從清管站電動(dòng)閥門(mén)誤動(dòng)作事件探討自控系統安全管理

宋麗明

國家管網(wǎng)集團廣東省管網(wǎng)有限公司

 

摘要：輸氣站發(fā)生電動(dòng)閥門(mén)誤動(dòng)作，易導致生產(chǎn)停輸、系統憋壓或引發(fā)火災爆炸�，F對某輸氣站發(fā)生的一起典型電動(dòng)閥門(mén)誤動(dòng)作事件進(jìn)行討論，分析原因，實(shí)施優(yōu)化改進(jìn)措施，探討自控系統的安全與管理，以保障生產(chǎn)平穩運行。

關(guān)鍵詞：清管站；電動(dòng)閥門(mén)；誤動(dòng)作；隔離鎖定

 

電動(dòng)閥門(mén)作為輸氣站重要設施，有遠程控制和就地控制兩種操作方式，其穩定性是保障輸氣系統安全運行的關(guān)鍵。在生產(chǎn)運行過(guò)程中，為保護工藝系統、設備設施安全及防止誤操作，需要對未投運的裝置設備和相關(guān)閥門(mén)實(shí)施隔離鎖定。2021年4月 1日0時(shí)37分許，某清管站遠程自動(dòng)控制電動(dòng)閥發(fā)生誤打開(kāi)事件，造成下游未投運管段充壓，經(jīng)現場(chǎng)及時(shí)處置，未對生產(chǎn)安全造成影響。

1  清管站工藝流程及控制系統

1.1  清管站工藝簡(jiǎn)介

該清管站于2021年3月投產(chǎn)，管道干線(xiàn)壓力約8.9 MPa，是一座RTU 控制系統遠程監控的無(wú)人值守分輸站。功能主要為干線(xiàn)緊急截斷、放空及向某支干線(xiàn)分輸。由于支干線(xiàn)工程在建，考慮后續動(dòng)火連頭安全風(fēng)險，暫未投用去支干線(xiàn)方向收發(fā)球筒及相關(guān)管段，工藝流程及壓力如圖 1所示。

此次誤動(dòng)作電動(dòng)閥門(mén)位號為 XV1103，誤動(dòng)作前，站內除干線(xiàn)氣液聯(lián)動(dòng)閥 HV1101 處于全開(kāi)狀態(tài)外，其他閥門(mén)均處于全關(guān)狀態(tài)。XV1103 誤開(kāi)后， 使 XV1103 與 HV1102 閥后至 XV1204 與 XV1203 閥前之間約10米管段充壓。

1.2  RTU控制系統

清管站RTU控制系統型號為施耐德 SCADAPack535E。RTU監控數據通過(guò)管道光纜及公網(wǎng)數字電路上傳至有人管理的上下游站場(chǎng)和調控中心。

有人管理站場(chǎng)及調控中心均使用阿克泰姆 ViewStar ICS SCADA 軟件進(jìn)行數據采集和監控，使用前置通訊服務(wù)器 RCI 實(shí)現數據通訊和協(xié)議轉換，數據流向如圖 2所示。

圖 2 監控數據流向圖

2  事件調查過(guò)程

2.1  SCADA系統事件記錄

通過(guò)查詢(xún)調控中心和上游分輸站的 SCADA 系統事件記錄，發(fā)現4月1日0點(diǎn)35分19秒起，SCADA 系統多次交替出現與 RTU 通訊中斷及通訊恢復事件記錄。0點(diǎn)37分07秒，記錄清管站閥門(mén)XV1103全開(kāi)到位。但該時(shí)間段內無(wú)遠程下發(fā)開(kāi)閥命令及其他相關(guān)操作事件記錄。

2.2  相關(guān)設備檢查

（1）閥門(mén) XV1103 電動(dòng)執行機構未發(fā)現進(jìn)水，閥頭無(wú)異常顯示。

（2）配電設備 UPS沒(méi)有發(fā)現報警記錄。檢查時(shí)斷開(kāi)市電輸入，UPS 自動(dòng)切換至電池逆變輸出，工作狀態(tài)正常。

（3） RTU 機柜內部連接線(xiàn)纜、開(kāi)關(guān)電源、浪涌保護器、繼電器、斷路器、保險管等沒(méi)有發(fā)現故障。

（4）觸摸屏功能正常，并記錄到該時(shí)間段內交替出現與 RTU 通訊中斷及通訊恢復事件。

2.3  RTU運行核查

使用 RTU 軟件 SCADAPack E Configurator 上載運行參數， RTU 記錄了電動(dòng)閥XV1103 在誤開(kāi)時(shí)段重啟。使用 Modscan 軟件查詢(xún) RTU 寄存器數據狀態(tài)，發(fā)現 XV1103 開(kāi)閥命令數據位仍處于置位狀態(tài)。

