淺談BPCS 與SIS 儀表共用的問題

李家?guī)?/p>

（天津渤化工程有限公司，天津 300193）

目前， 在石油化工企業(yè)的安全完整性等級SIL 評估或安全檢查中， 安全儀表功能回路與基本工程控制回路公用儀表（傳感器、執(zhí)行機構(gòu)等）問題經(jīng)常被作為隱患項或建議措施提出， 但是考慮到在役裝置的生產(chǎn)條件及現(xiàn)場情況， 獨立設(shè)置往往面臨一定的難度， 因此是不是遇到的所有共用儀表問題都要獨立設(shè)置仍然存在許多爭論，同時這也是困擾企業(yè)、設(shè)計方及監(jiān)管部門的難題[1]。

1 基本概念

1.1 基本過程控制系統(tǒng)（簡稱BPCS）

對來自過程的、系統(tǒng)相關(guān)設(shè)備的，其他可編程系統(tǒng)的和/或某個操作員的輸入信號進行響應(yīng)，并產(chǎn)生使過程和系統(tǒng)相關(guān)設(shè)備按要求方式運行的系統(tǒng)，但它并不執(zhí)行任何具有被聲明的SIL≥1的儀表安全功能。 在石油化工工廠或裝置中，基本過程控制系統(tǒng)通常采用分散控制系統(tǒng)（DCS）[2]?；具^程控制系統(tǒng)不應(yīng)執(zhí)行SIL1、SIL2、SIL3 的安全儀表功能。

1.2 安全儀表系統(tǒng)（簡稱SIS）

用來實現(xiàn)一個或幾個儀表安全功能的儀表系統(tǒng)。 SIS 可以由傳感器(Sensor)、 邏輯解算器(Logic Solver)和最終元件(Final Element)的任何組合組成[3]。

1.3 儀表安全功能（簡稱SIF）

具有某個特定SIL 的， 用以達到功能安全的安全功能， 它既可以是一個儀表安全保護功能，也可以是一個儀表安全控制功能。

1.4 安全完整性等級（簡稱SIL）

用來規(guī)定分配給安全儀表系統(tǒng)的儀表安全功能的安全完整性要求的離散等級（4 個等級中的一個）。

2 BPCS 和SIS 的關(guān)系分析

安全儀表系統(tǒng)（SIS） 獨立于過程控制系統(tǒng)（BPCS），例如：分散控制系統(tǒng)DCS 等，生產(chǎn)正常時處于休眠或靜止?fàn)顟B(tài)，一旦生產(chǎn)裝置或設(shè)施出現(xiàn)可能導(dǎo)致安全事故的情況時，能夠瞬間準(zhǔn)確動作，使生產(chǎn)過程安全停止運行或自動導(dǎo)入預(yù)定的安全狀態(tài)，必須有很高的可靠性（即功能安全）和規(guī)范的維護管理，如果安全儀表系統(tǒng)失效，往往會導(dǎo)致嚴重的安全事故。

2.1 SIS 獨立于BPCS 的含義

如果BPCS 控制回路的正常操作滿足以下要求，則可作為獨立保護層。

BPCS 控制回路應(yīng)與安全儀表系統(tǒng)（SIS）功能安全回路SIF 在物理上分離，包括傳感器、控制器和最終元件。

2.2 BPCS 和SIS 的區(qū)別

1）目的功能不同:生產(chǎn)功能/安全功能；2）運行狀態(tài)不同：實時控制/超限時聯(lián)鎖；3）可靠性要求不同： SIS 要求更高的可靠性；4）控制方法不同：連續(xù)控制為主/邏輯控制為主；5）使用和維護方法不同：SIS 更嚴格。

3 BPCS 和SIS 是否可以共用元件

3.1 BPCS 和SIS 是否可以共用元件，可以從以下三個方面考慮和確定：1）標(biāo)準(zhǔn)規(guī)范的要求和規(guī)定，安全要求、IPL 方法論、SIL 評估；2）經(jīng)濟評價（前提是滿足安全基本要求）；3）分析管理者或者工程人員根據(jù)經(jīng)驗和主觀意志確定。

