ES2813752T3

ES2813752T3 - Montaje compuesto por un sistema de desbloqueo de emergencia y un sistema de diagnóstico para verificar el funcionamiento del sistema de desbloqueo de emergencia

Info

Publication number: ES2813752T3
Application number: ES16719110T
Authority: ES
Inventors: Anthony Webber; Julian Fairman
Original assignee: Klaw Products Ltd
Current assignee: Trelleborg Westbury Ltd
Priority date: 2015-03-26
Filing date: 2016-03-24
Publication date: 2021-03-24
Anticipated expiration: 2036-03-24
Also published as: EP3667442B1; PT3274775T; EP3274775B1; US10642242B2; PL3274775T3; PT3667442T; ES2904315T3; PL3667442T3; GB201505203D0; WO2016151330A1; EP3274775A1; EP3667442A1; GB2536696B; GB2536696A; US20180052436A1

Abstract

Un montaje para transferir materia entre los primer y segundo objetos separados por una distancia, siendo móviles uno o ambos de los primer y segundo objetos para aumentar o disminuir la distancia entre ellos, comprendiendo el montaje: un conducto que proporciona un medio para transferir líquido o vapor entre los primer y segundo objetos, comprendiendo el conducto unas primera y segunda secciones de conducto, siendo conectable operativamente la primera sección de conducto al primer objeto, siendo conectable operativamente la segunda sección de conducto al segundo objeto; y un sistema de desbloqueo de emergencia que incluye un acoplamiento de desbloqueo de emergencia, incluyendo el acoplamiento de desbloqueo de emergencia unas primera y segunda porciones de acoplamiento (10, 12), la primera porción de acoplamiento (10) acoplada operativamente a la primera sección de conducto, la segunda porción de acoplamiento (12) acoplada operativamente a la segunda sección de conducto, las primera y segunda porciones de acoplamiento (10, 12) configuradas para ser conectables y separables selectivamente para permitir el acoplamiento selectivo y la separación de las primera y segunda secciones de conducto, caracterizado por que el montaje incluye además un sistema de diagnóstico programado para realizar una prueba de ensayo para evaluar la capacidad operativa del sistema de desbloqueo de emergencia antes de la operación del conducto para transferir líquido o vapor entre los primer y segundo objetos, en el que el sistema de desbloqueo de emergencia se mantiene, durante la prueba de ensayo, en un primer estado de seguridad para desenergizar el acoplamiento de desbloqueo de emergencia y mantener las primera y segunda porciones de acoplamiento conectadas entre sí.

Description

DESCRIPCIÓN

Montaje compuesto por un sistema de desbloqueo de emergencia y un sistema de diagnóstico para verificar el funcionamiento del sistema de desbloqueo de emergencia

La presente invención se refiere a un montaje para transferir líquido o vapor entre unos primer y segundo objetos separados por una distancia.

Es conocido el uso de un acoplamiento de desbloqueo de emergencia con porciones de acoplamiento separables para conectar y separar selectivamente diferentes secciones de conducto pertenecientes a un conducto que se usa para transferir materia entre los primer y segundo objetos separados por una distancia.

El documento EP 2808242 A1 divulga sistemas, aparatos y procedimientos relacionados con la transferencia de gas natural licuado de un barco a otro desde el muelle. El documento US 2007/282457 A1 divulga un controlador programable que tiene una unidad de autodiagnóstico para autodiagnosticar si una RAM es normal o no inspeccionando secuencialmente una pluralidad de áreas de memoria a las cuales se asigna la dirección individualmente en las unidades de inspección secuenciadas. El documento US2009 / 0293969 divulga un sistema de desconexión de emergencia para un brazo de carga de fluido.

De acuerdo con un aspecto de la invención, se proporciona un montaje para transferir líquido o vapor entre los primer y segundo objetos separados por una distancia, siendo móviles uno o ambos de los primer y segundo objetos para aumentar o disminuir la distancia entre ellos, comprendiendo el montaje:

un conducto que proporciona un medio para transferir líquido o vapor entre los primer y segundo objetos, comprendiendo el conducto unas primera y segunda secciones de conducto, siendo conectable operativamente la primera sección de conducto al primer objeto, siendo conectable operativamente la segunda sección de conducto al segundo objeto; y

un sistema de desbloqueo de emergencia que incluye un acoplamiento de desbloqueo de emergencia, incluyendo el acoplamiento de desbloqueo de emergencia unas primera y segunda porciones de acoplamiento, la primera porción de acoplamiento acoplada operativamente a la primera sección de conducto, la segunda porción de acoplamiento acoplada operativamente a la segunda sección de conducto, las primera y segunda porciones de acoplamiento configuradas para ser conectables y separables selectivamente para permitir el acoplamiento selectivo y la separación de las primera y segunda secciones de conducto,

caracterizado por que el montaje incluye además un sistema de diagnóstico programado para realizar una prueba de ensayo para evaluar la capacidad operativa del sistema de desbloqueo de emergencia antes de la operación del conducto para transferir líquido o vapor entre los primer y segundo objetos, en el que el sistema de desbloqueo de emergencia se mantiene, durante la prueba de ensayo, en un primer estado de seguridad para desenergizar el acoplamiento de desbloqueo de emergencia y mantener las primera y segunda porciones de acoplamiento conectadas entre sí.

La provisión del sistema de diagnóstico en el montaje de la invención permite la realización de una prueba de ensayo para confirmar el funcionamiento correcto del sistema de desbloqueo de emergencia antes del funcionamiento del conducto para transferir líquido o vapor entre los primer y segundo objetos. La capacidad de confirmar el funcionamiento correcto del sistema de desbloqueo de emergencia de esta manera reduce en gran medida el riesgo de efectos adversos resultantes del fallo del sistema de desbloqueo de emergencia durante el funcionamiento del conducto para transferir líquido o vapor entre los primer y segundo objetos. Ejemplos de dichos efectos adversos incluyen costes operativos aumentados e impacto ambiental perjudicial debido al derrame/pérdida del líquido o vapor del conducto.

