仪表的故障模式是指现场仪表功能失效或信号传输失效后的整个回路的处理方式，可参考ＩＥＣ６０８１２中的术语定义［１］。当前仪表大多数是智能仪表，在供电正常条件下，具有自诊断功能，能够在线发现多种故障状态，例如，膜盒温度超温、放大器元件故障、超压等，当控制系统配置先进的资产管理系统时，可通过ＨＡＲＴ协议或ＦＦ总线通信方式上传诊断信息，表明此时仪表故障模式不能正常工作。但是对于过程控制系统ＤＣＳ及SIS，这些仪表可能在工艺控制回路或SIS中充当重要的角色，若不能及时判断仪表故障将导致严重后果，如何处理这些仪表故障也与安全息息相关。

 

１过程控制系统如何识别现场仪表故障

按照NAMURNE43标准，正常工作时仪表输出到控制系统的电流信号为４～２０ｍＡ，当智能变送器自诊断到故障时，可以依据NAMURNE43标准改变输出信号范围使控制系统判断出其处于故障状态，根据NAMURNE43标准信号处理

方式如图１所示。

变送器正常输出电流为４～２０ｍＡ时，说明仪表工作于正常的标定范围。如果输出电流略微越限，例如在３．８ｍＡ，或２０．５ｍＡ时，说明变送器依然可以正常测量线性化工艺变量并输出。例如压力信号略微有一点超压超过量程，此时压力变送器并不认为是故障，继续正常工作，并输出２０．５ｍＡ的电流信号。同时，控制系统也检测到了

该越界信号，也不认为变送器有故障，仅仅是在线性化处理时屏蔽了超过标定量程以外的信号，此时控制系统人机界面上出现压力位于非常高量程上限，但是工程师站在组态模块的底层仍然可以看到２０．５ｍＡ的信号，只是无需处理。

 

NAMURNE43标准定义的“ｂｕｒｎｏｕｔ”指故障门槛电流，低限为３．６ｍＡ，高限为２１ｍＡ，当变送器发生断偶或环境温度高于正常工作范围时，变送器自我诊断到故障。此时，输出电流信号可以被强制趋向于两个极端，可以上升、也可以下降，但是一定在标准规定的门槛电流以外，可能到２ｍＡ，也可能到２１．５ｍＡ以上。控制系统厂家一般也按照该标准识别故障，很多系统将故障门槛电流高限设置为２０．８ｍＡ也基本吻合NAMURNE43标准，控制系统检测到变送器信号不大于故障门槛电流底限或不小于故障门槛电流高限时，控制系统将变送器信号处理为故障

信号。也有特殊情况，业主根据现场仪表的情况，将门槛值调得很宽，避免控制系统过激动作，增加可用性。根据现场仪表的工作状态具体分析，一般多用于非常规特殊仪表，例如雷达液位计等。

 

２变送器故障模式时电流的走向

智能变送器一旦设置好故障信号走向，后期不宜修改。该信号走向的设计，相对来说，要具体结合ＤＣＳ，SIS的品牌型号以及工艺的具体特性来确定。

 

１）对于ＤＣＳ，没有必要产生多余工艺误报警，当断线时，即使智能变送器也无法输出高电流，电流走向一定是趋于低方向，所以通常所有的故障模式全部按照故障非常大概率———断线故障处理，变送器全部按照“走低”模式设置，此时如果工艺有低限报警，将被触发，但是高限报警将不会触发，因为工艺并未真实改变，仅仅是仪表故障而已。

 

２）对于SIS，相对来说比较复杂，设置不准确将对安全有一定的影响。系统模拟输入模块检测到现场变送器故障时，有两种选择，既可以选择保持不触发联锁动作，也可以选择直接触发。此时要全面综合兼顾安全仪表功能的架构，以及安全仪表功能的可用性和可靠性综合判断。以下介绍几种设计思路供参考。

 

２．１按照故障触发联锁思路设计

在该模式下，SIS组态所有仪表故障全部触发联锁。此时，安全仪表功能的可靠性增加，可用性降低，可能过于频繁地误停车，影响工艺的经济性。此时，现场仪表推荐设计为容错的架构来提高可用性，例如：采用“２ｏｏ３”架构，单台变送器故障时电流信号“走低”或“走高”，SIS都触发联锁，但因为架构容错，不一定停车。当有报警记录时，此时应使变送器电流的走向与联锁的设定方向保持一致，例如高高联锁时，输出电流“走高”，低低联锁时，输出电流“走低”。易于检查仪表的历史趋势，判断原因简单，大多数国内项目都采用该设计方式，由此可见增加非必要的工艺报警对工艺操作都是无益的。

 

２．２按照故障触发架构降级思路设计

该设计的基础是控制系统可以实现表决架构自动降级处理。例如，有自动降级功能的“２ｏｏ３”模块，即检测到仪表故障时，仪表的信号走向可背离联锁方向，不触发联锁，但是容错的表决架构降级，使故障仪表在表决架构中失效被安全仪表功能屏蔽，不允许其参与表决，原“２ｏｏ３”降级为“１ｏｏ２”，继续利用其他正常信号仪表进行表决，故障表归类于故障的管理动作，不影响工艺生产，但是该降级与是否自动旁路以及表决架构有关，自动旁路和故障识别以及架构降级功能见表１所列。表１执行的条件是SIS有能力检测故障，智能仪表基本都有内部诊断功能，而且都符合ＮＡＭＵＲＮＥ４３的标准，变送器的输出需设定为正作用即测量值增大时，输出电流也增大。

