Startseite » Chemie »

Einfach sicher mit Hipps

Überdruckschutz bei der Erdölförderung
Einfach sicher mit Hipps

Anzeige
Jede Ölquelle verfügt über Sicherheitseinrichtungen, die verhindern, dass die nachgeschalteten Systeme durch zu hohen Druck beschädigt werden. Klassisch geschieht dies durch Entlastungs- oder Fackelsysteme. Eine Alternative bieten Sicherheitsabsperreinrichtungen, sogenannte High Integrity Pressure Protection Systems (Hipps), die in vielen Anlagen die konventionellen Systeme ersetzen können.

Man würde eigentlich annehmen, dass der Durchfluss – und damit der Umsatz – der entscheidende Parameter bei der Ölförderung ist. Es hat sich jedoch gezeigt, dass Druck der entscheidende Faktor ist. Hydrostatischer Druck, Formationsdruck, Überlagerungsdruck sowie Systemdruckverlust – die Ölbohrlochsteuerung ist zum überwiegenden Teil Drucksteuerung und immer sicherheitsrelevant.

Nicht nur direkt am Bohrloch, sondern auch für nachfolgende Anlagenteile, Pipelines oder Gasverteiler muss eine Überdruckabsicherung gewährleistet sein. Hipps werden installiert, um den Überdruckschutz für Anlagenteile im Bereich von Upstream und Downstream zu gewährleisten. Um Überdruckszenarien abzuwenden und die damit unter Umständen verbundenen Folgen zu minimieren, können Hipps zur Absperrung, Reduzierung oder Umleitung von Überdruckquellen eingesetzt werden. Schäden an der Ausrüstung oder das Austreten giftiger und umweltbelastender Flüssigkeiten oder Gase werden somit verhindert. Während ein klassisches Entlastungssystem darauf abzielt, jeglichen überschüssigen Zufluss abzuführen, stoppt ein Hipps den Zustrom von überschüssigen Flüssigkeiten und sorgt somit dafür, dass kein Überdruck entsteht. Der Einsatz eines Hipps kann auch dazu beitragen, die Wahrscheinlichkeit einer übermäßigen Belastung des vorhandenen konventionellen Druckentlastungssystems drastisch zu verringern. Hierdurch lassen sich hohe Kosten eliminieren, die mit der Anschaffung neuer Entlastungsvorrichtungen verbunden wären. Entsprechend lassen sich die eingesetzten Fackelsysteme wesentlich kleiner dimensionieren. Ganz allgemein trägt ein Hipps dazu bei, die Kosten aufgrund von Betriebsausfällen zu minimieren.

Die Zuverlässigkeit eines Überwachungssystems

Hipps ist ein Sicherheitssystem, das in Übereinstimmung mit den Normen IEC 61508 und IEC 61511 entwickelt und gebaut wird. Als sicherheitsgerichtete Funktion (Safety Instrumented Function – SIF) besteht es in der Regel aus Sensoren, einer Logikeinheit und Aktoren. Heutzutage sind die meisten Messumformer elektronisch. Ihre Aufgabe ist es, den unzulässigen Druck zu erkennen. Die Logikeinheit verarbeitet die Eingabe der Sensoren zu einer Ausgabe an die Aktoren, die die eigentlichen Korrekturmaßnahmen im Feld durchführen, indem sie den Prozess in einen sicheren Zustand überführen. Typischerweise sind drei Sensoren an die Logikeinheit angeschlossen, die so konfiguriert ist, dass eine 2oo3-Auswahl erfolgt. Diese Konfiguration wird für Hipps bevorzugt, da sie sowohl die Verfügbarkeit als auch die Zuverlässigkeit des Systems gewährleistet.

