Functionele veiligheid (functional safety) betreft instrumentatiesystemen die bedoeld zijn om een veiligheidsfunctie uit te voeren.

Instrumented systems bestaan uit sensoren (signaalgevers), logica (beslissende componenten) en actuatoren bedoeld om een regel- of een veiligheidsfunctie uit te voeren voor processen in de chemische, petrochemische of andere procesindustrieën.

Instrumented systems die zijn bedoeld om een veiligheidsfunctie uit te voeren, worden in het algemeen aangeduid met Safety Instrumented Systems (SIS). Deze systemen dienen te voldoen aan IEC 61508, de internationale standaard voor Safety Instrumented Systems.

Een veiligheidsfunctie is in concept wezenlijk anders dan een regelfunctie:

• Het doel van een regelfunctie is om een proces naar optimale staat te brengen (de meest effectieve of efficiënte combinatie van procescondities);
• Een veiligheidsfunctie bewaakt de grenzen of het bereik van toelaatbare procescondities;
• Een veiligheidsfunctie werkt in de regel in de aan/uit-modus. Met andere woorden: het grijpt krachtig in of helemaal niet, maar het zal niet geleidelijk ingrijpen;
• De instellingen van een veiligheidsfunctie liggen normaal gesproken vast en volgen uit het procesontwerp terwijl de instellingen van een regelfunctie variëren afhankelijk van de actuele procescondities.

Een SIS vervult een belangrijke rol in het insluiten van chemische stoffen en van hoge drukken en als zodanig dient het als een belangrijke bescherming in het voorkomen van onveilige condities die leiden tot een incident.

Voorbeeld ‘layer of protection analysis’ (LOPA)

In het bovenstaande schema van verschillende lagen van bescherming reageert het SIS wanneer zowel het regelsysteem (process control) als de operatorinterventie faalt in het oplossen van een probleem. Het falen van het SIS zal op zijn beurt waarschijnlijk leiden tot een ongecontroleerde lozing naar de fakkel of naar de vent en misschien zelfs tot een nog gevaarlijker situatie. Om deze reden dient het SIS te voldoen aan zeer strenge eisen en criteria betreffende beschikbaarheid, betrouwbaarheid en faalkans (probability of failure on demand).

We houden ons bezig met het ontwerpen en construeren van veiligheidssystemen (SIS).

De term Functional Safety Management (Management van Functionele Veiligheid – FSM) wordt gehanteerd om de processen, systemen en (organisatorische) procedures te omschrijven die gebruikt worden bij het ontwerp en de constructie van een veiligheidssysteem.

De minimaal benodigde processen en systemen zijn beschreven in IEC 61508, de internationale standaard voor het ontwikkelen van veiligheidssystemen of  ‘Electrical/ Electronic/ Programmable Electronic Systems that perform a Safety Function’, zoals ze genoemd worden in de standaard.

De ‘dochter’-standaard IEC 61511 is afgeleid van de IEC 61508 en is specifiek van toepassing binnen de procesindustrie. Omdat deze standaarden de norm zijn voor veel van onze klanten, hebben wij deze geïntegreerd in onze projectuitvoering en projectmanagementprocessen. Deze processen zijn gecontroleerd op overeenstemming met IEC 61508 en gecertificeerd door een onafhankelijke derde partij.

Binnen de context van IEC 61508 vormen het ontwerp en constructie van een veiligheidssysteem de realisatiefase (‘realization phase’) van de FSM-levenscyclus:

(Plaatje)

We hebben gedetailleerd vastgelegd hoe we een E/E/PES of veiligheidssysteem realiseren, hoe we het plannen, hoe we scopewijzigingen managen, hoe we de kwaliteit waarborgen en hoe we het systeem verifiëren en valideren.

Het veiligheidsintegriteit-niveau (Safety Integrity Level – SIL) is een maat om aan te geven hoe betrouwbaar een veiligheidsfunctie wordt uitgevoerd.

