海洋平台应急关断逻辑优化研究

王 彬

(中海石油有限公司天津分公司工程建设中心，天津 300459)

海洋平台应急关断逻辑优化研究

王 彬

(中海石油有限公司天津分公司工程建设中心，天津 300459)

海洋采油平台设置应急关断系统的主要目的是在事故工况下，使工艺系统关断以保护平台人员和工程设施的安全，防止污染，将事故的损失限制到最小。常规设计中应急关断系统设置为四个关断级别，当触发生产关断时引起整个平台生产的关断，虽然保证了平台人员及生产的安全，但是关停设备过多会影响平台产量。针对此问题，研究通过逻辑优化关停部分设备的应急关断系统，在保证人员及平台安全的前提下，减少关停设备，提高平台产量，实现降本增效。

海洋平台；应急关断系统；平台安全；提高产量；降本增效

0 引 言

应急关断(ESD)系统是海上工程设施中最重要的系统之一，其作用是提高工艺生产装置及其辅助设施的安全性。安全操作一般来讲就是保证海上工程设施的生产人员、生产设备和周围环境的安全。当然安全没有绝对的，通常可以理解为远离危险或最多可能发生可接受的低程度伤害与破坏，或者是只可能发生可以接受的社会、经济和法律责任的危险。因此对于不同的生产设施，可以根据实际需要设置不同安全等级的应急关断系统[1]。

1 应急关断系统

1.1 应急关断系统相关标准规范

近年来，国际电工委员会先后出台了IEC61508安全相关系统标准、IEC61511流程工业部门标准、IEC62061机械部门标准和IEC61513核工业部门标准，逐步形成了功能安全标准的国际体系。根据IEC61508及IEC61511标准的相关定义，应急关断系统是执行安全功能的安全相关系统。功能安全是安全相关系统的关键属性，指安全相关系统执行的安全功能本身的安全性，它取决于安全功能的正确执行。安全完整性水平是指安全相关系统实现某种安全功能的能力大小。根据IEC61508标准，安全完整性是指安全相关系统在规定的时间内、规定的条件下，成功实现所需安全功能的概率，以及安全功能能够有效执行的能力。而安全完整性等级(SIL)则用于衡量这种能力的大小。SIL等级的确定或评估以风险作为度量标准。SIL等级根据“平均要求失效概率”(PFDavg)的值分为四个离散的等级，即SIL1～SIL4。表1是在低要求操作模式下，SIL等级与PFDavg的对应关系。

表1 SIL与PFDavg对应关系Table 1 Correspondence between SIL and PFDavg

海洋工程平台在设计之时需要对各种危险和过程风险进行系统安全分析，危险性分析报告中包括了关于过程风险的各种信息，以及已有的保护层和为了提高安全性需要增加的安全功能。再根据事件发生的频率后果程度最终确定应急关断系统所需要达到的SIL等级。

1.2 应急关断系统的设备及设置点

应急关断系统应至少包括以下部分： (1)应急关断控制盘(设在控制室内)；(2)手动应急关断启动开关或阀门；(3)安装在重要工艺设备和公用设备上，在异常情况下能发出关断信号的自动检测开关；(4)火灾与可燃气体探测报警装置；(5)信号转换及各种执行机构、电磁阀、关断阀等。

手动应急关断启动开关或阀门应设置在直升机甲板、救生艇登乘处所、居住处所的逃生口和平台间的栈桥入口、进口区附近等关键地点。

应急关断信号应由一次仪表直接给出，并直接传到各执行装置。

1.3 应急关断系统的关断原则及关断等级

应严格、合理地设计应急关断系统的关断级别，使之既能保障人员和设备的安全，又可避免不必要的大范围的关断。

通常情况下，应急关断系统设置为四个级别，每一级的关断与后面的低级关断串联或连锁连接，即某一级别的关断只能触发本级和较低级别的关断而不能触发高级的关断。四个关断级别如下。

(1) ESD1(弃平台关断)： 最高级别关断，平台上除应急支持系统延时关断外全部关闭。只能由平台长或指定的专人启动，弃平台按钮一般安装在中控室、救生艇登船处、直升机甲板处，有明显的标志或警告牌，并有罩壳保护。

(2) ESD2(火气关断)： 由平台火灾或可燃气体严重泄漏引起，可由操作人员手动启动或由火气控制系统自动启动。

(3) ESD3(工艺/公用系统关断)： 也称为生产关断，一般由主电源或仪表风、热介质等公用系统故障或者由井口油管压力高高低低等工艺系统的重要环节引起，有手动和自动两种启动方式。

