摘要：采(cai)用(yong)傳(chuan)統(tong)自(zi)動(dong)化(hua)係(xi)統(tong)的(de)最(zui)終(zhong)用(yong)戶(hu)實(shi)際(ji)上(shang)需(xu)要(yao)購(gou)買(mai)兩(liang)種(zhong)不(bu)同(tong)的(de)係(xi)統(tong)
，即(ji)傳(chuan)統(tong)過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)和(he)單(dan)獨(du)的(de)安(an)全(quan)保(bao)護(hu)係(xi)統(tong)。對(dui)於(yu)是(shi)否(fou)接(jie)受(shou)在(zai)一(yi)個(ge)采(cai)用(yong)了(le)通(tong)用(yong)過(guo)程(cheng)控(kong)製(zhi)器(qi)的(de)DCS 係統中同時存在一體化的安全保護係統，供應商目前仍存在一些分歧。

　　采(cai)用(yong)傳(chuan)統(tong)自(zi)動(dong)化(hua)係(xi)統(tong)的(de)最(zui)終(zhong)用(yong)戶(hu)實(shi)際(ji)上(shang)需(xu)要(yao)購(gou)買(mai)兩(liang)種(zhong)不(bu)同(tong)的(de)係(xi)統(tong)，即(ji)傳(chuan)統(tong)過(guo)程(cheng)控(kong)製(zhi)係(xi)統(tong)和(he)單(dan)獨(du)的(de)安(an)全(quan)保(bao)護(hu)係(xi)統(tong)。對(dui)於(yu)是(shi)否(fou)接(jie)受(shou)在(zai)一(yi)個(ge)采(cai)用(yong)了(le)通(tong)用(yong)過(guo)程(cheng)控(kong)製(zhi)器(qi)的(de)DCS xitongzhongtongshicunzaiyitihuadeanquanbaohuxitong，gongyingshangmuqianrengcunzaiyixiefenqi。youxiegongyingshangrenwei，zaianquanfaguiriyiyangedejintian，anquanbaohuxitongjichengdaochuantongdeguochengkongzhixitonghuijiangdizhenggexitongdeanquanxinghewanzhengxing。

　　關於安全保護係統是否集成到傳統自動化係統的爭論還將持續下去，但ABB 公司采取了切實的行動加以解決這個問題。作為一家自1979 年以來在危險過程控製係統領域卓有成效的供應商
，ABB 最近推出了一款獨特的800xA HI 安全與控製組合係統，並無縫嵌入到800xA 擴展自動化係統架構中。ABB 借助這款係統證實
，安全與控製功能可以集成到同一個控製器內，同時，使用高度集成處理技術、防火牆和自診斷技術可以確保將控製功能和安全功能分開處理。另外
，該係統還完全符合國際安全功能標準（SIL）的認證要求。

　　本(ben)文(wen)基(ji)於(yu)上(shang)述(shu)背(bei)景(jing)，探(tan)討(tao)了(le)當(dang)前(qian)專(zhuan)業(ye)人(ren)員(yuan)在(zai)安(an)全(quan)管(guan)理(li)程(cheng)序(xu)中(zhong)如(ru)何(he)使(shi)用(yong)最(zui)新(xin)的(de)硬(ying)件(jian)和(he)軟(ruan)件(jian)技(ji)術(shu)提(ti)高(gao)對(dui)新(xin)係(xi)統(tong)架(jia)構(gou)的(de)控(kong)製(zhi)和(he)管(guan)理(li)能(neng)力(li)，以(yi)及(ji)確(que)保(bao)安(an)全(quan)性(xing)能(neng)所(suo)涉(she)及(ji)到(dao)的(de)係(xi)統(tong)完(wan)整(zheng)性(xing)。

　　集成與獨立的完美結合將安全儀表係統（SIS）與傳統過程控製係統
　　（BPCS） 進行集成有哪些優勢
？首先，隨著項目設計、工程和變更成本的降低
，係統的總成本也將顯著減少。在係統定義階段

