過(guò)程控制系統(tǒng)何時(shí)才能與安全系統(tǒng)共享現(xiàn)場(chǎng)設(shè)備

　　安全儀表系統(tǒng)（Safety Instrumented System，簡(jiǎn)稱SIS）是否能夠和基本過(guò)程控制系統(tǒng)（Basic Process Control System ，簡(jiǎn)稱BPCS）共享現(xiàn)場(chǎng)設(shè)備？這肯定能夠節(jié)省經(jīng)費(fèi)，因?yàn)橥ǔＲ慌_(tái)大型超低溫閥門造價(jià)就高達(dá)50萬(wàn)美元。問(wèn)題是如何使SIS和BPCS能夠共享閥門或者其他組件，同時(shí)還能符合標(biāo)準(zhǔn)要求。

　　相關(guān)標(biāo)準(zhǔn)

　　SIS需要按照IEC61511標(biāo)準(zhǔn)設(shè)計(jì)，以符合相關(guān)國(guó)家法規(guī)（ISA 84.00.01是IEC61511標(biāo)準(zhǔn)對(duì)應(yīng)的美國(guó)標(biāo)準(zhǔn)）的要求。此標(biāo)準(zhǔn)中陳述道，可以在安全系統(tǒng)和基本過(guò)程控制系統(tǒng)之間共享設(shè)備，但對(duì)于何時(shí)允許或者不允許共享設(shè)備做出了一些具體要求。不過(guò)，這些要求卻經(jīng)常被誤讀和忽視。最終的目的是為了避免單點(diǎn)故障（single point of failure），即單一設(shè)備的故障會(huì)使過(guò)程失控，并對(duì)安全系統(tǒng)發(fā)出請(qǐng)求，同時(shí)導(dǎo)致關(guān)斷系統(tǒng)失效，使其無(wú)法做出正確響應(yīng)。

　　要想成功地共享現(xiàn)場(chǎng)設(shè)備，必須要對(duì)受控制的工藝有一個(gè)深入的理解——不僅僅是對(duì)安全設(shè)備或者電子設(shè)備的理解，還需要對(duì)受控的化學(xué)工藝過(guò)程的理解。你必須了解工藝以及各種設(shè)備的使用方法，知道什么情況會(huì)導(dǎo)致設(shè)備發(fā)生故障，以及故障之后會(huì)帶來(lái)什么后果。

　　共享設(shè)備必須考慮IEC61511標(biāo)準(zhǔn)中段落8.2.1的相關(guān)內(nèi)容：

　　“為了明確安全完整性的要求，需要對(duì)系統(tǒng)發(fā)出請(qǐng)求的原因以及保護(hù)系統(tǒng)如何對(duì)這些請(qǐng)求作出響應(yīng)進(jìn)行描述。”

　　這一點(diǎn)并非標(biāo)準(zhǔn)要求，但是在BPCS和SIS之間共享設(shè)備的時(shí)候必須對(duì)此做仔細(xì)考慮，以確保整體風(fēng)險(xiǎn)維持在可接受程度內(nèi)。除此之外，段落11.2.10及其注釋也給出了很多建議：

　　“除非經(jīng)過(guò)仔細(xì)分析后判定整體風(fēng)險(xiǎn)在可接受程度內(nèi)，用來(lái)實(shí)現(xiàn)部分安全儀表功能的設(shè)備不應(yīng)該用于基本過(guò)程控制目的，因?yàn)槿绻嗽O(shè)備發(fā)生故障，就會(huì)導(dǎo)致基本過(guò)程控制功能失效，進(jìn)而導(dǎo)致發(fā)出對(duì)安全儀表功能的請(qǐng)求。”

　　“注釋：當(dāng)部分SIS也用于控制目的，那么通用設(shè)備的危險(xiǎn)故障就會(huì)導(dǎo)致發(fā)出對(duì)SIS功能的請(qǐng)求，隨之就會(huì)引入新的風(fēng)險(xiǎn)。額外的風(fēng)險(xiǎn)取決于共享組件的危險(xiǎn)失效率，因?yàn)槿绻蚕斫M件失效，就會(huì)立即發(fā)出一個(gè)請(qǐng)求，而SIS此時(shí)已經(jīng)無(wú)法做出響應(yīng)?；谶@個(gè)原因，在這種情況發(fā)生時(shí)，必須進(jìn)行額外分析，以確保共享組件的危險(xiǎn)失效率足夠低。在與BPCS共享組件時(shí)，傳感器和閥門通常是需要考慮的。”

