关于安全保护系统是否集成到传统自动化系统的争论还将持续下去,但ABB 公司采取了切实的行动加以解决这个问题。作为一家自1979 年以来在危险过程控制系统领域卓有成效的供应商,ABB 最近推出了一款独特的800xA HI 安全与控制组合系统,并无缝嵌入到800xA 扩展自动化系统架构中。ABB 借助这款系统证实,安全与控制功能可以集成到同一个控制器内,同时,使用高度集成处理技术、防火墙和自诊断技术可以确保将控制功能和安全功能分开处理。另外,该系统还完全符合国际安全功能标准(SIL)的认证要求。
本文基于上述背景,探讨了当前专业人员在安全管理程序中如何使用最新的硬件和软件技术提高对新系统架构的控制和管理能力,以及确保安全性能所涉及到的系统完整性。
集成与独立的完美
(BPCS) 进行集成有哪些优势?首先,随着项目设计、工程和变更成本的降低,系统的总成本也将显著减少。在系统定义阶段,用户可以不通过改变系统架构,在SIS 系统与BPCS 系统之间灵活转换输入和输出(I/O)和控制功能,这样可以提高设计流程的效率,达到构建一个成本效用更高的解决方案的目标。在系统集成过程中,这种高度的灵活性可以确保BPCS 系统与SIS系统功能分离,但是却不需要改变提前数月已经确定的整个系统架构。
ABB 800xA HI 安全与控制组合系统已经证实, 安全保护系统无缝嵌入到传统控制系统是可行的, 安全功能和控制功能在系统中可确保得到分开处理。
该系统最明显的优势在于常用配置工具、通信网络、备件、维护、培训、服务和升级方面的成本节省,但最大的优势却是安全控制系统与DCS 应用程序和过程管理工具之间的数据处理和交换能力的提高。只有当安全保护系统和传统控制系统的应用程序在同一个控制器节点中运行时,两种系统之间才真正实现了实时参数的连接,这意味着两者之间可以共享昂贵的现场设备和电缆,从而优化了系统架构1 。
此外,完全集成意味着与仪表安全功能(SIF)1) 相关的所有数据(如安全完整性等级(SIL)计算、系统和现场设备诊断数据、跳闸频率、跳闸响应、阀门状态等)都可以应用到BPCS 资产管理系统中去。同时,SIS 系统可采用常用方式充分发挥BPCS 先进的数据收集和分析工具的效力2 。法规与标准自动化行业目前已开始重视控制过程系统的安全问题,尤其在英国弗利克斯巴勒2)、意大利Serveso3)、印度博帕尔4) 和北海帕玻尔阿尔法钻井平台5) 等地相继爆发重大事故之后。过程控制系统的安全保护专业知识如今已成为工程师和操作员必须具备的通用技能,同时本行业也制定了许多过程安全准则。当前行业针对电子和可编程系统的通用标准——IEC615086)便是近30 年来整个行业与监管部门共同努力的成果。此类标准的总体目标是为了确保各个行业针对危险过程控制采用适当的风险削减战略,进而阻止上述事故的发生。这一通用标准和工艺行业性标准——IEC 615117)本质上仅用于参考,但它们现在已被英国和其他工业国家的监管部门视为“良好实践规范”,同时还是确定电气/电子/ 可编程电子安全(E/E/PES)是否达到合理水平的方法。这些标准可用于对装置进行基准测试,且带有强制性。
IEC 61511 规定了评估与特定危险工艺相关风险的方法,并确定了安全系统必须达到的风险削减度。此标准明确规定应对风险进行评估并应将其削减至“合理、可行的程度”,但却并没有规定应使用何种技术和架构以降低风险。
1 采用ABB System 800xA HI,安全保护系统与DCS 其他应用程序和过程管理工具之间的数据处理和交换能力大大提高。
2 用于阻止危险事件发生的相关安全功能风险图
当前技术
