xxii congresso nacional de transportes marítimos e
Transcrição
xxii congresso nacional de transportes marítimos e
22º CONGRESSO NACIONAL DE TRANSPORTE AQUAVIÁRIO, CONSTRUÇÃO NAVAL E OFFSHORE - SOBENA 2008 FILOSOFIA DE HIPPS PARA APLICAÇÃO OFFSHORE E O ESTUDO DE CASO DESTA FILOSOFIA NO CAMPO DE MEXILHÃO Sandra Machado Pereira da Silva – Subsea Engineering Manager – Controls – [email protected] José Marcio do Amaral Vasconcelos – EP&COPPE/UFRJ – [email protected] Severino Fonseca da Silva Neto – EP&COPPE/UFRJ – [email protected] RESUMO HIPPS são Sistemas Instrumentados de Segurança (SIS) para isolar linhas e pipeleines de condições de sobre-pressão. Os sistemas de HIPPS são uma importante ferramenta para sistemas de pipeline de alta pressão/alta temperatura (HP/HT). Os pipelines e as linhas de processo são geralmente projetados para suportar a pressão mais alta previsível na produção. Tipicamente, esta seria a pressão máxima do poço (shut-in pressure). O pipeline a jusante do HIPPS pode ser projetado para pressões bem menores que a pressão de shut-in do poço, com o objetivo de se trabalhar com paredes menos espessas para o pipeline o que acarreta uma grande redução de custo de projeto. HIPPS é um Sistema de Controle autônomo que monitora a pressão em árvores de natal (ANMs), manifolds ou linhas de processo de equipamentos de HP/HT e fecha automaticamente a válvula do Sistema quando o transiente de pressão atinje o limite pré-definido. A finalidade do HIPPS é diminuir o range de pressão de operação nos pipeline e linhas de processo para reduzir custos de fabricação e instalação. Além disso, tem como objetivo manter a pressão do projeto do pipeline abaixo das pressões parciais do projeto na verificação de H2S e de CO2, que forçaria de outra maneira o uso de materiais de liga resistentes à corrosão na tubulação. O Sistema HIPPS deve atender a altos níveis de confiabilidade, na qual esta deve ser representada pelo nível de integridade de segurança (Safety Integrity Level, SIL) ou pela probabilidade de falha na demanda (Probability of Failure on Demand, PFD). 1 INTRODUÇÃO Esse trabalho tem como objetivo abordar sobre a filosofia HIPPS (High Integrity Pressure Protection System) para aplicação offshore e o estudo de caso desta filosofia para o Campo de Mexilhão da Petrobras, na Bacia de Santos. HIPPS é um sistema de segurança de controle do tipo SIS (Safety Integrity System) de forma a garantir que a pressão de escoamento não exceda a máxima pressão de trabalho dos dutos de escoamento que podem estar ligados a manifolds de produção subsea, em caso de aplicação offshore. Este trabalho abordará assuntos de sistemas de controle, considerando as arquiteturas típicas para sistemas SIS com enfoque na filosofia HIPPS com lógica de controle de votação de sensores de pressão e sua integração com sistemas de controle de produção. 2 SISTEMAS HIPPS HIPPS são Sistemas Instrumentados de Segurança (SIS) para isolar linhas e pipeleines de condições de sobre-pressão. A condição de sobrepressão pode ser a montante (por exemplo, perda de controle do poço) ou a jusante (por exemplo, pelo fechamento inadvertido de válvulas, a formação de hidrato ou de outro tipo de bloqueio formado na linha de produção). Em caso de sobre-pressão, o HIPPS deve isolar a linha de produção (ou pipeline) ou o riser desta fonte de sobrepressão. Consequentemente, o pipeline a jusante pode atender a pressões mais baixas que a pressão de fechamento completo (pressão de shut-in, SIP) do poço a montante. O Sistema HIPPS deve atender a altos níveis de confiabilidade, na qual esta deve ser representada pelo nível de integridade de segurança (Safety Integrity Level, SIL) ou pela probabilidade de falha na demanda (Probability of Failure on Demand, PFD). Níveis SIL normalmente são compreendidos pela faixa de SIL1 até SIL4, correspondendo a um valor mais baixo de PFD. Quanto mais elevado o nível de SIL mais alto é o grau de integridade e disponibilidade, com redundância para tolerância a falha, comunicação remota, shutdown autônomo e testes regulares. Os benefícios do HIPPS incluem: • Pressão de superfície reduzida • Redução da espessura dos pipelines e risers • Redução de tempo de soldagem offshore • Permite o uso de pipelines projetados para pressões mais baixas Qualquer sistema SIS deve contemplar facilidades para permitir a execução efetiva de testes periódicos da funcionalidade do sistema. Sistemas subsea de HIPPS normalmente utilizam sistema de injeção de inibidores de hidrato para induzir pressão entre o HIPPS e a válvula de teste de forma a promover o fechamento da válvula pela execução do trigger do HIPPS. Antes de reinicializar a produção, a pressão a montante deverá ser aliviada e isto normalmente é feito pelas linhas de bypass das válvulas. A injeção de inibidor de hidrato provavelmente será necessária também durante a reinicialização da produção. Os sistemas de HIPPS são uma importante ferramenta para sistemas de pipeline de alta pressão/alta temperatura (HP/ HT). Os pipelines e as linhas de processo são geralmente projetados para suportar a pressão mais alta previsível na produção. Tipicamente, esta seria a pressão maxima do poço (shut-in pressure). Em projetos de HP/HT, a espessura de parede poderia ser de 1 1/2” de interno, para lidar com os esforços longitudinais na tubulação. Entretanto, há uma grande diferença entre a pressão máxima de projeto de poço (shut-in pressure) de um campo de HP/HT e a pressão do pipeline quando o poço está em produção. A pressão de fluxo permite uma avaliação mais econômica da espessura e da pressão de parede dos pipeline e das linhas de processo. O pipeline a jusante do HIPPS pode ser projetado para pressões bem menores que a pressão de shut-in do poço, com o objetivo de se trabalhar com paredes menos espessas para o pipeline o que acarreta uma grande redução de custo de projeto. Em alguns casos, o HIPPS exige a implementação de uma zona fortificada, pois se o Sistema de HIPPS falha e o pipeline continua a ser pressurizado, mesmo atingido o limite de pressão admissível, isto poderá eventualmente atingir a pressão de rompimento do pipeline. Para garantir