处理未记录的现场设备变更

链接 如需每月过程仪表新闻，请订阅控制工程过程仪表和传感器每月通讯在https://reg.controleng.com/newsletter/subscribe。 栏: 控制工程公司的社交媒体论坛 什么时候改变设备是违规的? 一封感谢信

2009年最热门的话题是控制工程公司的Facebook和LinkedIn群组(直接链接见方框)源于以下讨论:运营商是否应该自由地对仪器设置进行更改，还是应该接受更正式的更改管理?

仅在我们的领英群里，这个话题就吸引了100多条评论。

在我们听说越来越多的操作人员在现场调整仪器(通常是为了减少有害警报)，但没有进行相应的数据库更改之后，我们开始了这个讨论。当这种情况发生时，没有其他人知道更改，如果与这些工具之一绑定的流程由于该更改而超出规范，则纠正它可能成为一个复杂的过程，因为数据库中没有反映更改通知。

为了总结这场广泛的讨论，我收集了一些比较突出的观点，并将它们分为四个领域，大多数评论似乎都属于这四个领域:对控制的影响;仪器仪表和软件工具;程序;以及最终的责任。

对控制的影响

英维思高级顾问兼功能安全工程师Allan Gibson表示，由于不明智和未记录的仪表更改可能会影响许多嵌入式控制问题，因此进行调优更改并跟踪这些更改是运营商的“关键任务之一”。

吉布森说:“没有仔细分析，不应该改变警报设置。”“如果警报如此不重要，而且如此令人讨厌，以至于操作员有权更改它，那么第一个问题应该是:为什么首先会有警报?”报警应始终表明失去控制，如果没有自动控制层防止其在正常操作条件下产生，则不应安装报警。频繁报警是控制系统或仪表策略失败的标志，无论哪种情况，仪表或DCS工程师都应该将其作为解决问题的最高优先级。”

比尔Hollifield

PAS首席警报管理和人机界面顾问比尔•霍利菲尔德(Bill Hollifield)反对这种改变，“因为适当的调整是通过工程方法完成的，而不是凭直觉。”

霍利菲尔德说:“允许操作员更改设置意味着轮班的操作员不知道数百个警报设置在哪里。”“将个人偏好设置为警报限制会导致过程的次优化，导致基于班次的过程变化，引入不合理的警报，导致警报泛滥，因此不符合最佳实践。”由于控制警报设定值变化的安全设置并不总是有效的，这就是为什么使用自动审计和执行机制来确保适当的警报设定值变得普遍的原因。”

硬件和软件工具

当作业者调整现场设备而不注意数据库的变化时，增加作业结果的可变性是另一个令人担忧的问题。

查尔斯Cohon

Prime Devices公司总裁兼创始人Charles Cohon举了这样一个例子:“装配线操作员负责在半径为半英寸的圆圈内钻孔。当操作员在公差的最左边缘钻一个孔时，操作员的直觉表明钻头应该向右重新定位半英寸，因为“孔看起来离中心太远了”。“通过每次在公差的极端边缘位置重新定位钻头，公差可以从半英寸半径的圆内变为1英寸半径的圆内。换句话说，追求最佳结果的操作人员实际上将潜在结果(可变性)的范围扩大了四倍。”

虽然大多数人都同意特定的流程和程序应该对任何现场设备的更改起支配作用，但大多数人都同意，某些更改参数的能力是必要的。

BP勘探公司合规保证协调员Glenn Hutson说:“我在一个非常潮湿多变的化工厂工作过，我知道如果作业人员对工艺流程和温度没有一定的控制，整个过程就会经常陷入困境。”“我见过一些控制板，在这些控制板上，关键的过程控制只能由过程工程师用一把钥匙(是的，一把真正的物理钥匙)来访问。同样，在愚蠢但有效的一面，我看到一个仪器工程师完全断开一个表盘。然而，操作人员仍然很高兴地进行了调整，认为这是有意义的。”

ATI高级电气/软件设计工程师Jon McClain指出:“自从基于微控制器的产品开始取代旧的模拟产品以来，用户软件中的操作员授权问题已经存在很长时间了。在旧的模拟产品上，我经常看到它们被锁在一个更大的外壳里。为了保持对微型产品设置更改和校准的控制权限，我们行业中的大多数仪器都具有某种多级密码控制和日志功能，当系统发生任何更改时都会记录下来。”