Er zijn vier niveaus, waarbij het hoogste niveau de meest betrouwbare uitvoering van een veiligheidsfunctie beschrijft, met andere woorden de laagste faalkans heeft (probability of failure on demand). De volgende tabel is van toepassing op typische applicaties in de procesindustrie (door IEC 61511 getypeerd als ‘low demand mode’-processen):

(Tabel)

Definities van SIL-niveaus

De ‘probability of failure on demand’ geeft de waarschijnlijkheid weer dat het systeem niet de veiligheidsfunctie uitvoert wanneer dit noodzakelijk is. Met andere woorden: niet doet wat er verwacht wordt op het moment dat het noodzakelijk is.

Een voorbeeld: de waarschijnlijkheid dat een SIL-3-systeem het proces niet stillegt op het moment dat dit noodzakelijk is, is kleiner dan een op duizend of 0,1 procent. Met andere woorden: de beschikbaarheid van de veiligheidsfunctie is beter dan 99,9 procent. Nog anders gezegd, de risicoreductie is minimaal een factor 1000.

Het is belangrijk om onderscheid te maken tussen gerealiseerd SIL-niveau en benodigd SIL-niveau. Het benodigde SIL-niveau komt voort uit een assessment van risico’s en gevaren, bijvoorbeeld door gebruikmaking van een HAZOP of FMEA-studie. Het benodigde SIL-niveau wordt voor elke veiligheidsfunctie afzonderlijk bepaald.

Belangrijke overwegingen zijn de kans dat een gevaar optreedt en de impact van het gevaar. Een risicomatrix helpt meestal bij het bepalen van het benodigd SIL-niveau voor elke veiligheidsfunctie.

Het gerealiseerde SIL-niveau van een veiligheidsfunctie, daarentegen is de werkelijke SIL zoals het gerealiseerd is in de praktijk. Het hangt onder meer af van:

• de gebruikte transmitters
• de configuratie van de transmitters (1oo1, 1oo2, 2oo3, etcetera)
• het gebruik van barriers, isolators, relais
• de gebruikte logic solver of veiligheidssysteem (bijv. PLC)
• de actuator(s): kleppen, kleppositioner, etcetera
• de configuratie van de kleppen, bijvoorbeeld single block of double block

Voor elk bovengenoemd component is een PFD vereist waarna de overall PFD van de complete veiligheidsfunctie wordt berekend en daarmee het gerealiseerde SIL-niveau bekend is. Wij zijn bekend met het uitvoeren van deze calculaties en het inschatten van de PFD-waarden van legacy (“brownfield”) sensors en actuators.

Een Safety Instrumented System (SIS) voert een veiligheidsfunctie uit door gebruikmaking van instrumentatie in plaats van fysieke hardware.

In deze context omvat instrumentatie onder meer sensors (inclusief transmitters), logic solver en actuators (zoals kleppen). De IEC 61508 refereert aan deze systemen middels de term ‘Electrical/Electronic/Programmable Electronic Systems’ (E/E/PES) die een functionele veiligheidsfunctie uitvoeren.

Voorbeelden van Safety Instrumented Systems zijn:

• Emergency Shutdown and Depressurisation Systems (ESD/EDP);
• Unit Safeguarding Systems (SGS);
• High Integrity Pressure Protection Systems (HIPPS);
• Burner Management Systems (BMS);
• Boiler Protection Systems (BPS);
• Fire & Gas systems (F&G).

Een SIS reduceert het risico door de kans te reduceren dat een gevaarlijke gebeurtenis ontstaat. Een SIS reduceert niet de impact van de gebeurtenis als deze toch optreedt. Grafisch kan dit als volgt weergegeven worden:

(grafiek)

Neem het geval dat uit een HAZOP komt; dat er een onacceptabel hoog risico is op een explosie ten gevolge van drukopbouw in een vat. Het gebruik van overdrukventielen, dienend als een laatste redmiddel, die de inhoud van het vat naar de fakkel afblazen, reduceert de waarschijnlijkheid (frequency) op een explosie, maar niet de impact (severity) van de explosie, mocht deze ontstaan.

De impact kan gereduceerd worden door de fabriek op een afgelegen plek te bouwen en de controlekamer ver weg van het vat te plaatsen. Tenslotte kan een SIS voorkomen dat er drukopbouw plaatsvindt in het vat door tijdig bijvoorbeeld de chemische reactie te stoppen of de instroom in het vat te beperken of juist de uitstroom uit het vat te bespoedigen.

