過程控制系統(tǒng)何時才能與安全系統(tǒng)共享現(xiàn)場設(shè)備

　　安全儀表系統(tǒng)（Safety Instrumented System，簡稱SIS）是否能夠和基本過程控制系統(tǒng)（Basic Process Control System ，簡稱BPCS）共享現(xiàn)場設(shè)備？這肯定能夠節(jié)省經(jīng)費，因為通常一臺大型超低溫閥門造價就高達(dá)50萬美元。問題是如何使SIS和BPCS能夠共享閥門或者其他組件，同時還能符合標(biāo)準(zhǔn)要求。

　　相關(guān)標(biāo)準(zhǔn)

　　SIS需要按照IEC61511標(biāo)準(zhǔn)設(shè)計，以符合相關(guān)國家法規(guī)（ISA 84.00.01是IEC61511標(biāo)準(zhǔn)對應(yīng)的美國標(biāo)準(zhǔn)）的要求。此標(biāo)準(zhǔn)中陳述道，可以在安全系統(tǒng)和基本過程控制系統(tǒng)之間共享設(shè)備，但對于何時允許或者不允許共享設(shè)備做出了一些具體要求。不過，這些要求卻經(jīng)常被誤讀和忽視。最終的目的是為了避免單點故障（single point of failure），即單一設(shè)備的故障會使過程失控，并對安全系統(tǒng)發(fā)出請求，同時導(dǎo)致關(guān)斷系統(tǒng)失效，使其無法做出正確響應(yīng)。

　　要想成功地共享現(xiàn)場設(shè)備，必須要對受控制的工藝有一個深入的理解——不僅僅是對安全設(shè)備或者電子設(shè)備的理解，還需要對受控的化學(xué)工藝過程的理解。你必須了解工藝以及各種設(shè)備的使用方法，知道什么情況會導(dǎo)致設(shè)備發(fā)生故障，以及故障之后會帶來什么后果。

　　共享設(shè)備必須考慮IEC61511標(biāo)準(zhǔn)中段落8.2.1的相關(guān)內(nèi)容：

　　“為了明確安全完整性的要求，需要對系統(tǒng)發(fā)出請求的原因以及保護(hù)系統(tǒng)如何對這些請求作出響應(yīng)進(jìn)行描述。”

　　這一點并非標(biāo)準(zhǔn)要求，但是在BPCS和SIS之間共享設(shè)備的時候必須對此做仔細(xì)考慮，以確保整體風(fēng)險維持在可接受程度內(nèi)。除此之外，段落11.2.10及其注釋也給出了很多建議：

　　“除非經(jīng)過仔細(xì)分析后判定整體風(fēng)險在可接受程度內(nèi)，用來實現(xiàn)部分安全儀表功能的設(shè)備不應(yīng)該用于基本過程控制目的，因為如果此設(shè)備發(fā)生故障，就會導(dǎo)致基本過程控制功能失效，進(jìn)而導(dǎo)致發(fā)出對安全儀表功能的請求。”

　　“注釋：當(dāng)部分SIS也用于控制目的，那么通用設(shè)備的危險故障就會導(dǎo)致發(fā)出對SIS功能的請求，隨之就會引入新的風(fēng)險。額外的風(fēng)險取決于共享組件的危險失效率，因為如果共享組件失效，就會立即發(fā)出一個請求，而SIS此時已經(jīng)無法做出響應(yīng)?；谶@個原因，在這種情況發(fā)生時，必須進(jìn)行額外分析，以確保共享組件的危險失效率足夠低。在與BPCS共享組件時，傳感器和閥門通常是需要考慮的。”

　　如果一臺設(shè)備的故障會導(dǎo)致BPCS循環(huán)發(fā)出對SIS的請求，而同時會導(dǎo)致SIF失效并處于危險狀態(tài)，那么就不應(yīng)該將此臺設(shè)備用于安全儀表功能（SIF）。此條款旨在防止單點故障的發(fā)生。

　　11.2.10注釋中提到單點故障并非不可以接受，只要這種故障的頻率足夠低即可。這就要求進(jìn)行詳細(xì)的定量分析——這是一個費力的過程，很難做好，而且經(jīng)常被忽視。然而，大多數(shù)情況下，分析的結(jié)果是不允許共享設(shè)備。