que o pipeline não rompe imediatamente a jusante da localização do HIPPS uma seção fortificada (geralmente uma parte do pipeline com parede mais espessa de mesmo material e grau) pode ser implementada. Os principais direcionadores para isto são: • Quando se deseja assegurar que, em caso de falha do HIPPS, o trecho imediatamente a jusante do pipeline não vai romper numa área próxima a cabeça de poço ou ao manifold, onde a intervenção equipada pode ocorrer. • Se houver formação de hidrato a jusante da localização do HIPPS, isto pode acarretar um crescimento rápido da pressão (build-up pressure) de forma que não haja tempo suficiente para o HIPPS responder. A intervenção equipada no campo onde existe HIPPS instalado pode existir para perfuração de poços adjacentes, atividades de workover e atividades de intervenção com ROV, entre outras atividades. Desta forma, ações devem ser tomadas para remover a embarcação de superfície da posição antes que o pipeline alcance uma pressão em que é provável falhar. Sendo assim, a avaliação do requisito de SIL deve considerar o evento de perigo, probabilidade de risco para as pessoas na área e se há a necessidade de em algum momento remover as pessoas da área em caso do perigo causado pela falha do HIPPS. Se um projeto considera a possibilidade de formação de hidrato de forma razoavelmente perto a jusante do sistema de HIPPS, o sistema de HIPPS pode precisar ser atuado muito rapidamente ou uma zona fortificada poderia ser considerada no pipeline. Desta forma, simulações de processo devem ser executadas para determinar o equilíbrio entre o nível de fortificação / comprimento de fortificação / velocidade do fechamento da válvula. Poder-se-ia discutir que é altamente improvável que hidrato se forme imediatamente a jusante do HIPPS durante operações de estado estacionário normais porque as circunstâncias serão fora da região da formação do hidrato. Durante condições de startup e condições críticas, o metanol ou algum outro inibidor de hidrato deve então ser injetado. Cada projeto deve conseqüentemente avaliar sob que circunstância um hidrato ou um bloqueio poderiam ocorrer imediatamente a jusante do HIPPS. As figuras abaixo representam uma configuração típica de um trecho do pipeline onde é implementado o HIPPS, contemplando também uma zona fortificada. Figura 04 – Filosofia HIPPS Figura 01 – Configuração Típica de um Sistema HIPPS Figura 02 – HIPPS no pipeline entre Manifold e Riser A finalidade do HIPPS é diminuir o range de pressão de operação nos pipeline e linhas de processo para reduzir custos de fabricação e instalação. Além disso, tem como objetivo manter a pressão do projeto do pipeline abaixo das pressões parciais do projeto na verificação de H2S e de CO2, que forçaria de outra maneira o uso de materiais de liga resistentes à corrosão na tubulação. HIPPS são colocados próximo ou na fonte do poço (wellbores) de HP/HT e contém normalmente duas ou mais válvulas e três ou mais sensores da pressão para conseguir uma confiabilidade elevada com a redundância dos componentes. Estes monitoram os pontos da pressão causados pelo erro de operador, fechamento da válvula ou bloqueio inesperado, falhas de componentes do choke, ou pipeline obstruído por parafina ou hidrato. Todo o pipeline a montante da válvula de HIPPS deve ser projetado para atender ao range de pressão maxima do poço (shut-in pressure) do ambiente de HP/HT. Imediatamente à jusante é uma região do pipeline conhecida como a “zona fortificada”. É construído dentro do projeto do pipeline que é designado para uma pressão ligeiramente mais elevada do que o resto do pipeline. Figura 03 – HIPPS no pipeline entre ANM e Plataforma HIPPS é um Sistema de Controle autônomo que monitora a pressão em árvores de natal (ANMs), manifolds ou linhas de processo de equipamentos de HP/HT e fecha automaticamente a válvula do Sistema quando o transiente de pressão atinje o limite pré-definido. O Sistema HIPPS é composto basicamente pelos elementos iniciadores (transmissores de pressão), pelos controladores e pelos elementos finais (válvulas). A figura abaixo mostra um esquema típico dos elementos principais de Sistema de HIPPS. A taxa de pressão desta zona e o comprimento necessário estão amarrados ao máximo transiente de pressão de fluido no poço (wellbore) que pode alcançar antes que o HIPPS tenha tempo para detetar o desequilíbrio e para iniciar o fechamento. O restante do pipeline é designado para uma pressão de fluxo mais baixa. Embora a aplicação de HIPPS seja direta, o ambiente frio da água do mar combinado com as temperaturas mais altas da formação do hidrato de fluidos de HP/HT aumenta a probabilidade de formar um plugue de hidrato razoavelmente perto das árvores ou dos manifolds. Para evitar este risco, é necessária uma resposta extremamente rápida, precisando em geral de uma pressão relativamente baixa (apenas acima da pressão de fluxo) que ative o fechamento da válvula. A formação de hidrato e de parafina ocorre geralmente a alguma distância da fonte do poço de HP/HT, onde os efeitos de refrigeração são maiores. Entretanto, o HIPPS tem sido posicionado mais próximo da fonte potencial desses bloqueios, de forma a reduzir a pressão que deve detetar o problema. Outro desafio para o HIPPS é o desenvolvimento de válvulas de grande capacidade para atender a grandes nominais de pipeline. As válvulas HIPPS são projetadas geralmente com hastes superdimensionadas para aumentar a característica de fechamento rápido. Entretanto, uma haste maior significa um atuador de maior capacidade de pressão interna para abertura da válvula. Portanto, o desafio chave é projetar um atuador para a válvula que seja suficiente para abrir a válvula e que seja capaz de drenar o fluido de forma a permitir o mecanismo de fechamento rápido da válvula. Os atuadores hidráulicos de grande porte para válvulas subsea requerem grande quantidade (galões) de fluido para operar a válvula em um curso (stroke). O controle de HIPPS necessita de uma linha hidráulica de nominal aprox. 