xxii congresso nacional de transportes marítimos e

22º CONGRESSO NACIONAL DE TRANSPORTE AQUAVIÁRIO,
CONSTRUÇÃO NAVAL E OFFSHORE - SOBENA 2008
FILOSOFIA DE HIPPS PARA APLICAÇÃO OFFSHORE E O ESTUDO DE CASO
DESTA FILOSOFIA NO CAMPO DE MEXILHÃO
Sandra Machado Pereira da Silva – Subsea Engineering Manager – Controls –
[email protected]
José Marcio do Amaral Vasconcelos – EP&COPPE/UFRJ – [email protected]
Severino Fonseca da Silva Neto – EP&COPPE/UFRJ – [email protected]
RESUMO
HIPPS são Sistemas Instrumentados de
Segurança (SIS) para isolar linhas e
pipeleines de condições de sobre-pressão. Os
sistemas de HIPPS são uma importante
ferramenta para sistemas de pipeline de alta
pressão/alta
temperatura
(HP/HT).
Os
pipelines e as linhas de processo são
geralmente projetados para suportar a
pressão mais alta previsível na produção.
Tipicamente, esta seria a pressão máxima do
poço (shut-in pressure). O pipeline a jusante
do HIPPS pode ser projetado para pressões
bem menores que a pressão de shut-in do
poço, com o objetivo de se trabalhar com
paredes menos espessas para o pipeline o
que acarreta uma grande redução de custo de
projeto. HIPPS é um Sistema de Controle
autônomo que monitora a pressão em árvores
de natal (ANMs), manifolds ou linhas de
processo de equipamentos de HP/HT e fecha
automaticamente a válvula do Sistema
quando o transiente de pressão atinje o limite
pré-definido. A finalidade do HIPPS é diminuir
o range de pressão de operação nos pipeline
e linhas de processo para reduzir custos de
fabricação e instalação. Além disso, tem como
objetivo manter a pressão do projeto do
pipeline abaixo das pressões parciais do
projeto na verificação de H2S e de CO2, que
forçaria de outra maneira o uso de materiais
de liga resistentes à corrosão na tubulação. O
Sistema HIPPS deve atender a altos níveis de
confiabilidade, na qual esta deve ser
representada pelo nível de integridade de
segurança (Safety Integrity Level, SIL) ou pela
probabilidade
de
falha
na
demanda
(Probability of Failure on Demand, PFD).
1 INTRODUÇÃO
Esse trabalho tem como objetivo abordar
sobre a filosofia HIPPS (High Integrity
Pressure Protection System) para aplicação
offshore e o estudo de caso desta filosofia
para o Campo de Mexilhão da Petrobras, na
Bacia de Santos. HIPPS é um sistema de
segurança de controle do tipo SIS (Safety
Integrity System) de forma a garantir que a
pressão de escoamento não exceda a máxima
pressão de trabalho dos dutos de escoamento
que podem estar ligados a manifolds de
produção subsea, em caso de aplicação
offshore. Este trabalho abordará assuntos de
sistemas de controle, considerando as
arquiteturas típicas para sistemas SIS com
enfoque na filosofia HIPPS com lógica de
controle de votação de sensores de pressão e
sua integração com sistemas de controle de
produção.
2 SISTEMAS HIPPS
HIPPS são Sistemas Instrumentados de
Segurança (SIS) para isolar linhas e pipeleines
de condições de sobre-pressão. A condição de
sobrepressão pode ser a montante (por
exemplo, perda de controle do poço) ou a
jusante (por exemplo, pelo fechamento
inadvertido de válvulas, a formação de hidrato
ou de outro tipo de bloqueio formado na linha
de produção). Em caso de sobre-pressão, o
HIPPS deve isolar a linha de produção (ou
pipeline) ou o riser desta fonte de sobrepressão. Consequentemente, o pipeline a
jusante pode atender a pressões mais baixas
que a pressão de fechamento completo
(pressão de shut-in, SIP) do poço a montante.
O Sistema HIPPS deve atender a altos níveis
de confiabilidade, na qual esta deve ser
representada pelo nível de integridade de
segurança (Safety Integrity Level, SIL) ou pela
probabilidade
de
falha
na
demanda
(Probability of Failure on Demand, PFD).
Níveis SIL normalmente são compreendidos
pela faixa de SIL1 até SIL4, correspondendo a
um valor mais baixo de PFD. Quanto mais
elevado o nível de SIL mais alto é o grau de
integridade
e
disponibilidade,
com
redundância para tolerância a falha,
comunicação remota, shutdown autônomo e
testes regulares.
Os benefícios do HIPPS incluem:
• Pressão de superfície reduzida
• Redução da espessura dos pipelines e risers
• Redução de tempo de soldagem offshore
• Permite o uso de pipelines projetados para
pressões mais baixas
Qualquer sistema SIS deve contemplar
facilidades para permitir a execução efetiva de
testes periódicos da funcionalidade do
sistema.
Sistemas subsea de HIPPS normalmente
utilizam sistema de injeção de inibidores de
hidrato para induzir pressão entre o HIPPS e
a válvula de teste de forma a promover o
fechamento da válvula pela execução do
trigger do HIPPS. Antes de reinicializar a
produção, a pressão a montante deverá ser
aliviada e isto normalmente é feito pelas
linhas de bypass das válvulas. A injeção de
inibidor de hidrato provavelmente será
necessária também durante a reinicialização
da produção. Os sistemas de HIPPS são uma
importante ferramenta para sistemas de
pipeline de alta pressão/alta temperatura (HP/
HT). Os pipelines e as linhas de processo são
geralmente projetados para suportar a
pressão mais alta previsível na produção.
Tipicamente, esta seria a pressão maxima do
poço (shut-in pressure). Em projetos de
HP/HT, a espessura de parede poderia ser de
1 1/2” de interno, para lidar com os esforços
longitudinais na tubulação. Entretanto, há uma
grande diferença entre a pressão máxima de
projeto de poço (shut-in pressure) de um
campo de HP/HT e a pressão do pipeline
quando o poço está em produção. A pressão
de fluxo permite uma avaliação mais
econômica da espessura e da pressão de
parede dos pipeline e das linhas de processo.
O pipeline a jusante do HIPPS pode ser
projetado para pressões bem menores que a
pressão de shut-in do poço, com o objetivo de
se trabalhar com paredes menos espessas
para o pipeline o que acarreta uma grande
redução de custo de projeto.
