海洋平臺應急關斷邏輯優化研究

王 彬

(中海石油有限公司天津分公司工程建設中心，天津 300459)

海洋平臺應急關斷邏輯優化研究

王 彬

(中海石油有限公司天津分公司工程建設中心，天津 300459)

海洋采油平臺設置應急關斷系統的主要目的是在事故工況下，使工藝系統關斷以保護平臺人員和工程設施的安全，防止污染，將事故的損失限制到最小。常規設計中應急關斷系統設置為四個關斷級別，當觸發生產關斷時引起整個平臺生產的關斷，雖然保證了平臺人員及生產的安全，但是關停設備過多會影響平臺產量。針對此問題，研究通過邏輯優化關停部分設備的應急關斷系統，在保證人員及平臺安全的前提下，減少關停設備，提高平臺產量，實現降本增效。

海洋平臺；應急關斷系統；平臺安全；提高產量；降本增效

0 引 言

應急關斷(ESD)系統是海上工程設施中最重要的系統之一，其作用是提高工藝生產裝置及其輔助設施的安全性。安全操作一般來講就是保證海上工程設施的生產人員、生產設備和周圍環境的安全。當然安全沒有絕對的，通常可以理解為遠離危險或最多可能發生可接受的低程度傷害與破壞，或者是只可能發生可以接受的社會、經濟和法律責任的危險。因此對于不同的生產設施，可以根據實際需要設置不同安全等級的應急關斷系統[1]。

1 應急關斷系統

1.1 應急關斷系統相關標準規范

近年來，國際電工委員會先后出臺了IEC61508安全相關系統標準、IEC61511流程工業部門標準、IEC62061機械部門標準和IEC61513核工業部門標準，逐步形成了功能安全標準的國際體系。根據IEC61508及IEC61511標準的相關定義，應急關斷系統是執行安全功能的安全相關系統。功能安全是安全相關系統的關鍵屬性，指安全相關系統執行的安全功能本身的安全性，它取決于安全功能的正確執行。安全完整性水平是指安全相關系統實現某種安全功能的能力大小。根據IEC61508標準，安全完整性是指安全相關系統在規定的時間內、規定的條件下，成功實現所需安全功能的概率，以及安全功能能夠有效執行的能力。而安全完整性等級(SIL)則用于衡量這種能力的大小。SIL等級的確定或評估以風險作為度量標準。SIL等級根據“平均要求失效概率”(PFDavg)的值分為四個離散的等級，即SIL1～SIL4。表1是在低要求操作模式下，SIL等級與PFDavg的對應關系。

表1 SIL與PFDavg對應關系Table 1 Correspondence between SIL and PFDavg

海洋工程平臺在設計之時需要對各種危險和過程風險進行系統安全分析，危險性分析報告中包括了關于過程風險的各種信息，以及已有的保護層和為了提高安全性需要增加的安全功能。再根據事件發生的頻率后果程度最終確定應急關斷系統所需要達到的SIL等級。

1.2 應急關斷系統的設備及設置點

應急關斷系統應至少包括以下部分： (1)應急關斷控制盤(設在控制室內)；(2)手動應急關斷啟動開關或閥門；(3)安裝在重要工藝設備和公用設備上，在異常情況下能發出關斷信號的自動檢測開關；(4)火災與可燃氣體探測報警裝置；(5)信號轉換及各種執行機構、電磁閥、關斷閥等。

手動應急關斷啟動開關或閥門應設置在直升機甲板、救生艇登乘處所、居住處所的逃生口和平臺間的棧橋入口、進口區附近等關鍵地點。

應急關斷信號應由一次儀表直接給出，并直接傳到各執行裝置。

1.3 應急關斷系統的關斷原則及關斷等級

應嚴格、合理地設計應急關斷系統的關斷級別，使之既能保障人員和設備的安全，又可避免不必要的大范圍的關斷。

通常情況下，應急關斷系統設置為四個級別，每一級的關斷與后面的低級關斷串聯或連鎖連接，即某一級別的關斷只能觸發本級和較低級別的關斷而不能觸發高級的關斷。四個關斷級別如下。

(1) ESD1(棄平臺關斷)： 最高級別關斷，平臺上除應急支持系統延時關斷外全部關閉。只能由平臺長或指定的專人啟動，棄平臺按鈕一般安裝在中控室、救生艇登船處、直升機甲板處，有明顯的標志或警告牌，并有罩殼保護。

(2) ESD2(火氣關斷)： 由平臺火災或可燃氣體嚴重泄漏引起，可由操作人員手動啟動或由火氣控制系統自動啟動。

(3) ESD3(工藝/公用系統關斷)： 也稱為生產關斷，一般由主電源或儀表風、熱介質等公用系統故障或者由井口油管壓力高高低低等工藝系統的重要環節引起，有手動和自動兩種啟動方式。

