图1 每一个流程工业企业都希望流程设备绝对的安全。但不是所有企业都把流程设备控制和安全保护功能集成到一个系统之中。BP公司把流程控制和安全保护分隔为两个独立的系统

一个系统应该集成所有功能还是把各个功能严格分开？安全技术领域中对这一问题的意见很难统一，有些用户选择使用互相独立的系统，有些用户则更青睐流程控制系统中集成安全保护功能的集成式系统。

自动化技术供应商对产品的安全性提出了非常高的要求，成熟的过程控制系统只有在特殊情况下才会出现改变，同时扩大控制系统的应用范围。许多流程工业企业都非常关注集成有安全保护功能的主控系统，并希望主控系统的集成度可以不断地改进提高。当一个供应商把与安全有关的任务和与安全无关的任务都纳入到一个监控器中时，另一家供应商则可能把完成这些任务的部件、组件纳入到一个集成式的控制系统之中（参见附表）。另外一种解决方案就是把流程设备的控制和安全保护分别设在两套不同系统中，两者的电气控制和空间布局同时分开。流程工业处于起步阶段时，它所使用的现场总线技术系统就带有安全保护控制功能，例如Profisafe或者FF-SIF。

操作简便

据西门子公司介绍，集成式的控制解决方案在不断地增加。西门子工业自动化公司Simatic PCS7系统和流程安全技术的市场经理Thomas Bartsch先生说：“集成化的动力源于目前的费用压力、规划设计、实际应用过程中流程设备的性能。”集成程度可以分为几个不同的等级，Bartsch表示：“目前，在流程设备控制系统中集成安全保护系统已经成为了一种标准系统设计。”西门子公司把有关安全和非安全的控制功能都集成在一个控制器中，这种集成对于一个小型控制系统来说非常有利。

ABB公司表示，流程设备的复杂性越来越高，应该在流程控制系统中集成安全保护系统。流程工艺技术的模拟和流程设备的操作越来越简单，工程设计的投入也越来越少。“在产品品种变化时或者在维护保养工作之后，安全变量应该自动地与不同的自动化控制阶段的安全变量保持一致。自动化技术的应用能够实时读取安全保护的有关参数，能够帮助流程设备控制系统对安全状态实现最佳的控制。”ABB自动化技术公司安全和控制系统部门的经理Gregor Kilian先生解释说道，并列举了对动态匹配的安全限制。知道了这些之后就可以更好地在安全控制或者在简单的自动化控制中使用同样的仪器设备。

“用户们更愿意使用操作环境熟悉的软件，因为这样他们能够利用PLS配置中得出的经验来设置安全保护的参数。”Emerson公司安全技术工程师Fatih Denizer先生在谈到集成安全控制的流程控制系统的其他优点时说道。

图2 “保证流程设备高效运行且不影响安全不是只靠冗余就可以实现的。”
——Rolf Hafner，HIMA Paul Hildebrandt公司

独立的系统

用户对集成式控制系统非常关注，但还存在一些忧虑。例如流程设备运营商的一个顾虑是当前的技术服务还不能够完全区分需要安全保护和不需要安全保护的领域。在维修保养时，技术服务人员总是不知不觉地进入安全保护技术领域之中。另一种解决方案就是像HIMA公司一样，提供独立系统。这一安全保护系统对流程工业设备的安全保护不受任何限制，可以满足最高等级SIL 3的安全保护。“我们提供的服务包括研发安全保护解决方案，提供最大的安全保护和最高的流程设备利用率。”HIMA Paul Hildebrandt公司的生产经理Rolf Hafner先生说。HIMA公司提供的安全保护技术可以集成到流程设备自动化解决方案当中，尽管如此，但它仍然是一个独立的系统。这种独立系统不受常规流程生产设备的影响，因此它是一个完全附加在保护层分析技术框架内的保护层。

Hafner先生认为，流程设备的安全涉及到不同层次的安全保护，例如“独立保护层”。这些不同层次的保护层包括组织上的安全保护措施（例如：应急管理），与建筑技术的有关措施（例如：防火墙），安全保护系统的使用（例如：SSPS系统），操作和监控系统（例如：流程设备控制系统）。IEC 61511标准要求各个保护层之间相互独立。放弃一个或者多个保护层，都会提高流程设备的风险。因此，把控制系统和安全保护系统分离开有助于保证各个保护层次的完善，严格控制各安全保护层应承担的职责。“分开的系统保障了真正的安全，因为它与设备的当前状况保持一致。”Hafner先生说。他认为，最有效的安全保护解决方案是完全独立的两套系统，流程设备和安全保护两套系统最好分别由两个不同的生产厂家在不同的平台上研发设计。

“从集中控制和集中操作来讲，最好是把安全保护系统集成到流程设备控制系统中。”Honeywell公司的安全技术咨询顾问Andreas Meyne先生说。但Honeywell公司产品仍然是独立的，都是与任务有关的专用硬件和软件。Meyne先生指出：“这样能够排除共因失效的风险，防止在基本系统中出现的错误或者干扰对安全保护系统产生影响。”

图3 “集成化解决方案的发展趋势是继续增长。目前，在流程设备控制系统中集成安全保护系统已经成为了一种标准的系统设计。”
——Thomas Bartsch，西门子工业自动化

