DCS在海上采油平台的架构分析

孙文高

（中海石油（中国）有限公司 蓬勃作业公司，天津300452）

渤海油田采油平台的中央控制系统绝大部分都是由3 套系统组成：生产控制系统PCS（process control system），应急关断ESD（emergency shut down）系统和火气监控系统FGS（fire ＆ gas system）。 其中，PCS，ESD 系统和FGS 在控制层及以下相互独立，在管理层则共享人机界面和通讯网络[1]。 为保证系统连续稳定运行，3 套系统的电源模块、CPU 模块、 通讯模块和数据通讯网络等采用1∶1 的冗余设计[2]。 整体安全认证级别不低于SIL2。 这样，ESD 系统和FGS 这2 套系统都只存在控制层的硬件设备，软件层面均集中在PCS 系统中，故以下讨论均包含本地ESD 系统和FGS 两套系统的PCS 管理层。

1 DCS 在渤海油田的使用

1.1 DCS 简介

DCS 是随着计算机技术发展而发展的，以直接数字控制为基本功能的新型控制装置[3]。 世界上第一套DCS 技术约在1975 年由Honeywell 公司推出，随即日本的几大公司也相继推出了自己的第一代产品。 DCS 通常由4 部分组成：I/O 模块、控制器、操作站、通讯网络[3]。 国际上各厂家的I/O 模块和控制器技术上相差不大，只是算法多少、算法组合有所区别，控制器读取所有I/O 数据必须在1 s 内完成1个循环，整个DCS 自身必须具备高度的稳定性[4]。

1.2 中心处理平台和FPSO 的DCS

渤海油田是中海油下属单位之一，主要在渤海海域从事油气开采作业。 所有的采油作业采用石油生产平台或者浮式储油轮的方式开展；其主要架构为中心处理平台或者浮式生产储油装置FPSO（floating production storage and offloading） 和若干卫星井口平台WHP（wellhead platform）的模式。 某海上油田的布置如图1 所示。

图1 某海上油田布置示意图Fig.1 Schematic layout of an offshore oil field

在WHP 上布置了油井和注水井；FPSO 设置了油气水生产处理系统； 工业油流由WHP 油井产出后经过原油海底管线送往FPSO， 处理后的原油经外输系统销售，而分离出来的生产水经过处理达标后，经注水海管输送到WHP 注水井回注地层。 FPSO 还配有自发电装置，并且经过复合海底电缆给WHP 供电；复合海底电缆包含光纤的电力电缆。 中心平台设置了专门的技术人员对DCS 进行维护，而WHP 只有普通的值班人员。

FPSO 的过程控制（PCS）和生产监控使用DCS 来实现，应急关断 （ESD） 系统和火气系统（FGS）使用安全控制系统实现[5]。 在此以艾默生公司的DeltaV 系统为例讨论DCS，应急关断系统和火气系统以同一公司的安全仪表系统进行。

1.3 井口平台的DCS

WHP 主要用于原油的生产和生产水回注底层，其对应设置了FPSO 类似的中控系统架构，PCS和生产监控使用中小型DCS 来实现，ESD 系统和FGS 使用安全控制系统实现。PCS，ESD 系统和FGS在控制层及其以下相互独立， 共享人机界面和通信网络[2]。整个系统规模较小（点数），且内部算法相对简单。

2 基于交换机扩展的DCS 架构

由于组织架构及附属管理的要求，中心处理设施（包括中心处理平台或者FPSO）与WHP 的中控架构，一直是困扰渤海油田生产的难题。 该难题也伴随着局域网通讯的发展而出现了不同的解决手段，在早期2 个设施没有通讯光纤而2 个平台也就没有联系。 随着微波系统的发展催生了2 个设施的早期通讯，但是通讯的稳定性和及时性都不能满足生产的需要，仅作为辅助使用；伴随着海底复合电缆的使用，2 个平台的控制系统才真正开始实施。早期采用价格昂贵的光端机，只能传送少数关键的开关量， 而LD10-1 油田开启了2 个中控系统互联的新篇章。 在此讨论另一个渤海油田的WHP_M 和WHP_A 的中控系统架构，其架构如图2 所示。

图2 某油田WHP_M 平台和WHP_A 平台中控系统架构Fig.2 Architecture of central control system of WHP_M and WHP_A in an oilfield

由图可见，WHP_M 的DCS 控制器通过冗余通讯连接到冗余交换机29P-DSW-01P 和29P-DSW-01S，工程师站ES-02 通过冗余通讯连接到这2 个交换机； 而WHPA 的DCS 控制器通过冗余通讯连接到冗余交换机WHP_M-A-P 和WHP_M-A-S，操作员站OS-01 通过冗余通讯连接到这2 个交换机；WHP_A 和WHP_M 都是独立的WHP 且都能独立生产或者关停；29P-DSW-01P 与和WHP_M-A-P 通过光纤连接，更像是一台交换机成为另一台交换机的扩展。 根据DeltaV 的架构分析如下：

