袁飛暉，陳 霖

（上海外高橋造船有限公司，上海 200137）

自升式鉆井平臺安全系統(tǒng)設計

袁飛暉，陳 霖

（上海外高橋造船有限公司，上海 200137）

自升式鉆井平臺安全系統(tǒng)（Safety Instrument System，SIS）是一種保護系統(tǒng)，用于平臺事故預警、人員和設備保護，并在安全的前提下實現(xiàn)生產(chǎn)效益最大化。介紹自升式鉆井平臺上SIS的組成及其關鍵指標，開展系統(tǒng)功能設計和常用安全度的計算，采用可靠性框圖法完成典型安全控制流程的安全度計算。

安全度等級；可用性；表決結構；邏輯；切斷

1 平臺安全系統(tǒng)概述

平臺安全系統(tǒng)（Safety Instrument System，SIS）又稱安全切斷、安全保護系統(tǒng)，主要包括火災和氣體探測報警系統(tǒng)及應急切斷系統(tǒng)2套子系統(tǒng)，使其正常運行是自升式鉆井平臺安全生產(chǎn)作業(yè)的前提和保證。

1.1 系統(tǒng)組成

平臺安全系統(tǒng)是基于繼電器或PLC（Programmable Logic Controller）技術，由輸入、輸出和控制器組成的控制系統(tǒng)。其工作原理為：讀取來自于可尋址的火災探測系統(tǒng)、氣體和火焰探測器、CO2系統(tǒng)及應急切斷按鈕等外部系統(tǒng)的輸入信號，經(jīng)邏輯控制器處理后輸出至執(zhí)行結構，完成通風設備或油氣設備關閉及消防設備啟動等動作，使設備和人員處于安全狀態(tài)，達到控制事故、減輕事故影響和消除事故的目標。自升式鉆井平臺安全系統(tǒng)流程圖見圖1。

圖1 自升式鉆井平臺安全系統(tǒng)流程圖

1.2 系統(tǒng)設計指標

安全系統(tǒng)設計的目標包括：

1) 功能安全滿足平臺的安全要求，即功能安全性；

2) 安全系統(tǒng)本身的安全等級達到相關規(guī)范的要求，即安全度等級。

1.2.1 功能安全性

系統(tǒng)功能安全性是指安全系統(tǒng)的動作結果安全性。安全系統(tǒng)主要用于對平臺危險因素進行監(jiān)測、控制、減輕和消除。在發(fā)生危險或安全系統(tǒng)自身出現(xiàn)故障時，系統(tǒng)的動作應能有效控制、減輕（甚至是清除）事故和風險，同時不會帶來新的風險。系統(tǒng)的設計結果應是動作后所有設備都處于安全狀態(tài)，以保證人員和設備的安全。

1.2.2 系統(tǒng)安全性

系統(tǒng)安全性是指系統(tǒng)執(zhí)行安全動作的可靠性，用安全度等級來度量，定義為PFD（Probability of Failure on Demand）。其含義是系統(tǒng)響應并執(zhí)行時失敗的概率，即當發(fā)生需求時未能滿足需求（即不能正常完成保護功能）的概率，具體安全度等級描述見表1。

表1 安全度等級描述

1.2.3 系統(tǒng)可用性

系統(tǒng)的可靠性采用平均無故障時間（tMTTF）來度量；系統(tǒng)的可維護性采用平均維護時間（tMTTR）來度量；而計算機可用性定義為可用性 = tMTTF/(tMTTF+tMTTR)×100% (1)

在自升式鉆井平臺中，通常采用定期維護的管理方式。參照運行項目經(jīng)驗，tMTTR均以小時計，而tMTTF在1000h以上，因此可用性和可靠性通常是一致的。

系統(tǒng)安全性和系統(tǒng)可用性是衡量安全儀表系統(tǒng)優(yōu)劣的重要指標，無論是安全性低還是可用性低，都會使損失的概率提高。從某種意義上說，安全性和可用性是矛盾的2個方面：某些措施會提高安全性，但會導致可用性下降；反之亦然。因此，設計時要兼顧安全性和可用性。安全性是前提，可用性是基礎，可用性必須服從于安全性。

