SISTEMAS DE SEGURIDAD EN PLANTA DE TRATAMIENTO DE GAS

Sergio Adrián Saifir Sánchez ─ Pluspetrol

Resumen

El sistema de seguridad de planta está diseñado con el objetivo de preservar los equipos e instalaciones de planta, por medio del monitoreo permanente y detección temprana de causas de riesgo que puedan afectar la seguridad de los equipos, instalaciones y personal de Planta. Principalmente el sistema está compuesto por equipamiento electrónico de detección, control y acción, adicionalmente posee redundancia de naturaleza hidráulica / neumática, trabajando con cierta independencia del sistema de control de planta.

Como elementos de detección (ED) primarios de supervisión en el sistema se tiene: transmisores de mezcla explosiva, detectores de llama, transmisores de presión, pulsadores de puño, detección de humo, transmisores de nivel. Estos elementos alimentan una lógica de control residente en los controladores de campo que toman decisión de realizar, por ejemplo:

• Bloqueo de ingreso de gas a planta.
• Bloqueo de ingreso de gas y despresurización de planta.
• Paro de uno de los trenes de proceso en forma independiente.
• Paro de equipos.
• Bloqueo de pozos de producción.
• Paro de usina.
• Disparo de alarmas.

La lógica es del tipo determinística lo que confiere repetibilidad y sencillez al sistema haciéndolo confiable, posee un desarrollo de simultaneidad o “criterio de simultaneidad” que proporciona una eficaz detención de mezcla explosiva o llama, así como, para la protección de gasoductos, la detección temprana de sobre presiones en los mismos, se realiza por medio de la detección del gradiente de crecimiento de presión descrito como “Shutdown de protección de gasoducto”. Todo ello con el fin de llevar a una condición segura los equipos, instalaciones y proteger al personal que pudiere estar en las zonas de influencia de riesgo.

Los elementos finales de control que se describirán más adelante son válvulas solenoides, relays y conversores IP principalmente. Cada uno de los componentes de detección primarios y de acción del sistema cuentan con una verificación continua del estado de falla del componente y de toda la ruta de comunicación (circuito eléctrico) asociada al mismo, incluyendo un test de funcionamiento propio lo que permite determinar rápidamente una falla en el sistema. La detección de una falla en la comunicación de algún componente del sistema de seguridad es claramente indicada en la pantalla de la estación de operación del sistema y se genera automáticamente un reporte sobre la falla detectada.

El sistema puede resumir diariamente en un archivo todos los eventos relacionados con dichas fallas. Los cambios de estados de variables (válvulas, paro de equipos, “trip” shutdown nivel 1, etc.) son indicados en las estaciones de operación, además el sistema posee una alarma de campo sonora y visual característica. Concluyendo, con los reportes que este sistema debe emitir al tomar una acción. Estos reportes son sencillos y objetivos de forma de que el Operador puede tomar una rápida decisión sobre las acciones de contingencias a seguir en planta luego de un “trip”. Además, deben ser detallados para permitir un posterior análisis en profundidad sobre lo sucedido.

La operación del sistema es siempre en modo automático o normal, es decir sin intervención del Operador de Planta para la ejecución de las distintas lógicas de “trip”. Operar el sistema de seguridad en forma manual implica inhabilitación del mismo, para lo que se requiere distintos niveles de autorización en la estructura jerárquica de la compañía.

El mantenimiento del sistema de seguridad es uno de los aspectos más cuidados y se efectúa rigurosamente, cabe mencionar que cada componente que se desvincula del sistema para mantenimiento lo inhabilita. Con respecto a las instalaciones de boca de pozo, este sistema electrónico realiza supervisión, y “shut down” sólo por disposición del operador de planta. Dada la vinculación hidráulica entre la acometida a planta y la salida de los pozos, se estimó no necesaria la intervención del sistema de seguridad por transmisión remota. Asimismo estas instalaciones remotas cuentan con sistema de seguridad en locación redundante.

Introducción
El sistema de seguridad de planta esta diseñado con el objetivo de preservar los equipos e instalaciones de planta por medio del monitoreo permanente y detección temprana de causas de riesgo que puedan afectar la seguridad de los equipos, instalaciones y proteger al personal que pudiere estar en las zonas de influencia de riesgo. Principalmente el sistema está compuesto de equipos electrónicos y posee redundancia de naturaleza hidráulica/ neumática, trabajando con cierta independencia del sistema de control de planta. En los párrafos siguientes se describirá el funcionamiento del sistema de seguridad basado en controlador electrónico de Planta Ramos.

