关于安全和控制系统的“整合”,过程控制行业的口水战正在激烈进行。这是一个已经持续了多年的争论,但最近几个过程控制供应商引入的新的集成系统最近又火上浇油。exida.com的主要合伙人比尔•戈布尔表示:“这是目前一个极具争议的问题。
太远了?
一方面,有人警告说,一些控制供应商及其客户可能会在集成过程控制和安全仪表系统(SIS)的概念上走得太远,从而危及安全。该小组表示,安全和控制系统分离和独立运行的传统要求可能会被一些新的集成架构所违反,这些架构依赖于安全和控制的“功能”或“逻辑”分离,而不是实际的物理分离。
这些人士指出,首先,复杂的安全系统与过程控制系统之间的紧密耦合——如果处理不当——可能会让工程师、操作人员或维修人员在改变或维修控制系统时,无意中对安全系统做出危险的修改。另一方面,他们认为,这种方法可能存在“共模故障”的风险,这可能会影响安全和控制系统。位于休斯顿的安全系统集成商SafePlex Systems Inc. TÜV的功能安全专家Lawrence Beckman警告说,在同一个硬件平台上结合了安全和控制的系统可能会出现故障,“这可能会让你的控制和安全都失效,如果发生这种情况,那么你必须有一种次要的方式来安全有序地关闭这个过程。”
Triconex是一家独立安全系统供应商,是英维思过程系统公司(Invensys Process systems)位于加州欧文市的子公司,其品牌总监路易斯•杜兰(Luis Duran)也认为,传统的分离方法“就像皮带和背带的分离方法”。杜兰说:“但从最近发生的事情来看,问题不在于集成,而在于将安全系统嵌入到控制系统中,并使精细的分离线消失。”“然后你就再也没有腰带和背带裤了,所以如果你失去了一条,你就失去了两条。”
FUD蔓延呢?
争论的另一方是那些吹捧综合安全/控制方法对最终用户的潜在好处的人;这包括节省工程、培训、维护和服务成本,以及减少备件需求。支持者表示,总体而言,与单独的系统方法相比,集成安全/控制系统可节省30%或更多的总拥有成本。为了避免安全问题,该小组同意必须保持安全与控制的适当分离。但他们认为,这种分离可以通过精心设计将安全与控制结合起来的系统来实现。
这一群体中的一些人认为,传统的安全分离主义者正在传播“恐惧、不确定和怀疑”(FUD)。他们很快指出,国际电工委员会颁布的国际安全标准,包括IEC 61508和61511,并没有禁止这种控制/安全集成。
“该标准实际上承认,安全和非安全功能可以存在于同一个系统中,如果‘……可以证明安全功能和非安全功能的实现是充分独立的(即非安全相关功能的故障不会导致安全相关功能的危险故障)-IEC61508-2条款7.4.2.3,’”瑞士控制供应商ABB撰写的一篇评论文章说,该公司提供了一个集成系统。
目前市场上的各种综合安全/控制系统已经满足了这一要求,他们的供应商说,从TÜV(一个独立的国际认证组织)获得的认证证明了这一点。这些供应商认为,一旦系统TÜV-certified达到了特定安全完整性水平(SIL)的国际标准,就应该结束任何争论。
ABB在题为“关于集成控制和安全的真相”的专栏文章中表示,关于安全/控制集成问题的公开辩论大部分是在既得利益的供应商之间,为他们当前的产品或技术进行辩护,而不是在最终用户之间,就不同可接受方法的优缺点进行讨论。在这个话题上,有很多虚假信息在传播。”“不幸的是,这只会让最终用户更加困惑。”
开车的是谁?
佛罗里达州蓬帕诺海滩(Pompano Beach) RTP Corp.的销售副总裁克里夫(Buddy Creef)则换一种说法。,vendor that received TÜV certification in October last year for its RTP 2500 integrated safety/control system. “I think sometimes the vendors drive the discussions,” Creef opines. “So if I’m offering integrated control and safety, I’m trying to drive things that way. And if I’m a Triconex or Triplex or Hima (other stand-alone SIS vendors) who only offer safety systems, then I’m certainly trying to say you should worry about common-cause failures, and you should worry about integrated systems.”