2 安全系統(tǒng)設計

安全系統(tǒng)的本質(zhì)作用是保證生產(chǎn)安全，同時服務于生產(chǎn)。因此，在設計系統(tǒng)時，應在保證功能安全性和系統(tǒng)安全性的前提下兼顧系統(tǒng)可用性設計。

2.1 設計步驟

參考美國儀器、系統(tǒng)和自動化協(xié)會（The Instrumentation, System, and Automation Society，ISA）關于安全系統(tǒng)設計生命周期流程[1]見圖2。

圖2 安全系統(tǒng)設計生命周期流程

自升式鉆井平臺自身無航行能力，適合在近海區(qū)域進行鉆井勘探作業(yè)。其風險主要來自于火災、可燃和有毒性氣體泄漏及設備故障等。因此，自升式鉆井平臺安全系統(tǒng)的設計以應對上述危險的需求進行，安全功能應以預防、控制和消除上述危險為目的，避免故障擴大。

在標準安全系統(tǒng)的設計流程中，通過風險評估明確需降低的風險值[2]，通過評定計算確定需要的安全度等級，主要采用的定性計算法有風險矩陣法、定量計算法和基于頻率定性法等。然而，在平臺安全系統(tǒng)的設計中，相對于化工、礦產(chǎn)等行業(yè)，系統(tǒng)功能在流程上更加簡單，且產(chǎn)品通用性更強，因此，安全度等級的需求一般都在滿足船級社安全規(guī)范的基礎上由建造及技術規(guī)格書予以明確。由此，相較于標準安全系統(tǒng)的設計，自升式鉆井平臺安全系統(tǒng)的設計步驟可簡化為以下形式。1) 總體目標：應對火災、可燃性和有毒性氣體泄漏和誤操作；2) 控制技術選擇：電動、氣動及PLC控制技術等；3) 安全度等級(SIL)：參照建造及技術規(guī)格書要求；

4) 體系結構：綜合考慮系統(tǒng)的安全性和可用性，對系統(tǒng)的結構進行合理配置；5) 詳細設計：包括功能安全性和系統(tǒng)安全性。

2.2 功能設計

自升式鉆井平臺的主要危險來自于火災事故、可燃性或有毒性氣體泄漏事故等，因此應將這些危險發(fā)生后有效進行報警、隔離、滅火和關閉設備等操作包含在安全系統(tǒng)的設計中，以保護人員和設備的安全。

2.2.1 控制技術和結構

在自升式平臺系統(tǒng)設計中，安全度等級通常選擇為SIL1或SIL2；同時，為滿足系統(tǒng)的集成需求，一般選擇基于PLC技術構建的安全控制系統(tǒng)。表決結構采用1oo2D，以提高系統(tǒng)的安全性。冗余PLC熱備技術，實現(xiàn)無擾動轉換，確保系統(tǒng)的可靠性，并兼顧系統(tǒng)的可用性。傳感器系統(tǒng)和現(xiàn)場子系統(tǒng)間普遍采用1oo1架構，在滿足安全度目標的前提下，盡可能地簡化系統(tǒng)，降低成本。若有特殊情況和需求，可單獨進行設計。

2.2.2 典型控制流程設計

根據(jù)圖1，自升式鉆井平臺安全系統(tǒng)主要包括火災和氣體探測系統(tǒng)及應急切斷系統(tǒng)2部分，每個流程都涵蓋輸入、邏輯控制和輸出等3個環(huán)節(jié)。平臺安全系統(tǒng)的典型控制流程有應急切斷按鈕手動觸發(fā)和火氣警報自動觸發(fā)2種模式。

2.2.2.1 應急切斷按鈕手動觸發(fā)流程

應急切斷按鈕被觸發(fā)之后，系統(tǒng)會觸發(fā)平臺上的相應報警，并切斷風、油等設備，屬于典型的開環(huán)控制，流程見圖3。

圖3 應急切斷按鈕觸發(fā)流程

2.2.2.2 火氣警報自動觸發(fā)流程

火災和氣體傳感器觸發(fā)流程屬于自動觸發(fā)流程。以氣體探測器為例，一旦檢測到高位報警，信號經(jīng)邏輯處理器處理后觸發(fā)相應的切斷風、油等設備并報警；啟動消防措施等流程。詳細流程見圖4。