Yacimiento Ramos

El Yacimiento Ramos se encuentra ubicado en la provincia de Salta, a 70 Km. al SO de la ciudad de Tartagal, en el norte de la República Argentina, sobre las sierras de San Antonio. Con una reserva superior a 100 MM Mstd m3 de gas, es la segunda reserva de gas en la Argentina. En la figura de la izquierda se muestra la ubicación geográfica.

El Yacimiento posee 16 pozos productivos vinculados a la planta de acondicionamiento por un sistema de captación. Este sistema de captación está dividido en dos bloques: Sur y Norte. Los pozos del bloque sur ingresan a una estación de separación primaria (ESP) en compresión a través de un manifold, desde allí se vincula a la planta de procesos por medio de dos gasoductos de 12” y un oleoducto de 6” siendo la longitud de estos de 5.500 mts. Los pozos del bloque norte se vinculan al manifold de planta por sus gasoductos directamente. El pozo más alejado de planta es el R-1008, con un recorrido de gasoducto de 15.000 mts.

Seguridad en planta de gas

En la figura se muestra el “Sistema de Captación” del Yacimiento donde se puede ver la ubicación de los pozos del Bloque Sur y el Bloque Norte, ESP y la vinculación a Planta Ramos (VNP).

La planta de acondicionamiento de gas está formada por cuatro trenes de procesos independientes del tipo LTS con deshidratación por Monoetilenglicol (MEG) como absorbente químico. Las capacidades de proceso de gas son:

• Tren A: 1.500 MSMCD
• Tren B: 2.500 MSMCD
• Tren C: 3.000 MSMCD
• Tren D: 3.000 MSMCD

La Planta Ramos está instrumentada en gran parte usando un sistema de control y supervisión electrónico, complementando con sistema de tele-control para las estaciones remotas como los Pozos, ESP, Puentes de Medición, Usina, Compresoras, etc.,. Este control se combina con redundancia de naturaleza neumática e hidráulica en los equipos considerados críticos.

Descripción
Sistema de Seguridad de Planta Ramos
El sistema de seguridad de planta Ramos esta pensado para trabajar de manera independiente del criterio del Operador de planta y en forma automática. Actuando de acuerdo a las condiciones de riesgos detectadas y ejecutando lógicas de acción que llevarán a una condición segura o de riesgo menor al establecido la operación de la planta (equipos, instalaciones y personas).

Los electos de detección del sistema consisten en transmisores de campo como: Mezcla explosiva, Detección de llama, Nivel de Líquidos, Presiones de Gas, Humo o Pulsadores de “ShutDown” de campo y virtuales en estación de operación de planta.

Las canalizaciones eléctricas son independientes del sistema de control en la mayoría de los casos. Esto es debido a la evolución del Yacimiento y al aumento de la capacidad de proceso en Planta. La estrategia del Sistema de Seguridad reside en dos controladores principales y dos redundantes, que pueden trabajar en forma independiente de los servidores de datos y programación. Es decir si existe una desvinculación de la red de control que forman los controladores de campo, el sistema de Operación en Sala de Control de planta o los servidores de datos y programación, estos controladores por si solo mantienen y ejecutan la estrategia de “Shutdown” si fuese necesario manteniendo las prestaciones para el que fue concebido. Posee una lógica del tipo determinística, es decir que todos los estado posibles del sistema, de acuerdo a sus entradas y salidas, poseen resultados y no producen estados indeterminados. Por ejemplo, si al enviar el comando de cierre de una válvula, éste tarda más de lo esperado, el sistema muestra
falla de cierre y continúa con la lógica verificando la segunda válvula de bloqueo para continuar con el proceso de “sutdown”. Otro caso que se repite con frecuencia es el doble comando de shutdown, caso para el cual la lógica toma sólo uno e inicia la secuencia de shutdown. Cabe mencionar que una vez iniciado el shutdown la lógica no acepta comando alguno mientras dure este proceso, es decir no es posible revertir un shutdown en ejecución. Sólo después que el sistema de seguridad pasa a estado Reset es posible tomar nuevamente el control.

En la foto de arriba se muestra uno de los controladores del sistema de seguridad con su fuente de alimentación y sus placas de entrada y salida.