De gecombineerde effecten van deze drie veiligheidsvoorzieningen kunnen het risico van dit specifieke scenario beperken naar een tolerabel of zelfs acceptabel niveau.

Een SIS moet worden gezien in de context van een specifieke fabriek, met zijn specifieke gevaren en voorzorgsmaatregelen. Het gewenste SIL-niveau van een veiligheidsfunctie kan daarom alleen worden bepaald door de proceseigenaar en niet door de leverancier van een SIS.

Wij zijn bekend met de praktische implicaties hiervan en werkt dan ook graag mee aan HAZOP’s en soortgelijke exercities om de risico’s van een proces te bepalen en zodoende tot het benodigde SIL-niveau te komen voor elke veiligheidsfunctie.

De Probability of Failure on Demand (PFD) is een maat voor de effectiviteit van een veiligheidsfunctie.

Het drukt de kans uit dat een systeem dat ontworpen is om een gevaarlijke situatie te voorkomen, zal falen op het moment dat juist een aanspraak op deze functie wordt gedaan.

De PFD van een veiligheidsfunctie hangt af van de faalkansen van alle componenten van de functie. Om de faalkansen te berekenen voor sensoren, logic solvers en actuatoren moeten er gegevens verzameld worden over alle mogelijke fouttoestanden, inclusief die toestanden die gedetecteerd kunnen worden, de toestanden die niet gedetecteerd kunnen worden (door de ingebouwde diagnostische software), toestanden die ervoor zorgen dat het component als geheel naar een veilige toestand gaat en toestanden die ervoor zorgen dat er een gevaarlijke toestand ontstaat voor het hele component.

In de praktijk is deze data voor nieuwe ‘SIL-compliant’-componenten bekend, echter vaak niet voor oudere componenten.

Een andere belangrijke factor voor de PFD is de frequentie waarmee het systeem wordt getest. Er wordt aangenomen dat fouten gedetecteerd door het component zelf (middels de ingebouwde diagnostische software) snel gerepareerd worden. Fouten die echter niet gedetecteerd worden door het component, worden alleen zichtbaar tijdens een complete systeemtest.

In de periode tussen het ontstaan van de fout en het uitvoeren van de test is het systeem niet beschikbaar als er een aanspraak op de preventieve functie wordt gedaan.

Neem als voorbeeld de volgende twee componenten (bijvoorbeeld drukschakelaars) die gekarakteriseerd worden door de faalkansen λdu en λdd, en waarvoor geen redundante schakelaars zijn geïnstalleerd (dus geen voting), die elke zes maanden onderworpen worden aan een systeemtest (Proof Test Interval) en waarvoor ongeveer 8 uur nodig is om een schakelaar te repareren (Mean Time To Repair):

(tabel)

Voorbeeld PFD-berekening
Component A and B hebben vergelijkbare faalkansen van 4.0·10-6 per uur. Toch is component B van een betere ontwerpkwaliteit omdat de ingebouwde diagnostische software meer fouten detecteert. Hierdoor is de PFD-waarde van component B veel lager.

Gerelateerd aan het Safety Integrity Level (SIL) kunnen beide componenten gebruikt worden in een SIL-2 functie (PFD is hoger dan 0,001 maar lager dan 0,01), echter wel op voorwaarde dat de andere componenten in de veiligheidsfunctie (bijvoorbeeld logic solver, barriers, actuatoren) niet teveel toevoegen aan het totaal van gevaarlijke fouten zodat de PFD van de complete functie lager blijft dan 0,01.

Wij helpen u graag met alle benodigde berekeningen zodat u zich alleen hoeft te richten op de applicatie. Wij geven aan welke informatie we nodig hebben en maken op de praktijk gebaseerde aannames indien informatie niet beschikbaar is. Ook de interpretatie en de uitleg van de resultaten kunt u aan ons overlaten. Daarnaast zullen we advies geven hoe de PFD van de verschillende functies verbeterd kan worden met minimale impact op uw budget.

Vergelijkbaar met probability of failure on demand is de ‘probability of failure to safety’ (PFS); een maat voor de effectiviteit van een veiligheidsfunctie.

