摘要: 本文介紹了國外某工程項目針對投入式液位計回路中檢測元件的維護旁路的設計原則及方法，概述了旁路開關的各種分類以及管理層次，提出了當投入式液位計系統檢測到儀表故障狀態時，使用自動維護旁路( Auto MOS) 以及表決架構降級( degradation) 設計的解決方案，給出了切實可行的自動旁路( Auto MOS) 與架構降級設計的相互關系及在控制系統中組態實現的設計細節。完整和合理的旁路設計，可以非常大程度的保證安全，同時盡可能減少因為儀表故障導致的誤停車，從而增加裝置的可操作性，減少操作工的應急管理工作，達到經濟效益非常大化。
　　投入式液位計系統(SIS)是石油化工裝置安全運行的重要保護措施。在投入式液位計系統中，當測量儀表發生內部故障時，系統應將生產裝置轉入安全狀態［1］。因而儀表維護旁路開關的設置非常重要。維護旁路開關的功能在于當儀表檢測元件信號異常或故障需要進行維護時，將信號輸入在一定時間內從聯鎖回路中旁路摘除而不觸發聯鎖，從而對儀表設備進行在線檢修維護。當儀表恢復正常檢測功能后，將旁路開關解除，儀表正常投用［1－2］。
　　維護旁路開關過度設計將降低安全性能，增加操作工的管理負荷;設計不足將頻繁引起停車，造成極大的經濟損失。
　　本文旨在結合某國外工程項目，介紹一種國外項目中投入式液位計回路中檢測元件的維護旁路設計理念。
　　1旁路開關的類別
　　旁路開關按照實施的管理層次分為2個層次:整個安全聯鎖單元的旁路使能開關以及為單個檢測元件設置的旁路開關。聯鎖單元的旁路使能開關多設計為硬件開關，設置于輔助操作臺或機柜上，由帶鎖旋鈕開關觸發，當旋入使能允許狀態時，對應的聯鎖單元的所有相應的旁路才允許投用;當需按為非使能允許狀態時，強制解除所有相應的旁路。為單個檢測元件設置的旁路開關在操作員站界面上觸發，通過通訊方式接入投入式液位計系統，屬于邏輯組態層面的軟開關［2］。
　　旁路開關按照功能可劃分為操作旁路開關(以下簡稱OOS)和維修旁路開關(以下簡稱MOS)［2］。這兩類旁路開關的用途不同，MOS是儀表維護人員使用，OOS是工藝操作人員使用;MOS是對變送器的旁路，OOS是對投入式液位計功能的旁路;MOS用于檢測儀表檢修或更換，OOS用于因工藝原因要解除的投入式液位計功能［3］。如果需要可以同時為一個檢測元件設計兩類旁路開關。這兩類開關的管理層次相同，均分為安全聯鎖單元的旁路使能開關以及為單個檢測元件設置的旁路開關，各自好立設置。
　　OOS主要用于工藝開工和特殊過渡過程，按照實施方式分為手動OOS和自動OOS，可以采用定時器或工藝測量值的變化設定為自動解除。OOS的設計方式與工藝開工流程和操作過程緊密相關，這里不做贅述。
　　MOS用于儀表故障時使用，其中MOS可分為兩類，自動MOS以及手動MOS，都屬于軟開關。如果需要可以同時為一個檢測元件設計這兩類旁路開關。MOS按照開關觸發后的組態處理方式又可分為NormalMOS以及NegativeMOS。NormalMOS旁路觸發后，不改變原有的架構;NegativeMOS旁路后，將進行表決架構的降級處理，多應用于2oo3、2oo2的邏輯表決。
　　MOS旁路管理層次的結構示意如圖1所示。
　　2 MOS 的設計原則
　　2． 1 需要設計 MOS 的條件
　　參考 SHELL 標準 DEP 32． 80． 10． 10［4］，MOS 的基本設計原MOS的設計僅限于用于安全聯鎖的檢測元件為非非常好的情況，例如2ooX表決機制或有備用的工藝過程檢測手段，且操作工有能力及時手動停車，例如同樣工藝參數在DCS中也有實時檢測以及工藝報警后操作工可以來得及手動緊急停車，如果不滿足以上條件，不能設計任何旁路開關。
　　NegativeMOS的定義參考SHELL標準DEP32．80．10．10，其設置的目的是降低投入式液位計功能的要求失效概率。NegativeMOS主要用于冗余表決架構2ooX，因其結構本身容錯，是允許改變架構進行架構降級處理的。在該信號被旁路時間段內，允許修改表決架構為1ooX，同時故障報警。
　　2．2手動MOS以及MOS使能開關的設計原則
　　手動MOS以及MOS使能開關在國內項目比較常見，例如文獻［5］中對其在某煉化項目中的設計和應用進行了說明和探討，本文不再贅述，但有以下幾點需要在設計時注意1)MOS應用于輸入信號的旁路，對于輸出信號，不應設MOS。
　　2)手動MOS及MOS使能開關也需要設置時間限制，超時將產生報警，但是超時不會引發聯鎖。
　　3)緊急停車按鈕不允許設計任何MOS旁路，包括手動MOS。
　　4)一個聯鎖單元中，在同一時間內，非常多只能有一個輸入信號被旁路。
