吴晓畅

(广东省天然气管网有限公司，广东广州 510503)

安全仪表系统(Safety Instrumentation System，简称SIS) 广泛应用于长输管道等连续生产的石化行业中，SIS系统能够迅速响应，从而保证人员、设备、生产工艺等的安全。输气生产的安全仪表系统(SIS)包括安全联锁系统、紧急停车系统、可燃气体及火灾检测保护系统等。SIS独立于过程控制系统，生产正常时处于休眠或静止状态，一旦生产装置或设施出现可能导致安全事故的情况时，能够瞬间准确动作，使生产过程安全停止或自动切入到预定的安全状态，因此，对其安全可靠性要求非常高，如果SIS失效，往往会导致严重的安全事故。

1 事故经过

某输气站的SIS发生故障，引发联锁关断并导致站内放空事故。由于设置为故障-安全模式，即当其自身出现故障的情况下启动联锁，按预定的顺序进行关断放空。通过对SIS系统控制器钥匙开关复位，2 h后系统恢复运行，站场也同时恢复正常的输气生产。

2 原因分析

经过数据分析，并对SIS全面诊断和检测，确认SIS工作正常，系统供电异常时导致失电的原因。

2.1 IDLE状态

确认当时SIS状态为IDLE，而导致SIS双控制器都处于IDLE状态的因素如下：①两个控制器同时出现故障；②两块DO卡同时出现故障，并且两块DO卡不同时为奇数或偶数槽位：通过面板操作将两个控制器钥匙开关置位IDLE状态；③SIS失电，再得电后自检通过。

2.2 SIS发生失电确认

通过在线进行诊断，结合站场投产时间可知，发现系统应该运行了至少2 620 h，但诊断信息显示Up time为486 h，Operational time为483 h，证明系统曾经失过电，并且在约3 h后恢复正常运行。这个时间与生产工艺放空及生产恢复时间一致。所以SIS发生失电，导致系统停止重启，从而引起生产放空动作。

2.3 SIS失电可能性确定

经过对系统供电线路及现场环境的分析，提出以下可能导致系统失电的原因：包括SIS本身故障、电源或开关故障以及电缆连接原因、电磁干扰和接地原因、不当操作、环境原因(包括震动)、天气原因、意外或其它。对失电原因的逐条分析如下。

2.3.1SIS本身故障

基于放空因SIS失电而发生，SIS失电的同时，服务器B、交换机B 也都发生失电；并且SIS专家对系统全面诊断评估，未发现系统异常。SIS突发故障和失电同时发生的概率为零，这样就排除SIS存在突发故障的可能。

2.3.2电源、开关、电缆、连接引发的故障

a) 事故发生时站场UPS供电设备中，只有部分设备失电(如服务器B、交换机B等)，而不是全部设备失电(如服务器A工作正常)，因此站场UPS输出正根据各设备失电记录，要产生观察到的失电状况，至少要有4个空开同时故障，又同时恢复。通过计算此概率极低，大约为(7×10n)-1。

b) SIS本身所带的UPS投产期间一直处于正常工作状态。事件发生后对此 UPS进行大量测试，均工作正常。因为失电发生时SIS本身所带的UPS与分电柜中的回路1中为SIS供电的开关同时坏掉，之后又自己恢复的可能基本为零，排除SIS本身所带的UPS当时故障的可能。

c) 对站控系统所有配电接线进行了检查，同时对所有可能相关的线缆进行了断路和短路测试，线缆连接全部可靠，线缆状况均正常，排除由线缆及其连接原因导致失电的可能。

2.3.3电磁干扰和接地原因

a) 在系统人员对系统进行排查的过程中，观察到SIS自带的UPS出现过电压异常现象。经过对历史数据整理，发现之前对UPS进行测试时，UPS监测软件监测到一次电压异常现象，观察到SIS系统UPS一个瞬时输入电压为46 V。

