趙廉斌 朱金輝 張 麗 馬鐵量 梁 懌 嚴(yán) 密 管文涌

(1.中國(guó)石油西氣東輸管道公司壓縮機(jī)處，武漢 430070；2.中國(guó)石油西氣東輸管道公司廈門管理處，福建 廈門 361000；3.中國(guó)石油天然氣管道工程有限公司上海分公司，上海 200120)

2011年6月，隨著西氣東輸二線干線全面貫通投產(chǎn)，我國(guó)已建和在建的20多條天然氣管道在全國(guó)形成了一張近4萬(wàn)km的天然氣管網(wǎng)，覆蓋了我國(guó)27個(gè)省、市、自治區(qū)和香港特別行政區(qū)，近四億人口因此受益。目前，我國(guó)天然氣管道上的增壓和分輸站場(chǎng)已超過(guò)兩百多座。張萍等對(duì)臥式天然氣渦旋壓縮機(jī)增壓裝置中的供油回路進(jìn)行了全面分析，根據(jù)機(jī)械密封的熱負(fù)荷需油量和壓縮機(jī)高效運(yùn)行時(shí)壓縮腔中氣體潤(rùn)滑油的最佳含量建立了裝置總需油量的數(shù)學(xué)模型，由模型可以看出只要裝置中各結(jié)構(gòu)參數(shù)和氣體、潤(rùn)滑油的特性參數(shù)確定下來(lái)，其各部分的需油量就可以確定。裝置在運(yùn)行時(shí)可根據(jù)計(jì)算出的最佳油量，通過(guò)傳感器各個(gè)部分的供油量，實(shí)現(xiàn)供油系統(tǒng)的油量自動(dòng)控制[1]。

在進(jìn)行工程設(shè)計(jì)時(shí)，輸氣站場(chǎng)設(shè)置了獨(dú)立于站控系統(tǒng)的安全儀表系統(tǒng)(Safety Instrumented System，SIS)，當(dāng)發(fā)生天然氣大量泄漏、火災(zāi)和嚴(yán)重自然災(zāi)害時(shí)，需要將站場(chǎng)同管道主線路截?cái)喔綦x，緊急停運(yùn)壓縮機(jī)組，并將站內(nèi)天然氣放空，以保護(hù)設(shè)備和人身安全，防止事態(tài)擴(kuò)大。但是，SIS本身故障所引起的壓縮機(jī)組停機(jī)、輸氣中斷及意外放空等事件，將影響正常生產(chǎn)，造成經(jīng)濟(jì)損失。因此，在SIS的安全性和可用性之間找到一個(gè)合適的平衡點(diǎn)，成為輸氣站場(chǎng)SIS設(shè)計(jì)與選用的關(guān)鍵。

1 安全儀表系統(tǒng)簡(jiǎn)介①

SIS是幫助過(guò)程工業(yè)將風(fēng)險(xiǎn)降低到可以接受水平的安全保護(hù)裝置，一個(gè)完整的SIS由現(xiàn)場(chǎng)監(jiān)測(cè)儀表、邏輯解算單元和動(dòng)作執(zhí)行機(jī)構(gòu)3部分組成[2]。國(guó)際電工委員會(huì)在2000年5月發(fā)布的IEC61508中，將安全領(lǐng)域的等級(jí)劃分為四級(jí)，SIL1～SIL4[3～11]，如果等級(jí)低于SIL1，IEC61508認(rèn)為不適合作為安全系統(tǒng)。除此之外，德國(guó)萊茵認(rèn)證機(jī)構(gòu)的TUV標(biāo)準(zhǔn)將安全等級(jí)劃分為8級(jí)，AK1～AK8，AK1、AK2對(duì)應(yīng)SIL1，AK3、AK4對(duì)應(yīng)SIL2，AK5、AK6對(duì)應(yīng)SIL3，AK7對(duì)應(yīng)SIL4，AK8為目前最高的安全級(jí)別。

SIS的安全性是指當(dāng)生產(chǎn)工況發(fā)生異常時(shí)，系統(tǒng)保證生產(chǎn)過(guò)程和生產(chǎn)環(huán)境處于相對(duì)安全狀態(tài)的能力。SIS的可用性是指系統(tǒng)本身發(fā)生故障時(shí)，在保證安全功能的前提下，仍能保持生產(chǎn)過(guò)程不中斷的能力。安全性與可用性是衡量一個(gè)SIS的重要指標(biāo)，從某種意義上說(shuō)，安全性與可用性是矛盾的兩個(gè)方面，無(wú)論是安全性低，還是可用性低，都會(huì)使損失的概率提高。因此，SIS要兼顧安全性和可用性，安全是前提，可用性必須服從安全性；可用性是基礎(chǔ)，沒(méi)有高可用性的安全性是不現(xiàn)實(shí)的。

