，若想进入国际市场，必须符合强制性国际防爆认证要求，在功能安全认证之前需取得相关防爆认证。很多认证机构都会提供IECEX防爆认证流程的介绍。
①申请单位向IECEX体系授权的认证机构以书面形式提出认证的申请，及相关产品文件资料。机构受理后，申请单位与认证机构签订委托认证合同。
②认证机构对申请认证产品进行防爆型式检验(包括图纸文件防爆审查和样机试验)；审核防爆检验报告。
③认证机构对申请认证的制造单位进行工厂质量条件检查。
④认证机构对型式检验结果和工厂检查结果进行评价，评价合格颁发IECEX认证证书。
⑤认证机构对申请单位实施年度监督。

实际上，因功能安全认证审核需进行仪表安全完整性的评估，有可能改动电路，影响防爆参数；或防爆认证审核时要求电路调整，产品的安全完整性需重新评估，所以推荐防爆认证和功能安全认证同步进行，以免造成时间、人员、费用等不必要的浪费。根据大量公司取证经验，建议先行提交防爆认证原理图纸和功能安全认证概念阶段的审核，等防爆相关图纸审核通过后，可转向功能安全认证的FMEA分析、FIT测试、EMC/环境测试等工作。待以上完成，原理图和电路图可基本确定，可继续防爆认证后继的文件定稿、样机测试、工厂审核等工作。

2、功能安全认证
功能安全认证流程大致可分为概念阶段审核、主检阶段审核、工厂审核和德国复审及发证；再细分的话主要工作又可分为设计开发文档管理评估，硬件可靠性计算和评估、EMC电磁兼容性测试、环境测试等。本文介绍功能安全认证流程是以开关量输入安全栅为例的，开关量输入安全栅为纯硬件电路设计，无需软件安全完整性的审核评估，其他的仪表可能还需要进行软件安全完整性的审核评估。
安全栅yunrun.com.cn/product/list_85.html
①概念阶段
◆ 安全计划(SP)
安全计划中确定项目组织、项目人员及资质、安全生命周期划分、故障避免措施计划、变更处理程序、配置管理等信息。

                               
登录/注册后可看大图

图1  项目组织图
◆ 验证确认计划(VVP)
验证确认计划中确定安全生命周期各阶段验证活动、确认的输入、输出文件和验证人。
◆ 安全需求规范(SRS)
安全需求规范中确定安全功能、安全状态、输入/输出描述和参数、故障响应时间、SIL安全完整性等级、安全栅在整个安全回路中所占比例（TUV推荐值10%）、安全失效分数SFF、硬件故障裕度、检验测试间隔、操作模式、环境要求等。
◆ 安全概念(SC)
安全概念中确定可靠性框图，功能框图(功能安全部分用不同颜色区分)各功能块的功能、各功能块使用的诊断措施(满足对应SIL等级)各功能块诊断测试间隔、诊断后各功能块如何进入安全状态。
实际上，为确保安全失效分数满足SIL等级，减少后期文档调整，本司认证的安全栅首先进行简单降额和FMEA分析摸底，尽可能排除严重的设计缺陷。
◆ 需求追踪表(RT)
另外还有一非常重要文档贯穿整个认证周期，那就是需求追踪表：安全需求规范(SRS)、安全概念(SC)以及测试计划(TP)、测试报告(TR)等文档中每个安全相关项均使用序号(SR1、SC1、TP1、TR1等)行排序，体现各文档间安全相关项的关系，方便各个文档间的相互追踪。
认证机构的审核意见会以LOP文档形式发给申请单位，经过几轮修改，LOP中认证机构意见全部关闭，就表示安全栅通过了认证机构概念阶段的审核评估，认证进入了主检阶段。

② 主检阶段
主检阶段任务：进一步的功能、安全和环境测试，验证是否达到定义的安全功能和SIL等级。
◆ 降额报告
莱茵TUV要求器件降额，在2/3原则和GJB/Z 35-93中的2级降额中选择严酷的一种要求执行；本安器件保险丝、齐纳管等降额参照国标GB 3836要求执行。如有器件降额不满足降额要求，则需重新选择合适器件。
表1    降额        

---

元件  名称   规格                            降额参数                      手册   要求降额             实际      实际降额                        结论         

---

电感  L1      422776156                 瞬态电流(A)                   0.8      0.67                  0.06       0.09                               pass
                                                   介质耐压(V)                   800     0.5                    30         0.0375                            pass
                                                   工作电流(A)                   0.4      0.6                    0.03       0.075                             pass
                                                   热电温度(℃)                  85       THS-(25~10)     60.063   小于THS-(25~10)            pass        

---

电容  C1      C2012N102N101T     工作电压(V)                  100      0.6                    29.         0.299                             pass
                                                   最高额定环境温度(℃)    125      TAM-10            60         小于TAM-10                   pass         