1” e válvulas de controle secundárias para permitir a rápida drenagem do fluido hidráulico do atuadror de forma a garantir o rápido fechamento da válvula. O tamanho e peso do hardware resultante para atender a estas características faz a instalação e conexão no pipeline e a recuperação e manutenção mais desafiante. Alternativa pode ser feita em relação a arquitetura do sistema de forma que algumas válvulas de segurança sejam posicionadas a jusante da ANM e válvulas da ANM sejam usadas como válvulas de segurança do sistema HIPPS. Neste caso, a válvula de HIPPS pode ter um tamanho menor, não precisando ficar no pipeline, que possui diâmetro de linha maior. Mais válvulas de HIPPS serão necessárias, uma para cada ANM. Figura 05 – Elementos Principais de um Sistema HIPPS O subsistema de medição de pressão é composto por um conjunto de sensores de pressão (três ou cinco sensores) para o mesmo ponto de medição de forma a ser usado como dado de entrada para o subsistema de trigger de shutdown subsea. Este, por sua vez, corresponde a uma lógica de controle subsea que deve ser executada por um microprocessador eletrônico redundante que deve estar presente no módulo de controle subsea. Este módulo deve ser recuperável indivudualmente. O resultado do trigger é a ação nas válvulas direcionais de controle do módulo de controle subsea, as quais são responsáveis pelo suprimento hidráulico das válvulas HIPPS de segurança, de fechamento rápido. Estas válvulas HIPPS de segurança são constituídas de válvulas Xover montadas em cada atuador das válvulas do manifold subsea que participem do Sistema HIPPS, de forma que o volume acima e abaixo do pistão seja interconectado. Uma vez que a válvula Xover é aberta, o fluido de controle no atuador é rapidamente transferido do lado “aberto” do pistão para o lado “fechado”, permitindo que a válvula HIPPS de segurança feche rapidamente. As válvulas HIPPS de segurança normalmente são constituídas de duas válvulas gavetas montadas em série no manifold subsea. 3 FUNCIONALIDADE DO HIPPS PARA APLICAÇÃO SUBSEA Sistema HIPPS deve ser um sistema autônomo para execução de shutdown subsea através dos seguintes subsistemas: • Medição de pressão • Trigger de shutdown subsea • Válvula subsea de fechamento rápido Figura 06 – Válvula subsea em um Sistema HIPPS Os transmissores de pressão, usados pelo trigger, devem ser equipados com eletrônica redundante de forma a permitir a conexão independente do sensor ao microprocessador redundante da eletrônica subsea. Cada eletrônica subsea responsável pelo trigger recebe suprimento elétrico através de condutores dedicados do umbilical de controle. O sinal de comunicação é superimposto no circuito de alimentação elétrica. O trigger é capaz de se comunicar com o equipamento de superfície (MCS – Master Control Station) e pode, desta forma, receber comandos para abertura e fechamento das válvulas HIPPS para a operação normal dessas válvulas, em caso de pressão do sistema abaixo do limite de sobre-pressão. Figura 07 – Sensores de Pressão em um Sistema HIPPS O trigger executa uma lógica de votação com os valores medidos pelos transmissores de pressão de forma a atuar nas DCVs (válvulas de controle instaladas dentro do módulo de controle submarino) sempre que dois ou mais sensores indiquem valores acima de um setpoint preestabelecido como valor de sobrepressão. A lógica de votação pode ser 2 de 3 (simbologia 2oo3), quando o conjunto de transmissores de pressão é composto por 3 sensores, ou pode ser 2 de 5 (simbologia 2oo5), quando o conjunto é composto por 5 sensores ao todo. No caso de configuração 2oo3 da lógica de votação, quando algum sensor entra em modo de falha, a votação se degrada para 1oo2. Já no caso de configuração 2oo5 da lógica de votação, esta degradação corresponderá à lógica 2oo4, 2oo3 e 1oo2, dependendo do número de sensores que estejam em falha. O resultado da lógica de votação realizada no trigger é o fechamento automático das válvulas de segurança do HIPPS. O operador deverá verificar a normalização da condição de pressão da linha para executar o comando de reset das válvulas de segurança de forma a habilitar a nova abertura das válvulas. Após o reset, o operador deverá executar o procedimento de abertura manual de cada válvula de segurança. As mesmas válvulas de segurança de HIPPS podem também ter a funcionalidade de alinhamento e, desta forma, podem ser comandadas pela operação. Entretanto, o trigger do HIPPS, proveniente da lógica subsea de votação é prioritário em relação a operação. Portanto, uma vez fechada a válvula HIPPS pelo trigger, o operador não pode mudar a posição da válvula até que a condição que ativou o trigger seja normalizada. A monitoração e controle de superfície do HIPPS são feitos através dos seguintes equipamentos de superfície: Estação de Controle de Superfície (MCS – Master Control Station), composta pela unidade de controle e pela unidade de suprimento de comunicação e alimentação elétrica, além da unidade de potência hidráulica (HPU – Hydraulic Power Unit), as caixas de junção elétrica e hidráulica para o umbilical de controle e o próprio umbilical. O manifold submarino contém a parte subsea do HIPPS, constituído pelos jumpers elétricos e hidráulicos, o módulo de controle submarino, as válvulas gaveta de segurança e os transmissores de pressão. O módulo de controle submarino (SCM) contém a eletrônica com o trigger em uma atmosfera de nitrogênio e contém também os componentes hidráulicos, envoltos por fluido dielétrico, que fazem parte do circuito do HIPPS. As válvulas DCVs associadas às funções de segurança devem ser continuamente energizadas eletricamente de forma que sejam fechadas em caso de falha de suprimento elétrico. Isto assegura que, em caso de falha de cabos elétricos do umbilical de controle, as válvulas gaveta de segurança serão fechadas, pois as DCVs (internas ao SCM) serão fechadas uma vez que as solenóides destas válvulas não estarão mais energizadas. Em caso de falha de suprimento hidráulico, as válvulas gaveta de segurança também serão fechadas, pois o piloto das válvulas DCV depende do constante suprimento hidráulico para permitir que a válvula fique em posição de aberta. As válvulas gaveta HIPPS de segurança devem ser do tipo “fail closed”. A figura abaixo mostra o esquema de uma válvula gaveta projetada para este propósito. Este intervalo de tempo para execução do teste do Sistema HIPPS interfere no cálculo da confiabilidade do Sistema e deve ser definido na fase de projeto. Os sistemas de HIPPS têm sido projetados para atender a um alto grau de confiabilidade com nível de SIL3 conforme requisitos das Normas IEC 61508/61511. 