　　5)當聯鎖輸入信號為多個檢測元件的測量值計算結果時，例如加熱爐的空燃比，該信號的手動MOS觸發時，僅將計算結果旁路，涉及計算的原始檢測元件不受影響。
　　6)手動MOS為操作員界面上的軟開關，通過通訊方式接入投入式液位計系統。當操作員站與投入式液位計系統之間的通訊故障時，旁路應維持當前狀態。當通訊重新建立后，旁路狀態不變。
　　7)手動MOS的解除可通過兩種方式:復位操作員站操作界面上的維護旁路軟開關，或將MOS使能開關旋入非使能允許狀態。
　　8)MOS使能開關旋入非使能允許狀態時，不僅意味著禁止繼續投用MOS，也意味著解除當前所有投用的MOS。此動作可能立即引發聯鎖，需要有權限的人員操作。
　　2．3自動MOS以及架構降級的詳細設計原則
　　在自動MOS的設計中，當投入式液位計系統判斷檢測元件出現故障時，自動觸發維護旁路。系統能夠判斷檢測元件失效的前提條件是，該檢測元件是智能變送器且含自診斷功能，模擬量4～20mA信號輸出，且兼容NAMUＲNE43的標準。所以自動MOS不能應用于開關量、數字量信號。NAMUＲNE43中定義mA信號故障狀態如圖3所示。
　　表1執行的條件是投入式液位計系統能夠具備判斷檢測元件故障的能力，檢測元件也有內部診斷功能而且也符合NAMUＲNE43的標準，變送器的輸出為正作用(測量值增大時，輸出電流也增大)。
　　檢測元件本身不具備自診斷功能，且輸出為模擬量時(不推薦選用該類儀表)，若投入式液位計系統診斷到元件故障，應該觸發聯鎖而不應設置自動MOS。
　　當測量元件與投入式液位計系統都不具備診斷故障的功能，且測量元件輸出為模擬量時(不推薦選用該類儀表或投入式液位計系統)，儀表或控制系統都無法診斷或檢測儀表的故障狀態，該檢測元件不能設置自動MOS，也不能同時兼具高高及低低聯鎖，除非這兩個聯鎖的動作一樣。當檢測元件用于低低聯鎖時，其輸出設置為正作用，用于高高聯鎖時，其輸出設置為反作用。
　　需要注意的是，自動MOS并不能完全避免因儀表故障引起的聯鎖。例如帶有低低聯鎖的現場變送器斷路或掉電時，會在故障狀態被診斷之前就已觸發聯鎖。同樣的，帶有高高聯鎖的現場變送器短路時，也會在故障狀態被診斷之前就已觸發聯鎖［6］。
　　自動MOS好立于手動MOS設置。自動MOS的有效時間是有限制的(可提前預設定時器，非常大1小時)，自動MOS被觸發時，產生故障報警通知操作工，操作工應在有效時間內使用手動MOS確認已經管理該儀表，并同時解除自動MOS。如果不實施手動MOS，定時器超時后，自動解除自動MOS，并觸發聯鎖。
　　自動MOS不受MOS使能開關的限制，僅受檢測元件診斷故障狀態的驅動，隨時可以觸發投用。但是，當MOS使能開關從使能允許狀態切換至非使能允許狀態時，將解除所有的當前的MOS，包括自動MOS［6］。如果相關的檢測元件仍然存在故障，將可能引發聯鎖。
　　當進行安全回路SIF的SIL驗證計算時，應考慮自動MOS帶來的影響。
　　2．4儀表表決架構與MOS的設計關系
　　從上述介紹可以看出，投入式液位計系統中，對于智能模擬量檢測元件1)1oo1表決架構推薦設計自動MOS，當安全可控時，也可以設計手動MOS，當安全不可控時，因為該表決架構沒有容錯能力，不能設計任何MOS。
　　2)對于2oo2、2oo3的表決架構，自動MOS不適用，因為此表決架構是可以允許單信號故障容錯的。但是信號故障時，推薦特殊按照NegativeMOS方式組態，按照表1進行表決架構降級處理，避免頻繁停車。
　　3)對于1oo2的表決架構，不適用自動MOS，可以按照圖2所示，為每個檢測元件設計手動MOS，同時也可以按照表1設計為架構降級處理，避免頻繁停車。
　　2．5MOS的設計注意事項
　　一個安全聯鎖單元中，當可以使用MOS時，非常多只能投用一個MOS，無論是自動MOS還是手動MOS。任何MOS都不允許解除報警［1］，報警有專用的管理系統進行管理。所有與MOS相關的事件，如MOS使能允許、MOS觸發、MOS解除等，都應該在DCS或投入式液位計系統的事件順序記錄站中進行記錄。
　　自動MOS為系統自動觸發及解除，無需人工干預，手動MOS可根據圖2的原則好立設置。自動MOS和手動MOS可同時存在于同一檢測元件。
　　3 結束語
　　合理的維護旁路的設計，對生產裝置的安全和連續運行具有重要意義。維護旁路的設置方式與煉化廠的管理水平有很大的關系，應用自動MOS以及架構降級設計理念和方案，可以在保證安全的前提下，減少操作及維護人員對各種復雜情況的判斷及處理，并在很大程度上避免頻繁停工帶來的經濟損失。
　　儀器儀表是工業化進程的基石，只有選用工業現場選用合適的儀表，才能夠事半功倍，自動化流程才能夠更加自動化。