2 天然氣輸氣站場(chǎng)中的SIS

天然氣輸氣站場(chǎng)SIS的現(xiàn)場(chǎng)監(jiān)測(cè)儀表主要有緊停按鈕、溫/壓變送器、火焰及可燃?xì)怏w探測(cè)器等。動(dòng)作執(zhí)行機(jī)構(gòu)主要有緊急開(kāi)關(guān)管線閥門的氣液聯(lián)動(dòng)執(zhí)行機(jī)構(gòu)和電動(dòng)執(zhí)行機(jī)構(gòu)。

西氣東輸二線管道工程SIS所選用的控制核心為Safety Manager，該系統(tǒng)得到了SIL3和AK6認(rèn)證[12]，滿足輸氣站場(chǎng)對(duì)安全等級(jí)的要求。目前，業(yè)內(nèi)較為統(tǒng)一的觀點(diǎn)是油氣長(zhǎng)輸管道站場(chǎng)生產(chǎn)應(yīng)滿足SIL3等級(jí)的要求。

3 Safety Manager在安全性和可用性上的特點(diǎn)

3.1 Safety Manager結(jié)構(gòu)

Safety Manager可以被組態(tài)為多種不同的結(jié)構(gòu)，每種結(jié)構(gòu)有不同的特性和安全功能，詳見(jiàn)表1。

表1 不同結(jié)構(gòu)的Safety Manager的特性和安全功能

可以看出，無(wú)論何種配置方式，安全性指標(biāo)都已達(dá)到輸氣站場(chǎng)的安全需求。西氣東輸二線站場(chǎng)采用四重冗余結(jié)構(gòu)的系統(tǒng)設(shè)計(jì)，該結(jié)構(gòu)實(shí)行冗余四處理器組(Quad Processor Pack，QPP)控制器，每個(gè)QPP中含有雙處理器，執(zhí)行基于2oo4的表決機(jī)制，對(duì)于安全雙重容錯(cuò)，增強(qiáng)了系統(tǒng)的可用性。四重冗余結(jié)構(gòu)如圖1所示。

圖1 四重冗余結(jié)構(gòu)示意圖

2oo4表決機(jī)制由每一個(gè)QPP中的CPU間和內(nèi)存間的1oo2表決機(jī)制以及兩個(gè)QPP間的1oo2表決機(jī)制實(shí)現(xiàn)，表決將在模塊本身層面和QPP之間發(fā)生。

3.2 Safety Manager輸出電路的診斷功能

SIS和常規(guī)PLC有相似之處，都對(duì)輸入信號(hào)掃描并按照特定的控制邏輯完成運(yùn)算并最終驅(qū)動(dòng)現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)，也都有數(shù)字通信端口。但常規(guī)PLC從設(shè)計(jì)上并不具備故障容錯(cuò)和故障安全的性能，PLC的一個(gè)數(shù)字輸出電路和可能的故障如圖2所示。

圖2 PLC的一個(gè)數(shù)字輸出電路和可能的故障示意圖

3.2.1輸出短路故障

當(dāng)晶體管的集電極和發(fā)射極短路時(shí)，相當(dāng)于+24V(DC)電源直接接到負(fù)載上，也就是說(shuō)負(fù)載仍處于帶電狀態(tài)。對(duì)于這種不會(huì)導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“被動(dòng)”故障。由于無(wú)法使輸出失電從而進(jìn)入安全狀態(tài)，因此它是危險(xiǎn)的。被動(dòng)故障影響安全但不影響可用性。

3.2.2輸出斷路故障

當(dāng)晶體管的發(fā)射極輸出斷路時(shí)，負(fù)載失電。對(duì)于這種導(dǎo)致正常為帶電狀態(tài)的輸出失電的故障，稱為“主動(dòng)”故障。由于它使輸出失電從而進(jìn)入安全狀態(tài)，因此它是安全的。主動(dòng)故障不影響安全但影響可用性。綜上所述，PLC無(wú)法處理這些被動(dòng)故障，它不能使設(shè)備進(jìn)入到安全狀態(tài)，所以它不能用作SIS。

