基于SIS系統(tǒng)失電故障引發(fā)輸氣站放空事故的分析

吳曉暢

(廣東省天然氣管網(wǎng)有限公司，廣東廣州 510503)

安全儀表系統(tǒng)(Safety Instrumentation System，簡稱SIS) 廣泛應用于長輸管道等連續(xù)生產(chǎn)的石化行業(yè)中，SIS系統(tǒng)能夠迅速響應，從而保證人員、設(shè)備、生產(chǎn)工藝等的安全。輸氣生產(chǎn)的安全儀表系統(tǒng)(SIS)包括安全聯(lián)鎖系統(tǒng)、緊急停車系統(tǒng)、可燃氣體及火災檢測保護系統(tǒng)等。SIS獨立于過程控制系統(tǒng)，生產(chǎn)正常時處于休眠或靜止狀態(tài)，一旦生產(chǎn)裝置或設(shè)施出現(xiàn)可能導致安全事故的情況時，能夠瞬間準確動作，使生產(chǎn)過程安全停止或自動切入到預定的安全狀態(tài)，因此，對其安全可靠性要求非常高，如果SIS失效，往往會導致嚴重的安全事故。

1 事故經(jīng)過

某輸氣站的SIS發(fā)生故障，引發(fā)聯(lián)鎖關(guān)斷并導致站內(nèi)放空事故。由于設(shè)置為故障-安全模式，即當其自身出現(xiàn)故障的情況下啟動聯(lián)鎖，按預定的順序進行關(guān)斷放空。通過對SIS系統(tǒng)控制器鑰匙開關(guān)復位，2 h后系統(tǒng)恢復運行，站場也同時恢復正常的輸氣生產(chǎn)。

2 原因分析

經(jīng)過數(shù)據(jù)分析，并對SIS全面診斷和檢測，確認SIS工作正常，系統(tǒng)供電異常時導致失電的原因。

2.1 IDLE狀態(tài)

確認當時SIS狀態(tài)為IDLE，而導致SIS雙控制器都處于IDLE狀態(tài)的因素如下：①兩個控制器同時出現(xiàn)故障；②兩塊DO卡同時出現(xiàn)故障，并且兩塊DO卡不同時為奇數(shù)或偶數(shù)槽位：通過面板操作將兩個控制器鑰匙開關(guān)置位IDLE狀態(tài)；③SIS失電，再得電后自檢通過。

2.2 SIS發(fā)生失電確認

通過在線進行診斷，結(jié)合站場投產(chǎn)時間可知，發(fā)現(xiàn)系統(tǒng)應該運行了至少2 620 h，但診斷信息顯示Up time為486 h，Operational time為483 h，證明系統(tǒng)曾經(jīng)失過電，并且在約3 h后恢復正常運行。這個時間與生產(chǎn)工藝放空及生產(chǎn)恢復時間一致。所以SIS發(fā)生失電，導致系統(tǒng)停止重啟，從而引起生產(chǎn)放空動作。

2.3 SIS失電可能性確定

經(jīng)過對系統(tǒng)供電線路及現(xiàn)場環(huán)境的分析，提出以下可能導致系統(tǒng)失電的原因：包括SIS本身故障、電源或開關(guān)故障以及電纜連接原因、電磁干擾和接地原因、不當操作、環(huán)境原因(包括震動)、天氣原因、意外或其它。對失電原因的逐條分析如下。

2.3.1SIS本身故障

基于放空因SIS失電而發(fā)生，SIS失電的同時，服務器B、交換機B 也都發(fā)生失電；并且SIS專家對系統(tǒng)全面診斷評估，未發(fā)現(xiàn)系統(tǒng)異常。SIS突發(fā)故障和失電同時發(fā)生的概率為零，這樣就排除SIS存在突發(fā)故障的可能。

2.3.2電源、開關(guān)、電纜、連接引發(fā)的故障

a) 事故發(fā)生時站場UPS供電設(shè)備中，只有部分設(shè)備失電(如服務器B、交換機B等)，而不是全部設(shè)備失電(如服務器A工作正常)，因此站場UPS輸出正根據(jù)各設(shè)備失電記錄，要產(chǎn)生觀察到的失電狀況，至少要有4個空開同時故障，又同時恢復。通過計算此概率極低，大約為(7×10n)-1。

b) SIS本身所帶的UPS投產(chǎn)期間一直處于正常工作狀態(tài)。事件發(fā)生后對此 UPS進行大量測試，均工作正常。因為失電發(fā)生時SIS本身所帶的UPS與分電柜中的回路1中為SIS供電的開關(guān)同時壞掉，之后又自己恢復的可能基本為零，排除SIS本身所帶的UPS當時故障的可能。

c) 對站控系統(tǒng)所有配電接線進行了檢查，同時對所有可能相關(guān)的線纜進行了斷路和短路測試，線纜連接全部可靠，線纜狀況均正常，排除由線纜及其連接原因?qū)е率щ姷目赡堋?/p>

