过程变更管理

Chris Lyden揭示了工厂应该采取什么的措施才能避免对于自动化系统未经认可、没有建档甚至可能恶意的变更。

变更管理(MOC)一直都是流程工业的重要课题,它是管理对诸如工厂基础架构和设备这些物品进行修改的过程,不仅是因为它可能会消耗大量的时间,很多人还认为这项工作可以提高安全性。

大多数国家已经认识到流程工业管理变更的需要,并建立了相关法规管理MOC的过程。MOC法规一般情况并不能解决所有的自动化变更管理问题,因此绝大部分工厂在自动化变更管理方面都非常糟糕,而且很多人还没有意识到问题的严重性。

人们已经发现,自动化系统没有建档以及未经许可的变更,是全世界流程行业很多意外和事故的根源。为了了解更多我们最近使用PAS的数据库对其石油、发电和化工行业的客户进行调查,询问了下列问题:“自动化系统的修改曾经导致你的工厂出现意外或者流程受到干扰的情况吗?”

令人震惊的是,几乎有65%的受访者声称他们曾经碰到过这样的问题。这份数据虽然没有绝对的说服力,但是也说明需要对自动化配置变更进行合理的管理和建档,这是控制系统安全和工厂安全的必要因素,然而实际的工作还远没有达到理想的要求。

流程工业中的自动化系统存储着来自不同系统、测量和应用的海量数据。由于这些系统也是流程持续改进的驱动力,它们在不断的改变。

在同一个调查当中,我们问这些客户:“您对自动化系统的配置做出至少一次改变的频率是多少?”有接近38%的受访者表示他们每天至少会对自己的自动化配置做出一次调整,另外还有35%的人表示他们在一周之内至少会做出一次调整。

在PAS进行的调查中,有38%的受访者表示他们每天至少对自动化配置进行一次修改。

我们还问了这样的问题:“贵工厂的自动化变更现在需要MOC过程吗?”有47%的人回答有时需要,另外53%的人回答经常需要。

总的来说,所有的三个问题都告诉我们在这些工厂中是如何管理自动化的。尽管自动化系统经常修改,但只是在一些时候才对这些变更进行管理,自动化系统的变更实际上已经导致了这些工厂中接近三分之二的事故和生产损失。

MOC的起源

为了理解为什么MOC过程在自动化中只是偶尔使用,我们必须要考虑它的发展过程。MOC长久以来就被很多公司当作是最佳实践,但是直到1992年国会通过了29 CFR 1910.119《流程安全管理(PSM)》规定之后才在美国成为正式法规。

该项法规的目标是避免或者最小化由于有毒、放射性、可燃性或者爆炸性的化学品释放导致的灾难性后果。在1997年之前,所有拥有这些化学品的制造商都必须强制执行MOC过程。

世界上其他国家的政府很快就看到了这一法规的好处,并随即推出了类似的规定。比如,在新加坡,从2001年起,炼油厂必须根据新加坡标准SS506: Part 3: 2006实施安全与健康管理系统。

基本上,绝大多数PSM法规都对实体工厂和流程变更做了非常严格的规定,但是对于自动化系统则没有这么严格。

在评价自动化很少使用MOC的使用,另外一个因素就是修改自动化系统配置相对比较简单。一般来说,只需要简单的输入几个数据库参数,自动化系统的变化就会产生巨大的结果,关键性报警限制和仪表的重新安排也具有同样的影响。

传统的MOC过程需要比实际变更多得多的时间和资源才能完成,因此看起来有些不合算。性价比有时候要比收益感觉更加重要,所以这些类型变更的MOC通常是被排除在工作流程之外。

这些实际经验开启了一扇大门,允许对自动化系统配置进行未经许可和没有建档的变更。根据我们的调查显示,这样可能会带来灾难性的后果。应该注意的是,如果自动化配置变更会影响绘图、步骤或者其他任何变更控制下的实体,通常就需要稳定的MOC过程,即便这些现在忽略的参数变化也可能会引起同样严重的后果。

只有通过严格的MOC程序,允许在某些案例中进行未经许可和没有建档的变更,才能避免引起事故。

巨大的影响

正如我们从客户调查中了解到的,同其他MOC的场景不同,自动化的变更会经常发生,数量庞大的自动化变更可能很快就会有巨大的影响。但是,现在的软件(比如PAS的产品)可以以任意间隔对所有系统导入全部的自动化配置数据库,在最后导入的时候将其与数据库图像进行比较。接下来,它可以跟踪报告导入间隔之间的所有变化,无论是在系统内部还是在互操作系统之间。

绝大多数自动化系统制造商都可以在系统内部追踪变化,软件还可以超越系统的边界,因此能够在整个集成系统中追踪信号的源头。常见的一个信号越界的例子,是与安全仪表系统连接的安全变送器,它可以将测量值传递给DCS工作站显示,接下来再将其传送到历史数据库建档。

流程制造商经常通过实施统一的软硬件配置来实现其基于微软Windows系统的自动化系统架构的标准化。这个统一的配置也指常用运行环境(COE)。因为绝大多数工厂都拥有多种大量不同的自动化系统,管理者在工厂内部定义不同的COE,根据常规的间隔审计是否合规,来矫正系统之间的差异。

管理自动化系统基础架构的变更,对于安全和安防的作用与管理实际配置的变更同样重要。根据一般的理解,Stuxnet病毒首先就是通过移动式U盘传入的。流程自动化COE的一项重要工作,就是考虑是否需要禁用USB端口。