(4) ESD4(單元關斷)： 單個設備或單井故障引起，可手動啟動或自動啟動[2-3]。

工藝/公用系統關斷將會引起生產的關斷，導致平臺生產的中斷，影響平臺產量。當恢復生產時需要大量的操作人員去恢復生產，且耗費較大的能量(如電機、電潛泵等用電設備的啟動耗費較大的電能)。針對工藝/公用系統關斷，本文提出生產平臺部分關斷的設計思路，可以在保證操作人員及平臺安全的情況下，最大限度地減少關停設備，保證平臺產量，實現降本增效。

1.4 應急關斷系統的特點與設計原則

設置應急關斷系統的主要目的是為了保護平臺人員和設施的安全，防止環境污染，將事故的損失降至最低。

應急關斷系統一般都與過程控制系統分開設置，可以降低控制功能和安全功能同時失效的概率，過程控制系統的故障不影響應急關斷系統的獨立工作。另外不同于過程控制系統的動態調節特性，應急關斷系統是相對靜態的，不需要人工干預，不僅有利于避免人為誤動作的發生，也有利于提高應急關斷系統的響應速度，保護設備，避免事故擴大。應急關斷系統的設置必須根據工藝過程的運行規律，為工藝過程在正常運行和非正常運行時服務。正常時應急關斷系統不能影響過程運行，在工藝過程發生危險情況時應急關斷系統應發揮作用，保證工藝裝置的安全。這就是系統設計的過程適應原則。

應急關斷系統的設計必須滿足工藝裝置的安全運行，在發生異常情況時發揮作用，使安全連鎖系統按預定要求動作，以確保工藝裝置的生產安全，避免重大人身傷害及重大設備損壞事故。對于應急關斷系統，可靠性有兩個含義，一個是應急關斷系統本身的工作可靠性；另一個是應急關斷系統對工藝過程認知和聯鎖保護的可靠性。應急關斷系統不但要有足夠的工作可靠性，還應有對工藝過程測量、判斷和聯鎖執行的高可靠性。而對于應急關斷系統對工藝過程的認知，還應當重視系統的可用性，正確地判斷過程事故，盡量減少裝置的非正常停工，減少開、停工造成的經濟損失。應急關斷系統具有高可用性或高容錯能力，但不能以降低安全性作為代價，喪失安全性的可用性是沒有意義的。可靠性與可用性之間的關系從某種意義上說是矛盾的兩個方面。某些措施會提高可靠性，但會導致可用性的下降；反之亦然。可靠性與可用性是衡量一個應急關斷系統的重要指標，無論是可靠性低、還是可用性低，都會使損失的概率提高。因此，在設計一個應急關斷系統時，要兼顧可靠性和可用性。可靠性是前提，可用性必須服從可靠性： 可用性是基礎，沒有高可用性的可靠性是不實際的。

應急關斷系統系統一般采用通過權威安全機構認證的安全儀表系統(SIS)，符合SIL 3/TüVAK-6的安全級別。SIL3認證系統應包括與操作員工作站和工程師工作站上配置的安全控制系統相關的系統軟件、硬件和安全控制網絡，例如控制器模塊、I/O模塊、通信模塊、數據通信總線和軟件。此外，為進一步增強應急關斷系統系統的可用性，應急關斷系統需要提供1∶1物理冗余設備，包括控制器模塊、I/O模塊、通信模塊和電源模塊(其中有電源變壓器、電源整流器及其他電源供應設備等)控制系統、以太網、網絡交換機、網線、數據通信總線、數據存儲設備和其他必要的硬件。

應急關斷系統應采用“故障安全型”原則，當應急關斷系統的元件、設備、環節或能源發生故障或失效時，系統設計應當使工藝過程能夠趨向安全運行或安全狀態。即在正常的工況下，檢測回路觸點是閉合的，整個回路帶電，具有實時回路檢測功能，但當處于異常狀態時，觸點斷開，回路失電，關斷相應的裝置和設備。同時應急關斷系統應是一套冗余、容錯、自我診斷的系統。

應急關斷系統應能夠監視每個I/O卡的每個I/O通道的短路故障和接地故障，并且所有這些都可以顯示為故障報警。應急關斷系統應該能夠監視每個數字輸入監控(DIS)I/O卡的開路和短路故障，其數字輸出卡件在同一時間每個通道輸出的最低電流為500mA。這樣的總通道數量每個卡件不超過8個；處理器內存不低于16MB，處理器主頻不低于50MHz。

