過(guò)程控制系統何時(shí)才能與安全系統共享現場(chǎng)設備

　　安全儀表系統（Safety Instrumented System，簡(jiǎn)稱(chēng)SIS）是否能夠和基本過(guò)程控制系統（Basic Process Control System ，簡(jiǎn)稱(chēng)BPCS）共享現場(chǎng)設備？這肯定能夠節省經(jīng)費，因為通常一臺大型超低溫閥門(mén)造價(jià)就高達50萬(wàn)美元。問(wèn)題是如何使SIS和BPCS能夠共享閥門(mén)或者其他組件，同時(shí)還能符合標準要求。

　　相關(guān)標準

　　SIS需要按照IEC61511標準設計，以符合相關(guān)國家法規（ISA 84.00.01是IEC61511標準對應的美國標準）的要求。此標準中陳述道，可以在安全系統和基本過(guò)程控制系統之間共享設備，但對于何時(shí)允許或者不允許共享設備做出了一些具體要求。不過(guò)，這些要求卻經(jīng)常被誤讀和忽視。最終的目的是為了避免單點(diǎn)故障（single point of failure），即單一設備的故障會(huì )使過(guò)程失控，并對安全系統發(fā)出請求，同時(shí)導致關(guān)斷系統失效，使其無(wú)法做出正確響應。

　　要想成功地共享現場(chǎng)設備，必須要對受控制的工藝有一個(gè)深入的理解——不僅僅是對安全設備或者電子設備的理解，還需要對受控的化學(xué)工藝過(guò)程的理解。你必須了解工藝以及各種設備的使用方法，知道什么情況會(huì )導致設備發(fā)生故障，以及故障之后會(huì )帶來(lái)什么后果。

　　共享設備必須考慮IEC61511標準中段落8.2.1的相關(guān)內容：

　　“為了明確安全完整性的要求，需要對系統發(fā)出請求的原因以及保護系統如何對這些請求作出響應進(jìn)行描述。”

　　這一點(diǎn)并非標準要求，但是在BPCS和SIS之間共享設備的時(shí)候必須對此做仔細考慮，以確保整體風(fēng)險維持在可接受程度內。除此之外，段落11.2.10及其注釋也給出了很多建議：

　　“除非經(jīng)過(guò)仔細分析后判定整體風(fēng)險在可接受程度內，用來(lái)實(shí)現部分安全儀表功能的設備不應該用于基本過(guò)程控制目的，因為如果此設備發(fā)生故障，就會(huì )導致基本過(guò)程控制功能失效，進(jìn)而導致發(fā)出對安全儀表功能的請求。”

　　“注釋?zhuān)寒敳糠諷IS也用于控制目的，那么通用設備的危險故障就會(huì )導致發(fā)出對SIS功能的請求，隨之就會(huì )引入新的風(fēng)險。額外的風(fēng)險取決于共享組件的危險失效率，因為如果共享組件失效，就會(huì )立即發(fā)出一個(gè)請求，而SIS此時(shí)已經(jīng)無(wú)法做出響應?；谶@個(gè)原因，在這種情況發(fā)生時(shí)，必須進(jìn)行額外分析，以確保共享組件的危險失效率足夠低。在與BPCS共享組件時(shí)，傳感器和閥門(mén)通常是需要考慮的。”

　　如果一臺設備的故障會(huì )導致BPCS循環(huán)發(fā)出對SIS的請求，而同時(shí)會(huì )導致SIF失效并處于危險狀態(tài)，那么就不應該將此臺設備用于安全儀表功能（SIF）。此條款旨在防止單點(diǎn)故障的發(fā)生。

　　11.2.10注釋中提到單點(diǎn)故障并非不可以接受，只要這種故障的頻率足夠低即可。這就要求進(jìn)行詳細的定量分析——這是一個(gè)費力的過(guò)程，很難做好，而且經(jīng)常被忽視。然而，大多數情況下，分析的結果是不允許共享設備。