无论他们站在问题的哪一方,过程控制行业的大多数人都同意,更广泛地使用集成控制/安全系统是可能的。ARC咨询集团有限公司
当然,不同的供应商采用不同的控制/安全集成方法,有些供应商提供了多种解析或集成安全和控制的选项。ARC制造咨询服务副总裁Asish Ghosh表示,在从独立到整合的过程中,ARC确定了四个基本类别。
第一个层次是“分离的”,意思是没有整合;在这个层次上,基本过程控制系统(BPCS)和安全仪表系统(SIS)是完全独立的,彼此独立工作。
手臂的长度
下一个更高的层次是ARC所说的“接口”。在这个级别上,两个系统仍然是分开的,通常由不同的供应商提供,但是配置了一个接口来支持数据传输。这种方法保持了分离性和多样性,同时满足了终端用户的主要需求,使操作人员可以在一个单一的公共屏幕上查看来自SIS的报警数据和其他信息以及控制信息。
Ghosh观察到,接口方法可能依赖于网关来处理两个系统之间的协议转换,这在当今行业中很常见。事实上,据宾夕法尼亚州斯普林豪斯自动化供应商西门子能源与自动化公司(Siemens Energy & automation Inc.)的全国过程安全经理查尔斯•费阿尔科夫斯基(Charles Fialkowski)估计。在美国,界面方式占据了当前市场的60% ~ 80%。
来自Triconex和其他独立安全系统供应商(如Hima和ICS Triplex)的SIS系统通常以这种方式连接到传统自动化控制供应商提供的BPCS或分布式控制系统(DCS)。Triconex的Duran解释说,通过这种方法,两家不同供应商提供的硬件和软件的多样性可以防止共模故障。
高希说,作为SIS市场的长期参与者,根据ARC基于2005年收入的数据,英维思Triconex仍然占据全球市场份额的领先地位。尽管高希拒绝提供市场份额百分比,但他确实表示,霍尼韦尔和ABB在全球SIS市场份额中分别排名第二和第三,紧随其后的是ICS Triplex、Hima和西门子。当2006年的数据出炉时,这些排名可能会发生变化。
Duran表示,多年来,Triconex安全系统已经与几乎所有主要过程控制供应商的控制系统进行了接口,包括ABB、艾默生、霍尼韦尔、西门子、横河和Triconex的姐妹公司英维思子公司Foxboro。Duran说,在当今的许多情况下,接口方法涉及在自动化平台中使用嵌入式通信板,这些通信板依赖于Modbus或OPC(一种开放通信标准)等标准协议,他说这种方法比网关方法更具成本效益。
越来越近了
ARC定义的第三个层次是“集成”。在这个级别上,SIS和DCS仍然是独立的处理器,但它们通常是由同一供应商制造的,两个系统之间有更紧密的集成。它们可能有相似的架构,Ghosh指出,“当我们说集成时,我们特别指的是在软件中有一些共通性。这意味着人机界面看起来很相似,或者配置工具也很相似。”“从硬件的角度来看,它们可能非常相似,所以只需要一套备件。”
正是在这个层面上,分离传统主义者开始反对,警告说,安全性和控制之间增加的舒适感可能会导致人为错误或常见设计故障引起的麻烦。
包括ABB和西门子在内的过程自动化供应商多年来一直提供SIS系统,这些系统可以与他们自己的dcs集成工作。最近的参赛者包括艾默生和横河,这两家公司都在2005年推出了新的SIS项目,旨在与他们自己的控制器集成。
霍尼韦尔也有自己的安全控制器系列,可以以霍尼韦尔安全管理系统全球营销经理斯科特·希尔曼(Scott Hillman)所说的“运营集成”的方式与自己的dcs协同工作。但出于分类考虑,高希将霍尼韦尔的产品归为接口类,尽管是“高度”接口类。高希说:“你可以称之为整合,但它并不是完全整合。”“他们有自己的安全系统和控制系统,我想说这些系统是高度互联的。”
ARC的第四个类别是高希所说的“通用”系统。高希解释说:“通用意味着一个盒子既能控制又能安全。提供该级别集成认证安全/控制系统的供应商包括ABB、RTP和西门子。
通用单箱集成系统的供应商引用了各种TÜV-certified方法,这些方法用于他们的系统以满足国际安全标准,确保系统的安全性。例如,ABB强调,其集成的单箱800xA高完整性系统从一开始就被视为一种安全系统,并在上市销售前通过了TÜV认证。ABB表示:“内存分区、独立的执行上下文、防火墙和堆栈管理技术提供了逻辑分离,确保在同一处理环境中运行的安全程序和非安全程序实际上是分开的,没有接口。”
太复杂?