Em alguns casos, o HIPPS exige a
implementação de uma zona fortificada, pois
se o Sistema de HIPPS falha e o pipeline
continua a ser pressurizado, mesmo atingido
o limite de pressão admissível, isto poderá
eventualmente
atingir
a
pressão
de
rompimento do pipeline. Para garantir que o
pipeline não rompe imediatamente a jusante
da localização do HIPPS uma seção fortificada
(geralmente uma parte do pipeline com parede
mais espessa de mesmo material e grau) pode
ser
implementada.
Os
principais
direcionadores para isto são:
• Quando se deseja assegurar que, em caso
de falha do HIPPS, o trecho imediatamente a
jusante do pipeline não vai romper numa área
próxima a cabeça de poço ou ao manifold,
onde a intervenção equipada pode ocorrer.
• Se houver formação de hidrato a jusante da
localização do HIPPS, isto pode acarretar um
crescimento rápido da pressão (build-up
pressure) de forma que não haja tempo
suficiente para o HIPPS responder.
A intervenção equipada no campo onde existe
HIPPS instalado pode existir para perfuração
de poços adjacentes, atividades de workover e
atividades de intervenção com ROV, entre
outras atividades. Desta forma, ações devem
ser tomadas para remover a embarcação de
superfície da posição antes que o pipeline
alcance uma pressão em que é provável
falhar. Sendo assim, a avaliação do requisito
de SIL deve considerar o evento de perigo,
probabilidade de risco para as pessoas na
área e se há a necessidade de em algum
momento remover as pessoas da área em
caso do perigo causado pela falha do HIPPS.
Se um projeto considera a possibilidade de
formação de hidrato de forma razoavelmente
perto a jusante do sistema de HIPPS, o
sistema de HIPPS pode precisar ser atuado
muito rapidamente ou uma zona fortificada
poderia ser considerada no pipeline. Desta
forma, simulações de processo devem ser
executadas para determinar o equilíbrio entre
o nível de fortificação / comprimento de
fortificação / velocidade do fechamento da
válvula. Poder-se-ia discutir que é altamente
improvável
que
hidrato
se
forme
imediatamente a jusante do HIPPS durante
operações de estado estacionário normais
porque as circunstâncias serão fora da região
da formação do hidrato. Durante condições de
startup e condições críticas, o metanol ou
algum outro inibidor de hidrato deve então ser
injetado.
Cada
projeto
deve
conseqüentemente
avaliar
sob
que
circunstância um hidrato ou um bloqueio
poderiam ocorrer imediatamente a jusante do
HIPPS.
As
figuras
abaixo
representam
uma
configuração típica de um trecho do pipeline
onde é implementado o HIPPS, contemplando
também uma zona fortificada.
Figura 04 – Filosofia HIPPS
Figura 01 – Configuração Típica de um
Sistema HIPPS
Figura 02 – HIPPS no pipeline entre
Manifold e Riser
A finalidade do HIPPS é diminuir o range de
pressão de operação nos pipeline e linhas de
processo para reduzir custos de fabricação e
instalação. Além disso, tem como objetivo
manter a pressão do projeto do pipeline abaixo
das pressões parciais do projeto na verificação
de H2S e de CO2, que forçaria de outra
maneira o uso de materiais de liga resistentes
à corrosão na tubulação.
HIPPS são colocados próximo ou na fonte do
poço (wellbores) de HP/HT e contém
normalmente duas ou mais válvulas e três ou
mais sensores da pressão para conseguir uma
confiabilidade elevada com a redundância dos
componentes. Estes monitoram os pontos da
pressão causados pelo erro de operador,
fechamento da válvula ou bloqueio inesperado,
falhas de componentes do choke, ou pipeline
obstruído por parafina ou hidrato.
Todo o pipeline a montante da válvula de
HIPPS deve ser projetado para atender ao
range de pressão maxima do poço (shut-in
pressure)
do
ambiente
de
HP/HT.
Imediatamente à jusante é uma região do
pipeline conhecida como a “zona fortificada”.
É construído dentro do projeto do pipeline que
é designado para uma pressão ligeiramente
mais elevada do que o resto do pipeline.
Figura 03 – HIPPS no pipeline entre ANM e
Plataforma
HIPPS é um Sistema de Controle autônomo
que monitora a pressão em árvores de natal
(ANMs), manifolds ou linhas de processo de
equipamentos
de
HP/HT
e
fecha
automaticamente a válvula do Sistema
quando o transiente de pressão atinje o limite
pré-definido.
O Sistema HIPPS é composto basicamente
pelos elementos iniciadores (transmissores de
pressão), pelos controladores e pelos
elementos finais (válvulas).
A figura abaixo mostra um esquema típico dos
elementos principais de Sistema de HIPPS.
A taxa de pressão desta zona e o comprimento
necessário estão amarrados ao máximo
transiente de pressão de fluido no poço
(wellbore) que pode alcançar antes que o
HIPPS tenha tempo para detetar o
desequilíbrio e para iniciar o fechamento. O
restante do pipeline é designado para uma
pressão de fluxo mais baixa.
Embora a aplicação de HIPPS seja direta, o
ambiente frio da água do mar combinado com
as temperaturas mais altas da formação do
hidrato de fluidos de HP/HT aumenta a
probabilidade de formar um plugue de hidrato
razoavelmente perto das árvores ou dos
manifolds. Para evitar este risco, é necessária
uma
resposta
extremamente
rápida,
precisando em geral de uma pressão
relativamente baixa (apenas acima da pressão
de fluxo) que ative o fechamento da válvula.
A formação de hidrato e de parafina ocorre
geralmente a alguma distância da fonte do
poço de HP/HT, onde os efeitos de
refrigeração são maiores. Entretanto, o HIPPS
tem sido posicionado mais próximo da fonte
potencial desses bloqueios, de forma a
reduzir a pressão que deve detetar o
problema.
Outro desafio para o HIPPS é o
desenvolvimento de válvulas de grande
capacidade para atender a grandes nominais
de pipeline. As válvulas HIPPS são projetadas
geralmente com hastes superdimensionadas
para aumentar a característica de fechamento
rápido. Entretanto, uma haste maior significa
um atuador de maior capacidade de pressão
interna para abertura da válvula. Portanto, o
desafio chave é projetar um atuador para a
válvula que seja suficiente para abrir a válvula
e que seja capaz de drenar o fluido de forma a
permitir o mecanismo de fechamento rápido
da válvula.
Os atuadores hidráulicos de grande porte
para válvulas subsea requerem grande
quantidade (galões) de fluido para operar a
válvula em um curso (stroke). O controle de
HIPPS necessita de uma linha hidráulica de
nominal aprox. 1” e válvulas de controle
secundárias para permitir a rápida drenagem
do fluido hidráulico do atuadror de forma a
garantir o rápido fechamento da válvula. O
tamanho e peso do hardware resultante para
atender a estas características faz a
instalação e conexão no pipeline e a
recuperação e manutenção mais desafiante.