　　FMEA過(guò)程

　　如果要共享設備，就要求對被共享的設備進(jìn)行失效模式和效果分析（failure modes and effects analysis ，簡(jiǎn)稱(chēng)FMEA）。這意味著(zhù)對任何被分享的設備——變送器、閥門(mén)甚至整個(gè)控制循環(huán)——必須明確每一個(gè)被共享設備失效的每一種可能，以及是否這些可能會(huì )導致單點(diǎn)故障。雖然沒(méi)有明確要求，但是我們強烈建議對這些分析進(jìn)行正式的備案和核查。

　　FMEA過(guò)程首先要列出在給定循環(huán)或者功能中將會(huì )被共享的每一個(gè)組件的名單。每一個(gè)組件的失效模式都要列出，每一種失效模式將會(huì )帶來(lái)的后果都必須描述。如果一個(gè)原發(fā)故障導致安全功能失效，那就會(huì )造成單點(diǎn)故障。必須通過(guò)重新設計來(lái)消除單點(diǎn)故障，或者通過(guò)定量分析證明故障的頻率足夠低。

　　太多共享

　　圖1所示為一個(gè)具有較多數量共享元件的例子。碳氫化合物和水的分界面通過(guò)液位變送器LT-101進(jìn)行監控，過(guò)程測量結果發(fā)送給控制系統中的控制器功能模塊LIC-101，控制系統調整液位控制閥門(mén)LV-101，將罐體中的水位控制在設定點(diǎn)附近。功能模塊LSLL-101在本例中用來(lái)監控低液位，實(shí)現安全功能?？赡艿氖Ｊ胶退鼈兊暮蠊?jiàn)表1。這個(gè)例子已經(jīng)簡(jiǎn)化過(guò)，只留兩個(gè)共享組件。實(shí)際上，DCS輸入板卡、DCSCPU、DCS輸出板卡和液位閥門(mén)都是共享組件，它們都應該進(jìn)行失效分析。

　　圖1 共享的“最終”后果是液位限制功能模塊LSLL-101本應該能夠提供安全功能，但是由于液位變送器或者控制閥的故障導致產(chǎn)生單點(diǎn)故障。

　　很明顯這種結構不會(huì )被采納，但是如果安全功能獨立或者至少被部分獨立，結果會(huì )怎么樣呢？圖2中增加了一臺獨立的液位變送器LT-102，它為自己的邏輯解算器提供液位測量信號，而邏輯解算器會(huì )對低液位狀態(tài)做出響應，切斷電磁閥電源，從控制閥LV-101獲得通風(fēng)，使其關(guān)閉。這種情況下，唯一的共享組件就是控制閥，失效模式分析見(jiàn)表2。

　　圖2 增加了一臺獨立的液位變送器LT-102之后，其自身的邏輯解算器會(huì )對低液位狀態(tài)做出響應，切斷電磁閥電源，從控制閥LV-101獲得通風(fēng)，使其關(guān)閉。然而，共享的控制閥仍舊能夠產(chǎn)生單點(diǎn)故障。

　　情況依舊如此，僅僅共享控制閥門(mén)也不能提供足夠的保護。

　　圖3所示為具有額外獨立截止閥的情況，這種情況下的分析很簡(jiǎn)單：由于沒(méi)有共享組件，因此也不存在單點(diǎn)故障。

圖3 此圖增加了一個(gè)獨立的截止閥XV-101。沒(méi)有共享組件，因此也不存在單點(diǎn)故障。

　　合理共享

　　有的情況下允許共享一些組件，例如氫化裂解器或者重油加氫器。在這些過(guò)程單元中，配置有一臺給料泵，給料壓力從100 psig（磅/平方英寸(表壓)）左右的低給料系統壓力到1000～2000 psig的高反應器壓力。圖4所示是一套關(guān)斷系統，用來(lái)檢測由于泵失效所導致的正向流量為0。一旦發(fā)生此情況，關(guān)斷系統會(huì )關(guān)斷截止閥，防止流體由高壓反應器系統通過(guò)給料泵倒流回低壓給料系統，防止產(chǎn)生泄壓的潛在可能。在給料泵失效時(shí)，流量控制器會(huì )對低流量狀態(tài)做出響應，打開(kāi)控制閥，試圖增加流量，因為當前測得的流量（實(shí)際是0）已經(jīng)比給料流量設定點(diǎn)低了。因此，流量控制閥門(mén)上配備了一個(gè)由關(guān)斷系統控制的電磁閥，如果正向流量為0，關(guān)斷系統就會(huì )切斷電磁閥，以關(guān)閉控制閥。

