趙廉斌 朱金輝 張 麗 馬鐵量 梁 懌 嚴 密 管文涌

(1.中國石油西氣東輸管道公司壓縮機處，武漢 430070；2.中國石油西氣東輸管道公司廈門管理處，福建 廈門 361000；3.中國石油天然氣管道工程有限公司上海分公司，上海 200120)

2011年6月，隨著西氣東輸二線干線全面貫通投產(chǎn)，我國已建和在建的20多條天然氣管道在全國形成了一張近4萬km的天然氣管網(wǎng)，覆蓋了我國27個省、市、自治區(qū)和香港特別行政區(qū)，近四億人口因此受益。目前，我國天然氣管道上的增壓和分輸站場已超過兩百多座。張萍等對臥式天然氣渦旋壓縮機增壓裝置中的供油回路進行了全面分析，根據(jù)機械密封的熱負荷需油量和壓縮機高效運行時壓縮腔中氣體潤滑油的最佳含量建立了裝置總需油量的數(shù)學(xué)模型，由模型可以看出只要裝置中各結(jié)構(gòu)參數(shù)和氣體、潤滑油的特性參數(shù)確定下來，其各部分的需油量就可以確定。裝置在運行時可根據(jù)計算出的最佳油量，通過傳感器各個部分的供油量，實現(xiàn)供油系統(tǒng)的油量自動控制[1]。

在進行工程設(shè)計時，輸氣站場設(shè)置了獨立于站控系統(tǒng)的安全儀表系統(tǒng)(Safety Instrumented System，SIS)，當(dāng)發(fā)生天然氣大量泄漏、火災(zāi)和嚴重自然災(zāi)害時，需要將站場同管道主線路截斷隔離，緊急停運壓縮機組，并將站內(nèi)天然氣放空，以保護設(shè)備和人身安全，防止事態(tài)擴大。但是，SIS本身故障所引起的壓縮機組停機、輸氣中斷及意外放空等事件，將影響正常生產(chǎn)，造成經(jīng)濟損失。因此，在SIS的安全性和可用性之間找到一個合適的平衡點，成為輸氣站場SIS設(shè)計與選用的關(guān)鍵。

1 安全儀表系統(tǒng)簡介①

SIS是幫助過程工業(yè)將風(fēng)險降低到可以接受水平的安全保護裝置，一個完整的SIS由現(xiàn)場監(jiān)測儀表、邏輯解算單元和動作執(zhí)行機構(gòu)3部分組成[2]。國際電工委員會在2000年5月發(fā)布的IEC61508中，將安全領(lǐng)域的等級劃分為四級，SIL1～SIL4[3～11]，如果等級低于SIL1，IEC61508認為不適合作為安全系統(tǒng)。除此之外，德國萊茵認證機構(gòu)的TUV標準將安全等級劃分為8級，AK1～AK8，AK1、AK2對應(yīng)SIL1，AK3、AK4對應(yīng)SIL2，AK5、AK6對應(yīng)SIL3，AK7對應(yīng)SIL4，AK8為目前最高的安全級別。

SIS的安全性是指當(dāng)生產(chǎn)工況發(fā)生異常時，系統(tǒng)保證生產(chǎn)過程和生產(chǎn)環(huán)境處于相對安全狀態(tài)的能力。SIS的可用性是指系統(tǒng)本身發(fā)生故障時，在保證安全功能的前提下，仍能保持生產(chǎn)過程不中斷的能力。安全性與可用性是衡量一個SIS的重要指標，從某種意義上說，安全性與可用性是矛盾的兩個方面，無論是安全性低，還是可用性低，都會使損失的概率提高。因此，SIS要兼顧安全性和可用性，安全是前提，可用性必須服從安全性；可用性是基礎(chǔ)，沒有高可用性的安全性是不現(xiàn)實的。

2 天然氣輸氣站場中的SIS

天然氣輸氣站場SIS的現(xiàn)場監(jiān)測儀表主要有緊停按鈕、溫/壓變送器、火焰及可燃氣體探測器等。動作執(zhí)行機構(gòu)主要有緊急開關(guān)管線閥門的氣液聯(lián)動執(zhí)行機構(gòu)和電動執(zhí)行機構(gòu)。

西氣東輸二線管道工程SIS所選用的控制核心為Safety Manager，該系統(tǒng)得到了SIL3和AK6認證[12]，滿足輸氣站場對安全等級的要求。目前，業(yè)內(nèi)較為統(tǒng)一的觀點是油氣長輸管道站場生產(chǎn)應(yīng)滿足SIL3等級的要求。

3 Safety Manager在安全性和可用性上的特點

3.1 Safety Manager結(jié)構(gòu)

Safety Manager可以被組態(tài)為多種不同的結(jié)構(gòu)，每種結(jié)構(gòu)有不同的特性和安全功能，詳見表1。

表1 不同結(jié)構(gòu)的Safety Manager的特性和安全功能

可以看出，無論何種配置方式，安全性指標都已達到輸氣站場的安全需求。西氣東輸二線站場采用四重冗余結(jié)構(gòu)的系統(tǒng)設(shè)計，該結(jié)構(gòu)實行冗余四處理器組(Quad Processor Pack，QPP)控制器，每個QPP中含有雙處理器，執(zhí)行基于2oo4的表決機制，對于安全雙重容錯，增強了系統(tǒng)的可用性。四重冗余結(jié)構(gòu)如圖1所示。

