皮宇

(中石化广州工程有限公司，广东 广州 510620)

仪表的故障模式是指现场仪表功能失效或信号传输失效后的整个回路的处理方式，可参考IEC 60812中的术语定义[1]。当前仪表大多数是智能仪表，在供电正常条件下，具有自诊断功能，能够在线发现多种故障状态，例如，膜盒温度超温、放大器元件故障、超压等，当控制系统配置先进的资产管理系统时，可通过HART协议或FF总线通信方式上传诊断信息，表明此时仪表故障模式不能正常工作。但是对于过程控制系统DCS及SIS，这些仪表可能在工艺控制回路或SIS中充当重要的角色，若不能及时判断仪表故障将导致严重后果，如何处理这些仪表故障也与安全息息相关。

1 过程控制系统如何识别现场仪表故障

按照NAMUR NE 43标准，正常工作时仪表输出到控制系统的电流信号为4～20 mA，当智能变送器自诊断到故障时，可以依据NAMUR NE 43标准改变输出信号范围使控制系统判断出其处于故障状态，根据NAMUR NE 43标准信号处理方式如图1所示。

图1 根据NAMUR NE 43标准信号处理方式示意

变送器正常输出电流为4～20 mA时，说明仪表工作于正常的标定范围。如果输出电流略微越限，例如在3.8 mA，或20.5 mA时，说明变送器依然可以正常测量线性化工艺变量并输出。例如压力信号略微有一点超压超过量程，此时压力变送器并不认为是故障，继续正常工作，并输出20.5 mA 的电流信号。同时，控制系统也检测到了该越界信号，也不认为变送器有故障，仅仅是在线性化处理时屏蔽了超过标定量程以外的信号，此时控制系统人机界面上出现压力位于最高量程上限，但是工程师站在组态模块的底层仍然可以看到20.5 mA的信号，只是无需处理。

NAMUR NE 43标准定义的“burn out”指故障门槛电流，低限为3.6 mA，高限为21 mA，当变送器发生断偶或环境温度高于正常工作范围时，变送器自我诊断到故障。此时，输出电流信号可以被强制趋向于两个极端，可以上升、也可以下降，但是一定在标准规定的门槛电流以外，可能到2 mA，也可能到21.5 mA以上。控制系统厂家一般也按照该标准识别故障，很多系统将故障门槛电流高限设置为20.8 mA也基本吻合NAMUR NE 43标准，控制系统检测到变送器信号不大于故障门槛电流底限或不小于故障门槛电流高限时，控制系统将变送器信号处理为故障信号。也有特殊情况，业主根据现场仪表的情况，将门槛值调得很宽，避免控制系统过激动作，增加可用性。根据现场仪表的工作状态具体分析，一般多用于非常规特殊仪表，例如雷达液位计等。

2 变送器故障模式时电流的走向

智能变送器一旦设置好故障信号走向，后期不宜修改。该信号走向的设计，相对来说，要具体结合DCS，SIS的品牌型号以及工艺的具体特性来确定。

1)对于DCS，没有必要产生多余工艺误报警，当断线时，即使智能变送器也无法输出高电流，电流走向一定是趋于低方向，所以通常所有的故障模式全部按照故障最大概率——断线故障处理，变送器全部按照“走低”模式设置，此时如果工艺有低限报警，将被触发，但是高限报警将不会触发，因为工艺并未真实改变，仅仅是仪表故障而已。

2)对于SIS，相对来说比较复杂，设置不准确将对安全有一定的影响。系统模拟输入模块检测到现场变送器故障时，有两种选择，既可以选择保持不触发联锁动作，也可以选择直接触发。此时要全面综合兼顾安全仪表功能的架构，以及安全仪表功能的可用性和可靠性综合判断。

以下介绍几种设计思路供参考。

2.1 按照故障触发联锁思路设计

在该模式下，SIS组态所有仪表故障全部触发联锁。此时，安全仪表功能的可靠性增加，可用性降低，可能过于频繁地误停车，影响工艺的经济性。此时，现场仪表推荐设计为容错的架构来提高可用性，例如： 采用“2oo3”架构，单台变送器故障时电流信号“走低”或“走高”，SIS都触发联锁，但因为架构容错，不一定停车。