El sistema de diagnóstico se puede programar para realizar una prueba de ensayo para evaluar la capacidad operativa del sistema de desbloqueo de emergencia antes de cada una de una pluralidad de operaciones del conducto para transferir líquido o vapor entre los primer y segundo objetos. Esto garantiza la operación segura y fiable del montaje, en particular en circunstancias en las cuales hay un cambio regular en el operario que supervisa el funcionamiento del montaje.

Mantener el sistema de desbloqueo de emergencia en el primer estado de seguridad durante la prueba de ensayo evita la separación espuria descontrolada de las primera y segunda porciones de acoplamiento.

El primer estado de seguridad puede incluir uno o más de:

• desenergización de una fuente de energía configurada para habilitar la carga de una fuente de energía almacenada para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento;

• desenergización de un sistema de calentamiento dispuesto para controlar la temperatura del acoplamiento de desbloqueo de emergencia;

• desenergización de una o más válvulas solenoides conmutables para controlar el funcionamiento del sistema de desbloqueo de emergencia;

• mantener una fuente de energía almacenada en un estado de carga completa, en el que la fuente de energía almacenada es para que un accionador operable inicie la separación de las primera y segunda porciones de acoplamiento;

• mantener cerrado un elemento de activación, que sea conmutable para abrir para iniciar la separación de las primera y segunda porciones de acoplamiento;

• mantener abierto un elemento de bloqueo, que sea conmutable para cerrar para configurar las primera y segunda porciones de acoplamiento para bloquear el flujo de líquido o vapor a su través.

La prueba de ensayo puede incluir uno o más de:

• una prueba de un accionador para simular la separación de las primera y segunda porciones de acoplamiento, en la que el accionador normalmente sea operable para iniciar la separación de las primera y segunda porciones de acoplamiento pero esté configurado durante la prueba de ensayo para inhibir la separación real de las primera y segunda porciones de acoplamiento;

• una prueba de la integridad y/o el estado de una o más válvulas solenoides conmutables para controlar el funcionamiento del sistema de desbloqueo de emergencia;

• una prueba del estado de uno o de un sensor de distancia respectivo configurado para medir, en uso, la distancia entre los primer y segundo objetos;

• una prueba del estado de uno o de un sensor respectivo configurado para medir una propiedad del sistema de desbloqueo de emergencia;

• una prueba del estado de un sistema de calentamiento dispuesto para controlar la temperatura del acoplamiento de desbloqueo de emergencia;

• una prueba del estado de una fuente de energía almacenada para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento;

• una prueba del estado de una bomba configurada para cargar una fuente de energía almacenada para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento;

• una prueba de la integridad y/o el estado de un sistema de control programado para hacer funcionar el sistema de desbloqueo de emergencia.

En modos de realización de la invención, el montaje puede comprender además:

una función instrumentada de seguridad que incluye un sensor, un solucionador lógico y un elemento final, teniendo el elemento final forma de acoplamiento de desbloqueo de emergencia, en el que el solucionador lógico está programado para activar el elemento final en respuesta a la detección de una falla que inhibe el funcionamiento del conducto para transferir de forma segura líquido o vapor entre los primer y segundo objetos para:

iniciar un primer estado de seguridad para desenergizar el acoplamiento de desbloqueo de emergencia y mantener las primera y segunda porciones de acoplamiento conectadas entre sí; o

iniciar un segundo estado de seguridad para causar la separación de las primera y segunda porciones de acoplamiento.

El inicio de cualquiera de los primer y segundo estados de seguridad en respuesta a la falla elimina el riesgo de efectos adversos resultantes de una operación insegura del conducto para transferir líquido o vapor entre los primer y segundo objetos. Como se mencionó anteriormente, los ejemplos de dichos efectos adversos incluyen costes operativos aumentados e impacto ambiental perjudicial debido al derrame/pérdida del líquido o vapor del conducto. Además, la iniciación del primer estado de seguridad en respuesta a la falla permite un reinicio rápido de la operación del conducto para transferir de forma segura líquido o vapor entre los primer y segundo objetos después de que se haya eliminado la falla.

Por lo tanto, la provisión del sistema instrumentado de seguridad en el montaje de la invención permite que el montaje logre de forma fiable un estado de seguridad en el caso de la falla, reduciendo por tanto el riesgo operable a un nivel que habilite que el montaje logre un Nivel de Integridad de Seguridad (Clasificación SIL) deseado. En particular, la función instrumentada de seguridad del montaje de la invención está diseñada para lograr una clasificación SIL2.

En modos de realización de la invención, el solucionador lógico se puede programar para activar selectivamente el elemento final para iniciar el segundo estado de seguridad después de que se inicie el primer estado de seguridad. Asegurándose de que el segundo estado de seguridad se inicia después de que se inicia el primer estado de seguridad, el nivel de riesgo operable asociado con la operación del montaje para transferir líquido o vapor entre los primer y segundo objetos se reduce aún más.

En dichos modos de realización, el solucionador lógico se puede programar para activar selectivamente el elemento final para iniciar el segundo estado de seguridad después de un retardo de tiempo después de que se inicie el primer estado de seguridad.

En otros modos de realización de la invención, el sensor puede ser un sensor de distancia configurado para medir, en uso, la distancia entre los primer y segundo objetos, y la falla puede incluir la distancia entre los primer y segundo objetos que exceda un umbral de distancia de seguridad predefinido. Esto permite que la función instrumentada de seguridad inicie cualquiera de los primer y segundo estados de seguridad en respuesta a un aumento no deseado de la distancia entre los primer y segundo objetos.

