徐小粘

摘要：本文简要介绍了安全仪表系统的结构，从系统现场信号检测，逻辑运算控制系统，执行器部分三个方面，对提高安全仪表系统的安全性与可靠性进行了分析，并提出了相关解决措施及建议。

关键词：仪表联锁;可靠性分析措施

安全仪表系统（简称为SIS系统）作为石油化工企业仪表控制系统的重要成员，在生产过程控制中的重要性不言而喻。随着炼化企业仪表自动化程度的提高，目前大型生产装置或重点装置的生产控制都采用了过程控制系统（DCS）加安全仪表系统（SIS）以及机组控制系统（CCS）的仪表控制系统组合方式，因CCS控制系统功能包含机组联锁停车功能，在本文中将CCS系统的联锁停车控制功能部分与SIS系统称一作为安全仪表系统来分析与探讨。安全仪表系统用于在生产装置的开车、停车阶段，运行以及维护操作期间，对生产以及生产设备，以及环境影响提供安全保障。当生产装置或机组设备运行参数异常，以及其他因素引起的信号异常，安全仪表系统会根据接受到的异常信号，通过系统逻辑控制器进行判断、运算，并根据设定的逻辑程序，发出相应的联锁逻辑指令，使生产装置产生安全联锁动作或停车，将装置的生产损失降到最低，保护设备、机泵的安全。

一、 安全仪表系统的定义与结构

（一）安全仪表系统的定义与分类

安全仪表系统是用来对装置生产进行自动监视并实现自动操作的一个重要措施。当设备、管道中的某些工艺参数超限或运行状态发生异常时以灯光和音响引起操作人员注意，人为或自动地改变操作条件，驱动执行器动作，使生产过程及设备处于安全状态，以免造成巨大的经济损失。安全仪表系统就是能确保生产过程及设备运行安全的控制系统。

在我厂用的较多的安全仪表系统是：Honeywell的FSC、SM系统、CRCS系统，Triconex公司的Tricon系统，GE公司的90-30系列PLC，ICS公司的Trusted等。

SIS系统具有高可靠性、可应用性、可维护性，并且在控制系统内部出现故障时，仍是安全的。IEC-61508将过程安全所需要的安全度等级划分为4级（SIL1- SIL4）。目前主流的安全仪表控制系统能够达到SIL3级。但安全仪表系统包括一次检测元件、安全仪表逻辑控制系统、执行器三部分组成，仅仅是安全仪表逻辑控制系统达到SIL3级，不能就认为整个安全儀表系统就是SIL3级别的安全系统。SIS安全仪表系统通过双重冗余或者三重模块冗余（TMR），使SIS系统具备高可靠性和可应用性。通过系统的自诊断，提高系统的可维护性。

目前在用的安全仪表系统从控制对象来区分，可分为装置安全仪表系统（SIS）或装置紧急停车系统（ESD），以及机组控制系统。

（二） SIS系统的结构

SIS系统最初是来自于继电器系统，随着计算机技术、大规模集成电路、通信技术的发展，发展到了目前的可编程控制系统。SIS系统的组成大体可分为现场检测、逻辑运算控制系统、执行器三部分。如图1所示。

1.现场检测部分

主要是由现场变送器、温度检测元件（热电偶，铂电阻）、液位变送器（双法兰变送器，沉筒液位计等）或液位开关、机组轴系仪表（轴位移，轴振动，转速等）、阀门回讯等组成。从仪表联锁信号来说，除了上述现场检测仪表外，还有来自电气专业传送过来的机泵、压缩机、鼓风机、引风机等设备的运行状态信号，以及DCS、CCS等其他仪表控制系统输出的联锁停车信号。

2.逻辑运算控制系统

即是我们常见的安全仪表控制系统，如Honeywell的FSC、SM系统，HIMA的PES系统，Triconex公司的Tricon系统，GE公司的90-30系列PLC，ICS公司的Trusted等。虽然各自公司的SIS系统各不相同，但基本都是由输入卡件、CPU处理器、输出卡件、通信卡件、电源模块、上位机（工程师站、操作员站）、安全栅柜、继电器柜等组成。其软件一般主要是由下位机组态编程软件和上位机监控软件组成，具备数据显、报警、系统诊断，与第三方控制系统通讯、事件记录、数据交互等功能。