Alternativa pode ser feita em relação a
arquitetura do sistema de forma que algumas
válvulas de segurança sejam posicionadas a
jusante da ANM e válvulas da ANM sejam
usadas como válvulas de segurança do
sistema HIPPS. Neste caso, a válvula de
HIPPS pode ter um tamanho menor, não
precisando ficar no pipeline, que possui
diâmetro de linha maior. Mais válvulas de
HIPPS serão necessárias, uma para cada
ANM.
Figura 05 – Elementos Principais de um
Sistema HIPPS
O subsistema de medição de pressão é
composto por um conjunto de sensores de
pressão (três ou cinco sensores) para o
mesmo ponto de medição de forma a ser
usado como dado de entrada para o
subsistema de trigger de shutdown subsea.
Este, por sua vez, corresponde a uma lógica
de controle subsea que deve ser executada
por
um
microprocessador
eletrônico
redundante que deve estar presente no
módulo de controle subsea. Este módulo deve
ser recuperável indivudualmente. O resultado
do trigger é a ação nas válvulas direcionais de
controle do módulo de controle subsea, as
quais são responsáveis pelo suprimento
hidráulico das válvulas HIPPS de segurança,
de fechamento rápido. Estas válvulas HIPPS
de segurança são constituídas de válvulas
Xover montadas em cada atuador das válvulas
do manifold subsea que participem do Sistema
HIPPS, de forma que o volume acima e abaixo
do pistão seja interconectado. Uma vez que a
válvula Xover é aberta, o fluido de controle no
atuador é rapidamente transferido do lado
“aberto” do pistão para o lado “fechado”,
permitindo que a válvula HIPPS de segurança
feche rapidamente. As válvulas HIPPS de
segurança normalmente são constituídas de
duas válvulas gavetas montadas em série no
manifold subsea.
3 FUNCIONALIDADE DO HIPPS PARA
APLICAÇÃO SUBSEA
Sistema HIPPS deve ser um sistema
autônomo para execução de shutdown
subsea através dos seguintes subsistemas:
• Medição de pressão
• Trigger de shutdown subsea
• Válvula subsea de fechamento rápido
Figura 06 – Válvula subsea em um Sistema
HIPPS
Os transmissores de pressão, usados pelo
trigger, devem ser equipados com eletrônica
redundante de forma a permitir a conexão
independente do sensor ao microprocessador
redundante da eletrônica subsea.
Cada eletrônica subsea responsável pelo
trigger recebe suprimento elétrico através de
condutores dedicados do umbilical de controle.
O sinal de comunicação é superimposto no
circuito de alimentação elétrica.
O trigger é capaz de se comunicar com o
equipamento de superfície (MCS – Master
Control Station) e pode, desta forma, receber
comandos para abertura e fechamento das
válvulas HIPPS para a operação normal
dessas válvulas, em caso de pressão do
sistema abaixo do limite de sobre-pressão.
Figura 07 – Sensores de Pressão em um
Sistema HIPPS
O trigger executa uma lógica de votação com
os valores medidos pelos transmissores de
pressão de forma a atuar nas DCVs (válvulas
de controle instaladas dentro do módulo de
controle submarino) sempre que dois ou mais
sensores indiquem valores acima de um
setpoint preestabelecido como valor de sobrepressão. A lógica de votação pode ser 2 de 3
(simbologia 2oo3), quando o conjunto de
transmissores de pressão é composto por 3
sensores, ou pode ser 2 de 5 (simbologia
2oo5), quando o conjunto é composto por 5
sensores ao todo.
No caso de configuração 2oo3 da lógica de
votação, quando algum sensor entra em modo
de falha, a votação se degrada para 1oo2. Já
no caso de configuração 2oo5 da lógica de
votação, esta degradação corresponderá à
lógica 2oo4, 2oo3 e 1oo2, dependendo do
número de sensores que estejam em falha.
O resultado da lógica de votação realizada no
trigger é o fechamento automático das
válvulas de segurança do HIPPS. O operador
deverá verificar a normalização da condição
de pressão da linha para executar o comando
de reset das válvulas de segurança de forma
a habilitar a nova abertura das válvulas. Após
o reset, o operador deverá executar o
procedimento de abertura manual de cada
válvula de segurança.
As mesmas válvulas de segurança de HIPPS
podem também ter a funcionalidade de
alinhamento e, desta forma, podem ser
comandadas pela operação. Entretanto, o
trigger do HIPPS, proveniente da lógica
subsea de votação é prioritário em relação a
operação. Portanto, uma vez fechada a
válvula HIPPS pelo trigger, o operador não
pode mudar a posição da válvula até que a
condição que ativou o trigger seja
normalizada.
A monitoração e controle de superfície do
HIPPS são feitos através dos seguintes
equipamentos de superfície: Estação de
Controle de Superfície (MCS – Master Control
Station), composta pela unidade de controle e
pela unidade de suprimento de comunicação e
alimentação elétrica, além da unidade de
potência hidráulica (HPU – Hydraulic Power
Unit), as caixas de junção elétrica e hidráulica
para o umbilical de controle e o próprio
umbilical.
O manifold submarino contém a parte subsea
do HIPPS, constituído pelos jumpers elétricos
e hidráulicos, o módulo de controle submarino,
as válvulas gaveta de segurança e os
transmissores de pressão.
O módulo de controle submarino (SCM)
contém a eletrônica com o trigger em uma
atmosfera de nitrogênio e contém também os
componentes hidráulicos, envoltos por fluido
dielétrico, que fazem parte do circuito do
HIPPS. As válvulas DCVs associadas às
funções
de
segurança
devem
ser
continuamente energizadas eletricamente de
forma que sejam fechadas em caso de falha
de suprimento elétrico. Isto assegura que, em
caso de falha de cabos elétricos do umbilical
de controle, as válvulas gaveta de segurança
serão fechadas, pois as DCVs (internas ao
SCM) serão fechadas uma vez que as
solenóides destas válvulas não estarão mais
energizadas. Em caso de falha de suprimento
hidráulico, as válvulas gaveta de segurança
também serão fechadas, pois o piloto das
válvulas DCV depende do constante
suprimento hidráulico para permitir que a
válvula fique em posição de aberta.
As válvulas gaveta HIPPS de segurança
devem ser do tipo “fail closed”. A figura abaixo
mostra o esquema de uma válvula gaveta
projetada para este propósito.
