一些过程控制系统销售商大力吹捧一类可以降低用户费用的新型集成安全和控制系统体系结构，但是评论家指出这种方法可能会使安全性能打折扣。　　

针对过程控制行业中的安全和控制系统的集成化问题，一场口舌之战爆发了。这是一场持续多年的争论，但最近一些过程控制销售商引入了新式集成系统的做法却让这场争论火上浇油。作为位于宾夕法尼亚州Sellersville镇的一家名叫exida的安全服务公司的主要股东之一，Bill Goble意识到：“这是目前的一场很可怕的争论。”

做得过分吗？　　

争论的一方是这样的一群人，他们指责一些控制系统销售商和消费者过分抠“集成过程控制和安全仪表系统”这样的字眼从而可能使安全性能大打折扣。同时他们表示，安全和控制系统传统的分立和独立操作的功能要求可能会与一些新型集成化体系结构相悖，这些体系结构依赖于安全和控制系统的所谓功能和逻辑上的分离而不依赖于物理结构分离本身。　　

首先，这些人提出，如果处理不当，复杂安全与过程控制系统之间的强耦合可能会让对控制系统做出改变和维修的工程师、操作者或者维护人员无意间对安全系统进行危险的更改。另外，他们认为这种做法可能导致共模故障而影响到安全和控制系统。SafePlex系统公司休斯顿分部的德国莱茵（TüV）功能安全专家Lawrence Beckman指出，“同一硬件平台下，一个集安全和控制于一体的系统可能导致丢失可控性和安全性的故障，该故障一旦出现，就必须用备用方法安全有序地关闭整个过程。”

加利福尼亚Irvine市Invensys过程控制系统公司的一位单机安全系统销售商，Triconex商标主任Luis Duran对“传统的分离方法类似于背带和腰带二重保险的方法”这种说法表示认同,“最近所发生的事情使问题不仅仅是集成化了，将安全系统植入控制中，使这样细微的区别随之消失。”Duran说，“如果不对意外情况作出估计，一旦其中一个环节出现问题，另一个环节也将出问题。”

恐惧，不确定和疑惑还能继续下去吗？　　

争论的另一方大肆吹捧集成安全控制方法给用户所带来的的潜在利益，即减少了备件需求的同时，也节省了设计、培训、维护和服务成本。这种说法的支持者表示，总的来说，与分离系统的方法相比，该方法将为集成安全和控制系统的所有者共计节省大约30%或者更多的成本。这一方同意为了避免安全问题的出现而必须保留安全和控制的恰当的分离的看法，但是他们主张这样的分离可以通过系统周密的设计去完成，从而使安全和控制相结合。　　

此方的一些人士表示，传统的主张安全性分离的人们正在散布FUD思想，即“恐惧，不确定和疑惑”，对此他们很快以国际电子科技委员会公布的包括IEC65108和61511的国际安全标准作为回应，在这些标准中并没有禁止控制和安全的集成。　　

提供集成系统的瑞士控制销售商ABB公司在其发表的评论员文章中指出，“‘如果可以表明安全和非安全功能的执行能够充分独立（即与非安全作用相关的故障不会导致与安全作用相关的危险故障）-见IEC65108第二款7.4.2.3’，标准实际上可以认可安全和非安全功能在同一个系统中的存在。”

很多的集成安全控制系统销售商表示，他们现在市场上的产品已经达到了这样的要求，这和一家独立的国际鉴定组织TüV提供的材料所证明的完全吻合。这些商家声称，如果这些系统被TüV鉴定符合特定安全集成水平的国际标准，那么这场争论就得结束了。　　

ABB公司在名为“集成控制和安全的真相”的评论员文章中指出，绝大多数关于安全控制系统集成问题的讨论“是关于销售商之间维护自身既得利益和保护自己当前产品和技术的，而不是关于用户的可接受的不同方法的优点和缺点的。有关这个问题流传着很多的虚假消息。”ABB公司表示，“不幸的是，对于用户来说，这一切恰恰使得这个问题更加有迷惑力了。”

继续讨论的推动力何在？　　

RTP公司销售部的副主管Buddy Creef提供另一种说法，他所在的公司位于佛罗里达州Pompano Beach市，该公司生产的RPT2500系列集成安全控制系统去年十月通过了TüV鉴定。Creef表示，“有时销售商推动讨论继续进行，所以如果我提供集成控制安全系统的货源，我将尽力使讨论朝着有利于自己的方向发展。如果我是仅提供安全系统的Triconex、Triplex或Hima（其它提供单机安全仪表系统的销售商），那么我当然就会设法告知用户应该担心常规故障和集成系统所带来的问题了。”　　

