吳剛，宋江濤，董興明

(中國石油集團(tuán)工程設(shè)計(jì)有限責(zé)任公司 北京分公司， 北京 100085)

?

安全儀表系統(tǒng)與過程控制系統(tǒng)間的共用性及聯(lián)系

吳剛，宋江濤，董興明

(中國石油集團(tuán)工程設(shè)計(jì)有限責(zé)任公司 北京分公司， 北京 100085)

摘要：為解決常見的系統(tǒng)間共用性選擇問題，以國內(nèi)外相關(guān)規(guī)范為依據(jù)，從系統(tǒng)間數(shù)據(jù)通信、現(xiàn)場(chǎng)檢測(cè)設(shè)備及控制系統(tǒng)等方面，對(duì)安全儀表系統(tǒng)與過程控制系統(tǒng)間的共用性及聯(lián)系進(jìn)行了分析研究。歸納總結(jié)了完整控制回路中不同部分組件在兩類系統(tǒng)間的共用性，設(shè)計(jì)人員可根據(jù)所在項(xiàng)目的實(shí)際情況，合理選擇兩類系統(tǒng)是否共用，現(xiàn)場(chǎng)設(shè)備是否系統(tǒng)間共用。

關(guān)鍵詞：安全儀表系統(tǒng) 過程控制系統(tǒng) 自動(dòng)化設(shè)計(jì) 控制回路 共用性 聯(lián)系

石油化工行業(yè)工程項(xiàng)目中，安全儀表系統(tǒng)(SIS)與過程控制系統(tǒng)(BPCS)一般情況下應(yīng)分別獨(dú)立設(shè)置，在硬件和軟件上都不共用，包括現(xiàn)場(chǎng)傳感器、執(zhí)行元件、控制系統(tǒng)部分等。但是對(duì)于少數(shù)中小型項(xiàng)目來說，由于項(xiàng)目規(guī)模、前期投資預(yù)算、投產(chǎn)時(shí)限等多方面因素的影響，需要考慮合理范圍內(nèi)的部分系統(tǒng)間共用設(shè)計(jì)，但前提也必須要滿足安全儀表回路的安全性及可靠性要求。

BPCS與SIS的共用性及聯(lián)系存在于系統(tǒng)間數(shù)據(jù)通信、現(xiàn)場(chǎng)檢測(cè)儀表、執(zhí)行單元、控制系統(tǒng)等幾部分，筆者從上述幾方面分別進(jìn)行分析。

1BPCS與SIS間的數(shù)據(jù)通信

BPCS和SIS之間的通信可以提高應(yīng)用的整體安全性。SIS與BPCS的過程參數(shù)的對(duì)比可以提高傳感器的診斷功能和整體性能。但是兩系統(tǒng)間通信，尤其是對(duì)SIS的寫入會(huì)降低其安全完整性。應(yīng)制訂規(guī)定來確保所有對(duì)SIS的寫操作是合法的，并且不會(huì)對(duì)系統(tǒng)安全性或操作產(chǎn)生負(fù)面影響。

可通過以下幾種基本方式來實(shí)現(xiàn)BPCS和SIS之間的通信：

1) BPCS與SIS之間自身沒有通信。這一點(diǎn)適用于所有SIS的安全完整性等級(jí)(SIL)。

2) BPCS與SIS之間每個(gè)設(shè)備都進(jìn)行硬接線(如SIS中的觸點(diǎn)狀態(tài)通過電纜接入BPCS)。

如果SIS需要硬接線的通信方式來實(shí)現(xiàn)安全功能，應(yīng)考慮輸入點(diǎn)、接線、輸出點(diǎn)、BPCS及其硬件和軟件功能實(shí)現(xiàn)所需的所有組件，上述內(nèi)容都需要為SIS能夠滿足相應(yīng)SIL而進(jìn)行分析和設(shè)計(jì)。

3) 從SIS向BPCS的通信是只讀通信方式。在分析檢查并確保這種方式不會(huì)對(duì)安全功能產(chǎn)生損害的情況下，適用于所有的SIL。SIS的防寫保護(hù)包括但不僅限于硬接線開關(guān)(跳線)方式來實(shí)現(xiàn)，另外對(duì)SIS的ROM寄存器寫操作進(jìn)行限制。

