Man würde eigentlich annehmen, dass der Durchfluss – und damit der Umsatz – der entscheidende Parameter bei der Ölförderung ist. Es hat sich jedoch gezeigt, dass Druck der entscheidende Faktor ist. Hydrostatischer Druck, Formationsdruck, Überlagerungsdruck sowie Systemdruckverlust – die Ölbohrlochsteuerung ist zum überwiegenden Teil Drucksteuerung und immer sicherheitsrelevant.
Nicht nur direkt am Bohrloch, sondern auch für nachfolgende Anlagenteile, Pipelines oder Gasverteiler muss eine Überdruckabsicherung gewährleistet sein. Hipps werden installiert, um den Überdruckschutz für Anlagenteile im Bereich von Upstream und Downstream zu gewährleisten. Um Überdruckszenarien abzuwenden und die damit unter Umständen verbundenen Folgen zu minimieren, können Hipps zur Absperrung, Reduzierung oder Umleitung von Überdruckquellen eingesetzt werden. Schäden an der Ausrüstung oder das Austreten giftiger und umweltbelastender Flüssigkeiten oder Gase werden somit verhindert. Während ein klassisches Entlastungssystem darauf abzielt, jeglichen überschüssigen Zufluss abzuführen, stoppt ein Hipps den Zustrom von überschüssigen Flüssigkeiten und sorgt somit dafür, dass kein Überdruck entsteht. Der Einsatz eines Hipps kann auch dazu beitragen, die Wahrscheinlichkeit einer übermäßigen Belastung des vorhandenen konventionellen Druckentlastungssystems drastisch zu verringern. Hierdurch lassen sich hohe Kosten eliminieren, die mit der Anschaffung neuer Entlastungsvorrichtungen verbunden wären. Entsprechend lassen sich die eingesetzten Fackelsysteme wesentlich kleiner dimensionieren. Ganz allgemein trägt ein Hipps dazu bei, die Kosten aufgrund von Betriebsausfällen zu minimieren.
Die Zuverlässigkeit eines Überwachungssystems
Hipps ist ein Sicherheitssystem, das in Übereinstimmung mit den Normen IEC 61508 und IEC 61511 entwickelt und gebaut wird. Als sicherheitsgerichtete Funktion (Safety Instrumented Function – SIF) besteht es in der Regel aus Sensoren, einer Logikeinheit und Aktoren. Heutzutage sind die meisten Messumformer elektronisch. Ihre Aufgabe ist es, den unzulässigen Druck zu erkennen. Die Logikeinheit verarbeitet die Eingabe der Sensoren zu einer Ausgabe an die Aktoren, die die eigentlichen Korrekturmaßnahmen im Feld durchführen, indem sie den Prozess in einen sicheren Zustand überführen. Typischerweise sind drei Sensoren an die Logikeinheit angeschlossen, die so konfiguriert ist, dass eine 2oo3-Auswahl erfolgt. Diese Konfiguration wird für Hipps bevorzugt, da sie sowohl die Verfügbarkeit als auch die Zuverlässigkeit des Systems gewährleistet.
Aber wie kann man die Effektivität eines Überwachungssystems bewerten, das nur bei Anforderung eingreift und ansonsten inaktiv bleibt? Hier zeigt sich die Stärke der IEC 61511, die eine leistungsbasierte Norm und keine normative Vorschrift ist. Sie gibt an, wie Anforderungen festgelegt werden und wie die Effektivität von sicherheitstechnischen Funktionen über den gesamten Lebenszyklus der Anlage erreicht und aufrechterhalten werden kann. Sie definiert Leistungsniveaus als Größenordnungen, die auf erzielbarer Risikominderung basieren. Je nach Größe der Risikominimierung erfolgt die Einteilung in Sicherheits-Level bzw. Safety Integrity Level (SIL). Die Einstufung reicht von SIL 1 bis SIL 4 und erlaubt die quantitative Beurteilung von Systemen hinsichtlich der Zuverlässigkeit von Sicherheitsfunktionen. Für eine Anwendung wie z. B. Hipps, die auf Abruf bereitsteht, steht SIL in direktem Zusammenhang mit der durchschnittlich auftretenden Wahrscheinlichkeit eines Ausfalls bei Anforderung (probability of failure on demand – PFDavg). Je höher der SIL-Wert, desto höher ist die damit verbundene Sicherheitsstufe und desto geringer die Wahrscheinlichkeit, dass ein System bei Bedarf ausfällt.
Nun handelt es sich bei solchen Systemen nicht um statische Zustände: Im Laufe der Zeit ändern sich sowohl die Verfügbarkeit als auch die Ausfallwahrscheinlichkeit, was regelmäßige Gerätechecks, d. h. Inspektionen und Tests, erforderlich macht. Und das bedeutet einen nicht zu unterschätzenden Aufwand: Um die Leistungsfähigkeit eines SIF, beispielsweise von SIL 2 auf SIL 3, zu erhöhen, muss es zehnmal häufiger getestet werden, oder – da auch andere Designfaktoren wie Hardware-Fehlertoleranz (HFT) und systematische Fehler berücksichtigt werden müssen – das SIF muss so gestaltet werden, dass es zehnmal weniger gefährliche unentdeckte Ausfälle aufweist. Vor diesem Hintergrund ist es kaum verwunderlich, dass der Entwurf solcher SIFs bei steigenden Sicherheitsanforderungen schnell sehr kompliziert wird. Hinzu kommt noch, dass der Security-Aspekt zusätzlich zur funktionalen Sicherheit betrachtet werden muss.
