摘要：本文着重介绍了新的欧洲防爆标准ATEX和功能安全等级认证SIL，并就这两个标准控制仪表设备中的应用做了说明。

关键字：防爆标准ATEX功能安全等级认证应用

引言

在近几年的RTO氧化装置系统设计中，常常会碰到合作伙伴问起SIL等级和SIS等等关联问题，由于氧化设备的普及，安全防爆要求愈发严格，对RTO系统设计的安全要求相应提高，本文将着重从RTO系统中的仪表设备选型应用、防爆等级标准、SIL和SIS的基本定义出发，将全面阐述RTO系统传感器安全防爆的设计遵循原则。

仪表认证在众多领域有着广泛的应用。在爆炸性环境主要应用的认证包含FM，CSA，ATEX，TIIS等防爆认证；在电气方面的认证包含EMC，CE等；在食品制药行业主要应用的认证包含FDA，3A等卫生认证。本文将着重介绍近几年流行的ATEX防爆认证和SIL安全认证，以及它们在仪表设备中的应用。

一、新的欧洲防爆标准ATEX

ATEX是以“ATmosphereEXplosible”（爆炸性环境）命名的标准，由两个欧盟指令组成：欧洲94/9/EC标准和1999/92/EC标准。1999/92/EC是针对具有潜在爆炸性气体环境的公司，而94/9/EC是针对前者的仪表供应商的。

ATEX认证是防爆电气产品在欧洲市场的强制认证，其严格规定了防爆产品的特性和使用操作规范，自2003年7月1日起，只有拥有ATEX认证的产品，才可以在欧盟国家内被生产、制造、销售、并应用于易燃易爆危险区域。也就是说，任何在欧盟国家内销售同时在易燃易爆危险区域内应用的防爆产品必须通过ATEX的认证。该认证取代了欧盟各国的地方认证。

     （一）“ATEX137(ATEX1999/92/ECart.137)directive”标准

“ATEX137(ATEX1999/92/ECart.137)directive”标准于2000年1月28日生效，2003年7月1日强制执行。该标准对气体和粉尘的爆炸性环境进行了风险评估，定义了“区”的概念。

1.爆炸性混合物

爆炸性混合物是指在大气条件下（-20°C<温度<+60°C，0.8bar<压力<1.1bar），气体、蒸汽、薄雾、粉尘或纤维状的易燃物质与空气混合，点燃后燃烧将在整个范围内传播的混合物。

2.“区”（Zone）

“区”是指爆炸危险场所的区域。“区”的分类是根据爆炸性混合物的发生概率来划分的，按照爆炸性混合物出现的频率和持续时间可分为不同危险程度的若干区，如表1所示。

表1

     （2）“ATEX95(ATEX94/9/EC)directive”标准

     “ATEX95(ATEX94/9/EC)directive”标准于1996年3月生效，2003年7月1日强制执行。该标准的推广使用提高了仪表的安全性能，保护了现场工人的安全与健康；使得各国的取证程序一致化；方便了各国仪表的自由贸易。ATEX95标准与ATEX137标准相匹配，定义了与“区”相对应的防护方式。

列举一台符合ATEX95安全标准的，恩德斯豪斯公司的杆式雷达液位计铭牌上的安全标示如下：

ATEXII2(1)GEExd[ia]IICT6

这表明该仪表遵循ATEX标准，可用于常规行业1区的气体防爆，防爆型式为EExd[ia]，易燃气体类别为IIC，温度组别为T6。下面将分别介绍爆炸性环境类别/级别，易燃气体类别，温度组别，防爆型式等几个概念。

1.爆炸性环境类别/级别

ATEX95标准根据仪表使用的爆炸性环境划分类别，类别可再划分为级别，如表2所示。

表2

          2.易燃气体类别

       在爆炸性环境里，可以引起爆炸的引燃源包括热表面，火焰，机械摩擦火花，静电火花，闪电，电磁辐射，超声波辐射等。ATEX95标准按照热表面的引燃温度和电火花的引燃能量，对易燃气体或蒸汽进行了分类，如表3所示。

