淺談儀表聯鎖系統的設計和應用

魯亞雄

（山西天然氣有限公司，太原 030000）

0 引言

儀表聯鎖系統是一種機電一體化自動操控系統，其廣泛應用于能源、化工、電力、交通、冶金、環保、航空、航天、裝備制造等領域。

設置其的主要目的是用于監視生產、運行過程，在危險條件出現時自動采取相應措施，使有關設備、設施按照既定條件或程序完成操控任務，及時消除異常情況，阻止事故的產生和蔓延，保護現場工作人員及周邊群眾的安全，防止設備、設施損壞，防止周邊環境被污染。

儀表聯鎖系統是石油、化工等過程控制領域必不可少的安全設施。安全儀表系統（Safety Instrument System，簡稱SIS 系統）是其在這些行業的核心應用。一般來說，安全聯鎖系統（Safety Interlock System）、緊急停車系統（Emergency Shutdown System）、安全關聯系統（Safety Related System）、火災及氣體檢測系統（Fire and Gas System）、儀表保護系統（Instrument Protection System）等都屬于SIS 系統范疇。

1 簡述SIS系統

SIS 系統是利用儀表聯鎖系統來實現安全功能的一種自動控制系統，它一般由傳感器、邏輯運算器、最終執行元件及相應軟件等構成[1]。

SIS 系統在生產裝置的開車、停車階段，運行以及維護操作期間，對人員健康、裝置設備及環境提供安全保護[2]。

SIS 系統是“靜態”系統。正常工況時，始終監視生產裝置的運行，系統輸出不變，對生產過程不產生影響；非正常工況時，無論是生產裝置本身出現的故障危險，還是人為因素導致的危險以及一些不可抗拒因素引發的危險，其都應立即作出正確反應并給出相應的控制信號，使生產裝置局部或全部停車，阻止事故的發生和擴散，將危害減少到最小。

SIS 系統應具備高的可靠性（Reliability)、可用性（Availability）和可維護性（Maintenanceability）[2]。要求SIS 系統運行時，當自身出現問題后還能確保受其保護的生產過程及設備、設施處于相對安全的狀態。

2 儀表聯鎖系統設計的一些要求和注意事項

2.1 設計的一些基本要求

聯鎖點的數量應在滿足安全生產運行要求的前提下盡量做到少而精；聯鎖內容一定要符合安全生產運行要求；聯鎖系統必須具備高可靠性、高穩定性；聯鎖系統必須符合使用環境要求；聯鎖系統應便于安裝和維護。

2.2 儀表聯鎖系統的設計安全審查與風險分析

儀表聯鎖系統是為安全生產運行服務的。在項目的工藝包（也就是工藝流程）設計完成后，必須按國家和行業的相關標準對照工藝流程圖（PFD）、管道儀表流程圖（PID）以及物料平衡表中的工藝參數等進行系統的分析，組織或聘請相關行業的安全、工藝、設備、消防、環保、自控、電氣、造價等資深專業人士共同分析制定儀表聯鎖方案，關鍵是要確保工藝報警聯鎖停車方案的合理性。有時，好的軟件（方案）比好的硬件（設備）顯得更為重要。

2.2.1 危險與可操作性分析

通過HAZOP 分析可以發現，擬采用的工藝包設計是否存在缺陷，工藝過程及操作規程是否具有可操作性及危害性。通常采用引導詞（空白、較多、較少、與……一樣、部分、相反、除此以外）與相關工藝參數（流量、壓力、溫度、液位、相態）相結合的方式，按流程進行系統分析。由資深專業人士和設計院及建設單位的各專業負責人共同探討，逐張對管道儀表流程圖（PID）進行審查。找出正常與非正常工況下可能產生的問題以及出現問題的原因、后果，并針對問題制定相應的防范措施。

2.2.2 最低合理可行原則

ALARP 原則，俗稱“二拉平”原則。ALARP 原則是根據風險矩陣識別關鍵的設施、設施和操作的風險水平。它將風險水平分為3 個區域：不允許區域（紅色區）、ALARP 區域（黃色區）、可接受區域（綠色區）。當設備和設施位于紅色和黃區時，必須將風險降低到可接受水平，當然不能不惜成本降低風險，一定要論證其是否合理，還需要對降低風險方案的花費進行比選和優化，可以通過繪制方案的花費與風險曲線來完成這項工作。

