《油气田及管道工程计算机控制系统设计规范》SY/T7628-2021

中华人民共和国石油天然气行业标准

油气田及管道工程计算机控制系统设计规范

SY/T 7628-2021

主编部门：中国石油天然气集团有限公司

批准部门：国家能源局

施行日期：2022年2月16日

前言

本规范是根据国家能源局综合司《关于印发2019年能源领 域行业标准制(修)订计划及英文版翻译出版计划的通知》(国 能综通科技〔2019〕58号)的要求，本规范编制组经广泛调查 研究，认真总结实践经验，参考国内外有关标准，并在广泛征 求意见的基础上，制定本规范。

本规范共分9章和3个附录，主要技术内容是：总则、术语 和缩略语、系统结构和适用范围、基本过程控制系统 (BPCS)、 安全仪表系统(SIS) 和火气系统(FGS) 、系统软件及功能、控 制盘和机柜、电气设计、控制室等。

本规范由国家能源局负责管理，由石油工业标准化技术委 员会石油工程建设专业标准化委员会负责日常管理，由中石化 石油工程设计有限公司负责具体技术内容的解释。执行过程中 如有意见或建议，请寄送中石化石油工程设计有限公司(山东 省东营市济南路49号，邮政编码：257026)。

本规范主编单位：中石化石油工程设计有限公司

本规范参编单位：大庆油田工程有限公司

　　　　　　　　中国石油天然气管道工程有限公司

　　　　　　　　浙江中控技术股份有限公司

　　　　　　　　北京龙鼎源科技有限公司

制订说明

《油气田及管道工程计算机控制系统设计规范》SY/T7628-2021,经国家能源局2021年11月16日以第5号公告批准发布，2022年2月16日起实施。

本规范制定过程中，编制组进行了广泛调查研究，总结了我国油气田及管道工程中采用计算机控制系统的实践经验，参考了国外先进的技术法规、技术标准，广泛征求了油气田及管道工程计算机控制系统设计、制造、操作维护等方面技术人员的意见，在此基础上编制本规范。

为了便于广大设计、施工、科研、学校等单位有关人员在使用本规范时能正确理解和执行条文规定，本规范编制组按章、节、条顺序编制了本规范的条文说明，对条文规定的目的、依据及执行中需注意的有关事项进行了说明。但是本条文说明不具备与规范正文同等的法律效力，仅供使用者参考。

1 总则

1.0.1 为指导和规范油气田及管道工程中计算机控制系统的设计工作，做到技术先进、经济合理、安全适用、节能环保，制定本规范。

1.0.2 本规范适用于陆上油气田及管道工程中新建、改建和扩建工程的计算机控制系统设计。

1.0.3 油气田和管道计算机控制系统的工程设计除应符合本规范外，尚应符合国家现行的有关标准的规定。

条文说明

1.0.2 “陆上油气田及管道工程”包括两大类工程，其一是陆上油气田为满足原油/天然气生产而建设的油气收集、净化处理、计量、储运设施及相关辅助设施；其二是原油、石油产品、天然气、液化石油气等输送管道中的各种站场、线路及相关辅助设施。

现场仪表、执行机构、自控阀等现场设备和闪光报警器、单回路调节仪等盘装仪表不在本规范范围内，应符合现行国家标准《油气田及管道工程仪表控制系统设计规范》GB/T50892的有关规定。

“计算机控制系统”类型较多，本规范主要是针对在油气田及管道工程已得到广泛应用的控制系统(ICS、BPCS、SIS、FGS、SCADA等)进行编制的，未包括现场总线控制系统(FCS)、嵌入式系统等，也不包括管理信息系统(MIS)、地理信息系统(GIS)等。

油气田及管道工程中系统规模大小不一，推荐根据站场类型进行分类。本规范中出现的大、中、小系统，其应用场合如下：

调控中心、天然气净化厂、大型联合站、大型油库应采用大型控制系统；计量间、井场、阀室采用RTU或小型的PLC控制系统；其他一般采用中型控制系统。

1.0.3 由于本规范是专业技术标准，其内容涉及范围较广，涉及其他有关标准规范要求的，就应执行有关标准、规范，不能与之相抵触，特别是强制性条款应严格执行。本条所涉及标准、规范请见引用标准名录。

2.1 术语

2.1.1 计算机控制系统  computer control system

由一台或多台计算机、控制器、相关硬件、软件和通信网 络组成对生产过程进行监视、控制及管理的控制系统。

2.1.2  基本过程控制系统  basic process control system

不执行任何安全完整性等级大于或等于1级的安全仪表功 能，响应过程测量及其他相关设备、其他仪表、控制系统或操 作员的输入信号，按过程控制规律、算法、方式产生输出信号，实现过程控制及其相关设备运行的系统。

2.1.3 安全仪表系统  safety instrumented system

实现一个或多个安全仪表功能的仪表系统。

2.1.4 火气系统  fire &gas detection and protection system

用于监控火灾和可燃气、有毒气泄漏并具备报警和消防、保护功能的安全控制系统。

2.1.5 集成控制系统  integrated  control  system

将各自独立运行的基本过程控制系统、安全仪表系统和/或火气系统，通过通信网络链接在一起、共享操作显示的控制系统。

2.1.6 分散控制系统  distributed control system

控制功能分散、操作显示集中、采用分级结构的计算机控 制系统，也称为分布式控制系统，或集散控制系统。

2.1.7 监控与数据采集系统  supervisory control and data acquisition system

以多个远程终端监控单元通过有线或无线网络连接起来， 具有远程监测控制功能的分布式计算机控制系统。

2.1.8 可编程序控制器  programmable logic controller

是一种数字运算操作的电子系统，专为在工业环境下应用 而设计。它采用了可编程序的存储器，用于在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作指令，并 通过数字或模拟式的输入和输出操作，控制各种类型的机械或 生产过程。

2.1.9  远程终端单元  remote terminal unit

针对通信距离较长和工业现场恶劣环境而设计的具有模块化 结构的特殊的计算机控制系统，它将末端检测仪表和执行机构与远程主控制系统连接起来，具有数据采集、控制和通信功能，它 能接收主控制系统的操作指令，控制末端的执行机构动作。

2.1.10 安全完整性等级  safety inegrity level

为安全功能的等级。安全完整性等级由低到高为SIL1～SIL4。

2.1.11 安全仪表功能  safety instrumented function

为了防止、减少危险事件发生或保持过程安全状态，用一个或多个测量仪表、逻辑控制器、最终元件及相关软件等实现的安全保护功能或安全控制功能。

2.1.12 维护超驰  maintenance override

在设备或线路维护期间，以预设值代替实际输入值，使安全仪表系统或火气系统连续工作的一种功能。

2.1.13  操作超驰  operational override

工艺过程启动期间，在预定的启动时间内以预设值代替实际输入值，用以满足启动条件的一种功能。

2.1.14  硬手操盘  hardwired panel

是由一系列按钮、开关、信号报警器及信号灯等组成，与控制器硬线连接，应独立于基本过程控制系统，完成最基本的紧急停车、火气消防操作与报警指示。

2.1.15 现场总线  fieldbus

是现场设备/仪表之间和/或与控制室内的自动控制装置/系统之间的一种串行、数字式、多点通信的数据总线。

2.1.16 现场总线控制系统  fieldbus control system

基于现场总线的自动控制系统。

条文说明

2.1.1 计算机控制系统的广义理解一般也包括现场仪表、控制阀等，本条界定本规范所指计算机控制系统不包括仪表、执行机构、自控阀等现场设备和闪光报警器、单回路调节仪等盘装 仪 表 。

2.1.2 基本过程控制系统也常被称为过程控制系统 [process control system(PCS)]。

2.1.3 广义的安全仪表系统包括过程工业中的紧急停车系统 (ESD)、燃烧管理系统 (BMS)、压缩机控制系统(CCS)、火气系统(FGS)、 高完整性压力保护系统 (HIPPS)  等以安全保 护和抑制减轻灾害为目的的自动化安全保护系统。本规范不包括燃烧管理系统(BMS)和压缩机控制系统 (CCS),根据现场 应用惯例将火气系统单列。

2.1.5 集成控制系统英语翻译也称作integrated control and safety system(ICSS)。

2.1.9 “远程终端单元”也可由PLC 配套通信设备组成。

2.1.13 操作超驰也称为启动超驰 (start-up override)或工艺超驰 (process override)。

2.1.15 源自现行行业标准《自控设计常用名词术语》HG/T 20699 2014中第5.0.175条，略做修改。

2.1.16 源自现行行业标准《自控设计常用名词术语》HG/T20699-2014中第5.0.176条。

2.2 缩略语

BPCS basic process control system 基本过程控制系统

CCR central control room 中央控制室或中控室

DCS distributed control system 分散控制系统

DDE dynamic data exchange 动态数据交换

DMZ demilitarized zone 隔离区

ERP enterprise resource planning 企业资源管理系统

ESD emergency shutdown 紧急停车

FF foundation fieldbus 基金会现场总线

FCS fieldbus control system 现场总线控制系统

FGS 火气系统

GIS geographic information system 地理信息系统 

HMI human machine interface 人机接口

ICS integrated control system 集成控制系统

I/O input/output 输入/输出

KVM keyboard、video、mouse 键盘、显示器和鼠标

MCT1 multi cable transit 电缆穿隔密封 

MIS management information system 管理信息系统

MOS maintenance override switch 维护超驰开关

MTBF mean time between failures 平均故障间隔时间

MTTR mean time to repair 平均修复时间

MTTF mean time to failures 平均无故障时间

OPC 用于过程控制的对象链接与嵌入

PLC programmable logic controller 可编程序控制器

RTU remote terminal unit 远程终端单元

SCADA supervisory control and data acquisition 监控和数据采集

SIL safety integrity level 安全完整性等级

SIS safety instrumented system 安全仪表系统

SOE sequence of event 事件顺序记录系统

SPD surge protective device 电涌保护器

UPS uninterruptible power supply 不间断电源

VPN virtual private network 虚拟专用网

条文说明

DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全网络与安全网络之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡，可更加有效地保护内部网络。

3.1 一般规定

3.1.1 所选用的计算机控制系统硬件和软件应是经过类似工况和环境条件现场考验并良好运行的系统和设备。

3.1.2 系统的硬件和软件配置及其功能应与工艺过程的规模和控制要求相适应，并应易于扩展和维护。

3.1.3 系统设计应以系统生命周期成本最少为基本原则。

3.1.4 油气田工程计算机控制系统的设计应符合本规范附录A的规定，管道工程计算机控制系统的设计应符合本规范附录B的规定。

条文说明

3.1.2 计算机控制系统硬件和软件选型时需根据测控对象规模及特点、可靠性要求、安全需求、自然地理环境、社会因素、用户当前生产管理水平、操作维护能力、发展规划要求、经济效益及资金情况，统筹考虑，合理安排。兼顾用户现有运行系统维修维护工作方便，新建系统宜选用相同种类的计算机控制系统，减少维护成本。

3.1.3 设计时应考虑全系统生命周期成本，除系统购买成本，还应考虑系统的安装、调试、维护、使用和退出成本。如图1所示，系统生命周期是设计、安装调试、运行和退出的循环。应根据工程规模、被控过程对象的危险和风险大小、工艺的成熟和复杂程度等因素，实施生命周期内必要的管理活动。自控系统生命周期主要活动见表1。

图1 计算机控制系统生命周期循环

系统概念设计阶段应对系统的实施成本、计划、生命周期成本、可操作性和维护性进行综合考虑。

自控设备管理系统可为自控设备性能评估、更换和延寿提供一手资料，是现场系统生命周期管理的主要工具之一。在大型炼化企业已经有较广泛应用，在油气田及管道领域的应用刚刚起步。该系统可对自控设备进行组态、标定、回路检查及状态监测，设备出现故障时，还可提供诊断参考。大型站(库)可配置自控设备管理系统。

表1 计算机控制系统生命周期各阶段活动

3.2 系统结构

3.2.1 典型的计算机控制系统结构宜由BPCS、SIS和FGS等子系统组成(图3.2.1)。

3.2.2 BPCS应通过通信接口和/或硬接线与站场内外的第三方设备和/或系统连接。

3.2.3 计算机控制系统向连接在信息网络上的其他系统提供或获取数据时，应通过必要的隔离、防护措施。

图3.2.1 典型计算机控制系统结构示意图

注1：辅助操作设备应通过硬线与BPCS、SIS或FGSI/O模板连接。

注2：实时服务器、历史服务器和历史数据存储设备可以相互组合共用硬件设备，也可以相互独立。

注3：视频安防系统可以通过网络与BPCS通信，实现部分集成。

注4：这些设备也可直接与BPCS连接。

注5：本规范中的工业控制网是监控网、控制网和I/O网的集合。

条文说明

3.2.1 计算机控制系统各子系统可配置独立的控制器和I/O模板，控制器与I/O模板间通过专用的I/O网络连接，完成数据采集和控制。控制器通过控制网络与BPCS服务器连接，以BPCS上位软件作为统一的人机接口平台。BPCS服务器与监控网络连接，为监控层设备提供数据服务并响应其指令。在监控网络和信息网络之间，还可配置高级应用网络，配置高级应用软件，提供生产调度管理、运行优化等服务。

油气田及管道领域涉及的测控对象多，测控规模大小不一，应用的计算机控制系统也多种多样。本规范图3.2.1仅是给出了一套计算机控制系统典型结构及组成，规范各章围绕该结构对各组成部分进行规定。

其中设备管理系统较为特殊，有时是BPCS一部分，如有些BPCS系统支持仪表设备管理，现场仪表的设备管理信息可以直接接入BPCS的仪表管理系统中。

3.3 系统适用范围

3.3.1 根据测控对象的不同，计算机控制系统可分为BPCS、ICS和SCADA三类。

3.3.2 计算机控制系统应至少含BPCS。

3.3.3 ICS适用于下列场合：

1 由BPCS、SIS和FGS三个子系统组成的站(库)控制系统。

2 由BPCS和SIS两个子系统组成的站(库)控制系统。

3 由BPCS和FGS两个子系统组成的站(库)控制系统。

3.3.4 SCADA适用于下列场合：

1 测控点相对分散、距离较远，站场较多且分布较广，需用多个ICS、BPCS通过有线(或无线)通信方式集中到控制中心的工程。

2 需要集中监控的油气田及管道工程。

条文说明

3.3.2 BPCS是最基本的计算机控制系统，其构成多种多样，较常用有两种：DCS系统和上位监控软件加PLC。

3.4 控制器适用范围

3.4.1 油气田及管道工程领域计算机控制系统宜采用DCS控制器、PLC控制器和RTU。

3.4.2 DCS适用于下列场合：

1 控制回路较多、较复杂的大中型油气处理厂及站(库)。

2 系统可用性要求高，需要在线进行控制策略更新的场合。

3.4.3 PLC适用于下列场合：

1 顺序控制、逻辑控制较多的工艺装置。

2 环境条件恶劣、抗干扰能力要求高又不需采取改善措施的工业场所。

3 需快速数据采集及保护的场合。

4 操作独立性强、要求结构紧凑的橇块装置。

5 安全认证PLC可作为SIS和FGS系统控制器。

3.4.4 RTU的适用范围，应包括下列场合：

1 自然条件恶劣的场所。

2 供电条件比较恶劣，需要低功耗控制器的场所。

3 功能简单、监控点数少的场合。

条文说明

3.4.2 DCS与PLC在各自保留自身原有的特点基础上，又相互补充、相互靠拢、互相渗透。目前的DCS已有很强的顺序控制功能，而PLC处理复杂控制的功能也很强，且两者都能组成大型网络。DCS与PLC的适用范围已有很大的交叉，并都可以作为SCADA系统的组成部分。

