浮式生产储油轮应急关断系统的设计

董海杰

(中海油能源发展采油服务公司，天津 300457)

0 引言

随着人们对海上石油的依赖程度越来越高，在海洋采油由浅海逐步走向深海作业的过程中，逐渐开发了一些适用于深海开发的海上石油生产处理装置。浮式生产储存卸货装置(floating production storage＆offloading unit，FPSO)就是其中的一种。作为一种浮式生产系统，FPSO集原油处理、存储及外输工作于一体，因此被广泛应用于浅海、深海及边际油田的开发。

由于FPSO是油气处理装置，在生产过程中涉及大量的原油输入和输出，并伴生大量的碳氢气体，一旦发生安全事故，后果将不堪设想。因此，必须设计一套性能可靠、功能完善的应急关断系统(emergency shutdown system，ESD)，以用于处理各种意外事故。应急关断系统要求能够针对不同的情况自动采取相应的关断措施，以保证人员和设备的安全，从而最大限度地减少经济损失和对环境的影响。

本文对FPSO应急关断系统的安全完整性进行了探讨，并对相关设计方法和特点进行了总结。

1 ESD与PCS的区别

在FPSO中有一套集中的控制系统，即中央控制系统(central control system，CCS)，它是整个工艺系统、公用系统的控制中心和安全保障中心。该系统包括过程控制系统(process control system，PCS)、应急关断系统(ESD)和火气探测系统(fire＆ gas system，F＆G)，这三个系统原则上彼此独立运行，根据需要会有一定的数据交换［1］。

虽然ESD系统和PCS系统都是对现场信号进行监测、控制，但它们是两种目的功能不同的系统，在功能上相对独立又互为补充，主要差异如下。

①设计标准规范不同

ESD系统属于安全仪表系统的范畴，其产品选用、系统设计都是按照规定的标准要求进行的(如IEC 61508和IEC 61511等标准)，有着统一的国际(国内)标准规范，并为制造商、用户各方所接受。PCS系统只需要达到使用国家及地区的标准规范要求、满足使用者提出的要求即可。使用者在选择和综合评估不同制造商的PCS系统时，较多考虑的是先前的使用经验和供应商提供的资料数据。

国际上一些主要的安全标准及安全证书等级如表 1所示［2］。

表1 安全标准及安全证书等级Tab.1 Levels of safety standards and security certificates

②产品定位不同

ESD系统用于生产过程中的安全防护，安全功能是其核心定位，要求具有较高的可靠性和可用性。PCS系统则用于生产中的过程控制，控制功能是其核心定位，要求满足并实现生产过程中所需要的各种控制功能。

③工作特性不同

PCS系统是一个“动态”的过程控制系统，其实时采集现场大量的各种工艺参数，并根据设定的控制策略进行运算，然后由现场执行元件(调节阀等)执行。这个过程经常伴有操作人员的人工干预，响应处理速度一般在几百毫秒到1 s之间。ESD系统可以看作是一个“静态”的系统，正常工况下，它是“静止”的，不会发出控制输出指令;而一旦达到或超过临界点，即快速响应进行逻辑运算，处理后控制执行元件 (电磁阀、两位式快动阀等)的动作，使装置处于所需的安全状态。这个过程一般没有人工操作干预，响应处理速度一般在几十到几百毫秒，优于 PCS系统［3－4］。

由上文可知，在ESD系统设计时，要特别注意ESD与PCS的差异，不能按PCS的选型思路来选择ESD系统，且需重点关注ESD系统的安全性、可用性与可靠性。

2 ESD系统安全完整性的确定

安全完整性等级(safety integrity level，SIL)是指在一定时间、一定条件下，安全系统执行其所规定的安全功能的可能性［3］。当选择ESD系统时，需要确定系统的安全完整性等级。安全完整性等级是对安全仪表系统安全性能的要求级别。一个装置的危险性越高，对安全仪表系统要求的安全等级就越高，其所获得的对应级别安全性能所付出的安全成本也就越高。

通常，大型石化和电力行业所需的安全等级为SIL3级。FPSO作为离岸较远的生产设施，其油气开采、加工、储运的工作方式也是周围海域重大危险源之一，对人身、设备和环保有重大的影响。所以一般要求ESD系统的安全完整性等级能达到SIL3。

需要特别指出的是，安全完整性等级是对整个系统而言的，包括输入输出环节上的所有串联设备都应该纳入考虑的范畴。然而，现阶段输入输出设备能够达到SIL3的并不多，输入输出设备中的变送器 (传感器)、安全栅、继电器、电磁阀和阀门等多为SIL1或SIL2。因此，在进行ESD系统整体设计时，需要根据具体使用情况和安全性要求进行评估后选择，并尽可能地选用接近所要求安全完整性的产品，在关键回路中尽量选用 SIL高的产品，或通过其他方法来提高SIL等级。在ESD系统中使用的变送器，单台使用的情况下SIL可能只能达到SIL1或SIL2。如果需要达到SIL3，就需要使用多台变送器，且需要通过表决取值(三选二、变化率选择或其他方式)来实现［5］。

