安全儀表系統與過程控制系統間的共用性及聯系

吳剛，宋江濤，董興明

(中國石油集團工程設計有限責任公司 北京分公司， 北京 100085)

?

安全儀表系統與過程控制系統間的共用性及聯系

吳剛，宋江濤，董興明

(中國石油集團工程設計有限責任公司 北京分公司， 北京 100085)

摘要：為解決常見的系統間共用性選擇問題，以國內外相關規范為依據，從系統間數據通信、現場檢測設備及控制系統等方面，對安全儀表系統與過程控制系統間的共用性及聯系進行了分析研究。歸納總結了完整控制回路中不同部分組件在兩類系統間的共用性，設計人員可根據所在項目的實際情況，合理選擇兩類系統是否共用，現場設備是否系統間共用。

關鍵詞：安全儀表系統 過程控制系統 自動化設計 控制回路 共用性 聯系

石油化工行業工程項目中，安全儀表系統(SIS)與過程控制系統(BPCS)一般情況下應分別獨立設置，在硬件和軟件上都不共用，包括現場傳感器、執行元件、控制系統部分等。但是對于少數中小型項目來說，由于項目規模、前期投資預算、投產時限等多方面因素的影響，需要考慮合理范圍內的部分系統間共用設計，但前提也必須要滿足安全儀表回路的安全性及可靠性要求。

BPCS與SIS的共用性及聯系存在于系統間數據通信、現場檢測儀表、執行單元、控制系統等幾部分，筆者從上述幾方面分別進行分析。

1BPCS與SIS間的數據通信

BPCS和SIS之間的通信可以提高應用的整體安全性。SIS與BPCS的過程參數的對比可以提高傳感器的診斷功能和整體性能。但是兩系統間通信，尤其是對SIS的寫入會降低其安全完整性。應制訂規定來確保所有對SIS的寫操作是合法的，并且不會對系統安全性或操作產生負面影響。

可通過以下幾種基本方式來實現BPCS和SIS之間的通信：

1) BPCS與SIS之間自身沒有通信。這一點適用于所有SIS的安全完整性等級(SIL)。

2) BPCS與SIS之間每個設備都進行硬接線(如SIS中的觸點狀態通過電纜接入BPCS)。

如果SIS需要硬接線的通信方式來實現安全功能，應考慮輸入點、接線、輸出點、BPCS及其硬件和軟件功能實現所需的所有組件，上述內容都需要為SIS能夠滿足相應SIL而進行分析和設計。

3) 從SIS向BPCS的通信是只讀通信方式。在分析檢查并確保這種方式不會對安全功能產生損害的情況下，適用于所有的SIL。SIS的防寫保護包括但不僅限于硬接線開關(跳線)方式來實現，另外對SIS的ROM寄存器寫操作進行限制。

控制系統的串行通信接口使用戶能夠訪問大量的系統運行數據。SIS和BPCS的集成可為操作提供較大的優勢，但串行通信方式在執行過程中仍應考慮以下方面： 使用冗余通信方式及線路；如果BPCS和SIS之間交換臨界數據，則“看門狗計時器”應考慮使用；在SIS中劃分專門的物理區域用于數據通信。

2現場設備的共用性問題

在一些情況下，可能難以避免現場設備在兩系統間存在共用，比如過程控制功能與安全儀表功能之間共用一套傳感器和閥門。首先，假設控制功能與安全功能在不同的系統中，控制功能分配給BPCS而安全功能分配給SIS。

當發生突發事件時，還應適當考慮到安全儀表設備在減輕危害方面的功能。例如，外部起火大部分會損害非本安型的控制閥和制動器，使它們無法在起火之后實現安全保護功能。設置單獨的本安型SIF隔離閥在這種情況下是至關重要的。