4 INTERFACE DE SISTEMA DE CONTROLE COM O HIPPS Figura 08 – Esquemático de uma válvula HIPPS subsea A característica “pressão para fechamento” da porta ativa reversa da válvula foi utilizada para suprimir a mola. Este princípio está baseado na força resultante que age na gaveta como resultado da conexão da haste da gaveta. A força de fechamento é diretamente proporcional a pressão de fluido na cavidade da gaveta e o diâmetro da haste da gaveta. O fluido de processo fornece assim a energia para conduzir a válvula ao rápido fechamento. A interface para a operação deve fazer parte do Sistema de Controle do processo, na MCS. Uma tela dedicada para o Sistema HIPPS deve disponibilizar os dois modos de operação do HIPPS: modo autônomo ou automático e modo de teste. No modo automático, deve funcionar como sistema de segurança com um valor limite de pressão admissível para a continuidade da produção. Este limite de pressão é responsável pela atuação do trigger e deve ser um valor fixo e ajustado em fábrica de forma que não possa ser alterado uma vez que o sistema esteja em funcionamento. Ajustes necessários para este valor limite de pressão só devem ser feitos se o equipamento for retirado do fundo mar e levado para superfície, com a interrupção da produção. No modo de teste, o Sistema de HIPPS é testado funcionalmente com um limite de pressão de teste, inferior ao limite de pressão de produção, de forma que o trigger possa atuar e fechar as válvulas gaveta de segurança. Este teste deve ser realizado periodicamente para atestar o funcionamento do Sistema HIPPS com o objetivo de verificar a necessidade de intervenção para manutenção do sistema de forma preventiva. 4.1 UNIDADE DE CONTROLE DE SUPERFÍCIE (MCS) Com relação à parte de superfície, o software para monitoração e controle do sistema HIPPS deve ser realizado pela unidade de controle e monitoração de superfície, que é a MCS. As principais funções do MCS para o HIPPS são: • Operar o HIPPS em modo automático ou modo de teste • Aquisitar e disponibilizar os dados do SCM e da eletrônica do trigger • Aquisitar e disponibilizar os dados dos transmissores de pressão subsea • Aquisitar e disponibilizar os dados de housekeeping das eletrônicas subsea • Aquisitar e disponibilizar a condição de posição das válvulas de segurança • Permitir o controle pela operação das válvulas de segurança com finalidade de alinhamento • Monitorar e controlar as linhas redundantes de suprimento elétrico para o umbilical de controle • Disponibilizar o comando de reset das válvulas de segurança após a execução da lógica de votação pelo trigger • Disponibilizar as condições de alarme geradas pelo trigger • Permitir a operação do corte de emergência do suprimento elétrico para o umbilical de controle • Permitir que a alimentação elétrica subsea seja superimposta ao sinal de comunicação • Disponibilizar informações sobre a corrente e tensão de alimentação das linhas elétricas para o sistema subsea • Disponibilizar informações sobre o suprimento hidráulico para o sistema subsea 4.2 UNIDADE DE SUPRIMENTO HIDRÁULICO (HPU) A HPU é a unidade de suprimento hidráulico para o sistema subsea. Em caso de falha no suprimento hidráulico ou em caso de shutdown na Plataforma, a HPU corta o suprimento hidráulico e, desta forma o HIPPS é atuado de forma a fechar as válvulas de segurança subsea. A HPU faz interface de comunicação com a MCS de forma que esta possa disponibilizar, em telas de operação, as informações dos sensores de pressão e nível da unidade hidráulica, além de disponibilizar informações dos alarmes. 4.3 DISTRIBUIÇÃO ELÉTRICA SUBSEA A distribuição elétrica subsea deve distribuir as linhas elétricas de potência e comunicação de forma redundante para os módulos de controle subsea a partir da terminação subsea do umbilical de controle. Ela deve contemplar também as linhas elétricas para suprimento elétrico e aquisição de dados dos transmissores de pressão para o módulo de controle subsea. Essa distribuição deve ser feita de forma a permitir a configuração da redundância das eletrônicas dos sensores de pressão. Os jumpers elétricos devem ser preenchidos internamente com fluido dielétrico para atender a pressão da lâmina de água de projeto e devem conter conectores elétricos para operação por ROV. Dupla barreira deve ser prevista entre a água do mar e os condutores elétricos dos jumpers elétricos. Os jumpers elétricos devem ser instalados de tal forma que permita a sua recuperação para manutenção em caso de necessidade de intervenção subsea. 4.4 MÓDULO DE CONTROLE SUBSEA (SCM) As principais funções do SCM para o HIPPS são: • Receber o suprimento hidráulico redundante que é proveniente do umbilical de controle • Distribuir o fluido hidráulico para as DCVs que controlam as válvulas gaveta de segurança do HIPPS • Receber o suprimento elétrico redundante que é proveniente do umbilical de controle, através de conectores elétricos para interface com os jumpers elétricos. • Distribuir esta alimentação elétrica para a eletrônica redundante responsável pelo trigger do HIPPS • Fornecer o suprimento elétrico para os transmissores de pressão do Sistema HIPPS • Receber os valores medidos de pressão dos transmissores de pressão do Sistema HIPPS • Conter a eletrônica responsável pelo trigger do Sistema HIPPS 5 CÓDIGOS E NORMAS APLICÁVEIS A SISTEMAS HIPPS A Norma internacional IEC 61508, “Functional Safety of Electrical /Electronic /Programmable Electronic Safety Related Systems”, estabelece uma estrutura para o projeto dos sistemas instrumentados que são usados para abrandar riscos relacionados a segurança. A Norma dos Estados Unidos, ANSI/ISA S84.01-1996, “Application of Safety Instrumented Systems (SIS) for the Process Industry”, e a Norma internacional, IEC 51611, “Functional