过程控制系统何时才能与安全系统共享现场设备

　　安全仪表系统（Safety Instrumented System，简称SIS）是否能够和基本过程控制系统（Basic Process Control System ，简称BPCS）共享现场设备？这肯定能够节省经费，因为通常一台大型超低温阀门造价就高达50万美元。问题是如何使SIS和BPCS能够共享阀门或者其他组件，同时还能符合标准要求。

　　相关标准

　　SIS需要按照IEC61511标准设计，以符合相关国家法规（ISA 84.00.01是IEC61511标准对应的美国标准）的要求。此标准中陈述道，可以在安全系统和基本过程控制系统之间共享设备，但对于何时允许或者不允许共享设备做出了一些具体要求。不过，这些要求却经常被误读和忽视。最终的目的是为了避免单点故障（single point of failure），即单一设备的故障会使过程失控，并对安全系统发出请求，同时导致关断系统失效，使其无法做出正确响应。

　　要想成功地共享现场设备，必须要对受控制的工艺有一个深入的理解——不仅仅是对安全设备或者电子设备的理解，还需要对受控的化学工艺过程的理解。你必须了解工艺以及各种设备的使用方法，知道什么情况会导致设备发生故障，以及故障之后会带来什么后果。

　　共享设备必须考虑IEC61511标准中段落8.2.1的相关内容：

　　“为了明确安全完整性的要求，需要对系统发出请求的原因以及保护系统如何对这些请求作出响应进行描述。”

　　这一点并非标准要求，但是在BPCS和SIS之间共享设备的时候必须对此做仔细考虑，以确保整体风险维持在可接受程度内。除此之外，段落11.2.10及其注释也给出了很多建议：

　　“除非经过仔细分析后判定整体风险在可接受程度内，用来实现部分安全仪表功能的设备不应该用于基本过程控制目的，因为如果此设备发生故障，就会导致基本过程控制功能失效，进而导致发出对安全仪表功能的请求。”

　　“注释：当部分SIS也用于控制目的，那么通用设备的危险故障就会导致发出对SIS功能的请求，随之就会引入新的风险。额外的风险取决于共享组件的危险失效率，因为如果共享组件失效，就会立即发出一个请求，而SIS此时已经无法做出响应。基于这个原因，在这种情况发生时，必须进行额外分析，以确保共享组件的危险失效率足够低。在与BPCS共享组件时，传感器和阀门通常是需要考虑的。”

　　如果一台设备的故障会导致BPCS循环发出对SIS的请求，而同时会导致SIF失效并处于危险状态，那么就不应该将此台设备用于安全仪表功能（SIF）。此条款旨在防止单点故障的发生。

　　11.2.10注释中提到单点故障并非不可以接受，只要这种故障的频率足够低即可。这就要求进行详细的定量分析——这是一个费力的过程，很难做好，而且经常被忽视。然而，大多数情况下，分析的结果是不允许共享设备。

　　FMEA过程

　　如果要共享设备，就要求对被共享的设备进行失效模式和效果分析（failure modes and effects analysis ，简称FMEA）。这意味着对任何被分享的设备——变送器、阀门甚至整个控制循环——必须明确每一个被共享设备失效的每一种可能，以及是否这些可能会导致单点故障。虽然没有明确要求，但是我们强烈建议对这些分析进行正式的备案和核查。

　　FMEA过程首先要列出在给定循环或者功能中将会被共享的每一个组件的名单。每一个组件的失效模式都要列出，每一种失效模式将会带来的后果都必须描述。如果一个原发故障导致安全功能失效，那就会造成单点故障。必须通过重新设计来消除单点故障，或者通过定量分析证明故障的频率足够低。

　　太多共享

　　图1所示为一个具有较多数量共享元件的例子。碳氢化合物和水的分界面通过液位变送器LT-101进行监控，过程测量结果发送给控制系统中的控制器功能模块LIC-101，控制系统调整液位控制阀门LV-101，将罐体中的水位控制在设定点附近。功能模块LSLL-101在本例中用来监控低液位，实现安全功能。可能的失效模式和它们的后果见表1。这个例子已经简化过，只留两个共享组件。实际上，DCS输入板卡、DCS CPU、DCS输出板卡和液位阀门都是共享组件，它们都应该进行失效分析。