Ein applikatives Beispiel
Wie bekommt man eine solche Komplexität in den Griff? Wie kann man ein sicheres System für ein Ölfeld einrichten, das normalerweise aus mehr als einer Bohrung besteht und bei dem neben Zuverlässigkeit auch Kosteneffizienz eine große Rolle spielt? Stellen Sie sich eine Anwendung vor, die aus einem Ölfeld mit neun Bohrlöchern besteht, die mit einer Durchflussstation verbunden sind, die das Rohöl so aufbereitet, dass die Verschwendung von Energie beim Pumpen unerwünschter Komponenten wie Wasser so weit wie möglich vermieden wird. Der Bohrlochdruck beträgt ca. 350 bar, sodass der Druck am Bohrturm durch ein Drosselventil auf einen beherrschbareren Bereich von knapp 20 bar reduziert werden muss. Um zu vermeiden, dass der Druck Downstream aufgrund von Verstopfungen oder Bedienfehlern auf den Wert des Bohrlochkopfes ansteigt, Dichtungen bersten und Rohöl und Gas unkontrolliert ausströmen, ist an jedem Bohrturm ein Hipps-Ventil installiert. Beide Hipps-Ventile (in 1oo2-Architektur) sperren bei Anforderung das Bohrloch ab und schützen somit die nachfolgende Pipeline und Anlagenteile. Darüber hinaus sollte das Sicherheitssystem noch weitere Aufgaben erfüllen: Steuerung und Schutz der Durchflussstation, insbesondere die Überwachung des Verteilers, des Abscheiders sowie der angeschlossenen Lagertanks. Insgesamt würden gut 250 E/A-Signale und weitere 100 Signale pro Bohrung zusammenkommen.
Die Lösung und deren Vorteile
Wie hoch schätzen Sie den Automatisierungsaufwand ein, der notwendig ist, um diese Anwendung sicher zu überwachen und zu betreiben? Tatsächlich ist dafür genau eine Simatic SIS compact in redundanter Ausführung erforderlich! Simatic SIS compact wurde von Siemens als eigenständiges Safety Instrumented System (SIS) auf Basis des Simatic-Produktportfolios konzipiert. Um sicherheitskritische Eingriffe zu erkennen, unterstützt das System das Syslog-Netzwerkprotokoll zur Übermittlung von Log-Meldungen. Zur Erfassung und Auswertung der chronologischen Abfolge von Ereignissen (Sequence of Events) dient die hochgenaue Zeitstempelung mit einer Auflösung von 5 ms. Für die komfortable Erstellung von norm- und sicherheitsgerichteten Funktionen ist SIS compact mit Simatic Safety Matrix kompatibel. Dieses TÜV-zertifizierte Safety Lifecycle Management Tool erlaubt das effiziente Engineering von Sicherheitsanwendungen bis SIL 3 nach IEC 61508 sowie deren einfache Bedienung und Überwachung. Betreiber können damit nicht nur sicher überwachen, dass Werte sich nicht außerhalb des sicheren Betriebsbereichs bewegen, sondern auch die Feldsignalqualität (z. B. maximale Hysterese) im Auge behalten.
Das Applikationsbeispiel mit dem zertifizierten Sicherheitssystem Simatic SIS compact bietet eine Lösung bis SIL 3 (abhängig vom SIF) und ein unabhängiges Leitsystem (mit zertifizierter Rückwirkungsfreiheit), das für Regelkreise wie eine Pumpensteuerung eingesetzt werden kann – alles in einem kompakten System. Die redundante Konfiguration ermöglicht eine hohe Zuverlässigkeit, da Redundanz nicht für die Sicherheitsleistung, sondern vielmehr für die Verfügbarkeit erforderlich ist.
Mit Simatic SIS compact können mit sehr einfachen Architekturen recht komplizierte Aufgaben auf sehr flexible Weise gelöst werden. Das Ergebnis ist eine einfach zu installierende Lösung, die leicht an spezifische Anforderungen angepasst werden kann. Es lassen sich auch Architekturen mit zwei Gruppen redundanter Controller aufbauen, je nach Anforderung. Darüber hinaus kann Simatic SIS compact auch in anderen Anwendungen verwendet werden, bei denen dann klassische und sicherheitsgerichtete Prozesssteuerung auf einem zertifizierten Controller laufen: z. B. als Burner Management System (BMS) für einzelne Brenner, in kleinen Reaktoren, Tanklagern. Außerdem wird die Kommunikation via Modbus/TCP zu jedem beliebigen DCS unterstützt.
Die Lösung mit Simatic SIS compact basiert auf dem Flexible-Modular-Redundancy-(FMR)-Konzept von Simatic PCS 7 Safety-Lösungen. Sie bietet die Möglichkeit eines kompakten integrierten Systems und einer Lösung mit getrenntem Sicherheitssystem und DCS.
Siemens AG, Nürnberg
Autor: Thomas Bartsch
Sales Development Manager,
Siemens Digital Industries