Safety: Safety Instrumented Systems for the Process Sector”, tem o objetivo de abordar aplicações de SIS em processos industriais. O objetivo dessas Normas é definir a avaliação, o projeto, a validação, e as exigências da documentação para SIS. Os processos de projeto embasados por estas Normas cobrem todos os aspetos do projeto compreendendo: avaliação de risco, projeto conceitual, projeto detalhado, operação, manutenção, e teste. Desde que HIPPS é um tipo de SIS, as exigências destes padrões, como pertencendo a cada aplicação específica de HIPPS, devem ser investigadas e aplicadas completamente. As Normas IEC61508 e IEC61511 especificam a probabilidade de falha por demanda (PFD Probability of Failure on Demand) e a tolerância de falha de hardware (HFT Hardware Fault Tolerance) que um Sistema deve demonstrar para alcançar todo o nível dado de desempenho de SIL. Os padrões do IEC também definem um ciclo de vida da segurança que é considerado para a verificação/validação de segurança relacionado às entradas e saídas em cada estágio do projeto, da execução, da instalação, e do comissionamento do SIS. O guia de OLF 70 fornece um sumário da aplicação de IEC61508 e de IEC61511 à industria de petroleo. A Norma internacional IEC61508 tem sido largamente aceita como a base para a especificação, o projeto e a operação dos sistemas providos segurança (SIS - Safety Instrumented Systems). Estas Normas definem uma aproximação baseada no risco para decidir o nível da segurança (SIL - Safety Integrity Level) para os sistemas que executam funções de segurança. IEC 61508 e 61511 são normas internacionais que relacionam requisitos para a especificação, projeto, instalação, operação e manutenção de sistemas instrumentados de segurança. Fornecedores e fabricantes de dispositivos de segurança devem geralmente seguir a IEC61508, enquanto que o projeto e o usuário do sistema deve geralmente seguir a IEC61511. O integrador de sistema teria que selecionar os componentes de HIPPS (isto é válvulas, sensores e controlador) que são validados de acordo com IEC 61508 ou demonstrados e documentados antes do uso. Os fornecedores de componentes têm que fornecer a informação de apoio (por exemplo, taxa de falhas do equipamento e fracções seguras da falha) e a documentação (por exemplo, certificados de SIL de uma organização reconhecida) ao integrador de sistema, para entrar no pacote total da validação para o HIPPS. A Norma API 14C é um documento de nível elevado que descreve os requisitos para sistemas de segurança que sejam usados em facilidades offshore. Os requisitos aplicam ao sistema total da segurança um pouco do que as exigências nos componentes dentro do sistema e não há nenhuma exigência formal para considerar e cumprir as exigências do nível de SIL. De qualquer modo há determinadas exigências na arquitetura da segurança que devem ser consideradas. Sob o aspecto da API 14C o projeto de sistemas de segurança deve ser baseado na filosofia que o sistema de segurança deve ser completamente separado do Sistema de Controle e que deve haver dois dispositivos de segurança (sistemas) diferenciados para proteger contra um evento indesejável, isto é, o sistema de HIPPS seria um destes dois sistemas. Os requisitos da API 14C podem ser atendidos através das seguintes tarefas: • A realização de um HAZOP para as várias opções de projeto durante a fase de estudo • Inclusão de uma Matriz de Causa & Efeito como relatório final • Procedimentos operacionais necessários para operações seguras identificadas durante a fase de estudo • Diagramas esquemáticos para os loops de controle e monitoração do HIPPS Especificações de sistemas instrumentados de segurança para instalações de produção offshore têm tradicionalmente usado a API 14C como referência. Esta premissa não considera exatamente o risco e desempenho que está baseada a IEC61511. Desta forma, a API RP 14C pode resultar em algumas funções de segurança desnecessárias, o que significa causas adicionais de paradas programadas desnecessárias da produção. As exigências para teste também são mais rigorosas para a maioria das funções quando comparadas com a IEC61511. Desta forma, uma proposta é que a API RP 14C, ou a ISO 10418, seja usada como base para o projeto inicial, e a IEC 61511 seja usada para a análise subseqüente das exigências da integridade, permitindo que algumas funções de segurança propostas sejam eliminadas. Isto exige maior esforço durante a fase de projeto e durante a fase de operação quando comparado com a utilização somente de API RP 14C. Entretanto, isto resulta em: 1) Integridade de segurança do SIS de acordo com a magnitude do risco que se deseja proteger, 2) Otimização dos esforços gastos para manutenção e teste durante a vida útil operacional, e 3) Perdas de produção reduzidas. 6 SIL ( SAFETY INTEGRITY LEVEL) Devem ser considerados os seguintes requisitos a fim de verificar o nível SIL do sistema: • Requisito quantitativo, expresso como a probabilidade de falha na demanda, PFD (Probability of Failure on Demand). • Requisito qualitativo, expresso em termos de arquitetura (requisitos de redundância) dos subsistemas constituindo função de segurança. • Requisitos de técnicas e medições que devem ser usadas para evitar e controlar falhas sistemáticas. Metodologia para cálculo de PFD conforme IEC 61508/511: Os parâmetros utilizados para o cálculo são: • λ: taxa total de falha (retirado da fonte OREDA) • τ: intervalo de teste, de acordo com a filosofia operacional A taxa de falha insegura (λD) usada no cálculo de PFD, é calculada com base na taxa de falha total (λ) e a fração de falha segura (sff). Entretanto, as falhas inseguras detectadas também são incluídas aqui, uma vez que banco de dados de falhas subsea relevantes não diferenciam entre detectada e não detectada. Isso faz a estimativa ser conservativa. Com o objetivo de determinar a taxa de falhas inseguras, a taxa de falhas críticas (λcrit) deve ser calculada. Falhas críticas são definidas como falhas que poderiam conduzir à perda da função da segurança. Falhas inseguras são aquelas que podem ser detectadas por teste de diagnóstico e aquelas não podem