２．３现场仪表非智能仪表并用于安全仪表功能

当仪表与SIS匹配不具备检测信号故障状态，仪表输出为模拟量时，仪表不能设置自动旁路，也不能同时兼具高高及低低联锁功能，除非这两个联锁的动作一致，当仪表用于低低联锁时，仪表输出需设置为正作用，用于高高联锁时，仪表输出需设置为反作用，即与断线故障处理方式一致，故障触发联锁。

 

２．４当仪表出现断路或短路故障

当变送器断路或掉电时，检测到信号电流在５００ｍｓ时间内从当前值降到０，现象为直接触发该信号低低联锁。反之，短路引起的电流突升也一样触发高高联锁，此时仪表本身可能没有问题，是线路出了故障，一般短时间故障不可恢复，仪表设置任何信号走向都没有意义且作用也不大，此时控制系统也无需特殊处理，按照电流走向动作即可。

————————————————————

注：

１）自动旁路后报警并启动计时器，一般小于１ｈ，作为操作工的处理时间，到直接联锁；

２）自动旁路优先用于“１ｏｏ１”表决；

３）不推荐该选项；

４）逻辑组态将故障仪表定义为无效，因此自动旁路失去意义，当仪表诊断到故障时，诊断报警将产生，当该信号也被用于其他安

全仪表功能时（例如３个信号的中间值表决），诊断报警信号应该在整个控制系统中广播该仪表为“坏值”，让其他相关安全仪表功能将其处理为故障；

５）如果同样的检测元件同时用于高高及低低联锁，仪表处于故障状态时信号朝向ＳＩＬ等级非常高的设定点方向，如果信号变化走向为联锁方向，此时需设计联锁延时定时器来防止误停车，说明需增加可用性，出于该考虑，故障状态时信号走向推荐改为远离联锁点；

６）如果同样的检测元件同时用于高高及低低联锁，仪表处于故障状态时，信号走向远离非常高例如ＳＩＬ等级的联锁设定点，如果加热炉燃气压力高高联锁为ＳＩＬ１，低低联锁为ＳＩＬ２，当该变送器故障时，可设置为信号走向为“走高”，触发高高联锁，背离低低联锁方向；

７）架构非常好次降级适用于当第１台仪表或仅有１台仪表被检测为故障失效时；架构第二次降级适用于当第１台仪表及第２台仪表被检测为故障失效时。架构降级的目的是维持正常信号仪表继续表决并将故障的仪表从架构中除去，并修改架构；

８）“２ｏｏ２”仅用于输入为火焰检测器，以及其他情况误停车将导致引起较大的经济损失时；

９）如果同样的检测元件同时用于高高及低低联锁，当架构中所有检测仪表全部故障时，同时触发高高及低低联锁。

 

２．５故障后报警的处理当控制系统检测到现场仪表输出为异常信号时，需根据该仪表的用途来决定报警的处理方式。一般可列入报警抑制范畴，动态监控其是否恢复，规定时间内不报警，等待被维修，操作员画面提示异常。

２．６控制系统增加单独诊断报警信号

智能仪表可以在自诊断失效时，单独输出干触点信号给控制系统，当该仪表非常重要且难于利用表决架构容错时，控制系统无需通过模拟量判断，可直接使用该故障硬接点信号联锁动作，多用于安全性要求非常高的场合。

 

３注意事项

当控制系统通过电流辨识现场仪表状态时，应注意以下几点：

１）注意安全栅的配置及远距离传输时线路阻抗对回路电流的影响。例如，距离很远，回路电阻很大，电流不可能超过２１ｍＡ时，齐纳安全栅可能也影响回路阻抗时，电流可能永远无法上升到控制系统设定的故障门槛电流高限，即便此时变送器已经按照输出“走高”处理，控制系统也无法识别故障。

２）如果按照架构降级思路设计，仪表故障处理时间是有限制的，如果超时，将产生更高级别的报警或动作，设定时间及动作需结合工厂的管理水平设定。

３）当使用架构降级时，尤其是第二次降级，可能变更非常低硬件故障裕度（ＨＦＴ），降级期间可能影响ＳＩＬ等级对硬件结构的约束［２］。

 

４结束语

智能化仪表及控制系统的使用，对于提高未来智能化工厂的管理水平提供了更多的选择。　变送器失效模式（ｆａｉｌｕｒｅｍｏｄｅ）的设计，不仅是现场变送器的设计，还一定要包含控制系统的组态及工厂管理模式统一考虑。本文提供的几种设计思路可有选择使用，当工厂自动化管理水平较高且安全许可情况下，可偏重选择２．２，２．５节的设计思路；当需要简单实施且偏重安全时，可偏重选择参考２．１，２．３，２．４，２．６节的设计思路，供同行参考。

 

相关产品推荐：数字显示压力表、数字式压力表、氧气压力表、