不論采用哪種方式，都以滿足法規(guī)、標(biāo)準(zhǔn)要求為最低要求。

3.2 BPCS 和SIS 是否可以共用元件，應(yīng)以不會引起方法論失效為原則

基本方法論之一：一種做法或者型式不應(yīng)引起原有型式或者方法論失效。

如果BPCS 和SIS 共用元件，BPCS 為獨立保護層， 共用元件應(yīng)該同時擔(dān)負原來BPCS 和SIS各自獨立的保護層職責(zé)；BPCS 為初始事件，共用元件應(yīng)該擔(dān)負BPCS 和SIS 各自獨立的失效頻率結(jié)合對應(yīng)的風(fēng)險降低。

共用元件危險失效率必須足夠低，安全完整性的要求可能改變，比如從SIL1 變成SIL2，并且符合安全全生命周期的所有要求。

必須滿足安全全生命周期的要求， 包括SIS指令優(yōu)先、DCS 指令不能干擾和降低SIS 指令功能、相關(guān)儀表和系統(tǒng)失效率滿足要求、要按照GB/T50770-2013、GB/T21109（IEC61511）的規(guī)定執(zhí)行包括記錄檔案維護管理檢維修周期、 需要進行SIL 演算確認滿足相關(guān)SIL 等級的要求、 各個保護層場景總頻率的計算依然滿足等[4]。

3.3 BPCS 不作為保護層和初始事件

如果BPCS 和SIS 共用元件， 必須符合安全全生命周期的所有要求， 必須充分考慮BPCS 操作維護等對SIS 的影響。

特別注意： 當(dāng)SIS 的一部分用于控制并且公用設(shè)備的一次危險失效可能引起對SIS 所執(zhí)行的功能提出一次要求時，則會引入新的風(fēng)險。 附加的風(fēng)險與共享部件的危險失效率有關(guān)，這是因為當(dāng)共享部件發(fā)生故障時， 立即就會產(chǎn)生一個要求，而SIS 對此要求無力作出響應(yīng)。 因此在這些情況下需要進行額外的分析以保證共享部件的危險失效率足夠低。

BPCS 和SIS 共用元件會引起操作模式的改變，由低要求模式變?yōu)檫B續(xù)模式，相關(guān)元件的維護規(guī)程和策略均應(yīng)相應(yīng)改變。

BPCS 和SIS 共用元件對PFD(PFH)、HFT、SC的要求都有影響。

必須符合安全全生命周期的所有要求，充分考慮BPCS 操作維護等對SIS 的影響。

通常具有以下原因，SIS 是同BPCS 分開的：

1）為了降低BPCS 對SIS 的影響，特別是當(dāng)它們共享共用設(shè)備時。 例如：當(dāng)BPCS 和SIS 共享一個用于停機和控制的共用閥門時，在該閥門的一次危險失效事件中， 它并不能用來執(zhí)行一個SIS 停機功能。 2）為了保持與BPCS 有關(guān)的更改、維護、測試和文檔的靈活性。 3）為了有助于SIS 的確認和功能安全評估。 4）如果BPCS 與SIS 組合在一起，為滿足修改管理的計劃安排，需要限制對BPCS 的編程和配置功能的訪問。

4 BPCS 和SIS 配置方案舉例

4.1 BPCS 和SIS 相互獨立

BPCS 控制回路與安全儀表系統(tǒng)功能安全回路在物理上分離，包括：取源管嘴、測量引線、傳感器、控制器和最終元件[5]。

此方案為建議方案（見圖1 和圖2）。

圖1 系統(tǒng)配置示例

圖2 液位調(diào)節(jié)聯(lián)鎖示例（BPCS 和SIS 各自獨立）

4.2 BPCS 和SIS 共享傳感器

共用傳感器先接入SIS 系統(tǒng)， 然后由SIS 系統(tǒng)通訊至BPCS 系統(tǒng)（見圖3）。 也可以經(jīng)一入二出信號分配器，分別接入SIS 和BPCS 系統(tǒng)。 一入二出信號分配器安裝于SIS 機柜， 由SIS 系統(tǒng)供電。 去BPCS 的信號不論正常與否均不能干擾SIS信號。