2.3.3電磁干擾和接地原因

a) 在系統(tǒng)人員對系統(tǒng)進行排查的過程中，觀察到SIS自帶的UPS出現(xiàn)過電壓異常現(xiàn)象。經(jīng)過對歷史數(shù)據(jù)整理，發(fā)現(xiàn)之前對UPS進行測試時，UPS監(jiān)測軟件監(jiān)測到一次電壓異?，F(xiàn)象，觀察到SIS系統(tǒng)UPS一個瞬時輸入電壓為46 V。

b) 電壓異常理論分析。與陰保專業(yè)工程師進行核實，發(fā)現(xiàn)曾經(jīng)檢測到過外部進入較高的干擾電壓。陰極保護設(shè)備的損壞就是因為此電壓造成的。 陰極保護參考電極的保護柵的接地極與SIS系統(tǒng)的地極，兩者的連接是在同一個接地盒中的。這個接地線是平方毫米的銅質(zhì)電線，電線絕緣層已經(jīng)燒毀，這說明有超過其可承受的電流持續(xù)通過。根據(jù)銅質(zhì)電線額定電流推斷，這個電流應該不小于15 A，這樣，就可以推算出當時絕緣接線盒內(nèi)接地極的對地電位，假如此接地極到站場聯(lián)合接地網(wǎng)的接地電阻為1.5 Ω，則此接線盒內(nèi)的接地母排的對地電位就不小于22.5 V。同理，SIS的對地電位也是如此，如果將這個電位疊加到SIS的220 V供電電源，就會產(chǎn)生系統(tǒng)電源電壓的變化。造成陰保防雷設(shè)備燒毀的主要原因是熱量。當熱量達到臨界值的時候陰保防雷設(shè)備才會燒毀，造成電壓異常的主要原因是瞬時電壓，在陰保積累熱量的同時，會持續(xù)不斷地接到波動的感應電壓，這個感應電壓達到波峰時才是電壓異常最明顯的時候。因此陰保的燒毀與電壓異常的峰值在時間上不存在同時性。

c) 電壓異常對SIS的影響。SIS 230 V工作模式下的額定工作電壓為200～264 V。當系統(tǒng)接收到超過此范圍的電壓值時，系統(tǒng)可能會停止工作。

d) 機柜間接地分析。輸氣站機柜間接地不合理。從布置圖可以發(fā)現(xiàn)以下問題：一是SIS儀表地接到了機柜上，中控分電柜儀表地接到了機柜上。正常情況下，儀表地需要接在儀表地接地排上。二是SIS機柜儀表地接在了安全地上，安全地接在了柜體上。實際上，儀表地需要接在儀表地接地排上，安全地需要接在安全地接地排上。三是調(diào)控中心通訊機柜柜體、工業(yè)電視機柜柜體均接了儀表地，應該接到安全地才符合要求。

2.3.4不當操作

查看事故相關(guān)記錄，與當事人敘述相對應，確定了事故發(fā)生時無人在機柜間，導致失電現(xiàn)象的空開位置相距較遠，人為同時碰觸到相關(guān)各開關(guān)的可能很小，根據(jù)服務器B斷電記錄，可看到服務器B從斷電到重新運行時間間隔，推斷服務器為瞬間失電，又立刻恢復，人為很難做到，因此該因素可以排除。

2.3.5其他因素

a)環(huán)境原因(包括震動)。根據(jù)現(xiàn)場了解并收集相關(guān)證據(jù)，確認事故發(fā)生時現(xiàn)場無特殊環(huán)境現(xiàn)象，無施工維護。

b)天氣原因。當日天氣晴朗，無雷電等干擾因素。

2.3.6分析情況匯總

經(jīng)過分析和討論認為：外部強的電磁干擾(公共高壓直流輸電異常)通過站外管線、站外陰保設(shè)備接地、安全系統(tǒng)接地，導致系統(tǒng)瞬間供電電壓異常，安全系統(tǒng)瞬間失電。失電導致系統(tǒng)安全聯(lián)鎖動作，從而引起放空關(guān)斷事故。

3 整改措施

a) 改變陰保機柜的接地連接點，將其接地線直接連接到站場聯(lián)合接地網(wǎng)，以降低外電磁干擾對站場其他設(shè)備的影響。

b) 將陰保機柜接地和儀表接地分開，同時增加其接地線的線徑，提高其自身的安全。

c) 嚴格將安全保護接地和儀表接地分開，分別接入站場聯(lián)合接地網(wǎng)，避免由于接地的相互影響成為各設(shè)備的事故因素。

d) 對聯(lián)合接地網(wǎng)進行不定期的檢查，對電阻不符合要求的及時進行整改，確保接地完好可靠。

e) 后期利用UPE自帶的通信功能，對UPS供電輸入進行一段時間的連續(xù)數(shù)據(jù)采集和檢測，觀察記錄外部電磁干擾的影響。

f) 開展高壓直流排流對管道及其附屬設(shè)施影響的專項整改治理工作。

g) 加強對生產(chǎn)人員設(shè)備工作原理等技術(shù)培訓，提高安全技能。

h) 加強操作人員全站切斷放空事件的應急演練，發(fā)生突發(fā)應急事件時做好處置科學合理、準確可靠。

4 結(jié)語

SIS的安全性是保證任何潛在危險發(fā)生時，系統(tǒng)確保過程處于安全狀態(tài)。只有確保SIS的安全，消除各種影響因素，才能讓SIS真正起到應有的保護作用，有效保證輸氣生產(chǎn)運營的安全平穩(wěn)長周期運行。