，用戶可以不通過改變係統架構，在SIS 係統與BPCS 係統之間靈活轉換輸入和輸出（I/O）hekongzhigongneng
，zheyangkeyitigaoshejiliuchengdexiaolv，dadaogoujianyigechengbenxiaoyonggenggaodejiejuefangandemubiao。zaixitongjichengguochengzhong，zhezhonggaodudelinghuoxingkeyiquebaoBPCS 係統與SIS係統功能分離，但是卻不需要改變提前數月已經確定的整個係統架構。

　　ABB 800xA HI 安全與控製組合係統已經證實
， 安全保護係統無縫嵌入到傳統控製係統是可行的， 安全功能和控製功能在係統中可確保得到分開處理。

　　該係統最明顯的優勢在於常用配置工具、通信網絡、備件
、維護、培訓、服務和升級方麵的成本節省，但最大的優勢卻是安全控製係統與DCS 應ying用yong程cheng序xu和he過guo程cheng管guan理li工gong具ju之zhi間jian的de數shu據ju處chu理li和he交jiao換huan能neng力li的de提ti高gao。隻zhi有you當dang安an全quan保bao護hu係xi統tong和he傳chuan統tong控kong製zhi係xi統tong的de應ying用yong程cheng序xu在zai同tong一yi個ge控kong製zhi器qi節jie點dian中zhong運yun行xing時shi，兩liang種zhong係xi統tong之zhi間jian才cai真zhen正zheng實shi現xian了le實shi時shi參can數shu的de連lian接jie
，這zhe意yi味wei著zhe兩liang者zhe之zhi間jian可ke以yi共gong享xiang昂ang貴gui的de現xian場chang設she備bei和he電dian纜lan，從cong而er優you化hua了le係xi統tong架jia構gou1 。

　　此外，完全集成意味著與儀表安全功能（SIF）1) 相關的所有數據（如安全完整性等級（SIL）計算、係統和現場設備診斷數據、跳閘頻率、跳閘響應、閥門狀態等）都可以應用到BPCS 資產管理係統中去。同時
，SIS 係統可采用常用方式充分發揮BPCS 先進的數據收集和分析工具的效力2 。法規與標準自動化行業目前已開始重視控製過程係統的安全問題

，尤其在英國弗利克斯巴勒2)
、意大利Serveso3)
、印度博帕爾4) 和北海帕玻爾阿爾法鑽井平台5) 等deng地di相xiang繼ji爆bao發fa重zhong大da事shi故gu之zhi後hou。過guo程cheng控kong製zhi係xi統tong的de安an全quan保bao護hu專zhuan業ye知zhi識shi如ru今jin已yi成cheng為wei工gong程cheng師shi和he操cao作zuo員yuan必bi須xu具ju備bei的de通tong用yong技ji能neng，同tong時shi本ben行xing業ye也ye製zhi定ding了le許xu多duo過guo程cheng安an全quan準zhun則ze。當dang前qian行xing業ye針zhen對dui電dian子zi和he可ke編bian程cheng係xi統tong的de通tong用yong標biao準zhun——IEC615086)便是近30 nianlaizhenggexingyeyujianguanbumengongtongnulidechengguo。cileibiaozhundezongtimubiaoshiweilequebaogegexingyezhenduiweixianguochengkongzhicaiyongshidangdefengxianxuejianzhanlve
，jinerzuzhishangshushigudefasheng。zheyitongyongbiaozhunhegongyixingyexingbiaozhun——IEC 615117)本質上僅用於參考

，但它們現在已被英國和其他工業國家的監管部門視為“良好實踐規範”，同時還是確定電氣/電子/ 可編程電子安全（E/E/PES）是否達到合理水平的方法。這些標準可用於對裝置進行基準測試，且帶有強製性。