无论是站在哪一边，大多数的过程控制工业领域的人士认为集成控制安全系统的广泛应用是大势所趋。实际上，马萨诸塞州Dedham市的ARC咨询集团有限公司把最近检验的新型集成控制安全系统看作一项顶尖自动化技术和2007年的潮流所在。　　

不同的销售商进行控制安全系统的集成方法不同，当然，不乏一些销售商采取多重的办法来进行安全控制系统的分离和集成。制造业咨询机构ARC公司的副总裁表示，他们就四种基本种类的系统以分立到集成的步骤进行了检验。

第一个层次是“分离”，意思是说没有进行集成；在这个层次，初级过程控制系统（BPCS）和安全仪表系统（SIS）完全分离，彼此独立工作。

公平竞争　　

第二个较高层次是ARC公司所说的接口。在这个层次上，两个系统仍然分离，但是由两个不同的销售商提供，其接口必须统一配置以能够进行数据传输。这种方法保持了分离性和多样性，操作者通过一个普通的显示屏就可以获得控制信息和来自SIS的报警数据及其它的相关信息，这样也就满足了用户的主要需求。　　

Ghosh说，依赖于控制两个系统协议转换的网关的接口在现在的工业领域用的很普遍。位于宾夕法尼亚州Springhouse的自动化销售商西门子能源和自动化公司的国家过程安全主任Charles Fialkowski估计，接口应用在当前市场上占到了60%到80%的份额。单机安全系统销售商比如Triconex、Hima 和 ICS Triplex等公司生产的SIS通常将这种接口技术应用在一般销售商提供的BPCS或者分布式控制系统（DCS）中。Triconex公司的Duran说，采用这种方法，两个不同销售商提供的硬件和软件之间的差异就会给解决共模故障提供了一种保障。　　

Ghosh说，根据ARC公司对2005年各公司收入的统计数字来看，作为SIS市场的长期的竞争者，Invensys Triconex公司仍然占据着世界市场份额的龙头老大地位。尽管Ghosh拒绝提供市场份额百分比，他说Honeywell 和ABB公司分别占世界SIS市场份额的第二和第三，紧随其后的是ICS Triplex, Hima 和 Siemens。在2006年的统计数字出来时，这个顺序可能会有所改变。　　

Duran说，这些年来，Triconex生产的安全系统与几乎所有的大过程控制销售商生产的控制系统安装统一的接口，这些厂家包括ABB、 Emerson、Honeywell、Siemens、YokogawaTriconex的姊妹公司 Invensys unit和Foxboro。Duran表示，在现在的很多场合中，接口化方法比采用网关更加划算，这种方法依靠Modbus或者OPC（一种开放的通讯标准）等标准协议，在自动化平台中应用了内置通讯电路板。

越来越近了　　

第三个层次是ARC公司所定义的“集成”。这个层次上，SIS和DCS仍然是分离的，但二者是由同一商家制造并且容易进一步的集成。

Ghosh说，这两套系统有着相似的结构，我们说的集成在这里专指软件方面的共同特征，即两套系统所采用的人机界面或者组态工具是类似的，硬件方面也很相似，所以只需要一套备件即可。　　

传统的主张分离的人们在这个层次上便开始提出反对意见，他们表示，由于人为失误或者常见的设计故障，安全和控制之间附加的结合将会很多问题的出现。　　

多年来，包括ABB和Siemens在内的过程自动化销售商已经销售SIS了，这些系统可以和同一公司生产的DCS以集成的方式工作。近来包括Emerson 和 Yokogawa公司在内的新成员在2005年大量生产与本公司生产的控制器集成的新型SIS。

就Honeywell公司而言，也有自己生产线，该生产线生产的安全控制器可以与本公司生产的DCS以某种方式一起工作，Honeywell公司负责安全运行系统的市场经理Scott Hillman称这种方式为“有效集成”。虽然是高度的接口化系统，但是在分类时Ghosh仍将Honeywell公司的产品放在接口层次。Ghosh说，“你可以称它为集成，但不是完全集成。虽然他们有自己的安全系统和控制系统，但是我只能称之为高度接口化系统。”　　

ARC所说的第四个层次是Ghosh所谓的共用系统。他解释说，“共用的意思就是一个工作柜可以完成控制和安全的工作。”提供这种层次并被鉴定通过的安全控制系统销售商有ABB,RPT和Siemens公司。

