什么时候应该绕过安全系统?

虽然大多数设施采用ANSI/ISA 84.00.01-2004 (IEC 61511)和安全生命周期(SLC)作为遵守法规要求(例如OSHA 1910.119)的方式，但在某些特定情况下，大多数操作偏离了标准。它们发生在启动、关闭和流程转换期间。具有充分设计的安全仪表功能(SIF)，并根据开发良好的安全需求规范(SRS)进行验证的过程通常(尽管是暂时的)被闲置，实际上由操作员、经理和专业人员组成的团队所取代。在这些植物条件下，绕过、抑制或掩蔽是一种常见的做法。在这些情况下，安全仪表系统(SIS)暂时由人工在计算和密切监视的条件下取代。

为什么会发生这种情况，这是个好主意吗?导致这种实践的基本假设是什么?

允许测序和ISA 84

在过程工业中，功能安全概念已被广泛采用，作为处理过程风险和控制安全操作的一种方式。特别是，S-84.00.01 - 2004 (IEC 61511 Mod.)标准已被公认为是如何实现过程工业的SLC概念和ssis设计的基本定义。然而，实现仅限于稳态保护功能，很少应用于启动、关闭或动态转换期间的排序。测序几乎总是由人工操作和操作人员自行决定。

启动、关闭和过渡一直被认为是流程工厂运营中最危险的时期。如果是这样的话，在这段时间内安全系统暂停的原因是什么?这个理由合理吗?此外，技术的改进是否提供了新的方法来解决关于允许测序的一些假设?

SIS配备了一整套稳态运行条件和流程约束列表，旨在在基本过程控制系统(BPCS)和操作团队之上提供一层保护。虽然设计用于在稳态条件下保护进程，但达到稳态通常涉及一个允许的序列。在这些植物条件下，绕过、抑制或掩蔽是一种常见的做法;在这些情况下，SIS被暂时中止。

为了理解这种限制安全系统使用的做法背后的原因，我们必须首先了解在实施允许序列中涉及到什么。允许序列有三个一般特征:

• 必须考虑的时间依赖关系
• 更改可变阈值或限制，以及
• 变化或可能需要抑制或覆盖的联锁。

暂停的假设

有五个关键假设用于解释和证明在流程转换期间暂停sif:

1. 与稳态操作相比，过程启动和转换不频繁，持续时间短。因此，sif可以暂停，并在启动经理的监督下以书面程序手动启动。
2. 不同的过程之间缺乏相似性。这使得规定标准成为不可能，最佳实践也变得困难。因此，在定制的条件下手动管理它们似乎是可以接受的。
3. 过程过渡操作与稳态操作之间缺乏相似性。因此，安全系统被设计为在稳态条件下运行，而大部分的运行时间都发生在稳态条件下。SIS设计人员将不得不创建一个全新的、相互冲突的SIS来管理流程转换。
4. 流程过渡操作比稳态操作更受操作主观性和程序的影响，这就提出了一个问题:一个联锁应该绕过多长时间?因此，自动化过程转换需要在开发过程中输入强大的工厂操作。
5. 由于转换是顺序的和动态的，过程步骤和联锁变化的时机是关键的。如果没有详细的操作知识和足够的(适当的)模拟例程，这些很难验证和验证。

具有挑战性的假设

虽然这些假设乍一看似乎是正确的，当然是权宜之计，但让我们逐点仔细检查每个假设，根据基本的过程安全概念来证明事实并非如此。

1.流程转换不频繁且持续时间短。—流程转换是流程最不稳定的时间。变量可能发生显著变化，而基本过程控制系统(BPCS)可能无法或无法调整以处理这种过程移动。这是一个危险的时刻，把一切都交给运营商，因为他们需要监控和执行大量的其他事情。转换过程的复杂性(定时、改变阈值)需要操作人员充分关注。要求他们在重点之上提供额外的安全保护层将增加风险水平，可能是危险的。

人为因素被认为是降低风险因素可靠性的严重限制。一层保护必须是可靠的和可审计的。这两种特征似乎都不适用于绕行的情况。在进程转换期间，变量变化很快，保护阈值也会发生变化。现在还不是依靠不那么可靠的保护层的时候。

2.不同的过程之间缺乏相似性。-虽然进程之间缺乏相似性确实增加了使用ssis的难度，但这并不能消除确保进程始终安全运行的责任。如果很难实现自动化，我们为什么会期望运营商在复杂的过渡过程中更容易做出正确的决策呢?事实上，正是由于过程之间缺乏相似性，才有必要提前制定过渡方案，并确保安全系统仍然有效。