控制系統(tǒng)的串行通信接口使用戶能夠訪問大量的系統(tǒng)運(yùn)行數(shù)據(jù)。SIS和BPCS的集成可為操作提供較大的優(yōu)勢(shì)，但串行通信方式在執(zhí)行過程中仍應(yīng)考慮以下方面： 使用冗余通信方式及線路；如果BPCS和SIS之間交換臨界數(shù)據(jù)，則“看門狗計(jì)時(shí)器”應(yīng)考慮使用；在SIS中劃分專門的物理區(qū)域用于數(shù)據(jù)通信。

2現(xiàn)場(chǎng)設(shè)備的共用性問題

在一些情況下，可能難以避免現(xiàn)場(chǎng)設(shè)備在兩系統(tǒng)間存在共用，比如過程控制功能與安全儀表功能之間共用一套傳感器和閥門。首先，假設(shè)控制功能與安全功能在不同的系統(tǒng)中，控制功能分配給BPCS而安全功能分配給SIS。

當(dāng)發(fā)生突發(fā)事件時(shí)，還應(yīng)適當(dāng)考慮到安全儀表設(shè)備在減輕危害方面的功能。例如，外部起火大部分會(huì)損害非本安型的控制閥和制動(dòng)器，使它們無法在起火之后實(shí)現(xiàn)安全保護(hù)功能。設(shè)置單獨(dú)的本安型SIF隔離閥在這種情況下是至關(guān)重要的。

如果BPCS與SIS中有共用設(shè)備，應(yīng)考慮以下內(nèi)容：

1) SIS之外的軟硬件的故障應(yīng)不影響安全儀表功能(SIF)的準(zhǔn)確操作。

2) BPCS設(shè)備的失效不會(huì)導(dǎo)致系統(tǒng)危害和SIF的失效。

3) 共模故障、共因故障或相關(guān)故障(如引壓管、因?yàn)榫S護(hù)產(chǎn)生的旁路、關(guān)斷閥錯(cuò)誤操作等)的可能性應(yīng)被充分考慮并減小到最低。

4) 共用的設(shè)備依據(jù)ISA-84.00.01—2004進(jìn)行管理，包括安全測(cè)試和應(yīng)變管理。

5) 閥門的設(shè)計(jì)原則： BPCS的故障不會(huì)影響SIS使用共用閥。

6) 閥門在設(shè)計(jì)時(shí)應(yīng)能夠與SIS和BPCS在功能上兼容。需要注意的是，由于許多BPCS中的閥是“流開型”，而許多SIS中的閥是“流關(guān)型”，因而這一點(diǎn)難以實(shí)現(xiàn)。SIS中閥的執(zhí)行器動(dòng)力要求可能與控制閥不同?？刂崎y可能是雙座、平衡閥芯設(shè)計(jì)，SIS中的閥一般是單座，使用直通閥來減少泄漏。

7) 操作人員應(yīng)該界定不會(huì)影響SIF正常執(zhí)行的控制閥泄漏等級(jí)。對(duì)于氣動(dòng)閥來說，一個(gè)由SIS操作的電磁閥可能串行在控制閥執(zhí)行機(jī)構(gòu)的氣源中。當(dāng)SIS發(fā)送指令使閥處于關(guān)斷位，電磁閥就打開來泄放控制閥的氣體。對(duì)于電動(dòng)閥，應(yīng)保證在控制閥處于關(guān)斷狀態(tài)時(shí)，無論BPCS進(jìn)行任何操作，SIS都擁有使用控制閥的優(yōu)先權(quán)。

8) 對(duì)于閥和其他共用設(shè)備的任何在線測(cè)試需求均可以在不妨礙BPCS控制功能的使用情況下進(jìn)行。

另外，合理的設(shè)備隔離設(shè)計(jì)可以很好地減少共因故障并解決因意外變化而可能出現(xiàn)的安全問題。為解決這些問題，可以考慮從現(xiàn)場(chǎng)檢測(cè)單元、最終執(zhí)行單元兩方面入手，例如，SIS可與BPCS共用孔板流量計(jì)，但應(yīng)使用不同的過程接口和傳感器；例如壓力檢測(cè)元件的接口隔離，安裝時(shí)應(yīng)預(yù)防結(jié)冰與堵塞問題等。