En dichos modos de realización, el solucionador lógico se puede programar para activar selectivamente el elemento final para: iniciar el primer estado de seguridad cuando la distancia entre los primer y segundo objetos exceda un primer umbral de distancia de seguridad; e iniciar el segundo estado de seguridad para causar la separación de las primera y segunda porciones de acoplamiento después de que se inicie el primer estado de seguridad y cuando la distancia entre los primer y segundo objetos exceda un segundo umbral de distancia de seguridad que sea mayor que el primer umbral de distancia de seguridad.

La función instrumentada de seguridad se puede configurar para permitir la iniciación del segundo estado de seguridad a demanda independientemente del sensor. Esto permite al operario iniciar manualmente el segundo estado de seguridad, reduciendo por tanto aún más el nivel de riesgo operable asociado con el funcionamiento del montaje para transferir líquido o vapor entre los primer y segundo objetos.

La falla puede incluir una o más de:

• la condición de funcionamiento de fallo o falla de un componente de montaje;

• la condición de funcionamiento de fallo o falla de cada uno de una pluralidad de componentes de montaje dispuestos en una configuración redundante.

La falla puede incluir una o más de:

• la condición de funcionamiento de fallo o falla de uno o más de una pluralidad de componentes de montaje dispuestos en una configuración redundante;

• la condición de funcionamiento de fallo o falla de la mayoría de una pluralidad de componentes de montaje dispuestos en una configuración redundante.

La clasificación SIL del montaje se mejora mediante el sistema instrumentado de seguridad que utiliza la configuración redundante de los componentes del montaje como base para activar el elemento final. Más específicamente, este último implica la iniciación del estado de seguridad solo cuando más de un componente de montaje redundante ha fallado o experimentado una condición de funcionamiento de falla, ya que el funcionamiento del conducto para transferir líquido o vapor de forma segura entre los primer y segundo objetos aún se puede llevar a cabo cuando al menos uno de los componentes de montaje redundantes no ha fallado o ha experimentado una condición de funcionamiento de falla.

El o cada componente de montaje puede ser o puede incluir:

• el acoplamiento de desbloqueo de emergencia;

• el sensor;

• una fuente de alimentación configurada para alimentar un componente de montaje;

• una fuente de energía almacenada para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento;

• una bomba configurada para cargar una fuente de energía almacenada para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento;

• un sistema de calentamiento dispuesto para controlar la temperatura del acoplamiento de desbloqueo de emergencia;

• un sistema de control programado para monitorizar y/o hacer funcionar el acoplamiento de desbloqueo de emergencia.

De acuerdo con una primera disposición, se proporciona un acoplamiento de desbloqueo de emergencia, para acoplar de forma liberable unas primera y segunda secciones de conducto entre sí, que comprende:

unas primera y segunda porciones de acoplamiento, la primera porción de acoplamiento operativamente acoplable a la primera sección de conducto, la segunda porción de acoplamiento operativamente acoplable a la segunda sección de conducto, las primera y segunda porciones de acoplamiento configuradas para ser conectables y separables selectivamente para permitir el acoplamiento y la separación selectivos de las primera y segunda secciones de conducto; y

al menos un sensor para medir la temperatura del acoplamiento de desbloqueo de emergencia.

La configuración del acoplamiento de desbloqueo de emergencia de esta manera permite un control directo y preciso de la temperatura del acoplamiento de desbloqueo de emergencia.

De acuerdo con una segunda disposición, se proporciona un acoplamiento de desbloqueo de emergencia, para acoplar de forma liberable las primera y segunda secciones de conducto entre sí, que comprende:

unas primera y segunda porciones de acoplamiento, la primera porción de acoplamiento operativamente acoplable a la primera sección de conducto, la segunda porción de acoplamiento operativamente acoplable a la segunda sección de conducto, las primera y segunda porciones de acoplamiento configuradas para ser conectables y separables selectivamente para permitir el acoplamiento y la separación selectivos de las primera y segunda secciones de conducto;

un mecanismo de acoplamiento dispuesto para acoplar de forma liberable las primera y segunda porciones de acoplamiento entre sí;

un accionador operable para aplicar una fuerza mecánica al mecanismo de acoplamiento para iniciar la separación de las primera y segunda porciones de acoplamiento;

al menos un mecanismo de enlace dispuesto para localizarse de forma liberable en una posición de enlace para acoplar el accionador y el mecanismo de acoplamiento entre sí, en el que el accionador puede aplicar la fuerza mecánica al mecanismo de acoplamiento solo cuando el o cada mecanismo de enlace esté en la posición de enlace; y

al menos un sensor para monitorizar la posición del o de cada mecanismo de enlace.

La configuración del acoplamiento de desbloqueo de emergencia de esta manera permite un control directo y preciso de la posición del o de cada mecanismo de conexión del acoplamiento de desbloqueo de emergencia. En las primera y segunda disposiciones, el o cada sensor se puede incorporar en el acoplamiento de desbloqueo de emergencia.

Se apreciará que las características de los modos de realización de la invención y las características de las primera y segunda disposiciones se pueden usar en combinación entre sí.

Un modo de realización preferente de la invención se describirá ahora, a modo de ejemplo, con referencia a los dibujos adjuntos en los cuales:

La Figura 1 muestra esquemáticamente un montaje de acuerdo con un modo de realización de la invención; las Figuras 2a y 2b muestran esquemáticamente un acoplamiento de desbloqueo de emergencia del montaje de la Figura 1;

la Figura 3 ilustra, en forma gráfica, la conversión de un valor de sensor en una señal analógica de 4-20 mA; la Figura 4 muestra una representación gráfica de dos funciones instrumentadas de seguridad;

la Figura 5 muestra una matriz de seguridad; y

las Figuras 6 a 8 ilustran, en forma de diagrama, diagramas de sincronización de válvulas solenoides.