同时，不同过程的控制策略有相似之处，我们将展示有方法以一致的方式处理它们。

3.过程过渡操作与稳态操作之间缺乏相似性。虽然在许多流程中，大部分时间都是在稳定状态下度过的，但更危险的时刻是在变量快速变化的过渡期间，并且流程处于BPCS设计无法处理的条件下。例如，对于过渡期间的循环，控制器调优可能不够。我们真正面临的挑战是让操作员来做这件事，因为很难创建一个能够处理转换的SIS。例外情况是那些应用严格的规定标准的应用，如NFPA 85和86。

如果我们正确地完成我们的工作，花在编写和正确培训操作人员很少使用的启动程序上的时间，可以更好地花在正确设计SIS以处理过渡程序上。一个精心设计的SIS应该始终优于一组有压力的操作员。稍后我们将说明，通过使用先进的编程技术，可以简化设计和验证。

4.过程过渡操作比稳态操作更容易受到操作主观性和程序的影响。-再一次，我们让“困难”成为放弃安全的借口。实际上，编写转换例程所需的过程和编写自动化SIS需要相同级别的操作输入。从运营部门获得适当的输入有两个真正的困难。

首先是项目步骤的顺序。在软件设计阶段获得操作输入是困难的，但在程序编写阶段不那么困难。要做到这一点，操作必须贯穿整个项目。

其次是操作组和软件设计组之间缺乏沟通工具。将流程操作的需求转换为可用的SIS代码并不容易。

5.由于转换是顺序的和动态的，过程步骤和联锁变化的时机是关键的。流程的动态行为正是它应该被自动化的原因。它需要一个有流程和操作人员参与的健壮的模拟例程。然而，我们把这样的例行程序留给书面程序的想法降低了独立保护层的可靠性。由于手动过程的仿真非常困难，使用适当的仿真工具进行自动化是更好的答案。

序列的需求

要充分定义和自动化许可序列，需要做两件事:

对工艺及其操作有全面的了解
●一套处理动态安全逻辑的工具。

在SISs的设计中，操作管理传统上参与过程危害分析(PHA)的早期阶段，并在设计评审期间再次参与，以确保最终设计的操作能力。然后给操作人员完成的单元启动。因此，大部分设计数据是基于传统上处于稳态条件下的过程信息。为了在关键流程转换期间自动化安全功能，操作人员必须在软件设计阶段提供重要的输入以及基本流程数据。

在持续的基础上很难引起运营人员的注意。此外，操作组和软件设计团队来自不同的背景，使用不同的术语，这使得有效地沟通软件设计团队的需求变得更加困难。任何经历过操作设计审查、筛选过层叠的梯形逻辑图的人都能理解其中的挑战。

然而，如果要在流程转换期间保持流程保障的完整性，就必须理解操作将遵循的流程，并理解在现实世界中可以期望什么。如果保障措施没有以“合理”的方式实施，在实际操作中很可能会被绕过。

因此，第一步是在操作人员和工程人员之间找到一种共同的沟通语言。

查看流程关闭逻辑的传统方法是使用因果关系图。因果矩阵最初来源于API RP 14C中的海上平台安全图表，通常用于过程安全行业的安全要求。在因果关系图中，一组过程偏差(或原因)在左侧的行中列出，一组过程响应(或结果)在顶部的列中列出。矩阵中的交集单元格定义了因果关系。

因果图在过程安全专业人员中非常流行，因为它是弥合SIS设计团队沟通差距的简单方法。对于熟悉流程和操作的人来说，该图表是理解安全系统中实现的逻辑的简单方法。一旦因果关系被检查和同意，他们可以转化为安全系统程序。

因果关系图的一个主要限制是它们处理流程转换期间动态安全逻辑类型的能力较低。允许序列很难在静态矩阵中描述。考虑到矩阵最初的设计目的是通过简单的交叉将原因与结果联系起来，设计团队发现，在定义这些交叉时，他们需要更多的选项，不仅要使动态逻辑成为可能，还要生成全面的验证报告。

动态逻辑工具

为了能够处理不断变化的逻辑，配置工具必须具备三个主要特征。这些都是:

1.覆盖,包括:

• 控制覆盖作为过程变量(原因)的函数，和
• 设置允许计时(参见时间依赖性)。

2.可变阈值，包括:

• 控制过程变量(原因)和过程反应(效果)之间的关系。

3.时间依赖性，包括:

• 步骤的定义
• 重写的限制和
• 步长控制(延迟，延长)。

时间依赖性

在因果环境中，原因和相应结果之间的时间关系可以有四种形式(见图表)。为了理解与时间相关的步骤，让我们考虑一下熔炉的净化。如果流速是恒定的，那么确保完全净化的方法是等待，直到有足够的空气通过炉膛。在这种情况下，流程变量是时间，并且延迟后行程将不允许下一步，直到配置的流程持续时间结束之后。

因此，我们应该考虑四种类型的时间依赖:

1. 没有时间功能——只要原因被激活，结果就会发生
2. 行程前延迟或开启延迟-在原因激活后的一段时间内发生效果
3. 行程后延迟或OFF延迟-在原因清除后的一段时间内效果是活跃的，并且
4. 定时原因——无论原因处于何种状态，触发后仍在一定时间内处于激活状态。

变量阈值

燃烧器管理系统(BMS)中的吹扫应用是可变阈值的一个很好的例子。

净化必须在预定的气流速率下进行，通常比最佳燃烧所需的气流速率要高得多。因此，在净化完成后，在点燃先导或燃烧器之前，必须降低空气流量，而不中断序列。这定义并说明了同一变量(原因)的不同触发点之间的关系，并有选择地定义了它们与过程反应(结果)的关系。这是使用正常或“N”十字路口，以及可重置的覆盖或“R”十字路口来完成的。稍后将详细讨论这个主题。

控制覆盖

动态逻辑要求能够独立于某些原因而重写结果。例如，在一个熔炉中，当我们失去火焰时，我们想要跳闸，所以我们的静态矩阵显示了一个火焰原因和一个燃料阀设置(双阻塞和泄漏)效果。然而，在启动时，我们需要能够打开(覆盖)燃料阀设置点燃燃烧器。此外，我们必须能够不允许基于其他原因的覆盖，如飞行员火焰。

“重置-重写”类型的交叉允许发生过程反应(或结果)，尽管过程变量(或原因)。

这些重写是有时间限制的，只有在没有活动的过程变量(原因)时才能应用，与此特定效果相关的正常“N”交集允许序列调节。

例如，定义燃烧器SIF的双阻塞排气阀就是这种情况。如果失去火焰，传感器将不会检测到火焰(变量或原因)，然后一组阀门将阻塞气体。要点燃燃烧器，必须暂时覆盖火焰传感器的动作，这是通过“R”交叉完成的。另一方面，如果飞行员中没有火焰，则不允许override，因此原因“飞行员火焰”的交集应该是正常类型。在某些情况下，该顺序可能涉及在主燃烧器打开后关闭先导火焰，这可能会增加过程的复杂性。在这种情况下，当先导阀打开时，应创建一个新的原因，在先导阀中反映火焰，与主燃烧器阀门组正常相交，并延迟后跳闸以允许过渡。

最后，覆盖的持续时间是另一个需要考虑的关键点。重写不能无限期地持续下去。例如，在吹扫的情况下，应在工程阶段评估吹扫完成后允许进行下一步(点亮导频器)的时间。

一个动态的因果矩阵

我们可以得出结论，对于一个有效的配置和记录工具，一个因果矩阵允许在稳态运行期间、过程转换期间以及遵循S84标准时验证和验证SIS的逻辑，它应该具有以下特征:

1.指出主动的原因和影响独立于交叉。例如，为列和行上色:红色=活动，白色=不活动，绿色=重置，等等。

2.当原因变得活跃时，允许配置(延迟和延长)的可能性，如时间依赖关系中所述。

3.允许定义关于原因与结果(交叉)如何关联的不同类型的功能，包括覆盖的独立性、闩锁或复杂的投票原因体系结构。

N:正常结果将保持活跃，而原因是活跃的
S:存储原因将触发效果直到重置，无论原因不活动(锁存)
V:与覆盖允许失效的效果，无论原因，和
R:可重置覆盖，与V相同，但带锁存器。

4.有时间限制的覆盖能力，以及对原因的反馈效果操作。

5.能够离线动态模拟逻辑，以验证和验证配置报告。

应用实例

为了说明这一点，让我们考虑一个非常简单的例子:在这个石化过程中，碳氢化合物气体需要通过充满吸收颗粒的反应器进行干燥。在干燥器中发生放热反应，使我们能够使用温度来评估其性能。