　　如果一臺(tái)設(shè)備的故障會(huì)導(dǎo)致BPCS循環(huán)發(fā)出對(duì)SIS的請(qǐng)求，而同時(shí)會(huì)導(dǎo)致SIF失效并處于危險(xiǎn)狀態(tài)，那么就不應(yīng)該將此臺(tái)設(shè)備用于安全儀表功能（SIF）。此條款旨在防止單點(diǎn)故障的發(fā)生。

　　11.2.10注釋中提到單點(diǎn)故障并非不可以接受，只要這種故障的頻率足夠低即可。這就要求進(jìn)行詳細(xì)的定量分析——這是一個(gè)費(fèi)力的過(guò)程，很難做好，而且經(jīng)常被忽視。然而，大多數(shù)情況下，分析的結(jié)果是不允許共享設(shè)備。

　　FMEA過(guò)程

　　如果要共享設(shè)備，就要求對(duì)被共享的設(shè)備進(jìn)行失效模式和效果分析（failure modes and effects analysis ，簡(jiǎn)稱FMEA）。這意味著對(duì)任何被分享的設(shè)備——變送器、閥門甚至整個(gè)控制循環(huán)——必須明確每一個(gè)被共享設(shè)備失效的每一種可能，以及是否這些可能會(huì)導(dǎo)致單點(diǎn)故障。雖然沒(méi)有明確要求，但是我們強(qiáng)烈建議對(duì)這些分析進(jìn)行正式的備案和核查。

　　FMEA過(guò)程首先要列出在給定循環(huán)或者功能中將會(huì)被共享的每一個(gè)組件的名單。每一個(gè)組件的失效模式都要列出，每一種失效模式將會(huì)帶來(lái)的后果都必須描述。如果一個(gè)原發(fā)故障導(dǎo)致安全功能失效，那就會(huì)造成單點(diǎn)故障。必須通過(guò)重新設(shè)計(jì)來(lái)消除單點(diǎn)故障，或者通過(guò)定量分析證明故障的頻率足夠低。

　　太多共享

　　圖1所示為一個(gè)具有較多數(shù)量共享元件的例子。碳?xì)浠衔锖退姆纸缑嫱ㄟ^(guò)液位變送器LT-101進(jìn)行監(jiān)控，過(guò)程測(cè)量結(jié)果發(fā)送給控制系統(tǒng)中的控制器功能模塊LIC-101，控制系統(tǒng)調(diào)整液位控制閥門LV-101，將罐體中的水位控制在設(shè)定點(diǎn)附近。功能模塊LSLL-101在本例中用來(lái)監(jiān)控低液位，實(shí)現(xiàn)安全功能?？赡艿氖Ｊ胶退鼈兊暮蠊?jiàn)表1。這個(gè)例子已經(jīng)簡(jiǎn)化過(guò)，只留兩個(gè)共享組件。實(shí)際上，DCS輸入板卡、DCSCPU、DCS輸出板卡和液位閥門都是共享組件，它們都應(yīng)該進(jìn)行失效分析。

　　圖1 共享的“最終”后果是液位限制功能模塊LSLL-101本應(yīng)該能夠提供安全功能，但是由于液位變送器或者控制閥的故障導(dǎo)致產(chǎn)生單點(diǎn)故障。

　　很明顯這種結(jié)構(gòu)不會(huì)被采納，但是如果安全功能獨(dú)立或者至少被部分獨(dú)立，結(jié)果會(huì)怎么樣呢？圖2中增加了一臺(tái)獨(dú)立的液位變送器LT-102，它為自己的邏輯解算器提供液位測(cè)量信號(hào)，而邏輯解算器會(huì)對(duì)低液位狀態(tài)做出響應(yīng)，切斷電磁閥電源，從控制閥LV-101獲得通風(fēng)，使其關(guān)閉。這種情況下，唯一的共享組件就是控制閥，失效模式分析見(jiàn)表2。