2.2.3 人機工效學分析

為保證操作人員在最佳狀態下發揮能力和提高效率，創造良好的人機工作界面，體現人性化設計理念[3]，在設計之初就對儀表聯鎖系統進行人機工效學分析是非常必要的。人機交互場景大量存在于生產過程控制工作中，例如，操作電氣開關、閥門，在中控操作臺上點擊鼠標、鍵盤，瀏覽操作畫面等。往往由于設備、設施的布置不符合人機功效學，一方面易造成操作人員不適，不能方便地從控制系統獲取信息，從而加大了發生事故的風險；另一方面還會導致設備維修困難或維修質量不高，增大發生事故概率。

儀表聯鎖系統的人性化設計的一些具體要求是，人機接觸界面一定要盡可能友好；現場儀表布置應清晰易讀。多個裝置（單元）處于同一個過程控制系統時，布局應盡量類似，為的是一致性好，但是一定要保證能夠明確區分開，以減少操作失誤。

在儀表聯鎖系統設計時引入人機工效學理念，可以在生產運行裝置的整個生命周期內降低發生事故的風險，提高安全管理水平，增進效益。

2.2.4 安全保護層分析

LOPA 分析是一種半定量工藝危害分析方法技術，是溝通定性分析和定量分析的重要橋梁與紐帶。在通常情況下，完成對工藝包設計的HAZOP、檢查表等定性的危害分析后，如果得到的結果中有太過復雜和危險的部分以及SIS 系統部分，那么此時就需要用LOPA 分析法進行定量分析了。

典型的過程生產裝置的獨立保護層呈“洋蔥”形分布，通常從內到外設計為：工藝過程、DCS 控制系統、操作人員報警及干預、SIS 系統、物理防護（安全閥）、釋放后物理防護（圍堰）、工廠緊急響應及工廠周邊應急響應等。

LOPA 分析法是通過集中研究后果嚴重和高頻發事件，能夠識別和揭示所有引發事件和深層原因，集中了定性和定量分析的優點。通過LOPA 分析來確認各引發事件有效的保護層，可以合理地管理那些可能不起作用的保護層，使得用于降低風險的資源能夠有效地分配。LOPA 分析法很容易理解，客觀性和操作都很強，非常適用于較復雜事故場景的分析。

2.3 儀表聯鎖系統工程設計應注意的問題

整個儀表聯鎖系統的安全完整性水平是由其構成的3個單元中最低的SIL 等級所決定的，這是過程生產裝置中使用儀表聯鎖系統時必需關注的問題。

2.3.1 傳感器的設置及選用

傳感器的設置及選用應遵循如下原則：

1）獨立設置原則。SIL 等級為1 級時，聯鎖系統的傳感器可與DCS 系統共用；SIL 等級為2 級時，聯鎖系統的傳感器宜與DCS 系統分開設置；SIL 等級為3 級時，聯鎖系統的傳感器應與DCS 分開設置。

2）冗余設置原則。SIL 等級為1 級時，傳感器無需冗余；SIL 等級為2 級時，傳感器宜冗余設置；SIL 等級為3級時，傳感器必須冗余設置。

系統的安全性（可靠性）與可用性是互相矛盾的。優先考慮安全性時，宜采用“或”邏輯；優先考慮系統的可用性時，宜采用“與”邏輯；當二者均需保證時，宜采用“三取二”邏輯。開關型傳感器的可靠性遠不及變送器，故而各類本安型變送器（壓力、差壓、差壓流量、差壓液位、溫度）是首選，SIL 等級為2、3 級時，傳感器的電源應由其所在的聯鎖系統提供，該聯鎖系統要單獨供電，有些規范甚至要求SIS 系統要采用雙路UPS 供電。

2.3.2 邏輯運算器的設計和選用

隨著過程生產領域的不斷發展，儀表聯鎖系統I/O點數越來越多，邏輯功能越來越復雜，儀表聯鎖系統的邏輯運算器多采用可編程電子控制系統（Programmable Electronic System）。可編程電子控制系統可以方便地與DCS、PLC、MES（Manufacturing Execution System 制造企業生產過程執行管理系統）等通訊，用于儀表聯鎖系統的可編程電子控制系統須經TüV-GS 認證。

邏輯運算器的設計和選用應遵循以下原則：

1）獨立設置原則。SIL 等級為1 級時，邏輯運算器宜與DCS 分開設置；SIL 等級為2 級時，邏輯運算器應與DCS 分開設置；SIL 等級為3 級時，邏輯運算器必須與DCS分開。

2）冗余設置原則：SIL 等級為1 級時，可采用單個的邏輯運算器；SIL 等級為2 級時，宜冗余設置邏輯運算器，并且要求邏輯運算器具有容錯功能；SIL 等級為3 級時，邏輯運算器必須是冗余且具有容錯功能的。