麦克莱恩指出，这种方法“绝不是刀枪不入的，但它确实阻止了普通用户。它还可以帮助你弄清楚是谁在改变环境。总有人能破解密码。最终，涉及规避密码等的违规行为只能在人员层面得到有效处理。”

事实上，HART规范包括智能设备的写保护功能，这是由艾默生过程管理产品经理Mike Boudreaux提出的。“您可以对HART设备进行写保护，并且可以使用资产管理系统对写保护状态进行审计。当处于写保护模式时，不可能使用手持通信器更改校准。”

Boudreaux还指出，艾默生的QuickCheck Snap-On等软件产品可以生成报告，显示当前哪些设备处于写保护模式，“这使得审计HART仪器以发现未受保护的设备变得容易。”

流程和程序

关于此讨论的大多数评论都集中在通过深思熟虑和强制的程序要求来解决问题。一些小组成员甚至分享他们的指导方针，作为帮助其他人审查或开发他们自己的需求的一种手段。另一些人建议仔细研究用户设施中可能已经存在的某些控制技术的固有功能。

Arif穆斯塔法

其中一个帖子来自横河中东科威特地区经理阿里夫·穆斯塔法。Mustafa表示，一些控制技术有助于在操作员站层面上解释现场的操作员变化:

1. 根据严重程度明确定义临界和非临界循环、联锁等;

2. 资产管理软件可用于通过HART、基金会现场总线或Profibus与智能现场仪器进行交互;

3. 仪表级现场的某些变化可以通过“操作员指导消息”或DCS事件通知进行传播。操作人员可以看到这些变化，并且可以部署集成资产管理软件和DCS操作软件，将现场发生的所有变化同步为事件数据;

4. 智能现场仪表还允许某些参数被“锁定”，或为定义的更改设置权限的“阈值”(即，系统可以锁定在可能对上游或下游过程产生不利影响的现场更改的人);

5. 操作员站日志还提供了与标签相关的报警和事件数据的可见性，这些标签以什么、何时、何地、何人为基础。

ClearSky风险管理公司的总裁Leslie Parchomchuk提供了一套实用的指导方针。Parchomchuk说:“从警报优先级/警报合理化研究开始，以确定哪些警报对过程的安全性和完整性(安全限制)至关重要，哪些是有助于提高过程效率的过程可变警报。”“由于能够向每个DCS点发出警报，许多设施因警报数量过多而不堪重负，许多警报成为滋扰警报。对于关键/紧急/高优先级警报，这些当然需要遵循变更管理(MOC)流程，并且应该锁定不被操作人员更改。其他DCS指标可灵活设置报警点，由操作人员自行设置。这样做的好处是，固定的报警点可以保护作业范围，但也可以让操作人员有效地操作他们的过程。”

一些人认为讨论的关键更多的是关于哪些地方可以允许改变，哪些地方绝对不允许改变。

电气/电子制造专业人士Scott Mahler表示:“根据我的经验，操作员只有在过程或过程相关的情况下才有权/有能力改变控制参数，他们不应该以任何方式、形状或形式访问校准或安全参数。”“运营商将试图找到方法来‘解决’他们认为不方便的问题。但校准或安全参数的任何变化都应通过适当的渠道处理并记录。”

Herman Storey咨询公司的首席技术官Herman Storey认为，未经授权和未跟踪的现场设备变更既是系统问题，也是设备问题，这两种情况都属于未管理或不受控制的工作流程。

赫尔曼层

Storey补充说，根据他的经验，他见过许多项目在最后一刻(在启动期间)没有进行适当的工程审查就设置了警报。“在那之后，没有建立任何系统来确保警报设置是正确的，”他说。

“有时仪器量程也是这样做的。(最终)这是一个管理失败，但通常数据库工具包含在DCS中，以保持系统内部的备份和恢复设置。通常没有实现的是一种全面的方法来保存警报设置周围的所有元数据，例如为什么会有警报，它在保护什么，以及如果警报激活，操作员应该执行什么独特的操作。由于缺乏全面的工具和管理体系，授权是一个次要问题。”

关于适当授权的扩展，Storey指出授权的更改与未经授权的更改一样麻烦。Storey说，许多公司“给技术人员一个手持式通讯器，并告诉技术人员‘修理’现场设备。”“该通信器用于故障排除和配置管理(通常)在现场完成，技术人员可以根据其头脑中的任何信息进行处理。通常，没有连接的系统来管理设备配置或接收诊断消息。使用手持通信器配置的精度很低，影响操作精度和故障模式。授权人员用不合适的工具做授权工作的问题可能导致他们制作的作品和未经授权的作品一样糟糕。”