3.执行器部分

作为安全仪表系统逻辑输出最终执行者，是安全仪表系统中危险性最高的设备。安全仪表系统在装置运行状况正常时，是静态的，输出不动作，即执行器部分长期处于一个固定的动作状态，直到联锁触发后才动作。故联锁系统的执行器设备要具有很高的安全级别。现场的执行器主要是带电磁阀附件的切断阀、调节阀，并且满足故障安全型的要求。除此之外，还包括继电器柜的继电器。联锁启动或停止电气设备，是通过继电器隔离并输出触点信号，接入电气设备的电气控制回路中，控制现场机泵等电气设备的启停。

二、影响安全仪表系统可靠性的主要原因

安全仪表系统作为一个系统，涵盖了现场检测、逻辑运算控制系统、执行器三部分。逻辑运算控制系统还涉及到与DCS控制系统，以及其他PLC、SIS的通信等内容。现从下面几个部分对影响安全仪表系统可靠性的原因进行分析。

（一）现场仪表测量信号故障

现场仪表作为SIS系统的输入信号，是SIS系统触发联锁的条件。现场测量仪表的常见故障如下：压力开关故障，引压管泄露，现场仪表接线，接线端子松动、腐蚀、接触不良，信号线断路、短路，输入端子保险损坏，变送器零点漂移过大，线性度变差，变送器泄露，膜盒腐蚀，电路板故障等，双法兰变送器法兰膜片腐蚀失效等。

（二）安全仪表控制系统故障

安全仪表控制系统种类比较多，各个控制系统硬件设备，网络架构均不相同。一般来说，安全仪表系统本身出现的故障概率较低。常见的SIS控制系统故障如下：

输入FTA端子板通道故障，端子板老化，输入卡件故障，输出卡件故障，输出FTA通道故障，系统网络故障，安全故障，控制器故障，操作站死机，黑屏，以及操作站PC机故障，以及操作站、控制系统感染病毒，系统电压波动造成现场阀门，机泵误动作等。

（三）执行器部分故障

执行器部分的故障主要是电磁阀不动作，开关阀不动作或者开关不到位，带电磁阀附件的调节阀不动作，或误动作，阀门关不严存在内漏，阀门填料处外漏，閥盖与阀体连接处泄露，阀体存在沙眼造成泄露;或者继电器触点不动作，去电气继电器损坏误动作等。

三、提高安全仪表系统可靠性的措施

（一）选择可靠性高的仪表控制系统

目前，随着电子技术的飞速发展，各种安全仪表系统不断更新换代，产品型号越来越多，尤其是仪表控制系统的国产化，可供选择的安全仪表系统种类比较多，给产品选型带来较大的困难。一般根据实际经验，要根据生产装置的具体防护等级，选择技术先进、性能安全可靠、在同行业或同类装置中取得良好业绩和口碑的安全仪表系统。一般要遵循以下原则：

1.所选系统要取得SIL安全等级认证，在炼化企业一般采用具有SIL 3等级的SIS系统。

2.系统要具备硬件和软件自诊断，以及报警输出、SOE记录功能。控制器采用双冗余、三重冗余或四重冗余结构，具备在线更换卡件处理故障功能。

3.系统具有独立完成安全保护功能。具备与其他控制系统通信功能，有通用的通信接口。

针对目前装置安全仪表系统部分出现问题较多的是IO卡件报警、网络中断、操作站PC坏等故障情况，提出相关建议及措施：

（1） 对有故障报警的IO卡件分析原因，确因卡件本身故障，要及时联系厂家对卡件进行检测，找出故障原因。若同类型卡件频繁出现报警故障，要考虑更换性能更稳定的同厂家同类型其他型号卡件。