Una de las mayores debilidades de la electrónica es la alimentación eléctrica, por lo que el sistema de alimentación es en 24 voltios y está basado en baterías y cargadores. Dentro de los gabinetes de los controladores, mediante conversores se distribuye tensión en 12 DCV y 220 ACV. Se tomó la decisión de no usar UPS debido a las estadísticas de fallas llevadas en el Yacimiento y a los menores riesgos de interrumpir la alimentación al realizar mantenimiento sobre la configuración baterías-cargador. Esta configuración de alimentación no tuvo fallas desde mediados del año 2003 al momento. Incluyendo los paros de planta anuales con usina fuera de servicio.

El sistema de seguridad se opera siempre en automático. Pasar el sistema a modo manual implica
inhabilitación del mismo. La inhabilitación del sistema de seguridad está regida por un procedimiento de autorizaciones sucesivas de acuerdo al tiempo que éste permanezca en ese estado. Hasta 8 horas de inhabilitación diurna sólo puede autorizar el Jefe de Planta Ramos, hasta 24 horas sólo puede autorizar el Super-intendente del Yacimiento, hasta una semana sólo es posible operar si el gerente de distrito lo autoriza, para mayores lapsos de tiempo de operación de Planta Ramos con el sistema de seguridad inhabilitado corresponde al gerente de operaciones de Argentina. El ejemplo es para mostrar la importancia y la alta disponibilidad que posee el sistema de seguridad del Yacimiento Ramos.

Los equipos y la arquitectura está basada en un sistema Delta V. La “Arquitectura Simplificada” se muestra a continuación:

Elementos de detección (ED)
Se describen a continuación los elementos de detección del sistema:

Transmisores de Mezcla Explosiva.
Permiten el monitoreo continuo del porcentaje de mezcla explosiva en aire siendo su señal proporcional al límite inferior de explosión. Estos transmisores están ubicados estratégicamente en la planta, enviando su información a los controladores electrónicos. Con el fin de mejorar el sensado de mezcla, se construyó un recinto que permita una reducción de la velocidad de los gases y mayor permanencia en el sensor.

Los estados que puede adoptar la señal de estos instrumentos son:
�� Estado Normal: El transmisor envía una señal entre 0 y 50 % del LEL. (4–12 mA)
�� Alarma Nivel 1: El transmisor envía una señal entre 50% y 75 % del LEL. (12–16 mA)
�� Alarma Nivel 2: El transmisor envía una señal superior a 75% de LEL. ( > 16 mA )
�� Falla de Transmisor: Envía una señal inferior a 0% o superior a 100 %. ( <>20 mA)

La “Falla de transmisor” se refiere simplemente a la lectura de una señal incoherente o errónea que implica una descalibración “hacia abajo” menor al 0 % (<> a 20 mA) de mezcla explosiva. Esto implica realizar un mantenimiento periódico y llevar una historia documentada de cada uno de los sensores de mezcla explosiva.

Para detección de mezcla explosiva se define como valor máximo de sensado al límite mínimo para el cual la mezcla aire/gas combustible puede iniciar y mantener la combustión denominado LEL (low explosive limit), mezcla con 5 % de metano y 95 % de aire); la señal generada por el transmisor es enviada al sistema para ser monitoreada y procesada desde cero por ciento de relación gas/aire del valor LEL hasta el cien por ciento de esta medición.

Nota: Se hace mención que con este método de detección el sistema puede actuar con un margen de seguridad ya que a los valores de alarma los porcentajes de mezcla todavía no llegan a ser explosivos ni producen combustión. Un transmisor de mezcla explosiva se muestra en la foto de la derecha.

Detectores de Llama (UV-IR)
Permiten la detección de focos de llama mediante la detección de las emisiones combinadas de Luz ultravioleta y radiación infrarroja producidas por una llama. Estas dos emisiones son comparadas y en presencia de las dos se activa una señal discreta la cual es enviada a los controladores. Asimismo muestran el nivel alcanzado en lazo de 4-20 mA. Están ubicados principalmente de forma tal de cubrir zona de riesgo en hornos de hot-oil (tipo cabina de tiro natural y radiales de tiro forzado), Motocompresores (propano y gas de reciclo), Electro-compresores (propano y gas de reciclo), Tanques de hidrocarburo, Reboilers de gasolina, regeneradores de glicol y Moto-generadores. En la foto de abajo se muestra un equipo montado, estos van generalmente en altura.

