SIS和DCS系统仪表及阀门是否能共用

关于SIS和DCS系统仪表及阀门是否能共用的争论由来已久，也是困扰企业、设计方及监管部门的难题。本文依据相关标准和法规来解读这个问题。

首先，认为仪表及阀门必须独立的观点大多从共因失效的角度去考虑，例如某2oo3的压力变送器如果共用了取压管则可能因为引压管的堵塞导致整体功能的实效，某1oo2的流量变送器由于节流元件为同一孔板则可能因为孔板的问题导致两台仪表的同时失效，总体来说还是以共因失效为角度来考虑的。但是如果我抛出这样一个问题，某2oo3的压力变送器的引压管独立开孔，但是仪表选型为同一厂家型号、电缆布置在同一桥架、输入到系统为同一块AI卡件等。换言之，如果是独立的两台阀门，其仪表风为同一来源、电缆在同一接线箱或者系统输出为同一DO卡件，为什么这些因素我们没有考虑？这个应该也是典型的共因失效，如何来计算呢？

其次，对工程实践角度去考虑，则可能有诸多的影响因素。考虑部分涉及到“两重点一重大”的企业在早期设计阶段并未设置SIS系统，因此按照新要求需要新增相关的检测、逻辑处理器及执行元件，这部分就涉及到了改造。但是由于压力容器的开孔非常困难，相关的应力会发生变化，这些都需要重新审核和计算，大管径的管道由于安装空间有限，新增阀门可能无法实现，甚至有些工艺本身非常老旧，执行元件的确定都非常困难，例如某PVC氯碱企业在新增联锁时，由于缺少必须要的切断手段，重新增加又不现实，则在设计时尽量去触发上游的装置停车。

以上两种观点没有绝对的孰对孰错，不同的考虑角度会产生不同的结果，我们尝试着寻根溯源，从不同标准及法规的角度去解读：
“独立说”的由来

1、我们在现场执行项目或者检查的时候，特别留意了“独立说”的来源，追根溯源应该是《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》116号文，原文如下：安全仪表系统独立于过程控制系统(例如分散控制系统等) ，生产正常时处于休眠或静止状态，一旦生产装置或设施出现可能导致安全事故的情。

部分专家的独立依据主要是上述这段话，其次仔细去读的话会发现，这个独立原则主要是强调的逻辑处理单元之间的独立性，并非强调变送器和阀门的完全独立。从括号中“例如分散控制系统等”，这句就可以推测出，首先是保障系统本身的独立性。

2、还有一个来源是《危险化学品重大危险源监督管理暂行规定》40号令，原文如下：对重大危险源中的毒性气体、剧毒液体和易燃气体等重点设施，设置紧急切断装置；毒性气体的设施，设置泄漏物紧急处置装置。涉及毒性气体、液化气体、剧毒液体的一级或者二级重大危险源，配备独立的安全仪表系统(SIS)。

这个文件的发布日期是2011年，这个时间GB50770-2013《安全仪表系统设计规范》还没有完成，116号文《国家安全监管总局关于加强化工安全仪表系统管理的指导意见》-2014也没有颁布，这个时候我觉得能把SIS系统讲明白的依据也只能去找IEC或者ISA等国际标准了。其实这个阶段的强调的SIS系统，就是：有别于DCS或者PLC的，并且可以独立执行联锁功能的具有相关SIL等级认证的系统。

GB/T50770-2013《石油化工安全仪表系统设计规范》怎么说？

从上述的表达可以看出来，其实关于变送器和阀门是够共用的问题，设计规范还是充分考虑装置的差异性以及工艺的多样性可能导致的设计差别，因此并没有直接给出是否独立的要求，而是根据SIL等级的情况去分类实施。

GB21109.1-2007《过程工业领域安全仪表系统的功能安全》怎么说？
11.2.10章节是这么描述的：一个装置在作为安全仪表功能的一部分时，不应该（同时）作为基本过程控制的目的，因此这个装置失效导致的基本过程控制功能失效，会引起对仪表功能安全的要求。除非确认后认为，整体风险是可控的。

另外在备注中进一步进行了补充说明：“在共用的情况下，需要进行额外的分析以保障共享部件的危险失效概率足够低”

