摘要：采(cai)用(yong)傳(chuan)統(tong)自(zi)動(dong)化(hua)係(xi)統(tong)的(de)最(zui)終(zhong)用(yong)戶(hu)實(shi)際(ji)上(shang)需(xu)要(yao)購(gou)買(mai)兩(liang)種(zhong)不(bu)同(tong)的(de)係(xi)統(tong)
，即(ji)傳(chuan)統(tong)過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)和(he)單(dan)獨(du)的(de)安(an)全(quan)保(bao)護(hu)係(xi)統(tong)。對(dui)於(yu)是(shi)否(fou)接(jie)受(shou)在(zai)一(yi)個(ge)采(cai)用(yong)了(le)通(tong)用(yong)過(guo)程(cheng)控(kong)製(zhi)器(qi)的(de)DCS 係統中同時存在一體化的安全保護係統，供應商目前仍存在一些分歧。

　　采(cai)用(yong)傳(chuan)統(tong)自(zi)動(dong)化(hua)係(xi)統(tong)的(de)最(zui)終(zhong)用(yong)戶(hu)實(shi)際(ji)上(shang)需(xu)要(yao)購(gou)買(mai)兩(liang)種(zhong)不(bu)同(tong)的(de)係(xi)統(tong)

，即(ji)傳(chuan)統(tong)過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)和(he)單(dan)獨(du)的(de)安(an)全(quan)保(bao)護(hu)係(xi)統(tong)。對(dui)於(yu)是(shi)否(fou)接(jie)受(shou)在(zai)一(yi)個(ge)采(cai)用(yong)了(le)通(tong)用(yong)過(guo)程(cheng)控(kong)製(zhi)器(qi)的(de)DCS 係xi統tong中zhong同tong時shi存cun在zai一yi體ti化hua的de安an全quan保bao護hu係xi統tong，供gong應ying商shang目mu前qian仍reng存cun在zai一yi些xie分fen歧qi。有you些xie供gong應ying商shang認ren為wei，在zai安an全quan法fa規gui日ri益yi嚴yan格ge的de今jin天tian，安an全quan保bao護hu係xi統tong集ji成cheng到dao傳chuan統tong的de過guo程cheng控kong製zhi係xi統tong會hui降jiang低di整zheng個ge係xi統tong的de安an全quan性xing和he完wan整zheng性xing。

　　關於安全保護係統是否集成到傳統自動化係統的爭論還將持續下去，但ABB 公司采取了切實的行動加以解決這個問題。作為一家自1979 年以來在危險過程控製係統領域卓有成效的供應商
，ABB 最近推出了一款獨特的800xA HI 安全與控製組合係統，並無縫嵌入到800xA 擴展自動化係統架構中。ABB 借助這款係統證實，安全與控製功能可以集成到同一個控製器內，同時
，使用高度集成處理技術、防火牆和自診斷技術可以確保將控製功能和安全功能分開處理。另外，該係統還完全符合國際安全功能標準（SIL）的認證要求。

　　本(ben)文(wen)基(ji)於(yu)上(shang)述(shu)背(bei)景(jing)，探(tan)討(tao)了(le)當(dang)前(qian)專(zhuan)業(ye)人(ren)員(yuan)在(zai)安(an)全(quan)管(guan)理(li)程(cheng)序(xu)中(zhong)如(ru)何(he)使(shi)用(yong)最(zui)新(xin)的(de)硬(ying)件(jian)和(he)軟(ruan)件(jian)技(ji)術(shu)提(ti)高(gao)對(dui)新(xin)係(xi)統(tong)架(jia)構(gou)的(de)控(kong)製(zhi)和(he)管(guan)理(li)能(neng)力(li)，以(yi)及(ji)確(que)保(bao)安(an)全(quan)性(xing)能(neng)所(suo)涉(she)及(ji)到(dao)的(de)係(xi)統(tong)完(wan)整(zheng)性(xing)。

