關于SIS和DCS系統儀表及閥門是否能共用的爭論由來已久，也是困擾企業、設計方及監管部門的難題。本文依據相關標準和法規來解讀這個問題。

首先，認為儀表及閥門必須獨立的觀點大多從共因失效的角度去考慮，例如某2oo3的壓力變送器如果共用了取壓管則可能因為引壓管的堵塞導致整體功能的實效，某1oo2的流量變送器由于節流元件為同一孔板則可能因為孔板的問題導致兩臺儀表的同時失效，總體來說還是以共因失效為角度來考慮的。但是如果我拋出這樣一個問題，某2oo3的壓力變送器的引壓管獨立開孔，但是儀表選型為同一廠家型號、電纜布置在同一橋架、輸入到系統為同一塊AI卡件等。換言之，如果是獨立的兩臺閥門，其儀表風為同一來源、電纜在同一接線箱或者系統輸出為同一DO卡件，為什么這些因素我們沒有考慮？這個應該也是典型的共因失效，如何來計算呢？

其次，對工程實踐角度去考慮，則可能有諸多的影響因素。考慮部分涉及到“兩重點一重大”的企業在早期設計階段并未設置SIS系統，因此按照新要求需要新增相關的檢測、邏輯處理器及執行元件，這部分就涉及到了改造。但是由于壓力容器的開孔非常困難，相關的應力會發生變化，這些都需要重新審核和計算，大管徑的管道由于安裝空間有限，新增閥門可能無法實現，甚至有些工藝本身非常老舊，執行元件的確定都非常困難，例如某PVC氯堿企業在新增聯鎖時，由于缺少必須要的切斷手段，重新增加又不現實，則在設計時盡量去觸發上游的裝置停車。

以上兩種觀點沒有絕對的孰對孰錯，不同的考慮角度會產生不同的結果，我們嘗試著尋根溯源，從不同標準及法規的角度去解讀：
“獨立說”的由來

1、我們在現場執行項目或者檢查的時候，特別留意了“獨立說”的來源，追根溯源應該是《國家安全監管總局關于加強化工安全儀表系統管理的指導意見》116號文，原文如下：安全儀表系統獨立于過程控制系統(例如分散控制系統等) ，生產正常時處于休眠或靜止狀態，一旦生產裝置或設施出現可能導致安全事故的情。

部分專家的獨立依據主要是上述這段話，其次仔細去讀的話會發現，這個獨立原則主要是強調的邏輯處理單元之間的獨立性，并非強調變送器和閥門的完全獨立。從括號中“例如分散控制系統等”，這句就可以推測出，首先是保障系統本身的獨立性。

2、還有一個來源是《危險化學品重大危險源監督管理暫行規定》40號令，原文如下：對重大危險源中的毒性氣體、劇毒液體和易燃氣體等重點設施，設置緊急切斷裝置；毒性氣體的設施，設置泄漏物緊急處置裝置。涉及毒性氣體、液化氣體、劇毒液體的一級或者二級重大危險源，配備獨立的安全儀表系統(SIS)。

這個文件的發布日期是2011年，這個時間GB50770-2013《安全儀表系統設計規范》還沒有完成，116號文《國家安全監管總局關于加強化工安全儀表系統管理的指導意見》-2014也沒有頒布，這個時候我覺得能把SIS系統講明白的依據也只能去找IEC或者ISA等國際標準了。其實這個階段的強調的SIS系統，就是：有別于DCS或者PLC的，并且可以獨立執行聯鎖功能的具有相關SIL等級認證的系統。

GB/T50770-2013《石油化工安全儀表系統設計規范》怎么說？

從上述的表達可以看出來，其實關于變送器和閥門是夠共用的問題，設計規范還是充分考慮裝置的差異性以及工藝的多樣性可能導致的設計差別，因此并沒有直接給出是否獨立的要求，而是根據SIL等級的情況去分類實施。

GB21109.1-2007《過程工業領域安全儀表系統的功能安全》怎么說？
11.2.10章節是這么描述的：一個裝置在作為安全儀表功能的一部分時，不應該（同時）作為基本過程控制的目的，因此這個裝置失效導致的基本過程控制功能失效，會引起對儀表功能安全的要求。除非確認后認為，整體風險是可控的。

另外在備注中進一步進行了補充說明：“在共用的情況下，需要進行額外的分析以保障共享部件的危險失效概率足夠低”