Se apreciará que la siguiente descripción del modo de realización preferente de la invención está destinada a ilustrar el funcionamiento de la invención, y la invención se puede emplear en otras aplicaciones que impliquen la transferencia de materia entre los primer y segundo objetos separados por una distancia, con lo que uno o ambos de los primer y segundo objetos son móviles para aumentar o disminuir la distancia entre ellos.

En la Figura 1 se muestra esquemáticamente un montaje de acuerdo con un modo de realización de la invención.

En uso, el montaje se hace funcionar para transferir gas natural líquido (GNL) entre los primer y segundo barcos separados por una distancia, con lo que uno o ambos de los primer y segundo barcos son móviles para aumentar o disminuir la distancia entre ellos. El montaje incluye un conducto (no mostrado) en forma de manguera de transferencia que permite la transferencia del GNL entre los primer y segundo barcos. La manguera de transferencia incluye unas primera y segunda secciones de manguera, con lo que la primera sección de manguera está conectada en uso al primer barco o a un objeto en el primer barco, y con lo que la segunda sección de manguera está conectada en uso al segundo barco o a un objeto en el segundo barco.

El montaje comprende una pluralidad de componentes de montaje.

La pluralidad de componentes de montaje incluye una pluralidad de acoplamientos de desbloqueo de emergencia (ERC).

La estructura de un ERC dado se muestra en las Figuras 2a y 2b. Cada ERC incluye unas primera y segunda porciones de acoplamiento 10, 12. En uso, la primera porción de acoplamiento 10 está operativamente acoplada a la primera sección de conducto, y la segunda porción de acoplamiento 12 está operativamente acoplada a la segunda sección de conducto. Las primera y segunda porciones de acoplamiento 10, 12 están configuradas para ser conectables y separables selectivamente para permitir el acoplamiento y la separación selectivos de las primera y segunda secciones de conducto. Más en particular, cada ERC incluye: un mecanismo de acoplamiento que incluye un collar 14 dispuesto alrededor de las primera y segunda porciones de acoplamiento 10, 12 para acoplar de forma liberable las primera y segunda porciones de acoplamiento 10, 12 entre sí, incluyendo además el mecanismo de acoplamiento una abrazadera 16 dispuesta para mantener el collar 14 en su lugar alrededor de las primera y segunda porciones de acoplamiento 10, 12; y un accionador en forma de cilindro hidráulico 18 con un pistón 20 y un acumulador. El pistón 20 de cada cilindro hidráulico 18 es móvil para aplicar una fuerza mecánica a la abrazadera 16 para liberar el collar 14 a fin de iniciar la separación de las primera y segunda porciones de acoplamiento 10, 12.

Cada ERC incluye además un mecanismo de enlace en forma de un percutor 22 dispuesto para localizarse de forma liberable en una posición de enlace para acoplar el pistón 20 y la abrazadera 16 entre sí. Se permite que el pistón 20 aplique una fuerza mecánica a la abrazadera 16 solo cuando el percutor 22 correspondiente esté en la posición de enlace. Retirar el percutor 22 de la posición de enlace da como resultado el desacoplamiento del pistón 20 y la abrazadera 16, permitiendo por tanto que el pistón 20 se mueva libremente de la abrazadera 16 y evitando de este modo que el pistón 20 aplique una fuerza mecánica a la abrazadera 16.

Cada porción de acoplamiento 10, 12 incluye un miembro de válvula de flujo, que, cuando está en su posición abierta de válvula, abre el orificio hueco de la porción de acoplamiento 10, 12 para permitir que el GNL fluya a lo largo del orificio hueco y por lo tanto a lo largo de la sección de manguera correspondiente. Para cerrar el orificio hueco, el elemento de válvula de flujo se mueve desde la posición de válvula abierta a una posición de válvula cerrada, con lo que el elemento de válvula de flujo, cuando está en su posición de válvula cerrada, cierra el orificio hueco de la porción de acoplamiento 10,12 para evitar que el GNL fluya a lo largo del orificio hueco y, por lo tanto, a lo largo de la sección de manguera correspondiente.

La pluralidad de componentes de montaje también incluye:

• una unidad de potencia hidráulica (HPU);

• calentadores de aceite;

• un sistema de control programado para monitorizar y hacer funcionar los ERC;

• una pluralidad de sensores para monitorizar el montaje;

• válvulas solenoides conmutables para controlar el funcionamiento de los ERC;

• fuentes de alimentación configuradas para alimentar los componentes de montaje;

En el modo de realización mostrado, la HPU incluye bombas hidráulicas de circulación para hacer circular aceite calentado, que se calientan mediante los calentadores de aceite, a través de los acoplamientos de desbloqueo de emergencia y en particular a través de los cilindros hidráulicos. La circulación de aceite calentado a través de los acoplamientos de desbloqueo de emergencia forma un sistema de circulación de calor que proporciona control sobre la temperatura de los ERC. La HPU también incluye bombas hidráulicas de alta presión para cargar los acumuladores para almacenar energía, que luego se pueden liberar para accionar el pistón 20 con el fin de aplicar una fuerza mecánica a la abrazadera 16.