Los estados que puede adoptar la señal de estos instrumentos son:

�� Estado Normal: El transmisor envía una señal de 4 mA.
�� Alarma por Llama: El transmisor envía una señal de 20 mA.
�� Falla de Detector: El transmisor envía una señal menor de 4 mA o mayor de 20 mA.
�� Reset del Detector: El DeltaV abre un contacto para alimentación del detector por 5 seg.
�� Prueba del Detector: El DeltaV cierra un contacto para prueba del detector.

La falla de detector es una señal que proviene de una rutina de autotesteo del instrumento y la misma toma un valor inferior al 0 % (<4>modificables únicamente desde el Modo Programación del sistema de seguridad.

Transmisores de Nivel
Detección de alto nivel en Separador de Venteo. Estos son redundantes y de tecnología diferente. Uno de ellos es por presión diferencial y otro del tipo radar de onda guiada. Cualquiera de ellos puede producir “trip” del sistema pasado un nivel del 30 % del separador de venteo. Asimismo para un nivel del 20 % del equipo estos transmisores activan automáticamente una electro-bomba de drenaje. Esta bomba tiene redundancia neumática, es decir que si falla la bomba eléctrica, se acciona la bomba neumática. El nivel es mostrado por señales de 4-20 mA. Una diferencia de medición en ambos muestra alarmas de prioridad. Los criterios de falla son los mismos que los descritos para los detectores de mezcla explosiva.

Transmisores de Presión
Permiten el monitoreo continuo de presiones en el circuito de gas de alta presión y detección de alto nivel de crecimiento de presión. Estos son redundantes y la presión es mostrada por señales de 4-20 mA. Dado que aguas abajo de la Planta Ramos se encuentra una Planta Compresora, distante unos 30 Km, los transmisores de presión en conjunto con lógica provocan bloqueo y venteo de Planta con el fin de evitar sobre presión en el gasoducto de Planta Ramos- Planta Compresora. La verificación de la integridad del lazo es similar a la de los detectores de mezcla explosiva.

Detectores de Humo
Permiten la detección de emanaciones de humo en sectores cerrados producto de la combustión de elementos en dichos recintos, su señal de alarma también es enviada a los distintos controladores para su procesamiento lógico.

�� Señales enviada al sistema: Presencia de Humo detectada, Contacto seco 2.0 Amp. Normal Abierto.
�� Reset del Sensor: Por corte durante 10 seg. de la alimentación.

Estos detectores están ubicados principalmente en los CCM´s, trincheras de canalizaciones eléctricas, sala de controladores y sala de control. No provocan “trip” del sistema de seguridad, sólo emiten alarmas.

Pulsadores de ShutDown
Pulsadores de campo distribuidos que al ser presionados provocan “trip” del Sistema de Seguridad. Están ubicados en lugares accesibles, son operados manualmente y a voluntad del operador en caso que de acuerdo a su criterio detecte una situación de emergencia. Además cuentan con carteles indicadores. No están colocados a una entrada discreta del módulo de entrada del controlador como es de esperar. Estos cuentan con una resistencia de corto circuito que permite una circulación de corriente continua y por ello están colocados al módulo de entrada analógico. Los estados que puede adoptar la señal de los circuitos de los pulsadores son:

�� Estado Normal: Por el circuito del pulsador circula una señal de 4 mA.
�� Pulsador accionado: Por el circuito del pulsador circula una señal de 20 mA.
�� Falla del circuito del Pulsador: La señal del pulsador es menor a 4 mA o mayor a 20 mA.

El chequeo de continuidad del circuito entre el controlador DeltaV y los pulsadores de Shut Down está garantizado por la medición permanente de la señal de corriente. El circuito de los pulsadores de golpe de puño (shut down) tiene un circuito dedicado para la verificación continua de la integridad de este circuito. En caso de que este circuito de corriente tenga inconvenientes eléctricos el sistema da aviso al operador de planta sin producir el shutdown de la estación (corrientes menores a 4 mA o mayores a 20 mA). Existe también un botón para Shutdown en las pantallas de las estaciones de operación de planta el cual puede ser accionado por el operador y producir el “trip” del sistema.

