摘要:阐述了安全仪表系统投入运行前与运行后进行的测试内容和要求,给出安全仪表功能(SIF)各组成部分的离线测试和在线测试的内容和指导原则,对实施离线测试和在线测试的流程、测试要求及方法等方面进行了详细的分析和讨论。所提出的系统和各部件的测试内容、测试要求以及测试流程和技术方法等为规划和管理安全仪表系统SIF整体安全生命周期的功能安全测试与验证提供有力的指导,也为安全仪表系统的分析、设计、开发、运

　　摘要:阐述了安全仪表系统投入运行前与运行后进行的测试内容和要求,给出安全仪表功能(SIF)各组成部分的离线测试和在线测试的内容和指导原则,对实施离线测试和在线测试的流程、测试要求及方法等方面进行了详细的分析和讨论。所提出的系统和各部件的测试内容、测试要求以及测试流程和技术方法等为规划和管理安全仪表系统SIF整体安全生命周期的功能安全测试与验证提供有力的指导,也为安全仪表系统的分析、设计、开发、运行和维护等各阶段活动提供参考。

　　安全仪表系统(SIS)在石油、化工等流程工业领域中的应用越来越多[1]。人们对SIS的依赖性逐渐增强,同时,系统安全功能失效导致的危险也在增加。安全仪表系统作为保障生产安全的重要措施,需要在危险发生时正确地执行其安全功能[2],系统投入运行前和运行后严格而有效的测试验证是维持所需安全完整性等级(SIL)和保证系统功能安全的关键。虽然IEC61511对安全仪表系统的分析、设计、实施、运行和维护给出了相关的指导原则,但对于安全仪表系统如何进行合理、有效的测试,尤其对安全仪表功能(SIF)器件及系统测试的要求、测试方法和测试流程等各方面并没有进行详细阐述。

　　目前,我国在安全仪表系统测试验证的要求、技术方法与测试流程等方面的专项研究刚开始,现有工程上的安全仪表系统的测试验证基本上采取常规过程控制系统的测试方法进行,缺乏针对SIS的具体测试技术方法、流程和规范的指导,测试的要求也不明确,无法满足SIS的测试要求和整体安全生命周期的功能安全管理要求。因此,研究安全仪表系统投入运行前和运行后各阶段SIF的各部件及系统的具体测试要求、测试技术方法和测试流程来保证SIS的功能和性能具有重要的现实指导意义。

　　笔者阐述了安全仪表系统投入运行前与运行后进行的测试内容和要求,给出SIF各组成部分的离线测试和在线测试的内容和指导原则,对实施离线测试和在线测试的流程、测试要求及方法等方面进行了详细的分析和讨论。所提出的系统和部件的测试方法、流程和测试要求等内容可为规划和管理安全仪表系统SIF整体生命周期的测试验证提供有力的指导,也为安全仪表系统的分析、设计、开发、运行和维护等各阶段活动提供参考。①

　　在SIS安装到企业现场前需要对逻辑演算器和相关软件一起进行测试,这种测试称为工厂验收测试(FAT),有时也称为集成测试,目的是确保逻辑演算器及相关软件满足安全要求规范中定义的要求[3],FAT测试可以较容易地将错误尽早地辨识出来进行校正。进行FAT测试前,需要编制计划确定实施测试的类型、测试用例、测试描述和测试数据、与其他系统或接口的独立性、测试环境和工具、逻辑演算器配置、判断测试完成的测试准则、测试失败时的校正流程、测试人员的资格、测试的地点这几部分。其中,测试的类型包括黑盒系统功能性测试(把系统视为一个“黑盒”的测试设计方法,从而无需使用系统内部结构知识,有时又称为行为测试、功能性测试、密封盒测试)、性能测试(定时、可靠性、可用性、完整性、安全目标和约束)、环境测试(EMC、寿命和应力测试)、接口测试、在各种降级和/或故障模式下的测试、异常状态下的测试、SIS维护和操作手册的应用。对于每一个测试,应包含所使用测试计划的版本、项目测试的说明、测试活动的日志、使用的工具、设备和接口等内容。工厂验收测试应该进行建档,它是整个安全系统文档的一部分,根据IEC61511-1要求,应包含测试例子、测试结果、目标和测试标准是否满足等内容。如果测试过程中出现失败,则应把失败原因写入文档,并进行分析,采取相应的改进措施。