3控制系統(tǒng)的共用性問題

當(dāng)BPCS與SIS要進(jìn)行共用設(shè)計(jì)時(shí)，可以考慮將BPCS設(shè)計(jì)成SIS來使用，需要使用全生命周期的方法涵蓋各保護(hù)層，包括危險(xiǎn)及風(fēng)險(xiǎn)分析、設(shè)計(jì)文件、功能安全管理、變化校驗(yàn)和變化管理。BPCS和SIS變?yōu)橐粋€(gè)整體，執(zhí)行安全保護(hù)和過程監(jiān)控兩種功能。

此時(shí)BPCS功能設(shè)計(jì)在SIS內(nèi)并根據(jù)ISA-84.00.01—2004的需求進(jìn)行設(shè)計(jì)和管理?？紤]召開危險(xiǎn)及風(fēng)險(xiǎn)評(píng)估會(huì)來研究可能的控制功能和安全功能間的共因故障(控制功能可能導(dǎo)致失效)。這種情況下，邏輯控制器故障的影響，數(shù)據(jù)高速通信的損失、軟件錯(cuò)誤和工程接口訪問的安全性，這些問題在復(fù)合系統(tǒng)運(yùn)行時(shí)可能成為更難分析的問題。

BPCS和SIS的生命周期設(shè)計(jì)一般不同，生命周期的使用可通過ISA-84.00.01—2004定義的設(shè)計(jì)、測(cè)試、校驗(yàn)或管理程序減小潛在的系統(tǒng)失效概率。

筆者建議BPCS的保護(hù)層與任何SIS保護(hù)層應(yīng)實(shí)體分離來避免共模故障。此外，SIS與BPCS共用邏輯控制器時(shí)仍需要關(guān)注以下問題： 邏輯控制器執(zhí)行控制功能和SIF的功能性；邏輯控制器整體達(dá)到針對(duì)復(fù)合系統(tǒng)的必要危險(xiǎn)率；對(duì)于SIF的訪問安全；避免對(duì)SIF的非法意外輸入；對(duì)于SIF的變化的管理。

筆者不建議BPCS/SIS共用控制元件及模塊(CPU 等)，除非特殊情況。但由于SIS邏輯控制器中控制功能的獨(dú)立執(zhí)行會(huì)明顯提高長(zhǎng)期操作、維護(hù)、測(cè)試和控制功能管理的成本，從而在一些規(guī)模較小的項(xiàng)目中，如獨(dú)立大型轉(zhuǎn)動(dòng)設(shè)備和撬裝系統(tǒng)，它們更高的操作成本會(huì)被其他設(shè)計(jì)考慮(即共用系統(tǒng))抵消，則可以考慮共用。共用的軟件和硬件應(yīng)該整體達(dá)到共用性和統(tǒng)一性，能夠達(dá)到H&RA規(guī)定的目標(biāo)故障率(危險(xiǎn)失效導(dǎo)致的不可接受結(jié)果的可忍受頻率)。

雖然BPCS/SIS獨(dú)立設(shè)置并使用不同類型的SIS邏輯控制器，在ISA-84.00.01—2004中并未明確要求，然而，許多業(yè)主/操作維護(hù)方在實(shí)際項(xiàng)目中往往都按照獨(dú)立系統(tǒng)來設(shè)置考慮。當(dāng)控制功能故障時(shí)，SIS作為獨(dú)立保護(hù)層動(dòng)作；SIS的設(shè)計(jì)會(huì)應(yīng)用到許多標(biāo)準(zhǔn)和指南，從而完成SIF功能和控制功能實(shí)體分離的多樣性。

SIS和BPCS硬件和軟件完全獨(dú)立在工業(yè)生產(chǎn)中，包含如下原因：

1) 這種獨(dú)立實(shí)際上減小了共模失效。

2) 考慮到各個(gè)系統(tǒng)的分別維護(hù)，SIS與BPCS互相隔離時(shí)一般使用不同的操作人員。

3) SIS和BPCS隔離是與保護(hù)層的定義相關(guān)的。當(dāng)BPCS產(chǎn)生故障時(shí)，被隔離的SIS是一個(gè)獨(dú)立的保護(hù)層。