b) 电压异常理论分析。与阴保专业工程师进行核实，发现曾经检测到过外部进入较高的干扰电压。阴极保护设备的损坏就是因为此电压造成的。 阴极保护参考电极的保护栅的接地极与SIS系统的地极，两者的连接是在同一个接地盒中的。这个接地线是平方毫米的铜质电线，电线绝缘层已经烧毁，这说明有超过其可承受的电流持续通过。根据铜质电线额定电流推断，这个电流应该不小于15 A，这样，就可以推算出当时绝缘接线盒内接地极的对地电位，假如此接地极到站场联合接地网的接地电阻为1.5 Ω，则此接线盒内的接地母排的对地电位就不小于22.5 V。同理，SIS的对地电位也是如此，如果将这个电位叠加到SIS的220 V供电电源，就会产生系统电源电压的变化。造成阴保防雷设备烧毁的主要原因是热量。当热量达到临界值的时候阴保防雷设备才会烧毁，造成电压异常的主要原因是瞬时电压，在阴保积累热量的同时，会持续不断地接到波动的感应电压，这个感应电压达到波峰时才是电压异常最明显的时候。因此阴保的烧毁与电压异常的峰值在时间上不存在同时性。

c) 电压异常对SIS的影响。SIS 230 V工作模式下的额定工作电压为200～264 V。当系统接收到超过此范围的电压值时，系统可能会停止工作。

d) 机柜间接地分析。输气站机柜间接地不合理。从布置图可以发现以下问题：一是SIS仪表地接到了机柜上，中控分电柜仪表地接到了机柜上。正常情况下，仪表地需要接在仪表地接地排上。二是SIS机柜仪表地接在了安全地上，安全地接在了柜体上。实际上，仪表地需要接在仪表地接地排上，安全地需要接在安全地接地排上。三是调控中心通讯机柜柜体、工业电视机柜柜体均接了仪表地，应该接到安全地才符合要求。

2.3.4不当操作

查看事故相关记录，与当事人叙述相对应，确定了事故发生时无人在机柜间，导致失电现象的空开位置相距较远，人为同时碰触到相关各开关的可能很小，根据服务器B断电记录，可看到服务器B从断电到重新运行时间间隔，推断服务器为瞬间失电，又立刻恢复，人为很难做到，因此该因素可以排除。

2.3.5其他因素

a)环境原因(包括震动)。根据现场了解并收集相关证据，确认事故发生时现场无特殊环境现象，无施工维护。

b)天气原因。当日天气晴朗，无雷电等干扰因素。

2.3.6分析情况汇总

经过分析和讨论认为：外部强的电磁干扰(公共高压直流输电异常)通过站外管线、站外阴保设备接地、安全系统接地，导致系统瞬间供电电压异常，安全系统瞬间失电。失电导致系统安全联锁动作，从而引起放空关断事故。

3 整改措施

a) 改变阴保机柜的接地连接点，将其接地线直接连接到站场联合接地网，以降低外电磁干扰对站场其他设备的影响。

b) 将阴保机柜接地和仪表接地分开，同时增加其接地线的线径，提高其自身的安全。

c) 严格将安全保护接地和仪表接地分开，分别接入站场联合接地网，避免由于接地的相互影响成为各设备的事故因素。

d) 对联合接地网进行不定期的检查，对电阻不符合要求的及时进行整改，确保接地完好可靠。

e) 后期利用UPE自带的通信功能，对UPS供电输入进行一段时间的连续数据采集和检测，观察记录外部电磁干扰的影响。

f) 开展高压直流排流对管道及其附属设施影响的专项整改治理工作。

g) 加强对生产人员设备工作原理等技术培训，提高安全技能。

h) 加强操作人员全站切断放空事件的应急演练，发生突发应急事件时做好处置科学合理、准确可靠。

4 结语

SIS的安全性是保证任何潜在危险发生时，系统确保过程处于安全状态。只有确保SIS的安全，消除各种影响因素，才能让SIS真正起到应有的保护作用，有效保证输气生产运营的安全平稳长周期运行。