安全仪表回路中检测元件的维护旁路设计

李中方，皮 宇

(中石化洛阳工程有限公司，河南 洛阳 471003)

安全仪表系统(SIS)是石油化工装置安全运行的重要保护措施。在安全仪表系统中，当测量仪表发生内部故障时，系统应将生产装置转入安全状态[1]。因而仪表维护旁路开关的设置非常重要。维护旁路开关的功能在于当仪表检测元件信号异常或故障需要进行维护时，将信号输入在一定时间内从联锁回路中旁路摘除而不触发联锁，从而对仪表设备进行在线检修维护。当仪表恢复正常检测功能后，将旁路开关解除，仪表正常投用[1-2]。

维护旁路开关过度设计将降低安全性能，增加操作工的管理负荷；设计不足将频繁引起停车，造成极大的经济损失。

本文旨在结合某国外工程项目，介绍一种国外项目中安全仪表回路中检测元件的维护旁路设计理念。

1 旁路开关的类别

旁路开关按照实施的管理层次分为2个层次：整个安全联锁单元的旁路使能开关以及为单个检测元件设置的旁路开关。联锁单元的旁路使能开关多设计为硬件开关，设置于辅助操作台或机柜上，由带锁旋钮开关触发，当旋入使能允许状态时，对应的联锁单元的所有相应的旁路才允许投用；当需按为非使能允许状态时，强制解除所有相应的旁路。为单个检测元件设置的旁路开关在操作员站界面上触发，通过通讯方式接入安全仪表系统，属于逻辑组态层面的软开关[2]。

旁路开关按照功能可划分为操作旁路开关(以下简称OOS)和维修旁路开关(以下简称MOS)[2]。这两类旁路开关的用途不同，MOS是仪表维护人员使用，OOS是工艺操作人员使用；MOS是对变送器的旁路，OOS是对安全仪表功能的旁路；MOS用于检测仪表检修或更换，OOS用于因工艺原因要解除的安全仪表功能[3]。如果需要可以同时为一个检测元件设计两类旁路开关。这两类开关的管理层次相同，均分为安全联锁单元的旁路使能开关以及为单个检测元件设置的旁路开关，各自独立设置。

OOS主要用于工艺开工和特殊过渡过程，按照实施方式分为手动OOS和自动OOS，可以采用定时器或工艺测量值的变化设定为自动解除。OOS的设计方式与工艺开工流程和操作过程紧密相关，这里不做赘述。

MOS用于仪表故障时使用，其中MOS可分为两类，自动MOS以及手动MOS，都属于软开关。如果需要可以同时为一个检测元件设计这两类旁路开关。

MOS按照开关触发后的组态处理方式又可分为Normal MOS以及Negative MOS。Normal MOS旁路触发后，不改变原有的架构；Negative MOS旁路后，将进行表决架构的降级处理，多应用于2oo3、2oo2的逻辑表决。

MOS旁路管理层次的结构示意如图1所示。

图1 MOS旁路管理层次的结构示意图

2 MOS的设计原则

2.1 需要设计MOS的条件

参考SHELL标准DEP 32.80.10.10[4],MOS的基本设计原则如图2所示。

图2 SHELL标准DEP 32.80.10.10 MOS的基本设计原则图[4]

MOS的设计仅限于用于安全联锁的检测元件为非唯一的情况，例如2ooX表决机制或有备用的工艺过程检测手段，且操作工有能力及时手动停车，例如同样工艺参数在DCS中也有实时检测以及工艺报警后操作工可以来得及手动紧急停车，如果不满足以上条件，不能设计任何旁路开关。

Negative MOS的定义参考SHELL标准DEP32.80.10.10，其设置的目的是降低安全仪表功能的要求失效概率。Negative MOS主要用于冗余表决架构2ooX，因其结构本身容错，是允许改变架构进行架构降级处理的。在该信号被旁路时间段内，允许修改表决架构为1ooX，同时故障报警。

2.2 手动MOS以及MOS使能开关的设计原则

手动MOS以及MOS使能开关在国内项目比较常见，例如文献[5]中对其在某炼化项目中的设计和应用进行了说明和探讨，本文不再赘述，但有以下几点需要在设计时注意：

1)MOS应用于输入信号的旁路，对于输出信号，不应设MOS。

2)手动MOS及MOS使能开关也需要设置时间限制，超时将产生报警，但是超时不会引发联锁。

3)紧急停车按钮不允许设计任何MOS旁路，包括手动MOS。

4)一个联锁单元中，在同一时间内，最多只能有一个输入信号被旁路。

5)当联锁输入信号为多个检测元件的测量值计算结果时，例如加热炉的空燃比，该信号的手动MOS触发时，仅将计算结果旁路，涉及计算的原始检测元件不受影响。

6)手动MOS为操作员界面上的软开关，通过通讯方式接入安全仪表系统。当操作员站与安全仪表系统之间的通讯故障时，旁路应维持当前状态。当通讯重新建立后，旁路状态不变。

7)手动MOS的解除可通过两种方式：复位操作员站操作界面上的维护旁路软开关，或将MOS使能开关旋入非使能允许状态。

8)MOS使能开关旋入非使能允许状态时，不仅意味着禁止继续投用MOS，也意味着解除当前所有投用的MOS。此动作可能立即引发联锁，需要有权限的人员操作。

2.3 自动MOS以及架构降级的详细设计原则

在自动MOS的设计中，当安全仪表系统判断检测元件出现故障时，自动触发维护旁路。系统能够判断检测元件失效的前提条件是，该检测元件是智能变送器且含自诊断功能，模拟量4～20 mA信号输出，且兼容NAMUR NE 43的标准。所以自动MOS不能应用于开关量、数字量信号。NAMUR NE 43中定义mA信号故障状态如图3所示。