3 系统的设计

FPSO从功能上可以分成上部模块和船体两大部分。为方便管理，应急关断系统一般也分成工艺处理子系统(production shutdown，PSD)和船舶子系统(vessel shutdown，VSD)两部分。PSD主要用于保证原油工艺处理模块的安全，VSD主要负责船体以及除工艺处理模块以外全船其他部分的安全。系统构成示意图如图1所示。

图1 ESD系统构成图Fig.1 Compositions of ESD system

3.1 设计原则

ESD紧急关断系统按照安全独立原则要求，独立于PCS系统，安全级别也高于PCS。当FPSO的任何生产装置出现紧急情况时，无需经过PCS系统，由ESD直接发出保护联锁信号，对现场设备进行关停，从而避免故障扩大造成不必要的损失。PSD子系统的设计以原油处理流程的特点和现场操作人员的使用习惯为设计依据。VSD子系统的设计原则是在保证安全的前提下，尽可能地减小对生产的影响。

3.2 ESD关断等级的设计

关断等级是把关断的结果进行分级处理，以方便管理与维护。一般根据FPSO的生产特点、设备的重要性、可能发生事故的严重性等综合考虑，将应急关断系统分为四个级别，即1级～4级。

3.2.1 等级关系的确定

某一级的关断不能引起较高级别的关断，只能驱动所有较低级别的关断。ESD系统等级关系图如图2所示。

图2 ESD系统等级关系图Fig.2 Relationship of the levels of ESD systems

3.2.2 等级说明

ESD系统的各等级说明如下。

①ESD1级关断为弃船关断。该级关断级别最高，只能由FPSO总监或指定专人手动启动。启动后，FPSO上部设备除应急支持系统延时关断外，全部关停。ESD1级手动按钮分别设在 FPSO的控制室、救生艇登船处和直升机坪等处，设有明显的标志或警告牌。

②ESD2级关断为火气关断。该级关断由 FPSO火灾或可燃气体严重泄漏引起，可在观察到火情后手动启动，也可由火气控制逻辑自动启动。该级关断除执行本级关断的特殊功能外，还将引起ESD3级和ESD4级关断。

③ESD3级关断为公用系统或生产关断关断。该级关断由主电源、仪表风及热介质等公用系统故障以及生产系统的重要环节故障引起，可手动或自动启动。除执行本级关断的功能外，该级关断还将引起 ESD4级关断。

④ESD4级关断为单元关断。该级关断可由单个设备故障引起，且只关断故障设备，不影响其他设备的正常操作。ESD4级关断可手动和自动启动。但由于关掉单台设备后会产生连锁反应，因此在进行逻辑分析时必须全面考虑。

3.2.3 实际情况的应用

下面以116号FPSO的应急关断系统的等级细分进行举例说明。

①ESD1级关断(总关断)

ESD1级关断级别最高，在遇到无法抗拒的情况下(如海啸、地震，无法控制的火灾、油气泄漏等严重事故)，系统强迫关断。

ESD1级关断由下列触发(必须是人为触发):中控台上的ESD1手动按钮、直升机甲板逃生通道上的ESD1手动按钮和救生艇集合处的ESD1手动按钮。

ESD1级关断将产生下列动作:触发各级关断;关断主电源系统;触发广播A/B系统弃船报警;触发机舱报警灯柱弃船报警;除了已经启动的柴油应急消防泵和应急机外，其他设备全部关停。

②ESD2级关断

ESD2级又分为2A、2B两组，其中，2A为主电站区域的火灾。设计时从安全和确保给FPSO供电两方面考虑，基本上将上部模块主电站、高低压配电间、变压器房作为一个整体来考虑。当高低压配电房和变压器房发生火灾，所有发电机全部停止;发电机房分左右舷单独作用，基本上互不影响。当其中一侧出现火灾，另外一侧备用的发电机将自动加载，因此不会造成整个FPSO失电。

对于上部模块部分则分为ESD-2A和ESD-2B。ESD-2A关断将关停除了由应急机和UPS供电以外所有的用电设备。对于上部模块而言，ESD-2B将关停热介质锅炉、氮气发生器、惰性气体发生器以及其他系统泵类相应的电机。

船体部分主要为ESD-2B级，按照区域分成若干组，切断所在区域的风机、油泵，关闭风闸、防火门等。船体关断等级的详细信息如表2所示。

表2 船体关断等级Tab.2 Vessel shutdown levels

③ESD3级关断

ESD3级关断针对船体部分主要为货油系统应急关断，称为PSD-CO。PSD-CO级关断将产生下列动作:关计量撬至尾输油管线的阀门，关断计量撬，关断货油系统接口单元、货油泵、洗舱泵、扫舱泵、货油泵真空泵、压载泵等，关闭尾输油应急关断阀。