2.3.3 執行元件設計和選用

儀表聯鎖系統的最終功能都是由執行元件完成的，所以執行元件的選用和設計尤為重要，其設計和選擇應遵循以下原則：

1）執行元件選擇原則：應選用帶電磁閥的氣動切斷閥和帶電磁閥的氣動控制閥（調節閥）。

2）獨立設置原則：SIL 等級為1 級時，儀表聯鎖系統的執行元件（閥門）可與DCS 共用，但必須確保執行元件（閥門）優先執行聯鎖系統的指令，而不是DCS 的指令；SIL 等級為2 級時，聯鎖系統的執行元件（閥門）宜與DCS的分開設置；SIL 等級為3 級時，必須將聯鎖系統的執行元件（閥門）與DCS 的分開設置。

3）冗余設置原則：SIL 等級為1 級時，可采用單一執行元件（閥門）；SIL 等級為2 級時，執行元件（閥門）宜冗余配置，也可采用單一執行元件（閥門），但是執行元件（閥門）必須配置雙電磁閥；SIL 等級為3 級時，執行元件（閥門）必須冗余配置，通常是在一個控制閥（調節閥）后串聯一個切斷閥。

在儀表聯鎖系統中，電磁閥是常帶電的，故而應采用低功耗（≤4W）、故障安全型電磁閥，有爆炸危險的場合必須采用防爆電磁閥；電源應由其所在的聯鎖系統提供。

2.4 如何提高儀表聯鎖系統的可靠性和可用性

在儀表聯鎖系統中邏輯元件故障概率僅為10%，檢測和執行元件故障概率占到了90%。因此，儀表聯鎖系統的檢測和執行元件不應與其它系統混用。為提高儀表聯鎖系統的可靠性，減少傳感器發生故障的概率，通常將多個傳感器信號在邏輯運算單元中進行二選一（1oo2）、二選二（2oo2）或三選二（2oo3）邏輯表決后再參與邏輯運算，并在邏輯運算單元中設置傳感器失效報警功能，傳感器的取樣（取源）點也應單獨設置，此舉可避免因傳感器失效和取樣（取源）點問題導致儀表聯鎖系統誤動作。

而與儀表聯鎖系統關聯執行元件（電磁閥）可冗余配置；正常工況電磁閥帶電（正邏輯，高電平輸出為1），非正常工況電磁閥失電（正邏輯，低電平輸出為0）。

執行元件（電磁閥）冗余配置的方式有兩種。為了提高儀表聯鎖系統的可用性（防止誤動），可以將執行元件（電磁閥）并聯使用；為了提高儀表聯鎖系統的可靠性（安全性，防止拒動），可以將執行元件（電磁閥）串聯使用。

儀表聯鎖系統的輸入、輸出卡件具備光/電耦合、電磁隔離以及自診斷功能，為了便于檢修，必須能夠帶電插拔；來自三選二（2oo3）配置的傳感器信號必須接到3 塊單獨的輸入卡件，輸出到雙電磁閥的控制信號也應來自兩塊獨立的輸出卡件；屬于一個儀表聯鎖系統的傳感器或執行元件應由同一電源供電；SIL 等級不同的儀表聯鎖系統共用一個傳感器的信號時，應先接到SIL 等級最高的系統，然后再接到SIL 等級較低的系統（不推薦不同SIL 等級的聯鎖系統共用傳感器）。

為了提高響應速度，避免干擾，儀表聯鎖系統的信號傳輸應采用硬接線方式，不宜采用通訊方式，應采用等電位接地方式。接入系統的I/O 點數不應超過系統總點數的50%，系統應采用雙電源供電。

3 儀表聯鎖系統的投運和管理

隨著裝置規模的大型化、生產過程全流程的自動化和智能化，必須按有關標準、規范要求，確保儀表聯鎖系統合規、完整、完好，并實行全生命周期管理。

3.1 儀表聯鎖系統全生命周期

儀表聯鎖系統全生命周期通常分為：分析、實施和操作等3 個階段。在分析階段要做的是過程危險和風險分析；分配保護層安全功能；出具儀表聯鎖系統安全要求規格書。到了實施階段則是儀表聯鎖系統設計集成，工廠測試（FAT），安裝和調試，安全確認。最后，到了操作階段就是儀表聯鎖系統的操作和維護以及管理（變更和停用）。

為確保儀表聯鎖系統的質量，在工廠測試（FAT）和安裝調試過程中要檢查傳感器、邏輯運算器（包含I/O 卡件、CPU、通信模塊等）、最終執行元件的安全等級認證、防爆等級認證、CE 認證等，還要向系統集成商索取主要部件的原產地證明文件、系統質量保證程序文件以及相應軟件的安全等級認證文件。