但是一些批评这种方法的人,比如SafePlex Systems公司的贝克曼说,他们就是不接受这种方法。贝克曼说:“我认为这是不可能的,因为这些系统太复杂了。”“安全系统的一个独特之处在于,它们本质上很简单,因为如果它很简单,它工作的几率就相当高。它越复杂,就越不可能奏效,”他宣称。
Beckman还认为,综合控制/安全系统的复杂性使它们容易受到人为错误、维护或测试期间或操作员对控制系统进行更改所引起的问题的影响。他说,这些行动中的任何错误都可能导致SIS发生意想不到的变化。贝克曼补充说,对于集成系统来说,恐怖分子和黑客可能会同时进入安全和控制系统,这是一个额外的风险。
Beckman是Triconex的前任营销副总裁,他的公司之前也曾在美国独家代表Hima,他是仪器仪表、系统和自动化协会SP84委员会的长期成员。该委员会于2004年采用了IEC 61511作为其ISA-84安全标准的最新版本。该标准随后被美国国家标准协会批准成为ANSI/ISA-S84。贝克曼说,他强烈反对两次收养,因为使用的术语;该标准允许安全和控制之间的“功能分离”,贝克曼认为这一短语应该改为“物理分离”。
因此,他承认,无论是对是错,目前的标准确实允许过程控制和安全系统的集成。贝克曼说:“但我仍然强烈地感觉到,当人的生命处于危险中时,这不是最安全的方法。”
到目前为止,流程制造商对集成系统的看法不一。Goble在exida.com上说:“我和很多终端用户谈过这个问题,我想说,有很大一部分人,可能是三分之一左右,他们认为,在任何情况下,把安全和控制结合在同一个系统中都是不合理的。”他指出,其他人对这个想法更加开放和热情。“因此,人们的观点有很大的不同。”
ARC预计SIS硬件、软件和服务将强劲增长;高希说,未来几年,全球市场将以每年至少11%的速度增长,从2006年的约10亿美元增长到2010年的约15亿美元。但是,尽管在单盒“通用”级别集成的系统可用,ARC认为属于第三类“集成”系统的系统在短期内会有更大的增长。
令人毛骨悚然的
供应商们倾向于同意这一点。西门子的菲阿尔科夫斯基承认,单箱集成系统兼顾安全与控制的想法仍然“让很多人感到害怕”。他说,对于年长的工程师来说尤其如此,他们在整个职业生涯中都在接受安全与控制之间绝对需要物理分离的教育。他补充说,到目前为止,西门子在单箱安全/控制系统的销售活动很少。
但与此同时,Fialkowski表示,基于集成系统的业务正在增长,该系统使用公司的Simatic PCS 7过程控制器和TÜV-certified PCS 7F安全控制器,它们分别以集成的方式运行。他说:“这种想法和方法实际上比界面方法发展得更快。”“它现在可能占市场的20%到30%,而且还在增长。”
ABB过程自动化部门安全系统业务负责人Edgar Ramirez表示,最终用户对ABB最新的综合安全/控制产品反应不一
拉米雷斯说,加拿大石油和天然气行业的主要参与者,如埃克森美孚公司,加拿大石油公司
和壳,更喜欢安全与控制分离
系统——ABB也提供这一选项。但他表示,几乎相同数量的石油和天然气用户更愿意考虑集成的SIS/DCS方法,并且已经启动了使用不同程度的安全/控制集成的ABB产品的项目。
到目前为止,ABB有一个项目
迷住了
其他供应商也报告说,越来越多的终端用户接受集成控制/安全概念。在横河公司
在艾默生过程管理公司,
Miller说,在DeltaV/DeltaV SIS环境中,信息在各个子系统之间无缝共享。“你不再需要通过Modbus或OPC将安全系统映射到DCS中。你不再需要运行一个独立的总线来实现不同子系统的时间同步,你也不再需要一个独立的事件序列系统。”他解释道。“所有这些功能子系统都构建在我们的集成BPCS/SIS环境中。”Miller说,其结果是大大缩短了工程集成时间。
