SONODA Kaoru1
Safe plant operation has long been a prime requirement for process automation in oil, gas, petrochemical, and other industries. Since it is an important mission for field device vendors to provide even safer products to customers, Yokogawa has been developing field devices with enhanced safety functions. Safety instrumented systems (SIS) constitute one systematic means for safe plant operation. The specifications of such systems have been incorporated into the IEC 61508 standard and the standard has been adopted by many plants. This paper introduces the new EJX series of TÜV SIL2-approved pressure transmitters with SIS functionality.
- Product Business Center, IA Business Division
INTRODUCTION
Safe plant operation has long been pursued in all industries. Specifically, in the process automation industry which involves many hazardous elements, safety measures including explosion-protected systems have been adopted based on numerous tragic experiences. This paper introduces a differential pressure transmitter series for safety instrumented systems including Emergency Shut-Down (ESD) systems which constitute the last lifeline for process automation (Figure 1).
SAFETY INSTRUMENTED SYSTEM
Figure 1 External View of EJX Series Safe Differential Pressure Transmitters |
In process automation in oil, gas, petrochemical and other industries, it is crucial that plants are operated safely by previously preventing disasters. Plant operation must also not impact the natural environment, nor cause human and physical disasters in the case of accidents. The safety instrumented system introduced in this paper was developed to previously prevent such disasters based on experience built up over a long years.
As safety instrumented system standards, there are presently IEC61508 which defines safety functions in general industries, and IEC61511 which defines safety instrumented systems for process industries, both of which are set up as IEC standards.
In IEC61511, Safety Instrumented System (SIS) is defined as shown below.
"A SIS is defined as a system composed of sensors, logic solvers and final control elements designed for the purpose of:
- Automatically taking an industrial process to a safe state when specified conditions are violated (shutdown function);
- Permitting a process to move forward in a safe manner when specified conditions allow (permissive function); or
- Taking action to migrate the consequences of an industrial hazard (mitigation function)."
SAFETY INTEGRITY LEVEL (SIL) AND FUNCTIONS REQUIRED FOR FIELD INSTRUMENTS
The functions required for field instruments, which are the elements composing the safety instrumented system, are examined below, in consideration of the basic requirements for field instruments in IEC61508.
First, what is the definition of Safety Integrity Level (SIL) frequently used in safety instrumented systems. In safety instrumented systems, the most important target is how to reduce risks inherent to the process itself. Therefore, it is the safety instrumented systems' mission to enhance the safety of the process itself by reducing potential inherent risk factors. This is done by reducing the Probability of Failure on Demand (PFD). SIL is defined as shown in Table 1 depending on the PFD levels. A higher SIL means that a safer system can be achieved.
Table 1 Safety Integrity Level (Low Demand Mode)
Safety Integrity Level | Probability of failure on demand, average (Low Demand mode of operation) |
Risk Reduction Factor |
---|---|---|
SIL 4 | ≥ 10–5 to <10–4 | 100000 to 10000 |
SIL 3 | ≥ 10–4 to <10–3 | 10000 to 1000 |
SIL 2 | ≥ 10–3 to <10–2 | 1000 to 100 |
SIL 1 | ≥ 10–2 to <10–1 | 100 to 10 |
The IEC standard includes two types of modes, Low Demand Mode and High Demand Mode, and SIL is defined for each mode. IEC61508 defines these two modes as shown below.
"The frequency of demands for operation made on a safety- related system is no greater than one per year and no greater than twice the proof test frequency, [IEC61508-4, 3.5.12]
"If the ratio of diagnostic test rate to demand rate exceeds 100, then the subsystem can be treated as low demand mode, [IEC61508-2, 7.4.3.2.5 Note 2]
"The diagnostic test interval will need to be considered directly in the reliability model if it is not at least an order of magnitude less than the expected demand mode. [IEC61508-2, 7.4.3.2.2 Note 3]"
Two types, Type A and Type B, are defined for equipment composing safety instrumented systems (IEC61508-2, 7.4.3), which are as follows. Simple equipment including valves, relays, switches, etc. is classified as Type A, and complicated equipment including "smart" transmitters and PLCs, etc. is classified as Type B. For Type A and Type B, SILs are defined respectively as shown in Tables 2 and 3. The Safety Failure Fraction (SFF), which is a factor for determining the SILs in these tables, will be described taking the differential pressure transmitter as an example.
