以Safety Manager為控制核心的安全儀表系統在輸氣站場中的可用性和可靠性探討

趙廉斌 朱金輝 張 麗 馬鐵量 梁 懌 嚴 密 管文涌

(1.中國石油西氣東輸管道公司壓縮機處，武漢 430070；2.中國石油西氣東輸管道公司廈門管理處，福建 廈門 361000；3.中國石油天然氣管道工程有限公司上海分公司，上海 200120)

2011年6月，隨著西氣東輸二線干線全面貫通投產，我國已建和在建的20多條天然氣管道在全國形成了一張近4萬km的天然氣管網，覆蓋了我國27個省、市、自治區和香港特別行政區，近四億人口因此受益。目前，我國天然氣管道上的增壓和分輸站場已超過兩百多座。張萍等對臥式天然氣渦旋壓縮機增壓裝置中的供油回路進行了全面分析，根據機械密封的熱負荷需油量和壓縮機高效運行時壓縮腔中氣體潤滑油的最佳含量建立了裝置總需油量的數學模型，由模型可以看出只要裝置中各結構參數和氣體、潤滑油的特性參數確定下來，其各部分的需油量就可以確定。裝置在運行時可根據計算出的最佳油量，通過傳感器各個部分的供油量，實現供油系統的油量自動控制[1]。

在進行工程設計時，輸氣站場設置了獨立于站控系統的安全儀表系統(Safety Instrumented System，SIS)，當發生天然氣大量泄漏、火災和嚴重自然災害時，需要將站場同管道主線路截斷隔離，緊急停運壓縮機組，并將站內天然氣放空，以保護設備和人身安全，防止事態擴大。但是，SIS本身故障所引起的壓縮機組停機、輸氣中斷及意外放空等事件，將影響正常生產，造成經濟損失。因此，在SIS的安全性和可用性之間找到一個合適的平衡點，成為輸氣站場SIS設計與選用的關鍵。

1 安全儀表系統簡介①

SIS是幫助過程工業將風險降低到可以接受水平的安全保護裝置，一個完整的SIS由現場監測儀表、邏輯解算單元和動作執行機構3部分組成[2]。國際電工委員會在2000年5月發布的IEC61508中，將安全領域的等級劃分為四級，SIL1～SIL4[3～11]，如果等級低于SIL1，IEC61508認為不適合作為安全系統。除此之外，德國萊茵認證機構的TUV標準將安全等級劃分為8級，AK1～AK8，AK1、AK2對應SIL1，AK3、AK4對應SIL2，AK5、AK6對應SIL3，AK7對應SIL4，AK8為目前最高的安全級別。

SIS的安全性是指當生產工況發生異常時，系統保證生產過程和生產環境處于相對安全狀態的能力。SIS的可用性是指系統本身發生故障時，在保證安全功能的前提下，仍能保持生產過程不中斷的能力。安全性與可用性是衡量一個SIS的重要指標，從某種意義上說，安全性與可用性是矛盾的兩個方面，無論是安全性低，還是可用性低，都會使損失的概率提高。因此，SIS要兼顧安全性和可用性，安全是前提，可用性必須服從安全性；可用性是基礎，沒有高可用性的安全性是不現實的。

2 天然氣輸氣站場中的SIS

天然氣輸氣站場SIS的現場監測儀表主要有緊停按鈕、溫/壓變送器、火焰及可燃氣體探測器等。動作執行機構主要有緊急開關管線閥門的氣液聯動執行機構和電動執行機構。

西氣東輸二線管道工程SIS所選用的控制核心為Safety Manager，該系統得到了SIL3和AK6認證[12]，滿足輸氣站場對安全等級的要求。目前，業內較為統一的觀點是油氣長輸管道站場生產應滿足SIL3等級的要求。

3 Safety Manager在安全性和可用性上的特點

3.1 Safety Manager結構

Safety Manager可以被組態為多種不同的結構，每種結構有不同的特性和安全功能，詳見表1。

表1 不同結構的Safety Manager的特性和安全功能

可以看出，無論何種配置方式，安全性指標都已達到輸氣站場的安全需求。西氣東輸二線站場采用四重冗余結構的系統設計，該結構實行冗余四處理器組(Quad Processor Pack，QPP)控制器，每個QPP中含有雙處理器，執行基于2oo4的表決機制，對于安全雙重容錯，增強了系統的可用性。四重冗余結構如圖1所示。