Het drukt de kans uit dat een veiligheidsfunctie zal aanspreken terwijl het niet gevraagd wordt. Met andere woorden: het is een maat voor de waarschijnlijkheid van ongewenste trips (spurious trips).

Ongewenste trips bezorgen operators en onderhoudspersoneel regelmatig hoofdpijn. Ten eerste omdat ze het proces hevig kunnen verstoren. Ten tweede omdat het meestal moeilijk is om te bewijzen dat een trip inderdaad ongewenst was en niet veroorzaakt door een andere geldige reden.

Om deze reden ontwerpen wij onze systemen vaak met redundantie. Redundantie zorgt ervoor dat er meerdere kanalen beschikbaar zijn voor dezelfde veiligheidsfunctie. Indien één kanaal faalt, dan kan het andere kanaal nog steeds de functie uitvoeren wanneer er om gevraagd wordt. Daardoor wordt de kans op een trip van het complete proces verkleind en de beschikbaarheid verbeterd.

Neem als voorbeeld de configuratie van een aantal transmitters in dezelfde leiding, die alle dezelfde proceswaarde meten. In dit voorbeeld gaan we tot drie transmitters.

Er zijn verschillende configuraties voor de transmitters. Voor de gebruikte configuratie gebruiken we de term voting uitgedrukt in MooN (M out of N), waarbij M tripsignalen moeten komen via N-kanalen voordat de veiligheidsfunctie aanspreekt. Een 2oo3 voting betekent dus dat tenminste twee van de drie transmitters een onveilige proceswaarde moeten meten voordat de veiligheidsfunctie aanspreekt. Met andere woorden: indien een van de kanalen defect is of ‘vast zit’ in zijn ‘veilige’ positie, dan wordt de veiligheidsfunctie van het systeem niet aangetast.

Tegelijkertijd wordt de waarschijnlijkheid van ongewenste trips geminimaliseerd omdat er twee kanalen zouden moeten zijn die falen in een veilige positie voordat de veiligheidsfunctie aanspreekt. De keerzijde van een dergelijke oplossing zijn de kosten die gepaard gaan met de installatie van meerdere transmitters:

(tabel)

Wij zijn ons bewust van het feit dat in elk project opnieuw de afweging wordt gemaakt tussen kosten en beschikbaarheid (het voorkomen van ongewenste trips). We kunnen u adviseren betreffende de mate van redundantie geschikt voor uw situatie, maar ook kunnen we voor elke optie berekenen welke verbetering optreedt met betrekking tot probability.

Een vrije vertaling van Safety Requirement Specification (SRS) is Veiligheidseisenspecificatie en omvat een omschrijving op hoog niveau van de veiligheidsfuncties en de eisen die gesteld worden aan elke benodigde veiligheidsfunctie.

Het kan bijvoorbeeld de beschrijving omvatten ‘Meet de temperatuur in vat V-1202 en indien deze hoger is dan 60 °C, stop dan de pomp P-103 naar de reactor binnen 2 seconde met een Safety Integrity Level SIL-3.’

Deze beschrijving bevat alle essentiële basisinformatie om een veiligheidsfunctie te ontwerpen:

• de locatie en functie van de sensoren en actuatoren gerelateerd aan een P&ID;
• het benodigde SIL niveau, bepaald uit een HAZOP/ZIL exercitie;
• de benodigde reactietijd, bepaald uit een HAZOP/ZIL exercitie.

Voor de veiligheidsfunctie kan nu een aantal keuzes gemaakt worden:

• Het benodigde SIL-niveau bepaalt de maximum PFD (Probability of Failure on Demand) voor de complete loop;
• Het benodigde SIL-niveau bepaalt ook de minimale SFF (Safe Failure Fraction) voor alle componenten in de complete loop;
• Indien een van de geselecteerde componenten niet voldoet aan de minimale SFF-eis kan het noodzakelijk zijn om voting toe te passen. Zo kunnen bijvoorbeeld twee transmitters in een 1-uit-2 voting (1oo2) toegepast worden omdat een enkele transmitter een te lage SFF-waarde heeft en in de voting configuratie wel voldaan wordt aan het benodigde SIL-niveau.