Elementos de Acción Final (EAF)
Los elementos de acción final que manejan los controladores del sistema de seguridad son principalmente:

Válvulas Solenoides: Utilizadas para vincular el sistema neumático e hidráulico de válvulas y controladores neumáticos/ hidráulicos, entre otros de los sistemas redundantes de bloqueo de ingreso de gas.
Conversores IP: Usados en las controladoras de presión de gas de salida de planta a gasoducto.
Relays: Se usan como salidas intermedias para producir paro de equipos, salidas de alarmas visuales y acústicas, etc.

Todos estos elementos poseen lazo de chequeo de continuidad similares a los descritos en Transmisores de Mezcla Explosiva y Detectores de Llama, lo que asegura una verificación continua del estado del circuito eléctrico.

Concepto de Activado y Simultaneidad
Todos los elementos de detección ( ED ) citados; medidores de mezcla explosiva, detectores de llama, transmisores de presión, etc., son de monitoreo contínuo. Cuando la lectura que realizan arroja valores por debajo del límite de “ACTIVACIÓN”, el sistema de seguridad chequea constantemente su estado en espera de una emergencia.

En el caso que algún elemento envíe un valor superior al límite aceptable, el sistema de seguridad
considerará su estado como “ACTIVADO” y lo hará durante el tiempo en que esté realmente activado más un tiempo a partir del instante de desactivación, denominado TIEMPO DE PERMANENCIA.

Transcurrido ese tiempo el sistema de seguridad habilita la posibilidad de cambiar el estado del sensor (dentro del programa que ejecuta el sistema) evaluando la indicación real del sensor en ese momento. Este concepto en el sistema de seguridad se hace a través de la ejecución de la siguiente premisa: “Un elemento de detección ACTIVADO podrá cambiar la indicación de su estado (dentro del programa que ejecuta el sistema) a DESACTIVADO si y sólo si se obtienen lecturas del elemento sensor por debajo de los niveles de activación por más del TIEMPO DE PERMANENCIA estipulado”. El TIEMPO DE PERMANENCIA es un parámetro que puede ser modificado únicamente desde el modo Programación por personal autorizado para hacer esto.

De lo anterior se deduce que el concepto de SIMULTANEIDAD que aparece en las lógicas de emergencia no cubre sólo la existencia real simultánea de las condiciones de activación, sino tambien:

1) La detección de un evento de emergencia.
2) Su desaparición.
3) La aparición y detección de otro evento de emergencia en un tiempo menor o igual que el TIEMPO DE PERMANENCIA desde la desaparición del evento referido en el punto 1.

Con este sentido, y tomando un ejemplo para los transmisores de mezcla explosiva, para poder mantener operativo el criterio de simultaneidad, estos transmisores permanecerán por un tiempo de 20 segundos (estos tiempos están programados en el controlador DeltaV y son modificables únicamente desde el Modo Programación del sistema DeltaV por personal autorizado) activos luego de finalizada su detección, esperando que otro detector o grupo de detectores se activen con lo que iniciará el “trip” del sistema por detección de mezcla explosiva.

Este concepto no es válido para los pulsadores de puño, los cuales al ser accionados disparan instantáneamente el sistema.

Operación Modo Manual
El sistema no ejecuta lógica de Shutdown ante eventos detectados, con la excepción de los Pulsadores de Shutdown. Es decir la acción de salida del sistema permanece inhibida por detección de los sensores (llama, mezcla explosiva, nivel, presión), pero no para los pulsadores de ShutDown.

Asimismo permite la visualización de todas las variables asociadas como el disparo de las alarmas configuradas, como de funcionamiento correcto de los controladores, estado de comunicación y funcionamiento normal de los sensores y equipos.

En este modo el Operador de Sala puede cambiar el estado de la salida de válvulas individualmente o paro de algún equipo en particular por Shutdown. Se muestra en la figura de arriba un lay out del sistema de seguridad del tren A & B de la estación de Operación de sala del sistema de seguridad. Se puede modificar individualmente el estado manual o automático desde Estación de Operación de sala para cada planta.

Modo Automático

En este modo el sistema efectúa las acciones programadas para cada caso sin intervención del operador. El sistema verifica las condiciones a través de los elementos de detección y pude jecutar las lógicas y acciones siguientes:

• Shutdown de Planta: existen dos condiciones:

1) Nivel 1: Bloqueo de ingreso de gas a planta, Paro de equipos y Despresurización controlada de trenes de proceso D, C, B y A.
2) Nivel 2: Bloqueo de ingreso de gas a planta y Paro de equipos de trenes de proceso D, C, B y A.