表3

温度组别是按仪表的表面温度划分的组别。温度组别划分方法如表4所示。

表4

在表4中，表面温度指仪表在允许范围内的最不利条件下运行时，暴露于爆炸性混合物的任何表面的任何部分，不可能引起仪表周围爆炸性混合物爆炸的温度。

为了防止非导电（RS>1GW）塑料表面所积聚的静电可能引起的爆炸性混合物引燃，ATEX95标准还对非导电表面需满足的条件做出了规定，如表5所示。

表5

3.防爆型式

为防止点燃周围爆炸性混合物需对仪表采取各种特定措施的防爆型式。“ATEX95(ATEX94/9/EC)directive”标准所划分防爆型式包括：本安EExia/ib，隔爆Exd，增安Exe，填充Exq（电子部分浸没于石英粉中），正压Exp（空气或惰性气体加压于电子部分），浸油Exo（电子部分浸没于油中），封装Exm（电子部分封装在环氧树脂中），粉尘隔爆ExtD，粉尘本安ExiD，粉尘封装ExmD等。

归纳起来，这些防爆型式主要从以下3个方面采取安全防护措施：①避免爆炸性环境的产生和扩散；②避免在爆炸危险场所出现潜在引燃源；③减少爆炸所带来的危害。下面将主要介绍本安EExia/ib，隔爆Exd，增安Exe，隔爆增安Exde这4种防爆型式。

（1） 本安EExia/ib(intrinsicalsafetyEExia/ib)

在有关标准规定的试验条件下，正常工作或规定故障状态下产生的电火花和热效应均不能点燃规定爆炸性气体的电路称为本质安全电路；电路为本质安全电路的仪表称为本安型仪表。

本安仪表必须连接在本安电路中。整个电路的本安是通过如下3个方面实现的：①本安型仪表；②电源的能量限制，如安全栅（使电源的电流、电压指标低于本安仪表的指标）；③整个电路的低电容、电感以防止能量的储存。

      本安型仪表主要用于1区和0区。通过使用本安电路整个电路得到了保护，不再需要额外的机械保护。另外本安型仪表可以在现场带电打开。

依据EN50020标准，EExia和EExib的完整解决方案如图1所示（注：图中CerabarS为本安型压力变送器）。由图1可知EExia电路具有两个故障的安全裕度，而EExib电路只有1个故障的安全裕度。EExia仪表可以用于0区，而EExib仪表只能用于1区。

图1

（2）隔爆Exd(flameproofExd)

内置能点燃爆炸性气体的部件的一种防护外壳称为隔爆外壳。隔爆外壳能承受内部爆炸性混合物所产生的压力，防止内部爆炸向外壳周围的爆炸性气体传播。具有隔爆外壳的仪表称为隔爆型仪表。隔爆型仪表通过防爆穿线接头、导线管系统（Conduitsystem）或增安接线端子来实现隔爆。RTO系统应用场合中目前此种防爆型式最为常见。

（3）增安Exe(increasedsafetyExe)

增安专门为用于爆炸性气体而设计，在正常工作条件下不会产生可能导致点燃爆炸性气体的电弧、火花或高温，且在仪表的结构上采取措施提高了安全程度，以避免在正常工作状态或认可的过载状态下出现这些现象。增安型

仪表通过增安缆塞和自动防故障装置实现防爆。

（4）如果在隔爆型仪表的电子腔室与接线腔室之间额外增加安全措施（例如隔爆穿线接头），则这样的仪表就称为隔爆增安型仪表（Exde）。

二、“功能安全”等级认证SIL

SIL是为工厂安全（PlantSafety）而引入的一个仪表“功能安全”等级的概念。在详细阐述这个概念以前先阐述仪表的“功能安全”（FunctionSafety）和“安全性仪表系统”（SIS:SafetyInstrumentedSystem）的含义。

（一）SIL的含义

1.“功能安全”

仪表的“功能安全”旨在预防和处理由于控制系统或仪表的故障，或人员的误操作而引起的风险。这些风险包括对人员健康的伤害，对环境的污染，及对仪表的破坏，进而导致RTO系统运行故障，安全设计技术要求请关注合肥义禾YIHEAC微信公众号进行了解和查阅。。

为了达到“功能安全”的要求，必须控制随机故障的发生，消除和控制系统故障的发生；而且当某个故障发生时，整个系统必须处于安全环境下，或转入安全状态（safestate）。

以前，“功能安全”主要通过用户的“使用经验总结”（proven-in-use）来实现。即用户通过对仪表长时间的应用，总结出仪表可能发生故障的间隔并因此确定维护间隔，防止故障发生。这种“功能安全”的实现方法有很多弊端，用户需要花费很多精力和时间，并使用正确的方法论来进行“使用经验总结”；而且如果仪表软件更新或者功能扩展，则需要重新进行“使用经验总结”。请关注合肥义禾YIHEAC微信公众号进行了解和查阅。