ESD3级关断针对的上部模块部分主要是原油处理系统。ESD3是生产系统的总关断，针对不同的原油处理系列，又分为ESD-3A和ESD-3B，分别只对各自的系列进行关停。

④ESD4级关断

ESD4级关断为原油工艺处理装置及设备的关停，只针对系统中的单台设备(如泵、加热器等)，而不直接对其他设备和系统进行动作。

3.3 ESD监测和执行部分

ESD监测部分包括现场的压力、温度、液位、流量开关/变送器、手动按扭等，应急关断系统接收来自这些设备的信号。应急关断系统通常采用“故障安全型”原则。在正常工况下，各开关触点是闭合的，整个回路带电，具有实时回路监测功能;当处于异常状态时，触点断开，回路失电，产生报警信号。

ESD执行部分包括电磁阀、马达控制器、关断阀以及现场控制盘等设备，应急关断系统输出信号控制这些设备，从而使生产流程、设备在故障时迅速达到安全状态。

3.4 ESD关断控制的设计

ESD监测部分和ESD执行部分各司其职，承担异常信号探测和关断执行工作。只有这两者有效结合，才能阻止故障现象的扩大。它们之间不只是简单的信号传递，还要对输入的信号进行判断、报警、显示。因此，需要一套能及时进行正确的逻辑判断，并及时发出关断命令的PLC逻辑。

应急关断PLC逻辑用因果图表示整个关断系统的输入、输出信号之间的关系。根据这些因果关系图，可以编制PLC控制程序。PLC严格按照因果图的逻辑关系进行控制，完成其逻辑控制、输入输出、报警、与上位机通信等功能。

一般在逻辑中还要加入对输入信号的旁通逻辑，以及动作信号的自锁逻辑。旁通逻辑可以根据需要对输入信号进行旁通，方便监测设备的校验和维修。它只是临时屏蔽了个别采样点，既满足了维护需要，又保证装置运行仍处于ESD控制［6］。自锁逻辑可以对触发信号进行锁定，且只能通过手动复位才能消除，方便问题的查找和关断原因的确定。

3.5 控制结构的搭建

ESD系统是独立的PLC控制系统，它运行着全FPSO的关断控制逻辑，能够实时监测现场的所有探测设备的状态，并根据设定好的控制逻辑进行判断，自动作出相应的关断动作。海上FPSO应急关断系统控制结构示意图如图3所示。

图3 控制结构图Fig.3 Control structure

为了更直观地对应急关断系统进行管理和操作，一般还需要设计安装集中控制板。同时，应急关断控制系统与中控室的PCS、F＆G系统进行通信，并可在PCS的操作站上进行相应旁通、复位等的操作。

4 结束语

由于FPSO是一种高投资、高附加值、高风险的海上生产设施，其安全涉及到原油的安全生产、储存、生产设备和操作人员的安全［7－9］。因此，必须重视FPSO应急关断系统的研究，以保证在发生危险时，应急关断系统能及时准确地关断各设备，从而尽可能地减少对生产的影响。这就要求对其安全系统的动作做详细、周密的分析，确定应急关断的因果逻辑，明确主次关系，从而建立正确的、行之有效的 ESD系统［7］。

本文对近几年新建FPSO应急关断系统的设计思路和特点进行了总结，从而为今后其他海上生产设施安全系统的设计和实现提供了应用参考。

［1］刘国贞，丁才发.浮式生产储油外输船中央控制系统研究［J］.船舶，2003(12):42－46.

［2］谢昊彬，陈根.曹妃甸浮式生产储油船中央控制系统分析和研究［J］.船舶，2004，12(6):22－28.

［3］阳宪惠，郭海涛.安全仪表系统的功能安全［M］.北京:清华大学出版社，2007:3－4，43.

［4］IEC 61508-5 functional safety of electrical/electronic/programmable electronic safety related systems［S］.1998:21－22.

［5］龚义文.安全仪表系统在化工装置中的应用［J］.自动化仪表，2010，31(12):50－54.

［6］叶彦斐，李训铭，刘光辉，等.油库罐区自动化监控系统设计与实现［J］.自动化仪表，2007，28(7):43－ 45.

［7］孙淑娟，杜秀华，王栋.半潜式钻井平台应急关断系统的设计与实现［J］.实验室研究与探索，2011，30(4):49－53.

［8］范江涛，雷聚涛.海上石油平台发电机组的应急卸荷控制系统［J］.自动化仪表，2009，30(12):52－54，57.

［9］张双亮，李庆涛.海洋石油平台安全仪表系统的设计与应用［J］.自动化仪表，2011，32(9):83－86.