Aber wie kann man die Effektivität eines Überwachungssystems bewerten, das nur bei Anforderung eingreift und ansonsten inaktiv bleibt? Hier zeigt sich die Stärke der IEC 61511, die eine leistungsbasierte Norm und keine normative Vorschrift ist. Sie gibt an, wie Anforderungen festgelegt werden und wie die Effektivität von sicherheitstechnischen Funktionen über den gesamten Lebenszyklus der Anlage erreicht und aufrechterhalten werden kann. Sie definiert Leistungsniveaus als Größenordnungen, die auf erzielbarer Risikominderung basieren. Je nach Größe der Risikominimierung erfolgt die Einteilung in Sicherheits-Level bzw. Safety Integrity Level (SIL). Die Einstufung reicht von SIL 1 bis SIL 4 und erlaubt die quantitative Beurteilung von Systemen hinsichtlich der Zuverlässigkeit von Sicherheitsfunktionen. Für eine Anwendung wie z. B. Hipps, die auf Abruf bereitsteht, steht SIL in direktem Zusammenhang mit der durchschnittlich auftretenden Wahrscheinlichkeit eines Ausfalls bei Anforderung (probability of failure on demand – PFDavg). Je höher der SIL-Wert, desto höher ist die damit verbundene Sicherheitsstufe und desto geringer die Wahrscheinlichkeit, dass ein System bei Bedarf ausfällt.

Nun handelt es sich bei solchen Systemen nicht um statische Zustände: Im Laufe der Zeit ändern sich sowohl die Verfügbarkeit als auch die Ausfallwahrscheinlichkeit, was regelmäßige Gerätechecks, d. h. Inspektionen und Tests, erforderlich macht. Und das bedeutet einen nicht zu unterschätzenden Aufwand: Um die Leistungsfähigkeit eines SIF, beispielsweise von SIL 2 auf SIL 3, zu erhöhen, muss es zehnmal häufiger getestet werden, oder – da auch andere Designfaktoren wie Hardware-Fehlertoleranz (HFT) und systematische Fehler berücksichtigt werden müssen – das SIF muss so gestaltet werden, dass es zehnmal weniger gefährliche unentdeckte Ausfälle aufweist. Vor diesem Hintergrund ist es kaum verwunderlich, dass der Entwurf solcher SIFs bei steigenden Sicherheitsanforderungen schnell sehr kompliziert wird. Hinzu kommt noch, dass der Security-Aspekt zusätzlich zur funktionalen Sicherheit betrachtet werden muss.

Ein applikatives Beispiel

Wie bekommt man eine solche Komplexität in den Griff? Wie kann man ein sicheres System für ein Ölfeld einrichten, das normalerweise aus mehr als einer Bohrung besteht und bei dem neben Zuverlässigkeit auch Kosteneffizienz eine große Rolle spielt? Stellen Sie sich eine Anwendung vor, die aus einem Ölfeld mit neun Bohrlöchern besteht, die mit einer Durchflussstation verbunden sind, die das Rohöl so aufbereitet, dass die Verschwendung von Energie beim Pumpen unerwünschter Komponenten wie Wasser so weit wie möglich vermieden wird. Der Bohrlochdruck beträgt ca. 350 bar, sodass der Druck am Bohrturm durch ein Drosselventil auf einen beherrschbareren Bereich von knapp 20 bar reduziert werden muss. Um zu vermeiden, dass der Druck Downstream aufgrund von Verstopfungen oder Bedienfehlern auf den Wert des Bohrlochkopfes ansteigt, Dichtungen bersten und Rohöl und Gas unkontrolliert ausströmen, ist an jedem Bohrturm ein Hipps-Ventil installiert. Beide Hipps-Ventile (in 1oo2-Architektur) sperren bei Anforderung das Bohrloch ab und schützen somit die nachfolgende Pipeline und Anlagenteile. Darüber hinaus sollte das Sicherheitssystem noch weitere Aufgaben erfüllen: Steuerung und Schutz der Durchflussstation, insbesondere die Überwachung des Verteilers, des Abscheiders sowie der angeschlossenen Lagertanks. Insgesamt würden gut 250 E/A-Signale und weitere 100 Signale pro Bohrung zusammenkommen.