系統(tǒng)的安全狀態(tài)應由設備服務目的、設備所處的環(huán)境及設備在整套流程中的控制作用來定義。平臺上普通機械處所內(nèi)的風、油設備應是關閉或停止運行的，因此圖3和圖4中的設備都是在事故發(fā)生后被切斷，進入安全狀態(tài)。然而，對于平臺上的動力處所（如發(fā)電機間）和危險氣體產(chǎn)生處所（如泥漿池），應在火災或氣體事故發(fā)生之后維持運行或加大排風，以達到控制事故和減輕事故影響的目的。設備的安全狀態(tài)并非都是停止狀態(tài)，應根據(jù)服務處所和服務對象進行具體分析、區(qū)別定義。

2.3 系統(tǒng)安全性驗證——安全度計算

在系統(tǒng)設計完成之后，需對其安全性進行評估，確保其安全功能達到設計的安全度等級。若計算值不符合設計需求，則應重新對系統(tǒng)進行設計或改造。

2.3.1 安全度計算方法

針對安全度等級，主流的計算方法有可靠性框圖、故障樹和馬爾可夫模型（Markov）等[3-4]。

1) 可靠性框圖是一種傳統(tǒng)的可靠性分析方法，使用圖形結構標示系統(tǒng)內(nèi)部的串并聯(lián)關系，簡單、直觀。1oo2可靠性框圖見圖5。

2) 故障樹根據(jù)布爾邏輯圖標示系統(tǒng)特定的故障，推理分析故障發(fā)生的基本原因，建立從結構到原因的有效邏輯圖。1oo1故障樹模型見圖6。

圖4 氣體探測器觸發(fā)流程

圖5 1oo2可靠性框圖

圖6 1oo1故障樹模型

3) 馬爾可夫模型定義系統(tǒng)中全部互斥的成功/失效狀態(tài)，由已編碼的圓圈標示。系統(tǒng)以某種概率由一種狀態(tài)轉向另一種狀態(tài)，無論是失效還是維修，狀態(tài)轉移都用箭頭轉移弧標示，并注明失效率或維修率，從而描述系統(tǒng)隨時間變化的行為[5]。1oo1馬爾可夫模型見圖7。

在自升式鉆井平臺安全系統(tǒng)中，主要使用1oo1和1oo2D 2種結構，這里采用IEC 61508-6中推薦的可靠性框圖對安全度等級進行驗證。

2.3.2 安全度等級驗證

1) 以應急切斷按鈕手動觸發(fā)為例，流程可轉化為應急切斷表決框圖（見圖8），以此進行計算。

圖7 1oo1馬爾可夫模型

圖8 應急切斷按鈕手動觸發(fā)表決框圖

系統(tǒng)由傳感器系統(tǒng)、邏輯控制器系統(tǒng)和現(xiàn)場子系統(tǒng)等3部分組成，其安全度計算應為

式(2)中： PPFDSYS為 E/E/PE安全相關系統(tǒng)的安全功能在要求時的平均失效概率； PPFDS為傳感器子系統(tǒng)要求時的平均失效概率；PFDLP 為邏輯子系統(tǒng)要求時的平均失效概率；PFDFEP 為現(xiàn)場子系統(tǒng)要求時的平均失效概率。