　　IEC 61511 規(gui)定(ding)了(le)評(ping)估(gu)與(yu)特(te)定(ding)危(wei)險(xian)工(gong)藝(yi)相(xiang)關(guan)風(feng)險(xian)的(de)方(fang)法(fa)
，並(bing)確(que)定(ding)了(le)安(an)全(quan)係(xi)統(tong)必(bi)須(xu)達(da)到(dao)的(de)風(feng)險(xian)削(xue)減(jian)度(du)。此(ci)標(biao)準(zhun)明(ming)確(que)規(gui)定(ding)應(ying)對(dui)風(feng)險(xian)進(jin)行(xing)評(ping)估(gu)並(bing)應(ying)將(jiang)其(qi)削(xue)減(jian)至(zhi)“合理、可行的程度”
，但卻並沒有規定應使用何種技術和架構以降低風險。

　　1 采用ABB System 800xA HI，安全保護係統與DCS 其他應用程序和過程管理工具之間的數據處理和交換能力大大提高。

　　2 用於阻止危險事件發生的相關安全功能風險圖

　　當前技術

　　目前市場上的許多獨立安全係統提前采用了IEC 標準，並利用各種技術來實現安全應用所需的高完整性控製。“高完整性”一般是指“故障安全”和“容錯”gongnengdezuhe。guzhanganquangongnengkequebaodangguzhangfashengshi，xitongyiyudingdeanquanfangshiyuyixiangying，errongcuogongnengzekeyizuidaxiandujianshaoguzhangzuzhixitongzhengchangyunxingdekenengxing。liangzhejiyihunxiao！rongcuoxitongkenengbujuyouguzhanganquangongneng。takenengshirongyuhuosanzhongrongyuxitong，danbingbubiaoshitashiheanquanyingyong。tongyang，guzhanganquanxitongbuxuyaorongyulaishixianqiSIL。設置冗餘的目的隻是為了提高係統的可靠性和可用性。

　　800xA HI 安全係統與DCS 共享一個通用控製器和其他組件
，並顯著增強了整個BPCS 係統功能包。

　　當前市場上流行的1oo2 冗餘係統、2oo3 三重冗餘係統和2oo4 四si重zhong冗rong餘yu係xi統tong在zai設she計ji時shi均jun采cai用yong了le冗rong餘yu和he容rong錯cuo作zuo為wei減jian少shao發fa生sheng危wei險xian故gu障zhang可ke能neng性xing的de方fang式shi。如ru今jin設she計ji人ren員yuan可ke設she計ji出chu完wan整zheng的de危wei險xian故gu障zhang模mo式shi，可ke在zai不bu采cai取qu複fu製zhi方fang式shi的de情qing況kuang下xia執zhi行xing全quan麵mian診zhen斷duan以yi確que保bao完wan整zheng性xing。現xian在zai用yong戶hu可ke在zai使shi用yong時shi隨sui時shi隨sui地di單dan獨du采cai用yong用yong於yu確que保bao“安全完整性”的“故障安全型”係統和用於確保“可用性”的“容錯型”係統3 。

　　一(yi)直(zhi)以(yi)來(lai)都(dou)存(cun)在(zai)許(xu)多(duo)關(guan)於(yu)電(dian)子(zi)和(he)可(ke)編(bian)程(cheng)係(xi)統(tong)硬(ying)件(jian)可(ke)靠(kao)性(xing)的(de)爭(zheng)議(yi)，但(dan)現(xian)代(dai)表(biao)麵(mian)貼(tie)膜(mo)技(ji)術(shu)和(he)高(gao)完(wan)整(zheng)性(xing)電(dian)子(zi)設(she)備(bei)的(de)可(ke)靠(kao)性(xing)已(yi)經(jing)得(de)到(dao)廣(guang)泛(fan)認(ren)可(ke)。在(zai)一(yi)個(ge)SIS係統中，邏輯運算器硬件是整個安全回路中最可靠的元件！目前越來越多的事實表明
，一些現代非冗餘係統的平均無故障時間（MTBF）要yao高gao於yu上shang一yi代dai冗rong餘yu係xi統tong或huo三san重zhong冗rong餘yu係xi統tong。實shi際ji上shang
，由you於yu固gu件jian故gu障zhang率lv隨sui著zhe組zu件jian的de增zeng多duo和he複fu雜za性xing的de提ti高gao成cheng比bi例li增zeng長chang，三san重zhong係xi統tong和he四si重zhong係xi統tong的de可ke靠kao性xing回hui報bao率lv正zheng在zai下xia降jiang。