　　FMEA過程

　　如果要共享設(shè)備，就要求對被共享的設(shè)備進(jìn)行失效模式和效果分析（failure modes and effects analysis ，簡稱FMEA）。這意味著對任何被分享的設(shè)備——變送器、閥門甚至整個控制循環(huán)——必須明確每一個被共享設(shè)備失效的每一種可能，以及是否這些可能會導(dǎo)致單點故障。雖然沒有明確要求，但是我們強烈建議對這些分析進(jìn)行正式的備案和核查。

　　FMEA過程首先要列出在給定循環(huán)或者功能中將會被共享的每一個組件的名單。每一個組件的失效模式都要列出，每一種失效模式將會帶來的后果都必須描述。如果一個原發(fā)故障導(dǎo)致安全功能失效，那就會造成單點故障。必須通過重新設(shè)計來消除單點故障，或者通過定量分析證明故障的頻率足夠低。

　　太多共享

　　圖1所示為一個具有較多數(shù)量共享元件的例子。碳?xì)浠衔锖退姆纸缑嫱ㄟ^液位變送器LT-101進(jìn)行監(jiān)控，過程測量結(jié)果發(fā)送給控制系統(tǒng)中的控制器功能模塊LIC-101，控制系統(tǒng)調(diào)整液位控制閥門LV-101，將罐體中的水位控制在設(shè)定點附近。功能模塊LSLL-101在本例中用來監(jiān)控低液位，實現(xiàn)安全功能。可能的失效模式和它們的后果見表1。這個例子已經(jīng)簡化過，只留兩個共享組件。實際上，DCS輸入板卡、DCSCPU、DCS輸出板卡和液位閥門都是共享組件，它們都應(yīng)該進(jìn)行失效分析。

　　圖1 共享的“最終”后果是液位限制功能模塊LSLL-101本應(yīng)該能夠提供安全功能，但是由于液位變送器或者控制閥的故障導(dǎo)致產(chǎn)生單點故障。

　　很明顯這種結(jié)構(gòu)不會被采納，但是如果安全功能獨立或者至少被部分獨立，結(jié)果會怎么樣呢？圖2中增加了一臺獨立的液位變送器LT-102，它為自己的邏輯解算器提供液位測量信號，而邏輯解算器會對低液位狀態(tài)做出響應(yīng)，切斷電磁閥電源，從控制閥LV-101獲得通風(fēng)，使其關(guān)閉。這種情況下，唯一的共享組件就是控制閥，失效模式分析見表2。

　　圖2 增加了一臺獨立的液位變送器LT-102之后，其自身的邏輯解算器會對低液位狀態(tài)做出響應(yīng)，切斷電磁閥電源，從控制閥LV-101獲得通風(fēng)，使其關(guān)閉。然而，共享的控制閥仍舊能夠產(chǎn)生單點故障。

　　情況依舊如此，僅僅共享控制閥門也不能提供足夠的保護(hù)。

　　圖3所示為具有額外獨立截止閥的情況，這種情況下的分析很簡單：由于沒有共享組件，因此也不存在單點故障。

圖3 此圖增加了一個獨立的截止閥XV-101。沒有共享組件，因此也不存在單點故障。

　　合理共享

　　有的情況下允許共享一些組件，例如氫化裂解器或者重油加氫器。在這些過程單元中，配置有一臺給料泵，給料壓力從100 psig（磅/平方英寸(表壓)）左右的低給料系統(tǒng)壓力到1000～2000 psig的高反應(yīng)器壓力。圖4所示是一套關(guān)斷系統(tǒng)，用來檢測由于泵失效所導(dǎo)致的正向流量為0。一旦發(fā)生此情況，關(guān)斷系統(tǒng)會關(guān)斷截止閥，防止流體由高壓反應(yīng)器系統(tǒng)通過給料泵倒流回低壓給料系統(tǒng)，防止產(chǎn)生泄壓的潛在可能。在給料泵失效時，流量控制器會對低流量狀態(tài)做出響應(yīng)，打開控制閥，試圖增加流量，因為當(dāng)前測得的流量（實際是0）已經(jīng)比給料流量設(shè)定點低了。因此，流量控制閥門上配備了一個由關(guān)斷系統(tǒng)控制的電磁閥，如果正向流量為0，關(guān)斷系統(tǒng)就會切斷電磁閥，以關(guān)閉控制閥。

