成品油管道站场安全仪表功能分析及改进措施
2020-03-25李彦刚陈井军
李彦刚,陈井军
(中国石化销售股份有限公司华中分公司,湖北武汉 430023)
输油泵站作为整个成品油管输系统的枢纽,是保障整个输油系统正常运行的关键部分。输油站通常具有正输、反输、加压、分输等多个工艺流程,自动化程度高,同时涉及高压、易燃、易爆油品,一旦输油站场发生事故,都将引发极其严重的后果。输油站远控阀室执行机构误动作是日常运行中的常见事故,输油管道干线阀门突然关闭,上游站场持续供油,水击压力反复叠加会导致管线破裂。站场安全仪表系统在设计时要考虑这一点,设计合理的功能保护措施。
1 过程控制系统与安全仪表系统
成品油管道工业控制系统中常用的两种系统为过程控制系统(SCADA)和安全仪表系统(SIS)。SCADA系统是以计算机为基础的生产过程控制与调度自动化系统,可以实现对现场运行设备及其工况的监督和控制,以实现数据采集、设备控制、状态检测、参数调节以及各类信号报警、历史数据查询等多项功能;SIS系统主要针对控制系统中报警和联锁部分,对控制系统中的检测结果实施报警动作或调节或停机控制,是自动控制中的重要组成部分,包括传感器、逻辑控制器和最终执行元件[1]。
SIS系统可以监测生产过程中出现的或者潜伏的危险,发出报警信息或直接执行预定程序,立即进入操作,防止事故的发生,以降低事故带来的危害及其影响。成品油管道常用的安全仪表系统有:紧急截断系统(ESD)、高高液位报警系统、过压保护系统、超前水击保护系统等。
SCADA系统与SIS系统都属于控制系统,控制对象均为生产过程,并且具有相似的物理结构,都是是由传感器、控制器和执行器组成。
SCADA系统主要面向生产过程控制,它的作用是对生产过程的工艺参数进行检测和控制,保障生产过程的正常进行,其本身的安全等级及降低风险的能力均较低。SIS系统是保障工艺过程安全的装置,当工艺过程由于一些原因发生异常,SIS系统按照预定的控制逻辑发出控制指令,阻止工艺过程继续向危险的趋势发展,起到保障安全的作用[2]。SIS系统本身的安全等级要求较高,所采用的设备均要经过SIL(安全完整性等级)认证,具有降低高风险的能力[3]。
2 SIS系统功能分析
成品油管道SIS系统组成主要有:油气火灾报警系统、紧急截断系统(ESD)、高高液位报警系统、过压保护系统、超前水击保护系统等。输油站需要SIS系统实现远控阀室执行机构误动作保护功能主要有两种逻辑:截断进出站阀并停输油泵组或调节出站调压阀及输油泵组出口阀。
针对输油管道站间远控阀室执行机构误动作这一输油站常见事故,对SIS系统安全功能进行分析,其结构如图1所示。该SIS系统的传感器部分仅包括压力变送器PT101-PT103,远控阀室执行机构误动作,导致管道产生水击波,上下游站场的进出站的压力变送器获取水击波的信号,压力变送器将该信号传送给逻辑控制器。经逻辑控制器处理后输出的信号传送到出站调压阀307,出站调压阀307通过改变阀门开度将泵组压力截在站内,同时通过调节泵组出口阀403,降低泵组的扬程。这样将泵组外输的压力控制在站内,避免水击波的叠加,实现水击保护。
图1 远控阀室执行机构误动作水击保护
从整个SIS系统的信号流向来看,传感器、逻辑控制器与执行器三部分为串联关系,逻辑控制器输出信号调节调压阀及泵组出口阀两个阀门,任何一个阀门执行机构故障都会导致安全功能不能完成,所以执行器也为串联关系。该逻辑结构采用2∞3的冗余表决结构,3个独立的传感器,3个独立通道构成两两串联的输出结构。当有两传感器或通道发生危险失效时,系统发生危险失效;当有两传感器或通道发生安全失效时,系统发生安全失效。该结构兼顾了安全性与可用性,适用于两者都要求较高的情况。