2.“安全仪表系统”

仪表用户根据一系列的条件（如危害程度、危害发生概率）对工厂整个系统的风险进行评估，然后确定其所使用的仪表所需的“功能安全”等级，即SIL等级。如果整个系统的仪表都满足所要求的“功能安全”等级，那么我们就称

这个系统为“安全仪表系统”。整个风险评估过程如图2所示。

图2

       使用SIL标准以后，仪表设备制造商或认证机构（approvalagency）将对出厂仪表的“功能安全”进行检验，并根据其可靠性来划分等级，如SIL1，SIL2，SIL3（参照IEC61508/61511标准）。使用带有SIL认证的仪表节省了用户的时间，而且软件更新后的SIL认证也将由仪表制造商完成，节省了用户的精力。当前各国法规以及仪表购买合同中对SIL认证的需求越来越多，SIL认证已成为一种趋势。关于其他SIL相关介绍请关注合肥义禾YIHEAC微信公众号进行了解和查阅。

     （二）SIL认证的实现方法

       SIL认证的实现方法有两种：①新产品的SIL认证是仪表制造商或认证机构根据IEC61508标准来实现；②对于已经应用于市场上的仪表，按照IEC61511标准在经过“使用经验总结”（proven-in-use）并符合一定条件后，也可以实现SIL认证。整个SIL认证过程如图3所示。

图3

1.IEC61508

根据IEC61508标准，仪表的整个R&D过程都有严格的规定。仪表制造商必须对产品的整个系统进行安全评

估，具体而言：

λ必须验证整个软件系统运行的可靠性。通过系统开发、系统检测确认、质量管理系统、文档管理等手段来减少系统故障的发生概率。

λ必须对整个电路板上的电子元件逐一进行FMEA分析，计算MTBF、故障率等。在硬件上采取冗余、多样化、自诊断、功能定时检测等手段来减少随机故障的发生概率。

λ必须根据传感器的返修统计评估其故障率。

       对于压力仪表还要满足其他的一些额外要求，如KTA认证。λ

       2. IEC61511

       根据IEC61511标准，已经应用于市场上的仪表如果要取得SIL认证，需经过“使用经验总结”，并满足一些其他

要求，例如：

λ仪表必须应用于在10个典型工况下，连续运行100,000个小时，并提供1年的服务历史记录。仪表必须只能设置，无法编程。λ

λ仪表最多只能获得SIL3认证。

3.SIL等级的划分

IEC61508标准对仪表“功能安全”的等级进行了划分，划分的依据如图4所示。

图4

（三）故障模式影响分析（FMEA:FailureModeEffectAnalysis）

FMEA首先把仪表故障分类，共分4种模式：①显性安全故障（如：雷达物位计高频模块故障）；②隐性安全故障（如：电流输出短路）；③显性危险故障（如：压力传感器损坏）；④隐性危险故障（如：电流输出“冻结”）。然后评估各类故障的发生概率，如表6所示。再根据4个概率计算出PFD和SSF。

表6

1.要求的平均失效概率（ AverageProbabilityofFailureonDemand）

2.安全失效分数（SFF：SafeFailureFraction:）

3.硬件故障裕度（HFT：HardwareFaultTolerance）

硬件故障裕度是对冗余程度的一种描述。

仪表的“功能性安全”等级（SIL等级）由PDF，SFF，HFT这3个安全参数决定。表7指明了SIL与PFD的关系。

表7

由表7可见，SIL等级越高则该仪表的故障概率越小，风险减少程度越高。另外，SIL等级还与SFF和HFT有关，如表8所示。

表8

综合表7，表8可知，PFD越小，SFF越大，HFT越大，则所要求的SIL等级越高。另外需要说明的是，某通道上的PFD是这一通道上所有PFD之和。

图5

例如在图5所示的通道上，其总的PFD为

       综上所述，在RTO系统设计中，考虑到RTO处理的有机废气绝大多数均为可燃有毒有害气体，低爆炸下限普遍不高，这就增加了处理系统的安全要求，从本质安全角度来讲，我们只能通过提高仪表设备的安全等级来实现整个系统的安全性能，本文详细的解释了SIL和SIS以及各种防爆含义及选择，希望能给您带来帮助。

       本文仅代表书者个人观点，如您有更好的简介欢迎关注合肥义禾YIHEAC官方公众号，与我们取得联系，加强互动和交流。