当有报警记录时，此时应使变送器电流的走向与联锁的设定方向保持一致，例如高高联锁时，输出电流“走高”，低低联锁时，输出电流“走低”。易于检查仪表的历史趋势，判断原因简单，大多数国内项目都采用该设计方式，由此可见增加非必要的工艺报警对工艺操作都是无益的。

2.2 按照故障触发架构降级思路设计

该设计的基础是控制系统可以实现表决架构自动降级处理。例如，有自动降级功能的“2oo3”模块，即检测到仪表故障时，仪表的信号走向可背离联锁方向，不触发联锁，但是容错的表决架构降级，使故障仪表在表决架构中失效被安全仪表功能屏蔽，不允许其参与表决，原“2oo3”降级为“1oo2”，继续利用其他正常信号仪表进行表决，故障表归类于故障的管理动作，不影响工艺生产，但是该降级与是否自动旁路以及表决架构有关，自动旁路和故障识别以及架构降级功能见表1所列。

表1执行的条件是SIS有能力检测故障，智能仪表基本都有内部诊断功能，而且都符合NAMUR NE 43的标准，变送器的输出需设定为正作用即测量值增大时，输出电流也增大。

2.3 现场仪表非智能仪表并用于安全仪表功能

当仪表与SIS匹配不具备检测信号故障状态，仪表输出为模拟量时，仪表不能设置自动旁路，也不能同时兼具高高及低低联锁功能，除非这两个联锁的动作一致，当仪表用于低低联锁时，仪表输出需设置为正作用，用于高高联锁时，仪表输出需设置为反作用，即与断线故障处理方式一致，故障触发联锁。

2.4 当仪表出现断路或短路故障

当变送器断路或掉电时，检测到信号电流在500 ms时间内从当前值降到0，现象为直接触发该信号低低联锁。反之，短路引起的电流突升也一样触发高高联锁，此时仪表本身可能没有问题，是线路出了故障，一般短时间故障不可恢复，仪表设置任何信号走向都没有意义且作用也不大，此时控制系统也无需特殊处理，按照电流走向动作即可。

表1 自动旁路和故障识别以及表决架构降级功能

2.5 故障后报警的处理

当控制系统检测到现场仪表输出为异常信号时，需根据该仪表的用途来决定报警的处理方式。一般可列入报警抑制范畴，动态监控其是否恢复，规定时间内不报警，等待被维修，操作员画面提示异常。

2.6 控制系统增加单独诊断报警信号

智能仪表可以在自诊断失效时，单独输出干触点信号给控制系统，当该仪表非常重要且难于利用表决架构容错时，控制系统无需通过模拟量判断，可直接使用该故障硬接点信号联锁动作，多用于安全性要求非常高的场合。

3 注意事项

当控制系统通过电流辨识现场仪表状态时，应注意以下几点：

1)注意安全栅的配置及远距离传输时线路阻抗对回路电流的影响。例如，距离很远，回路电阻很大，电流不可能超过21 mA时，齐纳安全栅可能也影响回路阻抗时，电流可能永远无法上升到控制系统设定的故障门槛电流高限，即便此时变送器已经按照输出“走高”处理，控制系统也无法识别故障。

2)如果按照架构降级思路设计，仪表故障处理时间是有限制的，如果超时，将产生更高级别的报警或动作，设定时间及动作需结合工厂的管理水平设定。

3)当使用架构降级时，尤其是第二次降级，可能变更最低硬件故障裕度(HFT)，降级期间可能影响SIL等级对硬件结构的约束[2]。

4 结束语

智能化仪表及控制系统的使用，对于提高未来智能化工厂的管理水平提供了更多的选择。

变送器失效模式(failure mode)的设计，不仅是现场变送器的设计，还一定要包含控制系统的组态及工厂管理模式统一考虑。本文提供的几种设计思路可有选择使用，当工厂自动化管理水平较高且安全许可情况下，可偏重选择2.2，2.5节的设计思路；当需要简单实施且偏重安全时，可偏重选择参考2.1，2.3，2.4，2.6节的设计思路，供同行参考。