• Shutdown de estación remota ESP.
• Shutdown de protección de gasoducto.
• Shutdown de Pozos de Bloque Sur.
• Shutdown de Pozos de Bloque Norte.
• Condiciones generales de Alarma del sistema.
• Cierre de Pozos de producción por alta presión (transmisión hidráulica), consecuencia del bloqueo de ingreso de gas a Planta.

Todas las acciones son informadas mediante alarmas en la estación de operación.

En este modo el operador también puede ejercer el comando manual para ejecutar shutdown individualmente de cada tren de proceso, como así también puede tomar acción sobre los siguientes equipos:
�� Cierre de válvulas de bloqueo.
�� Apertura de válvulas de venteo previa verificación de cierre de válvulas de bloqueo. En la figura de la derecha se muestra un gráfico de la estación de operación de planta de las válvulas de venteo en estado abierto de todos los trenes de proceso.
�� Paro de Compresores.
�� Paro de Bombas.
�� Paro de Hornos.
�� Paro de Generadores de Usina.
�� Apertura de válvulas controladoras de presión de salida de planta.

Modo Reset
Producido un evento de shutdown, el sistema permanece en ese estado hasta que las condiciones que lo produjeron hayan desaparecido, luego de las cuales el sistema debe volver a rearmarse mediante el Reset del mismo por parte del operador. Cumplida esta condición podrán volver a condición de operación los equipos o válvulas de bloqueo y venteo de planta. El rearme de cualquier elemento de acción es manual; por lo tanto, a pesar que la rehabilitación que se realiza con el RESET desde sala de control y sea un comando de cambio de estado de los elementos de acción, el mismo no se realizará realmente si no se lleva a cabo la operación en el sistema local del equipo o válvula.

Cabe mencionar que las válvulas de ingreso de gas a planta deben habilitarse en forma local. Es decir para abrirlas se debe ir a al pie de la misma y habilitar el “piloto” neumático.

En caso de no desaparecer la condición de shutdown, el sistema permanece en ese estado hasta que se normalice el elemento que produjo el “trip”, mientras tanto no se podrá cambiar de estado ninguna válvula u equipo, dado que estos permanecen inhibidos.

Todas las variables operativas del sistema de Seguridad están representadas en las correspondientes pantallas en la aplicación del sistema de seguridad en estación de trabajo de Planta Ramos.

Lógica de Funcionamiento
Los lineamientos para diseñar la lógica de acción fueron, buscar la mayor simplicidad con la detección temprana por medio de monitoreo permanente de causas de riesgo. Además de permitir un mantenimiento y detección de fallas del propio sistema de forma efectiva. Otro aspecto importante que se tuvo en cuenta es la información que se brinda al Operador de Planta, dado que de esto depende las acciones posteriores a consecuencia de un “trip”.

Anteriormente se resumió el criterio determinístico aplicado a la lógica, lo que contribuye a tener un sistema de alta confiabilidad.

Condiciones de Shutdown Nivel 1
Shutdown de Planta por intervención del Operador:
• Pulsador de ShutDown de Campo: Activación de cualquier pulsador (estos no se inhiben cuando
el sistema está en modo manual).
• Pulsador de Estación de Operación desde sala de control (virtual).

Shutdown de Planta originado por detección de llama:
• Dos detectores de llama activados simultáneamente, estos detectores son los llamados
panorámicos.
• Un detector de llama con lógica de simultaneidad de un minuto.
• Un detector de llama y un detector de Mezcla explosiva simultáneamente.

Secuencia de Accionamiento de shutdown Nivel 1:
1) “Trip” de alarmas de Planta.
2) Bloqueo o cierre de válvulas de shutdown SDV´s de ingreso de gas a planta. Los actuadores neumáticos son comandados directamente por las válvulas solenoides desde el controlador del sistema de seguridad a través de relays. En serie con estas válvulas se produce el cierre o bloqueo de la segunda línea, pero estas están comandadas por un controlador neumático, por lo que las válvulas solenoides del sistema de seguridad accionan el piloto del controlador mencionado.
3) Encendido de Moto-bomba de Red contra incendios.
4) Shutdown nivel 2 Estación Separación Primaria remota de compresión de “bloque sur” (comando enviado desde el controlador de Planta Ramos al controlador de ESP por sistema de telecomunicación).
5) Paro de hornos de hot-oil.
6) Paro de hornos de regeneración de Mono-etilenglicol de tren A y tren B.
7) Paro de compresores de reciclo, bloqueo y despresurización del “Sistema de Reciclo”.
8) Paro de compresores de propano, bloqueo y despresurización del “Sistema de enfriamiento”.
9) Paro de electro-bombas.
10) Verificación de cierre correcto de válvulas de ingreso de gas sistema de doble boqueo de ingreso
de gas (control del estado).
11) Venteo de planta mediante apertura de controladoras de presión (PCV´s). El orden de apertura
depende del lugar donde se originó la condición de shutdown.
12) Apertura de válvulas de venteo (BDV´s) de tren D, C, B y A. El orden de apertura depende del lugar donde se originó la condición de shutdown.
13) Espera condición de Reset.