1）这2 个平台分别属于不同的地理位置，且彼此相互独立；

2）2 个平台的DCS 通过光纤互联，且从结构上看是交换机的扩展，其扩展的物理实现不过是通过海底光纤，且距离很远；

3）2 个平台的DCS 处于同一个Domain 中，即同属于一层的交换机层；

4）2 个平台其中一个能对另一个进行监控、组态、下装、故障诊断等；

5）2 个平台共用一个服务器，共用一套数据库，但彼此操作和组态各自独立；

6）2 个平台的总体容量必须在DeltaV 的系统容量范围内；

7）为满足速度和稳定性要求，该交换机必须具备光纤端口。

通过以上分析并结合海上油气生产特点不难得出，该架构很好地适用了渤海油气田生产的海上架构，一个中心处理设施涵盖一个或若干WHP。 把同属于一个管理组织架构下的几个平台，在DCS 架构时做成一套数据库，放置于中心处理设施，通过光纤去实现几个WHP 的架构。 其优点如下：①中心处理平台能对所管辖的WHP 进行监控， 必要时进行紧急操作和处理；②只需要在中心处理平台设施中控系统专业人员，WHP 则不需要，节省运营成本；③该架构能够最大程度地解决由于恶劣天气等原因， 中心处理平台不能到WHP 现场解决突然情况的难题；④该架构为海上无人驻守平台的大规模实施奠定了技术基础。

3 基于Remote 站的DCS 架构

由于渤海油田海上油气生产众多，仅中心处理平台就有60 多个， 每个中心处理平台又包含了一个或多个WHP。中心油气生产平台由陆地部门统一管理。 陆地有专门的技术人员进行整体查看和维护，在海陆一体化的大背景下催生出了基于Remote站的DCS 架构模式。该架构模式首先在渤海某油田得到全面应用，在此以该油田为例进行论述。

使用艾默生公司的DeltaV DCS，设施之间依靠DeltaV 的远程网络实现不同控制网络间的跨平台远程访问、操作、组态等功能，用于平台间流程监控，以及无人平台远程操作和维护。 它具有以下优点：①油田用户可通过远程工作站对现场的DeltaV控制网络进行管理和监视；②在单个远程操作站中可通过多个窗口同时监控不同的DeltaV 控制网络；③远程操作站可通过卫星、微波的低速通讯方式实现远程访问，适于海上平台应用；④远程操作站通过微软远程桌面访问远程客户端服务器，无需安装DeltaV 软件，不受DeltaV 版本和硬件限制。 其系统网络架构如图3 所示。

图3 某油田系统网络构架Fig.3 Network architecture of an oilfield system

3.1 远程用户端服务器

为满足平台用户跨平台访问数据的需求，DeltaV 远程网络需要实现2 项基本功能：读取采集本地控制网络过程数据； 实现本地数据的远程访问。 DeltaV 远程网络通过远程用户端服务器（Remote Client server）访问本地的DeltaV 控制网络；在实际网络搭建过程中，远程应用服务器与主工程师站，现场控制器都接入同一交换机中，直接与控制网络相连，且远程服务器也要通过主工程师站访问控制网络数据。 在安装DeltaV 软件的过程中，需要提前选择合适的工作站类型给指定的工作站，以作为远程服务器。 主工程师站和应用站都可以作为远程用户端服务器。

3.2 整个油田网络架构

为实现跨平台远程访问，需要搭建油田范围的局域网络， 将各个设施的远程子网络涵盖其中，这个局域网络就是油田远程网络的主体。

以某FPSO 为例（如图4 所示），远程用户端服务器和远程操作站共同接入名为“11P-PSW-01P”的思科2950 型交换机， 构成冗余的远程子网络；而“11P-PSW-01P”和上一级“FPSO-PCN-Core-SW1”以及再上一级名为“11P-RTR-01P”的思科3825 型的核心交换机，构成该设施的3 层交换网络。

图4 某FPSO 局域网络Fig.4 A FPSO local area network

每个设施的核心交换机最后共同接入一台思科Catalyst 2900 series XL 型中央交换机， 搭建起整个油田远程网络。 为了保证该远程网络的可靠性， 每一级交换机都是冗余的， 在DeltaV Explorer中组态工作站时需要为远程节点使能远程网络冗余，如图5 所示。 否则在失去主网络连接时，将无法实现远程连接。