3.5 现场总线控制系统与无线仪表网络适用范围

3.5.1 现场总线控制系统适用于测控参数多、电缆量大、诊断和管理要求高的场合。

3.5.2 无线仪表网络适用于下列场合：

1 对监测实时性要求不高的场合。

2 参数变化较平稳的场合。

3 布线困难的场合。

3.5.3 无线仪表网络不宜用于控制回路。

3.5.4 现场总线系统和无线仪表网络不应用于安全仪表系统。

条文说明

3.5.1 现场总线技术发展较快，已经在炼化工程中有较多应用，油气田及管道工程中应用较少。油气田及管道大型站场，如罐区、气体处理厂和联合站等处，测控参数多、电缆量大、对管理要求高，可适当采用现场总线技术。

诊断能力强也是现场总线系统的优势，传统的控制系统诊断只能覆盖到系统板卡和部分线路故障，但对现场设备的诊断却无能为力。而现场总线技术的一大优势是控制系统和仪表间采用数字通信进行传输，现场总线系统除了可以采集必要的工艺过程数据外，还可以读取仪表诊断信息。现场总线设备自诊断的最大优点并非是诊断出哪台设备故障，而是可以让操作人员了解哪些设备没有故障，可以节约大量的无效检查时间。另外在仪表出现故障时，通过诊断信息还可以快速定位故障仪表和故障类型，缩短仪表故障处理时间。通过相关设备管理软件的配合，最终可以实现仪表的预防性维护，节省仪表维护时间和备件数量，提高仪表的投用率。

3.5.2 由于无线仪表多采用电池供电，为了保证较长的电池使用时间只能降低仪表的刷新频率(典型值1次/min),加上无线通信的延迟较大，故无线仪表网络只能用于监测实时性要求不高的场所。另外刷新频率慢也决定了不能用于监测参数波动较大、变化较快的场所。无线系统最大的优势是不需要布设电缆，因此常用于井场、难以布线的高塔、移动设备或电缆敷设困难的改造项目，以减少电缆敷设的工作量和工程实施难度。

随着以5G为代表的低延迟、低功耗无线技术的发展，未来无线仪表网络也可能用于实时性要求高的监控回路。但目前由于成熟应用案例较少，所以本规范暂不考虑。

3.5.3 控制回路对确定性和实时性要求较高，如增压泵入口压力低联锁停泵回路，检测到压力低后应立即停泵(这样的控制回路一般要求响应时间不超过250ms),避免事故发生。由于无线系统延迟和不确定性较高，不推荐采用。而对实时性要求不高且不会出现安全问题的回路，如远程停抽油机、掺水量调节等，可以酌情采用无线仪表网络。

4.1 一般规定

4.1.1 系统的可用性应满足工艺过程要求。

4.1.2 系统应具有良好的安全性。

4.1.3 系统应选用开放式结构，软硬件应模块化。

条文说明

4.1.1 系统的可用性(availability)也称作可用率，计算公式如下：

式中MTBF——系统的平均无故障间隔时间；

　MTTR——平均故障修复时间。

系统的可用性宜不低于99.9%,即每年整个系统的累计故障修复时间不得超过8h。

保证系统可用性的手段及措施一般有：冗余、容错、故障自诊断、隔离等。

4.2 服务器

4.2.1 服务器应具有下列主要功能：

1 数据采集：负责与I/O采集设备(控制器或其他外围智能设备)进行通信，完成实时数据采集、控制、整定和工程值转换，可对数据采集方式和轮询时间进行设定。

2 数据服务：对采集的实时I/O数据进行数据库存储，并应为系统的各种数据请求提供数据源服务。

3 报警：根据报警组态自动产生并记录异常信息。

4 事件：系统、操作及各类动作触发的记录。

5 报表及打印：根据组态自动或人工触发报表并输出。

6 历史数据记录：根据组态按一种或几种速率将实时数据保存在历史数据库中。

7 历史归档：系统自动或手动将数据归档备份，需要时能从外部存储中恢复数据。

8 网络通信管理：向下对控制网进行管理，调度服务器与各控制器和智能设备间的通信，处理各种接口及通信协议转换；可管理与操作员站、工程师站、远程工作站、外部服务器等的通信。

9 安全管理：根据设置和设定的安全策略校核数据及服务请求，允许合法用户的访问，禁止非法用户的请求。

4.2.2 服务器应根据系统规模、I/O处理量、数据响应设置。服务器应根据系统的可用性和实际需要采取单机、冗余或按集群方式配置。

4.2.3 服务器硬件应选用商用产品，操作系统软件应采用商用开放平台。

4.2.4 满负荷应用条件下服务器应符合下列规定：

1 CPU使用率除系统或程序启动外不应大于40%。

2 内存使用率不应大于50%。

3 网络占用率不应大于60%。

4.2.5 服务器应采用冗余热拔插硬盘和电源。

条文说明

4.2.2 服务器按功能可分为实时服务器、历史服务器、I/O服务器、通信服务器等，这几类服务器可单独设置或功能合并，如负荷较轻时，实时服务器、历史服务器和I/O服务器、通信服务器通常合并为1台服务器；如历史存储及相关任务较重时，可单独设置历史服务器；对I/O采集的实时性要求高，可单独设置I/O服务器；需要多协议转换时，可采用通信服务器。

服务器可与操作员工作站合二为一，也常被简称为操作员工作站或HMI。操作员工作站本身具备系统服务器的功能，可进行数据采集、存储，同时又可作为人机界面，供操作人员使用，完成系统监控与操作。在小型控制系统或控制室空间有限时，常采用此模式。

4.3 操作员工作站

4.3.1 操作员工作站应能与服务器通信，并应具有显示、操作、报警和打印功能，可作为BPCS、SIS和FGS等子系统的统一人机界面。

4.3.2 操作员工作站配置应符合下列规定：

1 操作员工作站可按权限和操作区域配置。

2 重要单元宜配置专用操作员工作站。

3 多台操作员工作站间应互为备用。

4.3.3 可根据需要设置无线操作员工作站，无线操作员工作站应以监视和数据传送为主。

4.3.4 可根据需要设置便携式操作员工作站，便携式操作员工作站应专机专用，且不应配置与操作和安全无关的软件。

条文说明

4.3.2 现行行业标准《可编程控制器系统设计规定》HG/T20700—2014中对操作员工作站配置数量提出了一个经验性的粗略估算方法，是按数字量I/O点数[模拟量I/O点数折算成数字量I/O点数来估算，即1个AI(AO)=15个DI(DO)]的数量来配置，具体数量应符合如下要求：

1000～1500数字量I/O点：可配置2台；

1500～3000数字量I/O点：可配置2～3台；

3000～5000数字量I/O点：可配置3～4台；

5000～8000数字量I/O点：可配置4～6台；

8000数字量I/O点以上：可根据实际需要配置。

本条不适用于控制中心。

4.3.3 无线操作员工作站多采用平板电脑、手机等可触摸的智能设备，这些设备容易误触，因此建议以监视或信息传送为主，如监视回路参数、查找资料、抄表输入等，也可进行报警和事件确认等与工艺控制关联不大的操作。随着无线应用逐渐增多和无线操作员工作站功能的增强，有少量用户也用无线操作员工作站进行简单的控制操作，但在操作和控制时，一定要有防误触和防误开关的措施，如增加操作控制功能开启开关并有密码保护，对每一步操作都需要确认等，避免因无意识操作造成的事故。

4.3.4 随着无人值守站场的逐渐增多，有些无人值守站场可用便携式操作员工作站代替固定式操作员工作站，有人巡检时可连接便携式操作员工作站进行监控。便携式操作员工作站应严格管理，避免安装非法应用程序，对系统安全运行造成不必要的风险。

4.4 工程师工作站

4.4.1 工程师工作站应执行系统及设备的组态/编程(离线、在线)、调试、修改、测试、装载等功能，可进行系统管理。

4.4.2 工程师工作站与控制器连接宜通过控制网。

4.4.3 工程师工作站的配置应符合下列规定：

1 工程师工作站应根据系统的需要配置。

2 中央控制室/调度控制中心应配置工程师工作站。

3 数量多、分布地域广的站场宜配置便携式工程师工作站。

4.5 过程控制单元

4.5.1 控制器应能满足过程控制的要求，并应具有下列功能：

1 扫描和更新I/O数据。

2 连续控制。

3 批量及顺序控制。

4 逻辑和运算。

5 延时、计数和定时。

6 报警和系统诊断。

7 时钟同步。

8 接口通信。

4.5.2 控制器可为事件、报警和数据附加时间标签。

4.5.3 控制器负荷不应大于60%。

4.5.4 重要站场(厂)的控制器、通信接口及电源应1:1冗余配置。应根据系统的可用性和实际需要确定I/O模板的冗余配置。

4.5.5 各类I/O模板的技术规格应与现场信号源和负载匹配。

4.5.6 I/O模板通道数量应符合下列规定：

1 模拟量输入模板不宜多于16通道。

2 模拟量输出模板不宜多于8通道。

3 热电阻、热电偶和脉冲量输入模板不宜多于8通道。

4 数字量输入、数字量输出模板不宜多于32通道。

4.5.7 信号应根据I/O信号类型、电源、电压等级、干扰和接地情况进行隔离，并应符合下列规定：

1 模拟量输入模板通道与系统间应隔离。

2 有源模拟量输入信号应采用差分/双端输入和通道隔离。

3 接地不良的模拟量输入信号应采用差分/双端输入和通道隔离。

4 由强电磁干扰场合来的模拟量输入信号宜采用差分/双端输入和通道隔离。

5 模拟量输出模板通道间、通道与系统间应隔离。

6 数字量输入模板应优先采用光电隔离，数字量输出模板应采用光电隔离或继电器隔离。

7 电压超过36V的数字量输入/输出信号宜采用继电器隔离。

8 由强电磁干扰场合来的数字量输入/输出信号宜采用继电器隔离。

4.5.8 I/O点的备用量应符合下列规定：

1 各类I/O点的备用量应为实际IO点数的10%～30%。

2 I/O卡件槽(位)的备用空间应为实际使用卡件槽(位)的10%～30%。

4.5.9 I/O模板应可组态，组态信息应记录。

4.5.10 I/O模板宜能在线热拔插。

4.5.11 I/O模板关联设备的配置应符合下列规定：

1 转换器或隔离器应根据信号源与I/O模板连接的需要设置。

2 本质安全回路应设置安全栅或采用具有安全栅功能的隔离I/O模板。

3 SPD的设置应符合本规范第8.3节的要求。

4.5.12 距控制机柜较远的检测点，可采用远程I/O单元或远程控制站。

条文说明

4.5.2 可在I/O模板、控制器或服务器处为事件、报警和数据附加时间标签，目前常用的是在服务器处附加，但随着计算机控制系统网络化趋势的发展，控制器作为站场一个节点，越来越多地连接到SCADA系统中。为保证数据，特别是报警和事件的实时性，可在控制器上附加时间标签。

4.5.3 控制器负荷计算需由系统厂商完成，以下给出了控制器负荷的通用估算方法，设计人员可通过估算进行设备选型。

可编程逻辑控制器(PLC)与远程终端单元(RTU)的控制器负荷建议按下列公式估算：

控制器为实时多任务操作系统，任务包括系统任务和用户任务。系统任务执行控制器自身固化的程序，用户任务执行用户组态的程序。用户任务由循环任务、周期任务、事件任务组成。

控制器大部分资源用于执行用户任务，控制器负荷的指标一般考虑低优先级的循环任务和周期任务的执行能力，即循环任务的执行时间/控制周期、周期任务的执行时间/周期。

在用户任务中，对I/O点进行处理，并执行用户程序。任务的执行时间是I/O处理时间和用户程序执行时间的总和。其中，I/O处理是指控制器对输入/输出点进行工程量转换、报警、诊断等处理；用户程序需要编程，常用的编程语言有功能块图和梯形图，完成逻辑处理、运算、调节控制及数据存储等工作。

公式(2)和公式(3)是根据以上原理给出的简化估算公式，假定所有I/O数据处理均设置在循环任务中，其他用户任务仅处理简单逻辑、运算和调节，对循环任务执行时间影响可忽略，仅使用基本功能块和调节功能块，完成简单逻辑、运算和调节，则控制器的负荷由循环任务的执行时间表征，任务的执行时间越短，控制器的负荷越小。公式(2)和公式(3)中符号定义及估算取值见表2。

分散控制系统(DCS)的控制器负荷宜按下列公式估算：

在DCS系统中，通常存在不同控制周期的任务，通过各自的用户程序对I/O进行处理和控制，控制周期一般有20ms、50ms、100ms、200ms、500ms、1s等。

随着项目、组态的不同，各种数据处理或程序的执行周期也不同，控制器负荷需要根据不同的处理对象、不同的程序、不同的执行周期进行计算，公式(4)中符号定义及估算取值见表2。

表2 控制器负荷估算符号定义

4.5.4 重要站场(厂)常见有：大型联合站、油气处理厂、大型油库、有毒天然气站场、高压天然气站场、长输管线站场等。

4.5.7 本条第3款：计算机控制系统接地电阻一般要求不大于4Ω,但在沙漠和山区，这一指标较难实现，一般接地电阻超过10Ω认为是接地不良。无接地或接地不良的模拟量信号，易受干扰，需在I/O模板处采用“差分/双端输入和通道隔离”以减小对系统和其他通道的干扰。

4.6 网络与通信

4.6.1 计算机控制系统应支持标准的通信协议，且宜支持多种控制器。

4.6.2 通信网络的负荷不应超过60%。

4.6.3 根据当地气候特点和供电情况，通信网络应采取必要的防雷及防电涌保护措施。

4.6.4 现场网络的接口宜采用串行或以太网接口。

4.6.5 I/O网络配置应符合下列规定：

1 I/O网络宜冗余或环路配置。

2 远程I/O网络应冗余或环路配置。

3 远程I/O网络通信介质宜采用光纤。

4.6.6 控制网络宜采用工业以太网。控制网络应符合下列规定：

1 控制网络宜冗余或环路配置。

2 交换机宜采用工业网络交换机。

3 远程控制网络通信介质宜采用光纤，可采用公网、无线、卫星等。

4.6.7 监控网络宜采用工业以太网。大型或安全性要求高的系统，监控网络和控制网络宜分开设置。监控网络应符合下列规定：

1 中型系统监控网络宜冗余或环路配置。

2 大型系统或安全性要求高的系统，监控网络应冗余或环路配置。

3 远程监控网络应冗余或环路配置。

4 对移动操作员站应采取防止误操作、病毒、非法入侵等安全措施。

4.6.8 近距无线仪表连接时，宜采用ZigBee、WirelessHART、ISA100.11a或WIA-PA协议。

4.6.9 远距离无线传输宜采用移动公网或窄带物联网传输。

条文说明

4.6.1 计算机控制系统通信常用的国际标准有：

(1)IEEE802系列是EEE(电气和电子工程师协会)标准中关于局域网和广域网的一系列标准。计算机控制系统中的信息 网络层和监控网络层多采用符合《CSMA/CD访问控制方法与物 理层规范》IEEE 802.3中的TCP/P 协议。随着工业以太网的发展，越来越多的控制层网络也是以TCP/IP协议为基础构建的。