2.3  管理因素

投產(chǎn)結束后，閥門(mén) XV1103未進(jìn)行隔離鎖定和斷電，處于遠程關(guān)閉狀態(tài)。

3  原因分析

3.1  自控系統異常

（1）RTU功能結構。清管站 RTU將功能分為相對獨立的兩部分，即完成數據通訊和邏輯編程，分別使用 SCADAPack E Configurator 和 SCADAPack Workbench 兩個(gè)軟件進(jìn)行配置和編程。如圖 3所示，數據在通訊部分和邏輯編程部分的傳送，讀、寫(xiě)是單向的。讀、寫(xiě)函數配置完成后，不能對同一地址點(diǎn)既讀又寫(xiě)。

測試表明，RTU 重啟時(shí)內部數據點(diǎn)的數值是保持不變的。即如果內部數據點(diǎn)重啟前為1 ，RTU 重啟后將仍為1 。但是，程序變量在 RTU 重啟時(shí)將自動(dòng)初始化為零，再由RTU_BIN_READ 讀函數進(jìn)行賦值。此時(shí)該變量將產(chǎn)生由0到1的數值改變，程序將判斷為得到控制命令。因此，如果 RTU 重啟前控制命令對應的內部數據點(diǎn)為1，重啟時(shí)，程序將再次執行此控制命令。

（2）SCADA 系統控制命令。調控中心及有人管理站場(chǎng)的操作員在控制面板點(diǎn)擊閥門(mén)操作命令后，通過(guò) IEC104 協(xié)議發(fā)送給通訊服務(wù)器 RCI，RCI進(jìn)行協(xié)議轉換，再通過(guò) Modbus TCP 協(xié)議向 RTU 發(fā)送指令。一個(gè)開(kāi)閥命令操作，SCADA實(shí)際向 RTU 發(fā)出兩條指令，前一條對命令點(diǎn)進(jìn)行置位、延時(shí)，再發(fā)出一條對命令點(diǎn)進(jìn)行復位。實(shí)際操作中，發(fā)出開(kāi)閥命令點(diǎn)擊“確定”按鈕或“應用”按鈕后，RTU按置位、延時(shí)、復位執行指令。

如果操作員點(diǎn)擊“確定”或“應用”按鈕，又在延時(shí)期間內點(diǎn)擊“取消”按鈕，則控制面板窗體將關(guān)閉，不會(huì )執行指令。如果下發(fā)命令時(shí)恰遇網(wǎng)絡(luò )中斷或擁塞，也可能致使第二條復位指令無(wú)法送達。

3.2  事件原因

SCADA 系統對上一次XV1103遠程開(kāi)閥的操作命令未復位，在RTU異常重啟時(shí)，控制程序再次獲取該閥未復位開(kāi)閥命令，閥門(mén)開(kāi)啟。判斷RTU異常重啟可能為軟件看門(mén)狗重置所致。此外，現場(chǎng)人員未對XV1103進(jìn)行隔離鎖定，也未切斷動(dòng)力電源實(shí)現硬隔離。

4  系統優(yōu)化與管理改進(jìn)

4.1  系統優(yōu)化措施

（1）RTU和SCADA功能優(yōu)化。為將命令點(diǎn)異常狀態(tài)及時(shí)反饋給 SCADA系統，擬在 RTU增加閥門(mén)開(kāi)、關(guān)控制命令異常狀態(tài)判斷程序。如果延時(shí)6 秒后命令仍未復位，則報警上傳至 SCADA系統。在操作面板增加命令點(diǎn)異常狀態(tài)顯示，以紅色指示燈警示并發(fā)出告警。

（2）通訊服務(wù)器 RCI 功能優(yōu)化。為提高開(kāi)閥命令、關(guān)閥命令復位的可靠性，將 RCI 中 SCADA 軟件對 RTU 下發(fā)的開(kāi)閥命令、關(guān)閥命令設置為自復位類(lèi)型，主動(dòng)進(jìn)行復位。

4.2  管理改進(jìn)措施

（1）對自控系統進(jìn)行全面系統檢查和參與新項目的驗收工作，減少經(jīng)驗與專(zhuān)業(yè)能力不足無(wú)法識別設備隱患的情況。舉一反三，避免控制系統不完善導致其他站場(chǎng)出現類(lèi)似誤動(dòng)作事件發(fā)生。

（2）對站場(chǎng)閥室與新建工程、未投運管線(xiàn)間的隔離閥門(mén)的系統鎖定、能量隔離、現場(chǎng)上鎖等情況進(jìn)行全面排查，做到應鎖盡鎖、應斷盡斷，并建立現場(chǎng)隔離閥門(mén)位號、照片等相關(guān)信息臺賬，定期更新及時(shí)上報調控中心及管理部門(mén)。

 

作者簡(jiǎn)介：宋麗明，1989年生，工程師，現為國家管網(wǎng)集團廣東省管網(wǎng)有限公司汕頭管理處生產(chǎn)科高級主管，主要從事天然氣長(cháng)輸管道生產(chǎn)管理工作。聯(lián)系方式：15920399195，songlm@gdngg.com.cn。