　　圖2 增加了一臺(tái)獨(dú)立的液位變送器LT-102之后，其自身的邏輯解算器會(huì)對(duì)低液位狀態(tài)做出響應(yīng)，切斷電磁閥電源，從控制閥LV-101獲得通風(fēng)，使其關(guān)閉。然而，共享的控制閥仍舊能夠產(chǎn)生單點(diǎn)故障。

　　情況依舊如此，僅僅共享控制閥門也不能提供足夠的保護(hù)。

　　圖3所示為具有額外獨(dú)立截止閥的情況，這種情況下的分析很簡(jiǎn)單：由于沒(méi)有共享組件，因此也不存在單點(diǎn)故障。

圖3 此圖增加了一個(gè)獨(dú)立的截止閥XV-101。沒(méi)有共享組件，因此也不存在單點(diǎn)故障。

　　合理共享

　　有的情況下允許共享一些組件，例如氫化裂解器或者重油加氫器。在這些過(guò)程單元中，配置有一臺(tái)給料泵，給料壓力從100 psig（磅/平方英寸(表壓)）左右的低給料系統(tǒng)壓力到1000～2000 psig的高反應(yīng)器壓力。圖4所示是一套關(guān)斷系統(tǒng)，用來(lái)檢測(cè)由于泵失效所導(dǎo)致的正向流量為0。一旦發(fā)生此情況，關(guān)斷系統(tǒng)會(huì)關(guān)斷截止閥，防止流體由高壓反應(yīng)器系統(tǒng)通過(guò)給料泵倒流回低壓給料系統(tǒng)，防止產(chǎn)生泄壓的潛在可能。在給料泵失效時(shí)，流量控制器會(huì)對(duì)低流量狀態(tài)做出響應(yīng)，打開(kāi)控制閥，試圖增加流量，因?yàn)楫?dāng)前測(cè)得的流量（實(shí)際是0）已經(jīng)比給料流量設(shè)定點(diǎn)低了。因此，流量控制閥門上配備了一個(gè)由關(guān)斷系統(tǒng)控制的電磁閥，如果正向流量為0，關(guān)斷系統(tǒng)就會(huì)切斷電磁閥，以關(guān)閉控制閥。

　　圖4 此圖顯示了一個(gè)允許共享流量控制閥的例子，因?yàn)樗⒉粫?huì)既發(fā)出請(qǐng)求又導(dǎo)致保護(hù)功能失效，所以它并不會(huì)導(dǎo)致單點(diǎn)故障。

　　這種情況下，可以允許共享控制閥，因?yàn)樗⒉粫?huì)既發(fā)出請(qǐng)求又導(dǎo)致保護(hù)功能失效，也就是它并不會(huì)導(dǎo)致單點(diǎn)故障。流量控制器的失效并不會(huì)導(dǎo)致流體反向流動(dòng)，會(huì)導(dǎo)致流體反向流動(dòng)的唯一可能就是給料泵失效，但在此例中即使閥門卡在了任意一個(gè)位置（無(wú)論打開(kāi)或者關(guān)閉），它都不會(huì)導(dǎo)致流體的反向流動(dòng)，只要給料泵能繼續(xù)工作。關(guān)斷操作與危險(xiǎn)情況產(chǎn)生的原因并不相關(guān)，所以安全目的和關(guān)斷目的共享同一個(gè)閥門是允許的。通常為了提供冗余性，都會(huì)使用一個(gè)獨(dú)立的關(guān)斷閥，以防出現(xiàn)電磁閥斷電后流量控制閥仍無(wú)法關(guān)閉的情況，無(wú)論是由于電磁閥損壞還是控制閥被卡住的原因。

　　本文的討論并未包含那些允許單點(diǎn)故障存在的情況。因?yàn)檫@種情況要求對(duì)可能的故障頻率做精細(xì)的數(shù)學(xué)分析，而這種分析的花費(fèi)很可能要高于購(gòu)置一臺(tái)獨(dú)立的設(shè)備。

