過程控制系統何時才能與安全系統共享現場設備

　　安全儀表系統（Safety Instrumented System，簡稱SIS）是否能夠和基本過程控制系統（Basic Process Control System ，簡稱BPCS）共享現場設備？這肯定能夠節省經費，因為通常一臺大型超低溫閥門造價就高達50萬美元。問題是如何使SIS和BPCS能夠共享閥門或者其他組件，同時還能符合標準要求。

　　相關標準

　　SIS需要按照IEC61511標準設計，以符合相關國家法規（ISA 84.00.01是IEC61511標準對應的美國標準）的要求。此標準中陳述道，可以在安全系統和基本過程控制系統之間共享設備，但對于何時允許或者不允許共享設備做出了一些具體要求。不過，這些要求卻經常被誤讀和忽視。最終的目的是為了避免單點故障（single point of failure），即單一設備的故障會使過程失控，并對安全系統發出請求，同時導致關斷系統失效，使其無法做出正確響應。

　　要想成功地共享現場設備，必須要對受控制的工藝有一個深入的理解——不僅僅是對安全設備或者電子設備的理解，還需要對受控的化學工藝過程的理解。你必須了解工藝以及各種設備的使用方法，知道什么情況會導致設備發生故障，以及故障之后會帶來什么后果。

　　共享設備必須考慮IEC61511標準中段落8.2.1的相關內容：

　　“為了明確安全完整性的要求，需要對系統發出請求的原因以及保護系統如何對這些請求作出響應進行描述。”

　　這一點并非標準要求，但是在BPCS和SIS之間共享設備的時候必須對此做仔細考慮，以確保整體風險維持在可接受程度內。除此之外，段落11.2.10及其注釋也給出了很多建議：

　　“除非經過仔細分析后判定整體風險在可接受程度內，用來實現部分安全儀表功能的設備不應該用于基本過程控制目的，因為如果此設備發生故障，就會導致基本過程控制功能失效，進而導致發出對安全儀表功能的請求。”

　　“注釋：當部分SIS也用于控制目的，那么通用設備的危險故障就會導致發出對SIS功能的請求，隨之就會引入新的風險。額外的風險取決于共享組件的危險失效率，因為如果共享組件失效，就會立即發出一個請求，而SIS此時已經無法做出響應。基于這個原因，在這種情況發生時，必須進行額外分析，以確保共享組件的危險失效率足夠低。在與BPCS共享組件時，傳感器和閥門通常是需要考慮的。”

　　如果一臺設備的故障會導致BPCS循環發出對SIS的請求，而同時會導致SIF失效并處于危險狀態，那么就不應該將此臺設備用于安全儀表功能（SIF）。此條款旨在防止單點故障的發生。

　　11.2.10注釋中提到單點故障并非不可以接受，只要這種故障的頻率足夠低即可。這就要求進行詳細的定量分析——這是一個費力的過程，很難做好，而且經常被忽視。然而，大多數情況下，分析的結果是不允許共享設備。

　　FMEA過程

　　如果要共享設備，就要求對被共享的設備進行失效模式和效果分析（failure modes and effects analysis ，簡稱FMEA）。這意味著對任何被分享的設備——變送器、閥門甚至整個控制循環——必須明確每一個被共享設備失效的每一種可能，以及是否這些可能會導致單點故障。雖然沒有明確要求，但是我們強烈建議對這些分析進行正式的備案和核查。

　　FMEA過程首先要列出在給定循環或者功能中將會被共享的每一個組件的名單。每一個組件的失效模式都要列出，每一種失效模式將會帶來的后果都必須描述。如果一個原發故障導致安全功能失效，那就會造成單點故障。必須通過重新設計來消除單點故障，或者通過定量分析證明故障的頻率足夠低。

　　太多共享

　　圖1所示為一個具有較多數量共享元件的例子。碳氫化合物和水的分界面通過液位變送器LT-101進行監控，過程測量結果發送給控制系統中的控制器功能模塊LIC-101，控制系統調整液位控制閥門LV-101，將罐體中的水位控制在設定點附近。功能模塊LSLL-101在本例中用來監控低液位，實現安全功能。可能的失效模式和它們的后果見表1。這個例子已經簡化過，只留兩個共享組件。實際上，DCS輸入板卡、DCSCPU、DCS輸出板卡和液位閥門都是共享組件，它們都應該進行失效分析。