(2)IEC    61158(现场总线标准)系列是经过长期技术争论而逐步走向合作的产物，该标准采纳了经过市场考验的主要类型的现场总线、工业以太网和实时以太网。IEC  61784系列标 准是IEC  61158的配套规范，其对应关系见表3。

表3 IEC 61158与IEC 61784定义的现场工业通信网络

(3)工业以太网与实时以太网关系：一般将用于工业控制系统的以太网统称为工业以太网，但是按照国际电工委员会SC 65C(Industrial networks) 的定义，工业以太网是用于工业自动化环境，符合《CSMA/CD 访问控制方法与物理层规  范 》IEEE  802.3标准，按照《媒体访问控制(MAC)网桥》 IEEE 802.1D规范和《局域网虚拟网桥》IEEE 802.1Q规范，对 其没有进行任何实时扩展 (extension)  而实现的以太网。通过采用减轻以太网负荷，提高网络速度，采用交换式以太网和全双工通信，采用信息级、流量控制及虚拟局域网等技术提高以  太网的实时性，到目前为止可以将工业以太网的实时响应时间  做到5ms～10ms,相当于现有的现场总线。工业以太网在技术  上与商用以太网是兼容的。

对于响应时间小于5ms 的应用，工业以太网已不能胜任。 为了满足高实时性能应用的需要，各大公司和标准组织纷纷提出各种提升工业以太网实时性的技术解决方案。这些方案建立 在IEEE 802.3标准基础上，通过对其和相关标准的实时扩展， 提高实时性，并且做到与标准以太网的无缝连接，这就是实时 以太网 (Real  Time  Ethermet,简称RTE)。

4.6.2 控制器通信负荷计算需由系统厂商完成，以下给出了控 制器采用以太网通信的负荷通用估算方法，设计人员可通过估算进行设备选型。本条说明仅给出了基于以太网通信的负荷估 算，串行口通信由于计算比较简单，说明中未提及。

可编程逻辑控制器 (PLC)与远程终端单元(RTU)网络通信负荷建议根据以下公式估算：

分散式控制系统(DCS)局域网网络负荷建议根据以下公式估算：

分散控制系统(DCS)、可编程逻辑控制器 (PLC) 与远程 终端单元(RTU)一般是基于工业以太网传输数据，可以通过1s内网络上传输的数据量来衡量，主要包括实时数据、控制器 间交互数据和诊断数据，其他数据流量较小，一般可忽略。

公式(5)和公式(6)中系数4为考虑以太网通信的帧 头帧尾及其他数据后取值，按照4倍裕量计算；系数8为字节 (byte)折算为比特 (bit)后需要乘以8。公式中符号定义及估 算取值见表4。

表4 通信负荷估算公式符号定义

4.6.4 现场网络是BPCS 与现场智能设备的通信链接，主要通 信接口有：

(1)串行通信接口：

串行通信接口是最常用的通信接口，现场大多数智能仪表， 例如分析仪、流量计、变送器、机械保护系统、 PLC、小型控 制器等，都支持与控制系统间的串行数据通信。常用物理接口 和通信协议如下：

RS-232：一种半双工短距离单设备串行通信接口，通信距  离不超过15m 。当需要远距离传输时，需要增加协议转换器。 通信协议宜采用Modbus   RTU。

RS-422：一种全双工远距离单设备串行通信接口。通信协 议宜采用Modbus   RTU。

RS-485：一种半双工远距离单设备或者多设备串行通信 接口，该接口是现场应用最广泛的通信接口；多个RS485/422  设备可以通过菊花链的方式组成一点对多点的通信网络， 一般 相同厂商的设备才相互兼容， 除非经过验证，不同厂商的RS-485/422设备不宜组网。通信协议宜采用Modbus  RTU。

另外，通过串口转以太网模块，大量RS-232/422/485 设备 可借此接入以太网。

HART: 是一种两线制连接的智能仪表通信协议，它是加载 在 4mA～20mA  模拟量信号上的数字调制信号，支持多点通信。

(2)现场总线：

现场智能仪表和设备可通过现场总线连接在一起，与过程 控制系统通信，不但可以进行常规的监视和控制，还能传输丰 富的诊断信息，可进行远程设定，同时节省电缆与施工敷设工 作量。常见的现场总线有：

FF 现场总线：连接现场智能仪表和控制阀，可就地组网进 行连续控制和测量。

Profibus 总线：常用于连接开关阀、智能电气设备等数字量 设备和智能变送器。

Devicenet总线：常用于有大量简单设备的防爆场合，如机 械控制、开关阀控制、智能电气设备控制等。

4.6.5 I/O网络连接控制器和IO   模板，其协议是厂商专有的。

4.6.6 本条第2款，工业以太网和通用以太网有明显的区别，所用的网络交换机也应有区分，以下摘自现行国家标准《工业  以太网交换机技术规范》GB/T  30094—2013引 言 ：

工业以太网技术在工业现场已获得广泛应用，工业以太网与通用以太网的主要差异体现在：

1)工业网络的工作环境通常比较恶劣，工业通信设备必须能 够在诸如高温、高湿、高海拔、严重的电磁干扰、较差的 供电质量等自然和人为环境下，具备正常通信的能力。

2)通用网络中大部分是随机流量，而工业网络中主要是周期性流量，且大部分流量的发生是可以预测的。

3)通用网络侧重于网络带宽的充分利用，在某些情况下可以允许时延或数据损失。而工业网络中的通信流量与工 业系统的运行和管理相关，一般不允许丢失数据。

4)工业通信网络必须保证工业现场通信的安全性、实时性、可靠性、稳定性，并具备较强的自愈能力。

5)通常通用网络为开放性网络，而工业网络一般为专用网 络，目前普遍为局域网。

工业以太网交换机是基于以太网技术的工业通信网络的基 础交换设备，相比通用以太网交换机，工业以太网交换机在功 能方面有差异，而在环境适应性、可靠性、安全性、实时性等方面则具有更高要求。

注1:工业以太网交换机不必过于关注流量控制的功能，而是在系统设计阶段， 通过选择具有足够吞吐量的设备，来保证设备能够满足最大流量时的正  常通信 。

注2:工业以太网交换机通常要求支持环型物理拓扑，且正常工作时不形成逻

辑环路，而一旦出现链路故障，则能够迅速切换到后备链路。

注3:对于支持精确时钟功能的工业以太网交换机，宜具备时钟保持功能，在 外部时钟源失效时，能够以一定的准确度保持其自身时间信息输出的准 确性 。

4.6.8 ZigBee 、WirelessHART(《Industrial networks-Wireless communication network and communication profiles-  WirelessHARTTM》EC62591)、ISA100.11a(《Industrial networks-Wireless communication network and communication profiles-ISA 100.11a》IEC 62734)  和 WIA-PA(《Industrial networks-Wireless communication network and communication profiles—WIA-PA》 IEC 62601)是目前常用的近距离无线仪表通信协议，均是基于《IEEE Standard for Low—Rate Wireless Networks》IEEE 802.15.4   协议开发。

IEEE  802.15.4定义了一种低速率、低功耗和低复杂度射频 无线局域网 (LR-WPAN)通信协议，它规定了LR-WPAN  的 物理层和媒体访问控制。由IEEE 802.15工作组维护，第一版 发布是2003年，现行的是2015版。

中国工业无线联盟也基于IEEE  802.15.4制订了WIA-PA(Wireless Networks for Industrial Automation Process Automation) 标准，作为面向工业过程自动化的工业无线网络标准。 WIA-PA 标准是由863先进制造技术领域《工业无线技术及网络化测 控系统研究与开发》项目(2007AA041201)提出的。参加该项 目的有中科院沈阳自动化研究所、北科大、浙大、重庆邮电大 学、上海工业自动化仪表研究院等。

2008年10月31日，经过IEC 全体成员国的投票，WIA-   PA 规范作为公共可用规范IEC/PAS  62601予以发布。2011年 10月14日，经国际电工委员会工业过程测量、控制与自动化  技术委员会IEC/TC65  的26个成员国投票，由我国负责制定的  工业无线网络WIA-PA  技术标准提案，最终以100%的通过率， 成为正式IEC 国际标准：《Industrial Communication Net works  Fieldbus Specifications-WIA-PA   Communication   Network    and  Communication Profile(工业通信网络现场总线规范WIA-PA

通信网络与通信规范)》IEC 62601。

WIA-PA 标准是具有我国自主知识产权、符合我国工业应 用国情的一种无线标准体 系。在辽河油田、吉林油田、大庆油田、新疆油田等油田有工业应用业绩。

IEEE 802.15.4定义的“近距”无线连接是10m 通信范围，传输速率为250 kbit/s,ZigBee可增加至10m～75m 。采用这些技术的无线仪表还可以通过跳接或增加天线增益的方式实现 较远距离的传输，但一般局限在一个井场或站场范围内。

4.6.9 常用的窄带物联网协议有NB-Iot(Narrow Band Internet of  Things,NB-IoT)和 LoRa, 前者通过移动通信网络公网传输，后者需要建立私有移动网络，均可实现低速、低功耗和远距离无线通信。另外直接利用移动公网，采用4G/4G LTE/5G 或GPRS 数据连接，也可以实现仪表的远距离无线通信，其中4G/4G LTE/5G还可以支持视频等高速数据传输。

远距离无线通信一般用于油气田内部集输管道或输油气管道沿线，可连接分布在各地的独立仪表或泛在感知设备。这些远距离无线通信设备可接入生产辅助高级应用系统。为保证信息安全，通过公网传输的信号在接入系统前一般先经DMZ隔离。

4.7 工业控制系统网络安全

4.7.1 工业控制系统应根据网络安全等级保护评估的结果，按照现行国家标准《信息安全技术网络安全等级保护基本要求》GB/T22239的有关规定进行设计。

4.7.2 工业控制系统网络应分层设置，宜按本规范图3.2.1的结构进行设置。不同层次的网络应单独组网。

4.7.3 与工业控制系统无关的计算机或设备不应直接接入工业控制网。

4.7.4 与外部有连接的站内第三方设备不应直接接入控制网或监控网。

4.7.5 工业控制系统网络边界防护策略应采用白名单机制，应按最小化允许规则配置。

4.7.6 调控中心与重要站场两侧应设置防火墙隔离。

4.7.7 工业控制网络安全防护应采用工业防火墙、网闸、安全网关、VPN、DMZ等进行网络的分隔和隔离。

4.7.8 操作系统软件、工业控制软件和应用软件应采用最小化安装原则，应只安装与自身业务相关的系统组件及软件。

4.7.9 系统内所有计算机应删除或重命名默认账户，并应修改默认口令。应及时删除多余或过期账户，不宜使用共享账户。

4.7.10 大型多地域SCADA系统宜设置网络安全监测与审计系统。

4.7.11 对所有无线连接应采取授权和监控措施。无线通信的人员/用户、软件/进程和设备应设置唯一标识，应根据标识进行鉴别和监控，并应根据授权范围限定访问内容。

4.7.12 控制器、存储器及网络设备退役前，应先清除所有数据和策略组态。

条文说明

4.7.1 2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过的《中华人民共和国网络安全法》第二十一条规定：

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；(二)采取防范计算机病毒和网络攻击、网络侵人等危害网络安全行为的技术措施；(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；(四)采取数据分类、重要数据备份和加密等措施；(五)法律、行政法规规定的其他义务。

国家标准《信息安全技术网络安全等级保护基本要求》GB/T22239将“工业控制”作为网络安全的扩要求，网络是工业控制(计算机控制系统)的重要组成部分，其安全性应予以高度重视。国家标准《信息安全技术信息系统安全等级保护定级指南》GB/T22240—2008第4.1条将信息系统安全保护等级分为五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，但不损害国家安全。

第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。

在网络等级保护定级时建议对整个系统，特别是信息层网络进行整体评估，不建议对一个或多个场站，尤其是小型场站，如井场、集气站、计量站等进行单独评估。油气田站场大多地处偏远、场站众多且分散，大部分通信网络均是企业内部单独组网，仅在关键节点与公网有连接，因此大部分场站的计算机控制系统都达不到等级保护的标准。仅在大型站场、调控中心等处有等级保护的要求，但也一般不超过二级。

国家标准《信息安全技术网络安全等级保护基本要求》GB/T22239对第一级到第四级等级保护对象的安全通用要求和安全扩展要求进行了规定。经评估后需要做网络等级保护的站场，需根据该标准建议的措施进行设计。

工业控制系统的网络安全需采用边界安全防护、纵深防御、物理环境安全防护和安全管理等综合手段予以保障。边界安全防护是最常用的安全防护手段，应首先明确工业控制系统的防护边界，采用工业防火墙、网闸、DMZ等设备进行网络隔离。在工业控制系统内部同层网络的边界可进行横向隔离，在每层网络之间进行纵向隔离。在设置横向和纵向隔离时一定要考虑技术的可行性，尤其是控制网络层和监控网络层的设置，一定要慎重，避免影响正常的监控功能。

纵深防御是指透过多层隔离和摆渡才能访问被保护的网络，通过足够的纵深可成倍增加网络攻击的难度。

物理环境安全防护是指对存放工业控制系统硬件设备的场所进行安全防护，如为控制室增加门禁、采用防盗窗、增加专用安防摄像机等。安全管理主要是指采用管理的手段保障控制系统安全，如建立定期的安全评估制度、定期巡护制度、控制系统安全防护制度、承包商管理制度等。

4.7.2 本规范图3.2.1建议把工业控制系统由下向上分为：I/O网络层、控制网络层和监控网络层(高级应用网络和信息网络层采用标准的以太网，不属于工业控制网络范畴),其中服务器是连接控制网络层和监控网络层的关键共用节点，服务器需设置相互独立的网卡分别连接控制网络和监控网络。

单独组网主要是要求网络设备和网络地址独立，如不同网络层的交换机、集线器需独立，IP地址也建议设置为不同的网段。

监控层与信息层网络间的边界需采用防火墙、网闸和DMZ等成熟技术进行边界隔离。工业控制网络各层级间也建议进行网络隔离，但由于工业控制网的特殊性，采用的隔离手段不能影响控制系统正常监控功能。在具体设计时，还需综合考虑站场的重要程度，技术、经济是否可行等因素，审慎选择是否设置或设置何种网络隔离措施。

4.7.4 油气田和管道大部分第三方设备(橇块)没有外部连接，与BPCS的通信也仅限于数据，这些设备的控制系统可以直接与控制网或监控网络连接，通过工业控制网络协议传输数据。还有些第三方设备(橇块)与外部有通信连接，比如部分烟气监测设备、交接计量橇块等需要通过公网或专用网络与外部连接，存在外网接入，也就有人侵的可能性。因此这些设备不能直接接入控制网或监控网，可通过串行接口接入BPCS控制器，或通过防火墙接入网络。