图5 设置远程网络冗余Fig.5 Setting up remote network redundancy

3.3 远程工作站的IP 设置

DeltaV 为控制网络中的所有节点包括工作站分配IP 地址。远程站也需要配置IP 地址，使得它能够正常接入远程网络中。 在组态远程工作站时，系统会在远程工作站与远程服务器之间建立永久连接。 DeltaV 会自动识别该工作站的网络适配器，以及远程网络下可用的IP 地址，供用户选择。 一旦选择，该地址将成为远程站永久IP 地址，且不支持动态主机设置协议DHCP （dynamic host configuration protocol），不予许用户随意改动。 如图6 所示，连接远程网络的2 块网卡处于自动组态状态，DHCP 处于抑制状态。

图6 控制系统网络通讯Fig.6 Network communication of control system

3.4 远程访问的实现

DeltaV 的远程用户使用微软远程桌面服务技术实现与远程用户端服务器的连接，依靠微软操作系统中自带的远程桌面（Remote Desktop Connect）应用程序， 远程操作站不需要安装DeltaV 软件，就可以连接到各个控制网络下的远程服务器。

DeltaV 远程网络具有两层架构，基层架构依托于微软远程桌面服务技术，实现装有微软操作系统的DeltaV 操作站相互访问；顶层架构则是在互相访问基础来定义自己的远程网络服务，包括远程工作站功能划分，数据访问的管控。 两者在功能方面不存在冲突，因此可以共同工作。

基于这样的架构，实现DeltaV 网络的远程访问需要微软和DeltaV 两类授权，微软授权包括Microsoft Server Client Access License 和Microsoft Remote Desktop Service Client Access License（即CAL 和RDS CAL）。DeltaV 远程用户服务端自带10个CAL，但不包含RDS CAL。

对于DeltaV 授权，如果是远程用户服务端是远程应用站， 需要安装DeltaV 工作站授权， 访问DeltaV 控制网路授权，事件记录授权等基本DeltaV授权；如果是主工程师站，则不需要这些授权。

3.5 DeltaV 远程网络安全

DeltaV 远程用户端应用程序使用标准Microsoft安全性和普通DeltaV 安全性。 DeltaV 安全性和Windows 安全性都建立在用户账户和组概念的基础上。 用户账户包含允许用户访问资源的唯一凭证（登陆名和密码）。

3.5.1 DeltaV 远程账户权限的设置

DeltaV 系统使用自带的DeltaV 用户管理器创建，管理DeltaV 账户账号。在创建账户时，需要勾选“Allow Terminal Server Logon”选项，允许该账户远程登陆，具体如图7 所示。

图7 创建用户管理器Fig.7 Creating user manager

此外，保持“Operating System（Windows）Account”和“DeltaV Database Account”2 个缺省选项处于勾选状态，以保证账户能够登陆远程桌面和打开进入DeltaV 系统。

在Keys 界面下， 可以为单独账户分配功能密钥，以及激活控制、诊断、组态、历史视图、事件记录（Event Chronicle）、连续历史库（Continuous Historian）和批量历史（Batch History）等高级权限。

在Groups 可创建不同权限的分组，将多个账户分配其中，实现账户的批量管理。

3.5.2 DeltaV 远程账户的域属性

每个设施的DeltaV 系统中都有大量工作站，DeltaV 系统可以通过域联网使所有工作站构成一个域。 在域系统中，域用户可以访问域计算机和资源，而不需要在每个工作站上创建本地账户。 域用户服务器通常情况下由某个DeltaV 应用站来担任。

用户账户通常由域服务器管理，但对于DeltaV系统， 域系统的所有DeltaV 账户均应通过DeltaV用户管理器管理。 因此，账户名全称应为“域名+账户名”，账户是域网络下的账户。

4 两种DCS 架构的对比分析

通过分析系统结构，针对2 种架构总结如下：

1）基于Remote 技术的DCS 架构复杂程度远远高于基于交换机扩展的架构；

2）基于Remote 技术的架构不受单个控制网容量的限制，更适合做大型一体化的项目；

3）基于Remote 技术的架构包含了对互联网的安全要求，这样就海上平台和陆地支持通过公用链路实现提供了安全保障；

4）基于Remote 技术的架构有专门的安全控制措施，而基于交换机的扩展则没有任何安全隔离；

5）基于交换机扩展的架构的费用要远远低于前者，实现方式也简单很多，且很多维护和操作几乎感觉不到地域的差别。 而前者则需要层层管理和授权。

5 结语

根据海上油气生产的特点，以及对2 种架构的分析，可知：针对单个油气田即一个中心处理平台加一个或几个WHP 的规模， 内部控制系统采用基于交换机扩展的DCS 架构，从各个方面考虑都有其优势；针对几个或者十几个的中心处理平台和陆地形成一个整体架构网络， 采用基于Remote 站的DCS 架构更为有利； 通过2 种架构相结合的方式，既实现了单个油气田内部的控制，又实现了所有中心处理平台和陆地的架构一体化，真正地实现了渤海区域油气生产管理一体化。