DCS迁移:是灾难还是提升? 取决于你的选择
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2017年01/02月合刊,原标题为:DCS迁移:是灾难还是提升?取决于你的选择
在计划分布式控制系统(DCS)迁移的时候,总有一些人想要保留老设备,不过通常不会维持太久。培训对于顺利的、安全的升级是至关重要的。
想象一下分布式控制系统(DCS)迁移项目的形势:时间安排如期进行,新的系统供应商已经被选定了,并且已有系统集成商加入进来协助该项目的协调运转。所有方面看起来都按部就班;直到用户的运营经理在项目进度会议上扔下一枚炸弹。
“我们内部已经讨论了整个形势,” 运营经理说道, “我们对这个系统很感兴趣,不过我们有一个主要的顾虑。正如我们都同意的,我们要避免对生产造成任何损失,因此需要做一个热切换。不过我们上级的管理层担心操作人员。根据与我们的人机界面(HMI)设计团队的讨论来看,我们不愿意因为新系统启用而开展大规模的培训计划。我们希望保留并重复使用现有系统的HMI屏幕和画面,因此所有的操作人员都会从一开始就了解系统是如何工作的。这样会减少所需要的培训,并避免了操作人员支持项目所产生的问题。”
DCS供应商的代表和集成商的项目负责人互相交换了眼色。集成商说:“我明白你们想要做什么,不过我不认为你的建议是可行的,甚至最终结果不会令人满意。”
不能只看眼前的得失,集成商接着说:“设想一下,许多你的HMI屏幕的最初安装时间要追溯到20多年以前。当然,有一些也更新过了,不过那些是微小的改动,而且仅仅是为了满足设备配置的变更,并不是为了新的控制策略。虽然它们在现有的系统中还能正常工作,但实际上它们并不是很好。要想将它们与新的平台整合在一起,需要大量的定制代码编制工作,但是却没人在预算中考虑这部分。”
没有人反驳他的发言,集成商接着更多地阐述他的观点, “这种想法也是很短视的” 。运营经理对此嗤之以鼻,可是集成商并不担心:“你希望现在不进行培训,那会将你置于不能实现新系统所能带来的许多益处的境地。这样的决定现在就会产生更多成本,并且在未来的多年时间里继续困扰你。如果你现在不克服困难进行培训,你会为此后悔。也许不在今天,也许不在明天,不过会很快,并且贯穿系统的整个生命周期。”
“操作人员需要经过培训,他们需要时间去了解如何让升级后的工厂顺畅的运行。”
这件事情的双方都有着合理的观点。一套DCS的迁移需要考虑周全,并且可能因为执行不好产生各种各样的问题,特别是在要引入新的平台的情况下。培训就是一个重大的问题,需要仔细应对。如果操作人员不知道如何进行正常运行维护,更不用说设备单元启动、修正工艺故障或其他异常状况,那就会产生灾难。集成商负责人阐述了同样重要的观点,经历完整的迁移或重大升级所带来的痛苦和烦恼而拒绝拥抱所有的好处是令人遗憾的。
想象一下一家公司已经有30年没有升级其办公室设备了。所有的人员还都使用基于DOS的WordPerfect 4.0 的IBM PC XT以及字轮式打印机,选用的原因是它们看起来像打字机打出来的文字。没有电子邮件,没有互联网。当升级最终来到的时候,用户会坚持将今天的微软Word软件及其所有的图形功能改造成与老的系统看起来相似吗?
新的控制平台在其与操作人员互动的性能方面带来很多提升,最起码他们可以与之互动。提升本身不是自动实现的,不过实现这些提升的方式是自动化的。
操作人员在控制室内看的屏幕是他们与工艺过程连接的窗口。他们很少走出控制室,到机组中去看设备,也没有其他方式了解在那些管道和容器里发生了什么。回到20或30年前,HMI设计者认为操作人员的屏幕应该看起来像工艺流程图(P&ID)因为那就是人们构想流程的方式。在关键点处插入文字框显示特定的过程变量值,设计就是这样。
一些聪明的人会意识到人为错误和安全事故之间的联系,并质疑那个方式是否真的有效。他们开始针对操作人员应该了解如何控制流程提出各种问题。伴随着异常状态管理(ASM)和操作性能中心这些组织识别出什么才是保持工艺单元平稳运行所需的措施,态势感知的概念出现了。随着对操作员工作需求的更深入的了解,操作员界面的外观和功能设计也发生了改变。
承接下这样一个项目需要在设计阶段进行很多分析工作。查阅由专业机构提供的建议是一个好的开端。操作人员和创建新系统的设计人员需要逐个考虑现有的每个HMI屏幕,并仔细分析哪些还有用,哪些没有用。是否所有的信息对于在同一个地方的执行功能都是必要的?两个互相影响的变量是否可以同时显示在一个屏幕上?在系统启动或级别变更程序中,操作员需要花多少时间在不同的画面之间来回切换?如果这些问题都考虑到了,事情就开始讲得通了。
可是问题是,什么都需要时间。这类分析工作需要完成,它需要整合到新的系统中来,而且操作人员需要经过培训,他们需要时间了解如何让升级后的工厂顺畅的运行。
