过程自动化:综合安全的案例

虽然假设控制系统和安全系统之间需要物理隔离,以避免共同原因的故障,但“有效”的隔离可能是足够的,通过适当的分析和正确的人员。

各保护层必须是独立的,但不能是不协调的。
各保护层必须是独立的,但不能是不协调的。

过程的安全。过程或安全吗?过程而且安全。

过程工业已经争论了几十年,是否有必要整合控制和安全功能。整合有巨大的好处,但也有挑战和担忧。自上世纪80年代末的讨论以来,技术已经取得了进步,今天的过程自动化无疑能够比当时更好地提供安全功能。但争论还没有结束。

在上周于休斯顿举行的ABB自动化与电力世界大会上,ABB产品营销经理Luis Duran展示了一个集成安全和过程控制的案例,以努力“在我们如何处理这个问题上更加务实”。

在20世纪80年代末,当杜兰正在研究他的第一个过程控制系统时,“当时过程自动化还不能提供安全的功能,”他说。但对于加工工厂来说,将安全系统的信息引入到过程控制中仍然是很重要的。“我们不能对安全系统中发生的事情视而不见。”

然而,安全标准规定,基本过程控制系统(BPCS)应与安全仪表系统(SIS)分开。这种分离的程度是有争议的。一种观点认为在BPCS中根本不应该执行任何安全功能。另一方则表示,“有效”的隔离而不是物理隔离足以提供安全性,同时还能提供有益的集成。

无论您从哪个角度处理这个问题,每个人都对过程安全的重要性有共同的兴趣。无论是在石化行业还是油气上游,事故都是昂贵的,会影响生产和供应,并对人类生活造成巨大影响。杜兰说:“最后,我们要确保我们不会对核电站或核电站附近的社区造成影响。”

业界处理此类事故概率的方法是安装不同的防护层,包括过程控制系统、报警器、SIS,最后是物理和社区安全程序。“保护层必须是独立的,而不是协调的,”杜兰说。“这些层中的任何一层都可能在给定的时间点失效。其他组件必须能够相互独立地响应,以确保进程的安全。这就是为什么每一层都可以继续工作,即使其中一层已经失效。”

杜兰补充说,虽然这些层次必须是独立的,但这并不意味着它们必须是不协调的。为了使操作人员能够有效地应对正常和异常情况,重要的是掌握控制和安全方面的信息,而技术确保了控制和安全之间的功能独立性。

Duran指出,ABB的800xA高完整性是一个集成的过程自动化系统,带有安全组件。过程控制和安全运行在不同的控制器上,但共享同一网络。它们还共享相同的操作界面和工程,集中的历史记录和数据存档,工厂范围内的事件序列,以及共同的、集成的资产管理策略。

杜兰认为功能安全标准是基于性能的;各物料供应处应保持独立,以确保SIS的功能完整性不受影响,但未必需要进行物理隔离。“假设我们一直都是这样做的,但这是没有必要的,”他争辩道。物理分离当然也可以提供所需的分离,“但如果你在寻找集成,物理分离可能会造成另一种挑战。”

ARC咨询集团列举了综合安全和控制的一些优势,如较低的工程和生命周期成本,较低的培训和维护费用,更容易的时间同步,以及改进的资产和事件管理。然而,他们也列出了挑战:共同原因故障的风险增加,需要仔细设计以确保BPCS故障不会影响SIS,以及更大的管理挑战。

假设你通过让A公司做过程自动化系统,B公司做安全系统来减少共同原因的故障。杜兰说:“但即使你的系统来自同一家公司,也有可能分析并减少硬件、软件以及功能和测试方面的常见故障。”

在系统设计过程中,可以对常见结构的潜在共因故障进行分析和最小化,以保证系统的独立性。杜兰说:“我们使用不同的技术组合在一起,不仅实现了可靠性,还减少了可能引入的潜在人为错误。”“一个独立的第三方团队会验证是否实现了功能上的独立性。”

集成系统的其他优点:

  • 访问控制是一个标准的现成特性,包括写保护、绕过和重写机制。
  • 在设计验证和验证测试中进行集成测试,包括网络安全测试。
  • 版本控制、兼容性和互操作性测试都是发布过程的一部分。

重要的是,在整个过程中不要忽视人的因素。所有参与安全系统的人员都应该是称职的,并遵循程序。杜兰指出:“控制器的安全认证很重要。“然而,与这些一样重要的是,人的因素——谁来设计系统以及如何实现系统——甚至更重要。”

根据一项名为“失控:控制系统为什么会出错以及如何防止故障”的研究,超过一半的事故在系统投入使用之前就已经被纳入系统中——43%在规范阶段,15%在设计和实现阶段。

Duran说,对于800xA HI,功能内置到系统中,以防止设计或实现中的人为错误。“通过遵循公开的设计实践,可以构建集成的健壮性,并实现独立的保护层,”他说。“人们是关键。所有参与安全系统的人都必须具有一定程度的能力。理解功能安全是这些能力之一。必须有人证明自己的能力。”

本文中的公司
更好地控制