3.2 儀表聯鎖系統的投運和維護

儀表聯鎖系統的投入使用才是其真正發揮作用的時候，也是對前期工作成效進行安全、完整性驗證的絕佳機會。

3.2.1 儀表聯鎖系統的投運

儀表聯鎖系統的投運就是將安裝調試好的系統投入使用。投運工作宜按回路的SIL 等級高低逐個進行，如有異常應立即重新調試，待正常后再行投運，要做好每個回路的投運記錄，以此來確保每個回路都處于正常狀態。

3.2.2 儀表聯鎖系統的維護

從儀表聯鎖系統的生命周期內故障分析情況來看，操作和維護階段發生故障的概率占到了15%。在完成前述的生命周期內的工作后，儀表聯鎖系統的維護工作尤為重要。

針對目前過程控制領域不斷出現的新技術、新工藝，采用新材料和特制新裝備，存在大量新員工、技術含量高，安全風險存在未知，儀表聯鎖系統長時間休眠等特點，必須從預防性維護轉向預測性維護。

利用工業以太網和HART 等通訊手段結合設備和系統本身的預測診斷功能查看傳感器、邏輯運算器、最終執行元件的運行狀態信息，替代傳統的檢查方式，預判儀表聯鎖系統的工作情況，預防計劃外的停車 。

還可利用一些系統廠商開發的配套軟件，把現場數據采集到工程師站或專用服務器進行分析處理，進行遠程維護，以提高維護效率和自動化程度。

運用人工智能等先進技術，在線進行系統完好性檢測、故障診斷、安全功能評估及修復等技術研究工作。將失控（異常）的風險降下來，以此來達到防止事故發生的目的，確保長期休眠的儀表聯鎖系統能夠可靠動作[4]。

還要加強儀表聯鎖系統報警管理；優化報警人機界面、聯鎖邏輯和硬件配置；定期檢驗儀表聯鎖系統的布置合理性；檢查EMC 電磁兼容性、接地、屏蔽、隔離功能是否良好；杜絕或減少信號干擾導致的儀表聯鎖系統誤動作或拒動作，努力提高儀表聯鎖系統的投用率。

3.3 儀表聯鎖系統的管理

儀表聯鎖系統的管理是貫穿在其整個生命周期內的。儀表聯鎖系統的全生命周期管理是由建設單位、評審機構（專家）、設計院、系統設備供應商、施工單位、運行管理單位等多個機構協作完成的。

首先，建設單位要組織編制儀表聯鎖系統生命周期計劃；建立企業風險可接受標準，確定風險分析方法；通過風險分析確定儀表聯鎖系統的功能需求，輸出儀表聯鎖系統的安全規格書（Safety Requirement Specification），并以此來指導儀表聯鎖系統的設計工作[5]。

設計單位要根據儀表聯鎖系統安全要求技術文件（Safety Requirement Specification）設計并實現安全儀表的功能。在詳細設計階段，設計單位要明確每個儀表聯鎖系統的功能（或子系統）的檢驗測試周期和測試方法。

施工調試單位要制定調試期間的儀表聯鎖系統的管理制度，編制安裝調試與聯合確認計劃，記錄調試（單臺儀表調試與回路調試）、確認過程和結果，并建立管理檔案。

運行管理單位要制定儀表聯鎖系統管理制度（分級管理和作業票證管理）；編制檢驗測試規程和程序，明確定期檢驗測試周期；制定有針對性的預防性維護策略。儀表聯鎖系統設備完好性記錄、維護維修記錄、測試記錄、變更信息等都要留存。

還要依據法律法規、規范標準、先進技術等，定期修訂制度、程序文件、檢驗測試規程。

上述工作要安排專業人員實施，定期組織相關專業人員和專家進行審查。

4 結束語

儀表聯鎖系統作為過程控制領域的安全保護層中的重要一環，是HSE（健康、安全、環境）風險管理的重要組成部分。要在設計、安裝、操作和維護管理等生命周期各階段實施生命周期管理。具體說來就是設計與評估要并重；系統的可靠性與可用性要并重；邏輯運算單元與變送器和閥門要并重；檢測和執行元件的可靠性與操作人員的素質要并重；邏輯優化和硬件改造要并重；日常操作與管理要并重。只有做好儀表聯鎖系統的全生命周期管理工作，才能創建過程控制領域“零事故、零傷害、零污染”的和諧局面。