---

◆ FMEA分析报告
a、确定产品结构，按照可靠性框图，将整机拆为多个功能块。
b、选取合适的可靠性数据库，器件失效率基准值λref可通过查阅西门子数据库SN 29500获得，也可通过厂家获得；参与计算的置信度要求为70%，如果厂家提供的置信度为60%，需折算：λ70% = λ60%×1.204,/,0.917
c、确定环境条件(如温度、压力等)：FMEA分析时，需根据器件实际使用的电压、电流、温度等数据，参照西门子数据库，计算失效率λ实际值。
d、参照IEC 62061附录D中器件失效模式以及各失效模式所占比例，分别计算各功能块的失效率总和、安全失效分数SFF，要求每个功能块的SFF值均满足相应SIL等级。
表2 功能块安全失效分数计算         

---

ID 数量 规格           功能  失效模式         失效影响                               危险判据  诊断措施 DC  λ      λs       λD   λDD  λDU   SFF         

---

        U6  1    MAX3256  全桥  开路               无影响或输出失电，进入安全状态     0     无           0   16.4   3.28    3.28    0      0
                                     任意两端短路  无影响或输出失电，进入安全状态     0     无           0            3.28     0        0      0
                                     卡阻               无影响或输出失电，进入安全状态     0     无           0            3.28     0        0      0
                                     输出寄生振荡   安全功能丢失                                 1     无           0            0         3.28    0     3.28
                                     值改变             无影响或输出失电，进入安全状态    1     无           0            3.28     0        0     0               

---

        C62 2   0603 5%    滤波  开路               无影响                                            0     无           0    44    14.67   0        0      0
C43      CL10F101          短路                F3开路输出失电，进入安全状态        0    无            0           14.67   0        0      0
                                    值改变             无影响                                            0    无            0           14.67   0        0      0
                                                                                                                                 Total   60.4 57.12  3.28     0      3.28   0.9457         

---

◆ DC-诊断覆盖率
诊断覆盖率依赖于采取的措施，它的值约为60%、90%和99%。IEC 61508-2的表A.2-表A.15为诊断测试推荐的技术和措施。
开关量输入双路输出安全栅可靠性框图如图3所示。根据德国认证工程师最新要求，继电器需作为单独功能块进行考核，参与FMEA分析。电源和输入存在共因失效，对PFD和PFH进行计算。

                               
登录/注册后可看大图

图2   可靠性框图和PFD计算
◆ FIT故障插入测试(Fault insert Test)
FIT测试是认证机构用来验证FMEA报告的正确性。FIT测试结果如与FMEA不一致，需返回设计阶段修改，或按实测结果修改FMEA报告，重新进行安全失效分数和失效率计算，核定SIL等级。
◆ 性能测试、EMC/环境测试
按照GB 3836要求，安全栅需严格进行型式试验；同时根据VVP要求，安全栅需进行整机性能测试，用于确认整机安全功能的执行。
具有功能安全的安全栅EMC测试项目、参考标准及实验等级参照IEC 2061附录E要求，其中静电放电、电快速脉冲群、浪涌项目采取加强测试要求。
◆ 体系文件
有功能安全要求的安全栅，其体系文件须同时满足管理体系和IEC 1508要求，保障安全生命周期内各项工作准确开展。
◆ 设计手册
设计手册是为实现设计功能而制定的基础文件，包括外壳、结构要求、原理、清单及功能等内容，按照标准要求尽量采用图表形式表达。
◆ 验证报告
验证是生产商在完成组装后开展的自查活动，包括电气安全符合性验证报告，边界值测试报告。
◆ 生产要求
生产要求是生产商为实现功能而制定的规范，包括功能要求、安全要求、环境要求等内容。
◆ 用户手册
用户手册是产品规格、功能、安装和操作、运行、验证测试等说明文件，包括安全提示、操作方法、故障排除等内容。
实施管理文件审核的目的在于确认实现安全要求的手段和依据是否充分且合理，文件内容是否满足安全生命周期各阶段工作需要，是否能够为实施功能安全认证提供审核依据。

当以上文件全部通过审核，认证机构安排签发仪表功能安全证书。

目前已经有不少功能安全研究机构及相关测试机构，如上海自动化仪表研究所、机械工业仪器仪表综合技术经济研究所等，均开始在国内开展了功能安全认证业务，人员不断增加、水平不断提高，安全栅仪表的功能安全认证可在国内实现。每家机构x i惯、认知等存在不少差别，建议大家还是深入学习IEC 6508，结合自己公司产品实际情况，不拘泥样板套路，早日取得功能安全证书。
作者：张红云

1、帖子是好帖。

2、安全认证么，就是屁眼喷上香水，再套上2条德国女式花裤衩，然后放个臭屁也。

3、纳粹狗子主导的东东，能安全么？没准是纳粹狗子挖坑下套，给世界人民修集中营的吧？  。。。我代表天空和大地，表示严重怀疑。