Condiciones de Shutdown Nivel 2
Shutdown de Planta originado por detección de mezcla explosiva:
• Tres sensores de mezcla explosiva en nivel 2 simultáneamente con criterio de simultaneidad.
• Cinco sensores de mezcla explosiva en nivel 2 simultáneamente con criterio de simultaneidad.
• Alto nivel de separador de venteos (KOD).

Secuencia de Accionamiento de shutdown Nivel 2:
1) “Trip” de alarmas de Planta.
2) Bloqueo o cierre de válvulas de shutdown SDV´s de ingreso de gas a planta.
3) Encendido de Moto-bomba de Red contra incendios.
4) Shutdown nivel 2 Estación Separación Primaria remota de compresión de “bloque sur” (comando
enviado desde el controlador de Planta Ramos al controlador de ESP por sistema de telecomunicación).
5) Paro de hornos de hot-oil.
6) Paro de hornos de regeneración de mono-etilenglicol de tren A y tren B.
7) Paro de compresores de reciclo, bloqueo y despresurización del “Sistema de Reciclo”.

8) Paro de compresores de propano, bloqueo y despresurización del “Sistema de enfriamiento”.
9) Paro de electro-bombas.
10) Verificación de cierre correcto de válvulas de ingreso de gas sistema de doble boqueo de ingreso
de gas (control del estado).
11) Espera condición de Reset.

Shutdown de Protección de Gasoducto
Esta lógica fue desarrollada principalmente para proteger los gasoductos de Ramos-Cornejo ante
paradas imprevistas de la Compresora Cornejo (distanta 30 km), evitando que la presión en los mismos alcance valores críticos.

La variable que se controla es la presión de cabecera de Gasoducto en la salida de los puentes de medición PM-21, PM-30 y PM-40 de salida de Planta. Esta lógica también cuenta con modo manual (puede ser operada sólo por el operador) y modo automático o normal. En la figura de la
izquierda se muestra la pantalla de operación en la cual se puede seleccionar la opción de bloqueo de 3 Millones y bloqueo de 11 Millones que se describe a continuación.

Esta protección tiene dos condiciones:
a) Bloqueo de 3 millones (3MMMCSD):
Cuando se produce un incremento de 2,2 lbs/minuto (gradiente de presión) y superalos 1.145 Lbs (80.5 Kg/cm2). El sistema activa el doble bloqueo de ingreso de gas en manifold de planta sólo para los pozos R-1001, R-1002 y R-1004. Disparando shutdown nivel 2 sólo en tren D (capacidad de proceso de 3 millones Sm3/D).
b) Bloqueo de 11 millones (11MMMCSD): Cuando se produce un incremento de 4,3 lbs/minuto (gradiente de presión) y supera los 1.160 Lbs (81.5 Kg/cm2). Dispara shutdown nivel 2 total (capacidad de proceso 11 millones Sm3/D).

Reporte Maestro de Alarmas y Eventos
En la aplicación del sistema de seguridad de Planta Ramos se incluye un reporte de todas las Alarmas y Eventos ocurridos durante la operación del sistema. El registro de esta información coincide con la cronología real de la detección de alarmas, eventos y las acciones tomadas. Por lo tanto el Reporte Maestro incluye la hora, la fecha, la descripción y la procedencia (Tren de proceso) de la Alarma o Evento.