detectadas. No cálculo das falhas inseguras são registrados o número de falhas com modo de falha definido como inseguro. Cada modo de falha do equipamento em questão tem que ser categorizado como “seguro” ou “inseguro” com base no seu efeito no sistema/componente. gerenciamento da filosofia do risco. A redução do risco fornecida pelo HIPPS é equivalente à probabilidade da falha na demanda atribuível a todos os dispositivos de HIPPS desde o sensor e através da lógica de resolução até os elementos finais. A relação entre SIL e probabilidade de falha na demanda (PFD) é mostrada na tabela abaixo: A taxa de falha crítica pode ser calculada por: Tabela 01 – Relação entre SIL e PFD λ crit O SIL estabelece a performance mínima requerida para o HIPPS. O SIL é afetado pelos seguintes itens: a) Integridade do dispositivo determinada pela taxa de falhas documentadas e sustentáveis. b) Redundância e votação usando dispositivos múltiplos para assegurar a tolerância à falha. c) Teste funcional em intervalos específicos para determinar que o dispositivo possa atingir a condição segura de falhas. d) Verificar diagnósticos usando os métodos automáticos ou em tempo real (online) para detetar a falha do dispositivo. e) E outras causas comuns incluindo aquelas relacionadas aos dispositivos, projeto, falhas sistemáticas e erro humano. = λ . #Critical failures #Failures recorded E a taxa de falha para falhas inseguras pode ser calculada por: λD = λcrit . (1 - sff ) É possível incluir a categoria de falha “falhas sistemáticas” no cálculo. A probabilidade de falhas sistêmicas é então adicionada no PFD como a probabilidade de falha sistemática, PSF (Probability of Systematic Failure). Falhas de causa comum são incluídas onde relevante com base nas considerações de projeto. A probabilidade de falha na demanda (PFD) é dada por: PFD = (ζ . λD)/2 + (ζ . λCommonCause)/2 + (PSF) O PFD total do Sistema deve ser calculado com base no PFD do componente e através do diagrama de blocos de confiabilidade para o sistema, de acordo com a IEC 61508-6. O processo de SIL requer verificação do projeto por terceira parte durante a fase de desenvolvimento. 6.1 RELAÇÃO ENTRE SIL E PFD O SIS está relacionado com o nível de integridade de segurança (SIL – safety integrity level) como uma medida de performance primária. O SIL deve ser atribuído pelo usuário com base na redução do risco necessária para conseguir a tolerância de risco do usuário. É responsabilidade do usuário assegurar a atribuição do SIL consistente e apropriado, estabelecendo uma tolerância de risco e o Em virtude dos critérios usados para estabelecer o SIL afetarem o ciclo de vida do HIPPS inteiro, o SIL é um referencial para o projeto de HIPPS. 7 ESPECIFICAÇÃO DOS REQUISITOS DE SEGURANÇA A especificação de requisitos de segurança (SRS – Safety Requirement Specification) deve ser desenvolvida para listar cada cenário de sobrepressão que será considerado usando HIPPS. O SRS descreve como e sob que circunstâncias o SIS abrandará cada cenário de sobrepressão, incluindo a descrição funcional da lógica com os setpoints definidos e estado do dispositivo à prova de falhas. Somente aqueles cenários que podem com sucesso ser abrandados pelo SIS podem ser consideradas para os cálculos de condição segura para evitar a sobrepressão. Ao especificar o desempenho do processo do HIPPS, a dinâmica do processo deve ser avaliada para assegurar que o tempo de resposta de HIPPS seja o suficiente para impedir a sobrepressão do sistema que se deseja proteger. O tempo de resposta deve ser avaliado considerando o tempo desde o momento em que é detectada a condição de processo indesejável, o tempo de processamento do agente de resolução da lógica e até a iniciação do elemento final. Em adição aos requisitos funcionais de segurança, o SRS também inclui a documentação dos requisitos de integridade de segurança, incluindo o SIL e a freqüência de teste antecipada. Pelo menos, o alvo SIL para o HIPPS deve ser equivalente ao desempenho de um dispositivo de alívio de pressão. O SRS também deve especificar exatamente como o HIPPS será configurado para atingir o alvo SIL. Os requisitos de elevada disponibilidade para HIPPS conduzem as escolhas feitas a respeito da integridade do dispositivo, da diversidade, da redundância, da votação, das causas comuns de falha, dos requisitos de diagnóstico e da freqüência de teste adotada. 8 ARQUITETURA E INTEGRIDADE DO DISPOSITIVO É importante reconhecer que o HIPPS inclui todos os dispositivos exigidos para alcançar a condição à prova de falhas desejada para o processo. O HIPPS inclui o loop de instrumentação, considerando os sensores, o agente de resolução da lógica e os elementos finais, junto com outros dispositivos exigidos para o funcionamento bem sucedido do SIS, tais como as interfaces do SIS, comunicação, e fontes de alimentação. Agente de resolução da lógica: O hardware do agente de resolução da lógica deve ser projetado para atender ao SIL desejável, conforme previsto pela Norma IEC 61508. O agente de resolução da lógica pode ser sistemas eletrônicos programáveis (PES). A redundância de trajetos do sinal e do processamento da lógica é desejável e a função de saída deve ser configurada de forma a desenergizar a saída. ANSI/ISA S84.01-1996, o IEC 61508, e o IEC 61511 determinam que a lógica da segurança seja independente da lógica do Sistema de Controle do processo básico. Do ponto de vista do software, a independência também reduz a possibilidade que as mudanças inadvertidas à funcionalidade da segurança de HIPPS poderiam ocorrer durante a modificação do controle do processo básico. Diagnóstico: Diagnóstico é uma ferramenta que deve ser considerada na filosofia do HIPPS. A capacidade de detetar on line as falhas dos dispositivos melhora significativamente a disponibilidade do HIPPS. Por exemplo, o uso da comparação do sinal em entradas analógicas permite o aviso de falhas do transmissor ao operador. A redução dos riscos associada ao diagnóstico implica na elaboração de procedimentos operacionais que relacionem ações a serem tomadas pela operação em caso de falhas/alarmes registrados pelo diagnóstico dos