摘要：采用傳統自動化系統的最終用戶實際上需要購買兩種不同的系統，即傳統過程控制系統和單獨的安全保護系統。對于是否接受在一個采用了通用過程控制器的DCS 系統中同時存在一體化的安全保護系統，供應商目前仍存在一些分歧。

　　采用傳統自動化系統的最終用戶實際上需要購買兩種不同的系統，即傳統過程控制系統和單獨的安全保護系統。對于是否接受在一個采用了通用過程控制器的DCS 系統中同時存在一體化的安全保護系統，供應商目前仍存在一些分歧。有些供應商認為，在安全法規日益嚴格的今天，安全保護系統集成到傳統的過程控制系統會降低整個系統的安全性和完整性。

　　關于安全保護系統是否集成到傳統自動化系統的爭論還將持續下去，但ABB 公司采取了切實的行動加以解決這個問題。作為一家自1979 年以來在危險過程控制系統領域卓有成效的供應商，ABB 最近推出了一款獨特的800xA HI 安全與控制組合系統，并無縫嵌入到800xA 擴展自動化系統架構中。ABB 借助這款系統證實，安全與控制功能可以集成到同一個控制器內，同時，使用高度集成處理技術、防火墻和自診斷技術可以確保將控制功能和安全功能分開處理。另外，該系統還完全符合國際安全功能標準（SIL）的認證要求。

　　本文基于上述背景，探討了當前專業人員在安全管理程序中如何使用最新的硬件和軟件技術提高對新系統架構的控制和管理能力，以及確保安全性能所涉及到的系統完整性。

　　集成與獨立的完美結合將安全儀表系統（SIS）與傳統過程控制系統
　　（BPCS） 進行集成有哪些優勢？首先，隨著項目設計、工程和變更成本的降低，系統的總成本也將顯著減少。在系統定義階段，用戶可以不通過改變系統架構，在SIS 系統與BPCS 系統之間靈活轉換輸入和輸出（I/O）和控制功能，這樣可以提高設計流程的效率，達到構建一個成本效用更高的解決方案的目標。在系統集成過程中，這種高度的靈活性可以確保BPCS 系統與SIS系統功能分離，但是卻不需要改變提前數月已經確定的整個系統架構。

　　ABB 800xA HI 安全與控制組合系統已經證實， 安全保護系統無縫嵌入到傳統控制系統是可行的， 安全功能和控制功能在系統中可確保得到分開處理。

　　該系統最明顯的優勢在于常用配置工具、通信網絡、備件、維護、培訓、服務和升級方面的成本節省，但最大的優勢卻是安全控制系統與DCS 應用程序和過程管理工具之間的數據處理和交換能力的提高。只有當安全保護系統和傳統控制系統的應用程序在同一個控制器節點中運行時，兩種系統之間才真正實現了實時參數的連接，這意味著兩者之間可以共享昂貴的現場設備和電纜，從而優化了系統架構1 。

　　此外，完全集成意味著與儀表安全功能（SIF）1) 相關的所有數據（如安全完整性等級（SIL）計算、系統和現場設備診斷數據、跳閘頻率、跳閘響應、閥門狀態等）都可以應用到BPCS 資產管理系統中去。同時，SIS 系統可采用常用方式充分發揮BPCS 先進的數據收集和分析工具的效力2 。法規與標準自動化行業目前已開始重視控制過程系統的安全問題，尤其在英國弗利克斯巴勒2)、意大利Serveso3)、印度博帕爾4) 和北海帕玻爾阿爾法鉆井平臺5) 等地相繼爆發重大事故之后。過程控制系統的安全保護專業知識如今已成為工程師和操作員必須具備的通用技能，同時本行業也制定了許多過程安全準則。當前行業針對電子和可編程系統的通用標準——IEC615086)便是近30 年來整個行業與監管部門共同努力的成果。此類標準的總體目標是為了確保各個行業針對危險過程控制采用適當的風險削減戰略，進而阻止上述事故的發生。這一通用標準和工藝行業性標準——IEC 615117)本質上僅用于參考，但它們現在已被英國和其他工業國家的監管部門視為“良好實踐規范”，同時還是確定電氣/電子/ 可編程電子安全（E/E/PES）是否達到合理水平的方法。這些標準可用于對裝置進行基準測試，且帶有強制性。

　　IEC 61511 規定了評估與特定危險工藝相關風險的方法，并確定了安全系統必須達到的風險削減度。此標準明確規定應對風險進行評估并應將其削減至“合理、可行的程度”，但卻并沒有規定應使用何種技術和架構以降低風險。
 

