过程控制系统何时才能与安全系统共享现场设备

安全仪表系统（Safety Instrumented System，简称SIS）是否能够和基本过程控制系统（Basic Process Control System ，简称BPCS）共享现场设备？这肯定能够节省经费，因为通常一台大型超低温阀门造价就高达50万美元。问题是如何使SIS和BPCS能够共享阀门或者其他组件，同时还能符合标准要求。

相关标准

SIS需要按照IEC61511标准设计，以符合相关国家法规（ISA 84.00.01是IEC61511标准对应的美国标准）的要求。此标准中陈述道，可以在安全系统和基本过程控制系统之间共享设备，但对于何时允许或者不允许共享设备做出了一些具体要求。不过，这些要求却经常被误读和忽视。最终的目的是为了避免单点故障（single point of failure），即单一设备的故障会使过程失控，并对安全系统发出请求，同时导致关断系统失效，使其无法做出正确响应。

要想成功地共享现场设备，必须要对受控制的工艺有一个深入的理解——不仅仅是对安全设备或者电子设备的理解，还需要对受控的化学工艺过程的理解。你必须了解工艺以及各种设备的使用方法，知道什么情况会导致设备发生故障，以及故障之后会带来什么后果。

共享设备必须考虑IEC61511标准中段落8.2.1的相关内容：

“为了明确安全完整性的要求，需要对系统发出请求的原因以及保护系统如何对这些请求作出响应进行描述。”

这一点并非标准要求，但是在BPCS和SIS之间共享设备的时候必须对此做仔细考虑，以确保整体风险维持在可接受程度内。除此之外，段落11.2.10及其注释也给出了很多建议：

“除非经过仔细分析后判定整体风险在可接受程度内，用来实现部分安全仪表功能的设备不应该用于基本过程控制目的，因为如果此设备发生故障，就会导致基本过程控制功能失效，进而导致发出对安全仪表功能的请求。”

“注释：当部分SIS也用于控制目的，那么通用设备的危险故障就会导致发出对SIS功能的请求，随之就会引入新的风险。额外的风险取决于共享组件的危险失效率，因为如果共享组件失效，就会立即发出一个请求，而SIS此时已经无法做出响应。基于这个原因，在这种情况发生时，必须进行额外分析，以确保共享组件的危险失效率足够低。在与BPCS共享组件时，传感器和阀门通常是需要考虑的。”

如果一台设备的故障会导致BPCS循环发出对SIS的请求，而同时会导致SIF失效并处于危险状态，那么就不应该将此台设备用于安全仪表功能（SIF）。此条款旨在防止单点故障的发生。

11.2.10注释中提到单点故障并非不可以接受，只要这种故障的频率足够低即可。这就要求进行详细的定量分析——这是一个费力的过程，很难做好，而且经常被忽视。然而，大多数情况下，分析的结果是不允许共享设备。

FMEA过程

如果要共享设备，就要求对被共享的设备进行失效模式和效果分析（failure modes and effects analysis ，简称FMEA）。这意味着对任何被分享的设备——变送器、阀门甚至整个控制循环——必须明确每一个被共享设备失效的每一种可能，以及是否这些可能会导致单点故障。虽然没有明确要求，但是我们强烈建议对这些分析进行正式的备案和核查。

FMEA过程首先要列出在给定循环或者功能中将会被共享的每一个组件的名单。每一个组件的失效模式都要列出，每一种失效模式将会带来的后果都必须描述。如果一个原发故障导致安全功能失效，那就会造成单点故障。必须通过重新设计来消除单点故障，或者通过定量分析证明故障的频率足够低。

太多共享

图1所示为一个具有较多数量共享元件的例子。碳氢化合物和水的分界面通过液位变送器LT-101进行监控，过程测量结果发送给控制系统中的控制器功能模块LIC-101，控制系统调整液位控制阀门LV-101，将罐体中的水位控制在设定点附近。功能模块LSLL-101在本例中用来监控低液位，实现安全功能。可能的失效模式和它们的后果见表1。这个例子已经简化过，只留两个共享组件。实际上，DCS输入板卡、DCSCPU、DCS输出板卡和液位阀门都是共享组件，它们都应该进行失效分析。

图1 共享的“最终”后果是液位限制功能模块LSLL-101本应该能够提供安全功能，但是由于液位变送器或者控制阀的故障导致产生单点故障。

很明显这种结构不会被采纳，但是如果安全功能独立或者至少被部分独立，结果会怎么样呢？图2中增加了一台独立的液位变送器LT-102，它为自己的逻辑解算器提供液位测量信号，而逻辑解算器会对低液位状态做出响应，切断电磁阀电源，从控制阀LV-101获得通风，使其关闭。这种情况下，唯