Een complete specificatie voor een veiligheidssysteem omvat behalve het bovenstaande ook nog:

• redundantie eisen, om de beschikbaarheid te verbeteren;
• maintenance override functies;
• communicatie met andere systemen;
• eventuele voorkeur merken en modellen van de componenten, bijvoorbeeld de veiligheids PLC, voedingen, isolators, barriers, etcetra;
• paneel indeling eisen zoals bijvoorbeeld locatie, afmetingen, reservecapaciteit;
• hardware eisen: ATEX-classificatie, te gebruiken materialen, draadkleuren;
• gebruikersinterface: grafische schermen, filosofie over alarm afhandeling, knoppen en lampen.

Wij helpen graag met het opzetten van een SRS en alle andere ontwerp keuzes met betrekking tot een veiligheidssysteem.

Een risicomatrix is een simpel hulpmiddel om risico’s in kaart te brengen in de context van een procesinstallatie, waarbij risico gedefinieerd is als het product van:

• de waarschijnlijkheid dat een gevaarlijke situatie (hazard) optreedt, en
• de impact van die situatie, wanneer deze optreedt, op de fabriek, personeel en het milieu.

Meestal hebben proceseigenaars een risicomatrix voor hun fabriek al klaarliggen. Deze is van toepassing op een breed scala aan veiligheid gerelateerde vraagstukken zoals werkvergunningen, procesveiligheden, de beoordeling van veiligheid gerelateerde investeringen. Dezelfde risicomatrix kan worden gebruikt voor functionele veiligheid.

Door het definiëren van waarschijnlijkheid (frequentie) en impact (ernst van de consequenties) kan een risicomatrix worden gebruikt om het minimaal noodzakelijke SIL-niveau voor elke veiligheidsfunctie te bepalen. Onderstaand volgt een simpel voorbeeld:

(tabel)

Let op dat de inschatting van een risico, gebruikmakend van de risicomatrix, het best gedaan kan worden door de proceseigenaar en niet door de leverancier van het veiligheidssysteem (SIS), omdat lokale en installatie-specifieke eigenschappen en gevaren meegenomen moeten worden. Wij ondersteunen graag bij bovenstaande analyse met onze kennis en ervaring van industrie-typische benaderingen.

Een BranderManagementSysteem (BMS) is een veiligheidssysteem dat twee sleuteltaken uitvoert:

• Het is verantwoordelijk voor de opstartsequenties van het brandersysteem inclusief de purge stappen, de bewaking van de dichtstand van de dubbele blokkleppen en de brandstofkleppen, de bewaking van de openstand van de ontluchtingskleppen, de selectie of de-selectie van de individuele branders, het ontsteken en bewaken van de ontsteek-brander en van de hoofdbrander.
• Tijdens bedrijf van de branders is het ook verantwoordelijk voor het bewaken van de vlam, de aanwezigheid van voldoende lucht en voor het veilig afschakelen van de brander.

(plaatje)

Een BranderManagementSysteem kan hierom zeer complex zijn. Dit, terwijl een brander in essentie relatief simpel is en vaak door slechts één regeling met een enkel setpoint (de belastingfactor) geregeld wordt.

Deze belastingfactor regelt de optimale lucht- en brandstofverhouding voor de gevraagde warmtebelasting. De verhouding tussen lucht en brandstof is cruciaal voor een veilige en efficiënte werking van de brander. Te veel lucht? De de rookgassen bereiken de benodigde temperatuur niet. Te veel brandstof? De verbranding is incompleet waardoor ontvlambare koolwaterstoffen in het systeem blijven.

De sleutel tot een goede brandstof/luchtverhouding is het meten van de luchtstroom en de brandstofstroom. Indien de brandstofstroom moeilijk te meten is maar de venturi in de brander nozzle is constant, dan kan de brandstofdruk een goede indicatie geven. Indien de luchtstroom moeilijk te meten is, zal de brander te allen tijde moeten werken met een overmaat aan lucht.

Indien de brandstof/luchtverhouding moeilijk te bepalen is, bijvoorbeeld door een variabele brandstofsamenstelling, zullen andere maatregelen genomen moeten worden om zeker te stellen dat volledige verbranding plaatsvindt. Dit kan bijvoorbeeld door de hoeveelheid O2 te meten in de rookgassen of het installeren van in-line analysers in de brandstoftoevoer.