Este intervalo de tempo para execução do
teste do Sistema HIPPS interfere no cálculo da
confiabilidade do Sistema e deve ser definido
na fase de projeto.
Os sistemas de HIPPS têm sido projetados
para atender a um alto grau de confiabilidade
com nível de SIL3 conforme requisitos das
Normas IEC 61508/61511.
4 INTERFACE DE SISTEMA DE CONTROLE
COM O HIPPS
Figura 08 – Esquemático de uma válvula
HIPPS subsea
A característica “pressão para fechamento” da
porta ativa reversa da válvula foi utilizada para
suprimir a mola. Este princípio está baseado
na força resultante que age na gaveta como
resultado da conexão da haste da gaveta. A
força
de
fechamento
é
diretamente
proporcional a pressão de fluido na cavidade
da gaveta e o diâmetro da haste da gaveta. O
fluido de processo fornece assim a energia
para conduzir a válvula ao rápido fechamento.
A interface para a operação deve fazer parte
do Sistema de Controle do processo, na MCS.
Uma tela dedicada para o Sistema HIPPS
deve disponibilizar os dois modos de
operação do HIPPS: modo autônomo ou
automático e modo de teste.
No modo automático, deve funcionar como
sistema de segurança com um valor limite de
pressão admissível para a continuidade da
produção.
Este limite de pressão é responsável pela
atuação do trigger e deve ser um valor fixo e
ajustado em fábrica de forma que não possa
ser alterado uma vez que o sistema esteja em
funcionamento. Ajustes necessários para este
valor limite de pressão só devem ser feitos se
o equipamento for retirado do fundo mar e
levado para superfície, com a interrupção da
produção.
No modo de teste, o Sistema de HIPPS é
testado funcionalmente com um limite de
pressão de teste, inferior ao limite de pressão
de produção, de forma que o trigger possa
atuar e fechar as válvulas gaveta de
segurança. Este teste deve ser realizado
periodicamente para atestar o funcionamento
do Sistema HIPPS com o objetivo de verificar
a
necessidade
de
intervenção
para
manutenção do sistema de forma preventiva.
4.1
UNIDADE
DE
CONTROLE
DE
SUPERFÍCIE (MCS)
Com relação à parte de superfície, o software
para monitoração e controle do sistema HIPPS
deve ser realizado pela unidade de controle e
monitoração de superfície, que é a MCS.
As principais funções do MCS para o HIPPS
são:
• Operar o HIPPS em modo automático ou
modo de teste
• Aquisitar e disponibilizar os dados do SCM e
da eletrônica do trigger
• Aquisitar e disponibilizar os dados dos
transmissores de pressão subsea
• Aquisitar e disponibilizar os dados de
housekeeping das eletrônicas subsea
• Aquisitar e disponibilizar a condição de
posição das válvulas de segurança
• Permitir o controle pela operação das
válvulas de segurança com finalidade de
alinhamento
• Monitorar e controlar as linhas redundantes
de suprimento elétrico para o umbilical de
controle
• Disponibilizar o comando de reset das
válvulas de segurança após a execução da
lógica de votação pelo trigger
• Disponibilizar as condições de alarme
geradas pelo trigger
• Permitir a operação do corte de emergência
do suprimento elétrico para o umbilical de
controle
• Permitir que a alimentação elétrica subsea
seja superimposta ao sinal de comunicação
• Disponibilizar informações sobre a corrente e
tensão de alimentação das linhas elétricas
para o sistema subsea
•
Disponibilizar
informações
sobre
o
suprimento hidráulico para o sistema subsea
4.2
UNIDADE
DE
SUPRIMENTO
HIDRÁULICO (HPU)
A HPU é a unidade de suprimento hidráulico
para o sistema subsea. Em caso de falha no
suprimento hidráulico ou em caso de shutdown
na Plataforma, a HPU corta o suprimento
hidráulico e, desta forma o HIPPS é atuado de
forma a fechar as válvulas de segurança
subsea.
A HPU faz interface de comunicação com a
MCS de forma que esta possa disponibilizar,
em telas de operação, as informações dos
sensores de pressão e nível da unidade
hidráulica, além de disponibilizar informações
dos alarmes.
4.3 DISTRIBUIÇÃO ELÉTRICA SUBSEA
A distribuição elétrica subsea deve distribuir
as linhas elétricas de potência e comunicação
de forma redundante para os módulos de
controle subsea a partir da terminação subsea
do umbilical de controle.
Ela deve contemplar também as linhas
elétricas para suprimento elétrico e aquisição
de dados dos transmissores de pressão para
o módulo de controle subsea. Essa
distribuição deve ser feita de forma a permitir
a
configuração
da
redundância
das
eletrônicas dos sensores de pressão.
Os jumpers elétricos devem ser preenchidos
internamente com fluido dielétrico para
atender a pressão da lâmina de água de
projeto e devem conter conectores elétricos
para operação por ROV. Dupla barreira deve
ser prevista entre a água do mar e os
condutores elétricos dos jumpers elétricos. Os
jumpers elétricos devem ser instalados de tal
forma que permita a sua recuperação para
manutenção em caso de necessidade de
intervenção subsea.
4.4 MÓDULO DE CONTROLE SUBSEA
(SCM)
As principais funções do SCM para o HIPPS
são:
• Receber o suprimento hidráulico redundante
que é proveniente do umbilical de controle
• Distribuir o fluido hidráulico para as DCVs
que controlam as válvulas gaveta de
segurança do HIPPS
• Receber o suprimento elétrico redundante
que é proveniente do umbilical de controle,
através de conectores elétricos para interface
com os jumpers elétricos.
• Distribuir esta alimentação elétrica para a
eletrônica redundante responsável pelo trigger
do HIPPS
• Fornecer o suprimento elétrico para os
transmissores de pressão do Sistema HIPPS
• Receber os valores medidos de pressão dos
transmissores de pressão do Sistema HIPPS
• Conter a eletrônica responsável pelo trigger
do Sistema HIPPS
5 CÓDIGOS E NORMAS APLICÁVEIS A
SISTEMAS HIPPS
A Norma internacional IEC 61508, “Functional
Safety of Electrical /Electronic /Programmable
Electronic
Safety
Related
Systems”,
estabelece uma estrutura para o projeto dos
sistemas instrumentados que são usados para
abrandar riscos relacionados a segurança. A
Norma dos Estados Unidos, ANSI/ISA
S84.01-1996,
“Application
of
Safety
Instrumented Systems (SIS) for the Process
Industry”, e a Norma internacional, IEC 51611,
“Functional Safety: Safety Instrumented
Systems for the Process Sector”, tem o
objetivo de abordar aplicações de SIS em
processos industriais.