　　在安全仪表系统的SIF正式投入使用前,需要对SIF的部件进行校准测试和性能确认。校准测试设备应出于认可的标准性能组织,用于对传感器、到终端输出设备整个回路进行满量程的至少三点校准(5%、50%和95% ),以防止标定错误。对阀门也应该进行校准测试,以校验其行程的全开和全闭位置。

　　SIF中每种类型的部件都应有校准程序。一般来说,应该使用部件制造商推荐的校准程序。在有额外要求(如传感器或阀门的响应时间)以满足SIF的特殊功能时,在校准过程中这些都应该进行测试。SIF元件校核的程序应验证新近校验的现场传感器与过程的实际读数是合理一致的。表1给出了校验任务的指导方针及校验SIF部件的资源。

　　是否应将SIF作为一个集成系统进行测试或对SIF的不同部分在不同的时间进行测试有不同意见。很多标准中并未要求SIF所有测试必须同时进行。在引入危险物质前,作为预启动验收测试的集成测试必须进行以确保SIF可实现安全要求规范中所规定的功能。这些未检测到失效的测试是逐步进行还是整体集成进行功能测试并不重要,重要的是失效能被及时发现并进行了校正[4]。通常,根据SIF的完整性要求安排测试。SIS的不同部分可能要求不同的测试频率,校验测试的频率与平均失效概率(PFDavg)计算时所使用的测试频率一样。

　　用于发现可能导致SIF失效最主要的手段是离线功能测试,它是在被保护的过程不处于工作状态下进行的,可以验证所有的SIF性能。由于有很多过程的作业周期大于为保障安全完整性要求所进行的测试周期,而离线测试必须停产,流程工业中系统停车的成本较高,启动生产和停产的过程通常又是过程生命周期中危险性最高的阶段。因此,能在过程运行的情况下,具备执行在线测试的能力是必需的。无论测试是离线还是在线进行,都需有一定的方法,在一定的要求下来实施以确保能以较高的概率检测出可能发生的故障。

　　每个SIF都应该有具体的书面测试流程,内容包括: SIF包含的安全功能列表;每个安全功能的设描述及位置;每个安全功能的功能逻辑;检查程序;校核和测试方法;校核、测试、检查及维护活动的频率;指定可接受的性能限值(若无指定限值,为量程2%偏差);若需要的话,指定测试顺序;指定应该进行测试的人员;指出进行测试时的过程状态;如果SIF逻辑映射在BPCS中,测试应该显示SIF驱动的终端控制设备;在测试完成后验证SIF的操作状态;内部和外部诊断测试;核对附属服务元件是工作状态的;定义一种方法,保证测试能够进行并有记录。所有的测试程序都应包含测试的系统,在流程中每一页中都有页码及修改的日期。在测试流程中应制定维护每一个流程的负责人。

　　离线测试可对SIS中的每个SIF(包括应用软件、硬件设备及用于在线测试的相关逻辑设备)进行完整的测试。要将每个SIF及其相关输入、输出及逻辑都辨识出来进行校验,制定的测试程序要明确每个SIF是如何进行验证的。实现测试所必需的所有装备(包括具备追踪功能的校准设备等)都应进行标识和校验。SIS的全面功能测试包含所有的SIF各部分及其动态性能,如热电偶、变送器、输入周期时间、逻辑周期时间、输出信号周期时间以及所有必需的终端控制单元,以确保满足性能指标[5]。确定离线测试如何进行是非常关键的,下面给出SIF部件进行离线测试的测试内容、方法和流程。