目前市场上的许多独立安全系统提前采用了IEC 标准,并利用各种技术来实现安全应用所需的高完整性控制。“高完整性”一般是指“故障安全”和“容错”功能的组合。故障安全功能可确保当故障发生时,系统以预定的安全方式予以响应,而容错功能则可以最大限度减少故障阻止系统正常运行的可能性。两者极易混淆!容错系统可能不具有故障安全功能。它可能是冗余或三重冗余系统,但并不表示它适合安全应用。同样,故障安全系统不需要冗余来实现其SIL。设置冗余的目的只是为了提高系统的可靠性和可用性。
800xA HI 安全系统与DCS 共享一个通用控制器和其 他组件,并显著增强了整个BPCS 系统功能包。
当前市场上流行的1oo2 冗余系统、2oo3 三重冗余系统和2oo4 四重冗余系统在设计时均采用了冗余和容错作为减少发生危险故障可能性的方式。如今设计人员可设计出完整的危险故障模式,可在不采取复制方式的情况下执行全面诊断以确保完整性。现在用户可在使用时随时随地单独采用用于确保“安全完整性”的“故障安全型”系统和用于确保“可用性”的“容错型”系统3 。
一直以来都存在许多关于电子和可编程系统硬件可靠性的争议,但现代表面贴膜技术和高完整性电子设备的可靠性已经得到广泛认可。在一个SIS系统中,逻辑运算器硬件是整个安全回路中最可靠的元件!目前越来越多的事实表明,一些现代非冗余系统的平均无故障时间(MTBF)要高于上一代冗余系统或三重冗余系统。实际上,由于固件故障率随着组件的增多和复杂性的提高成比例增长,三重系统和四重系统的可靠性回报率正在下降。
新一代系统
ABB 新一代800xA 扩展自动化系统具有高效的灵活性,可以将控制功能和安全功能集成在同一控制器内,也可以将这些功能分离。这款被称为800xAHigh Integrity(HI)
通过800xA HI 安全程序认证的有限指令集编译器完成与安全保护相关的程序编译。
要达到上文所述标准的要求,就与安全相关的系统而言,必须解决四个关键问题。许多错误的观点认为,只要计算出的要求的故障可能性(PFD)在合理的级别范围内,系统就符合要求。但事实上,只有在满足以下四个条件时,系统才符合要求。
故障率(PFD)的重要意义不言而喻,实现安全功能的所有子系统的数量必须属于经过认证的数据集,从而方便评估整个系统环路SIL。
作为系统能力的一种衡量标准,安全失效系数(SFF)用于检测并避免危险的失效模式,是经认证的数据
集的一部分。
必须评估完整的系统架构所造成的任何限制和带来的完整性优势,并记录SIL 等级的含义。
3 System 800xA HI 安全系统架构
4 ABB 800xA HI 安全系统经TUV 认证,符合EC 61508 和EC61511 安全标准。
系统的体系完整性包括应用开发流程、系统的生命周期安全管理以及用于开发和检验符合SIL 标准的高完整性软件。
容错系统可能无法实现失效安全。这是因为其冗余或三重冗余的架构不能自动适应安全应用。
800xA HI 安全系统可以解决上述问题。设计团队依照经过审查的功能安全管理流程操作,且每个阶段的设计概念和细节都得到了TUV(TUV ProductService 是全球领先的商业独立认证机构之一)的认可4 。在第三方顾问的协助下,由团队内部的一位认证专家领导细节设计,确保其始终符合相关要求和标准。
800xA HI 安全系统与DCS 共用一个通用控制器和其它组件,为整个BPCS系统带来了一系列的重要改进,包括:通过以下方式提高BPCS 的可靠性:
诊断——进行广泛诊断是确保完整性的先决条件
确定——安全模式带来确定性的执行模式
完整性——使测量值和控制行为具有更高的可靠性和精确度
加快了BPCS 系统和SIS 系统之间的通信速度,在实际安全界限(或安全距离)方面实现更高的过程控制优化水平。
集成与独立的完美结合
