關(guān)于SIS和DCS系統(tǒng)儀表及閥門是否能共用的爭(zhēng)論由來(lái)已久，也是困擾企業(yè)、設(shè)計(jì)方及監(jiān)管部門的難題。本文依據(jù)相關(guān)標(biāo)準(zhǔn)和法規(guī)來(lái)解讀這個(gè)問(wèn)題。

首先，認(rèn)為儀表及閥門必須獨(dú)立的觀點(diǎn)大多從共因失效的角度去考慮，例如某2oo3的壓力變送器如果共用了取壓管則可能因?yàn)橐龎汗艿亩氯麑?dǎo)致整體功能的實(shí)效，某1oo2的流量變送器由于節(jié)流元件為同一孔板則可能因?yàn)榭装宓膯?wèn)題導(dǎo)致兩臺(tái)儀表的同時(shí)失效，總體來(lái)說(shuō)還是以共因失效為角度來(lái)考慮的。但是如果我拋出這樣一個(gè)問(wèn)題，某2oo3的壓力變送器的引壓管獨(dú)立開(kāi)孔，但是儀表選型為同一廠家型號(hào)、電纜布置在同一橋架、輸入到系統(tǒng)為同一塊AI卡件等。換言之，如果是獨(dú)立的兩臺(tái)閥門，其儀表風(fēng)為同一來(lái)源、電纜在同一接線箱或者系統(tǒng)輸出為同一DO卡件，為什么這些因素我們沒(méi)有考慮？這個(gè)應(yīng)該也是典型的共因失效，如何來(lái)計(jì)算呢？

其次，對(duì)工程實(shí)踐角度去考慮，則可能有諸多的影響因素?？紤]部分涉及到“兩重點(diǎn)一重大”的企業(yè)在早期設(shè)計(jì)階段并未設(shè)置SIS系統(tǒng)，因此按照新要求需要新增相關(guān)的檢測(cè)、邏輯處理器及執(zhí)行元件，這部分就涉及到了改造。但是由于壓力容器的開(kāi)孔非常困難，相關(guān)的應(yīng)力會(huì)發(fā)生變化，這些都需要重新審核和計(jì)算，大管徑的管道由于安裝空間有限，新增閥門可能無(wú)法實(shí)現(xiàn)，甚至有些工藝本身非常老舊，執(zhí)行元件的確定都非常困難，例如某PVC氯堿企業(yè)在新增聯(lián)鎖時(shí)，由于缺少必須要的切斷手段，重新增加又不現(xiàn)實(shí)，則在設(shè)計(jì)時(shí)盡量去觸發(fā)上游的裝置停車。

以上兩種觀點(diǎn)沒(méi)有絕對(duì)的孰對(duì)孰錯(cuò)，不同的考慮角度會(huì)產(chǎn)生不同的結(jié)果，我們嘗試著尋根溯源，從不同標(biāo)準(zhǔn)及法規(guī)的角度去解讀：
“獨(dú)立說(shuō)”的由來(lái)

1、我們?cè)诂F(xiàn)場(chǎng)執(zhí)行項(xiàng)目或者檢查的時(shí)候，特別留意了“獨(dú)立說(shuō)”的來(lái)源，追根溯源應(yīng)該是《國(guó)家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見(jiàn)》116號(hào)文，原文如下：安全儀表系統(tǒng)獨(dú)立于過(guò)程控制系統(tǒng)(例如分散控制系統(tǒng)等) ，生產(chǎn)正常時(shí)處于休眠或靜止?fàn)顟B(tài)，一旦生產(chǎn)裝置或設(shè)施出現(xiàn)可能導(dǎo)致安全事故的情。

部分專家的獨(dú)立依據(jù)主要是上述這段話，其次仔細(xì)去讀的話會(huì)發(fā)現(xiàn)，這個(gè)獨(dú)立原則主要是強(qiáng)調(diào)的邏輯處理單元之間的獨(dú)立性，并非強(qiáng)調(diào)變送器和閥門的完全獨(dú)立。從括號(hào)中“例如分散控制系統(tǒng)等”，這句就可以推測(cè)出，首先是保障系統(tǒng)本身的獨(dú)立性。

2、還有一個(gè)來(lái)源是《危險(xiǎn)化學(xué)品重大危險(xiǎn)源監(jiān)督管理暫行規(guī)定》40號(hào)令，原文如下：對(duì)重大危險(xiǎn)源中的毒性氣體、劇毒液體和易燃?xì)怏w等重點(diǎn)設(shè)施，設(shè)置緊急切斷裝置；毒性氣體的設(shè)施，設(shè)置泄漏物緊急處置裝置。涉及毒性氣體、液化氣體、劇毒液體的一級(jí)或者二級(jí)重大危險(xiǎn)源，配備獨(dú)立的安全儀表系統(tǒng)(SIS)。