(4) ESD4(单元关断)： 单个设备或单井故障引起，可手动启动或自动启动[2-3]。

工艺/公用系统关断将会引起生产的关断，导致平台生产的中断，影响平台产量。当恢复生产时需要大量的操作人员去恢复生产，且耗费较大的能量(如电机、电潜泵等用电设备的启动耗费较大的电能)。针对工艺/公用系统关断，本文提出生产平台部分关断的设计思路，可以在保证操作人员及平台安全的情况下，最大限度地减少关停设备，保证平台产量，实现降本增效。

1.4 应急关断系统的特点与设计原则

设置应急关断系统的主要目的是为了保护平台人员和设施的安全，防止环境污染，将事故的损失降至最低。

应急关断系统一般都与过程控制系统分开设置，可以降低控制功能和安全功能同时失效的概率，过程控制系统的故障不影响应急关断系统的独立工作。另外不同于过程控制系统的动态调节特性，应急关断系统是相对静态的，不需要人工干预，不仅有利于避免人为误动作的发生，也有利于提高应急关断系统的响应速度，保护设备，避免事故扩大。应急关断系统的设置必须根据工艺过程的运行规律，为工艺过程在正常运行和非正常运行时服务。正常时应急关断系统不能影响过程运行，在工艺过程发生危险情况时应急关断系统应发挥作用，保证工艺装置的安全。这就是系统设计的过程适应原则。

应急关断系统的设计必须满足工艺装置的安全运行，在发生异常情况时发挥作用，使安全连锁系统按预定要求动作，以确保工艺装置的生产安全，避免重大人身伤害及重大设备损坏事故。对于应急关断系统，可靠性有两个含义，一个是应急关断系统本身的工作可靠性；另一个是应急关断系统对工艺过程认知和联锁保护的可靠性。应急关断系统不但要有足够的工作可靠性，还应有对工艺过程测量、判断和联锁执行的高可靠性。而对于应急关断系统对工艺过程的认知，还应当重视系统的可用性，正确地判断过程事故，尽量减少装置的非正常停工，减少开、停工造成的经济损失。应急关断系统具有高可用性或高容错能力，但不能以降低安全性作为代价，丧失安全性的可用性是没有意义的。可靠性与可用性之间的关系从某种意义上说是矛盾的两个方面。某些措施会提高可靠性，但会导致可用性的下降；反之亦然。可靠性与可用性是衡量一个应急关断系统的重要指标，无论是可靠性低、还是可用性低，都会使损失的概率提高。因此，在设计一个应急关断系统时，要兼顾可靠性和可用性。可靠性是前提，可用性必须服从可靠性： 可用性是基础，没有高可用性的可靠性是不实际的。

应急关断系统系统一般采用通过权威安全机构认证的安全仪表系统(SIS)，符合SIL 3/TÜVAK-6的安全级别。SIL3认证系统应包括与操作员工作站和工程师工作站上配置的安全控制系统相关的系统软件、硬件和安全控制网络，例如控制器模块、I/O模块、通信模块、数据通信总线和软件。此外，为进一步增强应急关断系统系统的可用性，应急关断系统需要提供1∶1物理冗余设备，包括控制器模块、I/O模块、通信模块和电源模块(其中有电源变压器、电源整流器及其他电源供应设备等)控制系统、以太网、网络交换机、网线、数据通信总线、数据存储设备和其他必要的硬件。

应急关断系统应采用“故障安全型”原则，当应急关断系统的元件、设备、环节或能源发生故障或失效时，系统设计应当使工艺过程能够趋向安全运行或安全状态。即在正常的工况下，检测回路触点是闭合的，整个回路带电，具有实时回路检测功能，但当处于异常状态时，触点断开，回路失电，关断相应的装置和设备。同时应急关断系统应是一套冗余、容错、自我诊断的系统。

应急关断系统应能够监视每个I/O卡的每个I/O通道的短路故障和接地故障，并且所有这些都可以显示为故障报警。应急关断系统应该能够监视每个数字输入监控(DIS)I/O卡的开路和短路故障，其数字输出卡件在同一时间每个通道输出的最低电流为500mA。这样的总通道数量每个卡件不超过8个；处理器内存不低于16MB，处理器主频不低于50MHz。

