鲁亚雄

（山西天然气有限公司，太原 030000）

0 引言

仪表联锁系统是一种机电一体化自动操控系统，其广泛应用于能源、化工、电力、交通、冶金、环保、航空、航天、装备制造等领域。

设置其的主要目的是用于监视生产、运行过程，在危险条件出现时自动采取相应措施，使有关设备、设施按照既定条件或程序完成操控任务，及时消除异常情况，阻止事故的产生和蔓延，保护现场工作人员及周边群众的安全，防止设备、设施损坏，防止周边环境被污染。

仪表联锁系统是石油、化工等过程控制领域必不可少的安全设施。安全仪表系统（Safety Instrument System，简称SIS 系统）是其在这些行业的核心应用。一般来说，安全联锁系统（Safety Interlock System）、紧急停车系统（Emergency Shutdown System）、安全关联系统（Safety Related System）、火灾及气体检测系统（Fire and Gas System）、仪表保护系统（Instrument Protection System）等都属于SIS 系统范畴。

1 简述SIS系统

SIS 系统是利用仪表联锁系统来实现安全功能的一种自动控制系统，它一般由传感器、逻辑运算器、最终执行元件及相应软件等构成[1]。

SIS 系统在生产装置的开车、停车阶段，运行以及维护操作期间，对人员健康、装置设备及环境提供安全保护[2]。

SIS 系统是“静态”系统。正常工况时，始终监视生产装置的运行，系统输出不变，对生产过程不产生影响；非正常工况时，无论是生产装置本身出现的故障危险，还是人为因素导致的危险以及一些不可抗拒因素引发的危险，其都应立即作出正确反应并给出相应的控制信号，使生产装置局部或全部停车，阻止事故的发生和扩散，将危害减少到最小。

SIS 系统应具备高的可靠性（Reliability)、可用性（Availability）和可维护性（Maintenanceability）[2]。要求SIS 系统运行时，当自身出现问题后还能确保受其保护的生产过程及设备、设施处于相对安全的状态。

2 仪表联锁系统设计的一些要求和注意事项

2.1 设计的一些基本要求

联锁点的数量应在满足安全生产运行要求的前提下尽量做到少而精；联锁内容一定要符合安全生产运行要求；联锁系统必须具备高可靠性、高稳定性；联锁系统必须符合使用环境要求；联锁系统应便于安装和维护。

2.2 仪表联锁系统的设计安全审查与风险分析

仪表联锁系统是为安全生产运行服务的。在项目的工艺包（也就是工艺流程）设计完成后，必须按国家和行业的相关标准对照工艺流程图（PFD）、管道仪表流程图（PID）以及物料平衡表中的工艺参数等进行系统的分析，组织或聘请相关行业的安全、工艺、设备、消防、环保、自控、电气、造价等资深专业人士共同分析制定仪表联锁方案，关键是要确保工艺报警联锁停车方案的合理性。有时，好的软件（方案）比好的硬件（设备）显得更为重要。

2.2.1 危险与可操作性分析

通过HAZOP 分析可以发现，拟采用的工艺包设计是否存在缺陷，工艺过程及操作规程是否具有可操作性及危害性。通常采用引导词（空白、较多、较少、与……一样、部分、相反、除此以外）与相关工艺参数（流量、压力、温度、液位、相态）相结合的方式，按流程进行系统分析。由资深专业人士和设计院及建设单位的各专业负责人共同探讨，逐张对管道仪表流程图（PID）进行审查。找出正常与非正常工况下可能产生的问题以及出现问题的原因、后果，并针对问题制定相应的防范措施。

2.2.2 最低合理可行原则

ALARP 原则，俗称“二拉平”原则。ALARP 原则是根据风险矩阵识别关键的设施、设施和操作的风险水平。它将风险水平分为3 个区域：不允许区域（红色区）、ALARP 区域（黄色区）、可接受区域（绿色区）。当设备和设施位于红色和黄区时，必须将风险降低到可接受水平，当然不能不惜成本降低风险，一定要论证其是否合理，还需要对降低风险方案的花费进行比选和优化，可以通过绘制方案的花费与风险曲线来完成这项工作。