O objetivo dessas Normas é definir a
avaliação, o projeto, a validação, e as
exigências da documentação para SIS. Os
processos de projeto embasados por estas
Normas cobrem todos os aspetos do projeto
compreendendo: avaliação de risco, projeto
conceitual, projeto detalhado, operação,
manutenção, e teste. Desde que HIPPS é um
tipo de SIS, as exigências destes padrões,
como pertencendo a cada aplicação específica
de HIPPS, devem ser investigadas e aplicadas
completamente.
As Normas IEC61508 e IEC61511 especificam
a probabilidade de falha por demanda (PFD Probability of Failure on Demand) e a
tolerância de falha de hardware (HFT Hardware Fault Tolerance) que um Sistema
deve demonstrar para alcançar todo o nível
dado de desempenho de SIL.
Os padrões do IEC também definem um ciclo
de vida da segurança que é considerado para
a
verificação/validação
de
segurança
relacionado às entradas e saídas em cada
estágio do projeto, da execução, da instalação,
e do comissionamento do SIS.
O guia de OLF 70 fornece um sumário da
aplicação de IEC61508 e de IEC61511 à
industria de petroleo.
A Norma internacional IEC61508 tem sido
largamente aceita como a base para a
especificação, o projeto e a operação dos
sistemas providos segurança (SIS - Safety
Instrumented Systems).
Estas Normas definem uma aproximação
baseada no risco para decidir o nível da
segurança (SIL - Safety Integrity Level) para os
sistemas que executam funções de segurança.
IEC 61508 e 61511 são normas internacionais
que
relacionam
requisitos
para
a
especificação, projeto, instalação, operação e
manutenção de sistemas instrumentados de
segurança. Fornecedores e fabricantes de
dispositivos de segurança devem geralmente
seguir a IEC61508, enquanto que o projeto e
o usuário do sistema deve geralmente seguir
a IEC61511.
O integrador de sistema teria que selecionar
os componentes de HIPPS (isto é válvulas,
sensores e controlador) que são validados de
acordo com IEC 61508 ou demonstrados e
documentados antes do uso.
Os fornecedores de componentes têm que
fornecer a informação de apoio (por exemplo,
taxa de falhas do equipamento e fracções
seguras da falha) e a documentação (por
exemplo, certificados de SIL de uma
organização reconhecida) ao integrador de
sistema, para entrar no pacote total da
validação para o HIPPS.
A Norma API 14C é um documento de nível
elevado que descreve os requisitos para
sistemas de segurança que sejam usados em
facilidades offshore. Os requisitos aplicam ao
sistema total da segurança um pouco do que
as exigências nos componentes dentro do
sistema e não há nenhuma exigência formal
para considerar e cumprir as exigências do
nível de SIL. De qualquer modo há
determinadas exigências na arquitetura da
segurança que devem ser consideradas.
Sob o aspecto da API 14C o projeto de
sistemas de segurança deve ser baseado na
filosofia que o sistema de segurança deve ser
completamente separado do Sistema de
Controle e que deve haver dois dispositivos
de segurança (sistemas) diferenciados para
proteger contra um evento indesejável, isto é,
o sistema de HIPPS seria um destes dois
sistemas.
Os requisitos da API 14C podem ser
atendidos através das seguintes tarefas:
• A realização de um HAZOP para as várias
opções de projeto durante a fase de estudo
• Inclusão de uma Matriz de Causa & Efeito
como relatório final
• Procedimentos operacionais necessários
para operações seguras identificadas durante
a fase de estudo
• Diagramas esquemáticos para os loops de
controle e monitoração do HIPPS
Especificações de sistemas instrumentados
de segurança para instalações de produção
offshore têm tradicionalmente usado a API
14C como referência. Esta premissa não
considera exatamente o risco e desempenho
que está baseada a IEC61511. Desta forma, a
API RP 14C pode resultar em algumas
funções de segurança desnecessárias, o que
significa causas adicionais de paradas
programadas desnecessárias da produção. As
exigências para teste também são mais
rigorosas para a maioria das funções quando
comparadas com a IEC61511. Desta forma,
uma proposta é que a API RP 14C, ou a ISO
10418, seja usada como base para o projeto
inicial, e a IEC 61511 seja usada para a
análise subseqüente das exigências da
integridade, permitindo que algumas funções
de segurança propostas sejam eliminadas.
Isto exige maior esforço durante a fase de
projeto e durante a fase de operação quando
comparado com a utilização somente de API
RP 14C.
Entretanto, isto resulta em:
1) Integridade de segurança do SIS de
acordo com a magnitude do risco que
se deseja proteger,
2) Otimização dos esforços gastos para
manutenção e teste durante a vida útil
operacional, e
3) Perdas de produção reduzidas.
6 SIL ( SAFETY INTEGRITY LEVEL)
Devem ser considerados os seguintes
requisitos a fim de verificar o nível SIL do
sistema:
• Requisito quantitativo, expresso como a
probabilidade de falha na demanda, PFD
(Probability of Failure on Demand).
• Requisito qualitativo, expresso em termos de
arquitetura (requisitos de redundância) dos
subsistemas
constituindo
função
de
segurança.
• Requisitos de técnicas e medições que
devem ser usadas para evitar e controlar
falhas sistemáticas.
Metodologia para cálculo de PFD conforme
IEC 61508/511:
Os parâmetros utilizados para o cálculo são:
• λ: taxa total de falha (retirado da fonte
OREDA)
• τ: intervalo de teste, de acordo com a filosofia
operacional
A taxa de falha insegura (λD) usada no cálculo
de PFD, é calculada com base na taxa de
falha total (λ) e a fração de falha segura (sff).
Entretanto, as falhas inseguras detectadas
também são incluídas aqui, uma vez que
banco de dados de falhas subsea relevantes
não diferenciam entre detectada e não
detectada. Isso faz a estimativa ser
conservativa. Com o objetivo de determinar a
taxa de falhas inseguras, a taxa de falhas
críticas (λcrit) deve ser calculada.
Falhas críticas são definidas como falhas que
poderiam conduzir à perda da função da
segurança.
Falhas inseguras são aquelas que podem ser
detectadas por teste de diagnóstico e aquelas
não podem detectadas. No cálculo das falhas
inseguras são registrados o número de falhas
com modo de falha definido como inseguro.