Safety Manager將兩個(gè)數(shù)字輸出電路串聯(lián)在一起，同時(shí)這兩個(gè)電路的狀態(tài)被實(shí)時(shí)監(jiān)測(cè)診斷，一旦其中的一個(gè)電路出現(xiàn)短路故障，另一個(gè)電路仍然能夠切斷輸出。通過(guò)診斷和電路的這些獨(dú)特設(shè)計(jì)，Safety Manager提供了高的安全性，實(shí)現(xiàn)了單一故障容錯(cuò)。但較多的主動(dòng)故障在很大程度上降低了可用性，而將輸出電路再配置為冗余時(shí)，就極大地提高了系統(tǒng)的可用性，如圖3所示。

圖3 輸出電路的冗余配置

3.3 Safety Manager的Watchdog系統(tǒng)

Watchdog是Safety Manager非常重要的獨(dú)立安全功能，它將監(jiān)視控制器的正確運(yùn)行，并檢查某些控制器運(yùn)行所必須的條件，它的功能是當(dāng)存在可能導(dǎo)致危險(xiǎn)情形發(fā)生的故障時(shí)，確保輸出進(jìn)入安全狀態(tài)。

3.4 Safety Manager系統(tǒng)故障響應(yīng)

診斷是Safety Manager最重要的特點(diǎn)之一，通過(guò)超過(guò)99%的診斷率，Safety Manager的所有硬件和軟件故障都將被檢測(cè)出來(lái)，同時(shí)Safety Manager將按照預(yù)定的方式做出響應(yīng)。

3.4.1故障修復(fù)時(shí)間

通過(guò)故障修復(fù)時(shí)間功能的設(shè)定，系統(tǒng)在平衡可用性的同時(shí)，在一定程度上也保證了安全性。如果系統(tǒng)檢測(cè)出安全相關(guān)的故障，那么對(duì)應(yīng)的控制器將啟動(dòng)故障修復(fù)時(shí)間倒計(jì)時(shí)(圖4)，計(jì)時(shí)時(shí)間內(nèi)可對(duì)故障進(jìn)行診斷處理，當(dāng)計(jì)時(shí)到零時(shí)該控制器停止運(yùn)行，切換輸出，以保證系統(tǒng)進(jìn)入安全狀態(tài)。

圖4 故障修復(fù)時(shí)間設(shè)定界面

3.4.2I/O故障響應(yīng)與設(shè)定

根據(jù)生產(chǎn)現(xiàn)場(chǎng)對(duì)系統(tǒng)I/O信號(hào)的安全和可用性需求的實(shí)際情況，系統(tǒng)組態(tài)時(shí)可對(duì)各I/O數(shù)據(jù)點(diǎn)的屬性進(jìn)行相應(yīng)的設(shè)定，每個(gè)輸入輸出通道都可以有不同的故障響應(yīng)方式，以保證故障發(fā)生時(shí)現(xiàn)場(chǎng)的實(shí)際需求。以數(shù)字量輸出(DO)通道為例，故障響應(yīng)可設(shè)置為L(zhǎng)ow或Application，當(dāng)設(shè)置為Application時(shí)，系統(tǒng)檢測(cè)出通道故障，DO將隨機(jī)輸出邏輯1或0，即可認(rèn)為它是不安全的，Low是安全設(shè)定，故障時(shí)切換輸出，如圖5所示。

圖5 DO通道的設(shè)定界面

3.5 其他系統(tǒng)

為了加強(qiáng)Safety Manager的可用性，可以通過(guò)雙路供電及加裝UPS不間斷電源等其他措施，使其可用性進(jìn)一步增強(qiáng)。

4 結(jié)束語(yǔ)

西氣東輸二線天然氣輸氣站場(chǎng)的SIS以Safety Manager為控制核心，該系統(tǒng)采用冗余控制器配非冗余I/O的結(jié)構(gòu)模式、回路診斷、設(shè)計(jì)優(yōu)化、Watchdog、系統(tǒng)故障響應(yīng)及UPS供電等設(shè)計(jì)都在一定程度上平衡優(yōu)化了系統(tǒng)的安全性和可用性。

控制邏輯單元雖然是整個(gè)SIS的核心，但除此之外SIS還包括現(xiàn)場(chǎng)檢測(cè)儀表和現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)。在IEC61508標(biāo)準(zhǔn)的應(yīng)用統(tǒng)計(jì)中，SIS控制邏輯單元的典型故障幾率為15%、現(xiàn)場(chǎng)檢測(cè)儀表為35%、執(zhí)行機(jī)構(gòu)為50%，因此保證現(xiàn)場(chǎng)儀表及其執(zhí)行機(jī)構(gòu)的可靠性對(duì)于SIS的安全性也是十分重要的。