2.2.3 人机工效学分析

为保证操作人员在最佳状态下发挥能力和提高效率，创造良好的人机工作界面，体现人性化设计理念[3]，在设计之初就对仪表联锁系统进行人机工效学分析是非常必要的。人机交互场景大量存在于生产过程控制工作中，例如，操作电气开关、阀门，在中控操作台上点击鼠标、键盘，浏览操作画面等。往往由于设备、设施的布置不符合人机功效学，一方面易造成操作人员不适，不能方便地从控制系统获取信息，从而加大了发生事故的风险；另一方面还会导致设备维修困难或维修质量不高，增大发生事故概率。

仪表联锁系统的人性化设计的一些具体要求是，人机接触界面一定要尽可能友好；现场仪表布置应清晰易读。多个装置（单元）处于同一个过程控制系统时，布局应尽量类似，为的是一致性好，但是一定要保证能够明确区分开，以减少操作失误。

在仪表联锁系统设计时引入人机工效学理念，可以在生产运行装置的整个生命周期内降低发生事故的风险，提高安全管理水平，增进效益。

2.2.4 安全保护层分析

LOPA 分析是一种半定量工艺危害分析方法技术，是沟通定性分析和定量分析的重要桥梁与纽带。在通常情况下，完成对工艺包设计的HAZOP、检查表等定性的危害分析后，如果得到的结果中有太过复杂和危险的部分以及SIS 系统部分，那么此时就需要用LOPA 分析法进行定量分析了。

典型的过程生产装置的独立保护层呈“洋葱”形分布，通常从内到外设计为：工艺过程、DCS 控制系统、操作人员报警及干预、SIS 系统、物理防护（安全阀）、释放后物理防护（围堰）、工厂紧急响应及工厂周边应急响应等。

LOPA 分析法是通过集中研究后果严重和高频发事件，能够识别和揭示所有引发事件和深层原因，集中了定性和定量分析的优点。通过LOPA 分析来确认各引发事件有效的保护层，可以合理地管理那些可能不起作用的保护层，使得用于降低风险的资源能够有效地分配。LOPA 分析法很容易理解，客观性和操作都很强，非常适用于较复杂事故场景的分析。

2.3 仪表联锁系统工程设计应注意的问题

整个仪表联锁系统的安全完整性水平是由其构成的3个单元中最低的SIL 等级所决定的，这是过程生产装置中使用仪表联锁系统时必需关注的问题。

2.3.1 传感器的设置及选用

传感器的设置及选用应遵循如下原则：

1）独立设置原则。SIL 等级为1 级时，联锁系统的传感器可与DCS 系统共用；SIL 等级为2 级时，联锁系统的传感器宜与DCS 系统分开设置；SIL 等级为3 级时，联锁系统的传感器应与DCS 分开设置。

2）冗余设置原则。SIL 等级为1 级时，传感器无需冗余；SIL 等级为2 级时，传感器宜冗余设置；SIL 等级为3级时，传感器必须冗余设置。

系统的安全性（可靠性）与可用性是互相矛盾的。优先考虑安全性时，宜采用“或”逻辑；优先考虑系统的可用性时，宜采用“与”逻辑；当二者均需保证时，宜采用“三取二”逻辑。开关型传感器的可靠性远不及变送器，故而各类本安型变送器（压力、差压、差压流量、差压液位、温度）是首选，SIL 等级为2、3 级时，传感器的电源应由其所在的联锁系统提供，该联锁系统要单独供电，有些规范甚至要求SIS 系统要采用双路UPS 供电。

2.3.2 逻辑运算器的设计和选用

随着过程生产领域的不断发展，仪表联锁系统I/O点数越来越多，逻辑功能越来越复杂，仪表联锁系统的逻辑运算器多采用可编程电子控制系统（Programmable Electronic System）。可编程电子控制系统可以方便地与DCS、PLC、MES（Manufacturing Execution System 制造企业生产过程执行管理系统）等通讯，用于仪表联锁系统的可编程电子控制系统须经TÜV-GS 认证。

逻辑运算器的设计和选用应遵循以下原则：

1）独立设置原则。SIL 等级为1 级时，逻辑运算器宜与DCS 分开设置；SIL 等级为2 级时，逻辑运算器应与DCS 分开设置；SIL 等级为3 级时，逻辑运算器必须与DCS分开。

2）冗余设置原则：SIL 等级为1 级时，可采用单个的逻辑运算器；SIL 等级为2 级时，宜冗余设置逻辑运算器，并且要求逻辑运算器具有容错功能；SIL 等级为3 级时，逻辑运算器必须是冗余且具有容错功能的。