從以上條款可以看出，共用元件可能帶來一定的風險，但是又沒有說絕對的獨立，在一定的保護措施下，在風險可控的前期下可以共用。

GB21109.2-2007《過程工業領域安全儀表系統的功能安全》怎么說？
11.2.4章節是這么描述的：
關于SIS的獨立設置原則，通常考慮以下因素，SIS與BPCS是分開的：
a)為了降低BPCS對SIS的影響，特別是他們共享共用設備時。例如SIS與BPCS共享一個用于停機和控制的閥門時，在閥門的一次危險失效事件中，他并不能來執行一個SIS功能。
b)為保持與BPCS有關的更改、維護、測試和文檔的靈活性。
c)為了有助于SIS的確認和功能安全評估。
d)如果BPCS與SIS組合在一起，為了滿足修改管理的計劃安排，需要限制對BPCS的編程和配置功能的訪問。在共用元件的一次失效可引起向SIS提出一次要求的前提下，應進行一次分析以保障總危險率滿足要求。

從上述表述可以看出來，BPCS與SIS獨立分開的原則主要還是考慮本身的可靠性、可用性及靈活性等諸多的因素，并非是僅考慮共因失效。

GB20438.1-2017《過程工業領域安全儀表系統的功能安全》怎么說？
其中關于PE的要求中，有這么一句話：充分獨立性是指與E/E/PE相關系統整體安全性要求相比，相關的實效概率足夠低。

從這句話可以看出，其實獨立設置的原則還是以降低失效概率為目的的。

僅物理的獨立設置就可以避免共因失效嗎？
IEC61508-6:2010附錄D中給出了一種用表格打分估算共因失效系數β的方法，通過對傳感器、執行器、安全型控制邏輯器在設計、制作、安裝、維護、使用環境等多方面進行評分。

1oo2表決結構中得分與共因失效系數β的對應關系見下：


表格中的打分是考慮諸多的因素共用得來的，如下所示：

從上述表格，我們可以看出，共因失效的大小不僅僅取決于是否共用了引壓管，它考慮了獨立、多樣性及冗余、復雜性、評估/分析、規程/人工接口等等諸多的因素，這些因素都是可以量化去打分的，至于共因失效β的大小則取決于以上多個因素的疊加。

寫在最后
獨立設置的原則只是功能安全相關領域的一個很小的爭議點，它反映了一個問題，我們在任何檢查或者審核的時候沒有抓緊事物的主要矛盾及核心思想，以至于我們大多數都在機械的執行一些條款及要求，我們一起回答一下幾個問題：
①變送器和閥門獨立設計就一定是可靠的嗎？買兩輛奧拓一定比一輛奧迪更可靠嗎？
②共用的元件難道故障概率就更自動升高嗎？是不是還得考慮應用的場景？
③什么才是真正獨立？電纜布置、儀表風、卡件等同樣是共用的元件，為什么這些不分開？
④獨立設置必然涉及到開孔的問題，也同樣增加泄漏點，增加企業的維護成本，增加人員的暴露概率，對于裝置的整體安全是有益的嗎？是不是需要對專業學科統籌考慮？

為什么標準中東西任然存在爭議？這個問題很容易解釋，一個是標準的產生不能空穴來風，我們國內多數是參考或者直接轉化了國外的標準，由于我們自身還存在一些欠缺，在理解和工程實踐上差距還很大，因此在這個過程中很多問題沒有理清楚，所以本身就埋下了一些問題的伏筆。其次關于同一個問題解釋的不同標準較多，不同標準的專業應用上有所差別，因此必須有一定的偏向性，如果加上國家或者地方的各種法規導致的問題會更多，內容我們從來不缺乏，如何統一才重要。最后，檢查者或者審核者本身對法規或者條款的深層次含義理解不透徹，斷章取義或者機械執行條款，必然帶來諸多的問題。

什么是標準啊？標準英文解釋是standard，標準是集合了某類領域的共同點制定的一些底線或者基本規則或者要求，它解決的是行業共性問題，而企業事故的發生多數是發生個性問題上，尤其企業規模、工藝路線、復雜程度、工藝包差異性、原料來源等多因素導致企業的難題大多數也是個性的問題，因此如何解決個性問題尤為重要，我們不能總拿一些基本規則去約束個性的問題，這種情況下難題基本無法解決。

衷心希望未來行業中多一些定量的依據，少一些定性的判斷，多一些科學嚴謹的觀點，少一些主觀臆斷的結論！
作者：馮雙虎