dispositivos do HIPPS. Procedimentos de manutenção também precisam ser elaborados com alta prioridade para os dispositivos do HIPPS. Frequência de Teste: O teste deve ser executado com o objetivo de descobrir a disponibilidade dos dispositivos do Sistema HIPPS, identificando possíveis falhas nos mesmos, antes que eles precisem ser atuados pela situação real. O principal objetivo é assegurar que o Sistema estará operacional no momento em que ele precisar atuar. A arquitetura, a redundância, e a integridade do dispositivo têm um efeito significativo na probabilidade da falha por demanda e conseqüentemente em requisitos da freqüência do teste. Para determinar a freqüência requerida do teste, a avaliação de risco quantitativa é a aproximação aceitada pela maioria dos usuários. Em geral, todos os componentes do HIPPS exigem uma freqüência do teste na escala de 3 a 12 meses. A previsão de testes online e offline deve ser considerada para permitir que cada dispositivo tenha sua funcionalidade completamente testada. Desta forma, em um sistema de produção, este intervalo de teste requer a interrupção da produção para a verificação da funcionalidade dos dispositivos do Sistema do HIPPS. 9 ESTUDO DE CASO - FILOSOFIA HIPPS NO CAMPO DE MEXILHÃO O campo de Mexilhão é composto por oito poços de produção de gás que direcionam a sua produção para um manifold de produção dividido em duas estruturas. Este manifold desemboca a produção em dutos de escoamento diretamente para a Plataforma de produção (UEP). A figura abaixo mostra o layout do campo. Portanto, o Sistema considerado neste estudo é composto por oito ANMs que produzem gas para um manifold dividido em duas estruturas. O manifold possui quatro sensores em cada um dos dois headers principais de produção e possui um módulo de controle subsea (SCM) controlando dois módulos de produção deste manifold, resultando num total de quatro SCMs no manifold de produção. Cada ANM possui um SCM e um módulo de votação com três sensores de pressão. Figura 9 – Layout do Campo de Mexilhão Os dutos de escoamento entre o manifold e a UEP não estão dimensionados para a máxima pressão de shut in dos poços (560 bara). Além disso, há também o risco de bloqueio por hidrato, devido às condições de alta pressão e alta temperatura do campo. Desta forma, com o intuito de implementar uma lógica de proteção para garantia de escoamento de injeção de MEG para evitar formação de hidrato e, também, para a proteção do duto entre manifold e UEP de sobre-pressão, o campo de Mexilhão terá um Sistema de Controle que contemplará uma arquitetura semelhante a um sistema HIPPS. Este sistema deve atender ao requisito para o valor de probabilidade de falha por demanda, PFD menor que 10-3 ( PFD <= 10-3) e deve atender ao intervalo de teste de 1 ano. Figura 10 – Filosofia HIPPS para Mexilhão HIPPS XT HIPPS Manifold O Sistema de Controle submarino deverá possuir uma lógica de proteção, similar ao HIPPS, em cada SCM, para garantir que a pressão de escoamento não exceda a máxima pressão de trabalho dos dutos (210 bara). Esta lógica utilizada nos SCM’s instalados no manifold é a mesma utilizada nos SCM’s instalados nas ANM’s permitindo que os SCM’s sejam padronizados. O Sistema possui duas camadas de proteção para atender a filosofia HIPPS: uma nas ANMs e outra no manifold de produção. A arquitetura da ANM é composta por: • sensores de pressão para votação 2oo3 • módulo de controle submarino com módulo de eletrônica dedicado para atuação do trigger subsea contra sobre-pressão • válvulas gaveta subsea A arquitetura do Manifold é composta por: • sensores de pressão nos dois headers principais de produção, sem fazer votação. • módulo de controle submarino com módulo de eletrônica dedicado para atuação do trigger subsea contra sobre-pressão • válvulas gaveta subsea Para atender a lógica de garantia da integridade dos dutos desse campo e garantia de escoamento, a filosofia do Sistema de Controle será modificada passando a depender de ação localizada (subsea) atuada na possibilidade do valor da pressão monitorada ultrapassar o limite estabelecido ou na falta de qualquer um dos suprimentos (elétrico ou hidráulico). Essa ação localizada será realizada através de um SIS (Safety Instrumented Systems) e os riscos envolvidos com proteção de sobre pressões resultam na necessidade de adotarmos filosofia de controle semelhante a um HIPPS (High Integrity Pressure Protection Systems). O Sistema de Controle deve prever uma lógica de programação para atuação de válvulas em cada um dos Módulos de Gás do manifold assim como em válvulas da ANM, a partir da avaliação dos valores das pressões, monitoradas em tempo real. A figura abaixo mostra o fluxograma de interface entre o manifold e a ANM. Figura 11 – Manifold de Mexilhão com arquitetura de HIPPS A Arquitetura do Sistema de Controle para proteção contra o risco de bloqueio por hidrato e barreiras de segurança dos dutos de coleta (filosofia de um HIPPS – High Integrity Pressure Protection Systems), deve ser a seguinte: a) Cada ANM possui módulo de controle (SCM) dedicado que disponibiliza o acionamento das funções hidráulicas da ANM, monitoração dos sensores da ANM e a lógica de garantia de escoamento. b) O acionamento das funções hidráulicas da ANM será feito pela MCS (superfície) que energizará a respectiva DCV (Directional Control Valve), localizada no SCM, que permite a energização ou alívio da capacitância hidráulica responsável pela movimentação das válvulas (abre/fecha) ou choke na ANM. c) Cada um dos quatro SCM’s instalados no manifold (dividido em duas estruturas) será responsável pelo alinhamento de dois poços, pelas funções hidráulicas e monitoração dos sensores do manifold e pela lógica da barreira de segurança dos dutos de coleta. No que se refere ao risco de bloqueio por hidrato, a continuidade do escoamento é garantida pela injeção contínua de MEG (Mono Etileno Glicol), que será injetada na ANM, a jusante do choke, na vazão necessária para evitar o bloqueio até a pressão de 190 bara. A filosofia de controle para de garantia de escoamento com injeção de MEG, deve adotar as seguintes premissas: a) O controle