Table 2 Type A Subsystem
SFF | Hardware Fault Tolerance | ||
---|---|---|---|
0 | 1 | 2 | |
0% | SIL1 | SIL2 | SIL3 |
>60% | SIL2 | SIL3 | SIL4 |
>90% | SIL3 | SIL4 | SIL4 |
>99% | SIL4 | SIL4 | SIL4 |
Table 3 Type B Subsystem
SFF | Hardware Fault Tolerance | ||
---|---|---|---|
0 | 1 | 2 | |
0% | NA | SIL1 | SIL2 |
>60% | SIL1 | SIL2 | SIL3 |
>90% | SIL2 | SIL3 | SIL4 |
>99% | SIL3 | SIL4 | SIL4 |
In terms of safety, equipment failures can be roughly divided into two categories: Fail Safe and Fail Dangerous. Fail Safe failures mean those at the level of modules and subsystems inside the transmitter. For these failures, the system can be migrated to the safe side through automatic diagnoses by the diagnostic functions of the equipment. Failures in CPUs and ASICs correspond to this type of failure mode.
On the other hand, Fail Dangerous failures mean, for example, that an error in operational processes inside a CPU cannot be found unless deviations in the relation between input and output signals is determined. Such a situation is very dangerous for the safety of the equipment. In other words, even if an abnormality occurs inside the transmitter, it appears to be working normally when viewed from the outside. In such a case, although the safety instrumented system must ignore the signal from this transmitter, the transmitter continues to be used without stopping because the abnormality cannot be detected, leading the system to a hazardous situation. For this reason, the above two failure modes are divided into detectable and undetectable elements, and SFF is determined on the rate of Fail Dangerous Undetected, the most dangerous element for safety. The calculation methods defined in IEC61508 are shown below, and SFF is determined using these.
SFF = (λSD + λSU + λDD) / (λSD + λSU + λDD + λDU)
where:
SFF = Safety Failure Fraction
λSD: Fail Safe Detected
λSU: Fail Safe Undetected
λDD: Fail Dangerous Detected
λDU: Fail Dangerous Undetected
If SFF exceeds 60%, 90% or 99%, SIL 1, SIL 2 or SIL 3 is obtained respectively. IEC61508 permits self-declaration for SIL 1 but requires the third-party certification for SIL 2 and higher.
Tables 2 and 3 indicate the relationship between redundancy and SIL. For example, if SFF exceeds 90%, SIL 2 is obtained using one transmitter. Similarly, SIL 3 is obtained using two transmitters and SIL 4, using three transmitters. As safety instrumented systems are increasingly adopted in the oil, gas, and petrochemical industries, there is a growing expectation of higher SIL where risk is lower. For this reason, the demand for field instruments having the certification of SIL 2 or more is increasing. As Table 3 shows, whether SIL 2 certification is acquired or not is the important turning point for using equipment or instruments at higher SIL. For instance, if a safety instrumented system at SIL 4 is requested, transmitters of SIL 2 must be used, and thus equipment having certification for SIL 2 or more is expected to appear in the near future in a number of field instruments.
DESIGN CONCEPT FOR AND FEATURES OF EJX SERIES TRANSMITTERS
EJX series transmitter has been developed based on the functions of EJA series transmitters to meet with SIL 2 functions required in the IEC61508 and IEC61511. The developed transmitters are described below.
Safety Design Concept
Figure 2 Silicon Resonant Sensor |
High reliability in the EJX series transmitters is achieved by adopting a silicon resonant sensor and by employing highly reliable circuits and advanced diagnostic functions in the design. Accordingly, compliance with SIL 2 certification is achieved only with standard design without implementing specialized design for satisfying the SIL 2 requirements of IEC61508.
High Reliability Design Silicon Resonant Sensor
DPharp series transmitters over three generations of EJ, EJA, and EJX series have adopted the silicon resonant sensor, which detects pressure from the number of vibrations. This silicon resonant sensor is composed of two vibration-type sensors for compression and tension (Figure 2). This structure means that no output is obtained when either sensor fails. This theoretically decreases the factors for Fail Dangerous Undetected failures due to sensor failures, required for safety design.