　　集成與獨立的完美結合將安全儀表係統（SIS）與傳統過程控製係統
　　（BPCS） 進行集成有哪些優勢
？首先，隨著項目設計、工程和變更成本的降低，係統的總成本也將顯著減少。在係統定義階段，用戶可以不通過改變係統架構，在SIS 係統與BPCS 係統之間靈活轉換輸入和輸出（I/O）hekongzhigongneng，zheyangkeyitigaoshejiliuchengdexiaolv，dadaogoujianyigechengbenxiaoyonggenggaodejiejuefangandemubiao。zaixitongjichengguochengzhong，zhezhonggaodudelinghuoxingkeyiquebaoBPCS 係統與SIS係統功能分離，但是卻不需要改變提前數月已經確定的整個係統架構。

　　ABB 800xA HI 安全與控製組合係統已經證實， 安全保護係統無縫嵌入到傳統控製係統是可行的， 安全功能和控製功能在係統中可確保得到分開處理。

　　該係統最明顯的優勢在於常用配置工具、通信網絡
、備件
、維護、培訓、服務和升級方麵的成本節省
，但最大的優勢卻是安全控製係統與DCS yingyongchengxuheguochengguanligongjuzhijiandeshujuchulihejiaohuannenglidetigao。zhiyoudanganquanbaohuxitonghechuantongkongzhixitongdeyingyongchengxuzaitongyigekongzhiqijiedianzhongyunxingshi，liangzhongxitongzhijiancaizhenzhengshixianleshishicanshudelianjie
，zheyiweizheliangzhezhijiankeyigongxiangangguidexianchangshebeihedianlan
，congeryouhualexitongjiagou1 。

　　此外
，完全集成意味著與儀表安全功能（SIF）1) 相關的所有數據（如安全完整性等級（SIL）計算、係統和現場設備診斷數據

、跳閘頻率、跳閘響應、閥門狀態等）都可以應用到BPCS 資產管理係統中去。同時
，SIS 係統可采用常用方式充分發揮BPCS 先進的數據收集和分析工具的效力2 。法規與標準自動化行業目前已開始重視控製過程係統的安全問題，尤其在英國弗利克斯巴勒2)、意大利Serveso3)

、印度博帕爾4) 和北海帕玻爾阿爾法鑽井平台5) 等(deng)地(di)相(xiang)繼(ji)爆(bao)發(fa)重(zhong)大(da)事(shi)故(gu)之(zhi)後(hou)。過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)的(de)安(an)全(quan)保(bao)護(hu)專(zhuan)業(ye)知(zhi)識(shi)如(ru)今(jin)已(yi)成(cheng)為(wei)工(gong)程(cheng)師(shi)和(he)操(cao)作(zuo)員(yuan)必(bi)須(xu)具(ju)備(bei)的(de)通(tong)用(yong)技(ji)能(neng)

，同(tong)時(shi)本(ben)行(xing)業(ye)也(ye)製(zhi)定(ding)了(le)許(xu)多(duo)過(guo)程(cheng)安(an)全(quan)準(zhun)則(ze)。當(dang)前(qian)行(xing)業(ye)針(zhen)對(dui)電(dian)子(zi)和(he)可(ke)編(bian)程(cheng)係(xi)統(tong)的(de)通(tong)用(yong)標(biao)準(zhun)——IEC615086)便是近30 年nian來lai整zheng個ge行xing業ye與yu監jian管guan部bu門men共gong同tong努nu力li的de成cheng果guo。此ci類lei標biao準zhun的de總zong體ti目mu標biao是shi為wei了le確que保bao各ge個ge行xing業ye針zhen對dui危wei險xian過guo程cheng控kong製zhi采cai用yong適shi當dang的de風feng險xian削xue減jian戰zhan略lve，進jin而er阻zu止zhi上shang述shu事shi故gu的de發fa生sheng。這zhe一yi通tong用yong標biao準zhun和he工gong藝yi行xing業ye性xing標biao準zhun——IEC 615117)本質上僅用於參考，但它們現在已被英國和其他工業國家的監管部門視為“良好實踐規範”
，同時還是確定電氣/電子/ 可編程電子安全（E/E/PES）是否達到合理水平的方法。這些標準可用於對裝置進行基準測試
，且帶有強製性。