像禁用或者启用USB端口以及Windows激活目录安全性设置这类变更,对于安全有重要的影响,因此必须进行MOC控制。

软件工具可以通过跟踪流程自动化网络中服务器、工作站和桌面电脑上COE规范的合规情况实现上述控制。需要考虑的方面包括:

无管理变更的危害

我们的一家石化行业客户的工厂中,无管理的自动化变更导致了一起事故发生。当时,工厂工作人员正在进行安全仪表系统(SIS)中互锁功能的常规安全完善度水平(SIL)测试。

根据测试程序,他们在测试系统的时候使用了SIS的备用输出,阀门并不会实际开启。然而,当执行逻辑的时候,令他们惊讶的是,工厂停产了。

接下来的调查发现,是出于好意的人员对逻辑自动化配置做了一次完美的变更,但是却没有建档也没有通知他人。他在集散控制系统(DCS)中加入了一些操作员启动辅助逻辑,它可以感知SIS中的某一互锁出现问题,然后将所有DCS控制器放置在手册中的设备上,这些控制器的输出是0%,这样方便设备的重启。他假设SIS中的信号是真的,这样SIS就已经将设备停下来了。

因为这个启动辅助逻辑没有建档,所以也就没有体现在SIL测试程序当中,在测试之前没有关闭。这样的结果就是:逻辑关闭了设备,一次严重的燃烧事故发生了。工厂不仅因为停机造成了生产损失,还因为燃烧收到环境罚单。

几乎没有疑问,合理的自动化系统MOC可以避免这起事故。在实施之前修改需要接受同行的审议和认可,新的逻辑、SIL测试程序的修改和启动前的安全检查都需要建档。


• 安装在每台机器上软件以及软件的版本和补丁
• 系统硬件的开启或者关闭状态
• 激活目录的修正操作
• 符合现有驱动能力指南
• 休眠和陈旧的用户账户
• 应用及操作系统服务状态

为了保证自动化系统中没有未经许可和危险的变更,每一次变更,无论是在实际的配置当中还是在基础架构上,都必须要严格进行MOC控制。并且,有必要持续检查自动化数据库的变更情况,与许可的MOC案例进行比较,确定这些变更是否真正授权。任何无法协调的变更都不能许可,并且需要进行调查。

理顺流程

如前所述,MOC流程总被认为是非常耗时的,客户实际上认为它是一项繁重的工作,会扼杀工厂中的创新。如果MOC过程可以实现完全的自动化,那么工作将会大大简化并且变得非常容易。

对于大多数自动化系统配置变更来说,都不需要修改图纸或者程序,因此传统的MOC过程过于繁琐了。然而,未来保证配置变更都是安全合理的,每一次变更都需要评估、认可和跟踪。更短更为顺畅的MOC过程不会消耗比变更本身更多的经理,对于大多数只需要修改参数的自动化配置变更来说是非常需要的。

在这些案例当中,PAS建议对MOC过程进行分类,由实际进行变更的自动化专家分类并确认。这个过程需要一个简单的表格,可以在变更之后完成,并且需要进行变更人员的电子签名。它会分配一个跟踪代码,使用软件保存在MOC案例当中,然后在下一次导入配置数据库的时候,带有这些MOC案例的变更就可以被认可。

建档的变更(在本例中,采用DCS控制逻辑)可以使用电子签名,存储在MOC案例当中。

还可以生成未协调修改的报告,这样就能够立刻识别出未经授权的变更,并与相关责任方取得联系。这些无法协调的变更以后可能可以被接受,成为新的MOC案例,接下来再将其修改为可接受的状态。这样,只需最少的工作,该流程就可以保证自动化系统中没有未经许可的变更。

很显然,这一简化的MOC过程并不适合于所有的MOC类别,因此软件也提供了针对不同类型工作流开发不同模板的功能。比如说,有一类自动化变更会影响制图、程序和其他工作,那么就需要一个更长、更加复杂的工作流程。工作流模板中的这些其他的变量接下来可以与合适工作分类相联系,当MOC案例初始化后可以在菜单中选择。上面讲述的就是正在制作的一个时间更长的工作流模板的案例。MOC工作流包括两个元素:“状态”和“转换”。状态使用圆角矩形框表示,而转换则使用箭头表示。每一个状态都带有一个清单,包括不同的用户选择元素,比如复选框、数据录入区域、用于粘贴附件的附件框、用于计算的表达式框以及用于记录认可和完成的电子签名框。转换则包含着从一个案例迁移到下一个状态、或者采用备用路径的逻辑。

典型MOC工作流指明了状态(矩形)、从一个案例转移到下一个状态的转换(箭头),以及替代路径。

工程师还会在获得批准启动案例、将它们转移到下一个状态以及关闭案例上面花费大量的时间。使用Web 2.0技术可以减少获得批准的时间,将它们快速交给批准人。可以使用用户定义的批准逻辑,这样如果某一个批准人不在,第二优先级的批准人就会自动收到批准申请。或者,如果批准人没有按期回复,软件会提醒他们有一个重要的批准任务。这些特征可以显著的减少在MOC过程相关的非增值工作上的时间。

下一代MOC软件通过自动识别和交叉引用所有的配置连接以及使用自动化参数的地点,还可以帮助减少在准备变更初始申请(RFC)上的工程时间。这一特征通过减少研究变更范围上的时间,大大加速了RFC的准备过程,同时还可以在流程中忽略保证变更中没有涉及的参数。CEA

Chris Lyden是PAS公司(www.pas.com)总裁。这是一家可以提供各种MOC软件的供应商。

评价!您认为该篇文章:

非常好          一般           没有价值

无需注册,直接提交,定期抽奖,祝您好运!

  • 转发至:
  • 收藏到QQ书签

相关报导