实践中的应用情况

巴斯夫公司目前在其试验项目中就使用了集成式的控制系统。试验项目的目的是积累集成系统方面的经验，与目前一直非常可靠的安全保护系统的工作情况进行比较。但目前该公司生产使用独立的安全保护系统，与PLC可编程序控制系统完全无关。目前，安全工程设计的水平还没有达到能够轻松地把安全保护集成到流程设备控制系统中。这种集成了安全保护的控制系统对流程设备整个寿命周期内操作者和维护保养人员素质的要求很高。而且这种集成系统的利用率、可用性都需要考虑，这一系统中会对一些与安全无关的零部件操作或者处理中的错误做出反应，例如：维护和/或者装料时的变化等，都有可能带来意外的停机事故（例如启动使硬件发生的变化）。尤其是在一周时间内完成大范围安装后，由于情况处理不当而引起的不涉及安全控制零部件的变化，都会带来流程设备异常停机的风险。

BP公司中的许多流程工艺设备都要遵守安全事故条例第4条的要求，因此，他们严格地把流程设备的控制系统与安全保护系统分隔开。“一方面，因为规定对我们的生产设备提出了明确要求；另一方面，这种分开的系统操作起来非常简单。”BP公司负责流程设备维护电子记录的Bj?rg Otte先生说道。

Otte先生非常熟悉流程设备的控制系统，因此他非常理解在SIL 1等级条件下工作的集成式系统。“先进的控制系统可用性很高，我毫不担心。”但他认为，人们缺少集成式控制系统的使用经验和可靠的安全保护计算数据库，这使集成式系统的使用受到了限制。

Evonik公司既使用集成式的系统，也使用控制和安全各自独立的系统。Evonik公司自动化和流程工艺技术的负责人Michael Kartenberg先生在谈到这些系统存在的问题时说道：“过去一年中我们进行的试验结果表明，在实际生产过程中，使用的条件对系统的应用有很大影响。目前，还没有与这些边界条件无关的解决方案。”

图4 “我相信Profisafe、FF-SIF等安全保护技术在一些流程生产设备中能够可靠运行，并在不久的将来成为一种畅销产品。”
——Thomas Kasten，Pepperl+Fuchs公司

集成安全保护的现场总线

一般情况下，现场总线系统也可以承担安全保护的任务。1993年，Namur协会颁布的NE 97号推荐技术规范“现场总线的安全任务”中明确指出了这一点。现场总线的用户尽管对这一原理的适应性没有任何疑问，但还是不会依赖现场总线的安全保护功能。德国基金会现场总线协会的主席、Pepperl+Fuchs公司的Thomas Kasten先生说：“用户认为，一旦网络系统出了问题整个安全保护系统马上就会崩溃。

最终，现场总线系统还是按照传统的方式构建，采用单独的安全保护系统来保障安全。”

巴斯夫公司把Profisafe和FF-SIF进行了对比，没有得出Profisafe不安全的结果。但首先必须对所使用的现场总线系统有一个彻底的了解，构建一套足够坚固的现场总线系统。除了安全保护以外，稳定运行也是保障流程生产设备可靠运行的基础。

Evonik公司对现场总线持怀疑态度，“我们要在现场总线领域中使用性能可靠的技术。”Kartenberg先生说。他认为，仪器设备技术不仅要在企业的日常生产工作中拥有可靠的性能，而且在安全保护功能方面也要性能可靠。“在使用Profisafe和FF-SIL时，我们的观点被打破了。因为就我们的观点来看目前的仪器设备技术（例如传感器/执行器和他们的通信技术协议）都属于专业技术的范畴。”Kartenberg先生说。

根据Emerson公司对BP、Shell、Shevron和Saudi Aramco四家公司在FF-SIF试验设备调查得到的反馈数据，FF-SIF将来能够在生产实践中得到应用。Shell工程技术公司和Saudi Aramco已经宣布将继续这一项目的研发。Saudi Aramco于2010年年底在沙特Juaymant的燃气设备中开始使用这一安全保护系统。

由于所需的仪器设备还都是试验设备中使用的试验品，因此沙特的流程设备使用者要求仪器设备生产厂家尽快推出正式产品。“我相信Profisafe、FF-SIF等安全保护技术在一些流程生产设备中能够可靠运行，并在不久的将来成为一种畅销产品。”Pepperl+Fuchs公司的Thomas Kasten先生说，并指出目前在中东和亚洲等地区新建的大型流程工艺设备中使用了现场总线系统。

未来前景

用户决定采用哪一种解决方案，其中最重要的一个考虑因素是提高生产能力。“不因设备故障而停机，应该有预防性的维护保养，从而避免流程设备因故障出现停机。”HIMA公司的安全技术顾问Hanfer先生说道。为此，现场总线仪器设备的有关数据应该分类整理，供执行器使用。此时，安全系统的责任就是支持这些信息的处理。

安全系统的任务不只是安全可靠地关机。“保证流程设备高效运行且不影响安全不是只靠冗余就可以实现的。”Hanfer先生说。他认为，未来的安全系统需要在操作系统升级或者对流程设备控制系统进行复查时，不会影响流程设备的正常运行。