　　圖4 此圖顯示了一個(gè)允許共享流量控制閥的例子，因為它并不會(huì )既發(fā)出請求又導致保護功能失效，所以它并不會(huì )導致單點(diǎn)故障。

　　這種情況下，可以允許共享控制閥，因為它并不會(huì )既發(fā)出請求又導致保護功能失效，也就是它并不會(huì )導致單點(diǎn)故障。流量控制器的失效并不會(huì )導致流體反向流動(dòng)，會(huì )導致流體反向流動(dòng)的唯一可能就是給料泵失效，但在此例中即使閥門(mén)卡在了任意一個(gè)位置（無(wú)論打開(kāi)或者關(guān)閉），它都不會(huì )導致流體的反向流動(dòng)，只要給料泵能繼續工作。關(guān)斷操作與危險情況產(chǎn)生的原因并不相關(guān)，所以安全目的和關(guān)斷目的共享同一個(gè)閥門(mén)是允許的。通常為了提供冗余性，都會(huì )使用一個(gè)獨立的關(guān)斷閥，以防出現電磁閥斷電后流量控制閥仍無(wú)法關(guān)閉的情況，無(wú)論是由于電磁閥損壞還是控制閥被卡住的原因。

　　本文的討論并未包含那些允許單點(diǎn)故障存在的情況。因為這種情況要求對可能的故障頻率做精細的數學(xué)分析，而這種分析的花費很可能要高于購置一臺獨立的設備。

　　總的來(lái)說(shuō)，IEC61511標準允許在SIS和BPCS之間共享現場(chǎng)設備，但是有一定要求，必須嚴格執行，以防止使用不安全的方法共享設備。其中一個(gè)要求就是對共享組件進(jìn)行相當復雜的分析，而這種分析經(jīng)常被誤讀或者沒(méi)有被正確執行。最終必須對所有共享組件進(jìn)行經(jīng)過(guò)備案和確認的FMEA分析。

　　案例一：分水器

　　這個(gè)事故發(fā)生于20世紀90年代中東的一處離岸生產(chǎn)平臺上。分水器將液態(tài)碳氫化合物和水分離開(kāi)來(lái)，并將水通過(guò)油膩的排水管道存儲在一個(gè)罐內。如圖2所示，液位變送器LT-101監控水/碳氫化合物的分界面，并通過(guò)控制器LIC-101和流量控制閥LV-101控制水流到排水管道。安全系統使用獨立的液位變送器LV-102、安全PLC和電磁閥，在切斷電源后，這些裝置會(huì )從控制閥引入氣體，使其關(guān)閉。

　　系統已經(jīng)運行了一段時(shí)間，過(guò)程條件沒(méi)有變化。這種工況是常見(jiàn)的污物沉積環(huán)境，但是閥門(mén)卻從未經(jīng)過(guò)部分行程測試，而工廠(chǎng)操作人員并不知道，閥門(mén)其實(shí)已經(jīng)卡住了。

　　當過(guò)程條件發(fā)生變化時(shí)，排水量減少，分水器中的液位開(kāi)始降低，液位控制循環(huán)通知流量控制閥減少流量。由于閥門(mén)卡住，流量并未降低，分水器中的液位持續下降。當液位到達液位下限時(shí)，安全系統做出響應，使電磁閥斷電，但是卡住的控制閥門(mén)無(wú)法做出響應。

　　分水器液位持續下降，直到液態(tài)碳氫化合物流入排水管，碳氫化合物最終觸及點(diǎn)燃源，排水管發(fā)生了爆炸，生產(chǎn)被迫停止，需要進(jìn)行代價(jià)高昂的維修?？倱p失超過(guò)一百萬(wàn)美金，索性沒(méi)有人員傷亡。