　　IEC 61511 規gui定ding了le評ping估gu與yu特te定ding危wei險xian工gong藝yi相xiang關guan風feng險xian的de方fang法fa，並bing確que定ding了le安an全quan係xi統tong必bi須xu達da到dao的de風feng險xian削xue減jian度du。此ci標biao準zhun明ming確que規gui定ding應ying對dui風feng險xian進jin行xing評ping估gu並bing應ying將jiang其qi削xue減jian至zhi“合理
、可行的程度”，但卻並沒有規定應使用何種技術和架構以降低風險。

　　1 采用ABB System 800xA HI
，安全保護係統與DCS 其他應用程序和過程管理工具之間的數據處理和交換能力大大提高。

　　2 用於阻止危險事件發生的相關安全功能風險圖

　　當前技術

　　目前市場上的許多獨立安全係統提前采用了IEC 標準，並利用各種技術來實現安全應用所需的高完整性控製。“高完整性”一般是指“故障安全”和“容錯”功gong能neng的de組zu合he。故gu障zhang安an全quan功gong能neng可ke確que保bao當dang故gu障zhang發fa生sheng時shi，係xi統tong以yi預yu定ding的de安an全quan方fang式shi予yu以yi響xiang應ying
，而er容rong錯cuo功gong能neng則ze可ke以yi最zui大da限xian度du減jian少shao故gu障zhang阻zu止zhi係xi統tong正zheng常chang運yun行xing的de可ke能neng性xing。兩liang者zhe極ji易yi混hun淆xiao！容(rong)錯(cuo)係(xi)統(tong)可(ke)能(neng)不(bu)具(ju)有(you)故(gu)障(zhang)安(an)全(quan)功(gong)能(neng)。它(ta)可(ke)能(neng)是(shi)冗(rong)餘(yu)或(huo)三(san)重(zhong)冗(rong)餘(yu)係(xi)統(tong)，但(dan)並(bing)不(bu)表(biao)示(shi)它(ta)適(shi)合(he)安(an)全(quan)應(ying)用(yong)。同(tong)樣(yang)
，故(gu)障(zhang)安(an)全(quan)係(xi)統(tong)不(bu)需(xu)要(yao)冗(rong)餘(yu)來(lai)實(shi)現(xian)其(qi)SIL。設置冗餘的目的隻是為了提高係統的可靠性和可用性。

　　800xA HI 安全係統與DCS 共享一個通用控製器和其他組件，並顯著增強了整個BPCS 係統功能包。

　　當前市場上流行的1oo2 冗餘係統、2oo3 三重冗餘係統和2oo4 sizhongrongyuxitongzaishejishijuncaiyonglerongyuherongcuozuoweijianshaofashengweixianguzhangkenengxingdefangshi。rujinshejirenyuankeshejichuwanzhengdeweixianguzhangmoshi，kezaibucaiqufuzhifangshideqingkuangxiazhixingquanmianzhenduanyiquebaowanzhengxing。xianzaiyonghukezaishiyongshisuishisuididanducaiyongyongyuquebao“安全完整性”的“故障安全型”係統和用於確保“可用性”的“容錯型”係統3 。

　　一yi直zhi以yi來lai都dou存cun在zai許xu多duo關guan於yu電dian子zi和he可ke編bian程cheng係xi統tong硬ying件jian可ke靠kao性xing的de爭zheng議yi，但dan現xian代dai表biao麵mian貼tie膜mo技ji術shu和he高gao完wan整zheng性xing電dian子zi設she備bei的de可ke靠kao性xing已yi經jing得de到dao廣guang泛fan認ren可ke。在zai一yi個geSIS係統中
，邏輯運算器硬件是整個安全回路中最可靠的元件！目前越來越多的事實表明，一些現代非冗餘係統的平均無故障時間（MTBF）要yao高gao於yu上shang一yi代dai冗rong餘yu係xi統tong或huo三san重zhong冗rong餘yu係xi統tong。實shi際ji上shang，由you於yu固gu件jian故gu障zhang率lv隨sui著zhe組zu件jian的de增zeng多duo和he複fu雜za性xing的de提ti高gao成cheng比bi例li增zeng長chang
，三san重zhong係xi統tong和he四si重zhong係xi統tong的de可ke靠kao性xing回hui報bao率lv正zheng在zai下xia降jiang。