Cada modo de falha do equipamento em
questão tem que ser categorizado como
“seguro” ou “inseguro” com base no seu efeito
no sistema/componente.
gerenciamento da filosofia do risco. A redução
do risco fornecida pelo HIPPS é equivalente à
probabilidade da falha na demanda atribuível a
todos os dispositivos de HIPPS desde o
sensor e através da lógica de resolução até os
elementos finais. A relação entre SIL e
probabilidade de falha na demanda (PFD) é
mostrada na tabela abaixo:
A taxa de falha crítica pode ser calculada por:
Tabela 01 – Relação entre SIL e PFD
λ crit
O SIL estabelece a performance mínima
requerida para o HIPPS. O SIL é afetado pelos
seguintes itens:
a) Integridade do dispositivo determinada pela
taxa de falhas documentadas e sustentáveis.
b) Redundância e votação usando dispositivos
múltiplos para assegurar a tolerância à falha.
c) Teste funcional em intervalos específicos
para determinar que o dispositivo possa atingir
a condição segura de falhas.
d) Verificar diagnósticos usando os métodos
automáticos ou em tempo real (online) para
detetar a falha do dispositivo.
e) E outras causas comuns incluindo aquelas
relacionadas aos dispositivos, projeto, falhas
sistemáticas e erro humano.
= λ . #Critical failures
#Failures recorded
E a taxa de falha para falhas inseguras pode
ser calculada por:
λD
= λcrit . (1 - sff )
É possível incluir a categoria de falha “falhas
sistemáticas” no cálculo. A probabilidade de
falhas sistêmicas é então adicionada no PFD
como a probabilidade de falha sistemática,
PSF (Probability of Systematic Failure).
Falhas de causa comum são incluídas onde
relevante com base nas considerações de
projeto.
A probabilidade de falha na demanda (PFD) é
dada por:
PFD = (ζ . λD)/2 + (ζ . λCommonCause)/2 + (PSF)
O PFD total do Sistema deve ser calculado
com base no PFD do componente e através
do diagrama de blocos de confiabilidade para
o sistema, de acordo com a IEC 61508-6.
O processo de SIL requer verificação do
projeto por terceira parte durante a fase de
desenvolvimento.
6.1 RELAÇÃO ENTRE SIL E PFD
O SIS está relacionado com o nível de
integridade de segurança (SIL – safety
integrity level) como uma medida de
performance primária. O SIL deve ser
atribuído pelo usuário com base na redução
do risco necessária para conseguir a
tolerância
de
risco
do
usuário.
É
responsabilidade do usuário assegurar a
atribuição do SIL consistente e apropriado,
estabelecendo uma tolerância de risco e o
Em virtude dos critérios usados para
estabelecer o SIL afetarem o ciclo de vida do
HIPPS inteiro, o SIL é um referencial para o
projeto de HIPPS.
7 ESPECIFICAÇÃO DOS REQUISITOS DE
SEGURANÇA
A especificação de requisitos de segurança
(SRS – Safety Requirement Specification)
deve ser desenvolvida para listar cada cenário
de sobrepressão que será considerado usando
HIPPS. O SRS descreve como e sob que
circunstâncias o SIS abrandará cada cenário
de sobrepressão, incluindo a descrição
funcional da lógica com os setpoints definidos
e estado do dispositivo à prova de falhas.
Somente aqueles cenários que podem com
sucesso ser abrandados pelo SIS podem ser
consideradas para os cálculos de condição
segura para evitar a sobrepressão. Ao
especificar o desempenho do processo do
HIPPS, a dinâmica do processo deve ser
avaliada para assegurar que o tempo de
resposta de HIPPS seja o suficiente para
impedir a sobrepressão do sistema que se
deseja proteger. O tempo de resposta deve ser
avaliado considerando o tempo desde o
momento em que é detectada a condição de
processo
indesejável,
o
tempo
de
processamento do agente de resolução da
lógica e até a iniciação do elemento final.
Em adição aos requisitos funcionais de
segurança, o SRS também inclui a
documentação dos requisitos de integridade
de segurança, incluindo o SIL e a freqüência
de teste antecipada. Pelo menos, o alvo SIL
para o HIPPS deve ser equivalente ao
desempenho de um dispositivo de alívio de
pressão. O SRS também deve especificar
exatamente como o HIPPS será configurado
para atingir o alvo SIL.
Os requisitos de elevada disponibilidade para
HIPPS conduzem as escolhas feitas a
respeito da integridade do dispositivo, da
diversidade, da redundância, da votação, das
causas comuns de falha, dos requisitos de
diagnóstico e da freqüência de teste adotada.
8 ARQUITETURA E INTEGRIDADE DO
DISPOSITIVO
É importante reconhecer que o HIPPS inclui
todos os dispositivos exigidos para alcançar a
condição à prova de falhas desejada para o
processo. O HIPPS inclui o loop de
instrumentação, considerando os sensores, o
agente de resolução da lógica e os elementos
finais, junto com outros dispositivos exigidos
para o funcionamento bem sucedido do SIS,
tais como as interfaces do SIS, comunicação,
e fontes de alimentação.
Agente de resolução da lógica:
O hardware do agente de resolução da lógica
deve ser projetado para atender ao SIL
desejável, conforme previsto pela Norma IEC
61508. O agente de resolução da lógica pode
ser sistemas eletrônicos programáveis (PES).
A redundância de trajetos do sinal e do
processamento da lógica é desejável e a
função de saída deve ser configurada de
forma a desenergizar a saída.
ANSI/ISA S84.01-1996, o IEC 61508, e o IEC
61511 determinam que a lógica da segurança
seja independente da lógica do Sistema de
Controle do processo básico. Do ponto de
vista do software, a independência também
reduz a possibilidade que as mudanças
inadvertidas à funcionalidade da segurança
de HIPPS poderiam ocorrer durante a
modificação do controle do processo básico.
Diagnóstico:
Diagnóstico é uma ferramenta que deve ser
considerada na filosofia do HIPPS. A
capacidade de detetar on line as falhas dos
dispositivos melhora significativamente a
disponibilidade do HIPPS. Por exemplo, o uso
da comparação do sinal em entradas
analógicas permite o aviso de falhas do
transmissor ao operador. A redução dos riscos
associada
ao
diagnóstico
implica
na
elaboração de procedimentos operacionais
que relacionem ações a serem tomadas pela
operação em caso de falhas/alarmes
registrados pelo diagnóstico dos dispositivos
do HIPPS.
Procedimentos de manutenção também
precisam ser elaborados com alta prioridade
para os dispositivos do HIPPS.