Highly Reliable Electronic Circuits and Diagnostic Functions
Although the diagnostic functions of EJX series transmitters comply with the factors for SIL 2 in failure modes for every block such as CPUs, ASICs inside the circuits, they do not satisfy the factors for SIL 2 in reliability for functions of calculation operations inside the CPUs and ASICs. For this reason, the reverse calculation function is used as the diagnostic function for these elements to reduce Fail Dangerous Undetected failures.
Figure 3 Reverse Calculation Function |
Next, the reverse calculation function is described. Calculation processing carried out inside the EJX series transmitters is divided into four blocks as shown in Figure 3 and the matching of input with output in each block is verified. If an abnormality is found as a result of verification for each group, it is output that an abnormality is present in the diagnosis result. This satisfies the requirement of SIL 2 with the same circuit as the standard differential pressure transmitter without adding a special circuit configuration.
TÜV Certification
EJX series differential pressure transmitters were evaluated by TÜV based on the requirement of the IEC standards and successfully acquired certification. When acquiring certification, the transmitters are evaluated not only for the IEC 61508 requirement of hardware but also for software. Specifically for software, the transmitters were shown to satisfy the requirement for SIL 3. As a result, certification by TÜV, as shown in Figure 4, has been acquired.
The contents of TÜV certification are as follows:
Single Use for SIL 2
Dual Use for SIL 3
Life cycle ≥ 50 years.
Figure 4 TÜV Certificate |
This sufficiently satisfies SIL presently required for differential pressure transmitters. TÜV certification employs the form of type certification, that is, if EJX series transmitters acquire certification, then certification is given to all transmitter models which incorporate the same software. The certified period is 5 years but can be extended. If the IEC61508 standard is modified, the transmitters must be re-evaluated complying with the new standard when the certification period expires. Since the TÜV certification includes evaluation of design processes and manufacturing locations, if manufacturing locations and the like are changed, then the new manufacturing locations must be audited.
Operation Records in the Field
Another important issue for safety instrumentation transmitters is the operation records in the field. In PFD, which is an important index used for actual safety instrumented system designs, Mean Time Between Failures (MTBF) determined by taking the actual field failure records into account, is an important factor. The EJX series transmitters are the latest products in the DPharp series, which adopts the silicon resonant sensor. They are produced by following and developing the EJA series concept in the basic design and adding many diagnostic functions. For this reason, they have achieved a high PFD as shown in Figure 5 because the reliability of DPharp series transmitters has, of course, been proven in the field.
Figure 5 PFD Data
CONCLUSION
The fact that the EJX series transmitters acquired SIL 2/3 certification this time as standard products without changing hardware design specific to safe instrumented systems is largely due to the use of the silicon resonant sensor in a redundant manner and the combined design of the sensor with robust electronic circuits equipped by many diagnostic functions. This result was obtained thanks to the good design system and highly reliable production system of Yokogawa. Thus, Yokogawa has the potential to acquire the TÜV certification not only for the EJX series transmitters but also for its field instruments. For safety instrumented systems, since the above concept applies not only to pressure transmitters but also to temperature transmitters, flowmeters, level gauges, and so forth in general process automation, Yokogawa will continue to develop other subsystems and instruments in safety instrumented systems. Presently, the field-bus association is drawing up safety instrumented system standards, and Yokogawa will promote their development as important elements of future safety instrumented systems as well as contribute to such activities.
REFERENCES
- Safety Equipment Reliability Handbook (http://www.exida.com)
- Sales/Marketing of EJX certified pressure transmitter (Yokogawa Electric Corporation TI 01C25A01-04E)
- IEC61508 Part 1-7: 2000
- IEC61511 Part 1-4: 2004
- "EJX" and "DPharp" are the registered trademarks of Yokogawa Electric Corporation.
Industrias
-
Agua y agua residual
Yokogawa ha estado suministrando soluciones de control para la producción hídrica sostenible desarrollando tecnología con mayor eficiencia energética, ayudando a reducir la huella de carbono de las operaciones y fabricando productos de gran solidez que protegen el ambiente contra los contaminantes. Con nuestra tecnología de vanguardia y amplios conocimientos de las aplicaciones, trabajamos con usted para proveer soluciones hídricas sostenibles que impulsen su negocio y agreguen alto valor a lo largo del ciclo de vida de la planta. Nuestra tecnología y nuestros productos mejoran el desempeño de las plantas y garantiza que puedan operar competitivamente en los mercados del agua de hoy, así como reducir sus costos operativos. Yokogawa brinda apoyo en una amplia gama de aplicaciones para el control del agua en los mercados del agua tanto públicos como privados.