　　1 采用ABB System 800xA HI，安全保護系統與DCS 其他應用程序和過程管理工具之間的數據處理和交換能力大大提高。

　　2 用于阻止危險事件發生的相關安全功能風險圖

　　當前技術

　　目前市場上的許多獨立安全系統提前采用了IEC 標準，并利用各種技術來實現安全應用所需的高完整性控制。“高完整性”一般是指“故障安全”和“容錯”功能的組合。故障安全功能可確保當故障發生時，系統以預定的安全方式予以響應，而容錯功能則可以最大限度減少故障阻止系統正常運行的可能性。兩者極易混淆！容錯系統可能不具有故障安全功能。它可能是冗余或三重冗余系統，但并不表示它適合安全應用。同樣，故障安全系統不需要冗余來實現其SIL。設置冗余的目的只是為了提高系統的可靠性和可用性。

　　800xA HI 安全系統與DCS 共享一個通用控制器和其他組件，并顯著增強了整個BPCS 系統功能包。

　　當前市場上流行的1oo2 冗余系統、2oo3 三重冗余系統和2oo4 四重冗余系統在設計時均采用了冗余和容錯作為減少發生危險故障可能性的方式。如今設計人員可設計出完整的危險故障模式，可在不采取復制方式的情況下執行全面診斷以確保完整性。現在用戶可在使用時隨時隨地單獨采用用于確保“安全完整性”的“故障安全型”系統和用于確保“可用性”的“容錯型”系統3 。

　　一直以來都存在許多關于電子和可編程系統硬件可靠性的爭議，但現代表面貼膜技術和高完整性電子設備的可靠性已經得到廣泛認可。在一個SIS系統中，邏輯運算器硬件是整個安全回路中最可靠的元件！目前越來越多的事實表明，一些現代非冗余系統的平均無故障時間（MTBF）要高于上一代冗余系統或三重冗余系統。實際上，由于固件故障率隨著組件的增多和復雜性的提高成比例增長，三重系統和四重系統的可靠性回報率正在下降。

　　新一代系統

　　ABB 新一代800xA 擴展自動化系統具有高效的靈活性，可以將控制功能和安全功能集成在同一控制器內，也可以將這些功能分離。這款被稱為800xAHigh Integrity（HI）
的系統絕對不是“修正版的DCS”或添加了安全功能的DCS。它經過了專門的設計，可滿足安全保護市場和當前安全標準的要求。

　　通過800xA HI 安全程序認證的有限指令集編譯器完成與安全保護相關的程序編譯。

　　要達到上文所述標準的要求，就與安全相關的系統而言，必須解決四個關鍵問題。許多錯誤的觀點認為，只要計算出的要求的故障可能性（PFD）在合理的級別范圍內，系統就符合要求。但事實上，只有在滿足以下四個條件時，系統才符合要求。

　　故障率（PFD）的重要意義不言而喻，實現安全功能的所有子系統的數量必須屬于經過認證的數據集，從而方便評估整個系統環路SIL。

　　作為系統能力的一種衡量標準，安全失效系數（SFF）用于檢測并避免危險的失效模式，是經認證的數據集的一部分。

　　必須評估完整的系統架構所造成的任何限制和帶來的完整性優勢，并記錄SIL 等級的含義。

　　4 ABB 800xA HI 安全系統經TUV 認證，符合EC 61508 和EC61511 安全標準。
　　系統的體系完整性包括應用開發流程、系統的生命周期安全管理以及用于開發和檢驗符合SIL 標準的高完整性軟件。

　　容錯系統可能無法實現失效安全。這是因為其冗余或三重冗余的架構不能自動適應安全應用。

　　800xA HI 安全系統可以解決上述問題。設計團隊依照經過審查的功能安全管理流程操作，且每個階段的設計概念和細節都得到了TUV（TUV ProductService 是全球領先的商業獨立認證機構之一）的認可4 。在第三方顧問的協助下，由團隊內部的一位認證專家領導細節設計，確保其始終符合相關要求和標準。