2.3.3 执行元件设计和选用

仪表联锁系统的最终功能都是由执行元件完成的，所以执行元件的选用和设计尤为重要，其设计和选择应遵循以下原则：

1）执行元件选择原则：应选用带电磁阀的气动切断阀和带电磁阀的气动控制阀（调节阀）。

2）独立设置原则：SIL 等级为1 级时，仪表联锁系统的执行元件（阀门）可与DCS 共用，但必须确保执行元件（阀门）优先执行联锁系统的指令，而不是DCS 的指令；SIL 等级为2 级时，联锁系统的执行元件（阀门）宜与DCS的分开设置；SIL 等级为3 级时，必须将联锁系统的执行元件（阀门）与DCS 的分开设置。

3）冗余设置原则：SIL 等级为1 级时，可采用单一执行元件（阀门）；SIL 等级为2 级时，执行元件（阀门）宜冗余配置，也可采用单一执行元件（阀门），但是执行元件（阀门）必须配置双电磁阀；SIL 等级为3 级时，执行元件（阀门）必须冗余配置，通常是在一个控制阀（调节阀）后串联一个切断阀。

在仪表联锁系统中，电磁阀是常带电的，故而应采用低功耗（≤4W）、故障安全型电磁阀，有爆炸危险的场合必须采用防爆电磁阀；电源应由其所在的联锁系统提供。

2.4 如何提高仪表联锁系统的可靠性和可用性

在仪表联锁系统中逻辑元件故障概率仅为10%，检测和执行元件故障概率占到了90%。因此，仪表联锁系统的检测和执行元件不应与其它系统混用。为提高仪表联锁系统的可靠性，减少传感器发生故障的概率，通常将多个传感器信号在逻辑运算单元中进行二选一（1oo2）、二选二（2oo2）或三选二（2oo3）逻辑表决后再参与逻辑运算，并在逻辑运算单元中设置传感器失效报警功能，传感器的取样（取源）点也应单独设置，此举可避免因传感器失效和取样（取源）点问题导致仪表联锁系统误动作。

而与仪表联锁系统关联执行元件（电磁阀）可冗余配置；正常工况电磁阀带电（正逻辑，高电平输出为1），非正常工况电磁阀失电（正逻辑，低电平输出为0）。

执行元件（电磁阀）冗余配置的方式有两种。为了提高仪表联锁系统的可用性（防止误动），可以将执行元件（电磁阀）并联使用；为了提高仪表联锁系统的可靠性（安全性，防止拒动），可以将执行元件（电磁阀）串联使用。

仪表联锁系统的输入、输出卡件具备光/电耦合、电磁隔离以及自诊断功能，为了便于检修，必须能够带电插拔；来自三选二（2oo3）配置的传感器信号必须接到3 块单独的输入卡件，输出到双电磁阀的控制信号也应来自两块独立的输出卡件；属于一个仪表联锁系统的传感器或执行元件应由同一电源供电；SIL 等级不同的仪表联锁系统共用一个传感器的信号时，应先接到SIL 等级最高的系统，然后再接到SIL 等级较低的系统（不推荐不同SIL 等级的联锁系统共用传感器）。

为了提高响应速度，避免干扰，仪表联锁系统的信号传输应采用硬接线方式，不宜采用通讯方式，应采用等电位接地方式。接入系统的I/O 点数不应超过系统总点数的50%，系统应采用双电源供电。

3 仪表联锁系统的投运和管理

随着装置规模的大型化、生产过程全流程的自动化和智能化，必须按有关标准、规范要求，确保仪表联锁系统合规、完整、完好，并实行全生命周期管理。

3.1 仪表联锁系统全生命周期

仪表联锁系统全生命周期通常分为：分析、实施和操作等3 个阶段。在分析阶段要做的是过程危险和风险分析；分配保护层安全功能；出具仪表联锁系统安全要求规格书。到了实施阶段则是仪表联锁系统设计集成，工厂测试（FAT），安装和调试，安全确认。最后，到了操作阶段就是仪表联锁系统的操作和维护以及管理（变更和停用）。

