中海油东海某气田开发项目分为若干阶段开发, 其中两期项目(下文简称Ⅰ期项目和Ⅱ期项目)共建设八座海上平台, 包括一座中心平台和七座井口平台。每个平台设置了一套紧急关停系统(简称ESD), 用于自身安全生产。所有井口平台的生产物流均需要通过海底管道输送到中心平台进行处理, 再将油和气分别通过原有的平台与陆地之间的长输海管输送到陆地终端。各个井口平台与中心平台间、存在上下游物流关系的井口平台之间设置了关断连锁:当紧急情况发生时, 下游平台触发紧急关停指令, 关停相连的上游平台。要保证关停连锁的可靠性, 需要对安全系统实施扩展, 将各个安全系统组成网络, 才能在各个平台之间实现具有相同安全等级的生产操作。

中心平台与井口平台之间通过海底光缆传递ESD关断信号, 未铺设海底光缆的平台, 则通过卫星网络实现连锁关断。本文重点介绍基于卫星链路扩延安全网络, 从而在各平台间实现连锁关停的方式。

1 安全网系统构成

上述两期项目中控系统厂家提供的安全管理系统(Safety Manager, 简称SM)是一个高度可靠和高度集成的安全系统。SM系统专门针对一些重要的控制应用而设计, 是一种可编程、模块化、基于微处理器的安全系统, 可以满足多种高度集成化过程安全控制功能的需要, 包括:过程安全保护和紧急停车系统; 火焰/气体监测系统; 高安全完整性^[1]压力保护系统; 透平/压缩机安全连锁保护系统; 燃烧/锅炉管理系统等。

为满足用户对不同装置安全性和连续性生产的要求, SM系统在设计上具有多种配置方式, 能满足TUVAK6级及SIL3级标准的要求。在装置或系统出现异常情况时, SM系统的及时响应能确保生产装置处于安全的状态。高度的自诊断功能确保SM系统能在过程安全时间内发挥作用, 在过程安全时间内, SM系统可以完成整个系统的软硬件诊断, 并执行两次以上应用程序。这种自诊断可以消除内部一切可能存在的隐患, 并已获得业界国际权威安全认证机构德国TUV(德国技术监督协会)认证。

将多套SM系统连接在一起, 组成一个安全相关的网络, SM系统之间通过安全相关的协议进行数据交换, 完成点对点通讯。这种依靠专用通讯协议实现安全系统控制器之间通讯的网络就叫做安全网(SafeNet)。典型安全网结构见图(1)。

安全网主要特点如下:

(1) 用于分散的工艺处理单元安全连锁控制;

(2) 各个控制器之间共享安全数据;

(3) 经过TUV认证, 达到SIL3(安全完整性等级);

(4) 遵从专用以太网协议、串口通讯协议; 通讯介质多样:光纤, 公用电话线网络, 无线电网络或者卫星。

每个平台都配置一套ESD系统。平台间ESD信号的传输通过卫星通讯链路或海底光纤来实现, 中心平台中控的SM系统, 通过安全交换机(具有TUV认证的交换机)连接到卫星小站^[2], 通过卫星, 将ESD信号传输到井口平台的卫星小站, 再通过安全交换机, 连接到井口平台的SM系统(图 2)。

上述安全网搭建成功后, 利用中控系统的SafeNet通讯协议(该通讯协议具有时序限制功能, 具备超强的纠错能力)安全、准确地交换信息。

该协议采用星型连接或者树状连接方式, 不但能用于高速的以太网(10/100/1 000兆自适应), 也能应用于串口网络和长延时的网络, 如RS- 485^[3](接口形式), 调制解调网络、电话线网络以及卫星网络。本项目提供的的卫星通讯介质带宽能够满足SafeNet协议的通讯要求。平台间通讯响应时间以及通讯溢出时间均可以通过组态画面监控通讯的确切性。

2 安全网在平台群之间扩延的研究应用

前文所述Ⅰ期项目建设的六座海上平台率先投产, 以中心平台为区域中心, 信号传输通讯链路为:中心平台与井口平台1之间光缆通过栈桥连接, 中心平台与井口平台2/3/4/5通过海底光缆连接, 与陆地终端通过卫星通讯方式连接(图 3)。

Ⅱ期项目建设井口平台6和井口平台7, 生产的油气通过海底管线输送到Ⅰ期项目中心平台进行处理, Ⅰ期与Ⅱ期项目之间无光缆, 通过卫星链路进行通讯(图 4)。

由于井口平台7的物料汇集到井口平台6后需经过井口平台3输送到中心平台最终通过远距离长输海管输送到陆地终端, 平台生产物流路径为:

井口平台7 →井口平台6 →井口平台3 →中心平台→陆地终端

出于对平台安全生产的考虑, 在中心平台, 井口平台3和井口平台6/7之间设计了平台ESD关停信号和报警信号, 来确保紧急情况下通过陆地终端, 井口平台3或中心平台完成井口平台6/7的应急关断^[4], 以确保平台生产和物料传输的安全。平台ESD切断通讯路径为:

井口平台7←→井口平台6←→井口平台3←→中心平台←→陆地终端

Ⅰ期项目中心平台与其他井口平台的ESD系统均已通过海底光缆搭建好完整的SIL3等级安全网系统, 中心平台可以实现各个井口平台的远程关停操作。Ⅱ期项目的两个平台之间也已通过海底光纤搭建好完整的SIL3等级安全网系统, 由于井口平台3和井口平台6之间未铺设海底光缆, 井口平台3出现紧急情况要关停井口平台6时, 需要经过的链路为:

井口平台3 →光纤→井口平台4 →光纤→中心平台→卫星→井口平台6

结合国内外平台卫星通讯传输ESD切断信号的成功案例, 我们采用了卫星通信扩延安全网的方案, 即中心平台和井口平台6之间通过由卫星通信^[5]搭建安全网络来实现ESD关停信号的传输, 确保整个安全网络达到SIL3等级, 基于此方案, 两期项目八座平台的安全网络整体结构见图 5。

根据设计要求, 此次卫星通信需要传输的ESD切断和报警信号汇总见表 1。

根据国际电工委员会IEC 61508, 61511相关概念, 失效分为安全失效MTTF safe^[6](Mean Time to Failure safe发生安全失效的平均间隔时间, 例如:切断阀故障无法打开)和危险失效MTTF dangerous^[6](Mean Time to Failure dangerous发生危险失效的平均间隔时间, 例如:切断阀故障无法关闭), 两种失效模式都有由部件本身特性决定的平均间隔时间。

对于单个设备/器件来讲MTTF为发生失效(故障)的平均间隔时间, 用如下方式计算:

发生失效的平均间隔时间MTTF= ∑无故障运行时间/ ∑故障次数

对于复杂系统来讲, 其整体MTTF计算是根据其组成单元的MTTF, 按照内部结构方式(串联、并联或其他负载结构方式等)进行相应运算得出的。计算过程基于大量卡件、控制器、各组件的详细参数, 并选定大量计算常数, 整合在经过TUV认证的标准工具的数据库中。本项目则需结合表 1通讯参数及安全网网络节点的数量, 运算出的安全网MTTF(失效的平均间隔时间)值如下:

发生安全失效的平均间隔时间MTTF safe = 370年

发生危险失效的平均间隔时间MTTF dangerous = 554 663年

由上述运算结果可见, 基于卫星链路扩延安全网的平均失效间隔很长, 安全网运行(排除卫星链路特定情况的自身故障)的可靠性极高。

3 先进性分析

采用卫星链路扩延后的安全网, 具备如下先进性:

(1) 关停信号直接在控制器之间进行通讯, 不需要监控层转发, 减少中间环节;

(2) 扩延的安全网具有TUV认证的SIL3等级, 即平均每小时连续工作中出现失效的可能性在10^-7和10^-8之间;

(3) 专用控制通讯协议, 低带宽;

(4) 控制器之间通讯方式是点-点方式, 保证发送/接收的确定性;

(5) 适合非批量周期性数据, 且有严格时间要求, 周期性数据传递的场合;

(6) 节约项目建设成本。

4 结论

传统方案中, 平台之间的关停信号多采用海底光缆结合监控层公共协议中转来实现。此方式链路稳定性很好, 但需要通过海底光缆。若平台之间本无海底光缆, 要为通讯链路专门铺设就需要很高的成本投入, 另外, 台风期间下游陆地终端处理厂与海上平台的关停信号传输, 因距离过远(超过200 km)无法采用此方案。此外, 通过监控层公共协议中转, 会加大监控层的数据处理负担, 降低信号响应时间, 还会将监控层纳入到链路中, 增加故障点。随着海洋石油天然气开发离岸远, 以及上下游设施间距大等情况的增多, 同时, 结合限制开发成本的要求, 需要通过卫星链路执行安全关停连锁的工况也逐渐增多。实例证明基于卫星链路扩展安全网的技术具有极高的可靠性, 值得推广应用。