El sistema de control incluye un sistema de diagnóstico y un sistema instrumentado de seguridad. El sistema de diagnóstico programado para realizar una prueba de ensayo para evaluar la capacidad operativa del ERC antes de la operación de la manguera de transferencia para transferir el GNL entre los primer y segundo barcos. El sistema instrumentado de seguridad incluye sensores, un solucionador lógico y elementos finales. Los elementos finales tienen la forma de los ERC. El solucionador lógico está programado para activar los elementos finales en respuesta a la detección de una falla que inhibe el funcionamiento de la manguera de transferencia para transferir el GNL de forma segura entre los primer y segundo barcos a fin de iniciar un primer estado de seguridad o un segundo estado de seguridad. El primer estado de seguridad incluye la desenergización del ERC y el mantenimiento de las primera y segunda porciones de acoplamiento 10, 12 conectadas entre sí. El segundo estado de seguridad incluye la separación de las primera y segunda porciones de acoplamiento 10, 12.

La pluralidad de sensores incluye una pluralidad de sensores de distancia para medir la distancia entre los primer y segundo barcos.

La configuración y el funcionamiento del montaje de la Figura 1 se describen con más detalle a continuación.

Sistema de control

El sistema de control es un controlador lógico programable (PLC) de seguridad redundante que está basado en el sistema de automatización tolerante a fallas SIMATIC S7-400F / FH. El control de configuración y prueba de los ERC se realiza a través de una interfaz hombre-máquina (HMI) y conmutadores localizados en un panel de control remoto.

Sistemas de energía

Los requisitos principales de energía del montaje se basan en una fuente de alimentación del sistema informático de 440Vac 60HZ trifásico de tres cables, que está conectado a un cuadro de distribución de emergencia que cumple con los requisitos de energía del Convenio Internacional para la Seguridad de la Vida Humana en el Mar (SOLAS) para devolverse en 28 segundos. Los requisitos de energía de control del montaje se basan en fuentes de alimentación ininterrumpida (UPS) redundantes de 230 Vac, que se pueden proporcionar por los barcos.

Sistema de seguridad

El diseño del hardware relacionado con la seguridad y el software de PLC del montaje es de acuerdo con IEC 61508. El diseño del sistema instrumentado de seguridad (SIS) y el desarrollo del software de aplicación es de acuerdo con IEC 61511. Las funciones instrumentadas de seguridad (SIF) del SIS están diseñadas para lograr una probabilidad mínima de fallo a demanda correspondiente a una clasificación SIL2.

Instalaciones del operario

Un operario del montaje tiene una serie de interfaces con las cuales controlar y monitorizar el sistema. Las interfaces se enumeran a lo largo de la descripción del modo de realización preferente de la invención e incluyen: la HMI para monitorizar el sistema de control y cambiar los parámetros según se permita; y conmutadores de control y botones pulsadores en un panel de control del operario para la selección y control del equipo.

Hay cuatro niveles de seguridad usados en la HMI, como se muestra en la siguiente tabla.

El nivel de acceso de seguridad actual volverá al nivel Predeterminado después de que se haya completado una tarea, o volverá automáticamente al nivel de seguridad Predeterminado después de 5 minutos. Solo se puede acceder a todos los niveles de seguridad introduciendo la contraseña en la pantalla. El acceso con contraseña será por medio de avisos automáticos en la pantalla. Cuando se requiera un acceso de nivel superior, estos aparecerán automáticamente.

Cuando el operario introduce entradas por medio de la HMI, los valores de entrada se validan por la HMI o el PLC para garantizar que estén dentro del rango esperado y son válidos. Las entradas no válidas no se pueden introducir y la HMI o el PLC genera una alarma (por ejemplo, como una alarma de "entrada de datos no válidos") (y se visualiza en la HMI). El PLC continúa usando el valor válido anterior hasta que se introduzca un nuevo valor aceptable. Los detalles de los puntos de ajuste ajustables de HMI se enumeran a lo largo de la descripción del modo de realización preferente de la invención.

Se proporcionan pantallas en la HMI para proporcionar al operario una indicación suficiente del funcionamiento del montaje y de las alarmas.

La HMI monitoriza el estado del enlace de comunicaciones al PLC. Si un sistema de diagnóstico de la HMI detecta una pérdida de comunicaciones, se visualizará un mensaje en la HMI y se enfatizará mediante una alarma sonora. Todos los fallos de comunicación en cualquiera de las redes también se registrarán en la HMI.

Modos de funcionamiento

Un primer modo de funcionamiento del montaje se denomina modo "Prueba de ensayo activa", e incluye un arranque de la HPU, prueba de ensayo y habilitación de ERC. Además, la prueba manual se puede realizar por medio de la HMI.

Un segundo modo de funcionamiento del montaje se denomina modo "Sistema de transferencia activo" e incluye la transferencia de GNL a través del conducto entre los primer y segundo barcos. Todas las funciones en este modo son automáticas.

Manejo de alarmas de HMI

Se muestra un resumen de las alarmas actuales en la HMI, que incorpora funciones para habilitar al operario restablecer todas las alarmas bloqueadas. Las características de manejo de alarmas en la HMI se describen más adelante en esta memoria descriptiva de patente.

Estados se seguridad

El montaje se ha diseñado para tener en cuenta numerosas fallas posibles y para iniciar un estado de seguridad en respuesta a una falla. En otras palabras, la base del diseño del montaje es a prueba de fallas.

Un primer estado de seguridad (denominado en este documento ESD-1) minimiza el riesgo de separación espuria descontrolada de las primera y segunda porciones de acoplamiento, e incluye:

desenergización de la salida de relé de ESD-1 al barco;

desenergización de las bombas hidráulicas;

desenergización de los calentadores de aceite;

desenergización de la salida de solenoide en condiciones "a prueba de fallas";

mantener cada acumulador en un estado completamente cargado;

mantener cerrada una válvula de activación, que sea conmutable para cerrar para iniciar la separación de las primera y segunda porciones de acoplamiento;

mantener abierta una válvula de bloqueo, que sea conmutable para abrir para configurar las primera y segunda porciones de acoplamiento para bloquear el flujo de materia a su través.