　　圖4 此圖顯示了一個允許共享流量控制閥的例子，因為它并不會既發(fā)出請求又導(dǎo)致保護(hù)功能失效，所以它并不會導(dǎo)致單點故障。

　　這種情況下，可以允許共享控制閥，因為它并不會既發(fā)出請求又導(dǎo)致保護(hù)功能失效，也就是它并不會導(dǎo)致單點故障。流量控制器的失效并不會導(dǎo)致流體反向流動，會導(dǎo)致流體反向流動的唯一可能就是給料泵失效，但在此例中即使閥門卡在了任意一個位置（無論打開或者關(guān)閉），它都不會導(dǎo)致流體的反向流動，只要給料泵能繼續(xù)工作。關(guān)斷操作與危險情況產(chǎn)生的原因并不相關(guān)，所以安全目的和關(guān)斷目的共享同一個閥門是允許的。通常為了提供冗余性，都會使用一個獨立的關(guān)斷閥，以防出現(xiàn)電磁閥斷電后流量控制閥仍無法關(guān)閉的情況，無論是由于電磁閥損壞還是控制閥被卡住的原因。

　　本文的討論并未包含那些允許單點故障存在的情況。因為這種情況要求對可能的故障頻率做精細(xì)的數(shù)學(xué)分析，而這種分析的花費很可能要高于購置一臺獨立的設(shè)備。

　　總的來說，IEC61511標(biāo)準(zhǔn)允許在SIS和BPCS之間共享現(xiàn)場設(shè)備，但是有一定要求，必須嚴(yán)格執(zhí)行，以防止使用不安全的方法共享設(shè)備。其中一個要求就是對共享組件進(jìn)行相當(dāng)復(fù)雜的分析，而這種分析經(jīng)常被誤讀或者沒有被正確執(zhí)行。最終必須對所有共享組件進(jìn)行經(jīng)過備案和確認(rèn)的FMEA分析。

　　案例一：分水器

　　這個事故發(fā)生于20世紀(jì)90年代中東的一處離岸生產(chǎn)平臺上。分水器將液態(tài)碳?xì)浠衔锖退蛛x開來，并將水通過油膩的排水管道存儲在一個罐內(nèi)。如圖2所示，液位變送器LT-101監(jiān)控水/碳?xì)浠衔锏姆纸缑?，并通過控制器LIC-101和流量控制閥LV-101控制水流到排水管道。安全系統(tǒng)使用獨立的液位變送器LV-102、安全PLC和電磁閥，在切斷電源后，這些裝置會從控制閥引入氣體，使其關(guān)閉。

　　系統(tǒng)已經(jīng)運行了一段時間，過程條件沒有變化。這種工況是常見的污物沉積環(huán)境，但是閥門卻從未經(jīng)過部分行程測試，而工廠操作人員并不知道，閥門其實已經(jīng)卡住了。

　　當(dāng)過程條件發(fā)生變化時，排水量減少，分水器中的液位開始降低，液位控制循環(huán)通知流量控制閥減少流量。由于閥門卡住，流量并未降低，分水器中的液位持續(xù)下降。當(dāng)液位到達(dá)液位下限時，安全系統(tǒng)做出響應(yīng)，使電磁閥斷電，但是卡住的控制閥門無法做出響應(yīng)。

　　分水器液位持續(xù)下降，直到液態(tài)碳?xì)浠衔锪魅肱潘埽細(xì)浠衔镒罱K觸及點燃源，排水管發(fā)生了爆炸，生產(chǎn)被迫停止，需要進(jìn)行代價高昂的維修。總損失超過一百萬美金，索性沒有人員傷亡。

　　正如本文另一個例子一樣，發(fā)生了單點故障——此例中的控制閥明顯不符合11.2.10條款的要求。正確的設(shè)計應(yīng)該是為SIS和BPCS分配獨立的關(guān)斷閥。在這種易發(fā)生堵塞的環(huán)境中，應(yīng)該進(jìn)行部分行程測試，否則即使為過程控制和安全功能指派了獨立的閥門，結(jié)果也是徒勞。