4) 當(dāng)對(duì)SIS和BPCS進(jìn)行了恰當(dāng)?shù)脑O(shè)計(jì)、校驗(yàn)和管理時(shí)，可適當(dāng)減少分析研究的工作量。

4結(jié)束語

SIS與BPCS一般情況下應(yīng)獨(dú)立設(shè)置，包括現(xiàn)場(chǎng)檢測(cè)部分及執(zhí)行部分等；雖然少數(shù)小型項(xiàng)目可以考慮共用設(shè)計(jì)，但也應(yīng)遵循相應(yīng)規(guī)范要求，滿足功能安全及故障失效概率值。在綜合考慮投資成本、運(yùn)行維護(hù)工作量、系統(tǒng)可靠性等綜合因素后，根據(jù)實(shí)際情況合理設(shè)計(jì)工作站，本文對(duì)系統(tǒng)間的共用性及聯(lián)系提供了有益的分析，為工程技術(shù)人員在項(xiàng)目實(shí)際執(zhí)行時(shí)提供了一定參考。

參考文獻(xiàn)：

[1]IEC. IEC 61511-1—2003 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第1部分： 框架、定義、系統(tǒng)、硬件和軟件要求[S].Geneva： International Electrotechnical Commission，2003.

[2]IEC. IEC 61511-2—2003 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第2部分： IEC 61511-1的應(yīng)用指南[S].Geneva： International Electrotechnical Commission，2003.

[3]IEC. IEC 61511-3—2003 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全 第3部分： 確定要求的安全完整性等級(jí)的指南[S].Geneva： International Electrotechnical Commission，2003.

[4]IEC. IEC 61508-2—2000 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第2部分： 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的要求[S].Geneva： International Electrotechnical Commission，2000.

[5]IEC. IEC 61508-3—1998 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第3部分： 軟件要求[S].Geneva： International Electrotechnical Commission，1998.

[6]IEC. IEC 61508-5—1998 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第5部分： 確定安全完整性等級(jí)的方法示例[S].Geneva： International Electrotechnical Commission，1998.

[7]IEC. IEC 61508-6—2000 電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 第6部分： IEC 61508-2/3的應(yīng)用指南[S].Geneva： International Electrotechnical Commission，2000.

[8]ISA .ISA 84.00.01-1—2004 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)： 框架、定義、系統(tǒng)、硬件和軟件要求[S]. Beijing： Industry Subversive Alliance，2004.

[9]ISA .ISA 84.00.01-2—2004 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)： ISA 84.00.01-1的應(yīng)用指南[S]. Beijing： Industry Subversive Alliance，2004.

[10]ISA.ISA 84.00.01-3—2004 過程工業(yè)領(lǐng)域安全儀表系統(tǒng)： 確定要求的安全完整性等級(jí)的指南[S]. Beijing： Industry Subversive Alliance，2004.

[11]黃步余，王建民，王玉華.SH/T 3018—2003 石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范[S].北京： 中國石化出版社，2003.

[12]ISA.ISA-TR 84.00.04—2005 Part 1 Guidelines for the Implementation of ANSI/ISA-84.00.01—2004[S]. Beijing： Industry Subversive Alliance，2005.

[13]ISA .ISA-TR 84.00.04—2005 Part 2 Example Implementation of ANSIISA-84.00.01—2004 [S]. Beijing： Industry Subversive Alliance，2005.

中圖分類號(hào)：TP273

文獻(xiàn)標(biāo)志碼：B

文章編號(hào)：1007-7324(2015)06-0076-03

作者簡(jiǎn)介：吳剛(1979—)，男，山東文登人，2008年畢業(yè)于中國石油大學(xué)(北京)自動(dòng)化專業(yè)，獲碩士學(xué)位，現(xiàn)就職于中國石油集團(tuán)工程設(shè)計(jì)有限責(zé)任公司北京分公司，主要從事油田地面工程自動(dòng)化設(shè)計(jì)工作，任工程師。

稿件收到日期：2015-07-07，修改稿收到日期：2015-09-18。