Wij delen graag onze kennis, opgedaan over vele jaren met het leveren van BranderManagementSystemen voor zowel nieuwbouw als voor de vervangingsmarkt van branders voor bijvoorbeeld krachtcentrales. We maken systemen die zowel veilig als betrouwbaar functioneren voor vele jaren zonder onderbreking.

Een gasturbine met een Heat Recovery Steam Generator (HRSG) is een systeem dat op twee manieren energie opwekt.

• De gasturbine drijft een mechanische last aan, bijvoorbeeld een generator
• De hete uitlaatgassen van de turbine worden gebruikt om stoom te produceren, die op hun beurt een stoomturbine aandrijven die gekoppeld in aan een generator of andere mechanische last.

De HRSG is in feite een grote stoomketel waar gebruik gemaakt wordt van de hete uitlaatgassen van een gasturbine om de stoom te produceren. De HRSG kan tevens uitgerust zijn met een set branders (ook wel duct burners genoemd) om de uitlaatgassen extra te verwarmen, oftewel extra warmte te genereren voor de productie van stoom.

Afhankelijk van het ontwerp van de HRSG kunnen de branders ook gebruikt worden om de benodigde warmte te genereren voor de stoomproductie wanneer de gasturbine buiten bedrijf is.

Aangezien de uitlaatgassen van de gasturbine normaal gesproken voldoende zuurstof bevatten (12-16 procent) voor een goede verbranding van de brandstof bij de branders, is extra verbrandingslucht (zoals omgevingslucht) alleen nodig wanneer de gasturbine niet in bedrijf is.

Het BranderManagementSysteem bewaakt alle functies en dient zodanig continu op de hoogte te zijn van de toestand van de gasturbine en van de stoomketel. De interactie tussen het BMS en de gasturbine zorgt er ook voor dat de purge sequences naar behoren uitgevoerd worden.

(Plaatje)

In termen van sequenties is een HRSG duidelijk gecompliceerder dan een conventionele brander. Naast de functies voor een conventionele brander, moet het BMS voor een HRSG ook voorzien in de purge van de brander, van de gasturbine en van de HRSG in combinatie. De luchtdempers (onder meer bypassdamper, inlaatdamper en omgevingslucht ‘ambient air’-damper) moeten allemaal bediend worden maar tevens moet de positive worden bewaakt.

De gasturbine moet geïnformeerd worden dat de condities veilig zijn om te starten en de gasturbine moet het BMS informeren wanneer het in bedrijf is op ‘cranking speed’ (vanwege purgen), wanneer het in normaal bedrijf is, of het succesvol ontstoken is enzovoort. Echter, wanneer de gasturbine onverwacht offline gaat of wanneer een van de dampers zijn positie verlaat, dan moet er door het BMS snel geschakeld worden en de dampers in de juiste positie worden gezet om de bedrijfsvoering zoveel mogelijk te continueren en om mogelijk productieverlies te beperken. Uiteraard wel op een veilige manier.

Wij hebben het BranderManagementSysteem zodanig ontworpen dat alle bovenstaande eisen, en meer, standaard zijn opgenomen. Zo bieden wij een compleet en intuïtief gebruikersinterface middels onze grafische MMI (Mens-Machine Interface). We bieden een eenduidig en volledig status en alarm management inclusief first-up-alarmering (first-up: het tonen van het eerste optredende alarm).

Verder is het mogelijk om te selecteren welke branders wel of niet in bedrijf zijn en kan de brandstof/luchtverhouding aangepast worden.

Het BMS kan daarnaast communiceren met andere systemen (zoals bijvoorbeeld een DCS) op een veilige en betrouwbare manier. En omdat we vergaande kennis hebben van de van toepassing zijnde standaarden garanderen we ook dat het BMS zonder problemen door iedere certifceringsprocedure komt.

Een High Integrity Pressure Protection System (HIPPS) is een systeem dat wordt gebruikt om te voorkomen dat de druk in een pijpleiding de maximum toelaatbare operationele druk overschrijdt.