　　案例二：低通流量的火焰加熱器

　　美國東北部一家精煉廠中的過程加熱器具有如圖5所示的安全關(guān)斷系統(tǒng)。其在可燃?xì)怏w管道上配有XV-21和XV-22兩個關(guān)斷閥，使用獨立的安全PLC進(jìn)行控制。如果流到加熱器中的過程流體的流量下降較大，安全系統(tǒng)就會關(guān)閉與燃燒爐相連的可燃?xì)夤艿?。加熱器已?jīng)穩(wěn)定地?zé)o故障作業(yè)很長時間了，但是安全循環(huán)和過程控制都依賴于同一個流量變送器FT-101。而且，這臺流量變送器被安裝在過程流體管道下方，而不是上方，潮氣在導(dǎo)壓管中積聚。在冬季，經(jīng)歷漫長的冰凍期，沒有人發(fā)現(xiàn)變送器的絕熱護(hù)套已經(jīng)脫落，導(dǎo)致導(dǎo)壓管中的潮氣凝結(jié)成冰，阻斷了變送器的信號傳遞。

圖5 SIS和BPCS共享變送器FT-101，而這臺變送器失效，并導(dǎo)致SIS和BPCS同時失效，最終引起了火災(zāi)。

　　那段時間，工廠對作業(yè)方式進(jìn)行了更改，控制系統(tǒng)要求減少供給加熱器的過程流體。流量循環(huán)控制器FIC-101開始關(guān)閉流量控制閥FV-101，流量因此降低，但是流量變送器結(jié)冰了，無法對此做出響應(yīng)，從而導(dǎo)致流量控制循環(huán)輸出收緊，流量控制閥門完全關(guān)斷。由于流量低于了下限，安全循環(huán)本應(yīng)做出響應(yīng)，但是它的流量輸入也來自于同一個結(jié)冰的變送器，所以安全系統(tǒng)也無法做出響應(yīng)，所以加熱器中的管道被過度加熱而破裂，石腦油和氫氣泄露至加熱器的燃燒室中。加熱器完全報廢了，其他設(shè)備也有損壞，生產(chǎn)被迫停止，總損失超過一千萬美金。幸運的是，沒有人員傷亡。

　　問題的關(guān)鍵在于控制循環(huán)和關(guān)斷循環(huán)使用了同一個流量變送器，構(gòu)成了單點故障，也就是在產(chǎn)生不安全條件的同事組織安全系統(tǒng)對此做出響應(yīng)。很明顯這不符合IEC61511標(biāo)準(zhǔn)中11.2.10條款的要求。必須進(jìn)行合理設(shè)計，為控制器配備一個獨立的變送器，并且為關(guān)斷系統(tǒng)配備獨立的變送器以避免單點故障。

　　國內(nèi)知名的學(xué)術(shù)專家和企業(yè)代表就上述內(nèi)容結(jié)合中國實際發(fā)表了各自的觀點：

　　按照IEC61508的安全標(biāo)準(zhǔn), 過程控制系統(tǒng)與安全系統(tǒng)應(yīng)相互獨立, 包括現(xiàn)場傳感器、最終執(zhí)行器、邏輯控制器。在過去的實際項目中，對于一些安全等級為SIL1的安全儀表功能，過程控制系統(tǒng)與安全系統(tǒng)會共享現(xiàn)場傳感器和最終執(zhí)行器, 節(jié)省項目的投資。

　　隨著智能技術(shù)的發(fā)展， 診斷已經(jīng)擴展到過去無法檢測的現(xiàn)場設(shè)備，大大降低了現(xiàn)場設(shè)備本身的故障而出現(xiàn)的安全事故的可能性。過程控制系統(tǒng)與安全系統(tǒng)的無縫集成，使得過程控制系統(tǒng)可以非常便捷地共享安全系統(tǒng)現(xiàn)場設(shè)備的參數(shù)和狀態(tài)信息。當(dāng)然， 共享現(xiàn)場設(shè)備要進(jìn)行相應(yīng)的安全評估，有相應(yīng)的風(fēng)險降低措施，并且安全標(biāo)準(zhǔn)對現(xiàn)場設(shè)備進(jìn)行管理。