（2） 安全仪表系统供电电源要求有稳定的UPS电源供应，电源采取冗余配置。防止因电源失电或者电压波动范围过大，使控制系统失电或现场阀门失电动作，造成装置非计划停工，从而带来经济损失。

目前采用电源配置方案主要有：市电+UPS、双UPS电源、双UPS+快切电源、市电+双UPS+快切电四种供电方式，建议新建装置最好采用市电+双UPS+快切电方式。在设计电源配置过程中，要充分考虑到现场仪表功率负荷问题。如若现场有大功率仪表运行，要考虑单独增加一路UPS供其工作，与仪表控制系统电源独立开来。如某柴油加氢装置因新增一台在线硫分析仪，该分析仪实际运行功率达到8KW，利用机柜室电源柜的UPS2对其供电后，导致UP2电流达到20A，且波动幅度达到2A，而UPS1电流指示仅为10A。分析是该分析仪加热器功率大，且是间歇式工作，导致其供电UPS2电流大幅波动。

（3） 安全仪表系统要有可靠、通用的通信接口。目前控制系统与上位机通信采用以太网形式进行连接，与其他DCS、PLC连接主要采用RS485通信。根据联锁系统独立原则，建议与其他系统进行通信加防火墙等病毒隔离措施，防止因其他系统的病毒入侵安全仪表系统，导致联锁误动作。安全仪表系统组态使用专用U盘备份，做到专人保管。

安全仪表系统软件建议增加数据缓冲和数据恢复功能。系统具有网络检测机制，一旦检测到网络中断故障，系统数据库接口软件自动在系统中开辟内存和硬盘空间缓存实时数据，同时检测网络是否连通，待通信正常后，接口软件对数据进行整合，并按时间顺序重新发送缓存的数据，从而保障安全仪表系统数据通信的完整性。

（4） 联锁信号分布要通过风险分散来提高安全仪表系统的可靠性。对参与联锁的仪表信号点，如二取二、三取二联锁仪表信号点，要在组态里分布到同类型的不同IO卡件中去，避免因某块IO卡故障或对应的FTA端子板故障造成联锁停车事故。

（5） 操作站PC机要有同型号的备用机，并做好硬盘备份。目前工业用PC机更新换代太快，现有的安全仪表系统，以及组态监控软件不能满足新PC机的安装要求，常导致操作站PC 机损坏后，无合适机型来安装软件恢复其操作站功能。要做好整个硬盘备份工作，减少操作站恢复工作程序及降低工作难度。

（二）提高联锁信号的可靠性

现场检测仪表作为联锁信号的输入源，对联锁系统的可靠性影响很大。据相关安全仪表系统故障的随机概率分析，在系统总故障中，95%是来自外部故障，只有5%故障发生在控制器系统。可见要提供安全仪表系统的可靠性，最重要的提高现场仪表与阀门工作性能的可靠性。

1.尽量少选用触点开关仪表

国产触点开关仪表可靠性差，不适合做为安全仪表系统的测量元件，进口触点开关工作性能稳定，动作可靠，但存在长期使用后元件老化，可靠性下降。一般尽量用性能更稳定的压力变送器、热电偶、热电阻代替压力开关、温度开关。通过在组态里设定压力、温度量程以及联锁设定点，以内部软触点实现联锁信号输入功能。克服了现场触点开关因现场环境恶劣导致触点开关功能性能差等不利因素，避免了联锁误动作。如避免不了用触点开关仪表，应采用常闭触点开关仪表。

2.减少仪表联锁信号的干扰问题

仪表信号干扰有两个来源：分别是仪表电子元件抗干扰性差和仪表未可靠接地。

针对前种情况，因选用性能更好的仪表来代替。在实际生产中，一般会碰到仪表信号出现阶跃信号，若经判断是干扰信号，可适当对信号加延时，避免因信号干扰造成联锁误停机。如某重整装置再生风机K8301在一段时间内经常发生风机振动大导致联锁停机事故发生，该联锁信号是一取一联锁停机，根据判断应该是该振动探头不耐电机侧的高温，导致该振动探头信号不稳定所致，虽做防高温措施，但效果不理想。经过分析，决定在逻辑程序组态里，对其信号延时2s再参与联锁，投入使用后，未再发生干扰信号联锁停机事故。