毫无疑问,有关是否将安全保护功能从BPCS系统中分离出来的争论还将继续。但是,IEC 61508 和IEC 61511 标准实际上已承认了一点,即:安全与非安全功能可以存在于同一系统中,如果“有证据表明安全与非安全功能的实施具有足够的独立性(即与非安全相关功能的失效不会导致可造成危险的安全功能的失效)”(IEC 61508-2 第7.4.2.3 条),这些标准还要求将共同模式失效的可能性降至一个可以接受的水平(IEC 61511 第1部分第9.5.1/2 条)。
ABB 推出的新一代800xA 系统如实满足了上述要求。新系统的模块化满足了上述标准在功能分离和共同模式失效方面的要求。保护和高完整性数据处理领域的内存分区、独立执行上下文、防火墙及堆栈管理技巧可确保安全与非安全程序在同一处理环境中互不干扰地独立运行。通过将与人机接口(MMI)的常规通信限制为只读模式,并为超持创建一个“安全写”功能(仅在管理员进行人工干预时激活),可保障安全功能的完整性。为确保安全功能的完整性,安全与非安全功能间的点对点通信也受到严格控制。额外的循环冗余检验(CRC)和相关性检测意味着可将点对点网络看做一个灰色通道。
从一开始,800xA HI 的设计目标就是满足安全保护市场和当前安全标准的要求。
我们对降低风险的“ 保护分 析层(LOPA)”8) 方法进行了详细分析。分析确认,LOPA 支持的保护功能,在DCS 系统应用层面,在保护和控制功能混合的控制器节点或保护和控制功能独立的800xA 节点中运行时,情况等同于在具有完全不同的控制与安全机制的系统中实施5 。从运行800xAHI 控制器中的BPCS 系统应用所获得的附加完整性超过了可能发生的共同模式失效所带来的额外风险。
对于石油和天然气市场,System 800xA HI 提供了一个冗余架构, 该架构可在I/O 独立实施,并在操作员级别添加容错功能。
与安全相关的程序利用通过800xA HI安全程序认证的有限指令集编译器编译而成。在编译过程中,更多编译器测试套件和CRC 冗余校验可以确保已编译的安全程序的完整性。在运行期间, 应用程序模块的执行针对顺序、时间和差异进行验证。处理组件和I/O 之间的内部通信被复制并通过业界证明的技术得到双重检验,以确保忽略所有错误或意外讯息。System800xA HI 在I/O 和处理器中采用不同的硬件,并在安全模块中使用经过TUV 验证的实时操作系统,确保全面满足IEC61511 对安全功能的完整性要求。
5 功能分离
最高可靠性与可用性
800xA HI 设计具有内在的失效安全特性,诊断覆盖范围接近100%,即使作为单一应用也不例外(ABB 表示SFF 可以达到99.9%,实际上,系统中尚未发现未检测出的失效模式)。这是借助旨在完全满足SIL3 要求的初始硬件设计来实现的( 可能存在四个SIL 级别,其中可信度最高的是SIL4, 最低的是SIL1)9)。I/O、本地CRC 校验和关机控制中的硬件多样性,结合独特的处理器/ 安全模块架构,可杜绝共同模式失效情况的发生。不仅如此,经审查的失效模式和效果分析(FMEA)与失效率使该系统进入了SIL3 级别的前6%。目前我们已经公布了经审查的基于验收试验(间隔八年)PFD 数据。
经审计的FMEA 和失效率使ABB 的800xA HISIS 进入了SIL3 级别的前6%。
在石油和天然气市场,安全逻辑运算器系统有望实现两个目标:(a). 无中断连续运行至少15 年;(b). 在运行期间支持各种升级、改造和变更。System800xA HI 提供的冗余架构可在I/O 级别、处理器级别及操作员工作界面独立实施,以添加容错功能,从而为高完整性系统带来了高可用性。该冗余系统同样支持对系统应用进行安全在线升级。
有关基础原则的争论还将继续,但历史告诉我们,只有挑战陈规、发掘解决问题的新思路同时符合相关标准才能不断推动科技进步。