Een HIPPS wordt veelal geïnstalleerd in olie- en gas-exportleidingen en soms in flowlines die beschermd moeten worden tegen blootstelling aan hoge drukken. Deze drukken kunnen voortkomen uit putten (wells), die wanneer ingesloten een Closed In Tubing Head Pressure (CITHP), kunnen bereiken die de downstream-pijpspecificaties overschrijdt.

Functioneel is een HIPPS een zeer eenvoudig systeem: in geval van hogedruk sluit het één of meerdere kleppen. Deze kleppen kunnen pneumatisch of hydraulisch worden aangedreven.

Een HIPPS wordt vaak beschouwd als een alternatief voor mechanische middelen, zoals overdrukventielen, om excessieve drukken te voorkomen.

De benodigde mechanische middelen kunnen zeer kostbaar zijn vergeleken met een HIPPS. Het mag duidelijk zijn dat de eisen voor zowel het SIL-niveau als de beschikbaarheid van de HIPPS zeer hoog zijn.

Voor SIL-niveaus tot en met SIL-3 hebben wij een oplossing. Wij hebben HIPPS-systemen geleverd voor offshore installaties, zowel geïnstalleerd op het platform als ingebouwd in systemen die op de zeebodem liggen (subsea). We zijn bekend met de praktische en milieubeperkingen, veroorzaakt door subsea-installaties alsook met de effecten van schokgolven die ontstaan door het snelle sluiten van de kleppen.

(plaatje)

Een Emergency Shutdown (ESD)-systeem is een veiligheidssysteem dat een complete fabriek of proces insluit.

Gecombineerd met een Emergency Depressurisation (EDP)-systeem wordt er voor gezorgd dat alle procesdelen op een gecontroleerde en veilige manier drukloos gemaakt worden door de processtoffen (bijvoorbeeld gas of olie), naar een fakkel te leiden.

Een ESD-systeem is een belangrijk onderdeel in het voorkomen de escalatie van een onveilige conditie naar een ongeluk:

• door het insluiten van een proces stopt het de opbouw van druk;
• door het afschakelen van elektrische vermogens voorkomt het ontsteking van gelekte en ontvlambare koolwaterstoffen;
• door het inblokken van belangrijke procesleidingen op strategische locaties verkleint het systeem de hoeveelheid processtof die naar een fakkel geleid wordt;
• door het drukloos maken van het proces (EDP) beschermt het leidingwerk tegen breuk;
• door processtoffen naar de fakkel te leiden (EDP) voorkomt het ongecontroleerd vrijkomen van koolwaterstoffen en het bevriezen van ontluchtingsleidingen (relief lines);
• door het starten van een dieselbluspomp (offshore) verkort het de tijd van red- en bluswerkzaamheden.
• Een ESD kan geactiveerd worden door transmitters (bijvoorbeeld hogedruktrip), schakelaars, lokale drukknoppen of drukknoppen in een centrale controlekamer. Verschillende niveaus van ESD (zoals een lokale ESD, Unit ESD, Plant ESD, Plant EDP) worden onderscheiden afhankelijk van de eisen.

(plaatje)

Het is duidelijk dat een ESD-actie een grote impact heeft op de processtabiliteit en wordt daarom alleen gebruikt als een laatste redmiddel. Wanneer toch nodig, staat de goede werking en daarmee betrouwbaarheid van het systeem voorop. Deze systemen moeten daarom naast veilig (safe) ook zeer beschikbaar (available) zijn. Met andere woorden, zowel de Probability of Failure on Demand (PFD) alsook de Probability of failure to Safety (PFS) moeten zo laag mogelijk zijn.

Graag bespreken wij uw wensen en eisen voor ESD/EDP-systeem evenals al uw ontwerpoverwegingen.

Wij berekenen PFD- en PFS-waarden voor alternatieve ontwerpen. We kunnen automatische testsequenties meenemen en een jaarlijkse kleptest (valve stroke test) vastleggen in verband met regelgeving. We maken communicatie met andere systemen mogelijk op een dusdanige manier dat de integriteit van het ESD-systeem niet wordt beïnvloed.

En uiteraard bespreken wij uw Cause- & Effect-diagram (C&E) in detail en zijn we een discussiepartner voor HAZOP’s  en vergelijkbare veiligheidsexercities.