圖1 四重冗余結(jié)構(gòu)示意圖

2oo4表決機制由每一個QPP中的CPU間和內(nèi)存間的1oo2表決機制以及兩個QPP間的1oo2表決機制實現(xiàn)，表決將在模塊本身層面和QPP之間發(fā)生。

3.2 Safety Manager輸出電路的診斷功能

SIS和常規(guī)PLC有相似之處，都對輸入信號掃描并按照特定的控制邏輯完成運算并最終驅(qū)動現(xiàn)場執(zhí)行機構(gòu)，也都有數(shù)字通信端口。但常規(guī)PLC從設(shè)計上并不具備故障容錯和故障安全的性能，PLC的一個數(shù)字輸出電路和可能的故障如圖2所示。

圖2 PLC的一個數(shù)字輸出電路和可能的故障示意圖

3.2.1輸出短路故障

當(dāng)晶體管的集電極和發(fā)射極短路時，相當(dāng)于+24V(DC)電源直接接到負載上，也就是說負載仍處于帶電狀態(tài)。對于這種不會導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“被動”故障。由于無法使輸出失電從而進入安全狀態(tài)，因此它是危險的。被動故障影響安全但不影響可用性。

3.2.2輸出斷路故障

當(dāng)晶體管的發(fā)射極輸出斷路時，負載失電。對于這種導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“主動”故障。由于它使輸出失電從而進入安全狀態(tài)，因此它是安全的。主動故障不影響安全但影響可用性。綜上所述，PLC無法處理這些被動故障，它不能使設(shè)備進入到安全狀態(tài)，所以它不能用作SIS。

Safety Manager將兩個數(shù)字輸出電路串聯(lián)在一起，同時這兩個電路的狀態(tài)被實時監(jiān)測診斷，一旦其中的一個電路出現(xiàn)短路故障，另一個電路仍然能夠切斷輸出。通過診斷和電路的這些獨特設(shè)計，Safety Manager提供了高的安全性，實現(xiàn)了單一故障容錯。但較多的主動故障在很大程度上降低了可用性，而將輸出電路再配置為冗余時，就極大地提高了系統(tǒng)的可用性，如圖3所示。

圖3 輸出電路的冗余配置

3.3 Safety Manager的Watchdog系統(tǒng)

Watchdog是Safety Manager非常重要的獨立安全功能，它將監(jiān)視控制器的正確運行，并檢查某些控制器運行所必須的條件，它的功能是當(dāng)存在可能導(dǎo)致危險情形發(fā)生的故障時，確保輸出進入安全狀態(tài)。

3.4 Safety Manager系統(tǒng)故障響應(yīng)

診斷是Safety Manager最重要的特點之一，通過超過99%的診斷率，Safety Manager的所有硬件和軟件故障都將被檢測出來，同時Safety Manager將按照預(yù)定的方式做出響應(yīng)。

3.4.1故障修復(fù)時間

通過故障修復(fù)時間功能的設(shè)定，系統(tǒng)在平衡可用性的同時，在一定程度上也保證了安全性。如果系統(tǒng)檢測出安全相關(guān)的故障，那么對應(yīng)的控制器將啟動故障修復(fù)時間倒計時(圖4)，計時時間內(nèi)可對故障進行診斷處理，當(dāng)計時到零時該控制器停止運行，切換輸出，以保證系統(tǒng)進入安全狀態(tài)。

圖4 故障修復(fù)時間設(shè)定界面

3.4.2I/O故障響應(yīng)與設(shè)定

根據(jù)生產(chǎn)現(xiàn)場對系統(tǒng)I/O信號的安全和可用性需求的實際情況，系統(tǒng)組態(tài)時可對各I/O數(shù)據(jù)點的屬性進行相應(yīng)的設(shè)定，每個輸入輸出通道都可以有不同的故障響應(yīng)方式，以保證故障發(fā)生時現(xiàn)場的實際需求。以數(shù)字量輸出(DO)通道為例，故障響應(yīng)可設(shè)置為Low或Application，當(dāng)設(shè)置為Application時，系統(tǒng)檢測出通道故障，DO將隨機輸出邏輯1或0，即可認為它是不安全的，Low是安全設(shè)定，故障時切換輸出，如圖5所示。

圖5 DO通道的設(shè)定界面

3.5 其他系統(tǒng)

為了加強Safety Manager的可用性，可以通過雙路供電及加裝UPS不間斷電源等其他措施，使其可用性進一步增強。

4 結(jié)束語

西氣東輸二線天然氣輸氣站場的SIS以Safety Manager為控制核心，該系統(tǒng)采用冗余控制器配非冗余I/O的結(jié)構(gòu)模式、回路診斷、設(shè)計優(yōu)化、Watchdog、系統(tǒng)故障響應(yīng)及UPS供電等設(shè)計都在一定程度上平衡優(yōu)化了系統(tǒng)的安全性和可用性。

控制邏輯單元雖然是整個SIS的核心，但除此之外SIS還包括現(xiàn)場檢測儀表和現(xiàn)場執(zhí)行機構(gòu)。在IEC61508標準的應(yīng)用統(tǒng)計中，SIS控制邏輯單元的典型故障幾率為15%、現(xiàn)場檢測儀表為35%、執(zhí)行機構(gòu)為50%，因此保證現(xiàn)場儀表及其執(zhí)行機構(gòu)的可靠性對于SIS的安全性也是十分重要的。