　　图1  共享的“最终”后果是液位限制功能模块LSLL-101本应该能够提供安全功能，但是由于液位变送器或者控制阀的故障导致产生单点故障。

　　很明显这种结构不会被采纳，但是如果安全功能独立或者至少被部分独立，结果会怎么样呢？图2中增加了一台独立的液位变送器LT-102，它为自己的逻辑解算器提供液位测量信号，而逻辑解算器会对低液位状态做出响应，切断电磁阀电源，从控制阀LV-101获得通风，使其关闭。这种情况下，唯一的共享组件就是控制阀，失效模式分析见表2。

　　图2  增加了一台独立的液位变送器LT-102之后，其自身的逻辑解算器会对低液位状态做出响应，切断电磁阀电源，从控制阀LV-101获得通风，使其关闭。然而，共享的控制阀仍旧能够产生单点故障。

　　情况依旧如此，仅仅共享控制阀门也不能提供足够的保护。
 

　　图3所示为具有额外独立截止阀的情况，这种情况下的分析很简单：由于没有共享组件，因此也不存在单点故障。

图3  此图增加了一个独立的截止阀XV-101。没有共享组件，因此也不存在单点故障。

　　合理共享

　　有的情况下允许共享一些组件，例如氢化裂解器或者重油加氢器。在这些过程单元中，配置有一台给料泵，给料压力从100 psig（磅/平方英寸(表压)）左右的低给料系统压力到1000～2000 psig的高反应器压力。图4所示是一套关断系统，用来检测由于泵失效所导致的正向流量为0。一旦发生此情况，关断系统会关断截止阀，防止流体由高压反应器系统通过给料泵倒流回低压给料系统，防止产生泄压的潜在可能。在给料泵失效时，流量控制器会对低流量状态做出响应，打开控制阀，试图增加流量，因为当前测得的流量（实际是0）已经比给料流量设定点低了。因此，流量控制阀门上配备了一个由关断系统控制的电磁阀，如果正向流量为0，关断系统就会切断电磁阀，以关闭控制阀。

　　图4  此图显示了一个允许共享流量控制阀的例子，因为它并不会既发出请求又导致保护功能失效，所以它并不会导致单点故障。

　　这种情况下，可以允许共享控制阀，因为它并不会既发出请求又导致保护功能失效，也就是它并不会导致单点故障。流量控制器的失效并不会导致流体反向流动，会导致流体反向流动的唯一可能就是给料泵失效，但在此例中即使阀门卡在了任意一个位置（无论打开或者关闭），它都不会导致流体的反向流动，只要给料泵能继续工作。关断操作与危险情况产生的原因并不相关，所以安全目的和关断目的共享同一个阀门是允许的。通常为了提供冗余性，都会使用一个独立的关断阀，以防出现电磁阀断电后流量控制阀仍无法关闭的情况，无论是由于电磁阀损坏还是控制阀被卡住的原因。

　　本文的讨论并未包含那些允许单点故障存在的情况。因为这种情况要求对可能的故障频率做精细的数学分析，而这种分析的花费很可能要高于购置一台独立的设备。

　　总的来说，IEC61511标准允许在SIS和BPCS之间共享现场设备，但是有一定要求，必须严格执行，以防止使用不安全的方法共享设备。其中一个要求就是对共享组件进行相当复杂的分析，而这种分析经常被误读或者没有被正确执行。最终必须对所有共享组件进行经过备案和确认的FMEA分析。

　　案例一：分水器

　　这个事故发生于20世纪90年代中东的一处离岸生产平台上。分水器将液态碳氢化合物和水分离开来，并将水通过油腻的排水管道存储在一个罐内。如图2所示，液位变送器LT-101监控水/碳氢化合物的分界面，并通过控制器LIC-101和流量控制阀LV-101控制水流到排水管道。安全系统使用独立的液位变送器LV-102、安全PLC和电磁阀，在切断电源后，这些装置会从控制阀引入气体，使其关闭。