当然,艾默生和横河提供的集成控制/SIS体系结构在许多方面都有所不同。但这两家竞争对手的一个共同点是,它们都没有提供一种“通用”的系统方法,将安全和控制集成在同一个盒子里。相反,两者都依赖于更保守的、独立的SIS和DCS系统,这些系统使用集成的体系结构进行信息共享。尽管两家公司都意识到安全分离传统主义者的批评,但两家公司都迅速宣称,他们的综合方法是严格遵守国际安全标准设计的。
在艾默生的架构中,“我们的安全和控制系统在所有重要的方面都是完全隔离的,”米勒说。“操作系统是不同的。硬件是不同的。我们唯一共享的是工程工具,即使是那些安全集成功能的密码保护,”米勒指出。他补充说,虽然集成的DeltaV SIS和DeltaV系统通过专用的通信通道进行信息共享,但这种连接是单向的。“SIS向BPCS发送信息,虽然SIS可以从BPCS看到信息,但这些信息不会改变SIS中实现的安全仪表功能。”
自我诊断
横河公司的de Breet指出,虽然该公司CS 3000控制器和ProSafe RS SIS的基本处理器是相同的,但安全系统架构“已得到增强,以满足IEC标准”。他的意思是,“在安全系统中,有很多诊断硬件和软件,所以系统会对系统中可能存在的不安全故障进行自我诊断。”
此外,与一些竞争对手不同,横河并没有为BPCS和SIS使用通用工程软件。de Breet说:“如果你想在两种情况下使用相同的工程软件,这意味着你需要让你的控制系统软件也经过TÜV的审查,因为你必须确保它不会反馈到安全系统中。”他指出,因此横河选择使用TÜV-certified工程软件,该软件与用于控制系统工程的软件是分开的。
在霍尼韦尔过程解决方案公司,Hillman同意将控制工程软件与安全工程软件分离是正确的方向。他说,普通工程软件的一个问题涉及人为错误。来自荷兰' s-Hertogenbosch的Hillman表示,一种常见的工程软件方法将确保安全和控制功能分离的责任放在最终用户身上,如果它们出现故障,这些功能将独立运行。
希尔曼表示,这就是为什么霍尼韦尔依赖于独立的安全构建器和控制构建器工程软件,让客户将公司目前的旗舰安全控制器安全管理器与目前的旗舰过程控制器C300连接在公司的Experion保护伞下。按照霍尼韦尔对国际安全标准的解读,这种方法依赖于独立而多样的处理器,这些处理器以一种“具有安全数据访问的操作集成,但没有常见的故障模式”的方式连接在一起,正如希尔曼所说。他认为,霍尼韦尔的一些竞争对手“在整合方面走得太远了。”
有多快?
展望未来,关于独立还是集成安全/控制系统的争论似乎肯定会继续,即使集成系统在市场上获得了更大的立足点。这个问题可以归结为每个终端用户感到舒适的集成程度。
ARC过程工业咨询副总裁Dave Woll说:“在ARC,我们认为这种新型安全系统提供了不同程度的相同但又独立的功能。”“从与终端用户的交谈中,我们的感觉是,这些系统的吸引力来自于它们显著较低的拥有成本。毫无疑问,市场正朝着不同程度的相同但又不同的方向发展。”“最大的问题是,‘它将以多快的速度移动?’”
如需更多信息,请搜索关键词过程安全“在www.myenum.com.
.
![Mps035 Sm 1200x628 D[2]](https://img.automationworld.com/files/base/pmmi/all/image/2021/03/MPS035_SM_1200x628_D_2_.604a4a336bc60.png?auto=format%2Ccompress&bg=fff&fill-color=fff&fit=fill&h=146&pad=5&q=70&w=340)