为确保仪表联锁系统的质量，在工厂测试（FAT）和安装调试过程中要检查传感器、逻辑运算器（包含I/O 卡件、CPU、通信模块等）、最终执行元件的安全等级认证、防爆等级认证、CE 认证等，还要向系统集成商索取主要部件的原产地证明文件、系统质量保证程序文件以及相应软件的安全等级认证文件。

3.2 仪表联锁系统的投运和维护

仪表联锁系统的投入使用才是其真正发挥作用的时候，也是对前期工作成效进行安全、完整性验证的绝佳机会。

3.2.1 仪表联锁系统的投运

仪表联锁系统的投运就是将安装调试好的系统投入使用。投运工作宜按回路的SIL 等级高低逐个进行，如有异常应立即重新调试，待正常后再行投运，要做好每个回路的投运记录，以此来确保每个回路都处于正常状态。

3.2.2 仪表联锁系统的维护

从仪表联锁系统的生命周期内故障分析情况来看，操作和维护阶段发生故障的概率占到了15%。在完成前述的生命周期内的工作后，仪表联锁系统的维护工作尤为重要。

针对目前过程控制领域不断出现的新技术、新工艺，采用新材料和特制新装备，存在大量新员工、技术含量高，安全风险存在未知，仪表联锁系统长时间休眠等特点，必须从预防性维护转向预测性维护。

利用工业以太网和HART 等通讯手段结合设备和系统本身的预测诊断功能查看传感器、逻辑运算器、最终执行元件的运行状态信息，替代传统的检查方式，预判仪表联锁系统的工作情况，预防计划外的停车 。

还可利用一些系统厂商开发的配套软件，把现场数据采集到工程师站或专用服务器进行分析处理，进行远程维护，以提高维护效率和自动化程度。

运用人工智能等先进技术，在线进行系统完好性检测、故障诊断、安全功能评估及修复等技术研究工作。将失控（异常）的风险降下来，以此来达到防止事故发生的目的，确保长期休眠的仪表联锁系统能够可靠动作[4]。

还要加强仪表联锁系统报警管理；优化报警人机界面、联锁逻辑和硬件配置；定期检验仪表联锁系统的布置合理性；检查EMC 电磁兼容性、接地、屏蔽、隔离功能是否良好；杜绝或减少信号干扰导致的仪表联锁系统误动作或拒动作，努力提高仪表联锁系统的投用率。

3.3 仪表联锁系统的管理

仪表联锁系统的管理是贯穿在其整个生命周期内的。仪表联锁系统的全生命周期管理是由建设单位、评审机构（专家）、设计院、系统设备供应商、施工单位、运行管理单位等多个机构协作完成的。

首先，建设单位要组织编制仪表联锁系统生命周期计划；建立企业风险可接受标准，确定风险分析方法；通过风险分析确定仪表联锁系统的功能需求，输出仪表联锁系统的安全规格书（Safety Requirement Specification），并以此来指导仪表联锁系统的设计工作[5]。

设计单位要根据仪表联锁系统安全要求技术文件（Safety Requirement Specification）设计并实现安全仪表的功能。在详细设计阶段，设计单位要明确每个仪表联锁系统的功能（或子系统）的检验测试周期和测试方法。

施工调试单位要制定调试期间的仪表联锁系统的管理制度，编制安装调试与联合确认计划，记录调试（单台仪表调试与回路调试）、确认过程和结果，并建立管理档案。

运行管理单位要制定仪表联锁系统管理制度（分级管理和作业票证管理）；编制检验测试规程和程序，明确定期检验测试周期；制定有针对性的预防性维护策略。仪表联锁系统设备完好性记录、维护维修记录、测试记录、变更信息等都要留存。

还要依据法律法规、规范标准、先进技术等，定期修订制度、程序文件、检验测试规程。

上述工作要安排专业人员实施，定期组织相关专业人员和专家进行审查。

4 结束语

仪表联锁系统作为过程控制领域的安全保护层中的重要一环，是HSE（健康、安全、环境）风险管理的重要组成部分。要在设计、安装、操作和维护管理等生命周期各阶段实施生命周期管理。具体说来就是设计与评估要并重；系统的可靠性与可用性要并重；逻辑运算单元与变送器和阀门要并重；检测和执行元件的可靠性与操作人员的素质要并重；逻辑优化和硬件改造要并重；日常操作与管理要并重。只有做好仪表联锁系统的全生命周期管理工作，才能创建过程控制领域“零事故、零伤害、零污染”的和谐局面。