-
Bocas de pozo y separación
La boca de pozo proporciona la interfaz estructural y la presión que contiene para el equipo de perforación y producción. El control de la presión superficial es proporcionado por un ensamble de válvulas con medidores y obturadores (árbol de Navidad), que se instala en la parte superior de la boca de pozo. Las válvulas de aislamiento y los equipos de obstrucción controlan físicamente el flujo de los fluidos del pozo cuando el pozo está en producción. Varios paquetes de automatización se añaden al monitor local o remoto, controlan y optimizan la producción de cada pozo o almohadilla de múltiples pocillos. Los separadores de campos petroleros emplean un recipiente a presión para separar así los fluidos producidos en los pozos de petróleo y gas en componentes gaseosos y líquidos que se transfieren a continuación a las tuberías o almacenamiento localizados en función de la infraestructura de las zonas.
-
En cubierta
Al igual que su equivalente en tierra, el procesamiento y manejo en cubierta en las plataformas de producción preparan hidrocarburos extraídos para transportación. Yokogawa ofrece soluciones de control integrado y de monitoreo que maximizan la productividad y la disponibilidad de las operaciones en cubierta.
-
Energía
A mediados de la década de 1970, Yokogawa inició su participación en el negocio de la energía con el lanzamiento del Sistema de control eléctrico EBS. Desde entonces, Yokogawa ha continuado firmemente con el desarrollo de nuestras tecnologías y capacidades para proveer los mejores servicios y soluciones a nuestros clientes en todo el mundo.
Yokogawa ha operado la red de soluciones de energía globales para jugar un papel más activo en el dinámico mercado de energía global. Esto ha hecho un posible un trabajo en equipo más unido dentro de Yokogawa, el cual conjunta nuestros recursos globales y nuestra especialización en la industria. Los expertos en el sector de energía de Yokogawa trabajan juntos para brindar a cada cliente la solución que se adapta mejor a sus requerimientos sofisticados.
-
Energía geotérmica
La energía geotérmica puede generar un suministro estable de electricidad durante todo el año, ya que no depende de las condiciones meteorológicas. Además, como no hay combustibles que se quemen por encima del suelo y solo se liberan muy pequeñas cantidades de dióxido de carbono, es amigable con el medio ambiente. Hay abundantes recursos geotérmicos a lo largo del cinturón del Pacífico (también conocido como el "anillo de fuego"), en países como Japón, Filipinas, Indonesia, Nueva Zelanda, México, Costa Rica y Estados Unidos, así como Islandia, Turquía, e Italia que se encuentran en otras regiones de actividad geotérmica. Hasta la fecha, Yokogawa ha participado en 30 proyectos de generación de energía geotérmica en Japón, el Sudeste de Asia y otras regiones, proporcionando una variedad de tecnologías de medición y control que mejoran la confiabilidad y la eficiencia en el mantenimiento de sistemas de generación de energía geotérmica.
-
Petroquímica y a granel
Las empresas productoras de petroquímicos, productos inorgánicos o productos intermedios se encuentran bajo una presión constante para equilibrar los costos y los márgenes al suministrar productos a sus clientes de manera oportuna y eficiente, manteniendo al mismo tiempo operaciones seguras y conformes con la normativa. Además, las empresas químicas tienen que adaptarse a la constante fluctuación de los precios de los insumos y la energía y tener la capacidad de proveer al mercado la combinación de productos más rentable.
Yokogawa ha estado supliendo las necesidades de automatización del mercado de productos químicos a granel globalmente y ha obtenido reconocimiento como líder en este mercado. Con productos, soluciones y especialización en la industria, Yokogawa entiende su mercado y las necesidades de producción y trabajará con usted para proporcionarle una solución confiable y rentable durante el ciclo de vida de su planta.