　　圖1 共享的“最終”后果是液位限制功能模塊LSLL-101本應該能夠提供安全功能，但是由于液位變送器或者控制閥的故障導致產生單點故障。

　　很明顯這種結構不會被采納，但是如果安全功能獨立或者至少被部分獨立，結果會怎么樣呢？圖2中增加了一臺獨立的液位變送器LT-102，它為自己的邏輯解算器提供液位測量信號，而邏輯解算器會對低液位狀態做出響應，切斷電磁閥電源，從控制閥LV-101獲得通風，使其關閉。這種情況下，唯一的共享組件就是控制閥，失效模式分析見表2。

　　圖2 增加了一臺獨立的液位變送器LT-102之后，其自身的邏輯解算器會對低液位狀態做出響應，切斷電磁閥電源，從控制閥LV-101獲得通風，使其關閉。然而，共享的控制閥仍舊能夠產生單點故障。

　　情況依舊如此，僅僅共享控制閥門也不能提供足夠的保護。

　　圖3所示為具有額外獨立截止閥的情況，這種情況下的分析很簡單：由于沒有共享組件，因此也不存在單點故障。

圖3 此圖增加了一個獨立的截止閥XV-101。沒有共享組件，因此也不存在單點故障。

　　合理共享

　　有的情況下允許共享一些組件，例如氫化裂解器或者重油加氫器。在這些過程單元中，配置有一臺給料泵，給料壓力從100 psig（磅/平方英寸(表壓)）左右的低給料系統壓力到1000～2000 psig的高反應器壓力。圖4所示是一套關斷系統，用來檢測由于泵失效所導致的正向流量為0。一旦發生此情況，關斷系統會關斷截止閥，防止流體由高壓反應器系統通過給料泵倒流回低壓給料系統，防止產生泄壓的潛在可能。在給料泵失效時，流量控制器會對低流量狀態做出響應，打開控制閥，試圖增加流量，因為當前測得的流量（實際是0）已經比給料流量設定點低了。因此，流量控制閥門上配備了一個由關斷系統控制的電磁閥，如果正向流量為0，關斷系統就會切斷電磁閥，以關閉控制閥。

　　圖4 此圖顯示了一個允許共享流量控制閥的例子，因為它并不會既發出請求又導致保護功能失效，所以它并不會導致單點故障。

　　這種情況下，可以允許共享控制閥，因為它并不會既發出請求又導致保護功能失效，也就是它并不會導致單點故障。流量控制器的失效并不會導致流體反向流動，會導致流體反向流動的唯一可能就是給料泵失效，但在此例中即使閥門卡在了任意一個位置（無論打開或者關閉），它都不會導致流體的反向流動，只要給料泵能繼續工作。關斷操作與危險情況產生的原因并不相關，所以安全目的和關斷目的共享同一個閥門是允許的。通常為了提供冗余性，都會使用一個獨立的關斷閥，以防出現電磁閥斷電后流量控制閥仍無法關閉的情況，無論是由于電磁閥損壞還是控制閥被卡住的原因。

　　本文的討論并未包含那些允許單點故障存在的情況。因為這種情況要求對可能的故障頻率做精細的數學分析，而這種分析的花費很可能要高于購置一臺獨立的設備。

　　總的來說，IEC61511標準允許在SIS和BPCS之間共享現場設備，但是有一定要求，必須嚴格執行，以防止使用不安全的方法共享設備。其中一個要求就是對共享組件進行相當復雜的分析，而這種分析經常被誤讀或者沒有被正確執行。最終必須對所有共享組件進行經過備案和確認的FMEA分析。

　　案例一：分水器

　　這個事故發生于20世紀90年代中東的一處離岸生產平臺上。分水器將液態碳氫化合物和水分離開來，并將水通過油膩的排水管道存儲在一個罐內。如圖2所示，液位變送器LT-101監控水/碳氫化合物的分界面，并通過控制器LIC-101和流量控制閥LV-101控制水流到排水管道。安全系統使用獨立的液位變送器LV-102、安全PLC和電磁閥，在切斷電源后，這些裝置會從控制閥引入氣體，使其關閉。