　　新一代係統

　　ABB 新一代800xA 擴展自動化係統具有高效的靈活性
，可以將控製功能和安全功能集成在同一控製器內，也可以將這些功能分離。這款被稱為800xAHigh Integrity（HI）
的係統絕對不是“修正版的DCS”或添加了安全功能的DCS。它經過了專門的設計，可滿足安全保護市場和當前安全標準的要求。

　　通過800xA HI 安全程序認證的有限指令集編譯器完成與安全保護相關的程序編譯。

　　要(yao)達(da)到(dao)上(shang)文(wen)所(suo)述(shu)標(biao)準(zhun)的(de)要(yao)求(qiu)
，就(jiu)與(yu)安(an)全(quan)相(xiang)關(guan)的(de)係(xi)統(tong)而(er)言(yan)
，必(bi)須(xu)解(jie)決(jue)四(si)個(ge)關(guan)鍵(jian)問(wen)題(ti)。許(xu)多(duo)錯(cuo)誤(wu)的(de)觀(guan)點(dian)認(ren)為(wei)，隻(zhi)要(yao)計(ji)算(suan)出(chu)的(de)要(yao)求(qiu)的(de)故(gu)障(zhang)可(ke)能(neng)性(xing)（PFD）在合理的級別範圍內，係統就符合要求。但事實上，隻有在滿足以下四個條件時，係統才符合要求。

　　故障率（PFD）的重要意義不言而喻，實現安全功能的所有子係統的數量必須屬於經過認證的數據集，從而方便評估整個係統環路SIL。

　　作為係統能力的一種衡量標準，安全失效係數（SFF）用於檢測並避免危險的失效模式

，是經認證的數據集的一部分。

　　必須評估完整的係統架構所造成的任何限製和帶來的完整性優勢，並記錄SIL 等級的含義。

　　4 ABB 800xA HI 安全係統經TUV 認證，符合EC 61508 和EC61511 安全標準。
　　係統的體係完整性包括應用開發流程、係統的生命周期安全管理以及用於開發和檢驗符合SIL 標準的高完整性軟件。

　　容錯係統可能無法實現失效安全。這是因為其冗餘或三重冗餘的架構不能自動適應安全應用。

　　800xA HI 安全係統可以解決上述問題。設計團隊依照經過審查的功能安全管理流程操作，且每個階段的設計概念和細節都得到了TUV（TUV ProductService 是全球領先的商業獨立認證機構之一）的認可4 。在第三方顧問的協助下
，由團隊內部的一位認證專家領導細節設計，確保其始終符合相關要求和標準。

　　800xA HI 安全係統與DCS 共用一個通用控製器和其它組件，為整個BPCS係統帶來了一係列的重要改進，包括：通過以下方式提高BPCS 的可靠性：

　　診斷——進行廣泛診斷是確保完整性的先決條件
　　確定——安全模式帶來確定性的執行模式
　　完整性——使測量值和控製行為具有更高的可靠性和精確度

　　加快了BPCS 係統和SIS 係統之間的通信速度
，在實際安全界限（或安全距離）方麵實現更高的過程控製優化水平。

　　集成與獨立的完美結合

　　毫無疑問，有關是否將安全保護功能從BPCS係統中分離出來的爭論還將繼續。但是
，IEC 61508 和IEC 61511 標準實際上已承認了一點
，即：安全與非安全功能可以存在於同一係統中，如果“有證據表明安全與非安全功能的實施具有足夠的獨立性（即與非安全相關功能的失效不會導致可造成危險的安全功能的失效）”（IEC 61508-2 第7.4.2.3 條）
，這些標準還要求將共同模式失效的可能性降至一個可以接受的水平（IEC 61511 第1部分第9.5.1/2 條）。