　　新一代係統

　　ABB 新一代800xA 擴展自動化係統具有高效的靈活性，可以將控製功能和安全功能集成在同一控製器內，也可以將這些功能分離。這款被稱為800xAHigh Integrity（HI）
的係統絕對不是“修正版的DCS”或添加了安全功能的DCS。它經過了專門的設計，可滿足安全保護市場和當前安全標準的要求。

　　通過800xA HI 安全程序認證的有限指令集編譯器完成與安全保護相關的程序編譯。

　　要yao達da到dao上shang文wen所suo述shu標biao準zhun的de要yao求qiu，就jiu與yu安an全quan相xiang關guan的de係xi統tong而er言yan


，必bi須xu解jie決jue四si個ge關guan鍵jian問wen題ti。許xu多duo錯cuo誤wu的de觀guan點dian認ren為wei，隻zhi要yao計ji算suan出chu的de要yao求qiu的de故gu障zhang可ke能neng性xing（PFD）在合理的級別範圍內
，係統就符合要求。但事實上
，隻有在滿足以下四個條件時
，係統才符合要求。

　　故障率（PFD）的重要意義不言而喻，實現安全功能的所有子係統的數量必須屬於經過認證的數據集
，從而方便評估整個係統環路SIL。

　　作為係統能力的一種衡量標準
，安全失效係數（SFF）用於檢測並避免危險的失效模式，是經認證的數據集的一部分。

　　必須評估完整的係統架構所造成的任何限製和帶來的完整性優勢，並記錄SIL 等級的含義。

　　4 ABB 800xA HI 安全係統經TUV 認證，符合EC 61508 和EC61511 安全標準。
　　係統的體係完整性包括應用開發流程
、係統的生命周期安全管理以及用於開發和檢驗符合SIL 標準的高完整性軟件。

　　容錯係統可能無法實現失效安全。這是因為其冗餘或三重冗餘的架構不能自動適應安全應用。

　　800xA HI 安全係統可以解決上述問題。設計團隊依照經過審查的功能安全管理流程操作，且每個階段的設計概念和細節都得到了TUV（TUV ProductService 是全球領先的商業獨立認證機構之一）的認可4 。在第三方顧問的協助下，由團隊內部的一位認證專家領導細節設計，確保其始終符合相關要求和標準。

　　800xA HI 安全係統與DCS 共用一個通用控製器和其它組件，為整個BPCS係統帶來了一係列的重要改進，包括：通過以下方式提高BPCS 的可靠性：

　　診斷——進行廣泛診斷是確保完整性的先決條件
　　確定——安全模式帶來確定性的執行模式
　　完整性——使測量值和控製行為具有更高的可靠性和精確度

　　加快了BPCS 係統和SIS 係統之間的通信速度，在實際安全界限（或安全距離）方麵實現更高的過程控製優化水平。

　　集成與獨立的完美結合

　　毫無疑問，有關是否將安全保護功能從BPCS係統中分離出來的爭論還將繼續。但是，IEC 61508 和IEC 61511 標準實際上已承認了一點，即：安全與非安全功能可以存在於同一係統中
，如果“有證據表明安全與非安全功能的實施具有足夠的獨立性（即與非安全相關功能的失效不會導致可造成危險的安全功能的失效）”（IEC 61508-2 第7.4.2.3 條），這些標準還要求將共同模式失效的可能性降至一個可以接受的水平（IEC 61511 第1部分第9.5.1/2 條）。