如果BPCS與SIS中有共用設備，應考慮以下內容：

1) SIS之外的軟硬件的故障應不影響安全儀表功能(SIF)的準確操作。

2) BPCS設備的失效不會導致系統危害和SIF的失效。

3) 共模故障、共因故障或相關故障(如引壓管、因為維護產生的旁路、關斷閥錯誤操作等)的可能性應被充分考慮并減小到最低。

4) 共用的設備依據ISA-84.00.01—2004進行管理，包括安全測試和應變管理。

5) 閥門的設計原則： BPCS的故障不會影響SIS使用共用閥。

6) 閥門在設計時應能夠與SIS和BPCS在功能上兼容。需要注意的是，由于許多BPCS中的閥是“流開型”，而許多SIS中的閥是“流關型”，因而這一點難以實現。SIS中閥的執行器動力要求可能與控制閥不同。控制閥可能是雙座、平衡閥芯設計，SIS中的閥一般是單座，使用直通閥來減少泄漏。

7) 操作人員應該界定不會影響SIF正常執行的控制閥泄漏等級。對于氣動閥來說，一個由SIS操作的電磁閥可能串行在控制閥執行機構的氣源中。當SIS發送指令使閥處于關斷位，電磁閥就打開來泄放控制閥的氣體。對于電動閥，應保證在控制閥處于關斷狀態時，無論BPCS進行任何操作，SIS都擁有使用控制閥的優先權。

8) 對于閥和其他共用設備的任何在線測試需求均可以在不妨礙BPCS控制功能的使用情況下進行。

另外，合理的設備隔離設計可以很好地減少共因故障并解決因意外變化而可能出現的安全問題。為解決這些問題，可以考慮從現場檢測單元、最終執行單元兩方面入手，例如，SIS可與BPCS共用孔板流量計，但應使用不同的過程接口和傳感器；例如壓力檢測元件的接口隔離，安裝時應預防結冰與堵塞問題等。

3控制系統的共用性問題

當BPCS與SIS要進行共用設計時，可以考慮將BPCS設計成SIS來使用，需要使用全生命周期的方法涵蓋各保護層，包括危險及風險分析、設計文件、功能安全管理、變化校驗和變化管理。BPCS和SIS變為一個整體，執行安全保護和過程監控兩種功能。

此時BPCS功能設計在SIS內并根據ISA-84.00.01—2004的需求進行設計和管理。考慮召開危險及風險評估會來研究可能的控制功能和安全功能間的共因故障(控制功能可能導致失效)。這種情況下，邏輯控制器故障的影響，數據高速通信的損失、軟件錯誤和工程接口訪問的安全性，這些問題在復合系統運行時可能成為更難分析的問題。

BPCS和SIS的生命周期設計一般不同，生命周期的使用可通過ISA-84.00.01—2004定義的設計、測試、校驗或管理程序減小潛在的系統失效概率。

筆者建議BPCS的保護層與任何SIS保護層應實體分離來避免共模故障。此外，SIS與BPCS共用邏輯控制器時仍需要關注以下問題： 邏輯控制器執行控制功能和SIF的功能性；邏輯控制器整體達到針對復合系統的必要危險率；對于SIF的訪問安全；避免對SIF的非法意外輸入；對于SIF的變化的管理。

筆者不建議BPCS/SIS共用控制元件及模塊(CPU 等)，除非特殊情況。但由于SIS邏輯控制器中控制功能的獨立執行會明顯提高長期操作、維護、測試和控制功能管理的成本，從而在一些規模較小的項目中，如獨立大型轉動設備和撬裝系統，它們更高的操作成本會被其他設計考慮(即共用系統)抵消，則可以考慮共用。共用的軟件和硬件應該整體達到共用性和統一性，能夠達到H&RA規定的目標故障率(危險失效導致的不可接受結果的可忍受頻率)。

雖然BPCS/SIS獨立設置并使用不同類型的SIS邏輯控制器，在ISA-84.00.01—2004中并未明確要求，然而，許多業主/操作維護方在實際項目中往往都按照獨立系統來設置考慮。當控制功能故障時，SIS作為獨立保護層動作；SIS的設計會應用到許多標準和指南，從而完成SIF功能和控制功能實體分離的多樣性。