Un segundo estado de seguridad (denominado en este documento ESD-2) incluye la separación de las primera y segunda porciones de acoplamiento.

Variables de entrada y salida de seguridad

Los sensores de distancia [STS-01], [STS-02] y [STS-03] están conectados a tres tarjetas de entrada de seguridad separadas para brindar máxima redundancia y tolerancia a fallas.

Un conmutador de posición de transferencia/prueba de ensayo [415S2] tiene contactos no equivalentes de dos canales configurados en una configuración aprobada por SIL2.

Los botones pulsadores [LCP-1], [LCP-2], para iniciar el segundo estado de seguridad, son entradas Namur de un solo canal en tarjetas separadas. Otro botón pulsador [RCP-1], para iniciar el segundo estado de seguridad, tiene un contacto cerrado N/C y una entrada de botón pulsador en buen estado. La monitorización de fallas se proporciona por una tarjeta de seguridad.

Las válvulas solenoides [SV30a], [SV30b], [SV46a], [SV46b], [SV47a], [SV47b] y las válvulas de ERC [SV88-1], [SV89-1], [SV48-1], [SV49-1] están dispuestas en pares redundantes. Las válvulas redundantes no se conectan a la misma tarjeta de salida, sino que se separan en dos tarjetas para una máxima redundancia.

Las salidas de relé de ESD-1 y de ESD-2 [30K01 (E)], [30K02 (E)] para cada barco no están configuradas como salidas redundantes. Se monitoriza la retroalimentación posicional.

Redundancia de sensores

Los sensores están configurados para tener una configuración redundante y en general están configurados como sigue:

• un fallo del hardware de sensor en general se clasifica como un fallo de cortocircuito/circuito abierto de sensor;

• las aplicaciones críticas para la seguridad pueden iniciar un ESD-1 si los valores de sensor no se pueden evaluar debido a un fallo de hardware de sensor;

• si se está usando un sensor Namur redundante o una entrada de seguridad, se puede lograr el siguiente diagnóstico de hardware:

o Un fallo de hardware de sensor da como resultado una alarma en la HMI.

o El fallo de hardware de dos sensores da como resultado una alarma generada en la HMI y una emisión de ESD-1 si la redundancia no está disponible y no se puede usar un valor de sensor sustituido válido;

• En el caso de que dos sensores de posición de percutor experimenten un fallo de hardware de sensor, no se emite un ESD-1, ya que las posiciones de los percutores se pueden comprobar visualmente.

Suministros de energía

Todos los contactos de entrada de la fuente de alimentación están hechos a tarjetas de entrada estándar de Siemens. Estas tarjetas no tienen diagnósticos de entrada integrados.

Todas las fuentes de alimentación de control de 230 Vac o 24 Vdc están en configuraciones redundantes.

Los dos suministros de 230 Vac del barco son fuentes de alimentación ininterrumpidas. Ambas fuentes de alimentación de 230 Vac se monitorizan por el sistema. Si falla una sola fuente de alimentación, esto dará como resultado una alarma en la HMI. Si ambas fuentes de alimentación fallan, el sistema de control se apagará. Los relés de salida de ESD-1 se energizan para cerrarse para iniciar un ESD-1 en caso de un fallo total de energía.

Las fuentes de 24 Vdc están dispuestas en pares paralelos redundantes con módulos de diodos. Los módulos de diodos tienen monitorización de tensión de salida y una salida de contacto seco al PLC. La pérdida de una fuente de alimentación de 24 Vdc en una estación externa de panel de control determinada dará como resultado una alarma pero no la pérdida de funcionalidad. Las fuentes de alimentación de 24 Vdc se han dimensionado para dar una redundancia del 100 %. La pérdida de dos fuentes de alimentación redundantes de 24 Vdc en el mismo bastidor de PLC dará como resultado una salida de ESD-1 al barco.

Se permite una pérdida de suministro de 24 Vdc a cada bastidor de PLC simultáneamente y solo enviará una alarma a la HMI ya que no hay pérdida de función, solo redundancia.

Todas las estaciones externas, incluyendo el panel de control remoto, se alimentarán desde las UPS y se distribuirán desde la estación externa del panel de control local.

La configuración del montaje permite que la fuente de alimentación de 440 Vac esté en un estado fallido durante significativamente más de 3 horas. Esto se debe a que los acumuladores se pueden cargar para almacenar la energía necesaria para activar los ERC y, en condiciones normales de funcionamiento, retendrán la carga de presión durante un período indefinido. Los acumuladores proporcionan una solución 100 % redundante y, por tanto, son tolerantes a fallas.

Las UPS de 230 Vac proporcionadas por los barcos están dimensionadas para proporcionar más de 3 horas de energía de respaldo al sistema. Se suministrarán desde el cuadro de distribución de emergencia y, en condiciones normales de funcionamiento, la fuente de alimentación debería volver a las UPS dentro de los 28 segundos prescritos. Los suministros de UPS también son 100 % redundantes.

HPU

La HPU se usa junto con los ERC y proporciona un sistema de calentamiento de circulación continua a todos los ERC conectados y, al mismo tiempo, facilita la liberación de los ERC en diferentes escenarios y condiciones. Adicionalmente, la HPU se usa para restablecer los ERC tras la activación.

Los ERC funcionan a temperaturas muy bajas, nominalmente por debajo de -150 °C. La circulación de aceite caliente a través de los ERC permite que los cilindros hidráulicos permanezcan a la temperatura de funcionamiento durante todas las condiciones ambientales y de transferencia y estén disponibles para su accionamiento durante un evento de ESD-2.