共用单柜集成系统的销售商将多种TüV认可的方法用在他们的系统中，从而达到国际安全标准以确保系统安全。以ABB为例，该公司强调，作为安全系统构思和设计的集成单柜800xA系列高度集成系统，在投放市场之前，已经通过TüV的鉴定。另外还表示，“存储分区，独立执行文本，防火墙和堆栈操作技术为系统提供了逻辑分离，保证在同一处理环境下安全和非安全程序的运行达到真正分离互不干扰。”

太复杂吗？　　

这方面像SafePlex系统公司的Beckman等的一些评论家表示他们有理由不买这种产品。Beckman说，“这些系统太复杂了，我认为不会达到那么好的效果。安全系统的一个重要特点是本身的简易性，如果其简单的话，那么使用它的可能性就很高，它越复杂，使用它的可能性就越小。”　　

Beckman表示，考虑到集成控制安全系统的复杂性，在维修或测试或者操作员在对控制系统做出改变时，人为失误带来的问题往往容易使系统自身受到影响。操作中的任何错误将可能造成对SIS不经意的改变。他还说，使用集成系统的另一个风险就是容易遭到恐怖分子和黑客攻击，他们可能潜入安全和控制系统。

Beckman，Triconex公司市场部前任副主管，也是仪器仪表、系统和自动化界SP84委员会的长期会员，他的公司以前是Hima在美国的独家代理。SP84委员会在2004年采用IEC 61511标准作为ISA-84安全标准的最新版本，该标准随后被美国国家标准学会采纳为ANSI/ISA-S84标准。Beckman就这两个标准中所用的术语表示强烈反对，将“功能分离”用在安全和控制之间，而他认为这个术语应该用“物理分离”来代替。　　

不管谁是谁非，Beckman承认，当前的标准考虑到了过程控制和安全系统的集成化问题。他说，“我有一种强烈的预感，当人类的生活处于危险的时候，这不是最安全的方法。”　　

到目前为止，对集成系统的结论的混淆还是来自于过程控制销售商自身。Exida公司的Goble说，“我曾经与许多的用户讨论这个问题，大约三分之一的人认为，不管在何种情况下，他们对同一系统中安全和控制的集成问题上判断正确，从来没有含糊过。”其余的更多的人对此表示出坦率和热心，“所以大家对此问题看法的多样性是广泛的。”　　

Ghosh表示，SIS硬件，软件和服务使得ARC公司迅速发展壮大；在接下来的几年里，世界市场每年将至少增长11%，从2006年的十亿美元增长到2010年的大约十五亿美元。尽管集成到共用单柜层次的系统是非常有效的，但是ARC公司注意到近期市场上涨幅较大的属于第三个层次的“集成”系统。

太可怕了　　

销售商开始同意这样的观点了。Siemens公司的Fialkowski承认，可以处理安全和控制的单柜集成系统这样的观点仍然“害怕许多人的咒骂”。他说，对于那些整个职业生涯中一直使用完全物理分离的安全和控制系统的老工程师来说，这种说法实在是太恰当了。到目前为止，Siemens公司在单柜安全控制系统的销售方面起色还不是很大。　　

Fialkowski表示，与此同时，基于集成系统的交易有所增长，在这些系统中，使用了Siemens公司的Simatic PCS 7过程控制器和TüV检验通过的PCS 7F安全控制器，二者分离运行但是采取了集成的方式。他说，“采用这种思想和方法的系统确实比接口方式系统要多，现在可能占到市场的20%到30%并且还在继续增长。”　　

加拿大安大略州卡尔加里市的ABB过程自动化公司安全系统项目经理Edgar Ramirez说，用户反映ABB公司最新上市的集成安全控制系统容易使人产生概念上的混淆。ABB的王牌集成产品，800xA高集成SIS在2005年一月用单柜安全控制系统来作介绍。Ramirez表示，加拿大油气工业企业，比如ExxonMobil、Petro-Canada 和 Shell，更喜欢用ABB公司提供产品的另一种选择——安全控制分离系统。他说，大约有相同数目的油气企业对安全系统并不熟悉，他们更愿意考虑SIS和DCS的集成化的方法，考虑到不同程度的安全控制集成，已经对ABB公司的产品提出了新方案。　　

Ramirez说，到目前为止，ABB公司已经在加拿大和挪威各有一个使用单柜安全控制集成系统的项目。此外，ABB公司公共安全控制系统的最多的使用者要数密歇根州Midland市的陶氏化学公司了。Ramirez指出，实际上，陶氏化学使用在一个控制器里集安全和控制于一体的系统已经很多年了，在800xA高集成系统的研发上与ABB公司也有过深入的合作。