4.7.5 “白名单”是与“黑名单”相对应的，是IT专业对过滤规则的定义。黑名单是列出不允许通过的用户、程序、进程、IP地址、IP包和特定内容(如病毒特征码),还有就是禁止启动或加载的程序、进程和代码等。与之相反，白名单仅列出可通过或可启动、加载的内容，如允许通过的用户、程序、进程、IP地址、IP包和特定内容，可以运行或加载的程序、进程和代码等。

由于网络入侵和恶意应用具有极大的随机性和不可预测性，加上工业控制系统对响应速度要求较高，网络安全措施应尽量减少对工业控制系统通信的影响，所以安全、快捷的白名单机制比黑名单更有效。在工业控制系统内部，按最小化运行规则，仅允许安全可信的内容通过或运行即可，其他所有内容均可禁止。当然白名单也可与黑名单配合使用，对可通过内容进行进一步筛查，增强系统的安全性。

4.7.6 SCADA在油气田和管道应用较广，从安全防护角度讲，最好在远程站场出站和中心站进站两端增加防火墙隔离。但考虑到大量油气田SCADA均局限在一个小的油区内，远程场站数量最多的是井场RTU,单个井场重要性和入侵的可能性均较小，所以本规范中并未统一要求在远程站场端增加防火墙，但建议根据工程实际情况在重要站场，如大型联合站、天然气处理厂、压气站、输油气站等的出站端增加防火墙隔离。

4.7.7 工业控制网络的安全隔离建议采用成熟可靠的技术和设备，另外这些技术和设备也不是独立存在的，有些也是多种技术的组合。如安全网关就是防火墙、VPN和DMZ等技术的综合应用。VPN技术还广泛应用于网络软隔离，如部分油气田网络，尤其是老油气田井站间的通信网络只有一条，用于监控的控制网络和用于通信视频的通信网络无法物理分开，这种情况下，只能采用VPN技术进行基本的隔离。

4.7.10 网络安全监测与审计系统可采用旁路或直通部署，可详细记录所有网络通信行为，有的还可以通过工控协议深度解析，记录指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

通过对网络通信的审计和统计分析，发现异常并报警，可及时发现、报告并处理网络攻击或异常行为，保障工控系统网络安全。

4.8 辅助操作设备

4.8.1 操作需要时可设置辅助操作台(盘)。

4.8.2 现场控制盘可设置触摸屏或操作面板。

条文说明

4.8.1 辅助操作台(盘)用于安装特殊需要的记录仪、信号报警器/灯、后备手操器，以及联锁、紧急关断、机泵等的控制开关、按钮或转换开关等。

4.9 外围设备

4.9.1 BPCS宜配置报警打印机和报表打印机，并可配置屏幕拷贝打印机。

4.9.2 操作员工作站和工程师工作站可配置专用键盘。

4.9.3 除键盘外，所有外设备及接口应采用通用产品。

4.9.4 机架安装的冗余服务器宜通过KVM切换器共享键盘、鼠标和显示器。

条文说明

4.9.1 报警打印机宜为针式打印机，便于报警实时打印及多层纸打印。

4.9.2 专用键盘常见的是DCS键盘，具有特制的功能键和用户定义键及比普通键盘更好的防水和防尘性能。

4.9.4 KVM切换器的正式名称为多计算机切换器，可让系统管理员通过一组键盘、显示器和鼠标，控制多台服务器或电脑主机的计算机外围设备。目前KVM的功能不仅限于键盘、鼠标和显示器的切换，还可通过串口进行控制，如利用串口完成集线器、路由器、储存设备及UPS等的切换控制。

4.10 现场总线系统

4.10.1 现场总线设备宜根据仪表重要程度进行风险评估，应根据风险评估的结果进行网段划分。

4.10.2 采用现场总线系统时，宜设置仪表设备管理系统。

4.10.3 基金会现场总线(FF)系统设计应符合现行行业标准《石油化工FF现场总线控制系统设计规范》SHT3217的规定。

4.10.4 PROFIBUS总线系统设计应符合现行行业标准《石油化工PROFIBUS控制系统工程设计规范》SH/T3188的规定。

条文说明

4.10.1 现场总线可以把多台设备连接在一起，物理传输风险相对集中。为分散风险，降低总线失效对整个系统及关键工艺设备控制的影响，建议在网段规划前对总线设备进行风险评估，制订分配原则，根据评估结果和分配原则进行网段连接设备的分配和网段划分。

5.1 一般规定

5.1.1 安全仪表系统和火气系统设计应满足可靠性、可用性、可维护性、可追溯性和经济性要求。

5.1.2 安全仪表系统和火气系统的构成应使中间环节最少。

5.1.3 安全仪表系统应通过硬线与现场仪表和设备连接，火气系统宜通过硬线与现场仪表和设备连接。

5.1.4 安全仪表系统和火气系统应具有系统硬件和软件自诊断功能。

5.1.5 安全仪表系统和火气系统应设置SOE。

条文说明

5.1.1 完整的安全仪表系统和火气系统应包括现场的传感器、探测器件和最终执行元件及逻辑控制单元，本规范仅重点讨论逻辑控制单元(包括控制器、I/O卡件、通信网络)及辅助操作设备，对仪表安全系统在油气田及管道中的应用原则作出规范。有关油气田工程安全仪表系统的具体要求应符合现行行业标准《油气田工程安全仪表系统设计规范》SY/T7351的规定，输油气管道工程安全仪表系统的具体要求应符合现行行业标准《输油气管道工程安全仪表系统设计规范》SY/T6966的规定。

5.1.3 部分火气探测器作为安全仪表功能回路输入时，也需采用硬线连接。

5.1.4 通过回路诊断和系统自诊断，可检测线路的开路和短路故障、仪表故障或I/O模板通道故障，检测到这些故障后系统应立即报警提醒操作员处理；同时可执行自动超驰操作，短时间隔离故障，减少不必要的停车。执行自动超驰操作应注意：

(1)应是有人值守站场。

(2)应在BPCS上报警。

(3)自动超驰操作应有时间限制，延时时间一般不超过1h,超出设定延时时间后，如故障不恢复或未检测到手动超驰，应自动撤消超驰，此时可能导致系统停车。

5.1.5 油气田及管道的工艺参数的变化都较缓慢，由停车引起的次级停车时间间隔也较长，因此除压缩机防喘振等特殊应用外，SOE的分辨率不要求太高，但不应大于100ms。

5.2 安全仪表系统(SIS)

5.2.1 油气田工程安全仪表系统设计应符合现行行业标准《油气田工程安全仪表系统设计规范》SY/T7351的规定。

5.2.2 输油气管道工程安全仪表系统设计应符合现行行业标准《输油气管道工程安全仪表系统设计规范》SY/T6966的规定。

5.3 火气系统(FGS)

5.3.1 安全仪表系统与火气系统宜分开设置。

5.3.2 在安全仪表系统和火气系统点数较少时，两个系统可合用一套控制器，I/O模板应分开，FGS逻辑和ESD逻辑应分开。

5.3.3 当火气系统与安全仪表系统完全独立时，两者之间的信号应通过硬线连接。

5.3.4 探测器报警和火气逻辑重启前应先手动复位。

5.3.5 火气硬件输入输出信号应设置维护超驰开关。

条文说明

根据《中华人民共和国消防法》及应急消评〔2019〕21号《关于对十三类消防产品开展自愿性认证工作的通知》的要求，FGS需是满足现行国家标准《消防联动控制系统》GB16806要求和/或具有“消防产品自愿性认证”的产品。

在现行国家标准《石油天然气工程设计防火规范》GB50183规定的不需要设置自动消防系统的站场，现场发生火灾或可燃气体泄漏时，第一时间执行关断或泄放是保证站场及人员安全，减少事故损失的最主要措施。这些站场的火灾和气体探测器与工艺安全密切相关，可直接接入SIS或BPCS的火气相关板卡。另外站场火灾报警控制器和可燃/有毒气体报警控制器的联动输出，也可直接接入SIS或BPCS的火气相关板卡。这部分的软硬件要求也需符合本节的相关规定。

5.3.2 有别于ESD逻辑的非励磁(失电)停车，FGS是励磁(带电)输出，平时火气输出回路是非励磁(失电)状态，因此两个系统的模板和逻辑应分开。

5.3.4 宜在HMI和/或硬手操盘上分别设置手动复位按钮，并应注意如下事项：

(1)部分火气探测器，如感烟、感温探测器须回路断电才能恢复，在系统设计时应考虑。

(2)火气逻辑动作，如执行消防输出后，不应自动重启，应先复位。

5.3.5 根据相关法规，火气设备需要定期进行测试，在测试期间需要对火气硬件信号进行维护超驰。

5.4 通信接口

5.4.1 安全仪表系统、火气系统与基本过程控制系统间通信接口和网络应冗余。

5.4.2 安全仪表系统和火气系统的通信负荷不应超过50%。

条文说明

5.4.1 安全仪表系统、火气系统和基本过程控制系统建议选择同一公司产品，有利于无缝连接。

5.5 辅助操作设备

5.5.1 辅助操作设备应包括硬手操盘和(或)模拟显示盘(屏)。安全仪表系统应配置硬手操盘；火气系统宜设置硬手操盘，可设置模拟显示盘(屏)。

5.5.2 硬手操盘和模拟显示盘(屏)可独立设置，或与BPCS辅助操作台(盘)合并设置。

5.5.3 硬手操盘和模拟显示盘(屏)应通过硬接线与SIS和(或)FGS连接。

5.5.4 硬手操盘应符合下列规定：

1 按钮应有防误触发保护。

2 ESD和火灾、气体触发按钮应为红色带锁定按钮，相应指示灯应为红色。

3 复位按钮应为黑色。

4 维护超驰和操作超驰允许钥匙开关应为黄色，对应指示灯为黄色。

5 运行和正常指示灯为绿色，故障指示灯为红色。

6 硬手操盘应设置指示灯测试按钮，按钮为白色。

5.5.5 模拟显示盘(屏)应符合下列规定：

1 火灾、ESD公共报警指示灯为红色。

2 气体泄漏公共报警指示灯为黄色。

3 消防释放阀释放和工厂健康状态指示灯为绿色。

4 测试按钮为白色。

条文说明

5.5.4 硬手操盘可分为ESD部分和FGS部分，配置建议如下：

(1)ESD部分：

1)按停车级别或区域设置ESD按钮，建议设置状态指示灯；

2)建议按停车级别设置复位按钮；

3)按停车级别设置ESD公共报警指示灯；

4)建议设置系统正常指示灯；

5)设置维护超驰允许钥匙开关和状态指示灯；

6)设置操作超驰允许钥匙开关和状态指示灯。

(2)FGS部分：

1)按消防分区设置火灾手动报警按钮和状态指示灯；

2)按消防分区设置气体泄漏手动报警按钮和状态指示灯；

3)按消防分区设置公共火灾报警指示灯；

4)按消防分区设置公共气体泄漏报警指示灯；

5)按消防分区设置消防启动按钮和状态指示灯；

6)设置消防泵/泡沫泵手动启动按钮和泵状态、故障指示灯；

7)设置消防释放阀手动打开按钮和开关状态指示灯；

8)设置火灾报警复位按钮；

9)设置气体泄漏报警复位按钮；

10)设置报警确认按钮；

11)设置火气维护超驰允许钥匙开关和状态指示灯。

(3)硬手操盘设置指示灯测试按钮。

5.5.5 模拟显示盘(屏)建议包括如下指示：

(1)按消防分区设置火灾公共报警指示灯。

(2)按消防分区设置气体泄漏公共报警指示灯。

(3)按消防分区设置消防释放阀释放指示灯。

(4)按停车级别和区域设置ESD公共报警指示灯。

(5)设置系统正常状态指示灯。

(6)设置指示灯测试按钮。

6.1 基本配置和功能

6.1.1 计算机控制系统应配置操作系统软件、监视控制软件、组态和编程软件、诊断管理和安全防护软件，根据需要可配置模拟仿真、生产辅助高级应用系统等高级应用软件。

6.1.2 操作系统软件应符合下列规定：

1 系统应支持分布式网络，宜支持冗余结构。

2 应支持多种计算机硬件和网络接口。

3 应支持实时多任务。

6.1.3 监视控制软件应具有下列功能：

1 实时数据采集和处理。

2 过程控制。

3 人机界面(HMI)。

4 多种常规控制器的通信协议和OPC、DDE等通用通信协议。

5 诊断。

6 多种编程语言。

7 历史数据记录、管理及报表。

6.1.4 组态和编程软件应具有下列功能：

1 监视控制软件组态、编程。

2 控制器组态、编程。

3 在线或离线调试、修改、测试、装载。

4 显示画面组态。

5 报表组态。

6 通信和外部接口组态。

7 系统管理。

8 软件版本管理。

6.1.5 诊断和管理软件应具有下列功能：

1 监视和诊断系统通信链路的工作状态，统计通信成功及失败次数，通信失败报警。

2 监视和诊断控制器、输入/输出(I/O)模板及输入/输出(I/O)网络的运行状态和故障报警，输入/输出(I/O)诊断到具体板卡和通道。

3 冗余设备在线自诊断、故障报警、无差错切换。

4 计算机硬件、软件故障自诊断及报警。

6.1.6 安全防护软件宜具有下列功能：

1 应配置病毒防护软件，具有病毒查杀功能。

2 可配置主机安全防护软件，具有主机安全加固、用户及网络管控、入侵监测及控制、系统补丁管理功能。

6.1.7 应用软件的配置宜符合下列规定：

1 可配置批量跟踪、计量管理、泄漏监测、模拟培训等工程应用软件。

2 可配置压缩机、机泵等大型设备的设备管理软件。

3 可配置智能仪表设备管理系统。

条文说明

6.1.1 高级应用软件一般配置在监控层和信息层网络之间的高级应用层，可以通过控制系统读取数据，处理后为生产管理、运行优化等提供服务。如生产辅助高级应用系统(也称作生产指挥系统、生产调度系统、生产信息化系统等),可以读取自控、通信、安防、电力、设备管理等系统的数据，以及泛在感知数据，如车辆运行轨迹、管线地灾监测、无人机巡检、人员巡检打卡、水文气象等也接人该系统。生产辅助高级应用系统一般通过GIS地图等直观的形式展示数据，实现各系统的融合互动，为生产调度、运行优化和应急指挥提供数据支撑及指导。通过大数据处理，结合模拟仿真系统，还可以实现趋势预测，可为计划排产、参数优化等提供指导。

6.1.3 监视控制软件图形显示和操作响应时间可参考表5。

表5 图形显示和操作的响应时间

　　注：所有功能测试应在系统峰值负载下进行，例如大量过程参数同时变化、多个点同时报警或在多个操作员工作站同时调用新画面和打印报告。

数据采集速率应根据系统性能和被控对象特性来确定，在有线通信连接下建议的服务器数据采集速率是：

(1)模拟信号：温度10s、压力1s、流量2s、液位2s、其他5s。

(2)数字信号：1s。

6.1.7 本条第3款，智能仪表设备管理系统是针对智能仪表、智能阀门定位器等进行在线组态、调试、校验管理、诊断及数据库纪录的设备管理应用软件，目前主流DCS厂商都有自己的智能仪表设备管理系统，其应用已经有十多年历史，在炼化领域尤其广泛，部分管道或罐区项目中也有应用。建议在智能仪表、阀门数量较多的工程中配置。

