赵廉斌 朱金辉 张 丽 马铁量 梁 怿 严 密 管文涌

(1.中国石油西气东输管道公司压缩机处，武汉 430070；2.中国石油西气东输管道公司厦门管理处，福建 厦门 361000；3.中国石油天然气管道工程有限公司上海分公司，上海 200120)

2011年6月，随着西气东输二线干线全面贯通投产，我国已建和在建的20多条天然气管道在全国形成了一张近4万km的天然气管网，覆盖了我国27个省、市、自治区和香港特别行政区，近四亿人口因此受益。目前，我国天然气管道上的增压和分输站场已超过两百多座。张萍等对卧式天然气涡旋压缩机增压装置中的供油回路进行了全面分析，根据机械密封的热负荷需油量和压缩机高效运行时压缩腔中气体润滑油的最佳含量建立了装置总需油量的数学模型，由模型可以看出只要装置中各结构参数和气体、润滑油的特性参数确定下来，其各部分的需油量就可以确定。装置在运行时可根据计算出的最佳油量，通过传感器各个部分的供油量，实现供油系统的油量自动控制[1]。

在进行工程设计时，输气站场设置了独立于站控系统的安全仪表系统(Safety Instrumented System，SIS)，当发生天然气大量泄漏、火灾和严重自然灾害时，需要将站场同管道主线路截断隔离，紧急停运压缩机组，并将站内天然气放空，以保护设备和人身安全，防止事态扩大。但是，SIS本身故障所引起的压缩机组停机、输气中断及意外放空等事件，将影响正常生产，造成经济损失。因此，在SIS的安全性和可用性之间找到一个合适的平衡点，成为输气站场SIS设计与选用的关键。

1 安全仪表系统简介①

SIS是帮助过程工业将风险降低到可以接受水平的安全保护装置，一个完整的SIS由现场监测仪表、逻辑解算单元和动作执行机构3部分组成[2]。国际电工委员会在2000年5月发布的IEC61508中，将安全领域的等级划分为四级，SIL1～SIL4[3～11]，如果等级低于SIL1，IEC61508认为不适合作为安全系统。除此之外，德国莱茵认证机构的TUV标准将安全等级划分为8级，AK1～AK8，AK1、AK2对应SIL1，AK3、AK4对应SIL2，AK5、AK6对应SIL3，AK7对应SIL4，AK8为目前最高的安全级别。

SIS的安全性是指当生产工况发生异常时，系统保证生产过程和生产环境处于相对安全状态的能力。SIS的可用性是指系统本身发生故障时，在保证安全功能的前提下，仍能保持生产过程不中断的能力。安全性与可用性是衡量一个SIS的重要指标，从某种意义上说，安全性与可用性是矛盾的两个方面，无论是安全性低，还是可用性低，都会使损失的概率提高。因此，SIS要兼顾安全性和可用性，安全是前提，可用性必须服从安全性；可用性是基础，没有高可用性的安全性是不现实的。

2 天然气输气站场中的SIS

天然气输气站场SIS的现场监测仪表主要有紧停按钮、温/压变送器、火焰及可燃气体探测器等。动作执行机构主要有紧急开关管线阀门的气液联动执行机构和电动执行机构。

西气东输二线管道工程SIS所选用的控制核心为Safety Manager，该系统得到了SIL3和AK6认证[12]，满足输气站场对安全等级的要求。目前，业内较为统一的观点是油气长输管道站场生产应满足SIL3等级的要求。

3 Safety Manager在安全性和可用性上的特点

3.1 Safety Manager结构

Safety Manager可以被组态为多种不同的结构，每种结构有不同的特性和安全功能，详见表1。

表1 不同结构的Safety Manager的特性和安全功能

可以看出，无论何种配置方式，安全性指标都已达到输气站场的安全需求。西气东输二线站场采用四重冗余结构的系统设计，该结构实行冗余四处理器组(Quad Processor Pack，QPP)控制器，每个QPP中含有双处理器，执行基于2oo4的表决机制，对于安全双重容错，增强了系统的可用性。四重冗余结构如图1所示。