输油站场安全仪表失效事件中,执行器的失效率最高,占了绝大部分,高达89%,其次是传感器,逻辑控制器所占比例最小。通过对输油站场SIS系统进行了失效分析,结果表明:逻辑控制器的可靠性最高,执行器的可靠性最低。
3 改进措施
成品油长输管道的远控阀室与输油泵站间一般为光缆通信或租用链路,通信保障情况良好。在远控阀室电动执行机构动作的信号可以实时传输至输油泵站SCADA系统,且装有差压变送器。在原有逻辑的进行修改上,并将远控阀室内差压及执行机构动作信号的纳入SIS系统逻辑,远控阀室差压变送器压力差超过某个数值时,且在有限的时间段内,执行机构非全开状态,此时判断远控阀室执行机构误动作。此时,远控阀室的上下游站场SIS系统保护逻辑同时触发,上站进行调压及顺序停泵,下站进行关闭进站执行机构的逻辑,保障管道内压力,避免形成液柱分离的情况。但考虑通信异常的情况及水吉波传输的时间,同时为了保证输油工况的稳定,在SIS系统保护逻辑上做延时,避免湍流状态下导致SIS系统保护逻辑触发,经水力分析后,对原SIS系统保护逻辑进行改进。
3.1 SIS逻辑改进措施
经SIS功能及水力分析后,改变原SIS逻辑,分为远控阀室通信正常及中断两种情况,通信正常情况下,远控阀室差压变送器压力差持续2 s超过0.5 MPa,且执行机构全开状态,此时判断远控阀室执行机构误动作。改进后的结构图如图2所示。
图2 通信正常情况下SIS逻辑
通信中断情况下,将原有触发逻辑增加延时,远控阀室上游站场的2∞3的冗余表决结构触发逻辑延时5 s关闭出站执行器301,调小调压执行器307,并顺序停泵,远控阀室下游站场进站的2∞3的冗余表决结构触发逻辑延时5 s关闭进站执行器401,如图3所示。
图3 通信中断情况下SIS逻辑
3.2 执行器改进措施
对SIS系统失效率采用Markov Model(马尔科夫模型)[4]进行平均PFD(危险失效率)与PFS(安全失效率)的计算,已验证现有配置所能达到的SIL等级。结果如表1所示。
从各部分PFD对最终SIL等级的影响看,执行器所占比重最大,为95%,可见,执行器是对SIL等级影响最大的部分。传感器在各SIF中的平均比重为3.26%,逻辑控制器在所有SIF中,比重均小于2%,所以逻辑控制器对SIL等级影响最小。从PFD的计算结果可以看出,执行器将对安全生产带来隐患。针对不能满足SIF要求的设备,需要认真分析原因,找到影响SIL等级的关键部件进行改进。主要有3方面的措施:改变功能测试周期、改进系统冗余表决结构与提高单个设备可靠性。改进系统冗余表决结构与提高单个设备可靠性费用较高,一般不采用,本文推荐采用改变功能测试周期的措施,降低执行器的失效率。
表1 PFD与PFS计算结果
经过验证,将执行器的功能测试周期由1年缩短为3个月,执行器失效率降低至原失效率的20%,可大大提高可靠性。
4 结论
a) 针对长输管道输油泵站SIS系统远控阀室执行机构误动作的安全仪表系统保护逻辑进行优化,将远控阀室执行机构及差压信号引入SIS系统,并做通信是否异常的判断,进一步提升安全仪表系统的可靠性。
b) 对现有配置进行SIL等级验证,找到薄弱环节为执行器,缩短对执行器的功能测试周期,降低执行器失效的概率,提高可靠性。