6.2 人机界面

6.2.1 人机界面软件(HMI)应具有图形显示、操作功能，支持简体中文，支持多窗口及多屏显示。

6.2.2 生产运行操作画面宜包括菜单、动态流程图、测控点详细画面、数据总貌、组显示、趋势图、报警画面、记录显示、通信统计画面。

6.2.3 SIS和FGS系统应设独立画面。

6.2.4 系统维护画面可进行整个系统的诊断和维护。

条文说明

6.2.2 生产运行操作画面宜包括：

(1)菜单画面：列出可显示的全部画面的一个目录，可以在此画面上直接调用所需画面。

(2)动态流程图显示画面：用图形、颜色、数据等组合显示装置的运行状态和变量的实时值，生产运行和SIS参数可在同一幅画面中显示。流程图画面可分为总流程图、各工艺流程图和重要设备单体流程图三类。

(3)测控点详细画面：点击屏幕上的位号可激活与该位号相关联的测控点详细画面，可显示该点的全部信息，可进行与测控点相关的设置，如扫描、报警、设定值、死区等的设置。

(4)数据总貌画面：列表显示全部过程变量，应包括橇块部分数据总貌。

(5)组显示画面：在每一组显示画面上，同时显示几个(如8个)相关检测控制点的信息。

(6)趋势显示画面：每幅趋势显示画面应在同一坐标上，同时显示至少4个变量的变化趋势。每个变量的变化趋势应以不同颜色显示。应有2~3个间隔时间供用户自由选择，如1h、8h、24h等。

(7)通信统计显示画面：显示各级通信状态。

(8)报警显示画面：应有多种可供选择的声响和颜色，报警级别用不同的声响区分，并能通过显示画面确定第一报警原因。过程存在的所有报警可同时显示。

(9)报警总汇和报警记录显示画面。

(10)报警组态画面。

(11)多值比较画面：在集成控制系统中，有些监测点可能设置多台变送器(如2台),分别进BPCS和SIS系统，如果有这种情况存在，应单独设多值比较画面。多值比较画面是将同一监测点设置多块仪表的数据全部列在一起，显示实时值、偏差值和偏差报警，仪表数据偏差超过报警限会触发报警。

6.2.3 SIS和FGS系统推荐设独立画面，建议包括停车层次图、SIS流程图，以及SIS维护超驰、火气总貌、火气分区、数据总貌等画面。

(1)停车层次图：可显示各级别停车的关系和停车因果联系，显示所有停车原因与结果的对应状态。

(2)SIS流程图：根据P&ID开发，仅显示SIS参数的动态流程图画面。

(3)SIS维护超驰画面：以列表及图标方式显示每个停车的因果关系，每一停车原因可单独设置维护超驰/正常状态。

(4)SIS操作超驰画面：以列表及图标方式显示每个需超驰回路的输入、输出关系，对每个回路可单独设置操作超驰开关、延时时间、剩余时间和剩余时间报警。

(5)SIS数据总貌画面：列表显示所有SIS相关参数值。

(6)火气总貌画面：显示所有报警分区的报警和消防状态。

(7)火气分区画面：显示火气分区的报警和消防状态，每个探头和输出设备都可以显示，并可以进行火气维护超驰操作。

(8)火气数据总貌画面：列表显示所有火气相关参数值。

6.2.4 工程师应能够在维护画面上方便地进行整个系统的诊断和维护，能准确地观察到系统发生故障的位置，指导维护人员对全系统进行维护，这些画面宜包括：

(1)系统诊断画面：在此画面上显示系统设备、通信及网络的诊断结果和发生故障设备的位置等。

(2)系统维护画面：根据自诊断结果，显示维护提示指导维修人员。

(3)系统资源使用情况画面；显示整个系统资源的使用情况及各设备负荷，便于系统管理和负荷调整。

(4)设备状态画面：显示设备状态，发生故障时可显示故障设备位置及相关故障信息。

6.3 数据管理

6.3.1 数据库管理应具有下列功能：

1 在线和离线编辑、维护、查找、修改、链接。

2 数据库离线管理。

3 支持标准高级语言编写的程序访问数据库。

4 记录数据库修改。

6.3.2 实时数据及历史数据应符合下列规定：

1 实时采集数据应包括瞬时值、平均值、报警和事件。

2 实时数据应根据“先进先出”的原则在实时数据库中存储，存储时间应根据数据类型确定，超出部分应存入历史数据库。

3 历史数据的在线存储时间应根据用户要求确定。

4 实时和历史数据不同步时，应有相应的数据重建和修复手段。

条文说明

自控系统涉及的数据和文件如图2所示，文件记录应严格管理。

6.3.2 实时历史数据宜根据下列规定设置：

(1)实时数据采集宜按下列规定设置：

1)快速瞬时值：快速采集各参数的瞬时值，采样周期

一般是1s～30s,每个点的采样周期独立可调；

图2 计算机控制系统数据文件文档结构图

2)慢速瞬时值：用较慢速度采集各参数的瞬时值，采样周期一般是1min、6min、1h、8h等，每个点的采样周期独立可调；

3)平均值：采集各参数一段时间内的平均值，采样周期一般是1min、6min、1h、8h等；

4)报警和事件：发生时记录。

(2)不同类型的实时数据在实时数据库中存储时间也不同，宜设置为：

1)快速瞬时值在实时数据库中存储时间较短，一般12h～24h;

2)慢速瞬时值存储时间稍长，一般是30d;

3)平均值一般是90d;

4)报警和事件一般记录90d。

(3)历史数据库的在线存储时间一般是3年。

6.4 报警和事件

6.4.1 系统应存储所有报警、报警确认、事件和信息。

6.4.2 系统宜对报警分级、分区、分组，自动记录报警信息和时间顺序，不同级别报警的颜色和行为应有区别。

6.4.3 报警信息应能以多种方式发布。

6.4.4 报警应具备确认功能。确认和未确认报警应有颜色或行为区别。对长时间已确认但未恢复正常的报警应定时重复报警。

6.4.5 系统宜设置报警频率统计功能。

6.4.6 报警宜包括下列类型：

1 模拟信号超出高、低限值。

2 模拟输入信号变化率超出限定值。

3 无理值报警。

4 数字信号报警。

5 信号短路、开路、接地故障等诊断报警。

6 超驰报警。

7 输入/输出强制报警。

8 硬件、通信及系统故障报警。

6.4.7 SOE应根据报警发生的先后顺序进行排序。首出报警应显示在报警汇总的最前面，以不同的颜色或行为突出显示。

条文说明

6.4.2 报警需至少分为高高(HH)、高(H)、低(L)和低低(LL)4个级别，不同级别报警的颜色和行为设置见表6。

表6 不同级别报警的颜色和行为设置

6.4.4 报警记录能记录位号、描述、报警等级、报警限、报警值、报警发生和恢复时间、报警持续时间和报警确认时间，报警时间需精确到秒级。

6.4.6 本条第3款：系统内有量程限制的点，如超过正常范围一定的阈值，认为是无理值。如一模拟量输入点，正常范围是4mA～20mA,设置的阈值是±10%,当信号输入小于3.6mA或大于22mA时，认为是无理值，需报警。

6.4.7 参见第6.4.2条的条文说明。

6.5 报告和报表

6.5.1 系统应提供生产运行报表、事件报表、报警报表、安全系统相关报告、自定义报告。

6.5.2 报表宜使用通用电子表格软件。

6.5.3 报告和报表应能在线预览，历史报告和报表应能在线、离线存储和索引。

6.6 安全

6.6.1 控制系统安全应采取下列措施：

1 控制系统应采用身份认证。

2 与管理网络间接口应采取安全措施。

3 无线数据传输宜加密。

4 通过公网传输的内容宜加密。

5 系统未使用的输入输出端口应禁止或封闭。

6 计算机设备上应配置防病毒软件或主机安全防护软件。宜采用白名单机制，只允许经过授权的软件和组件运行，且应只允许认可的用户、网络及端口连接。

7 防病毒软件宜采取离线升级的方式更新病毒库。

6.6.2 操作安全应采取下列措施：

1 操作员应定义不同的级别和权限。

2 登录宜有“空闲自动退出”机制。

3 操作宜增加确认环节。

4 操作应有记录。

6.6.3 控制安全及容错应采取下列措施：

1 控制模块的输出宜预设安全输出位置。

2 系统宜设置命令未完成报警和保护。

3 调节回路输出应自动跟踪、无扰切换。

4 无理值应钳位。

条文说明

6.6.1 本条第1款，登录、访问工控系统计算机需采用口令、USB密钥、指纹、IC卡等手段进行身份认证管理，采用口令密码时需设置强密码，并定期更新。对于关键设备、系统和平台的访问宜采用密码结合指纹、IC卡等多鉴认证。

本条第7款，防病毒库的更新可能与工控系统有冲突，必须验证后才能上线运行，所以本款要求病毒库离线更新。有条件的也可以设置独立的防病毒服务器，只对防病毒服务器的病毒库进行离线更新，其他系统内的计算机设备自动从防病毒服务器更新即可。

6.6.2 本条第2款，“空闲自动退出”是一种自动保护机制，指在系统登录后，如一定时间内无操作(键盘、鼠标无动作),系统会自动退出登录，防止操作人员不在的情况下，非授权人员对系统误操作。

6.6.3 本条第1款，预设安全位置需根据工艺要求确定，一般有故障关(FC)、故障开(FO)、故障保位(FL)和故障到特定输出值。

本条第2款，未完成报警是指操作命令发出后，在一定时间内未接收到期望的反馈而产生的错误报警。如阀门开关动作，假设该阀最长开阀时间是20s,开阀时间预设为30s(一般预设值略长于最长开阀时间);在开阀命令发出后，若在30s内接收到阀开到位信号，则认为开阀正常；否则认为是阀门卡堵，未完成开阀操作，需发出开阀故障报警。

本条第4款，对系统内有量程限制的值可设置无理值钳位，即超出正常值后，数据库存储值就钳位在预设的数值上，不再增大或减小，以防止计算和存储错误。如某测量值量程为0~100,钳位值设为量程的±10%,则钳位行为见表7。

表7 无理值钳位表

7 控制盘和机柜

7.0.1 盘、柜的材质宜为金属。

7.0.2 机柜尺寸宜为800mm×800mm×2100mm(宽×深×高，含底座100mm),最大宽度不宜超过1200mm,最大深度不宜超过1000mm。

7.0.3 颜色应按照标准色标选择。盘和柜内、外宜喷漆。

7.0.4 盘、柜内配线应采用铜芯软导线，信号线芯截面积不应小于0.5mm²;电源线芯截面积不应小于2.5mm²。盘、柜内配线颜色宜按表7.0.4选择。

表7.0.4 配线颜色

　注：AC一交流；DC一直流；IS—本安仪表信号；Non-IS—非本安仪表信号。

7.0.5 每台单体设备供电应设一个电源回路，24V直流和220V交流的电源回路均应设断路器或熔断器，应符合下列规定：

1 220V 交流电源回路，应选择双极断路器。

2 24V 直流电源回路，应选择双极断路器或者熔断器。

3 熔断器应有熔断指示。

7.0.6 信号回路SPD前不应设置熔断器。

7.0.7 电缆芯端头和盘内每根导线两端均应有标记。

7.0.8 36V以上的端子应有可拆卸的透明绝缘保护盖板，应贴有注明电压等级的高压标识。

7.0.9 本安端子要有标识，电缆、接线和汇线槽应为蓝色。

7.0.10 汇线槽填充系数不宜大于60%。

7.0.11 柜内空间、端子数量应有20%的余量。

7.0.12 标牌应标注位号、制造商、尺寸、重量、防爆、防护、制造日期等。

7.0.13 前面板和盘内安装的设备下部均应有标志框。

7.0.14 排气扇应设置过滤网，顶装或后开门上安装。

7.0.15 照明灯照度不应低于3001x,应配置门控开关。

7.0.16 盘、柜接地应符合本规范第8.3节的规定。

7.0.17 就地控制盘应符合下列规定：

1 应满足所在区域的防爆等级要求。

2 应满足所在区域的防护等级要求。

3 应满足所在区域的工作温度、湿度要求。

4 控制盘尺寸根据进线和现场空间确定。盘内空间、端子数量应留有10%的余量。

条文说明

7.0.6 熔断器(保险丝)如果放置在SPD之前，则在SPD泄流时可能会导致熔断器，特别是快速熔断器的熔断，造成该信号回路的故障。因此推荐信号回路的熔断器放置在SPD之后，外部进线可以先进普通端子，再进SPD,后接熔断器端子，最后接到模板。

8.1 供电

8.1.1 计算机控制系统应由专用的配电回路供电。交流供电电压宜为220V,直流供电电压宜为24V。

8.1.2 RTU可采用多种供电方式。

8.1.3 控制系统供电宜选用在线式UPS。

8.1.4 UPS允许电源瞬断时间不应大于4ms,电压瞬间跌落应小于10%。

8.1.5 配置自启动应急发电机的站场，UPS后备供电时间不应小于30min；配置手动启动发电机的站场，UPS后备供电时间不应小于1h。

8.1.6 UPS应具有故障报警及保护功能，宜设报警输出触点，报警信息宜上传至计算机控制系统。

条文说明

8.1.2 RTU一般地处偏远，供电支持条件差，因此RTU供电可能采用多种形式，如农电、太阳能、风电或风光互补等。输气管道特殊地区还可采用热电偶发电或微透平燃气发电等。

8.1.3 有些对供电连续性要求高的场合，还会采用双电源供电，如一路为UPS电源，另一路为普通稳压电源，在一路电源故障时可自动切换至另一路供电。由于其中一路电源为UPS,而且双电源比单电源安全性和可用性更高，因此这种配置也认为是控制系统由UPS供电。

8.2 电缆敷设

8.2.1 电缆桥架架空进线时应下坡向室外。

8.2.2 控制室采用电缆沟进线时，电缆穿墙处洞底标高应高出室外沟底0.3m,位于附加二区时，应高出室外沟底0.6m。室外沟底应有排水措施。电缆穿墙入口处的室外地面区域宜设置保护围堰。

8.2.3 电缆进入控制室穿墙处应密封处理。

8.2.4 信号电缆与电力电源电缆应分开敷设，不可避免时应采取隔离措施。

8.2.5 电缆在桥架、电缆沟或室内敷设时，应按信号类型或电缆种类捆扎，成束敷设。

条文说明

8.2.2 该条参考现行行业标准《石油化工控制室设计规范》SH/T3006-2012中的第4.7.2条编制。

8.2.3 穿墙密封可防止尘埃、雨水、可燃/有毒气体及小动物入室。

8.3 防雷及接地

8.3.1 计算机控制系统的防雷措施应符合现行国家标准《建筑物防雷设计规范》GB50057、《建筑物电子信息系统防雷技术规范》GB50343的规定，控制室和机柜间的防静电措施应符合现行国家标准《电子工程防静电设计规范》GB50611的有关规定。