从以上条款可以看出，共用元件可能带来一定的风险，但是又没有说绝对的独立，在一定的保护措施下，在风险可控的前期下可以共用。

GB21109.2-2007《过程工业领域安全仪表系统的功能安全》怎么说？
11.2.4章节是这么描述的：
关于SIS的独立设置原则，通常考虑以下因素，SIS与BPCS是分开的：
a)为了降低BPCS对SIS的影响，特别是他们共享共用设备时。例如SIS与BPCS共享一个用于停机和控制的阀门时，在阀门的一次危险失效事件中，他并不能来执行一个SIS功能。
b)为保持与BPCS有关的更改、维护、测试和文档的灵活性。
c)为了有助于SIS的确认和功能安全评估。
d)如果BPCS与SIS组合在一起，为了满足修改管理的计划安排，需要限制对BPCS的编程和配置功能的访问。在共用元件的一次失效可引起向SIS提出一次要求的前提下，应进行一次分析以保障总危险率满足要求。

从上述表述可以看出来，BPCS与SIS独立分开的原则主要还是考虑本身的可靠性、可用性及灵活性等诸多的因素，并非是仅考虑共因失效。

GB20438.1-2017《过程工业领域安全仪表系统的功能安全》怎么说？
其中关于PE的要求中，有这么一句话：充分独立性是指与E/E/PE相关系统整体安全性要求相比，相关的实效概率足够低。

从这句话可以看出，其实独立设置的原则还是以降低失效概率为目的的。

仅物理的独立设置就可以避免共因失效吗？
IEC61508-6:2010附录D中给出了一种用表格打分估算共因失效系数β的方法，通过对传感器、执行器、安全型控制逻辑器在设计、制作、安装、维护、使用环境等多方面进行评分。

1oo2表决结构中得分与共因失效系数β的对应关系见下：


表格中的打分是考虑诸多的因素共用得来的，如下所示：

从上述表格，我们可以看出，共因失效的大小不仅仅取决于是否共用了引压管，它考虑了独立、多样性及冗余、复杂性、评估/分析、规程/人工接口等等诸多的因素，这些因素都是可以量化去打分的，至于共因失效β的大小则取决于以上多个因素的叠加。

写在最后
独立设置的原则只是功能安全相关领域的一个很小的争议点，它反映了一个问题，我们在任何检查或者审核的时候没有抓紧事物的主要矛盾及核心思想，以至于我们大多数都在机械的执行一些条款及要求，我们一起回答一下几个问题：
①变送器和阀门独立设计就一定是可靠的吗？买两辆奥拓一定比一辆奥迪更可靠吗？
②共用的元件难道故障概率就更自动升高吗？是不是还得考虑应用的场景？
③什么才是真正独立？电缆布置、仪表风、卡件等同样是共用的元件，为什么这些不分开？
④独立设置必然涉及到开孔的问题，也同样增加泄漏点，增加企业的维护成本，增加人员的暴露概率，对于装置的整体安全是有益的吗？是不是需要对专业学科统筹考虑？

为什么标准中东西任然存在争议？这个问题很容易解释，一个是标准的产生不能空穴来风，我们国内多数是参考或者直接转化了国外的标准，由于我们自身还存在一些欠缺，在理解和工程实践上差距还很大，因此在这个过程中很多问题没有理清楚，所以本身就埋下了一些问题的伏笔。其次关于同一个问题解释的不同标准较多，不同标准的专业应用上有所差别，因此必须有一定的偏向性，如果加上国家或者地方的各种法规导致的问题会更多，内容我们从来不缺乏，如何统一才重要。最后，检查者或者审核者本身对法规或者条款的深层次含义理解不透彻，断章取义或者机械执行条款，必然带来诸多的问题。

什么是标准啊？标准英文解释是standard，标准是集合了某类领域的共同点制定的一些底线或者基本规则或者要求，它解决的是行业共性问题，而企业事故的发生多数是发生个性问题上，尤其企业规模、工艺路线、复杂程度、工艺包差异性、原料来源等多因素导致企业的难题大多数也是个性的问题，因此如何解决个性问题尤为重要，我们不能总拿一些基本规则去约束个性的问题，这种情况下难题基本无法解决。

衷心希望未来行业中多一些定量的依据，少一些定性的判断，多一些科学严谨的观点，少一些主观臆断的结论！
作者：冯双虎