這個(gè)文件的發(fā)布日期是2011年，這個(gè)時(shí)間GB50770-2013《安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》還沒(méi)有完成，116號(hào)文《國(guó)家安全監(jiān)管總局關(guān)于加強(qiáng)化工安全儀表系統(tǒng)管理的指導(dǎo)意見(jiàn)》-2014也沒(méi)有頒布，這個(gè)時(shí)候我覺(jué)得能把SIS系統(tǒng)講明白的依據(jù)也只能去找IEC或者ISA等國(guó)際標(biāo)準(zhǔn)了。其實(shí)這個(gè)階段的強(qiáng)調(diào)的SIS系統(tǒng)，就是：有別于DCS或者PLC的，并且可以獨(dú)立執(zhí)行聯(lián)鎖功能的具有相關(guān)SIL等級(jí)認(rèn)證的系統(tǒng)。

GB/T50770-2013《石油化工安全儀表系統(tǒng)設(shè)計(jì)規(guī)范》怎么說(shuō)？

從上述的表達(dá)可以看出來(lái)，其實(shí)關(guān)于變送器和閥門是夠共用的問(wèn)題，設(shè)計(jì)規(guī)范還是充分考慮裝置的差異性以及工藝的多樣性可能導(dǎo)致的設(shè)計(jì)差別，因此并沒(méi)有直接給出是否獨(dú)立的要求，而是根據(jù)SIL等級(jí)的情況去分類實(shí)施。

GB21109.1-2007《過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》怎么說(shuō)？
11.2.10章節(jié)是這么描述的：一個(gè)裝置在作為安全儀表功能的一部分時(shí)，不應(yīng)該（同時(shí)）作為基本過(guò)程控制的目的，因此這個(gè)裝置失效導(dǎo)致的基本過(guò)程控制功能失效，會(huì)引起對(duì)儀表功能安全的要求。除非確認(rèn)后認(rèn)為，整體風(fēng)險(xiǎn)是可控的。

另外在備注中進(jìn)一步進(jìn)行了補(bǔ)充說(shuō)明：“在共用的情況下，需要進(jìn)行額外的分析以保障共享部件的危險(xiǎn)失效概率足夠低”

從以上條款可以看出，共用元件可能帶來(lái)一定的風(fēng)險(xiǎn)，但是又沒(méi)有說(shuō)絕對(duì)的獨(dú)立，在一定的保護(hù)措施下，在風(fēng)險(xiǎn)可控的前期下可以共用。

GB21109.2-2007《過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》怎么說(shuō)？
11.2.4章節(jié)是這么描述的：
關(guān)于SIS的獨(dú)立設(shè)置原則，通?？紤]以下因素，SIS與BPCS是分開(kāi)的：
a)為了降低BPCS對(duì)SIS的影響，特別是他們共享共用設(shè)備時(shí)。例如SIS與BPCS共享一個(gè)用于停機(jī)和控制的閥門時(shí)，在閥門的一次危險(xiǎn)失效事件中，他并不能來(lái)執(zhí)行一個(gè)SIS功能。
b)為保持與BPCS有關(guān)的更改、維護(hù)、測(cè)試和文檔的靈活性。
c)為了有助于SIS的確認(rèn)和功能安全評(píng)估。
d)如果BPCS與SIS組合在一起，為了滿足修改管理的計(jì)劃安排，需要限制對(duì)BPCS的編程和配置功能的訪問(wèn)。在共用元件的一次失效可引起向SIS提出一次要求的前提下，應(yīng)進(jìn)行一次分析以保障總危險(xiǎn)率滿足要求。

從上述表述可以看出來(lái)，BPCS與SIS獨(dú)立分開(kāi)的原則主要還是考慮本身的可靠性、可用性及靈活性等諸多的因素，并非是僅考慮共因失效。

GB20438.1-2017《過(guò)程工業(yè)領(lǐng)域安全儀表系統(tǒng)的功能安全》怎么說(shuō)？
其中關(guān)于PE的要求中，有這么一句話：充分獨(dú)立性是指與E/E/PE相關(guān)系統(tǒng)整體安全性要求相比，相關(guān)的實(shí)效概率足夠低。