　　總的來(lái)說(shuō)，IEC61511標(biāo)準(zhǔn)允許在SIS和BPCS之間共享現(xiàn)場(chǎng)設(shè)備，但是有一定要求，必須嚴(yán)格執(zhí)行，以防止使用不安全的方法共享設(shè)備。其中一個(gè)要求就是對(duì)共享組件進(jìn)行相當(dāng)復(fù)雜的分析，而這種分析經(jīng)常被誤讀或者沒(méi)有被正確執(zhí)行。最終必須對(duì)所有共享組件進(jìn)行經(jīng)過(guò)備案和確認(rèn)的FMEA分析。

　　案例一：分水器

　　這個(gè)事故發(fā)生于20世紀(jì)90年代中東的一處離岸生產(chǎn)平臺(tái)上。分水器將液態(tài)碳?xì)浠衔锖退蛛x開(kāi)來(lái)，并將水通過(guò)油膩的排水管道存儲(chǔ)在一個(gè)罐內(nèi)。如圖2所示，液位變送器LT-101監(jiān)控水/碳?xì)浠衔锏姆纸缑?，并通過(guò)控制器LIC-101和流量控制閥LV-101控制水流到排水管道。安全系統(tǒng)使用獨(dú)立的液位變送器LV-102、安全PLC和電磁閥，在切斷電源后，這些裝置會(huì)從控制閥引入氣體，使其關(guān)閉。

　　系統(tǒng)已經(jīng)運(yùn)行了一段時(shí)間，過(guò)程條件沒(méi)有變化。這種工況是常見(jiàn)的污物沉積環(huán)境，但是閥門卻從未經(jīng)過(guò)部分行程測(cè)試，而工廠操作人員并不知道，閥門其實(shí)已經(jīng)卡住了。

　　當(dāng)過(guò)程條件發(fā)生變化時(shí)，排水量減少，分水器中的液位開(kāi)始降低，液位控制循環(huán)通知流量控制閥減少流量。由于閥門卡住，流量并未降低，分水器中的液位持續(xù)下降。當(dāng)液位到達(dá)液位下限時(shí)，安全系統(tǒng)做出響應(yīng)，使電磁閥斷電，但是卡住的控制閥門無(wú)法做出響應(yīng)。

　　分水器液位持續(xù)下降，直到液態(tài)碳?xì)浠衔锪魅肱潘?，碳?xì)浠衔镒罱K觸及點(diǎn)燃源，排水管發(fā)生了爆炸，生產(chǎn)被迫停止，需要進(jìn)行代價(jià)高昂的維修。總損失超過(guò)一百萬(wàn)美金，索性沒(méi)有人員傷亡。

　　正如本文另一個(gè)例子一樣，發(fā)生了單點(diǎn)故障——此例中的控制閥明顯不符合11.2.10條款的要求。正確的設(shè)計(jì)應(yīng)該是為SIS和BPCS分配獨(dú)立的關(guān)斷閥。在這種易發(fā)生堵塞的環(huán)境中，應(yīng)該進(jìn)行部分行程測(cè)試，否則即使為過(guò)程控制和安全功能指派了獨(dú)立的閥門，結(jié)果也是徒勞。

　　案例二：低通流量的火焰加熱器

　　美國(guó)東北部一家精煉廠中的過(guò)程加熱器具有如圖5所示的安全關(guān)斷系統(tǒng)。其在可燃?xì)怏w管道上配有XV-21和XV-22兩個(gè)關(guān)斷閥，使用獨(dú)立的安全PLC進(jìn)行控制。如果流到加熱器中的過(guò)程流體的流量下降較大，安全系統(tǒng)就會(huì)關(guān)閉與燃燒爐相連的可燃?xì)夤艿?。加熱器已?jīng)穩(wěn)定地?zé)o故障作業(yè)很長(zhǎng)時(shí)間了，但是安全循環(huán)和過(guò)程控制都依賴于同一個(gè)流量變送器FT-101。而且，這臺(tái)流量變送器被安裝在過(guò)程流體管道下方，而不是上方，潮氣在導(dǎo)壓管中積聚。在冬季，經(jīng)歷漫長(zhǎng)的冰凍期，沒(méi)有人發(fā)現(xiàn)變送器的絕熱護(hù)套已經(jīng)脫落，導(dǎo)致導(dǎo)壓管中的潮氣凝結(jié)成冰，阻斷了變送器的信號(hào)傳遞。