Frequência de Teste:
O teste deve ser executado com o objetivo de
descobrir a disponibilidade dos dispositivos do
Sistema HIPPS, identificando possíveis falhas
nos mesmos, antes que eles precisem ser
atuados pela situação real. O principal objetivo
é assegurar que o Sistema estará operacional
no momento em que ele precisar atuar. A
arquitetura, a redundância, e a integridade do
dispositivo têm um efeito significativo na
probabilidade da falha por demanda e
conseqüentemente
em
requisitos
da
freqüência do teste. Para determinar a
freqüência requerida do teste, a avaliação de
risco quantitativa é a aproximação aceitada
pela maioria dos usuários. Em geral, todos os
componentes do HIPPS exigem uma
freqüência do teste na escala de 3 a 12
meses. A previsão de testes online e offline
deve ser considerada para permitir que cada
dispositivo
tenha
sua
funcionalidade
completamente testada. Desta forma, em um
sistema de produção, este intervalo de teste
requer a interrupção da produção para a
verificação da funcionalidade dos dispositivos
do Sistema do HIPPS.
9 ESTUDO DE CASO - FILOSOFIA HIPPS
NO CAMPO DE MEXILHÃO
O campo de Mexilhão é composto por oito
poços de produção de gás que direcionam a
sua produção para um manifold de produção
dividido em duas estruturas. Este manifold
desemboca a produção em dutos de
escoamento diretamente para a Plataforma de
produção (UEP). A figura abaixo mostra o
layout do campo.
Portanto, o Sistema considerado neste estudo
é composto por oito ANMs que produzem gas
para um manifold dividido em duas estruturas.
O manifold possui quatro sensores em cada
um dos dois headers principais de produção e
possui um módulo de controle subsea (SCM)
controlando dois módulos de produção deste
manifold, resultando num total de quatro SCMs
no manifold de produção. Cada ANM possui
um SCM e um módulo de votação com três
sensores de pressão.
Figura 9 – Layout do Campo de Mexilhão
Os dutos de escoamento entre o manifold e a
UEP não estão dimensionados para a máxima
pressão de shut in dos poços (560 bara).
Além disso, há também o risco de bloqueio
por hidrato, devido às condições de alta
pressão e alta temperatura do campo.
Desta forma, com o intuito de implementar
uma lógica de proteção para garantia de
escoamento de injeção de MEG para evitar
formação de hidrato e, também, para a
proteção do duto entre manifold e UEP de
sobre-pressão, o campo de Mexilhão terá um
Sistema de Controle que contemplará uma
arquitetura semelhante a um sistema HIPPS.
Este sistema deve atender ao requisito para o
valor de probabilidade de falha por demanda,
PFD menor que 10-3 ( PFD <= 10-3) e deve
atender ao intervalo de teste de 1 ano.
Figura 10 – Filosofia HIPPS para Mexilhão
HIPPS XT HIPPS Manifold
O Sistema de Controle submarino deverá
possuir uma lógica de proteção, similar ao
HIPPS, em cada SCM, para garantir que a
pressão de escoamento não exceda a
máxima pressão de trabalho dos dutos (210
bara). Esta lógica utilizada nos SCM’s
instalados no manifold é a mesma utilizada
nos SCM’s instalados nas ANM’s permitindo
que os SCM’s sejam padronizados.
O Sistema possui duas camadas de proteção
para atender a filosofia HIPPS: uma nas ANMs
e outra no manifold de produção.
A arquitetura da ANM é composta por:
• sensores de pressão para votação 2oo3
• módulo de controle submarino com módulo
de eletrônica dedicado para atuação do trigger
subsea contra sobre-pressão
• válvulas gaveta subsea
A arquitetura do Manifold é composta por:
• sensores de pressão nos dois headers
principais de produção, sem fazer votação.
• módulo de controle submarino com módulo
de eletrônica dedicado para atuação do trigger
subsea contra sobre-pressão
• válvulas gaveta subsea
Para atender a lógica de garantia da
integridade dos dutos desse campo e garantia
de escoamento, a filosofia do Sistema de
Controle será modificada passando a
depender de ação localizada (subsea) atuada
na possibilidade do valor da pressão
monitorada ultrapassar o limite estabelecido ou
na falta de qualquer um dos suprimentos
(elétrico ou hidráulico). Essa ação localizada
será realizada através de um SIS (Safety
Instrumented Systems) e os riscos envolvidos
com proteção de sobre pressões resultam na
necessidade de adotarmos filosofia de controle
semelhante a um HIPPS (High Integrity
Pressure Protection Systems).
O Sistema de Controle deve prever uma lógica
de programação para atuação de válvulas em
cada um dos Módulos de Gás do manifold
assim como em válvulas da ANM, a partir da
avaliação dos valores
das pressões,
monitoradas em tempo real. A figura abaixo
mostra o fluxograma de interface entre o
manifold e a ANM.
Figura 11 – Manifold de Mexilhão com
arquitetura de HIPPS
A Arquitetura do Sistema de Controle para
proteção contra o risco de bloqueio por
hidrato e barreiras de segurança dos dutos de
coleta (filosofia de um HIPPS – High Integrity
Pressure Protection Systems), deve ser a
seguinte:
a) Cada ANM possui módulo de controle
(SCM)
dedicado
que
disponibiliza
o
acionamento das funções hidráulicas da ANM,
monitoração dos sensores da ANM e a lógica
de garantia de escoamento.
b) O acionamento das funções hidráulicas da
ANM será feito pela MCS (superfície) que
energizará a respectiva DCV (Directional
Control Valve), localizada no SCM, que
permite a energização ou alívio da
capacitância hidráulica responsável pela
movimentação das válvulas (abre/fecha) ou
choke na ANM.
c) Cada um dos quatro SCM’s instalados no
manifold (dividido em duas estruturas) será
responsável pelo alinhamento de dois poços,
pelas funções hidráulicas e monitoração dos
sensores do manifold e pela lógica da barreira
de segurança dos dutos de coleta.