8.3.2 计算机控制系统的防雷措施应与供配电系统的防雷措施配合。

8.3.3 电涌保护器的选择应符合下列规定：

1 交流电源的SPD宜采用组合型SPD,电压保护水平不应大于1.5kV,标称放电电流不应小于20kA(8/20μs);同一线路上的SPD应进行能量配合。

2 仪表信号选用的SPD应有较小电压保护水平值，标称放电电流不应小于5kA(8/20μs)。

3 SPD应设置在被保护设备端，应采用接地连接线最短的接线方式。

4 SPD应接入保护接地。

8.3.4 计算机控制系统的工作接地、保护接地、防雷接地、本安接地、防静电接地宜共用接地系统。接地电阻不宜大于4Ω,接地连接线电阻不应大于1Ω。

8.3.5 需要接地的信号回路屏蔽层应单端接入工作接地。

8.3.6 齐纳式安全栅应接入工作接地，隔离式安全栅可不接地。

8.3.7 屏蔽层应保证连续的电气连接。单层屏蔽电缆的屏蔽层或双层屏蔽电缆的内屏蔽层应单点接入工作地，宜在控制室的一侧接地。双层屏蔽电缆外屏蔽层、铠装金属层应至少在两端接入保护地。

8.3.8 无屏蔽层的多芯电缆，其备用线芯应接入工作接地；对屏蔽层已接地电缆、穿钢管保护电缆、在金属电缆槽中敷设的电缆，备用线芯可不接地，但应做好两端绝缘保护。

8.3.9 设备金属外壳、金属构架、仪表电缆槽体、电缆保护管等均应可靠接地。

8.3.10 控制室和机柜间内活动地板、工作台的防静电接地应接入保护接地。

8.3.11 工作接地、保护接地应分别接入共用接地系统，不应串联或混接后接地。

8.3.12 机柜保护接地与共用接地系统的连接宜不少于2处。

条文说明

8.3.2 防雷是一项系统工程，需要电力、自控、通信、阴极保护及建筑等多专业协调完成，在设计中需要分析雷击危害造成的影响，对于仪表和控制系统等重要设施，需要结合现场实际情况，综合雷击风险与投资预算，确定经济合理的技术方案。中国气象局第20号令《防雷减灾管理办法》(2011年9月1日)中第二十七款规定“大型建设工程、重点工程、爆炸和火灾危险环境、人员密集场所等项目应当进行雷电灾害风险评估”。因此，新建的油气生产设施均需要按照防雷安全管理要求进行风险评估，通常是由地方气象机构组织完成，建设单位按照评估意见进行设计施工后，依据中国气象局《防雷装置设计审核和竣工验收规定》对防雷工程进行审查及验收。

8.3.3 本条对电涌保护器的选择进行了规定。

本条第1款是根据现行国家标准《低压电涌保护器(SPD)第1部分：低压配电系统的电涌保护器性能要求和试验方法》GB18802.1、《低压电涌保护器(SPD)第12部分：低压配电系统的电涌保护器选择和使用导则》GB/T18802.12进行编制。组合型SPD是由电压开关型元件和限压型元件组成，能量配合应根据SPD制造商提供的资料进行，若缺少相关数据，可以按照Ⅱ级试验的SPD标称放电电流不应小于5kA、Ⅲ级试验的SPD标称放电电流不应小于3kA进行。

本条第2款是根据现行国家标准《低压电涌保护器(SPD)第22部分：电信和信号网络的电涌保护器选择和使用导则》GB/T18802.22进行编制。仪表信号通常为24V直流，SPD的保护水平应与信号设备的冲击耐压水平一致；在防雷分区LPZ1/2区标称放电电流不应小于5kA,在防雷分区LPZ2/3区标称放电电流不应小于0.5kA。考虑到目前信号用SPD标称放电电流基本为5kA及以上，因而统一规定其标称电流不应小于5kA。

本条第3款主要是考虑SPD与被保护的仪表或控制系统距离过大时，回路振荡现象导致的过电压引起设备故障。

本条第4款控制系统信号通常以电源负极作为参考点，控制系统内电源一般为24V直流。不同的控制系统的参考点有接入工作接地的，也有浮空的情况，而参考点接入工作接地的电势变化对系统不会产生影响，不论是否接地，其信号正极与负极之间的额定电压维持在24V直流。采用共用接地系统时，保护接地系统通常为多点接地，其对地工频电阻较小，接地可靠，发生雷电电涌时，冲击放电电流能够快速泄放，因此规定电源SPD接地端接入保护接地。

8.3.7 一般情况下，单点接地的屏蔽层应在信号源接收端，即机柜端接地；当信号源接地时，单点接地的屏蔽层应在信号源端，即现场端接地。

8.3.11 计算机控制系统的工作接地和保护接地需要分别设置等电位连接(EB),EB可以是端子板、端子箱或者沿机柜平行敷设的延长型接地体等。接地系统的基本结构如图3所示，其中工作接地为一点接地。图3中的工作接地汇流排、工作接地EB与共用接地系统连接前，均应保证对地绝缘。

图3 控制室接地系统示意图

机柜内接地汇流铜排的截面积不建议小于25mm×6mm。接地线不小于1.5mm²,接地支线不小于4mm²,接地分干线不小于6mm²,接地干线不小于16mm²,接地总干线宜为25mm²~50mm²。

在接地结构选择时，如果是只有几台机柜的小型控制室，可以选图3所示的分支集中型结构。如果是有多排机柜的中大型控制室，建议选用图4所示的横格型结构或图5所示的网型结构，或是这3种结构的组合。横格型或网型接地结构中的横向接地体，建议作为延长型接地体与每排机柜平行且焊接在机柜支撑上，柜内引出的接地干线可以就近接入延长型接地体。

9.1 布局

9.1.1 控制室的设置应根据计算机控制系统的规模而定。规模较小的系统可设置一个控制室；规模较大的系统控制室宜包括操作室、机柜间、工程师室、UPS间等。

9.1.2 房间的位置应符合下列规定：

1 操作室、机柜间和工程师室宜相邻布置。

2 操作室、机柜间和工程师室不宜与空调机室相邻，不可避免时应采取减振和隔声措施。

3 机柜间宜与UPS间相邻。

9.1.3 操作室和机柜间面积宜符合下列规定：

1 操作室内设备外缘距墙/柱不宜小于1.2m,进深不宜小于6m。

2 操作室有大屏幕时，操作台背面距大屏幕不宜小于3m。

3 多排操作台之间净距离不宜小于2.5m。

4 操作台可按直线、折线或弧线布置。

5 机柜间内成排机柜间距不宜小于1.5m。

6 机柜正面净空不宜小于1.2m,侧面净空不宜小于0.8m;后开门机柜柜后净空不宜小于1.0m;如柜后(侧)无辅助操作设备，且不需要后开门的机柜可直接靠墙安装。

9.1.4 工程师室的面积应按设备尺寸及维修的需要确定。

9.2 建筑要求

9.2.1 控制室建筑设计应符合现行国家标准《建筑设计防火规范》GB50016的有关规定。

9.2.2 控制室宜吊顶。

9.2.3 操作室吊顶距室内地面净高不宜小于3.0m,机柜室吊顶距室内地面净高不宜小于2.8m。

9.2.4 控制室地面应符合下列规定：

1 控制室地面宜采用不易起灰尘的防滑防静电建筑材料，也可采用防静电活动地板。

2 大、中型机柜间宜采用防静电活动地板，活动地板下方的基础地面宜为水泥或水磨石地面。活动地板均布载荷不应小于23000N/m²。

3 控制室基础地面应高出室外地面0.3m,当控制室或机柜间位于附加二区时，室内基础地面应高出室外地面0.6m。

9.2.5 控制室墙面应符合下列规定：

1 控制室墙面应平整、光滑、不起灰。

2 使用的涂料、油漆不应反光，色调以浅色为宜。

3 必要时墙面应有吸声措施。

9.2.6 控制室门应符合下列规定：

1 大、中型控制室宜采用非燃烧型双向弹簧门，门宽应保证设备进出。

2 操作室与机柜间、工程师室之间应有方便的通道，与休息室、办公室相邻时，中间不宜开门。

3 长度大于12m或面积大于100m²的控制室，应设置两个或两个以上的门。

9.2.7 控制室窗应符合下列规定：

1 采用空调或正压通风的控制室，宜装密闭固定窗或双层密封窗。

2 操作室和机柜间朝向爆炸危险装置的一侧不应开门窗。注：站场外或实体墙隔断的操作室和机柜间可不受此款约束。

3 沙漠地区的控制室宜采用密闭固定窗或双层密封窗。

条文说明

9.2.4 本条第2款的均布载荷值来源于现行国家标准《防静电活动地板通用规范》GB/T36340-2018表5:集中载荷、滚动载荷、均布载荷和极限集中载荷，其中标准型防静电地板均布载荷要求是23000N/m²。控制室对楼面(地面)的载荷可根据实际设计进行计算，也可参照现行行业标准《控制室设计规范》HG/T20508—2014第3.4.7条文说明：控制室对楼面(地面)的载荷通常取值为5000N/m³。

本条第3款是对控制室防爆的基本要求，控制室宜设置在安全区，但一些大型站场，为了减少电缆会设置现场机柜间，现场机柜间多设在附加二区内，这时现场机柜间基础地面应抬高，满足至少高出室外600mm的要求。现场机柜间采用电缆沟下进线方式，一般需要设置防静电地板或室内电缆沟，目前HSE要求防静电地板完成面应与门平齐，如果防静电地板300mm高的话，现场机柜间需比室外地坪垫高至少900mm,土建施工工作量较大。这种情况可考虑采用电缆架空进入室内，机柜上进线方式，可不设置防静电地板，减少部分土建施工工作量。但采用架空进线时，电缆穿墙处建议采用MCT,以满足建筑物抗爆、防火的要求。

9.3 采光与照明

9.3.1 控制室宜照明采光。自然采光时应有遮阳措施，避免出现眩光。

9.3.2 人工照明的照度标准，距地面0.75m平面上的照度应符合下列规定：

1 操作室、工程师室宜为5001x。

2 机柜间宜为5001x。

3 一般区域宜为3001x。

4 室外通道及设备检查等不经常到的区域宜为501x~1001x,照度相差不应超过3倍。

9.3.3 控制室应设事故照明系统，照度应为301x～501x；兼做消防控制室时，应设置备用照明，并应符合现行国家标准《消防应急照明和疏散指示系统技术标准》GB51309的有关规定。

9.3.4 灯具配置除满足照度要求外，还应光线柔和、无眩光。

9.4 暖通

9.4.1 控制室的环境条件应符合下列规定：

1 控制室功能性房间温度宜控制在：冬季20℃±2℃,夏季26℃±2℃。

2 相对湿度宜不大于70%,且不应结露。

3 空气净化度应控制在尘埃少于0.2mg/m³(粒径小于10μm),H₂S小于0.01mg/m³,SO₂小于0.1mg/m³,Cl₂小于0.01mg/m³。

4 无人值守站场控制室温度宜控制在-5℃~45℃。

9.4.2 控制室功能性房间与辅助房间的通风空调应分开设置。

9.4.3 中央控制室空调气流组织应符合下列规定：

1 操作区气流组织宜上送下回。

2 机柜区气流组织宜下送上回。

3 气流组织采用其他形式时，应避免短路和循环不良。

9.4.4 空调系统主要设备宜设置备用主机。

9.4.5 控制室可设壁挂式或柜式空调器。

9.4.6 供暖宜采用空气调节装置。当采用水暖或蒸汽供热时，管道应采用焊接连接。在机柜和操作台1m范围内不应设置采暖设施。

9.4.7 无人值守站场控制室宜设置温度检测，控制室空调和电加热器宜具有远程启停功能。

条文说明

9.4.1 计算机控制系统本身对温度、湿度的环境要求较宽。室内温度除应满足设备要求，还应兼顾室内工作人员长期工作健康和舒适方面的要求，本规范按现行国家标准《工业建筑供暖通风与空气调节设计规范》GB50019—2015第4.1.3条第2款舒适性空气调节室内设计参数宜符合表4.1.3的规定制订，见表8。

表8 空气调节室内设计参数

相对湿度在表8中冬季是不做要求的，另外现行行业标准《石油天然气地面建设工程供暖通风与空气调节设计规范》SY/T7021—2014表3.1.1室内设计计算参数中对控制室、机柜间和通信机房的湿度也没有做要求。再参照国外标准ISAS71.01 Environmental conditions for process measurement and control systems:Temperature and humidity对空气调节房间湿度要求最严格的A1档也只有35%～75%。考虑到大部分控制室均采用的是分体式空调，不具备加湿能力，但可以除湿，因此本规范规定相对湿度宜不大于70%。

为了保证人员的舒适度，可以考虑在有人值守房间设置加湿器。

空气净化要求主要是对尘埃和H₂S、SO₂、Cl₂等有害气体浓度的限制。根据现行国家标准《环境条件分类环境参数组分类及其严酷程度分级第1部分：贮存》GB/T4798.1对环境参数的严酷程度和适用条件，以及对化学活性物质含量和机械活性物质含量的规定，尘埃一项稍放宽，氯气含量则按国际标准限制，其余与现行国家标准大致相当。

本条第4款参照现行国家标准《无人值守变电站监控系统技术规范》GBT37546-2019表1工作场所环境温度和湿度分级中的CO级，见表9。

表9 工作场所环境温度和湿度分级

但配置的空调需具备将室内温度控制在18℃~28℃的能力，为检修或巡护人员提供较为舒适的环境。

本规范所指的无人值守站场是指在控制室不设常驻人员的站场。

9.4.2 参照现行行业标准《控制室设计规范》HG/T20508的有关规定，功能性房间包括操作室、机柜间、工程师室、空调机室、UPS室、备件室等；辅助房间包括交接班室、会议室、更衣室、办公室、资料室、休息室、卫生间等。

9.4.6 有别于通信和网络中心，油气田及管道控制系统采用工业级设备，电缆及供配电也做了许多保护措施，控制室内设备除无法防水喷溅外，防静电地板下的电缆短时间浸泡不会发生故障。因此只要是做好防喷溅措施，如采用金属罩保护好暖气片，暖气管线室内不留阀门和放水口，管道连接全部采用焊接等，控制室内可以采用水暖或蒸汽供热。

9.4.7 无人值守站场控制室温度控制可不考虑人员舒适，只考虑控制系统及其相关的通信、电力等设备的工作温度需求即可。由于工业控制产品的工作温度较宽，无人值守控制室空调大部分时间都可以不开，只需在极端环境条件下或有人巡检时开启即可。因此本规范推荐在控制室设置温度检测，用于需要时远程启停站场控制室空调或电加热器。如果不会出现超出控制系统工作温度的情况，控制室也可不设置温度检测或空调、电加热器远程启停。