对于那些不愿意因为迁移新DCS系统而开展大规模的培训计划的企业管理人员来说,一个具有大量记录文档的过程安全事故有助于他们了解事情的严重性。因为这个事故涉及了包括DCS和HMI的控制系统迁移,可是却缺少足够的操作人员培训。2008年8月28日该事故发生在美国西弗吉尼亚学院的拜耳作物科学工厂里,当时该工厂的灭多威杀虫剂生产单元内发生的化学品泄漏反应引起了装有特定可燃溶剂的4500加仑的压力容器爆炸。
事故造成两人死亡,由于爆炸和随后引发的燃烧了超过4个小时的火灾,工厂受损严重。美国化学品安全理事会(CSB)对这个事故进行了调查,2011年1月所发布的调查报告的信息被本文所引述。报告的编写很吸引读者而且在许多方面都让人觉得不安。其结论列出了五个引起爆炸的原因,其中的三项指向了工厂刚刚执行过的控制系统迁移项目,尤其以第二项击中要害:“在新的分布式控制系统(DCS)下,操作人员没有接受充分的操作灭多威生产机组的培训。”
其他的关键因素包括:
1.该工厂生产的杀虫剂被季节性的使用在农业应用中,所以该公司一年只生产一次。该生产单元的闲置时间被用来进行设备维护,在这种情况下进行了控制系统升级。
2.工厂里的两个相关联的分别生产拉维因和灭多威的生产单元相邻布置,而且尽管两个单元独立操作,它们还是共享一个控制室。
3.拉维因生产单元在一年之前也经历了类似的DCS迁移。那次转换一直工作正常,工厂里的每个人都对其实施过程表示满意。
4.安装拉维因系统的集成商创建了一套全面的操作人员培训计划,包括花时间使用流程模拟器。在单元重新启动之前,文档记录是完备的,而且操作人员充满信心并且准备充分地切换到新的系统上。
在灭多威单元准备重启的时候没有具备上述的条件。CSB的报告中详细的说明了问题所在:“管理层的结论是在灭多威工艺上采用全面的正规的培训和操练不是必要的,他们错误地认为灭多威和肟板操作人员因为已经花费了很多时间使用拉维因单元的DCS而变得熟练。灭多威和肟板操作人员对于一些特定的流程接受了极少的培训,并且是自己安排和掌握节奏。对于必要技能的不正规的、在职培训可能会导致不正确的做法,尤其是在缺少恰当的培训工具和指导的情况下。” CSB的结论是培训不够。
报告指出升级过程遵循了正规的流程。操作人员参与了针对旧的HMI画面的分析以及新画面的设计,但与他们的假定相反的是,这个过程中投入的必要的专业水准并不够。没有足够的培训,其结果可以是灾难性的。
“不要总是用挑剔的眼光看待重大的系统升级,而对带来的好处视而不见。”
许多公司都寻求将基于异常状态管理(ASM)的和其他高性能的人机界面(HMI)作为主要控制系统升级的一部分。这种做法最初出现在炼油和石化应用领域,后来推广到其他垂直领域。
许多面对这种状况的公司将这些项目称之为“ASM 画面”,不过这在很大程度上混淆了观点。ASM的指导方针影响的是操作员画面图形的外观,不过最重要的改进是优化操作员们对态势感知相关联的大量可视化分析,包括对工艺流程的不同要素的优先级排序。其目标是将操作员需要看的内容做到最显眼。在有问题的情况下,需要注意的事项会弹出来,因此下一步需要做什么才不会是问题。
要实现这样的目标需要大量的工作,不过那些分析并拥护ASM概念的人们认为这些努力是值得的。实现这些所需要涉及的分析工作主要包括两个方面:
第一,每一个操作原画面都需要有一个目的,即一个目标。操作员在看着屏幕的时候需要了解什么内容?以及以何种方式显示最好?了解操作人员是如何感知关键状况的。
第二,需要有一套彻底的报警分析。这看起来可能违反直觉,不过知道什么情况需要有报警在很大程度上就明白了操作员需要了解什么。任何发出报警的项目都应该是重要的,并且需要操作员的关注。
有了这两方面的共同作用,要确定如何与屏幕进行互动就是很简单的一步了。许多流程上的因素也会从工艺过程中显现出来,这有助于确定在不同的环境下,操作人员应该如何应对。
在实际情况下,了解这类项目的最大的限制条件是资源缺乏。利益相关方可能对最需要完成的事情有清晰的视角,不过可用的时间和资金方面总是受限的。永远不可能详细到每一个想要的画面、每一步逻辑或每一个报警,不过这都不应该推迟需要实现的目标。即使从一开始,每件事情都不是最理想的,如果优先级别设定合理,仍然可以实现巨大的改进。人为错误的多少是导致麻烦的最大因素。
许多年前在过程工厂里面工作的操作人员依然记得,在距离设备很近的地方控制一套工艺流程的工作情况。当操作人员点击按钮启动一台泵的时候,他们的感觉很清晰和直观,因为他们听到管道里的液体流动的过程中发出的声音。如果操作人员在一个控制室内,对工艺过程的感知只能通过控制系统及其HMI,那么优化这些组件就显得非常重要。
作者:Peter Welander