2) 參照IEC 61508 - 6，可查出1oo1結構和1oo2D結構的PFD計算式[6]為

式(3)和式(4)中：1T為檢驗測試時間間隔，h；MTTRt 為平均恢復時間，h；DCP 為診斷覆蓋率，在公式中以分數(shù)或百分比的形式表示；λ為子系統(tǒng)中一個通道的失效率（每小時）；Dλ為子系統(tǒng)中通道的危險失效率（每小時），D0.5λ λ= （假設 50%的危險失效和 50%的安全失效）；DDλ 為檢測到的子系統(tǒng)中通道每小時的危險失效率（子系統(tǒng)通道中所有檢測到的危險失效率的總和）；c為未檢測到的子系統(tǒng)中通道每小時的危險失效率（子系統(tǒng)通道中所有未檢測到的危險失效率的總和）；CEt 為1oo1，1oo2，2oo2，1oo2D，2oo3結構中通道的等效平均停止工作時間（子系統(tǒng)通道中所有部件的組合關閉時間），h；SDλ 為子系統(tǒng)中被檢測到的通道每小時的安全失效率（子系統(tǒng)通道中所有檢測到的安全失效率的總和）；CEt′為1oo2D結構中通道的等效平均停止工作時間（子系統(tǒng)通道中所有部件的組合關閉時間），h；GEt′為1oo2D結構中表決組的等效平均停止工作時間（表決組中所有部件的組合關閉時間），h；β為具有共同原因、沒有被檢測到的失效分數(shù)（在公式中用分數(shù)或百分比的形式表示）；Dβ 為具有共同原因、已被診斷測試檢測到的失效分數(shù)（在公式中用分數(shù)或百分比的形式表示），假設D2β β= 。

3) 設定維護時間間隔為1a，平均維護時間MTTRt =8h。

事實上，根據(jù)上述參數(shù)，從IEC 61508-6表B.3中可直接查得：

因此，安全系統(tǒng)部分的設計達到SIL2等級。從PFD結果分析看，安全系統(tǒng)中所有部件都是相互制約的，安全度等級受制于安全度最低的部分。從IEC 61508-6表B.3中可看出，在參數(shù)相同的情況下，1oo2D結構的PFD值明顯優(yōu)于1oo1結構，因此改變表決結構是提高系統(tǒng)安全度等級的可行方法，這也是目前系統(tǒng)改造的常用方案之一。

3 結 語

自升式鉆井平臺安全系統(tǒng)的設計以確保系統(tǒng)的功能安全性和系統(tǒng)安全性為目標，通過采用多樣的控制技術和系統(tǒng)結構來實現(xiàn)。功能安全性應基于對實際環(huán)境的危險分析，對各安全控制流程進行逐一分析設計；而系統(tǒng)安全性則是對整套安全控制流程進行評定。通過計算分析可知，系統(tǒng)安全度等級受限于控制流程中傳感器、邏輯控制器和執(zhí)行儀表等設備的PFD值，因此在安全控制系統(tǒng)設計中不要忽略對邏輯控制器以外的其他部件的技術和系統(tǒng)結構進行評估。

[1] ISA. Safety Instrumented Systems (SIS) — Safety integrity level (SIL) evaluation techniques∶ ISA. TR84.0.02[S]. 1998.

[2] SAMMARCO J J. Safety framework for programmable electronics in mining[J]. Society of Mining Engineers, 1999∶ 30-33.

[3] 靳江紅，吳宗之，趙壽堂，等. 安全系統(tǒng)的功能安全國內(nèi)外發(fā)展綜述[J]. 化工自動化及儀表，2010, 37 (5)∶ 1-6.

[4] IEC. Functional safety of electrical/electronic/programmable electronic safety related systems, Part 5∶ examples of methods for the determination of safety integrity levels[S]. 2000.

[5] GUO H T, YANG X H. A simple reliability block diagram method for safety integrity verification [J]. Reliability Engineering and System Safety, 2007, 92∶ 1267-1273.

[6] IEC. Functional safety of electrical/electronic/programmable electronic safety-related systems∶ IEC 61508-6[S]. 2000.

Design of the Security System for Jack-Up Drilling Rig

YUAN Fei-hui，CHEN Lin
（Shanghai Waigaoqiao Shipbuilding Co., Ltd., Shanghai 200137, China）

Security system of Jack-up drilling rig is a kind of protection system for the purpose of accident pre-caution, people and equipment protection and production benefit maximization on the premise of safety. This paper introduces the composition of the security system and its key index, the function design of the system and the methods used in safety integrity level calculation, where reliability block diagram is used in calculating the safety integrity level of the typical safety control process.

safety integrity level; availability; voting architecture; logic; shutdown

U674.38+1

A

2095-4069 (2017) 02-0040-06

10.14056/j.cnki.naoe.2017.02.007

2016-09-23

袁飛暉，男，高級工程師，工程碩士，1978年生。2011年畢業(yè)于華中科技大學工業(yè)工程專業(yè)，現(xiàn)從事船舶和海洋工程電氣自動化設計及技術管理工作。