　　系统已经运行了一段时间，过程条件没有变化。这种工况是常见的污物沉积环境，但是阀门却从未经过部分行程测试，而工厂操作人员并不知道，阀门其实已经卡住了。

　　当过程条件发生变化时，排水量减少，分水器中的液位开始降低，液位控制循环通知流量控制阀减少流量。由于阀门卡住，流量并未降低，分水器中的液位持续下降。当液位到达液位下限时，安全系统做出响应，使电磁阀断电，但是卡住的控制阀门无法做出响应。

　　分水器液位持续下降，直到液态碳氢化合物流入排水管，碳氢化合物最终触及点燃源，排水管发生了爆炸，生产被迫停止，需要进行代价高昂的维修。总损失超过一百万美金，索性没有人员伤亡。

　　正如本文另一个例子一样，发生了单点故障——此例中的控制阀明显不符合11.2.10条款的要求。正确的设计应该是为SIS和BPCS分配独立的关断阀。在这种易发生堵塞的环境中，应该进行部分行程测试，否则即使为过程控制和安全功能指派了独立的阀门，结果也是徒劳。

　　案例二：低通流量的火焰加热器

　　美国东北部一家精炼厂中的过程加热器具有如图5所示的安全关断系统。其在可燃气体管道上配有XV-21和XV-22两个关断阀，使用独立的安全PLC进行控制。如果流到加热器中的过程流体的流量下降较大，安全系统就会关闭与燃烧炉相连的可燃气管道。加热器已经稳定地无故障作业很长时间了，但是安全循环和过程控制都依赖于同一个流量变送器FT-101。而且，这台流量变送器被安装在过程流体管道下方，而不是上方，潮气在导压管中积聚。在冬季，经历漫长的冰冻期，没有人发现变送器的绝热护套已经脱落，导致导压管中的潮气凝结成冰，阻断了变送器的信号传递。

图5   SIS和BPCS共享变送器FT-101，而这台变送器失效，并导致SIS和BPCS同时失效，最终引起了火灾。

　　那段时间，工厂对作业方式进行了更改，控制系统要求减少供给加热器的过程流体。流量循环控制器FIC-101开始关闭流量控制阀FV-101，流量因此降低，但是流量变送器结冰了，无法对此做出响应，从而导致流量控制循环输出收紧，流量控制阀门完全关断。由于流量低于了下限，安全循环本应做出响应，但是它的流量输入也来自于同一个结冰的变送器，所以安全系统也无法做出响应，所以加热器中的管道被过度加热而破裂，石脑油和氢气泄露至加热器的燃烧室中。加热器完全报废了，其他设备也有损坏，生产被迫停止，总损失超过一千万美金。幸运的是，没有人员伤亡。

　　问题的关键在于控制循环和关断循环使用了同一个流量变送器，构成了单点故障，也就是在产生不安全条件的同事组织安全系统对此做出响应。很明显这不符合IEC61511标准中11.2.10条款的要求。必须进行合理设计，为控制器配备一个独立的变送器，并且为关断系统配备独立的变送器以避免单点故障。

　　国内知名的学术专家和企业代表就上述内容结合中国实际发表了各自的观点：

　　按照IEC61508的安全标准, 过程控制系统与安全系统应相互独立, 包括现场传感器、最终执行器、逻辑控制器。在过去的实际项目中，对于一些安全等级为SIL1的安全仪表功能，过程控制系统与安全系统会共享现场传感器和最终执行器, 节省项目的投资。

　　随着智能技术的发展， 诊断已经扩展到过去无法检测的现场设备，大大降低了现场设备本身的故障而出现的安全事故的可能性。过程控制系统与安全系统的无缝集成，使得过程控制系统可以非常便捷地共享安全系统现场设备的参数和状态信息。当然， 共享现场设备要进行相应的安全评估，有相应的风险降低措施，并且安全标准对现场设备进行管理。