图3 NAMUR NE 43中mA信号状态图

当安全仪表系统检测到检测元件的回路电流针对上图出现异常时(小于3.6 mA或大于21 mA)，安全仪表系统自动将检测信号按照下表1进行表决架构降级处理，该表源于SHELL标准DEP 32.80.10.10。

表1 自动MOS以及架构降级功能表[4]

注：

1.自动MOS设计原则见下文。

2.1oo1表决架构推荐使用自动MOS。

3.不推荐该选项。

4.如果检测元件同时用于高高及低低联锁，其故障输出为朝向较高SIL等级的设定点。当故障输出朝向联锁设定点时，需要设计联锁延迟定时器来防止误发联锁。基于这种考虑，推荐故障输出远离联锁点。

5.如果检测元件同时用于高高及低低联锁，其故障输出为远离较高SIL等级的联锁设定点。

6.降级架构1适用于当第1个检测元件(或仅有1个检测元件)被检测为故障时。

降级架构2适用于当第1个检测元件及第2个检测元件被检测为故障时。

降级的架构摒弃故障信号，而仅剩余的正常信号。

7.2oo2仅考虑为火焰检测器输入回路，或者误发联锁会引起较大的经济损失的安全回路。

8.如果检测元件同时用于高高及低低联锁，当表决架构中的检测元件均故障而无法继续测试时，高高及低低联锁均被触发。

9.逻辑将故障元件信号定义为无效，因此不必设置自动MOS。当检测元件诊断为故障时，将产生诊断报警。

表1执行的条件是安全仪表系统能够具备判断检测元件故障的能力，检测元件也有内部诊断功能而且也符合NAMUR NE 43的标准，变送器的输出为正作用(测量值增大时，输出电流也增大)。

检测元件本身不具备自诊断功能，且输出为模拟量时(不推荐选用该类仪表)，若安全仪表系统诊断到元件故障，应该触发联锁而不应设置自动MOS。

当测量元件与安全仪表系统都不具备诊断故障的功能，且测量元件输出为模拟量时(不推荐选用该类仪表或安全仪表系统)，仪表或控制系统都无法诊断或检测仪表的故障状态，该检测元件不能设置自动MOS，也不能同时兼具高高及低低联锁，除非这两个联锁的动作一样。当检测元件用于低低联锁时，其输出设置为正作用，用于高高联锁时，其输出设置为反作用。

需要注意的是，自动MOS并不能完全避免因仪表故障引起的联锁。例如带有低低联锁的现场变送器断路或掉电时，会在故障状态被诊断之前就已触发联锁。同样的，带有高高联锁的现场变送器短路时，也会在故障状态被诊断之前就已触发联锁[6]。

自动MOS独立于手动MOS设置。自动MOS的有效时间是有限制的(可提前预设定时器，最大1小时)，自动MOS被触发时，产生故障报警通知操作工，操作工应在有效时间内使用手动MOS确认已经管理该仪表，并同时解除自动MOS。如果不实施手动MOS，定时器超时后，自动解除自动MOS，并触发联锁。

自动MOS不受MOS使能开关的限制，仅受检测元件诊断故障状态的驱动，随时可以触发投用。但是，当MOS使能开关从使能允许状态切换至非使能允许状态时，将解除所有的当前的MOS，包括自动MOS[6]。如果相关的检测元件仍然存在故障，将可能引发联锁。

当进行安全回路SIF的SIL验证计算时，应考虑自动MOS带来的影响。

2.4 仪表表决架构与MOS的设计关系

从上述介绍可以看出，安全仪表系统中，对于智能模拟量检测元件：

1)1oo1表决架构推荐设计自动MOS，当安全可控时，也可以设计手动MOS，当安全不可控时，因为该表决架构没有容错能力，不能设计任何MOS。

2)对于2oo2、2oo3的表决架构，自动MOS不适用，因为此表决架构是可以允许单信号故障容错的。但是信号故障时，推荐特殊按照Negative MOS方式组态，按照表1进行表决架构降级处理，避免频繁停车。

3)对于1oo2的表决架构，不适用自动MOS，可以按照图2所示，为每个检测元件设计手动MOS，同时也可以按照表1设计为架构降级处理，避免频繁停车。

2.5 MOS的设计注意事项

一个安全联锁单元中，当可以使用MOS时，最多只能投用一个MOS，无论是自动MOS还是手动MOS。

任何MOS都不允许解除报警[1]，报警有专用的管理系统进行管理。所有与MOS相关的事件，如MOS使能允许、MOS触发、MOS解除等，都应该在DCS或安全仪表系统的事件顺序记录站中进行记录。

自动MOS为系统自动触发及解除，无需人工干预，手动MOS可根据图2的原则独立设置。自动MOS和手动MOS可同时存在于同一检测元件。

3 结束语

合理的维护旁路的设计，对生产装置的安全和连续运行具有重要意义。维护旁路的设置方式与炼化厂的管理水平有很大的关系，应用自动MOS以及架构降级设计理念和方案，可以在保证安全的前提下，减少操作及维护人员对各种复杂情况的判断及处理，并在很大程度上避免频繁停工带来的经济损失。