圖1 四重冗余結構示意圖

2oo4表決機制由每一個QPP中的CPU間和內存間的1oo2表決機制以及兩個QPP間的1oo2表決機制實現，表決將在模塊本身層面和QPP之間發生。

3.2 Safety Manager輸出電路的診斷功能

SIS和常規PLC有相似之處，都對輸入信號掃描并按照特定的控制邏輯完成運算并最終驅動現場執行機構，也都有數字通信端口。但常規PLC從設計上并不具備故障容錯和故障安全的性能，PLC的一個數字輸出電路和可能的故障如圖2所示。

圖2 PLC的一個數字輸出電路和可能的故障示意圖

3.2.1輸出短路故障

當晶體管的集電極和發射極短路時，相當于+24V(DC)電源直接接到負載上，也就是說負載仍處于帶電狀態。對于這種不會導致正常為帶電狀態的輸出失電的故障，稱為“被動”故障。由于無法使輸出失電從而進入安全狀態，因此它是危險的。被動故障影響安全但不影響可用性。

3.2.2輸出斷路故障

當晶體管的發射極輸出斷路時，負載失電。對于這種導致正常為帶電狀態的輸出失電的故障，稱為“主動”故障。由于它使輸出失電從而進入安全狀態，因此它是安全的。主動故障不影響安全但影響可用性。綜上所述，PLC無法處理這些被動故障，它不能使設備進入到安全狀態，所以它不能用作SIS。

Safety Manager將兩個數字輸出電路串聯在一起，同時這兩個電路的狀態被實時監測診斷，一旦其中的一個電路出現短路故障，另一個電路仍然能夠切斷輸出。通過診斷和電路的這些獨特設計，Safety Manager提供了高的安全性，實現了單一故障容錯。但較多的主動故障在很大程度上降低了可用性，而將輸出電路再配置為冗余時，就極大地提高了系統的可用性，如圖3所示。

圖3 輸出電路的冗余配置

3.3 Safety Manager的Watchdog系統

Watchdog是Safety Manager非常重要的獨立安全功能，它將監視控制器的正確運行，并檢查某些控制器運行所必須的條件，它的功能是當存在可能導致危險情形發生的故障時，確保輸出進入安全狀態。

3.4 Safety Manager系統故障響應

診斷是Safety Manager最重要的特點之一，通過超過99%的診斷率，Safety Manager的所有硬件和軟件故障都將被檢測出來，同時Safety Manager將按照預定的方式做出響應。

3.4.1故障修復時間

通過故障修復時間功能的設定，系統在平衡可用性的同時，在一定程度上也保證了安全性。如果系統檢測出安全相關的故障，那么對應的控制器將啟動故障修復時間倒計時(圖4)，計時時間內可對故障進行診斷處理，當計時到零時該控制器停止運行，切換輸出，以保證系統進入安全狀態。

圖4 故障修復時間設定界面

3.4.2I/O故障響應與設定

根據生產現場對系統I/O信號的安全和可用性需求的實際情況，系統組態時可對各I/O數據點的屬性進行相應的設定，每個輸入輸出通道都可以有不同的故障響應方式，以保證故障發生時現場的實際需求。以數字量輸出(DO)通道為例，故障響應可設置為Low或Application，當設置為Application時，系統檢測出通道故障，DO將隨機輸出邏輯1或0，即可認為它是不安全的，Low是安全設定，故障時切換輸出，如圖5所示。

圖5 DO通道的設定界面

3.5 其他系統

為了加強Safety Manager的可用性，可以通過雙路供電及加裝UPS不間斷電源等其他措施，使其可用性進一步增強。

4 結束語

西氣東輸二線天然氣輸氣站場的SIS以Safety Manager為控制核心，該系統采用冗余控制器配非冗余I/O的結構模式、回路診斷、設計優化、Watchdog、系統故障響應及UPS供電等設計都在一定程度上平衡優化了系統的安全性和可用性。

控制邏輯單元雖然是整個SIS的核心，但除此之外SIS還包括現場檢測儀表和現場執行機構。在IEC61508標準的應用統計中，SIS控制邏輯單元的典型故障幾率為15%、現場檢測儀表為35%、執行機構為50%，因此保證現場儀表及其執行機構的可靠性對于SIS的安全性也是十分重要的。