圖5 SIS和BPCS共享變送器FT-101，而這臺(tái)變送器失效，并導(dǎo)致SIS和BPCS同時(shí)失效，最終引起了火災(zāi)。

　　那段時(shí)間，工廠對(duì)作業(yè)方式進(jìn)行了更改，控制系統(tǒng)要求減少供給加熱器的過(guò)程流體。流量循環(huán)控制器FIC-101開(kāi)始關(guān)閉流量控制閥FV-101，流量因此降低，但是流量變送器結(jié)冰了，無(wú)法對(duì)此做出響應(yīng)，從而導(dǎo)致流量控制循環(huán)輸出收緊，流量控制閥門完全關(guān)斷。由于流量低于了下限，安全循環(huán)本應(yīng)做出響應(yīng)，但是它的流量輸入也來(lái)自于同一個(gè)結(jié)冰的變送器，所以安全系統(tǒng)也無(wú)法做出響應(yīng)，所以加熱器中的管道被過(guò)度加熱而破裂，石腦油和氫氣泄露至加熱器的燃燒室中。加熱器完全報(bào)廢了，其他設(shè)備也有損壞，生產(chǎn)被迫停止，總損失超過(guò)一千萬(wàn)美金。幸運(yùn)的是，沒(méi)有人員傷亡。

　　問(wèn)題的關(guān)鍵在于控制循環(huán)和關(guān)斷循環(huán)使用了同一個(gè)流量變送器，構(gòu)成了單點(diǎn)故障，也就是在產(chǎn)生不安全條件的同事組織安全系統(tǒng)對(duì)此做出響應(yīng)。很明顯這不符合IEC61511標(biāo)準(zhǔn)中11.2.10條款的要求。必須進(jìn)行合理設(shè)計(jì)，為控制器配備一個(gè)獨(dú)立的變送器，并且為關(guān)斷系統(tǒng)配備獨(dú)立的變送器以避免單點(diǎn)故障。

　　國(guó)內(nèi)知名的學(xué)術(shù)專家和企業(yè)代表就上述內(nèi)容結(jié)合中國(guó)實(shí)際發(fā)表了各自的觀點(diǎn)：

　　按照IEC61508的安全標(biāo)準(zhǔn), 過(guò)程控制系統(tǒng)與安全系統(tǒng)應(yīng)相互獨(dú)立, 包括現(xiàn)場(chǎng)傳感器、最終執(zhí)行器、邏輯控制器。在過(guò)去的實(shí)際項(xiàng)目中，對(duì)于一些安全等級(jí)為SIL1的安全儀表功能，過(guò)程控制系統(tǒng)與安全系統(tǒng)會(huì)共享現(xiàn)場(chǎng)傳感器和最終執(zhí)行器, 節(jié)省項(xiàng)目的投資。

　　隨著智能技術(shù)的發(fā)展， 診斷已經(jīng)擴(kuò)展到過(guò)去無(wú)法檢測(cè)的現(xiàn)場(chǎng)設(shè)備，大大降低了現(xiàn)場(chǎng)設(shè)備本身的故障而出現(xiàn)的安全事故的可能性。過(guò)程控制系統(tǒng)與安全系統(tǒng)的無(wú)縫集成，使得過(guò)程控制系統(tǒng)可以非常便捷地共享安全系統(tǒng)現(xiàn)場(chǎng)設(shè)備的參數(shù)和狀態(tài)信息。當(dāng)然， 共享現(xiàn)場(chǎng)設(shè)備要進(jìn)行相應(yīng)的安全評(píng)估，有相應(yīng)的風(fēng)險(xiǎn)降低措施，并且安全標(biāo)準(zhǔn)對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行管理。