La aplicación del sistema de seguridad de Planta Ramos integra la información de alarmas y eventos generados por el sistema de seguridad de ESP. A tal fin existe una correspondencia exacta entre la hora de ambos sistemas, característica garantizada por la arquitectura propia que tiene el sistema, ya que el controlador de ESP es un nodo más del sistema de Planta Ramos. Cabe aclarar que todos los nodos que componen el sistema de seguridad y el sistema de control tienen la misma hora que es controlada y monitoreada por el servidor principal del sistema (servidor de programación) ubicado en Planta Ramos.

Reporte Diario de Mantenimiento.
Detección de fallas en el sistema de supervisión y control de seguridad.
Cada uno de los elementos de detección (ED) y elementos de acción final (EAF) del sistema cuentan con una verificación continua del estado de falla del componente y de toda la ruta de comunicación (circuito eléctrico) asociada al mismo.

La detección de una falla en la comunicación de algún componente del sistema de seguridad es claramente indicada en la pantalla de la estación de operación que se trate, y genera automáticamente un reporte sobre la falla detectada. El sistema puede resumir diariamente en un archivo todos los eventos relacionados con dichas fallas.

Dentro de la condición de falla de un componente de detección están considerados:
• Valores de señales no coherentes, menores de 4 mA y mayores de 20 mA.
• Funcionamiento defectuoso del controlador de sistema de seguridad.
• Funcionamiento defectuoso del vínculo o red de comunicación de red primaria y/o secundaria de control.
• Funcionamiento defectuoso de fuente de alimentación.
• Falla de transmisores de mezcla explosiva.
• Falla de detectores de llama.

• Falla de transmisores de presión.
• Falla de transmisores de nivel.
• Desviación de transmisores de nivel.

• Falla de botones de pulsadores de shutdown.

Condiciones de Paro de Equipos.
Todos los equipos de planta, a excepción de los Motogeneradores de Usina, paran con el accionamiento de shutdown de planta (Nivel 1 o Nivel 2). La energía eléctrica se consideró necesaria en un caso de contingencia (posibles shutdown sin luz diurna) y como la Usina se encuentra distante 800 metros del manifold de ingreso de gas a Planta, se decidió no asociar ésta al shutdown. No obstante el sistema de generación tiene su propio sistema de shutdown, con criterio similar al de planta, que incluye monitoreo de mezcla explosiva, detección de llama y pulsadores de paro de Usina.

Adicionalmente se colocaron medición de mezcla explosiva y detección de llama dedicada sobre los equipos como:

• Compresores de propano eléctricos (6,6 KVolts) y con motores a explosión.
• Compresores de Reciclo eléctricos (6,6 KVolts) y con motores a explosión.
• Hornos de “hot-oil” de tiro forzado y tiro natural.
• Hornos regeneradores de mono-etilenglicol.

Ante una detección de llama en los niveles indicados anteriormente producen un paro del equipo,
bloqueo de ingreso de producto de proceso y venteo del equipo (sólo en compresores). Lo mismo
sucede por detección de llama y mezcla explosiva al mismo tiempo.

Ante una detección de mezcla explosiva en los niveles indicados anteriormente sólo producen paro del equipo y bloque de ingreso de producto de proceso.

Es decir cada uno de este tipo de equipo posee un sistema de seguridad de su propio entorno.

Conclusión
Actualmente el Yacimiento Ramos posee un sistema de seguridad confiable que cumple con las necesidades para el que fue diseñado. Dada la importancia de éste para la operación del Yacimiento, posee una alta disponibilidad. Así como su lógica del tipo determinística lo hace repetitivo en su funcionamiento y predecible. Es importante tener presente que las condiciones de operación han cambiado con el tiempo; nuevos equipos, nuevas plantas de proceso, nuevos pozos, estaciones de compresión, estación de separación, etc. y los conceptos de seguridad han evolucionado (SIL), pero para poder aplicar estos nuevos conceptos a un Yacimiento en operación llevaría demasiado tiempo y un costo elevado, por lo que en Ramos se tiene una operación segura aplicando conceptos nuevos en la medida que se incorporan equipos y criterios de seguridad; como doble bloqueo, redundancias, canalizaciones diferentes para operación y seguridad, monitoreo continuo de variables de riesgo, verificación “on line” de las fallas de los EAF y ED, lógicas confiables, mantenimiento severo, criterios de paro de equipos acordes, reportes y alarmas objetivos con información necesaria para decisión del Operador de Planta y otras para análisis.

INGEPET 2005

SISTEMAS DE SEGURANÇA PARA GÁS INSTALAÇÕES DE TRATAMENTO

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*