图1 四重冗余结构示意图

2oo4表决机制由每一个QPP中的CPU间和内存间的1oo2表决机制以及两个QPP间的1oo2表决机制实现，表决将在模块本身层面和QPP之间发生。

3.2 Safety Manager输出电路的诊断功能

SIS和常规PLC有相似之处，都对输入信号扫描并按照特定的控制逻辑完成运算并最终驱动现场执行机构，也都有数字通信端口。但常规PLC从设计上并不具备故障容错和故障安全的性能，PLC的一个数字输出电路和可能的故障如图2所示。

图2 PLC的一个数字输出电路和可能的故障示意图

3.2.1输出短路故障

当晶体管的集电极和发射极短路时，相当于+24V(DC)电源直接接到负载上，也就是说负载仍处于带电状态。对于这种不会导致正常为带电状态的输出失电的故障，称为“被动”故障。由于无法使输出失电从而进入安全状态，因此它是危险的。被动故障影响安全但不影响可用性。

3.2.2输出断路故障

当晶体管的发射极输出断路时，负载失电。对于这种导致正常为带电状态的输出失电的故障，称为“主动”故障。由于它使输出失电从而进入安全状态，因此它是安全的。主动故障不影响安全但影响可用性。综上所述，PLC无法处理这些被动故障，它不能使设备进入到安全状态，所以它不能用作SIS。

Safety Manager将两个数字输出电路串联在一起，同时这两个电路的状态被实时监测诊断，一旦其中的一个电路出现短路故障，另一个电路仍然能够切断输出。通过诊断和电路的这些独特设计，Safety Manager提供了高的安全性，实现了单一故障容错。但较多的主动故障在很大程度上降低了可用性，而将输出电路再配置为冗余时，就极大地提高了系统的可用性，如图3所示。

图3 输出电路的冗余配置

3.3 Safety Manager的Watchdog系统

Watchdog是Safety Manager非常重要的独立安全功能，它将监视控制器的正确运行，并检查某些控制器运行所必须的条件，它的功能是当存在可能导致危险情形发生的故障时，确保输出进入安全状态。

3.4 Safety Manager系统故障响应

诊断是Safety Manager最重要的特点之一，通过超过99%的诊断率，Safety Manager的所有硬件和软件故障都将被检测出来，同时Safety Manager将按照预定的方式做出响应。

3.4.1故障修复时间

通过故障修复时间功能的设定，系统在平衡可用性的同时，在一定程度上也保证了安全性。如果系统检测出安全相关的故障，那么对应的控制器将启动故障修复时间倒计时(图4)，计时时间内可对故障进行诊断处理，当计时到零时该控制器停止运行，切换输出，以保证系统进入安全状态。

图4 故障修复时间设定界面

3.4.2I/O故障响应与设定

根据生产现场对系统I/O信号的安全和可用性需求的实际情况，系统组态时可对各I/O数据点的属性进行相应的设定，每个输入输出通道都可以有不同的故障响应方式，以保证故障发生时现场的实际需求。以数字量输出(DO)通道为例，故障响应可设置为Low或Application，当设置为Application时，系统检测出通道故障，DO将随机输出逻辑1或0，即可认为它是不安全的，Low是安全设定，故障时切换输出，如图5所示。

图5 DO通道的设定界面

3.5 其他系统

为了加强Safety Manager的可用性，可以通过双路供电及加装UPS不间断电源等其他措施，使其可用性进一步增强。

4 结束语

西气东输二线天然气输气站场的SIS以Safety Manager为控制核心，该系统采用冗余控制器配非冗余I/O的结构模式、回路诊断、设计优化、Watchdog、系统故障响应及UPS供电等设计都在一定程度上平衡优化了系统的安全性和可用性。

控制逻辑单元虽然是整个SIS的核心，但除此之外SIS还包括现场检测仪表和现场执行机构。在IEC61508标准的应用统计中，SIS控制逻辑单元的典型故障几率为15%、现场检测仪表为35%、执行机构为50%，因此保证现场仪表及其执行机构的可靠性对于SIS的安全性也是十分重要的。