淺談安全系統對於石油及天然氣產業的重要性
- 林稼弘
-
基於實務及財務理由, 石油及天然氣設施需部署各種不同需要連續運作的流程。因此,在主要控制系統故障時,泵浦、壓縮機、馬達及儀器等重要裝置能否維持運作即相當重要。
在大部分的生產作業中, 過去主要是分散式控制系統(DCS),但現已日漸轉型為以可程式自動化控制器(PAC)為基礎系統的基本製程控制系統(BPCS),會持續監控包括溫度、流量、壓力、重量及粘性等流程及控制項參數。
BPCS能將程序變數維持在安全的限度內,因此能協助提供一定層級的保護(例如控制系統可偵測流量或壓力的變化並做出回應)。但在BPCS失去控制或意外故障時,有許多程序可能引發危險情況。
此即安全儀表控制系統(SIS)派上用場的時機。SIS的目標是在控制系統故障時維持設施的安全性。這也說明了為何石油及天然氣公
司審慎挑選一套安全系統極其重要。在決策過程中,企業必須考量風險因素,並且評估設計方法以及各種軟硬體問題。
瞭解風險
能否慎選正確的技術需要深度的分析。由於每個專案皆不同,因此安全系統需求也不一樣。分析程序包含一系列的詳細步驟,包括應用程式的安全性檢討、執行其他安全階層與系統化分析,以及詳細的說明文件和流程。
這些步驟記載於各種不同的法規、標準(例如IEC 61511)、指導方針及建議實務方式中。其目的為留下明文記載及可供稽核的記錄,並確保不致於忽略或遺漏任何內容。
風險評估可將每種安全性儀器功能所需要的效能,量化為四種可能的安全完整性等級(SIL)的其中一種。SIL代表安全性儀器功將可能意外事件結果的風險,控管達到可容忍等級所需要的風險降低量或效能。例如SIL1等級的系統能提供0.1至0.01的要求失效概率(PFD—危險失效),而SIL4系統則提供0.0001至0.00001的PFD。
石油及天然氣公司有10數家製造商可供選擇,還可以搭配5種基本組態設定(1oo1D、1oo2、1oo2D、三重及四重)。如下文所述,在決定哪種系統最適合某項應用之前,應考量一些重要的問題。
選擇一種設計方法
有3種類型的安全系統設計,可讓使用者共用系統之間的資訊—包括介面式、混合式及整合式。某些應用的最適合選項,將會依諸如規模、風險等級、地點、人員的專業程度、支援及成本的可用性等因素而異。
在介面式的組態中,個別的BPCS和SIS系統會使用固線訊號、業界標準的通訊協定或相同的專屬高速連線做為控制系統(通常使用閘道的形式),以進行彼此之間的通訊。
基於某些理由,有些人偏好將安全性及標準控制功能分散及隔離在不同的程序應用程式中。例如使用不同的硬體和軟體,可能代表著若發生任何單一問題時,較不容易對兩套系統造成不利影響。此外,實體的隔離也可以防止PAC或BPCS的變更,避免造成相關SIS的任何變更或毀損。
這種介面式方法的主要優點,在於使用者可選擇每種個別系統中的較優者,以運用在任何特定的應用中。這種類型的設計也有其缺點,像是需要承包商、整合商及一般使用者學習兩種不同的系統—包括硬體和軟體,因此通常會帶來較高的訓練及備用零件成本。
共用或混合式方法是由一家廠商提供兩種不同、而設計上相似(但不可替換)的系統。這種方法的優點是比介面式系統的成本低、可以使用共同的元件及容易進行系統之間的交流。缺點是會增加發生同種原因問題的可能性。此外,雖然程式設計環境可能相同,但實際的硬體模組通常有所差異,因此每種系統都需要自己的備用零件。
而第三種方法—整合式安全性,則可藉由單一控制平台同時達成兩種功能。整合式安全系統現今愈來愈受歡迎。雖然在成本上可能高出一般用途的控制系統,但通常遠比個別系統的成本來得便宜。這種方法的優點是只需要學習一套系統、具備程式設計簡便性、共用元件及整合便利性,因此能降低成本。
同時, 整合式安全系統在機具控制應用中,也愈來愈常見。不過在這些系統更廣泛應用於程序安全性之前,還需要提供更多程序專屬的硬體元件。
硬體考量因素
為石油及天然氣系統挑選硬體時,企業必須將諸如容錯、系統規模及事件順序等因素納入考量。石油及天然氣產業中大部分的使用者皆指定經SIL3認證的三重化系統。三重化系統能提供最高的容錯等級,並且是以在備援設計中執行3個平行系統的方式所設計。3套系統皆會處理輸入資訊,並以票選方式影響結果—亦即若是2/3的票選結果,就必須進行變更或停止某個程序。
備援能力需求所需具備的不只是邏輯運算器,也包括構成SIS的元件,像是輸入裝置(感測器、交換器及儀器) 及輸出裝置(泵浦、馬達、閥門及其他致動器)。安全系統的實體大小對於空間有限的應用,例如離岸平台及卸油船等也非常重要。一般而言,系統擁有越
多的備援,系統的大小就會越大。例如,大部分的雙重備援系統需要相同的備援機箱,即使機箱中只有少數模組亦同。
並非所有三重化系統的規模皆相同。有些組態設定會為系統中的每個模組提供一個備用插槽,以便讓使用者可以在線上快速更換使用中的模組,而不會影響程序。其他的系統則僅以較少的空插槽用於更換系統中任何I/O模組,因此能提供較為精巧的配置。
發生某些造成程序關閉的情況時,首先要知道發生什麼事,以及其發生順序。為提供此資料, 大部分的系統皆提供某種形式的事件順序(SOE)記錄。
某些系統能以真實的一毫秒解析,在I/O模組為事件加註時間標籤。其他系統則可能在主處理器為事件加註時間標籤,因此只具有處理器掃描時間的解析。企業必須檢查硬體功能,確保掃描時間符合應用程式的速度需求。
重要軟體功能
在軟體方面,必須考慮的是採用能簡化控制系統、人機介面(HMI)和協力廠商設備的程式設計及連線作業的程式設計語言。IEC 61131-3標準定義5種控制系統程式設計語言—包括階梯邏輯、功能組塊、結構化文字、指示清單及序列功能圖表。不同的語言適用於不同工作。
現今大部分的系統皆提供以Windows為基礎的開發站,以及至少一種的IEC 61131-3程式設計語言。但這不代表所有系統皆能提供相同的組態設定及程式設計便利性,或是相同的設計生產力。測試軟體及逐步審查基本組態設定工作相當重要。
此外,瞭解您的控制系統、HMI及其他協力廠商設備的連線選項也非常重要。必須詢問的問題包括:您的控制系統是否與乙太網路、序列、OPC或Modbus網路連線相容?需要多少連線,以及系統能提供什麼支援?是否可提供備援通訊?是否需要個別的閘道?安全系統是否擁有對控制系統的直接高速連線?
達成最佳的平衡
經過智慧設計及適當執行的安全性控制系統,能為公司創造重大的商業價值。謹記並非所有安全系統皆是以相同方式建立,且每個專案都有不同的效能、風險及成本目標。若想要從各種技術選項取得適當平衡,就必須仔細考量每種選項的特定功能、限制和優點。(本文由洛克威爾自動化提供,林稼弘整理)