圖3 進出料流量調(diào)節(jié)聯(lián)鎖示例（BPCS 和SIS 共用傳感器）

4.2.1 BPCS 和SIS 共享最終元件—1 個電磁閥

調(diào)節(jié)閥帶電磁閥配置示例見圖4。

圖4 調(diào)節(jié)閥帶電磁閥配置示例

4.2.2 BPCS 和SIS 共享最終元件—2 個電磁閥

當(dāng)系統(tǒng)要求高安全性時，調(diào)節(jié)閥配電磁閥帶冗余電磁配置可選用圖5 和圖6 所示配置方式。

圖5 調(diào)節(jié)閥帶雙電磁閥配置示例

圖6 切斷閥帶雙電磁閥配置示例

4.3 BPCS 和SIS 共享取源管嘴

通常情況下BPCS 和SIS 應(yīng)采用獨立取源。特殊場合，比如高壓設(shè)備，可以具體分析，一定前提下經(jīng)分析評估后可采用連通管方案。

4.4 其他

4.4.1 BPCS 和SIS 可以共用UPS

基于如下考慮：1）全廠電源的源頭是一樣的；2）設(shè)置了UPS（雙UPS 或者單UPS）；3）UPS 具有后備電源；4）儀表通常按照故障安全型設(shè)計，非故障安全型通常有輔助保護措施；5）電源配線獨立并配有獨立空開。

4.4.2 BPCS 和SIS 氣動執(zhí)行元件可以共用氣源總管和分支總管

基于如下考慮：1）裝置儀表氣源的源頭是一樣的；2）為每一個氣動執(zhí)行元件單獨敷設(shè)供氣線路不現(xiàn)實，也沒有必要；3）氣源總管和分支總管相對較粗，出現(xiàn)故障的概率較低；4）氣源總管和分支總管尺寸選擇充分考慮工況需求并留有足夠裕度；5）氣動執(zhí)行元件通常按照故障安全型設(shè)計，非故障安全型有輔助保護措施， 比如設(shè)置儲氣罐；6）每個氣動執(zhí)行機構(gòu)設(shè)置獨立的分支供氣線路，并設(shè)置獨立的氣源閥。

4.4.3 BPCS 和SIS 測量儀表可以共用伴熱、吹掃、沖洗總管和分支總管

基于如下考慮：1）裝置伴熱、吹掃、沖洗的源頭是一樣的；2）為每一個測量儀表單獨敷設(shè)伴熱、吹掃、沖洗線路不現(xiàn)實，也沒有必要；3）伴熱、吹掃、沖洗總管和分支總管尺寸相對較大，出現(xiàn)故障的概率較低；4）伴熱、吹掃、沖洗總管和分支總管尺寸選擇充分考慮工況需求并留有足夠裕度；5）每個測量儀表設(shè)置獨立的伴熱、吹掃、沖洗線路，并設(shè)置獨立的閥門。

需要注意的是：以上均不包括法律法規(guī)標(biāo)準(zhǔn)有要求的場合。

4.4.4 其它一些考慮因素

1）工況條件，比如高溫、高壓，介質(zhì)理化特性；2）設(shè)備大小（以前和現(xiàn)在）、設(shè)備材質(zhì)、制造情況、連通管材質(zhì)；3）根閥和每路閥門設(shè)置，連通管尺寸和取源尺寸及根閥尺寸；4）設(shè)備和連通管之間的微循環(huán)；5）危險或者故障場景分析，不同配置方案間的比較，安全、運行、維護；6）在役裝置還是新建裝置。

具體到工程設(shè)計中，BPCS 和SIS 是否能共用應(yīng)根據(jù)具體情況以及工程實際，進行充分分析論證。

5 結(jié)論

1）BPCS 和SIS 共用元件不符合獨立保護層方法論初衷。 2）BPCS 和SIS 共用元件必須滿足以下要求： 必須符合安全全生命周期的所有要求，必須有完善的確認、驗證和記錄。 3）BPCS 和SIS共用元件會引起操作模式的改變，由低要求模式變?yōu)檫B續(xù)模式，相關(guān)元件的維護規(guī)程和策略均應(yīng)相應(yīng)改變。 安全完整性的要求也可能改變，比如從SIL1 變成SIL2。 4）BPCS 和SIS 共用元件會改變習(xí)慣的操作和維護模式， 必須充分考慮BPCS操作維護等對SIS 的影響。

在化工工程設(shè)計中，設(shè)計人與企業(yè)最常討論的一個問題就是怎樣在嚴格執(zhí)行規(guī)范要求的情況下，既能滿足安全完整性，降低危險失效率，達到安全生產(chǎn)， 同時通過BPCS 和SIS 共用的手段達到減少成本的目的。 本文討論了一些分析方法，列舉了一些實際的配置情況，設(shè)計人可以在滿足共用的前提條件和要求的情況下，具體問題具體分析， 針對性地解決BPCS 和SIS 的共用的問題，提出合理、客觀的設(shè)計方案。