應急關斷系統須能夠處理和發布所有的數據信號和輸出信號，用以激活警報系統、火災保護系統和關斷系統。應急關斷系統應能顯示和記錄火災報警、燃氣報警、消防設備狀態和采暖通風與空調(HVAC)系統狀態，并具備特定功能如測試、復位、消音/確認和旁路/抑制設施。

在應急關斷系統系統設計過程中，為充分考慮系統將來的日常維護工作，每級應急關斷系統在關斷輸出處設置“旁路”功能，從而避免在維修過程中由于操作人員的誤操作，導致平臺生產設備的關停，進而影響平臺的安全生產。應急關斷系統的常用應急關斷系統框圖、因果圖的形式能表達整個系統的邏輯狀態，使用梯形圖編程語言描述邏輯以最終實現系統邏輯功能的準確表達。

應急關斷系統必須具備在線擴容的能力，即在系統運行過程中擴容而不產生擾動和意外關斷。其事件順序(SOE)數據應帶有事件標簽且分辨率顯示為1ms，與操作員站和工程師站的其他普通報警數據列在一個信息欄中。

2 項目應用

2.1 項目簡介

渤中19-4油田綜合調整開發新建一座WHPC平臺，該平臺是一座帶有原油處理、生產污水處理設施的井口平臺，是一座8腿井口平臺，并設有60人的生活樓和180型的修井機，同時計劃設置生產井15口、注水井6口、預留井槽11個。渤中19-4 WHPC井口平臺和渤中19-4 WHPB井口平臺通過棧橋相連。將渤中19-4 WHPB平臺所產物流超出分離器處理能力的部分，輸送至渤中19-4 WHPC平臺的生產分離器進行處理，WHPB平臺和WHPC平臺分離出的含水原油與天然氣混合后通過原渤中19-4 WHPB送至渤中19-4 WHPA平臺，再與WHPA平臺物流混合后通過海管外輸至浮式生產儲卸裝置(FPSO)海洋石油113進行處理。同時，渤中19-4 WHPB和WHPC平臺的生產水進入WHPC生產水處理系統處理后回注，WHPC平臺水處理量不滿足注水量要求，需要海洋石油113補充。原油物流簡圖如圖1所示。

圖1 原油物流圖Fig.1 Materials flow

2.2 生產關斷設計

新建的渤中19-4 WHPC平臺與渤中19-4 WHPB平臺工藝流程關聯緊密且供電依托上游平臺設施，總體開發方案(ODP)階段設置的邏輯為： 當渤中19-4 WHPB平臺發生棄平臺關斷、火氣關斷、生產關斷時，將引起渤中19-4 WHPC平臺生產關斷；當渤中19-4 WHPC平臺發生棄平臺關斷、火氣關斷、生產關斷時，將引起渤中19-4 WHPB平臺生產關斷。此種關斷邏輯最大限度地保證了兩個平臺的人員及生產設施的安全，然而當兩個平臺中的任何一個觸發ESD3生產關斷時都會引起兩個平臺的生產關斷，從而嚴重影響平臺的產量，因此擬對ESD3生產關斷進行優化設計。

在后續設計階段，通過分析平臺物流關系可知，由于WHPB平臺產量的提高，導致產液量超過自身油氣處理設備的處理能力，需要分流一部分到WHPC平臺進行油氣處理。當WHPB平臺觸發生產關斷時，送往WHPC平臺的物流中斷，但是不會影響WHPC平臺的正常生產。因此將邏輯設置為當WHPB平臺觸發生產關斷時，僅在WHPC平臺產生報警信號，不連鎖觸發WHPC的生產關斷。

WHPC平臺生產關斷分為兩種情況。一是WHPC井口區的異常工況，此時的工況僅對井口區的人員及井口設備設施產生威脅，并不會危及油氣處理設施的正常運行，即WHPB平臺輸送至WHPC平臺的物流可以正常進行油氣處理工作。在此工況下觸發WHPC平臺部分關斷，僅關斷WHPC井口區的相應設備設施，并將關斷信息傳送至WHPB平臺，但僅產生報警信息，不觸發連鎖關斷。二是WHPC油氣處理設備異常工況，此時觸發WHPC平臺全部生產關斷，生產暫停。由于WHPB平臺部分物流輸送至WHPC油氣處理設施中進行油氣處理，在此工況下只需關停WHPB部分井口，中斷送往WHPC平臺的物料即可，無需觸發WHPB平臺的全部生產關斷。關斷的連鎖關系如表2所示。