　　ABB 推出的新一代800xA 係(xi)統(tong)如(ru)實(shi)滿(man)足(zu)了(le)上(shang)述(shu)要(yao)求(qiu)。新(xin)係(xi)統(tong)的(de)模(mo)塊(kuai)化(hua)滿(man)足(zu)了(le)上(shang)述(shu)標(biao)準(zhun)在(zai)功(gong)能(neng)分(fen)離(li)和(he)共(gong)同(tong)模(mo)式(shi)失(shi)效(xiao)方(fang)麵(mian)的(de)要(yao)求(qiu)。保(bao)護(hu)和(he)高(gao)完(wan)整(zheng)性(xing)數(shu)據(ju)處(chu)理(li)領(ling)域(yu)的(de)內(nei)存(cun)分(fen)區(qu)、獨立執行上下文、防火牆及堆棧管理技巧可確保安全與非安全程序在同一處理環境中互不幹擾地獨立運行。通過將與人機接口（MMI）的常規通信限製為隻讀模式，並為超持創建一個“安全寫”功能（僅在管理員進行人工幹預時激活），可保障安全功能的完整性。為確保安全功能的完整性，安全與非安全功能間的點對點通信也受到嚴格控製。額外的循環冗餘檢驗（CRC）和相關性檢測意味著可將點對點網絡看做一個灰色通道。

　　從一開始，800xA HI 的設計目標就是滿足安全保護市場和當前安全標準的要求。

　　我們對降低風險的“ 保護分析層（LOPA）”8) 方法進行了詳細分析。分析確認
，LOPA 支持的保護功能，在DCS 係統應用層麵
，在保護和控製功能混合的控製器節點或保護和控製功能獨立的800xA 節點中運行時，情況等同於在具有完全不同的控製與安全機製的係統中實施5 。從運行800xAHI 控製器中的BPCS 係統應用所獲得的附加完整性超過了可能發生的共同模式失效所帶來的額外風險。

　　對於石油和天然氣市場，System 800xA HI 提供了一個冗餘架構， 該架構可在I/O 獨立實施，並在操作員級別添加容錯功能。

　　與安全相關的程序利用通過800xA HI安全程序認證的有限指令集編譯器編譯而成。在編譯過程中，更多編譯器測試套件和CRC 冗餘校驗可以確保已編譯的安全程序的完整性。在運行期間


， 應用程序模塊的執行針對順序、時間和差異進行驗證。處理組件和I/O 之間的內部通信被複製並通過業界證明的技術得到雙重檢驗

，以確保忽略所有錯誤或意外訊息。System800xA HI 在I/O 和處理器中采用不同的硬件，並在安全模塊中使用經過TUV 驗證的實時操作係統

，確保全麵滿足IEC61511 對安全功能的完整性要求。

　　5 功能分離
　　最高可靠性與可用性

　　800xA HI 設計具有內在的失效安全特性，診斷覆蓋範圍接近100%，即使作為單一應用也不例外（ABB 表示SFF 可以達到99.9%
，實際上
，係統中尚未發現未檢測出的失效模式）。這是借助旨在完全滿足SIL3 要求的初始硬件設計來實現的（ 可能存在四個SIL 級別
，其中可信度最高的是SIL4， 最低的是SIL1）9）。I/O、本地CRC 校驗和關機控製中的硬件多樣性
，結合獨特的處理器/ 安全模塊架構
，可杜絕共同模式失效情況的發生。不僅如此，經審查的失效模式和效果分析（FMEA）與失效率使該係統進入了SIL3 級別的前6%。目前我們已經公布了經審查的基於驗收試驗（間隔八年）PFD 數據。

　　經審計的FMEA 和失效率使ABB 的800xA HISIS 進入了SIL3 級別的前6%。

　　在石油和天然氣市場，安全邏輯運算器係統有望實現兩個目標：(a). 無中斷連續運行至少15 年
；(b). 在運行期間支持各種升級、改造和變更。System800xA HI 提供的冗餘架構可在I/O 級別、chuliqijibiejicaozuoyuangongzuojiemiandulishishi，yitianjiarongcuogongneng，congerweigaowanzhengxingxitongdailailegaokeyongxing。gairongyuxitongtongyangzhichiduixitongyingyongjinxinganquanzaixianshengji。

　　有關基礎原則的爭論還將繼續，但曆史告訴我們

，隻有挑戰陳規、發掘解決問題的新思路同時符合相關標準才能不斷推動科技進步。
    作者：Roger W. Prew