9.5 安全措施

9.5.1 可燃(有毒)气体和液体的引压、取源管路不应引入控制室内。

9.5.2 控制室内可能出现可燃(有毒)气体时，应设置可燃气体检测报警器、有毒气体检测报警器。

9.5.3 控制室火灾自动报警系统的设置应符合现行国家标准《火灾自动报警系统设计规范》GB50116和《石油天然气工程设计防火规范》GB50183的有关规定。

9.5.4 控制室内应设置相应的消防设施。

9.5.5 无人值守站场控制室应设置门禁。

9.6 橇装式控制室

9.6.1 橇装控制室单体尺寸不宜大于18000mm×3500mm×3500mm(长×宽×高)。

9.6.2 电缆进线宜采用格兰或MCT,机柜下进线困难时，宜采用上进线。

9.6.3 工艺管道不应进入橇装控制室，水暖管道不应进入机柜间。

9.6.4 橇装控制室不宜设防静电地板和吊顶。

9.6.5 机柜及操作台摆放应满足操作及维护需求。

9.6.6 橇装控制室应设置温度检测和门禁，空调和电加热器宜具有远程启停功能。

条文说明

根据工程实践，橇装控制室多采用标准集装箱改造而成，采用集装箱结构的橇装式控制室需符合中国工程建设规范《集装箱模块化组合房屋技术规程》CECS334的有关规定。根据中国工程建设规范《集装箱模块化组合房屋技术规程》CECS334-2013第3.2.2条的规定，集装箱宜采用IAA型标准40尺集装箱或ICC型标准20尺集装箱。多个集装箱可拼接或堆叠，以满足控制室空间需求。

其他型式控制室一般采用轻钢结构预制，需满足现行国家标准《拆装式轻钢结构活动房》GB/T29740和《门式刚架轻型房屋钢结构技术规范》GB51022的有关规定。

9.6.1 单体是指单个可运输单元的尺寸，一座橇装控制室可由一个或多个单体拼装而成。根据国家《超限运输车辆行驶公路管理规定》,车货总长度超过18.1m属于超限运输，而车货总高度从地面算起超过4.5m,或者总宽度超过3.75m需另外提交车货总体外廓尺寸信息的轮廓图和护送方案。因此，本规范建议橇装控制室单体尺寸长度不大于18m,宽度和高度均不大于3.5m,主要是为了运输方便，避免采用特种车辆运输的麻烦和审批风险。

9.6.2 进线处采用格兰或MCT密封，防火性能较好，推荐采用。由于橇装控制室高度的限制，一般不设防静电地板，这样机柜底进线比较困难，可以采用顶进线方式，便于接线及维护。

9.6.3 水暖管道不应进入机柜间主要是考虑橇装控制室空间狭小，如果漏水极易喷溅至机柜，造成电气短路损坏。如特殊需求，管路可以走室外。

9.6.5 橇装控制室空间狭小，不建议按本规范第9.1.3条的要求布置，仅需满足操作和维护要求即可。极端情况下可以不设内部检维修空间，打开橇装门从室外进行维护。

A.1 一般规定

A.1.1 油气田计算机控制系统应实现井场、站(厂)、集输管道等基本生产单元的生产过程数据采集和监控，系统架构应符合本规范图3.2.1。

A.1.2 油气田SCADA系统宜由井场RTU、小型站场RTU、站(厂)控制系统、作业区生产管理中心监控系统构成。

A.1.3 井场、计量间、站(厂)等各个生产单元的数据采集与监控内容宜符合现行行业标准《油气田地面工程数据采集与监控系统设计规范》SY/T7352—2016中附录A的有关规定。

A.1.4 油气田工艺装置位置相对集中的站(厂)BPCS,宜采用DCS或PLC系统。

A.1.5 油气田井场、计量间、注配间、集油阀组间，阀室、单井集气站等工艺流程简单的站场BPCS,宜采用RTU。

A.1.6 用于井场、小型站场的RTU,宜具有采集无线仪表数据的能力，与其他设备通过标准通信协议通信的能力；也可集成向上传输数据的无线传输模块。

A.1.7 油气田站场BPCS与第三方控制设备、智能仪表通信时，应采用标准通信协议。

A.1.8 油气田站场监控系统应预留上传数据的以太网通信接口。

A.1.9 油气田计算机控制系统防雷及接地应符合本规范第8.3节的规定。

A.1.10 沙漠油田计算机控制系统应适应环境特点和工艺生产处理规模的要求，实现井场、计量站(集油阀组间)、集气站等工艺过程相对简单的站场无人值守，定期巡检。

条文说明

A.1.1 油气田计算机控制系统包括对一个区块或多个区块的生产调度管理系统和所辖站场的监控系统，生产调度管理系统对区块内站场生产过程进行监视和优化管理；站场监控系统对本站及所辖井、站工艺生产过程进行实时监控。

A.1.2 工艺装置相对集中的站(厂),包括多个工艺处理装置或多个工艺单元。油气处理厂、天然气净化厂、原油稳定装置等工艺装置或单元较多，工艺过程相对复杂的站(厂),经过调研统计，基本过程控制系统都采用了DCS(或大型PLC)系统。如塔里木油田的迪那油气处理广、英买力油气处理厂，长庆油田苏里格第二油气处理厂、天然气第二净化厂，大庆油田的北I-1和南压天然气处理广的基本过程控制系统均采用不同品牌的DCS系统。而独立建设、工艺处理装置(单元)相对较少的场站，如原油脱水站、接转站、集气站、采出水处理站、注入站(注水站、注聚站)、配制站等工艺站场，经过调研表明，基本过程控制系统均采用了中小型PLC系统。

A.1.7 油气田站场如果第三方自带控制系统的设备或智能仪表较多，当与BPCS采用通信方式传输数据时，采用标准通信协议，可采用串口的通信协议，如MODBUS、PROFIBUS等，也可采用工业以太网TCP/IP协议，便于BPCS的组态、调试和通信数据上传。如果站场控制系统需要急停这些设备时，不宜采用通信方式实现，而宜采用硬线连接方式实现。

A.2 油气田SCADA系统

A.2.1 油气田SCADA系统应符合下列规定：

1 油气田SCADA系统应对油气田站场工艺生产过程和管道进行统一调度及优化管理，为生产决策、地下开发优化提供基础数据。

2 油气田SCADA系统宜由中心监控系统、站(厂)监控系统、远程数据采集单元、网络传输设备等构成。

A.2.2 系统配置及功能应符合下列规定：

1 系统硬件配置应符合下列规定：

　1)宜配置实时服务器、历史服务器、Web服务器、操作员工作站、工程师工作站、外部存贮设备、网络设备和打印机；

　2)应设置实时数据服务器、历史数据服务器，宜采用客户机/服务器(C/S或B/S)结构，可根据需要配置Web服务器；

　3)实时数据服务器和历史数据服务器宜合并设置，根据可利用率需要可冗余配置，电源、网络应冗余配置；

　4)工程师工作站宜独立配置，操作员工作站数量应根据生产管理需要进行配置；

　5)报表打印机、报警打印机可分开设置。

2 系统软件配置应符合下列规定：

　1)应配置操作系统软件、SCADA系统软件、数据库管理软件和高级应用软件；

　2)操作系统宜采用Windows或Linux平台，应支持中文显示和输入；

　3)高级应用软件应以生产管理、安全管理、优化分析为主。

3 SCADA系统宜具有下列主要功能：

　1)采集和处理各井场、站(厂)的主要工艺生产数据；

　2)监视各井场、站(厂)的可燃(有毒)气体、火灾报警；

　3)监视各站(厂)的关键设备和配电系统状态；

　4)工艺流程的动态显示；

　5)报警显示、管理及事件的查询、打印；

　6)实时数据和历史数据的采集、归档、管理及趋势图显示；

　7)储库的储量预测和计划；

　8)管道泄漏监测；

　9)系统诊断和网络监视及管理；

　10)时钟同步；

　11)为油气田其他信息管理系统提供基础数据。

A.3 油气田站场监控系统

A.3.1 油气田站场监控系统应符合下列规定：

1 油气田集中处理站、天然气净化厂(处理厂)等工艺过程较复杂的站(厂),宜设置相对独立的BPCS、SIS和FGS；BPCS软硬件宜采用DCS。

2 油气田工艺过程相对简单，调节回路较少，对安全可靠性没有特殊要求的站(厂)宜设置BPCS,BPCS控制器宜采用PLC。

3 气田集气站工艺生产过程控制宜采用PLC,紧急停车系统如果点数较少时，宜采用由继电器等元件组成的逻辑控制回路，并辅以手动硬操作按钮实现。

4 工艺处理功能单一的油气田站场应设置RTU,根据生产管理需要，可就地设置触摸屏或操作面板。

5 SIS和FGS的设计应符合本规范第5章的规定。

6 油气田火灾及可燃(有毒)气体报警系统设计应符合下列规定：

　1)油气田火灾探测报警系统和消防联动控制系统的设置应符合现行国家标准《石油天然气工程设计防火规范》GB50183的有关规定；

　2)油气田可燃(有毒)气体检测报警系统的设置应符合现行行业标准《石油天然气工程可燃气体和有毒气体检测报警系统安全规范》SY/T6503的有关规定；

　3)应设置与站(厂)BPCS系统的通信接口。

A.3.2 系统软、硬件配置应符合下列规定：

1 软件配置见本规范第6章。

2 BPCS硬件配置应符合下列规定：

　1)工艺生产过程相对简单，对计算机控制系统可利用率要求不高的独立站(厂)宜设置1台操作站(兼工程师工作站),并宜设置1台报表兼报警打印机；

　2)工艺过程复杂或含有多个工艺处理单元的站(厂)宜设置1台工程师工作站，根据操作管理需求可设置多台操作员工作站，报表打印机和报警打印机宜分开设置；

　3)集中处理站、天然气净化厂(处理厂)或对安全可靠性要求较高的站(厂),BPCS的控制单元、电源、网络应冗余配置；重要控制回路的I/O宜冗余配置；其他站(厂)BPCS硬件的冗余设置应简单优化；

　4)集中处理站、天然气净化厂(处理厂)等站(厂)应根据操作管理需求，设置实时数据服务器和历史数据服务器；

　5)BPCS的设计应符合本规范第4章的规定。

A.3.3 站场控制系统功能应符合下列规定：

1 站(厂)控制系统宜具有下列基本功能：

　1)采集和处理站(厂)及所辖井场的工艺生产数据；

　2)实时监控工艺生产过程和关键设备运行状态；

　3)可燃(有毒)气体、火灾报警和安全状况监视；

　4)工艺流程参数实时显示、报警、管理及事件的查询、打印；

　5)实时和历史数据的采集、存储、管理及趋势图显示；

　6)PID控制、批量控制、顺序逻辑控制；

　7)ESD功能；

　8)第三方设备监控和运行管理；

　9)预留通信接口，实现数据共享和数据集成；

　10)向上一级控制系统上传数据、报警信息并接收和执行其下达的指令。

2 采用远程终端单元(RTU)的站场可具有下列功能：

　1)采集站场工艺生产数据；

　2)自动选井控制，单井产量计量；

　3)机采油井远程启停控制；

　4)计量间恒温掺水控制，注配间恒压恒流控制；

　5)为上一级站场计算机控制系统提供有关数据并接受其下达的指令。

条文说明

A.3.1 本条规定了油气田站场监控系统的基本要求。

本条第2款，转油站、注水站、注聚站、配制站、采出水处理站等站场，工艺过程简单，调节回路较少，对安全可靠性没有特殊要求，基本过程控制系统宜采用PLC系统。

本条第3款，根据长庆榆林、靖边、苏里格等气田多年的运行管理经验，多井集气站工艺生产过程控制采用可编程序控制器PLC,紧急停车系统由于I/O点较少，均没有设置独立的具有SIL认证的逻辑控制器，都是通过继电器和紧急停车按钮实现紧急停车控制。如果I/O点较多，经过风险评估，用继电器等元件组成的逻辑控制回路不能满足要求，应采用具有SIL认证的逻辑控制器。

本条第6款，本款对油气田火灾及可燃(毒性)气体报警系统设计进行了规定。

“气体检测”指可燃(毒性)气体检测。油气田需要设置可燃(毒性)气体报警系统的站场很多，中小型站场气体检测点数少于30点，可直接采用盘装表方式进行监视报警或采用独立的数据采集系统。

根据现行行业标准《石油天然气工程可燃气体和有毒气体检测报警系统安全规范》SY/T6503的规定，当与BPCS系统合并设计时，应考虑相应的安全措施，保证站场BPCS出现故障或停用时，可燃(毒性)气体检测报警系统仍能保持正常工作状态，采用独立的I/O卡件就是措施之一。也可以考虑采用其他的安全措施，如独立设置的控制器和操作站，配备足够的便携式可燃(有毒)气体检测报警仪。

油气田油气处理规模较大的站(厂)和库容较大的油库，如集中处理站、天然气净化厂(处理厂)、单罐容积大于30000m³的油库，可燃(有毒)检测报警系统应优先考虑与火灾检测报警系统合并设置，构成火气系统。

FGS与BPCS的通信接口可以是串口，也可以是以太网接口。

A.3.2 本条对系统软、硬件配置作出规定。

本条第2款对BPCS硬件配置作出规定。

本条第2款第1项，接转站(增压点、转油站)、放水站、原油脱水站、注入站(注聚站、注水站、注汽站)、水处理站(采出水、地下水)、供水站、集气站、增压站、输气站、锅炉房等油气田站场，宜设置一台操作员工作站和一台打印机。如果需要监控的生产数据较多，可以设置一机双屏操作员工作站。

本条第2款第3项，对安全可靠性要求较高的站(厂)是指中断生产会造成环境污染、人员伤亡和经济损失的站场；其他站(厂)是指中断生产不会造成人员伤亡和立即造成环境污染及经济损失不大的站场，一般只设控制器冗余。油气田除上述站场外，BPCS的控制单元、网络、电源不宜冗余配置。

本条第2款第4项，集中处理站、天然气净化厂(处理厂)等大型重要的站场宜设置独立的数据服务器，中小型站场的数据服务器可与操作员工作站合并设置。

A.3.3 本条对站场控制系统功能作出规定。

“站场”包括油气田井场、站、库，而“站(厂)”是指除井场外的站、库。站(厂)控制系统指油气田站(厂)采用的控制系统总称，可能是BPCS或BPCS、SIS或FGS的组合。本条第1款中的站(厂)是指一般有人值守，设置操作员工作站，具有监视操作功能的站(厂)。本条第2款中的站场是指一般无人定岗值守，不设置操作员工作站的站场。

A.4 油气田站场控制室

A.4.1 油气田新建站(广)控制室的设计，应预留机柜和操作台的位置；工艺处理功能单一没有扩建可能的站场可不预留位置。

A.4.2 采用分岗控制的站场可设功能合一的控制室，不宜单独设置操作室。

A.4.3 当控制室设置多套自控系统或电视监控系统时，操作台宜统一布置，规格、颜色应统一。

A.4.4 控制室的设计应符合本规范第9章的规定。

A.5 网络安全

A.5.1 油气田计算机控制系统的网络宜包括：I/O网络层、控制网络层和监控网络层。各个层级宜独立组网。本规范不包括对高级应用层及以上的技术要求。

A.5.2 作业区监控网的出口处应部署隔离网闸和/或防火墙；作业区与所辖站场网络的接入处应部署防火墙。

A.5.3 联合站、天然气处理厂、区域集中监控中心与作业区连接的工控网络出口处宜设置防火墙。

A.5.4 油气田计算机控制系统的网络安全设计应符合本规范第4.7节的相关要求。

B.1 一般规定

B.1.1 管道计算机控制系统宜包括SCADA系统、模拟仿真系统、生产经营管理系统、设备管理系统、管道完整性管理系统、安全防护系统、应急指挥系统。

B.1.2 计算机控制系统应对管道各站场和线路进行统一监视、控制、调度和管理。业务范围宜覆盖工艺运行、设备管理、管道完整性管理、安全防护管理、应急指挥管理五个方面。