從這句話可以看出，其實(shí)獨(dú)立設(shè)置的原則還是以降低失效概率為目的的。

僅物理的獨(dú)立設(shè)置就可以避免共因失效嗎？
IEC61508-6:2010附錄D中給出了一種用表格打分估算共因失效系數(shù)β的方法，通過(guò)對(duì)傳感器、執(zhí)行器、安全型控制邏輯器在設(shè)計(jì)、制作、安裝、維護(hù)、使用環(huán)境等多方面進(jìn)行評(píng)分。

1oo2表決結(jié)構(gòu)中得分與共因失效系數(shù)β的對(duì)應(yīng)關(guān)系見(jiàn)下：


表格中的打分是考慮諸多的因素共用得來(lái)的，如下所示：

從上述表格，我們可以看出，共因失效的大小不僅僅取決于是否共用了引壓管，它考慮了獨(dú)立、多樣性及冗余、復(fù)雜性、評(píng)估/分析、規(guī)程/人工接口等等諸多的因素，這些因素都是可以量化去打分的，至于共因失效β的大小則取決于以上多個(gè)因素的疊加。

寫在最后
獨(dú)立設(shè)置的原則只是功能安全相關(guān)領(lǐng)域的一個(gè)很小的爭(zhēng)議點(diǎn)，它反映了一個(gè)問(wèn)題，我們?cè)谌魏螜z查或者審核的時(shí)候沒(méi)有抓緊事物的主要矛盾及核心思想，以至于我們大多數(shù)都在機(jī)械的執(zhí)行一些條款及要求，我們一起回答一下幾個(gè)問(wèn)題：
①變送器和閥門獨(dú)立設(shè)計(jì)就一定是可靠的嗎？買兩輛奧拓一定比一輛奧迪更可靠嗎？
②共用的元件難道故障概率就更自動(dòng)升高嗎？是不是還得考慮應(yīng)用的場(chǎng)景？
③什么才是真正獨(dú)立？電纜布置、儀表風(fēng)、卡件等同樣是共用的元件，為什么這些不分開(kāi)？
④獨(dú)立設(shè)置必然涉及到開(kāi)孔的問(wèn)題，也同樣增加泄漏點(diǎn)，增加企業(yè)的維護(hù)成本，增加人員的暴露概率，對(duì)于裝置的整體安全是有益的嗎？是不是需要對(duì)專業(yè)學(xué)科統(tǒng)籌考慮？

為什么標(biāo)準(zhǔn)中東西任然存在爭(zhēng)議？這個(gè)問(wèn)題很容易解釋，一個(gè)是標(biāo)準(zhǔn)的產(chǎn)生不能空穴來(lái)風(fēng)，我們國(guó)內(nèi)多數(shù)是參考或者直接轉(zhuǎn)化了國(guó)外的標(biāo)準(zhǔn)，由于我們自身還存在一些欠缺，在理解和工程實(shí)踐上差距還很大，因此在這個(gè)過(guò)程中很多問(wèn)題沒(méi)有理清楚，所以本身就埋下了一些問(wèn)題的伏筆。其次關(guān)于同一個(gè)問(wèn)題解釋的不同標(biāo)準(zhǔn)較多，不同標(biāo)準(zhǔn)的專業(yè)應(yīng)用上有所差別，因此必須有一定的偏向性，如果加上國(guó)家或者地方的各種法規(guī)導(dǎo)致的問(wèn)題會(huì)更多，內(nèi)容我們從來(lái)不缺乏，如何統(tǒng)一才重要。最后，檢查者或者審核者本身對(duì)法規(guī)或者條款的深層次含義理解不透徹，斷章取義或者機(jī)械執(zhí)行條款，必然帶來(lái)諸多的問(wèn)題。

什么是標(biāo)準(zhǔn)?。繕?biāo)準(zhǔn)英文解釋是standard，標(biāo)準(zhǔn)是集合了某類領(lǐng)域的共同點(diǎn)制定的一些底線或者基本規(guī)則或者要求，它解決的是行業(yè)共性問(wèn)題，而企業(yè)事故的發(fā)生多數(shù)是發(fā)生個(gè)性問(wèn)題上，尤其企業(yè)規(guī)模、工藝路線、復(fù)雜程度、工藝包差異性、原料來(lái)源等多因素導(dǎo)致企業(yè)的難題大多數(shù)也是個(gè)性的問(wèn)題，因此如何解決個(gè)性問(wèn)題尤為重要，我們不能總拿一些基本規(guī)則去約束個(gè)性的問(wèn)題，這種情況下難題基本無(wú)法解決。

衷心希望未來(lái)行業(yè)中多一些定量的依據(jù)，少一些定性的判斷，多一些科學(xué)嚴(yán)謹(jǐn)?shù)挠^點(diǎn)，少一些主觀臆斷的結(jié)論！
作者：馮雙虎