Die Lösung und deren Vorteile

Wie hoch schätzen Sie den Automatisierungsaufwand ein, der notwendig ist, um diese Anwendung sicher zu überwachen und zu betreiben? Tatsächlich ist dafür genau eine Simatic SIS compact in redundanter Ausführung erforderlich! Simatic SIS compact wurde von Siemens als eigenständiges Safety Instrumented System (SIS) auf Basis des Simatic-Produktportfolios konzipiert. Um sicherheitskritische Eingriffe zu erkennen, unterstützt das System das Syslog-Netzwerkprotokoll zur Übermittlung von Log-Meldungen. Zur Erfassung und Auswertung der chronologischen Abfolge von Ereignissen (Sequence of Events) dient die hochgenaue Zeitstempelung mit einer Auflösung von 5 ms. Für die komfortable Erstellung von norm- und sicherheitsgerichteten Funktionen ist SIS compact mit Simatic Safety Matrix kompatibel. Dieses TÜV-zertifizierte Safety Lifecycle Management Tool erlaubt das effiziente Engineering von Sicherheitsanwendungen bis SIL 3 nach IEC 61508 sowie deren einfache Bedienung und Überwachung. Betreiber können damit nicht nur sicher überwachen, dass Werte sich nicht außerhalb des sicheren Betriebsbereichs bewegen, sondern auch die Feldsignalqualität (z. B. maximale Hysterese) im Auge behalten.

Das Applikationsbeispiel mit dem zertifizierten Sicherheitssystem Simatic SIS compact bietet eine Lösung bis SIL 3 (abhängig vom SIF) und ein unabhängiges Leitsystem (mit zertifizierter Rückwirkungsfreiheit), das für Regelkreise wie eine Pumpensteuerung eingesetzt werden kann – alles in einem kompakten System. Die redundante Konfiguration ermöglicht eine hohe Zuverlässigkeit, da Redundanz nicht für die Sicherheitsleistung, sondern vielmehr für die Verfügbarkeit erforderlich ist.

Mit Simatic SIS compact können mit sehr einfachen Architekturen recht komplizierte Aufgaben auf sehr flexible Weise gelöst werden. Das Ergebnis ist eine einfach zu installierende Lösung, die leicht an spezifische Anforderungen angepasst werden kann. Es lassen sich auch Architekturen mit zwei Gruppen redundanter Controller aufbauen, je nach Anforderung. Darüber hinaus kann Simatic SIS compact auch in anderen Anwendungen verwendet werden, bei denen dann klassische und sicherheitsgerichtete Prozesssteuerung auf einem zertifizierten Controller laufen: z. B. als Burner Management System (BMS) für einzelne Brenner, in kleinen Reaktoren, Tanklagern. Außerdem wird die Kommunikation via Modbus/TCP zu jedem beliebigen DCS unterstützt.

Die Lösung mit Simatic SIS compact basiert auf dem Flexible-Modular-Redundancy-(FMR)-Konzept von Simatic PCS 7 Safety-Lösungen. Sie bietet die Möglichkeit eines kompakten integrierten Systems und einer Lösung mit getrenntem Sicherheitssystem und DCS.

Siemens AG, Nürnberg


Autor: Thomas Bartsch

Sales Development Manager,

Siemens Digital Industries


Anzeige
Schlagzeilen
Newsletter

Jetzt unseren Newsletter abonnieren

cav-Produktreport

Für Sie zusammengestellt

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Hier finden Sie aktuelle Whitepaper

Top-Thema: Instandhaltung 4.0

Lösungen für Chemie, Pharma und Food

Pharma-Lexikon

Online Lexikon für Pharma-Technologie

Prozesstechnik-Videos

Hier finden Sie alle aktuellen Videos

phpro-Expertenmeinung

Pharma-Experten geben Auskunft

Prozesstechnik-Kalender

Alle Termine auf einen Blick

Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de