应急关断系统须能够处理和发布所有的数据信号和输出信号，用以激活警报系统、火灾保护系统和关断系统。应急关断系统应能显示和记录火灾报警、燃气报警、消防设备状态和采暖通风与空调(HVAC)系统状态，并具备特定功能如测试、复位、消音/确认和旁路/抑制设施。

在应急关断系统系统设计过程中，为充分考虑系统将来的日常维护工作，每级应急关断系统在关断输出处设置“旁路”功能，从而避免在维修过程中由于操作人员的误操作，导致平台生产设备的关停，进而影响平台的安全生产。应急关断系统的常用应急关断系统框图、因果图的形式能表达整个系统的逻辑状态，使用梯形图编程语言描述逻辑以最终实现系统逻辑功能的准确表达。

应急关断系统必须具备在线扩容的能力，即在系统运行过程中扩容而不产生扰动和意外关断。其事件顺序(SOE)数据应带有事件标签且分辨率显示为1ms，与操作员站和工程师站的其他普通报警数据列在一个信息栏中。

2 项目应用

2.1 项目简介

渤中19-4油田综合调整开发新建一座WHPC平台，该平台是一座带有原油处理、生产污水处理设施的井口平台，是一座8腿井口平台，并设有60人的生活楼和180型的修井机，同时计划设置生产井15口、注水井6口、预留井槽11个。渤中19-4 WHPC井口平台和渤中19-4 WHPB井口平台通过栈桥相连。将渤中19-4 WHPB平台所产物流超出分离器处理能力的部分，输送至渤中19-4 WHPC平台的生产分离器进行处理，WHPB平台和WHPC平台分离出的含水原油与天然气混合后通过原渤中19-4 WHPB送至渤中19-4 WHPA平台，再与WHPA平台物流混合后通过海管外输至浮式生产储卸装置(FPSO)海洋石油113进行处理。同时，渤中19-4 WHPB和WHPC平台的生产水进入WHPC生产水处理系统处理后回注，WHPC平台水处理量不满足注水量要求，需要海洋石油113补充。原油物流简图如图1所示。

图1 原油物流图Fig.1 Materials flow

2.2 生产关断设计

新建的渤中19-4 WHPC平台与渤中19-4 WHPB平台工艺流程关联紧密且供电依托上游平台设施，总体开发方案(ODP)阶段设置的逻辑为： 当渤中19-4 WHPB平台发生弃平台关断、火气关断、生产关断时，将引起渤中19-4 WHPC平台生产关断；当渤中19-4 WHPC平台发生弃平台关断、火气关断、生产关断时，将引起渤中19-4 WHPB平台生产关断。此种关断逻辑最大限度地保证了两个平台的人员及生产设施的安全，然而当两个平台中的任何一个触发ESD3生产关断时都会引起两个平台的生产关断，从而严重影响平台的产量，因此拟对ESD3生产关断进行优化设计。

在后续设计阶段，通过分析平台物流关系可知，由于WHPB平台产量的提高，导致产液量超过自身油气处理设备的处理能力，需要分流一部分到WHPC平台进行油气处理。当WHPB平台触发生产关断时，送往WHPC平台的物流中断，但是不会影响WHPC平台的正常生产。因此将逻辑设置为当WHPB平台触发生产关断时，仅在WHPC平台产生报警信号，不连锁触发WHPC的生产关断。

WHPC平台生产关断分为两种情况。一是WHPC井口区的异常工况，此时的工况仅对井口区的人员及井口设备设施产生威胁，并不会危及油气处理设施的正常运行，即WHPB平台输送至WHPC平台的物流可以正常进行油气处理工作。在此工况下触发WHPC平台部分关断，仅关断WHPC井口区的相应设备设施，并将关断信息传送至WHPB平台，但仅产生报警信息，不触发连锁关断。二是WHPC油气处理设备异常工况，此时触发WHPC平台全部生产关断，生产暂停。由于WHPB平台部分物流输送至WHPC油气处理设施中进行油气处理，在此工况下只需关停WHPB部分井口，中断送往WHPC平台的物料即可，无需触发WHPB平台的全部生产关断。关断的连锁关系如表2所示。