SIS和BPCS硬件和軟件完全獨立在工業生產中，包含如下原因：

1) 這種獨立實際上減小了共模失效。

2) 考慮到各個系統的分別維護，SIS與BPCS互相隔離時一般使用不同的操作人員。

3) SIS和BPCS隔離是與保護層的定義相關的。當BPCS產生故障時，被隔離的SIS是一個獨立的保護層。

4) 當對SIS和BPCS進行了恰當的設計、校驗和管理時，可適當減少分析研究的工作量。

4結束語

SIS與BPCS一般情況下應獨立設置，包括現場檢測部分及執行部分等；雖然少數小型項目可以考慮共用設計，但也應遵循相應規范要求，滿足功能安全及故障失效概率值。在綜合考慮投資成本、運行維護工作量、系統可靠性等綜合因素后，根據實際情況合理設計工作站，本文對系統間的共用性及聯系提供了有益的分析，為工程技術人員在項目實際執行時提供了一定參考。

參考文獻：

[1]IEC. IEC 61511-1—2003 過程工業領域安全儀表系統的功能安全 第1部分： 框架、定義、系統、硬件和軟件要求[S].Geneva： International Electrotechnical Commission，2003.

[2]IEC. IEC 61511-2—2003 過程工業領域安全儀表系統的功能安全 第2部分： IEC 61511-1的應用指南[S].Geneva： International Electrotechnical Commission，2003.

[3]IEC. IEC 61511-3—2003 過程工業領域安全儀表系統的功能安全 第3部分： 確定要求的安全完整性等級的指南[S].Geneva： International Electrotechnical Commission，2003.

[4]IEC. IEC 61508-2—2000 電氣/電子/可編程電子安全相關系統的功能安全 第2部分： 電氣/電子/可編程電子安全相關系統的要求[S].Geneva： International Electrotechnical Commission，2000.

[5]IEC. IEC 61508-3—1998 電氣/電子/可編程電子安全相關系統的功能安全 第3部分： 軟件要求[S].Geneva： International Electrotechnical Commission，1998.

[6]IEC. IEC 61508-5—1998 電氣/電子/可編程電子安全相關系統的功能安全 第5部分： 確定安全完整性等級的方法示例[S].Geneva： International Electrotechnical Commission，1998.

[7]IEC. IEC 61508-6—2000 電氣/電子/可編程電子安全相關系統的功能安全 第6部分： IEC 61508-2/3的應用指南[S].Geneva： International Electrotechnical Commission，2000.

[8]ISA .ISA 84.00.01-1—2004 過程工業領域安全儀表系統： 框架、定義、系統、硬件和軟件要求[S]. Beijing： Industry Subversive Alliance，2004.

[9]ISA .ISA 84.00.01-2—2004 過程工業領域安全儀表系統： ISA 84.00.01-1的應用指南[S]. Beijing： Industry Subversive Alliance，2004.

[10]ISA.ISA 84.00.01-3—2004 過程工業領域安全儀表系統： 確定要求的安全完整性等級的指南[S]. Beijing： Industry Subversive Alliance，2004.

[11]黃步余，王建民，王玉華.SH/T 3018—2003 石油化工安全儀表系統設計規范[S].北京： 中國石化出版社，2003.

[12]ISA.ISA-TR 84.00.04—2005 Part 1 Guidelines for the Implementation of ANSI/ISA-84.00.01—2004[S]. Beijing： Industry Subversive Alliance，2005.

[13]ISA .ISA-TR 84.00.04—2005 Part 2 Example Implementation of ANSIISA-84.00.01—2004 [S]. Beijing： Industry Subversive Alliance，2005.

中圖分類號：TP273

文獻標志碼：B

文章編號：1007-7324(2015)06-0076-03

作者簡介：吳剛(1979—)，男，山東文登人，2008年畢業于中國石油大學(北京)自動化專業，獲碩士學位，現就職于中國石油集團工程設計有限責任公司北京分公司，主要從事油田地面工程自動化設計工作，任工程師。

稿件收到日期：2015-07-07，修改稿收到日期：2015-09-18。