Los acumuladores almacenan energía en forma de aceite hidráulico a presión. Las bombas hidráulicas de alta presión cargan los acumuladores hasta una presión de funcionamiento establecida en 230 bar. Los acumuladores estarán entonces listos para liberar energía para activar los ERC cuando se requiera un ESD-2. Los acumuladores están configurados de modo que se requiera la disponibilidad de uno de cada dos acumuladores redundantes para activar el ERC correspondiente. Los acumuladores están dimensionados para proporcionar un 100 % de redundancia para una configuración de 10 ERC

En el segundo modo de funcionamiento, la HPU recarga automáticamente los acumuladores, lo que permite cualquier fuga interna o pérdidas debidas a la expansión térmica.

Las válvulas solenoides están dispuestas para evitar la liberación espuria de los ERC. Las válvulas solenoides están configuradas de modo que se requiera el funcionamiento de una de las dos válvulas solenoides redundantes para activar la acción correspondiente.

Bucles de control de seguridad de protección de aceite

El circuito de control evalúa el nivel de aceite en el sistema de calentamiento circulante mediante dos entradas digitales. La activación de una entrada de nivel de alarma de aceite "bajo" desde un conmutador de nivel ultrasónico [LS76] da como resultado una alarma en la HMI. La activación de una entrada de nivel de alarma de aceite "muy bajo" desde otro conmutador de nivel ultrasónico [LS77] inhibe los contactores de salida [130K3 (E)], [131 K3 (E)] de los calentadores, detiene las bombas hidráulicas de circulación e inicia el ESD -1, mientras se genera una alarma de alta prioridad en la HMI.

Los conmutadores de nivel ultrasónicos cuando están en un buen estado sin alarma proporcionan una verdadera entrada binaria al PLC. El nivel de alarma de aceite "muy bajo" está diseñado de modo que no se pueda anular o inhibir.

Las señales digitales a la tarjeta de entrada se transmiten por medio de relés interpuestos. Los conmutadores ultrasónicos son de autodiagnóstico. Una falla en los conmutadores de nivel ultrasónicos siempre dará como resultado una entrada falsa "a prueba de fallas" al PLC.

Un termopar [TT4a] se usa en una disposición de votación 1 de 1 para un bucle de protección y advertencias de temperatura del aceite, y se usa para realizar las siguientes acciones:

• se generará una alarma de apagado por temperatura "muy baja" a 20 °C en la HMI;

• una temperatura "baja" a 30 °C generará una alarma en la HMI;

• una temperatura "alta" a 45 °C generará una alarma en la HMI;

• una temperatura "muy alta" a 50 °C generará una alarma en la HMI e inhibirá los calentadores [H18a], [H18b].

El sensor y la tarjeta de entrada son de 4-20 ma; hay disponibles diagnósticos de circuito abierto y cortocircuito. En el caso de fallo de un sensor, se iniciará una advertencia de diagnóstico en una pantalla de alarma. La tarjeta de seguridad de Siemens SM326 tiene los siguientes diagnósticos de fallas Namur NE43 disponibles: un límite de alarma de umbral de rotura de cable es inferior a 3,6 mA; y un límite de alarma de umbral de cortocircuito es superior a 21,00 mA. Esta relación se muestra en la Figura 3.

Un fallo de sensor de diagnóstico del termopar dará como resultado que la temperatura detectada por un termopar redundante [TT4b] se está usando como valor sustituto en el bucle de protección y advertencias de temperatura del aceite. El fallo de sensor de diagnóstico de ambos termopares dará como resultado un valor de 32000 usado como valor sustituto en las advertencias de temperatura del aceite y el circuito de protección dando como resultado que ambos calentadores se desenergicen.

El ESD-1 no se iniciará ya que la temperatura de los ERC aún se puede monitorizar por los termopares redundantes. Sin embargo, cuando la temperatura de un ERC activo caiga por debajo de un punto de ajuste de nivel "bajo" de 2 °C, se iniciará el ESD-1.

Cada calentador tiene un corte bimetálico de alta temperatura del aceite integrado a 60 °C, y en serie con este, un corte de alta temperatura de la caja de conexiones de terminales configurado a 80 °C. Los contactores de salida de los calentadores se pueden terminar o inhibir para generar una alarma en la HMI. Cada calentador no se activará hasta que el corte de temperatura correspondiente se haya restablecido manualmente, lo que requerirá un apagado.

Control de calentamiento de aceite

Es deseable mantener el aceite en circulación a 40 °C, y esta función se realiza mediante un circuito de control de calentamiento de aceite. El circuito de control se usa para monitorizar y controlar la temperatura del aceite dentro de un depósito de aceite y consta de los siguientes elementos:

• los calentadores de aceite [S18a], [S18b], que son los elementos finales del circuito de control.

• contactores de salida de los calentadores, que son la interfaz entre el PLC y los elementos finales;

• el termopar [TT4b], que es el sensor de retroalimentación para el bucle de control.

• el PLC, que es el solucionador lógico del bucle de control.

• retroalimentación de protección de sobrecarga proporcionada por los contactos auxiliares [12Q1(E)] y [12Q2(E)].

El termopar se usa para evaluar la temperatura del aceite dentro del depósito de aceite en relación con el punto de ajuste deseado. La temperatura se monitoriza hasta que se observa una histéresis de 3 °C (37 °C) por debajo del punto de ajuste (40 °C); entonces los contactores de salida de los calentadores de aceite de servicio se energizan. El termopar monitoriza el aumento de temperatura del aceite dentro del depósito de aceite; cuando la temperatura del aceite alcanza los 40 °C, los contactores de salida de los calentadores de aceite de servicio se desenergizan.

Si la temperatura del aceite está por debajo de 30 °C, se hacen funcionar el calentador de aceite de servicio y un calentador de aceite en espera y se genera una alarma en la HMI.