Storey表示，他发现“大多数业主/运营商都安装了大量的系统，但没有很好的支持工具来管理资产和人力，或者在工具安装的地方出现工作过程故障。”那么，这些业主/运营商是如何应对这个问题的呢?Storey表示，面对这一问题，他们将继续削减成本。

最终责任

关于这个问题的意见从从不允许这样的改变到授权操作员通过培训、沟通和更好的系统和程序来做出正确的决定，问题变成了:谁最终负责纠正未记录的现场设备改变的问题?

Jerold Aulph

“控制工程师的责任是对系统进行编程，使其能够安全运行，同时最大限度地保持系统的运行自由……就是这样!”电池管理系统与自动化项目经理Jerold ulph说。“唤起安全的名字和引用OSHA的数字并不能阻止系统的融化。在项目设计阶段开始设置过程故障模式和影响分析，以设计故障安全系统，并将操作人员限制在安全级别，从而使他们能够自由地成为安全的操作人员。”

道达尔的高级过程控制工程师Marc Houwelijckx持有截然不同的观点。“作为一名控制工程师，我不负责外部仪表，”他说。“然而，我非常依赖(其他人)完成他们的本职工作，否则我所做的所有调优都是浪费时间。”

杜安Mahnke

DBMahnke咨询公司总裁Duane Mahnke表示，如果运营商知道自己行为的影响，并参与到问题纠正的过程中，他们会更加合作。Mahnke说:“这可以通过金钱或其他方式的激励来实现，让他们站出来报告他们面临的变化或不便，以便完成他们的工作。”“如果没有激励，并且被要求不停机地运行，他们倾向于做一些对他们来说更容易的事情，他们不会报告，因为他们要么不知道它如何影响过程/产品，要么他们知道它可能会影响，但不想让任何人知道他们正在做一些他们不应该做的事情(以效率的名义)。如果系统设计工程师和管理层与操作人员有良好的沟通，鼓励他们成为“团队”的一部分，并因此得到认可，这些事情就会少发生。

作者信息

大卫·格林菲尔德是控制工程;david.greenfield@reedbusiness.com

控制工程公司的社交媒体论坛

要成为对话的一部分或仅仅是实时关注讨论，请通过以下链接访问我们在Facebook和LinkedIn上的论坛:

• LinkedIn上的自动化与控制工程组:https://budurl.com/celinkedin

• Facebook上的自动化与工程组:https://budurl.com/cefacebook

什么时候改变设备是违规的?

除了所有关于最佳实践、沟通和最佳流程的讨论之外，对现场设备进行更改通常会直接违反行业或政府标准。

Michael G. Mariscalco, PE和QEI Engineers的所有者指出，在美国，“如果过程涉及危险化学品，未经计划或未经授权的过程控制变更将被视为违反OSHA过程安全管理标准。此外，这种做法将违反ANSI/ISA 84.00.01-2004“过程工业部门安全仪表系统”的要求。

艾默生过程管理的Mike Boudreaux指出，IEC 61511-1条款11.6.4(和ANSI/ISA 84)要求智能传感器具有写保护，以防止来自远程位置的无意修改，除非适当的安全审查允许使用读/写。布德罗补充说:“该标准要求审查应考虑到人为因素，如未能遵守程序。”

化学和环境工程专业人士Richard Quinnette也指出，根据OSHA 29 CFR 1910.119，在“变更管理”部分，如果你在美国处理“覆盖过程”，并且操作人员在没有文件的情况下进行更改，则该设施将违反规定。Quinnette指出:“这是运营管理部门应该强烈反对的事情，不仅是出于合规原因，也是出于安全原因。”

一封感谢信

这篇文章所基于的社交媒体讨论被证明是一场真正的全球对话，来自世界各地的工程师发表了评论。有一个人特别帮助推动了这次讨论的全球性，她就是法比安·萨利米，法国ADEPP学院的技术总监和创始人。Fabienne非常重视这个话题，她把它发布到其他各种LinkedIn工程论坛上，她是其中的一员，然后重新发布了从我们讨论起源的小组中收集的回复。

对于她的所有努力，我想亲自感谢法比安花时间帮助这个故事以如此广泛的方式发展。

——《控制工程》编辑部主任David Greenfield

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。