过程控制系统何时才能与安全系统共享现场设备

一的共享组件就是控制阀，失效模式分析见表2。

图2 增加了一台独立的液位变送器LT-102之后，其自身的逻辑解算器会对低液位状态做出响应，切断电磁阀电源，从控制阀LV-101获得通风，使其关闭。然而，共享的控制阀仍旧能够产生单点故障。

情况依旧如此，仅仅共享控制阀门也不能提供足够的保护。

图3所示为具有额外独立截止阀的情况，这种情况下的分析很简单：由于没有共享组件，因此也不存在单点故障。

图3 此图增加了一个独立的截止阀XV-101。没有共享组件，因此也不存在单点故障。

合理共享

有的情况下允许共享一些组件，例如氢化裂解器或者重油加氢器。在这些过程单元中，配置有一台给料泵，给料压力从100 psig（磅/平方英寸(表压)）左右的低给料系统压力到1000～2000 psig的高反应器压力。图4所示是一套关断系统，用来检测由于泵失效所导致的正向流量为0。一旦发生此情况，关断系统会关断截止阀，防止流体由高压反应器系统通过给料泵倒流回低压给料系统，防止产生泄压的潜在可能。在给料泵失效时，流量控制器会对低流量状态做出响应，打开控制阀，试图增加流量，因为当前测得的流量（实际是0）已经比给料流量设定点低了。因此，流量控制阀门上配备了一个由关断系统控制的电磁阀，如果正向流量为0，关断系统就会切断电磁阀，以关闭控制阀。

图4 此图显示了一个允许共享流量控制阀的例子，因为它并不会既发出请求又导致保护功能失效，所以它并不会导致单点故障。

这种情况下，可以允许共享控制阀，因为它并不会既发出请求又导致保护功能失效，也就是它并不会导致单点故障。流量控制器的失效并不会导致流体反向流动，会导致流体反向流动的唯一可能就是给料泵失效，但在此例中即使阀门卡在了任意一个位置（无论打开或者关闭），它都不会导致流体的反向流动，只要给料泵能继续工作。关断操作与危险情况产生的原因并不相关，所以安全目的和关断目的共享同一个阀门是允许的。通常为了提供冗余性，都会使用一个独立的关断阀，以防出现电磁阀断电后流量控制阀仍无法关闭的情况，无论是由于电磁阀损坏还是控制阀被卡住的原因。

本文的讨论并未包含那些允许单点故障存在的情况。因为这种情况要求对可能的故障频率做精细的数学分析，而这种分析的花费很可能要高于购置一台独立的设备。

总的来说，IEC61511标准允许在SIS和BPCS之间共享现场设备，但是有一定要求，必须严格执行，以防止使用不安全的方法共享设备。其中一个要求就是对共享组件进行相当复杂的分析，而这种分析经常被误读或者没有被正确执行。最终必须对所有共享组件进行经过备案和确认的FMEA分析。

案例一：分水器

这个事故发生于20世纪90年代中东的一处离岸生产平台上。分水器将液态碳氢化合物和水分离开来，并将水通过油腻的排水管道存储在一个罐内。如图2所示，液位变送器LT-101监控水/碳氢化合物的分界面，并通过控制器LIC-101和流量控制阀LV-101控制水流到排水管道。安全系统使用独立的液位变送器LV-102、安全PLC和电磁阀，在切断电源后，这些装置会从控制阀引入气体，使其关闭。

系统已经运行了一段时间，过程条件没有变化。这种工况是常见的污物沉积环境，但是阀门却从未经过部分行程测试，而工厂操作人员并不知道，阀门其实已经卡住了。

当过程条件发生变化时，排水量减少，分水器中的液位开始降低，液位控制循环通知流量控制阀减少流量。由于阀门卡住，流量并未降低，分水器中的液位持续下降。当液位到达液位下限时，安全系统做出响应，使电磁阀断电，但是卡住的控制阀门无法做出响应。

分水器液位持续下降，直到液态碳氢化合物流入排水管，碳氢化合物最终触及点燃源，排水管发生了爆炸，生产被迫停止，需要进行代价高昂的维修。总损失超过一百万美金，索性没有人员伤亡。

正如本文另一个例子一样，发生了单点故障——此例中的控制阀明显不符合11.2.10条款的要求。正确的设计应该是为SIS和BPCS分配独立的关断阀。在这种易发生堵塞的环境中，应该进行部分行程测试，否则即使为过程控制和安全功能指派了独立的阀门，结果也是徒劳。

案例二：低通流量的火焰加热器

美国东北部一家精炼厂中的过程加热器具有如图5所示的安全关断系统。其在可燃气体管道上配有XV-21和XV-22两个关断阀，使用独立的安全PLC进行控制。如果流到加热器中的过程流体的流量下降较大，安全系统就会关闭与燃烧炉相连的可燃气管道。加热器已经稳定地无故障作业很长时间了，但是安全循环和过程控制都依赖于同一个流量变送器FT-101。而且，这台流量变送器