-
Procesamiento y fraccionamiento
El procesamiento de gas natural está diseñado para controlar el punto de condensación del flujo de gas natural y separar los líquidos de gas natural para la venta y distribución. La eliminación de petróleo y condensados, la eliminación de agua, la separación de líquidos de gas natural y la eliminación de azufre y dióxido de carbono son procesos que se emplean para separar las impurezas en el alimentador que proviene de los yacimientos aguas arriba. En el proceso de fraccionamiento se extraen los efluentes líquidos de la planta de procesamiento de gas, que pueden estar compuestos de metano, propano, butano y pentano, para ser tratados en columnas de fraccionamiento separadas, y posteriormente pueden pasar a una planta de tratamiento de impurezas antes de ser vendidos como componentes separados.
-
Producción flotante, almacenamiento y descarga (FPSO)
La unidad de Producción flotante, almacenamiento y descarga (FPSO) es una planta de producción flotante en altamar que almacena tanto el equipo de procesamiento como los hidrocarburos producidos. Las unidades de Producción flotante, almacenamiento y descarga (FPSO) son utilizadas por las compañías petroleras para lograr que sea económicamente viable producir petróleo en zonas remotas y en aguas más profundas.
-
Refinación, procesamiento y almacenamiento de petróleo y gas
Gracias a sus innovadoras plataformas tecnológicas y su ejecución líder en la industria, Yokogawa tiene buena reputación en el mercado global como socio en soluciones pionero en la integración de tecnologías para todos los aspectos del ecosistema de petróleo y gas, desde el yacimiento hasta la empresa. Soluciones comprobadas que incluyen modelado de negocio predictivo, optimización de plantas y plataformas de automatización altamente confiables están apoyando a los operadores de refinación, procesamiento y almacenamiento a dirigir sus negocios con niveles de eficiencia óptimos. Yokogawa está ayudando a sus clientes a desarrollar sus estrategias de automatización, para garantizar años de utilización de activos altamente eficaz y sostenibilidad.
-
Terrestre
La industria de exploración, desarrollo y producción terrestre se enfrenta a exigencias cada vez más altas y mayores desafíos con entornos cada vez más difíciles y hostiles en las que debe funcionar.
A medida que las oportunidades de los recursos de gas natural no convencionales, en particular el gas de esquisto, están creciendo en América del Norte, la solución total de Yokogawa juega un papel importante al ayudar a los clientes a satisfacer los desafíos de reducir tanto el CAPEX como el OPEX, mientras que las tecnologías integradas mejoradas aumentan la producción. Nuestra experiencia global y local constituye la base de nuestras soluciones totales únicas para satisfacer las necesidades de esta industria. Con expertos en exploración, desarrollo y producción terrestre que trabajan en oficinas por todo el mundo, ofrecemos un soporte rápido y extenso para satisfacer las demandas de nuestros clientes.
Productos y Soluciones Relacionadas
-
EJX110A
Transmisor de Presión Diferencial con montaje tradicional basado en la serie EJX-A.
-
EJX115A
Transmisor de Presión Diferencial unido a un IFO basado en la serie EJX-A.
-
EJX118A
Transmisor de Presión Diferencial con Sellos Remotos de Diafragma basado en la serie EJX-A.
-
EJX210A
Los Transmisores de Presión Diferencial Montados en Brida diseñados para aplicaciones de Nivel Líquido de la serie EJX-A.
-
EJX438A
Transmisor de Presión del Manómetro con Sello Remoto del Diafragma basado en la serie EJX-A.
-
EJX440A
Transmisor de Alta Presión del Manómetro con montaje tradicional basado en la serie EJX-A.
-
EJX530A
Transmisor de Presión del Manómetro Montado en Línea basado en la serie EJX-A.
-
EJX630A
Transmisor de Alta Presión del Manómetro Montado en Línea basado en la serie EJX-A.
-
EJX910A
Este transmisor mide con precisión la presión diferencial, la presión estática, y la temperatura del proceso; además utiliza estos valores en un ordenador de flujo de alto desempeño para ofrecer Flujo Másico que está compensado.
-
EJX930A
Está diseñado específicamente para aplicaciones de alta presión estática, este transmisor mide con precisión la presión diferencial, la presión estática, y la temperatura del proceso; además utiliza estos valores en un ordenador de flujo de alto desempeño para ofrecer Flujo Másico que está compensado.
-
Transmisores de Presión
El proceso de medición preciso y estable de los transmisores de Presión de Yokogawa son la base de la operación rentable, segura y confiable de su planta.