简直令人着迷　　

其它销售商同样表示集成安全控制系统正在得到越来越多的用户的认可。美国德克萨斯州Sugarland的Yokogawa公司安全系统技术顾问Jan de Breet透露，ProSafe RS型SIS在美国的销售额从开始引进技术的2005年的160万美元增长到了去年的1200万美元。ProSafe RS是以分离系统设计，和Yokogawa公司的CS 3000系列DCS以集成方式工作的。de Breet说，“我们的顾客对集成安全系统方法是非常的着迷。”　　

美国DeltaV型SIS业务发展经理Chuck Miller表示，德克萨斯州Austin市的Emerson过程控制公司同样如此，他们在2005年十月投放市场的DeltaV型SIS得到了“非一般”的认可，到今年的二月中旬销量就超过150套了。

DeltaV型SIS和本公司生产的DeltaV型DCS以集成的方式设计，和以前那种依赖于接口和第三方SIS产品的方式相比，是更优秀和划算的。　　

Miller说，在DeltaV/DeltaV SIS环境下，不同的子系统之间的信息可以无缝共享。 “你不必通过Modbus 或OPC协议将安全系统嵌入DCS，也不必为了时间同步而给每个子系统设置单独的总线，不再需要一个单机的事件顺序记录系统，所有的这些功能子系统都是在集成的BPCS/SIS环境下构建的。”这样就大大减少了工程上系统集成化的时间。　　

由Emerson 和Yokogawa两家公司生产的集成控制安全系统在结构上必然存在很多的不同点，但是二者有一个共同点就是都不提供将安全和控制集成到一个柜子里的“共用”系统。他们都采用传统的分离的具有集成结构的SIS和DCS系统达到信息共享。当他们遭到传统的坚持安全分离人士的批评时，都迅速地作出反应，称他们的集成方法是严格按照国际安全标准来设计的。

关于Emerson的系统架构，Miller表示，“我们的安全和控制系统在所有方面都是完全分离的，操作系统不同，硬件也不同，唯一共用的是设计工具，甚至这些工具在所有安全集成功能上都是设置密码保护的。”他补充说，“集成的DeltaV 型SIS 和DeltaV系统以专用信道连接达到信息共享，这种连接是单向的。SIS向BPCS发送数据，虽然可从BPCS系统中看到信息，但该信息不会使SIS系统执行的安全仪表作用有任何的改变。”

自诊断　　

Yokogawa公司的de Breet提出，公司生产的CS 3000控制器和ProSafe RS型SIS的基本处理器是一样的，就是安全系统结构“有所扩充以达到IEC标准”。　　

由此，安全系统中就会有很多的硬件和软件诊断，就系统中可能出现的不安全故障做出自我诊断。

此外，和其他竞争者不同，Yokogawa公司不用共同的设计软件来设计BPCS 和SIS。de Breet说，“如果想用同一种设计软件来设计两个系统，这就意味着控制系统软件必须得到TüV的鉴定通过，因为必须得确保对安全系统没有信息反馈。”他表示，为此Yokogawa公司选择了经TüV认证的设计软件与安全系统配合使用以便与控制系统设计软件分离。

位于荷兰’s-Hertogenbosch的Honeywell 过程解决方案公司的Hillman对控制设计软件和安全设计软件分离表示赞同，认为这是一种可行的方法。他表示，共用设计软件的问题在于存在许多人为失误。为了使安全和控制功能分离并且在出现故障时能够独立实现这些功能，共用设计软件的使用将责任推到了用户的头上。

Hillman说，Honeywell因此依靠分离的Safety Builder和Control Builder设计软件为客户提供服务,这些客户把公司目前的王牌安全控制器(Safety Manager)与王牌过程控制器(C300)结合起来，共同置于公司Experion平台的保护之下。与Honeywell对国际安全标准的解释相一致，这种方法依赖于分离的和不同的处理器，该处理器采取提供安全数据访问的运行集成的方法，而不是常规故障模式。　　

在集成系统在市场上有更好的立足点的时候，关于安全控制系统的分离和集成的争论仍然在继续进行。这场争论应该归结为令每个用户感到满意的集成化程度问题。　　

ARC公司负责过程工业咨询的副主管Dave Woll先生说，“在ARC，我们所说的这种新型安全系统只是在集成和分离的程度上有所不同。从和用户的交谈中感觉到这些系统的诱人之处主要在于用户的低成本。”“市场随系统集成和分离的不同程度而发展本身并没有问题，最大的问题是，‘将会发展多快？’”