表2 關斷連鎖關系

注：“—”表示不動作。

2.3 設計方案的實施

應急關斷系統層級的劃分如圖2所示(僅體現ESD3生產關斷)，WHPC生產關斷分為ESD3、ESD3-A兩個級別。ESD3(公用/生產關斷)關斷，此關斷設置為當WHPC平臺的工藝、油氣處理設備出現異常工況時進行關斷。結合WHPC平臺設備的設置情況，觸發因素主要有： 應急盤ESD3按鈕、關鍵房間ESD3、ESD手動報警站壓力低低、失主電、生產分離器液位高高/低低、生產分離器壓力高高/低低、儀表氣壓力低低、閉排灌液位高高、下游海底管道故障、WHPB ESD1/2，當以上因素有一個發生時即觸發WHPC平臺生產關斷。主要關斷的有： 閉排泵、化學藥劑注入泵、所有井上安全閥、所有電潛泵、工藝管線上的關斷閥、觸發聲光報警，與此同時將關斷信號傳送至WHPB平臺，WHPB產生部分井的關斷(WHPB平臺油氣處理系統正常運行)，且WHPB部分關斷可以做成選擇邏輯，平臺操作人員可在中控運行畫面上選擇關斷哪些井口，根據生產實際進行調整，保證在平臺安全前提下最大限度地保證生產。

ESD3-A(井口生產關斷)為WHPC平臺井口區產生的關斷，觸發因素主要有： 井上安全閥儀表氣壓力低低、井下安全閥液壓油壓力低低、井口控制盤油箱液位低低、井口控制盤油箱油管壓力低低。由于ESD3-A的觸發因素僅限于井口區，不會危及到工藝油氣處理設備設施的安全及正常運轉，因此只關斷所有井上安全閥、所有電潛泵、工藝管線關斷閥、部分化學藥劑注入泵。WHPC平臺的油氣處理設備正常運轉，從WHPB平臺傳送過來的物流可以正常處理，不影響WHPB平臺的生產，因此在ESD3-A關斷情況下，WHPB平臺不需要做任何關斷，保持正常生產。

圖2 關斷層級劃分圖Fig.2 Shutdown levels

3 結 語

本文對應急關斷系統中的生產關斷進行了優化設計，優化設計后兩個平臺的關斷邏輯為：

當渤中19-4 WHPB平臺發生棄平臺關斷、火氣關斷將引起渤中19-4 WHPC平臺生產關斷。

當渤中19-4 WHPC平臺發生棄平臺關斷、火氣關斷將引起渤中19-4 WHPB平臺生產關斷。

當渤中19-4 WHPC平臺發生ESD-3(公用/生產關斷)將引起渤中19-4 WHPB平臺部分井口關斷。

當渤中19-4 WHPC平臺發生ESD-3A(井口生產關斷)時渤中19-4 WHPB平臺不觸發關斷。

當渤中19-4 WHPB平臺發生生產關斷時渤中19-4 WHPC平臺不觸發關斷。

目前，采用優化后的應急關斷系統與關斷邏輯已經在渤中19-4平臺應用，系統自投產以來，未出現高級別的連鎖關斷，避免了渤中19-4平臺的大面積生產關斷，在保證平臺安全的前提下，保證了平臺的產量，實現了降本增效。本設計方案在工程實踐中得到了驗證，取得了良好的經濟和社會效益。同時對其他海洋采油平臺應急關斷系統的設計具有一定的參考意義。

[1] 《海洋石油工程設計指南》編委會.海洋石油工程設計指南[M].北京： 石油工業出版社，2007.

[2] 崔繼鵬,陳啟衛,王偉,等.緊急關斷系統在海洋石油平臺上的應用[C].2009年度海洋工程學術會議論文集(下冊)，2009： 6.

[3] 韓小磊.緊急聯鎖關斷系統在海洋采油平臺中的應用[J].石油化工自動化,2015(3)： 68.

ResearchonEmergencyShutdownLogicOptimizationofOffshorePlatform

WANG Bin

(CNOOCLtd.Tianjin,Tianjin300459,China)

The main purpose of offshore oil platform to set emergency shutdown system is, under accident conditions, to shut down the process system to protect the platform staff and engineering facilities, so as to prevent pollution and reduce the loss of the accident to the minimum. The conventional design of the emergency shutdown system defines four off levels. When production shutdown is triggered, the whole production platform is shut down, which ensures the safety of personnel and production platform, but shutting down equipment will also lower the platform production. Aiming at this problem, logic optimization of the emergency shutdown system is carried out. It is proposed to close the emergency shutdown system of certain equipment in the premise of ensuring the safety of personnel and platform to reduce the shut down equipment, improve platform output, and achieve cost-saving and efficiency-increasing.

offshore platform; emergency shutdown system; platform security; increase production; cost-saving and efficiency-increasing

U674.38+1

A

2095-7297(2017)01-0053-05

2016-12-02

王彬(1977—)，男，工程師，主要從事海洋石油工程設計及技術管理工作。