　　ABB 推出的新一代800xA 係(xi)統(tong)如(ru)實(shi)滿(man)足(zu)了(le)上(shang)述(shu)要(yao)求(qiu)。新(xin)係(xi)統(tong)的(de)模(mo)塊(kuai)化(hua)滿(man)足(zu)了(le)上(shang)述(shu)標(biao)準(zhun)在(zai)功(gong)能(neng)分(fen)離(li)和(he)共(gong)同(tong)模(mo)式(shi)失(shi)效(xiao)方(fang)麵(mian)的(de)要(yao)求(qiu)。保(bao)護(hu)和(he)高(gao)完(wan)整(zheng)性(xing)數(shu)據(ju)處(chu)理(li)領(ling)域(yu)的(de)內(nei)存(cun)分(fen)區(qu)、獨立執行上下文、防火牆及堆棧管理技巧可確保安全與非安全程序在同一處理環境中互不幹擾地獨立運行。通過將與人機接口（MMI）的常規通信限製為隻讀模式
，並為超持創建一個“安全寫”功能（僅在管理員進行人工幹預時激活），可保障安全功能的完整性。為確保安全功能的完整性
，安全與非安全功能間的點對點通信也受到嚴格控製。額外的循環冗餘檢驗（CRC）和相關性檢測意味著可將點對點網絡看做一個灰色通道。

　　從一開始，800xA HI 的設計目標就是滿足安全保護市場和當前安全標準的要求。

　　我們對降低風險的“ 保護分析層（LOPA）”8) 方法進行了詳細分析。分析確認
，LOPA 支持的保護功能，在DCS 係統應用層麵，在保護和控製功能混合的控製器節點或保護和控製功能獨立的800xA 節點中運行時
，情況等同於在具有完全不同的控製與安全機製的係統中實施5 。從運行800xAHI 控製器中的BPCS 係統應用所獲得的附加完整性超過了可能發生的共同模式失效所帶來的額外風險。

　　對於石油和天然氣市場，System 800xA HI 提供了一個冗餘架構， 該架構可在I/O 獨立實施
，並在操作員級別添加容錯功能。

　　與安全相關的程序利用通過800xA HI安全程序認證的有限指令集編譯器編譯而成。在編譯過程中，更多編譯器測試套件和CRC 冗餘校驗可以確保已編譯的安全程序的完整性。在運行期間， 應用程序模塊的執行針對順序、時間和差異進行驗證。處理組件和I/O 之間的內部通信被複製並通過業界證明的技術得到雙重檢驗，以確保忽略所有錯誤或意外訊息。System800xA HI 在I/O 和處理器中采用不同的硬件，並在安全模塊中使用經過TUV 驗證的實時操作係統
，確保全麵滿足IEC61511 對安全功能的完整性要求。

　　5 功能分離
　　最高可靠性與可用性

　　800xA HI 設計具有內在的失效安全特性，診斷覆蓋範圍接近100%
，即使作為單一應用也不例外（ABB 表示SFF 可以達到99.9%，實際上，係統中尚未發現未檢測出的失效模式）。這是借助旨在完全滿足SIL3 要求的初始硬件設計來實現的（ 可能存在四個SIL 級別，其中可信度最高的是SIL4， 最低的是SIL1）9）。I/O
、本地CRC 校驗和關機控製中的硬件多樣性，結合獨特的處理器/ 安全模塊架構，可杜絕共同模式失效情況的發生。不僅如此，經審查的失效模式和效果分析（FMEA）與失效率使該係統進入了SIL3 級別的前6%。目前我們已經公布了經審查的基於驗收試驗（間隔八年）PFD 數據。

　　經審計的FMEA 和失效率使ABB 的800xA HISIS 進入了SIL3 級別的前6%。

　　在石油和天然氣市場，安全邏輯運算器係統有望實現兩個目標：(a). 無中斷連續運行至少15 年；(b). 在運行期間支持各種升級、改造和變更。System800xA HI 提供的冗餘架構可在I/O 級別、處chu理li器qi級ji別bie及ji操cao作zuo員yuan工gong作zuo界jie麵mian獨du立li實shi施shi
，以yi添tian加jia容rong錯cuo功gong能neng，從cong而er為wei高gao完wan整zheng性xing係xi統tong帶dai來lai了le高gao可ke用yong性xing。該gai冗rong餘yu係xi統tong同tong樣yang支zhi持chi對dui係xi統tong應ying用yong進jin行xing安an全quan在zai線xian升sheng級ji。

　　有關基礎原則的爭論還將繼續，但曆史告訴我們，隻有挑戰陳規

、發掘解決問題的新思路同時符合相關標準才能不斷推動科技進步。
    作者：Roger W. Prew