　　系統已經運行了一段時間，過程條件沒有變化。這種工況是常見的污物沉積環境，但是閥門卻從未經過部分行程測試，而工廠操作人員并不知道，閥門其實已經卡住了。

　　當過程條件發生變化時，排水量減少，分水器中的液位開始降低，液位控制循環通知流量控制閥減少流量。由于閥門卡住，流量并未降低，分水器中的液位持續下降。當液位到達液位下限時，安全系統做出響應，使電磁閥斷電，但是卡住的控制閥門無法做出響應。

　　分水器液位持續下降，直到液態碳氫化合物流入排水管，碳氫化合物最終觸及點燃源，排水管發生了爆炸，生產被迫停止，需要進行代價高昂的維修。總損失超過一百萬美金，索性沒有人員傷亡。

　　正如本文另一個例子一樣，發生了單點故障——此例中的控制閥明顯不符合11.2.10條款的要求。正確的設計應該是為SIS和BPCS分配獨立的關斷閥。在這種易發生堵塞的環境中，應該進行部分行程測試，否則即使為過程控制和安全功能指派了獨立的閥門，結果也是徒勞。

　　案例二：低通流量的火焰加熱器

　　美國東北部一家精煉廠中的過程加熱器具有如圖5所示的安全關斷系統。其在可燃氣體管道上配有XV-21和XV-22兩個關斷閥，使用獨立的安全PLC進行控制。如果流到加熱器中的過程流體的流量下降較大，安全系統就會關閉與燃燒爐相連的可燃氣管道。加熱器已經穩定地無故障作業很長時間了，但是安全循環和過程控制都依賴于同一個流量變送器FT-101。而且，這臺流量變送器被安裝在過程流體管道下方，而不是上方，潮氣在導壓管中積聚。在冬季，經歷漫長的冰凍期，沒有人發現變送器的絕熱護套已經脫落，導致導壓管中的潮氣凝結成冰，阻斷了變送器的信號傳遞。

圖5 SIS和BPCS共享變送器FT-101，而這臺變送器失效，并導致SIS和BPCS同時失效，最終引起了火災。

　　那段時間，工廠對作業方式進行了更改，控制系統要求減少供給加熱器的過程流體。流量循環控制器FIC-101開始關閉流量控制閥FV-101，流量因此降低，但是流量變送器結冰了，無法對此做出響應，從而導致流量控制循環輸出收緊，流量控制閥門完全關斷。由于流量低于了下限，安全循環本應做出響應，但是它的流量輸入也來自于同一個結冰的變送器，所以安全系統也無法做出響應，所以加熱器中的管道被過度加熱而破裂，石腦油和氫氣泄露至加熱器的燃燒室中。加熱器完全報廢了，其他設備也有損壞，生產被迫停止，總損失超過一千萬美金。幸運的是，沒有人員傷亡。

　　問題的關鍵在于控制循環和關斷循環使用了同一個流量變送器，構成了單點故障，也就是在產生不安全條件的同事組織安全系統對此做出響應。很明顯這不符合IEC61511標準中11.2.10條款的要求。必須進行合理設計，為控制器配備一個獨立的變送器，并且為關斷系統配備獨立的變送器以避免單點故障。

　　國內知名的學術專家和企業代表就上述內容結合中國實際發表了各自的觀點：

　　按照IEC61508的安全標準, 過程控制系統與安全系統應相互獨立, 包括現場傳感器、最終執行器、邏輯控制器。在過去的實際項目中，對于一些安全等級為SIL1的安全儀表功能，過程控制系統與安全系統會共享現場傳感器和最終執行器, 節省項目的投資。

　　隨著智能技術的發展， 診斷已經擴展到過去無法檢測的現場設備，大大降低了現場設備本身的故障而出現的安全事故的可能性。過程控制系統與安全系統的無縫集成，使得過程控制系統可以非常便捷地共享安全系統現場設備的參數和狀態信息。當然， 共享現場設備要進行相應的安全評估，有相應的風險降低措施，并且安全標準對現場設備進行管理。