　　正如本文另一個(gè)例子一樣，發(fā)生了單點(diǎn)故障——此例中的控制閥明顯不符合11.2.10條款的要求。正確的設計應該是為SIS和BPCS分配獨立的關(guān)斷閥。在這種易發(fā)生堵塞的環(huán)境中，應該進(jìn)行部分行程測試，否則即使為過(guò)程控制和安全功能指派了獨立的閥門(mén)，結果也是徒勞。

　　案例二：低通流量的火焰加熱器

　　美國東北部一家精煉廠(chǎng)中的過(guò)程加熱器具有如圖5所示的安全關(guān)斷系統。其在可燃氣體管道上配有XV-21和XV-22兩個(gè)關(guān)斷閥，使用獨立的安全PLC進(jìn)行控制。如果流到加熱器中的過(guò)程流體的流量下降較大，安全系統就會(huì )關(guān)閉與燃燒爐相連的可燃氣管道。加熱器已經(jīng)穩定地無(wú)故障作業(yè)很長(cháng)時(shí)間了，但是安全循環(huán)和過(guò)程控制都依賴(lài)于同一個(gè)流量變送器FT-101。而且，這臺流量變送器被安裝在過(guò)程流體管道下方，而不是上方，潮氣在導壓管中積聚。在冬季，經(jīng)歷漫長(cháng)的冰凍期，沒(méi)有人發(fā)現變送器的絕熱護套已經(jīng)脫落，導致導壓管中的潮氣凝結成冰，阻斷了變送器的信號傳遞。

圖5 SIS和BPCS共享變送器FT-101，而這臺變送器失效，并導致SIS和BPCS同時(shí)失效，最終引起了火災。

　　那段時(shí)間，工廠(chǎng)對作業(yè)方式進(jìn)行了更改，控制系統要求減少供給加熱器的過(guò)程流體。流量循環(huán)控制器FIC-101開(kāi)始關(guān)閉流量控制閥FV-101，流量因此降低，但是流量變送器結冰了，無(wú)法對此做出響應，從而導致流量控制循環(huán)輸出收緊，流量控制閥門(mén)完全關(guān)斷。由于流量低于了下限，安全循環(huán)本應做出響應，但是它的流量輸入也來(lái)自于同一個(gè)結冰的變送器，所以安全系統也無(wú)法做出響應，所以加熱器中的管道被過(guò)度加熱而破裂，石腦油和氫氣泄露至加熱器的燃燒室中。加熱器完全報廢了，其他設備也有損壞，生產(chǎn)被迫停止，總損失超過(guò)一千萬(wàn)美金。幸運的是，沒(méi)有人員傷亡。

　　問(wèn)題的關(guān)鍵在于控制循環(huán)和關(guān)斷循環(huán)使用了同一個(gè)流量變送器，構成了單點(diǎn)故障，也就是在產(chǎn)生不安全條件的同事組織安全系統對此做出響應。很明顯這不符合IEC61511標準中11.2.10條款的要求。必須進(jìn)行合理設計，為控制器配備一個(gè)獨立的變送器，并且為關(guān)斷系統配備獨立的變送器以避免單點(diǎn)故障。

　　國內知名的學(xué)術(shù)專(zhuān)家和企業(yè)代表就上述內容結合中國實(shí)際發(fā)表了各自的觀(guān)點(diǎn)：

　　按照IEC61508的安全標準, 過(guò)程控制系統與安全系統應相互獨立, 包括現場(chǎng)傳感器、最終執行器、邏輯控制器。在過(guò)去的實(shí)際項目中，對于一些安全等級為SIL1的安全儀表功能，過(guò)程控制系統與安全系統會(huì )共享現場(chǎng)傳感器和最終執行器, 節省項目的投資。

　　隨著(zhù)智能技術(shù)的發(fā)展， 診斷已經(jīng)擴展到過(guò)去無(wú)法檢測的現場(chǎng)設備，大大降低了現場(chǎng)設備本身的故障而出現的安全事故的可能性。過(guò)程控制系統與安全系統的無(wú)縫集成，使得過(guò)程控制系統可以非常便捷地共享安全系統現場(chǎng)設備的參數和狀態(tài)信息。當然， 共享現場(chǎng)設備要進(jìn)行相應的安全評估，有相應的風(fēng)險降低措施，并且安全標準對現場(chǎng)設備進(jìn)行管理。