表2 关断连锁关系

注：“—”表示不动作。

2.3 设计方案的实施

应急关断系统层级的划分如图2所示(仅体现ESD3生产关断)，WHPC生产关断分为ESD3、ESD3-A两个级别。ESD3(公用/生产关断)关断，此关断设置为当WHPC平台的工艺、油气处理设备出现异常工况时进行关断。结合WHPC平台设备的设置情况，触发因素主要有： 应急盘ESD3按钮、关键房间ESD3、ESD手动报警站压力低低、失主电、生产分离器液位高高/低低、生产分离器压力高高/低低、仪表气压力低低、闭排灌液位高高、下游海底管道故障、WHPB ESD1/2，当以上因素有一个发生时即触发WHPC平台生产关断。主要关断的有： 闭排泵、化学药剂注入泵、所有井上安全阀、所有电潜泵、工艺管线上的关断阀、触发声光报警，与此同时将关断信号传送至WHPB平台，WHPB产生部分井的关断(WHPB平台油气处理系统正常运行)，且WHPB部分关断可以做成选择逻辑，平台操作人员可在中控运行画面上选择关断哪些井口，根据生产实际进行调整，保证在平台安全前提下最大限度地保证生产。

ESD3-A(井口生产关断)为WHPC平台井口区产生的关断，触发因素主要有： 井上安全阀仪表气压力低低、井下安全阀液压油压力低低、井口控制盘油箱液位低低、井口控制盘油箱油管压力低低。由于ESD3-A的触发因素仅限于井口区，不会危及到工艺油气处理设备设施的安全及正常运转，因此只关断所有井上安全阀、所有电潜泵、工艺管线关断阀、部分化学药剂注入泵。WHPC平台的油气处理设备正常运转，从WHPB平台传送过来的物流可以正常处理，不影响WHPB平台的生产，因此在ESD3-A关断情况下，WHPB平台不需要做任何关断，保持正常生产。

图2 关断层级划分图Fig.2 Shutdown levels

3 结 语

本文对应急关断系统中的生产关断进行了优化设计，优化设计后两个平台的关断逻辑为：

当渤中19-4 WHPB平台发生弃平台关断、火气关断将引起渤中19-4 WHPC平台生产关断。

当渤中19-4 WHPC平台发生弃平台关断、火气关断将引起渤中19-4 WHPB平台生产关断。

当渤中19-4 WHPC平台发生ESD-3(公用/生产关断)将引起渤中19-4 WHPB平台部分井口关断。

当渤中19-4 WHPC平台发生ESD-3A(井口生产关断)时渤中19-4 WHPB平台不触发关断。

当渤中19-4 WHPB平台发生生产关断时渤中19-4 WHPC平台不触发关断。

目前，采用优化后的应急关断系统与关断逻辑已经在渤中19-4平台应用，系统自投产以来，未出现高级别的连锁关断，避免了渤中19-4平台的大面积生产关断，在保证平台安全的前提下，保证了平台的产量，实现了降本增效。本设计方案在工程实践中得到了验证，取得了良好的经济和社会效益。同时对其他海洋采油平台应急关断系统的设计具有一定的参考意义。

[1] 《海洋石油工程设计指南》编委会.海洋石油工程设计指南[M].北京： 石油工业出版社，2007.

[2] 崔继鹏,陈启卫,王伟,等.紧急关断系统在海洋石油平台上的应用[C].2009年度海洋工程学术会议论文集(下册)，2009： 6.

[3] 韩小磊.紧急联锁关断系统在海洋采油平台中的应用[J].石油化工自动化,2015(3)： 68.

ResearchonEmergencyShutdownLogicOptimizationofOffshorePlatform

WANG Bin

(CNOOCLtd.Tianjin,Tianjin300459,China)

The main purpose of offshore oil platform to set emergency shutdown system is, under accident conditions, to shut down the process system to protect the platform staff and engineering facilities, so as to prevent pollution and reduce the loss of the accident to the minimum. The conventional design of the emergency shutdown system defines four off levels. When production shutdown is triggered, the whole production platform is shut down, which ensures the safety of personnel and production platform, but shutting down equipment will also lower the platform production. Aiming at this problem, logic optimization of the emergency shutdown system is carried out. It is proposed to close the emergency shutdown system of certain equipment in the premise of ensuring the safety of personnel and platform to reduce the shut down equipment, improve platform output, and achieve cost-saving and efficiency-increasing.

offshore platform; emergency shutdown system; platform security; increase production; cost-saving and efficiency-increasing

U674.38+1

A

2095-7297(2017)01-0053-05

2016-12-02

王彬(1977—)，男，工程师，主要从事海洋石油工程设计及技术管理工作。