B.1.3 SCADA系统应根据生产工艺过程的需要，监视控制现场的输油气工艺、电气和辅助设备或设施。

B.1.4 管道SCADA系统宜由主调度控制中心、备用调度控制中心的控制系统和沿线站场的控制系统、监控(监视)阀室、管道其他重要位置的RTU及通信系统组成。

B.1.5 主调度控制中心、备用调度控制中心应具有切换功能。主调度控制中心应具备下达允许和终止备用调度控制中心操作的权限。

B.1.6 调度控制中心与站场控制系统应具有操作权限的切换功能。B.1.7管道SCADA系统应保持时钟同步。

B.1.8 管道计算机控制系统网络安全设计应符合本规范第4.7节的相关要求。

B.1.9 管道计算机控制系统典型结构见图B.1.9。

图B.1.9 油气管道计算机控制系统典型结构示意图

条文说明

B.1.4 主调度控制中心、备用调度控制中心的计算机控制系统简称“调度控制中心”或“控制中心”;沿线站场的控制系统简称“站控制系统”;监控(监视)阀室的RTU控制系统简称“阀室RTU”或“RTU”。管道其他重要位置是指开挖穿越、水下隧道穿越、山体隧道、跨越、地灾段、阴极保护等需要进行重点监控的场所。

B.1.5 当调度控制中心的主通信信道出现中断，系统应自动切换到备用信道；若备用信道也发生故障，经通信网络管理系统判断确认后，系统应切换到备用调度控制中心，并发出报警信号。B.1.6调度控制中心计算机控制系统或通信系统故障时，应由站场控制系统接管控制权来完成各工艺站场的控制。

B.1.8 输油气管道调控中心和站场工业控制系统网络安全保护等级按二级设计时，采取措施见表10。当输油气管道调控中心和站场工业控制系统网络安全保护等级按三级设计时，采取措施见表11。

表10 油气管道工业控制系统等保二级推荐措施(最低要求)

　　注：在满足等保评分前提下，站控室和机柜间可不设自动灭火系统。

表11 油气管道工业控制系统等保三级推荐措施(最低要求)

　　注：在满足等保评分前提下，站控室和机柜间可不设自动灭火系统。

B.1.9 本规范图B.1.9中生产管理网络的系统配置可根据业主运行需求进行选配。网络安全设备的设置仅为示意。

B.2 调度控制中心

B.2.1 硬件配置应符合下列规定：

1 调度控制中心的计算机控制系统应配置实时服务器、历史服务器、操作员工作站、工程师工作站、外存储设备、网络设备、网络安全设备和打印机，应通过以太网相互连接。

2 调度控制中心的计算机控制系统宜根据运行管理的要求设置高级应用服务器、OPC服务器、Web服务器、培训工作站和大屏幕系统。

3 服务器应采用客户机/服务器(C/S)结构，实时和历史服务器应采用冗余配置。

4 服务器负荷应满足本规范第4.24条的规定。

5 SCADA系统的路由器、交换机及网络连接应冗余配置。

6 SCADA系统应配操作员工作站，操作员工作站应具备不同级别、不同区域的操作权限和数据管理权限。

7 外存储设备宜冗余配置。

8 服务器、操作员工作站、培训工作站、外存储设备等硬件可采用硬件虚拟化方式。

B.2.2 软件配置应符合下列规定：

1 计算机应配置操作系统软件，服务器宜采用Linux,亦可采用UNIX或Windows;其他计算机应采用Windows或Linux。

2 计算机控制系统应配置SCADA系统软件及数据库管理软件。

3 计算机控制系统应根据需要配置管道高级应用软件、网络安全管理软件。

4 SCADA系统软件宜符合下列规定：

1)模块化结构设计；

2)支持客户机/服务器(CS)结构，支持分布式服务器；

3)支持冗余服务器和网络；

4)支持离线组态和在线组态；

5)具有直观、用户友好的操作界面；

6)具有图形编辑功能；

7)具有丰富的图形库；

8)具有完善的安全措施；

9)历史数据库采用商用数据库；

10)数据库管理；

11)报警和事件管理；

12)报告生成及管理；

13)可根据需要编制中文操作员在线帮助；

14)通信管理；

15)支持标准编程语言；

16)在操作模式下，应能调用外部或内部程序；

17)支持世界大多数知名PLC和RTU的通信协议。

B.2.3 调度控制中心各系统主要功能应符合下列规定：

1 SCADA系统宜具有以下功能：

1)监视各工艺站场及阀室工艺设备运行状态；

2)工艺流程动态显示；

3)报警和事件的显示、管理、查询和打印；

4)管道全线的工艺过程控制；

5)实时、历史数据的采集、归档、管理及显示；

6)报表的生成和打印；

7)管道全线安全保护；

8)控制权限切换；

9)站场远程控制；

10)自动分输功能；

11)管道泄漏检测和定位；

12)罐区管理；

13)关键设备故障诊断和远程维护；

14)网络和通信通道监视及管理；

15)系统时钟同步；

16)能耗采集与分析；

17)数据共享和数据集成等。

2 模拟仿真系统宜具有以下功能：

1)水力学模拟；

2)工艺预测；

3)输量计划、批输计划、混油量计算、混油跟踪及处理；

4)管道全线过程优化；

5)清管器跟踪；

6)在线培训。

3 计算机控制系统应根据项目需求，配置生产经营管理系统、设备管理系统、管道完整性管理系统、安全防护系统、应急指挥系统。

条文说明

B.2.2 本条第3款，根据管道运行需要及管网复杂程度，配置管道高级专用软件，包括管道泄漏检测及定位、管道效率、批量输送管理、混油量计算、清管器跟踪、过程预测、模拟培训、管道运行模拟等功能模块软件。

B.2.3 本条第1款第4项，管道全线的工艺过程控制包括全线正常的启输/停输、全线的增输/减输、操作参数远程设定等。

本条第1款第7项，管道全线安全保护包括水击保护、紧急停输。

本条第1款第11项，管道连续(在线)泄漏检测方法大致

可分为两类：内部(间接)检测和外部(直接)检测。内部检测方法主要有：体积(或质量)平衡法、统计分析法、实时瞬态模型法(RTTM)、压力分析法(负压波法)、音波法。外部检测方法主要有：光纤预警、智能防腐层预警等技术方法。

目前，上述检测方法基本上都存在可靠性不高、响应时间过长、灵敏度差、定位效果差等不足。因此，设计时应综合考虑各种检测方法的特点，审慎选择。目前较多采用不同的检测方法组合使用，结合各自不同的优缺点，功能上互补，以取得相应的功能要求。

本条第1款第12项，指液体管道工艺站场设置的储罐，其过程参数与管道运行相关，可纳入站控制系统统一管理。

本条第3款，生产经营管理系统应具有以下功能：

1)调度计划管理；

2)贸易结算和管理；

3)能耗分析和管理。

设备管理系统宜具有对仪表、控制及动力设备进行运行诊断、维护维修、备件管理、设备更新、大修计划等全生命周期管理的功能。

管道完整性管理系统应基于管道地理信息系统，建立统一的管道数据模型，掌握管道实时状态，实现管道全业务数据集成和共享。管道完整性管理应贯穿管道从规划到报废的整个生命周期。

应对管道的重要地段及站场进行安全防护监视报警及智能巡检，实现管道安全防护功能。

应急指挥系统应能结合工艺过程、设备管理、管道完整性管理、安全防护的数据及视频监控画面，实现事故灾情推演分析、应急处置方案制定、应急资源智能调配和应急事故处理功能。

B.3 站场控制系统

B.3.1 系统配置应符合下列规定：

1 工艺过程较复杂的站场，宜设置相对独立的基本过程控制系统、安全仪表系统、火灾及可燃(有毒)气体报警系统。

2 在过程测控点较少且安全完整性等级小于或等于SIL2级的场合，可使用一套SIS控制器完成BPCS和SIS系统功能。

3 基本过程控制系统宜由过程控制单元、操作员工作站、网络设备和辅助设备组成。

4 安全仪表系统应包括紧急停车系统、安全保护系统。

5 火灾及可燃气体报警系统宜包括可燃(有毒)气体检测系统、火灾自动报警系统和自动消防控制系统。

6 安全仪表系统、火灾及可燃气体报警系统可与基本过程控制系统共用操作员工作站等外围设备。

B.3.2 系统功能应符合下列规定：

1 站场控制系统宜具有下列主要功能：

1)接受和执行调度控制中心的控制命令，进行站场控制和设定值调整，并能独立工作；

2)过程变量的采集和数据处理；

3)向调度控制中心传送必要的工艺过程数据和报警信息；

4)工艺流程、动态数据显示；

5)设备的运行状态检测；

6)工艺参数的报警、存储、记录、打印；

7)主要工艺过程参数的控制；

8)故障自诊断；

9)控制权限切换；

10)自动分输功能；

11)油品切换及混油量控制；

12)能耗采集；

13)系统时钟同步；

14)火灾及可燃气体系统监视及报警；

15)消防、电力、阴保系统监视；

16)通信信道故障监测。

2 基本过程控制系统配置应符合下列规定：

1)过程控制单元的控制器、/O网络、局域网、通信接口、电源宜按冗余配置；

2)基本过程控制系统与第三方智能仪表系统或设备之间宜采用通信接口连接。

3 安全仪表系统配置应符合下列规定：

1)安全仪表系统宜独立设置；

2)全线应设置安全保护系统；

3)安全仪表系统的控制器、I/O网络、局域网、通信接口、电源宜按冗余配置；

4)安全仪表系统的设置应满足本规范第5.2节的要求。

4 火灾及可燃气体报警系统配置应符合下列规定：

1)火灾报警控制器宜与可燃(有毒)气体报警控制器独立设置；

2)火灾报警控制器可与可燃(有毒)气体控制器合用盘、柜。

5 过程控制单元硬件设置应符合下列规定：

1)控制器宜采用32位及以上的中央处理器(CPU),内存不宜小于32M,处理能力应有40%以上余量；

2)I/O模板应是多通道的，通道数量和技术要求应符合本规范第4.5节的相关规定；

3)CPU机架与I/O机架之间宜采用以太网连接；

4)24V直流电源应冗余设置。

B.3.3 系统网络及设备应符合下列规定：

1 站场控制系统的网络设备应符合下列规定：

1)应由网络交换机、路由器及连接电缆和附件组成；

2)通过网络设备的连接，应组成冗余工业以太网；

3)交换机应采用工业级以太网交换机，不宜少于24端口，应采用模块化设计，并应支持单/多模光纤接口(SC/LC)或RJ45接口；

4)路由器、交换机应支持标准的TCP/IP协议；

5)路由器、交换机应满足站场控制系统的配置要求。

2 站场控制系统的操作员工作站应符合下列规定：

1)关闭操作员工作站不应对过程控制单元的信号传输、运行有任何影响；

2)操作员工作站的具体配置可根据具体工程确定。

3 站场控制系统的软件配置应符合下列规定：

1)应配备完整的过程控制和检测软件、生产运行操作和数据处理软件；

2)应配置操作员工作站操作系统软件、控制程序编程软件、HMI组态软件，可在需要时配置高级语言编程软件；

3)应支持多种编程语言。

4 控制程序编程软件宜符合下列规定：

1)编程软件应支持国际标准的语言，应具有多个PID运算模块和其他常用的功能模块，具有批量及顺控功能模块；

2)编程软件可在标准中文Windows平台上运行。

条文说明

B.3.1 本条第4款，紧急停车系统是为工艺站场紧急切断和放空而设置的控制系统，安全保护系统是为管道全线水击事件、安全事件发生后，采取相应的保护措施而设置的控制系统。

B.3.2 本条第2款第2项，此处第三方智能仪表系统或设备一般意义上指相对独立于站场控制系统的成橇设备的控制系统或其他带有通信接口的复杂智能仪表，如加热炉系统的控制器、密度计橇的二次仪表、电力综合保护系统、计量系统的流量计算机、超声波流量计等。

B.4 阀室系统

B.4.1 监视阀室、监控阀室宜具有下列基本功能：

1 监视阀室应设置RTU,宜具有下列主要功能：

1)过程变量的检测、数据存储及处理；

2)监视线路截断阀的运行状态及爆管保护；

3)供电系统数据采集；

4)可燃气体检测信号数据采集；

5)阴极保护系统数据采集；

6)数据通信监测；

7)与调度控制中心数据通信。

2 监控阀室应设置RTU,宜具有下列主要功能：

1)过程变量的检测、控制和数据存储及处理；

2)监控线路紧急截断阀的运行状态及爆管保护；

3)远程关阀控制；

4)供电系统数据采集；

5)可燃气体检测信号数据采集；

6)阴极保护系统数据采集；

7)数据通信监测；

8)与调度控制中心数据通信，执行调度控制中心下达的指令。

B.4.2 阀室RTU的配置应符合下列规定：

1 应采用以太网接口与调度控制中心通信，应能适应现场环境条件。

2 应配置通信接口，可与第三方智能设备连接。

3 应配置与计算机连接的标准接口。

B.4.3 RTU的软件宜符合下列规定：

1 编程软件应选用开放式结构，应功能强大、灵活方便、界面友好。

2 编程软件应具备在现场通过笔记本计算机读写RTU中的相关数据、组态等功能。

条文说明

B.4.1 本条第2款第8项，监控阀室是指具有远程控制功能的线路截断阀室。

本规范用词说明

1 为便于在执行本规范条文时区别对待，对要求严格程度不同的用词说明如下：

1)表示严格，在正常情况下均应这样做的：

正面词采用“应”,反面词采用“不应”或“不得”;

2)表示允许稍有选择，在条件许可时首先应这样做的：正面词采用“宜”,反面词采用“不宜”;

3)表示有选择，在一定条件下可以这样做的，采用“可”。

2 条文中指明应按其他有关标准执行的写法为：“应符合……的规定”或“应按……执行”。

引用标准名录

《建筑设计防火规范》GB50016

《建筑物防雷设计规范》GB50057

《火灾自动报警系统设计规范》GB50116

《石油天然气工程设计防火规范》GB50183

《建筑物电子信息系统防雷技术规范》GB50343

《电子工程防静电设计规范》GB50611

《消防应急照明和疏散指示系统技术标准》GB51309

《信息安全技术网络安全等级保护基本要求》GB/T22239

《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》GB/T33007

《石油化工PROFIBUS控制系统工程设计规范》SHT3188《石油化工FF现场总线控制系统设计规范》SH/T3217

《石油天然气工程可燃气体和有毒气体检测报警系统安全规范》SY/T6503

《输油气管道工程安全仪表系统设计规范》SY/T6966《油气田工程安全仪表系统设计规范》SY/T7351

《油气田地面工程数据采集与监控系统设计规范》SY/T7352-2016