　　800xA HI 安全系統與DCS 共用一個通用控制器和其它組件，為整個BPCS系統帶來了一系列的重要改進，包括：通過以下方式提高BPCS 的可靠性：

　　診斷——進行廣泛診斷是確保完整性的先決條件
　　確定——安全模式帶來確定性的執行模式
　　完整性——使測量值和控制行為具有更高的可靠性和精確度

　　加快了BPCS 系統和SIS 系統之間的通信速度，在實際安全界限（或安全距離）方面實現更高的過程控制優化水平。

　　集成與獨立的完美結合

　　毫無疑問，有關是否將安全保護功能從BPCS系統中分離出來的爭論還將繼續。但是，IEC 61508 和IEC 61511 標準實際上已承認了一點，即：安全與非安全功能可以存在于同一系統中，如果“有證據表明安全與非安全功能的實施具有足夠的獨立性（即與非安全相關功能的失效不會導致可造成危險的安全功能的失效）”（IEC 61508-2 第7.4.2.3 條），這些標準還要求將共同模式失效的可能性降至一個可以接受的水平（IEC 61511 第1部分第9.5.1/2 條）。

　　ABB 推出的新一代800xA 系統如實滿足了上述要求。新系統的模塊化滿足了上述標準在功能分離和共同模式失效方面的要求。保護和高完整性數據處理領域的內存分區、獨立執行上下文、防火墻及堆棧管理技巧可確保安全與非安全程序在同一處理環境中互不干擾地獨立運行。通過將與人機接口（MMI）的常規通信限制為只讀模式，并為超持創建一個“安全寫”功能（僅在管理員進行人工干預時激活），可保障安全功能的完整性。為確保安全功能的完整性，安全與非安全功能間的點對點通信也受到嚴格控制。額外的循環冗余檢驗（CRC）和相關性檢測意味著可將點對點網絡看做一個灰色通道。

　　從一開始，800xA HI 的設計目標就是滿足安全保護市場和當前安全標準的要求。

　　我們對降低風險的“ 保護分析層（LOPA）”8) 方法進行了詳細分析。分析確認，LOPA 支持的保護功能，在DCS 系統應用層面，在保護和控制功能混合的控制器節點或保護和控制功能獨立的800xA 節點中運行時，情況等同于在具有完全不同的控制與安全機制的系統中實施5 。從運行800xAHI 控制器中的BPCS 系統應用所獲得的附加完整性超過了可能發生的共同模式失效所帶來的額外風險。

　　對于石油和天然氣市場，System 800xA HI 提供了一個冗余架構， 該架構可在I/O 獨立實施，并在操作員級別添加容錯功能。

　　與安全相關的程序利用通過800xA HI安全程序認證的有限指令集編譯器編譯而成。在編譯過程中，更多編譯器測試套件和CRC 冗余校驗可以確保已編譯的安全程序的完整性。在運行期間， 應用程序模塊的執行針對順序、時間和差異進行驗證。處理組件和I/O 之間的內部通信被復制并通過業界證明的技術得到雙重檢驗，以確保忽略所有錯誤或意外訊息。System800xA HI 在I/O 和處理器中采用不同的硬件，并在安全模塊中使用經過TUV 驗證的實時操作系統，確保全面滿足IEC61511 對安全功能的完整性要求。

　　5 功能分離
　　最高可靠性與可用性

　　800xA HI 設計具有內在的失效安全特性，診斷覆蓋范圍接近100%，即使作為單一應用也不例外（ABB 表示SFF 可以達到99.9%，實際上，系統中尚未發現未檢測出的失效模式）。這是借助旨在完全滿足SIL3 要求的初始硬件設計來實現的（ 可能存在四個SIL 級別，其中可信度最高的是SIL4， 最低的是SIL1）9）。I/O、本地CRC 校驗和關機控制中的硬件多樣性，結合獨特的處理器/ 安全模塊架構，可杜絕共同模式失效情況的發生。不僅如此，經審查的失效模式和效果分析（FMEA）與失效率使該系統進入了SIL3 級別的前6%。目前我們已經公布了經審查的基于驗收試驗（間隔八年）PFD 數據。

　　經審計的FMEA 和失效率使ABB 的800xA HISIS 進入了SIL3 級別的前6%。

　　在石油和天然氣市場，安全邏輯運算器系統有望實現兩個目標：(a). 無中斷連續運行至少15 年；(b). 在運行期間支持各種升級、改造和變更。System800xA HI 提供的冗余架構可在I/O 級別、處理器級別及操作員工作界面獨立實施，以添加容錯功能，從而為高完整性系統帶來了高可用性。該冗余系統同樣支持對系統應用進行安全在線升級。

　　有關基礎原則的爭論還將繼續，但歷史告訴我們，只有挑戰陳規、發掘解決問題的新思路同時符合相關標準才能不斷推動科技進步。
     作者：Roger W. Prew