da injeção de MEG será feito pelo MCS (superfície) em conjunto com as válvulas dosadoras de MEG do manifold e da ANM. b) Caso a pressão de escoamento atinja 160 bara confirmado por uma lógica 2oo3, as válvulas M1 (Master 1) e W1 (Wing 1) da ANM deverão fechar, interrompendo o fluxo do poço. Após ocorrer o fechamento das válvulas pela lógica de votação, o Sistema de Controle deverá desabilitar a possibilidade de abrir essas válvulas até que o operador efetue o comando de reset após o reconhecimento da anomalia. c) Durante as falhas de comunicação entre as MCS’s e os SCM’s, a injeção de MEG deve permanecer sem nenhuma alteração, considerando a mesma condição que estava anteriormente à falha de comunicação. A lógica de votação para garantia de escoamento deve permanecer funcional. d) Durante o tempo que ocorrerem falhas de alimentação elétrica das MCS’s para os SCM’s, o Sistema de Controle deverá parar a produção, fechando as válvulas M1 (Master 1) e W1 (Wing 1) da ANM, para impedir o bloqueio causado pela formação de hidrato. Após ocorrer o fechamento das válvulas pela falha de alimentação elétrica, o Sistema de Controle deverá desabilitar a possibilidade de abrir essas válvulas até que o operador efetue o comando de reset após o reconhecimento da anomalia. A figura abaixo mostra a arquitetura do sistema HIPPS a ser implementada no manifold de produção de gás. Figura 12 – Manifold de Mexilhão com arquitetura de HIPPS A semelhança do sistema HIPPS para a arquitetura do HIPPS para as ANMs e o Manifold de Mexilhão corresponde a um sistema autônomo para execução de shutdown subsea através dos seguintes subsistemas: • Medição de pressão: através do módulo de votação com três sensores de pressão na ANM, para votação 2oo3 e através de sensor de pressão em cada um dos dois headers de produção do manifold, neste caso, sem realizar a votação. • Trigger de shutdown subsea: lógica autônoma a ser realizada por módulo eletrônico dentro do módulo de controle subsea da ANM e do Manifold. • Válvula subsea: são as válvulas de alinhamento de produção dos poços no manifold e as válvulas da ANM, válvula wing e válvula master. Estas válvulas são válvulas gavetas e não possuem o recurso de fechamento rápido. A figura abaixo mostra os principais elementos da filosofia HIPPS atuando no sistema autônomo do campo de Mexilhão. Figura 13 – Principais Elementos de HIPPS para Mexilhão 10 CONCLUSÃO A finalidade do HIPPS é diminuir o range de pressão de operação nos pipeline e linhas de processo para reduzir custos de fabricação e instalação, de forma a implementar um sistema de segurança para atingir tal objetivo, através de lógicas de controle subsea que sejam autônomas. A dinâmica do processo deve ser avaliada para assegurar que o tempo de resposta de HIPPS seja o suficiente para impedir a sobre-pressão do sistema que se deseja proteger. O Sistema HIPPS deve ter alta confiabilidade, a qual está representada pelo nível de integridade de segurança (SIL) ou pela probabilidade de falha na demanda (PFD). Entretanto, a filosofia de HIPPS pode ser utilizada sem que sejam implementados na sua íntegra todos os componentes da arquitetura de um HIPPS, desde que o sistema atenda os requisitos mínimos de sistema autônomo e também aos requisitos de SIL ou de PFD. Este é, por exemplo, o caso de Mexilhão, que não utilizará válvulas de fechamento rápido, mas implementará os outros elementos da arquitetura do HIPPS, garantindo a implementação de um SIS que atenda ao PFD exigido no projeto. Portanto, este será um sistema de segurança, mas não exige a certificação de um SIL. ABREVIATURAS ANSI - American National Standards Institute API - American Petroleum Institute ASME - American Society of Mechanical Engineers BPCS - Basic Process Control System CCF - Common Cause Failure CIV - Chemical Injection Valve CPU - Central Processing Unit DCV - Directional Control Valve DHSV - Downhole Safety Valve EPU - Electric Power Unit ESD - Emergency Shutdown ESV - Emergency Shutdown Valve HIPPS - High Integrity Pressure Protection Systems HAZOP - Hazard and Operability study HFTL - Hardware Fault Tolerance HPU - Hydraulic Power Unit HSE - Health, Safety and Environment IEC International Electrotechnical Commission ISA - Instrumentation, Systems, Automation Society MCS – Master Control Station OREDA - Offshore Reliability Data PES - Programmable Electronic System PLC - Programmable Logic Controller PCS - Process Control System PFD - Probability of Failure on Demand PSF - Probability of Systematic Failure PT - Pressure Transmitter PMV - Production Master Valves PWV - Production Wing Valve RBD - Reliability Block Diagram SFF - Safe Failure Fraction SIF - Safety Instrumented Function SIL - Safety Integrity Level SIS - Safety Instrumented System SRS - Safety Requirement Specification BIBLIOGRAFIA “Safety Instrumented Systems (SIS)—Safety Integrity Level (SIL) Evaluation Techniques,” ISA dTR84.0.02, Draft, Version 4, March 1998. IEC61511 – Functional Safety: Safety Instrumented Systems for the Process Industry Sector IEC61508 – Functional Safety of Electrical/Electronic/Programmable Electronic Safety – Related Systems ISO10418, 2003 – Petroleum and Natural Gas Industries – Offshore Production Installations – Basic Surface Process Safety Systems API RP 14C – Recommended Practice for Analysis, Design, Installation and Testing of Basic Surface Safety Systems for Offshore Production Platforms PDS Method, 2003 – Reliability Prediction Method for Safety Instrumented Systems SINTEF Report STF38A02420 Development and Approval of High Integrity Pressure Protection Systems (HIPPS) for Application in the Gulf of Mexico – Proceeding of IOPF2006-001 – 2006 Fall Conference of the ASME, Houston P-001 Norsok HIPPS, 1999 Application of IEC61508 and IEC61511 in the Norwegian Petroleum Industry SDS0000020102 – HIPPS Subsea Control System, 2005, FMC Document ET - 3926.00 – 1500 – 800 – PSE – 001 – A , Especificação Técnica do Sistema de Controle Submarino Multiplexado do Sistema de Produção Submarino de Mexilhão, 2005 – Documento Petrobras DE-3926.00-1500-944-PSA-022, Esquema do Sistema Submarino de Mexilhão, Documento Petrobras