如果温度低于某一水平，在这种情况下是110°F，这是一个迹象，颗粒是饱和的，已经失去了他们的能力去除水分。由于热惯性，必须允许20秒的延迟才能识别温度过低。

另一方面，湿度对下游工艺极其有害，在保护级别分析(LOPA)和间隙分析中，保护工艺的SIF已被判定为SIL 3。

该图显示了传统的静态因果静态矩阵如何查找此应用程序。如果6个温度中有4个低于110°F，则该装置将处于安全状态，即V110、V210、V130和V230将阻塞，防止碳氢化合物流向下游，而V120和V220将允许任何泄漏再循环。“S”交点表示该效果将被锁存。

现在让我们考虑操作手册中概述的启动顺序程序:

第一步:绕过所有温度传感器。

步骤2:手动打开V110、V130、V230和V220，保持V210和V120关闭状态。

步骤3:从BPCS中，以每两分钟5 GPM(加仑/分钟)的速率增加流量，直到达到30 GPM的稳定流量。

步骤4:一旦每个传感器的温度稳定在110°F以上至少20秒，拆卸传感器上的旁路，一次一个。这应在操作的前10分钟内发生，或当颗粒包装显示有缺陷时，应关闭系统。

第五步:10秒后，打开V210，关闭V220。

这是一个复杂的操作，给操作员的能力带来了很大的压力，它必须同时发生，他们要在警报，过程值，过程值之间的投票，变量稳定性评估，操作旁路管理上做决定，以及所有决策中最困难的，如果反应堆不像预期的那样运行，就会中止。

现在让我们考虑这个过程的自动启动，使用具有上述所有五个特征的因果矩阵。

请注意，所有信息都包含在动态矩阵图中。

• 原因有20秒后的延迟，允许在操作手册上声称的稳定性。
• 所有的交集都是“R”类型，当触发时，所有的效果都将被锁存。
• 有一个覆盖重置标记(PB_START)，可以连接到一个按钮和/或一个带有钥匙的开关，它应该是正常关闭的，以便进行诊断。
• 根据操作手册的要求，在终止流程之前允许覆盖的最大时间为10分钟。因此，反应堆应该在10分钟内保持稳定，否则系统将关闭，整个过程将不得不重新启动。

如果按照上面的动态矩阵实现该程序，启动顺序将简化为两个简单步骤:

步骤1:推送PB_START。

步骤2:从BPCS开始，以每两分钟5 GPM的速度增加流量，直到达到30 GPM的稳定流量。如果安全系统保护到位，这个斜坡可以在BPCS中自动完成。无论操作人员的操作如何，该过程将始终受到SIS的保护。

结论和建议

这里讨论的概念并不复杂，大部分可以简化为几个简单的想法:

1.规划关键应用程序的启动过程，只需在SLC开始时多做一点工程工作就可以完成，这时事情可以很容易地更改。

2.不幸的是，对于许多关键应用程序，没有明确定义正确序列的说明性标准。然而，有一些特殊的应用程序，如BMS，清楚地展示了如何做到这一点。所有需要做的是采用一种类似的方法，该方法基于受完全主动sif限制的受控强制覆盖。

3.允许SIS在100%的时间内保持控制的好处应该是显而易见的，特别是在关键的启动和关闭过程中。

4.基于性能的安全标准(例如，S84)极大地限制了给予人类的安全信用的数量，因为很难将人类的心理状态因素纳入方程。因此建议尽量减少人的参与。

5.如今，有一些易于使用的安全评级程序(例如，安全矩阵)可以帮助实现这一切，而无需复杂的编码并遵循标准的验证和验证要求。

毕竟，如果能在操作手册中写出来，那么肯定能在SIS中编程。

Luis M. Garcia G.， CFSE，西门子能源和自动化公司美洲业务开发人员，德克萨斯州休斯顿。

---

欲了解更多信息，请访问:

www.iec.ch
www.isa.org
www.sea.siemens.com

---

更多的阅读

IEC 61508，电气/电子/可编程安全相关系统的功能安全，第1-7部分，日内瓦:国际电工委员会，1998。

IEC 61511，功能安全:过程工业部门的安全仪表系统，第1-3部分，日内瓦:国际电工委员会，2003年。

ANSI/ISA S84.00.01-2004，过程工业安全仪表系统的应用，国际自动化学会，三角研究园，NC, 2004。

郭伯尔，评价系统的安全性和可靠性-技术和应用，研究三角园，NC, ISA 1997。

高博，控制系统安全评估与可靠性，研究三角园，NC, ISA 1998。

功能安全工程I和II-Exida LLC 2001 - 2004。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。