No que se refere ao risco de bloqueio por
hidrato, a continuidade do escoamento é
garantida pela injeção contínua de MEG
(Mono Etileno Glicol), que será injetada na
ANM, a jusante do choke, na vazão
necessária para evitar o bloqueio até a
pressão de 190 bara. A filosofia de controle
para de garantia de escoamento com injeção
de MEG, deve adotar as seguintes premissas:
a) O controle da injeção de MEG será feito
pelo MCS (superfície) em conjunto com as
válvulas dosadoras de MEG do manifold e da
ANM.
b) Caso a pressão de escoamento atinja 160
bara confirmado por uma lógica 2oo3, as
válvulas M1 (Master 1) e W1 (Wing 1) da ANM
deverão fechar, interrompendo o fluxo do
poço. Após ocorrer o fechamento das válvulas
pela lógica de votação, o Sistema de Controle
deverá desabilitar a possibilidade de abrir
essas válvulas até que o operador efetue o
comando de reset após o reconhecimento da
anomalia.
c) Durante as falhas de comunicação entre as
MCS’s e os SCM’s, a injeção de MEG deve
permanecer
sem
nenhuma
alteração,
considerando a mesma condição que estava
anteriormente à falha de comunicação. A
lógica de votação para garantia de
escoamento deve permanecer funcional.
d) Durante o tempo que ocorrerem falhas de
alimentação elétrica das MCS’s para os
SCM’s, o Sistema de Controle deverá parar a
produção, fechando as válvulas M1 (Master 1)
e W1 (Wing 1) da ANM, para impedir o
bloqueio causado pela formação de hidrato.
Após ocorrer o fechamento das válvulas pela
falha de alimentação elétrica, o Sistema de
Controle deverá desabilitar a possibilidade de
abrir essas válvulas até que o operador efetue
o comando de reset após o reconhecimento da
anomalia.
A figura abaixo mostra a arquitetura do
sistema HIPPS a ser implementada no
manifold de produção de gás.
Figura 12 – Manifold de Mexilhão com
arquitetura de HIPPS
A semelhança do sistema HIPPS para a
arquitetura do HIPPS para as ANMs e o
Manifold de Mexilhão corresponde a um
sistema autônomo para execução de
shutdown subsea através dos seguintes
subsistemas:
• Medição de pressão: através do módulo de
votação com três sensores de pressão na
ANM, para votação 2oo3 e através de sensor
de pressão em cada um dos dois headers de
produção do manifold, neste caso, sem
realizar a votação.
• Trigger de shutdown subsea: lógica
autônoma a ser realizada por módulo
eletrônico dentro do módulo de controle
subsea da ANM e do Manifold.
• Válvula subsea: são as válvulas de
alinhamento de produção dos poços no
manifold e as válvulas da ANM, válvula wing e
válvula master. Estas válvulas são válvulas
gavetas e não possuem o recurso de
fechamento rápido.
A figura abaixo mostra os principais
elementos da filosofia HIPPS atuando no
sistema autônomo do campo de Mexilhão.
Figura 13 – Principais Elementos de HIPPS
para Mexilhão
10 CONCLUSÃO
A finalidade do HIPPS é diminuir o range de
pressão de operação nos pipeline e linhas de
processo para reduzir custos de fabricação e
instalação, de forma a implementar um
sistema de segurança para atingir tal objetivo,
através de lógicas de controle subsea que
sejam autônomas. A dinâmica do processo
deve ser avaliada para assegurar que o tempo
de resposta de HIPPS seja o suficiente para
impedir a sobre-pressão do sistema que se
deseja proteger. O Sistema HIPPS deve ter
alta confiabilidade, a qual está representada
pelo nível de integridade de segurança (SIL)
ou pela probabilidade de falha na demanda
(PFD).
Entretanto, a filosofia de HIPPS pode ser
utilizada sem que sejam implementados na
sua íntegra todos os componentes da
arquitetura de um HIPPS, desde que o
sistema atenda os requisitos mínimos de
sistema autônomo e também aos requisitos
de SIL ou de PFD. Este é, por exemplo, o
caso de Mexilhão, que não utilizará válvulas
de fechamento rápido, mas implementará os
outros elementos da arquitetura do HIPPS,
garantindo a implementação de um SIS que
atenda ao PFD exigido no projeto. Portanto,
este será um sistema de segurança, mas não
exige a certificação de um SIL.
ABREVIATURAS
ANSI - American National Standards Institute
API - American Petroleum Institute
ASME - American Society of Mechanical
Engineers
BPCS - Basic Process Control System
CCF - Common Cause Failure
CIV - Chemical Injection Valve
CPU - Central Processing Unit
DCV - Directional Control Valve
DHSV - Downhole Safety Valve
EPU - Electric Power Unit
ESD - Emergency Shutdown
ESV - Emergency Shutdown Valve
HIPPS - High Integrity Pressure Protection
Systems
HAZOP - Hazard and Operability study
HFTL - Hardware Fault Tolerance
HPU - Hydraulic Power Unit
HSE - Health, Safety and Environment
IEC
International
Electrotechnical
Commission
ISA - Instrumentation, Systems, Automation
Society
MCS – Master Control Station
OREDA - Offshore Reliability Data
PES - Programmable Electronic System
PLC - Programmable Logic Controller
PCS - Process Control System
PFD - Probability of Failure on Demand
PSF - Probability of Systematic Failure
PT - Pressure Transmitter
PMV - Production Master Valves
PWV - Production Wing Valve
RBD - Reliability Block Diagram
SFF - Safe Failure Fraction
SIF - Safety Instrumented Function
SIL - Safety Integrity Level
SIS - Safety Instrumented System
SRS - Safety Requirement Specification
BIBLIOGRAFIA
“Safety Instrumented Systems (SIS)—Safety
Integrity Level (SIL) Evaluation Techniques,”
ISA dTR84.0.02, Draft, Version 4, March 1998.
IEC61511 – Functional Safety: Safety
Instrumented Systems for the Process Industry
Sector
IEC61508
–
Functional
Safety
of
Electrical/Electronic/Programmable Electronic
Safety – Related Systems
ISO10418, 2003 – Petroleum and Natural Gas
Industries – Offshore Production Installations –
Basic Surface Process Safety Systems
API RP 14C – Recommended Practice for
Analysis, Design, Installation and Testing of
Basic Surface Safety Systems for Offshore
Production Platforms
PDS Method, 2003 – Reliability Prediction
Method for Safety Instrumented Systems
SINTEF Report STF38A02420
Development and Approval of High Integrity
Pressure Protection Systems (HIPPS) for
Application in the Gulf of Mexico – Proceeding
of IOPF2006-001 – 2006 Fall Conference of
the ASME, Houston
P-001 Norsok HIPPS, 1999
Application of IEC61508 and IEC61511 in the
Norwegian Petroleum Industry
SDS0000020102 – HIPPS Subsea Control
System, 2005, FMC Document
ET - 3926.00 – 1500 – 800 – PSE – 001 – A ,
Especificação Técnica do Sistema de Controle
Submarino Multiplexado do Sistema de
Produção Submarino de Mexilhão, 2005 –
Documento Petrobras
DE-3926.00-1500-944-PSA-022, Esquema do
Sistema Submarino de Mexilhão, Documento
Petrobras