　　验证对象为传感器,测试内容包括检测部分、开关或变送器、布线和逻辑演算器输入模块等;验证对象为逻辑演算器,测试内容包括与每个输入设备相关的软件和硬件、集成输入、跳变(trip)设定点、运行顺序、诊断和计算等;验证对象为最终控制单元,测试内容包括逻辑演算器输出模块、布线、执行设备(如继电器)和影响过程运行的最终控制部分;验证对象为单个SIF和整体系统的功能,测试内容包括安全参数在某个指定时间内必须动作的响应速度、将SIF输出带入安全状态的手动停止功能、用户实施的诊断、测试后的SIF可操作性。如果SIF元件经过维修或被替换、替代过,那么校验和测试有所不同。对于现场设备(如变送器、继电器、开关、阀门等)要进行校准,验证开关设定和阀门行程,同时,验证SIF修改或替代器件能正确运作,如所有修复或替代器件输入/输出的功能测试;对从替代传感器到SIF中其他器件信号流的功能性校验;从逻辑演算器到替换阀门的信号流的功能性校验。对于逻辑演算器及I/O模块,如果逻辑演算器系统包含有内部诊断和报告可以验证器件的可操作性,那么所替代的逻辑演算器器件其输入至输出的功能测试就不必要。

　　利用被测试逻辑设备的PLC编程器及HMI对所编程的逻辑功能进行逐项测试。彻底检查和核对内部的校验用换算系数。通过人工改变输入和输出值来测试量程范围。利用认证的检测仪和PLC来测试每个传感器,验证PLC获得的测量值经换算是否与检测仪的测量值一致。若两者的差值超过测量范围2%,则其性能是不可接受的。下面给出复杂逻辑系统的功能测试的流程和要求。

　　当模拟输入现场值范围改变时,安全PLC配置计算机用于校验正确的SIS程序值。为功能性检查与SIS变化相关的模拟和数字输入,确认PLC逻辑能正确读取数字输入状态和0%、50%及100%的模拟输入信号值;任何一个输入点都不禁止,除非需要禁止一个不需要的停车功能。为功能性检查SIS变更相关的数字或模拟输出需激励一个逻辑输入信号使得其输出值发生状态变化或产生一个已知模拟值,或者是禁止相关的输出寄存器并输入一个强迫值,输出设备响应必须进行现场确认。

　　SIF阀门的测试应确定阀门是否能满足安全要求规范中提供的功能要求。通过人工打开(或关闭)阀门或单独启动(或停止)电机的测试需重复两、三次,以保证阀门能正确动作。通过人工改变线性控制装置如控制阀的输出值,观测HMI的反馈值和设备本身来观察设备的响应。记录HMI每个阀门现场的反应和在HMI的显示值。除了满行程测试之外,有些情况下,阀门测试涉及到泄漏测试,这时对阀门的最大泄漏速率有规定。如果阀门行程速度很重要,则需测试确定并记录行程所需时间。行程时间应包括从输出信号变化到阀门位置变化的时间,而不仅仅是阀门行程动作的开始和结束时间。

　　所有人机交互界面上的SIF变量的显示,无论是操作员站的显示还是面板上的灯,都应按变量逐个进行核实。测试过程中应对过程变量的正常范围、预报警及跳变点的设置以及其他变量信息进行验证和存档。应分别记录测试前(as found)值和测试后(as left)值。只要提供SIF的信息,应对所有显示界面的标识和访问控制进行验证。如果HMI用于SIF的启动输出功能或者人工停车功能,则该功能也应进行测试。

　　对所有与其他系统(如基本过程控制系统)的通信均应进行测试,以验证来自SIF的数据和信息能正确传输到其他系统。所有传输的信息除了与SIF上的信息相比外,还都应将所发送的信息与接收到的及系统中显示的信息进行比较。应该对阻止BPCS操作员站的信息传输给SIF逻辑演算器的安全措施,尤其是用于防止对SIF应用软件进行非法更改的措施进行验证。在BPCS操作员站对SIF中的逻辑进行更改测试,以验证其不可更改。