仪表信号线要有可靠的接地措施。一般采取在仪表室内对仪表信号线的屏蔽进行接地，保证接地的统一性，避免多点接地造成接地间存在电势差。对参与联锁的仪表，其信号线要避免采用多芯电缆进行接线。应采用独立的两线制或三线制带屏蔽软电缆连接。如某柴油加氢装置机组信号电缆采用多芯电缆连接，经常因联锁信号误报导致联锁停机事故。后改为1*2*1.5屏蔽软电缆连接后，未再有类此事故发生。

3.对联锁仪表采用冗余配置

根据SIL等级要求，应该对参与联锁的仪表进行冗余配置。SIL2等级SIS系统宜采用冗余的传感器，SIL3等级SIS系统应采用冗余的传感器。采取二取二、三取二方式，保证仪表信号采集的可靠性，避免因现场单台仪表失电或故障引起系统联锁。

4.尽量减少仪表信号的中间转换环节

根据SIS系统的安全独立性原则，要尽量避免DCS系统或其他系统与SIS系统的连接。因DCS处理的信息多，测量点多，控制运算量大，与SIS系统的CPU扫描周期，执行周期不同，容易产生故障信号发出。参与联锁的仪表信号要直接从现场一次测量仪表采集，避免从DCS控制系统采集联锁信号做仪表联锁系统的输入信号。若DCS需要采集该联锁仪表信号，可在机柜内采取一输入两输出安全栅实现，或者通过与SIS系统通信来获取仪表信号数据。

尽量减少室内端子排的连接，根据装置特点，通过安全栅或继电器隔离后，直接接入控制系统的FTA端子板。对于联锁仪表的信号线，要避免通过现场接线箱接入室内，降低仪表信号故障率。

（三）提高执行器部分的可靠性

根据安全仪表联锁系统要求，对现场的电磁阀、带电磁阀的调节阀、切断阀要进行适当冗余配置。

1.对关键的切断回路要串联安装2台切断阀。如某加氢装置循环氢压缩机防喘振阀采用防喘振电动阀MV11803和防喘振调节阀FV17001串联一起参与联锁控制。

2.对关键的放空回路，其切断阀的电磁阀要冗余配置。如某加氢装置紧急放空阀XV11701采用双电磁阀配置。对关键的切断阀要设置备用储风罐，以保证因装置无风情况下保证阀门运行到安全状态，保障装置生产、设备及人身安全。

3.电磁阀要选择故障安全型，且具备防爆功能、低功耗。一般室外电磁阀供电采用从室内仪表控制系统供24V DC，若电磁阀功率大，考虑到线路电阻、继电器电阻等因素，会导致电磁阀驱动电压不高，易造成电磁阀误动作。

4.对参与电气机泵启停的联锁输出信号点，要采取中间继电器对信号进行隔离，其继电器设置为故障安全性。

5.一個DO输出点对应一个继电器的一对触点，严禁一个DO点输出，驱动一个继电器的多个触点输出，分别控制现场的不同阀门。

四、结语

影响仪表安全仪表系统可靠性的因素不只是本文所列举的部分，但基本可以从现场检测、逻辑控制系统、执行器三部分进行分析，不断在安全仪表系统的使用过程中发现问题，解决问题，总结相关经验，提出解决措施。除了在系统设计上完善相关措施外，更要求在安全仪表系统的维护上严格遵守相关规章制度，规范作业程序，加大巡检力度，重视联锁系统报警，提前发现相关仪表信号异常点，以及安全仪表控制系统卡件，网络等故障并立即处理，避免因联锁停车造成非计划停工，减少经济损失。

参考文献：

[1]王子平.紧急停车联锁系统的可靠性设计[J].炼油化工自动化，1997（1）：24-30.

[2]王树青，乐嘉谦，自动化与仪表工程师手册[M].北京：化学工业出版社，2010.