El sensor y la tarjeta de entrada son de 4-20 ma; hay disponibles diagnósticos de circuito abierto y cortocircuito. En el caso de un fallo de sensor, se iniciará una advertencia de diagnóstico en una pantalla de alarma y los calentadores se desenergizarán. La tarjeta de seguridad de Siemens SM326 tiene los siguientes diagnósticos de fallas Namur NE43 disponibles: un límite de alarma de umbral de rotura de cable es inferior a 3,6 mA; y un límite de alarma de umbral de cortocircuito es superior a 21,00 mA. Esta relación se muestra en la Figura 3.

Un fallo de sensor de diagnóstico del termopar dará como resultado que la temperatura detectada por un termopar redundante [TT4b] se está usando como valor sustituto en el bucle de protección y advertencias de temperatura del aceite. El fallo de sensor de diagnóstico de ambos termopares dará como resultado un valor de 32000 usado como valor sustituto en ambas entradas del sensor, lo que dará como resultado la desenergización de ambos calentadores.

Circulación de aceite

El aceite se hace circular mediante las bombas hidráulicas de circulación [M6], [M7]. Durante las operaciones de transferencia, se emplean varios bucles de control para verificar la disponibilidad del aceite en circulación.

Cada ERC incorpora dos termopares de temperatura para evaluar su temperatura. Se espera que las temperaturas en los ERC tengan una distribución uniforme; las temperaturas de los ERC se monitorizan constantemente para comprobar si hay alguna desviación de la distribución uniforme de temperatura esperada.

La temperatura de los ERCS también se monitoriza durante el segundo modo de funcionamiento para comprobar cualquier desviación, verificar cualquier desviación de la distribución uniforme de temperatura esperada. Una desviación de temperatura baja de 5 °C en un ERC dado indicaría que hubo una falta de flujo de aceite al ERC dado. La desviación de baja temperatura activará el anuncio de una alarma y también activará otra alarma en la HMI para indicar al operario que compruebe un filtro manual en el ERC.

Se usa un caudalímetro [FT72] para evaluar el rendimiento de las bombas hidráulicas de circulación. Si el flujo de aceite se reduce significativamente, el sistema de control comprobará si hay alarmas de entrada de los filtros diferenciales en los ERC. La falta de alarmas de filtro activará el anuncio de una alarma para indicar que la bomba hidráulica de circulación tiene una eficiencia baja y se pondrá en marcha la bomba hidráulica de circulación en espera. Las bombas hidráulicas de circulación de servicio y en espera están interconectadas, de modo que la bomba hidráulica de circulación de servicio se detendrá antes de que arranque la bomba hidráulica de circulación en espera.

La redundancia para los sensores de presión [PT32a] [PT32b] configurados para medir las presiones en las bombas hidráulicas de circulación están disponibles durante el segundo modo de funcionamiento al comprobar cualquier desviación de presión en comparación con los sensores de presión [PT32c] y [PT32d] configurados para medir las presiones en las mangueras hidráulicas asociadas con las bombas hidráulicas de circulación. Una desviación de presión por encima de un umbral específico, por ejemplo, 20 bar, generará una alarma en la HMI. Ambos conjuntos de valores de presión estarán disponibles para verlos en la pantalla; el operario puede usar una pantalla de contraseña de supervisor para desactivar la lectura de un sensor, causando por tanto que el software descarte el sensor desactivado.

Los sensores de presión de la manguera hidráulica están dispuestos en una configuración redundante. Si se detecta un fallo de sensor Namur en cualquiera de los sensores de presión de manguera hidráulica durante el segundo modo de funcionamiento, el sistema de control sustituirá automáticamente el valor bueno conocido del otro sensor de presión de manguera hidráulica. Si ambos sensores de presión de la manguera hidráulica tienen fallas de diagnóstico, se usa un valor de -32000 como valor sustituto para garantizar que se genere una falla dentro de los parámetros de sistema.

Si la presión y el flujo de aceite se reducen significativamente, se iniciará la bomba hidráulica de circulación de reserva y se anunciará una alarma que indique que la bomba hidráulica de circulación tiene una eficiencia baja. Si la presión detectada por un sensor de presión de la bomba hidráulica circulante y los sensores de presión de la manguera hidráulica son bajos y el flujo detectado por el medidor de flujo es alto, se anunciará una alarma que indique al operario que compruebe las mangueras hidráulicas y se suspenderá la circulación de aceite. El operario tendrá la opción en la HMI de reiniciar la circulación de aceite.

Los sensores de presión de la bomba hidráulica de circulación se localizan típicamente detrás de las válvulas de retención, por lo que sus respectivas presiones detectadas no se pueden comparar entre sí.

Filosofía de protección y control de motores de bombas de circulación

Cuando se apagan las bombas hidráulicas de circulación, se activa un calentador anticondensación. El circuito se conmuta usando contactos normalmente cerrados en los contactores principales [CP-1], [130K1 (E)] y [131 K1 (E)].. Cada calentador de aceite está protegido mediante un disyuntor en miniatura bipolar (MCB) [CP-1], [17F1 (E)] y [CP-1], [17F2 (E)] con retroalimentación de disparo. Una verdadera entrada de PLC es una condición en buen estado; una entrada de PLC falsa genera una alarma en la HMI. Los calentadores anticondensación están diseñados como función de alarma.

Se comprueba la retroalimentación de disparo por sobrecarga del motor de [CP-1], [11Q3 (E)] y [11Q4 (E)]. Una verdadera entrada de PLC es una condición en buen estado; una entrada de PLC falsa indica una falla y genera una alarma en la HMI.

Una condición de disparo en la bomba hidráulica de circulación de servicio inhibe el arranque de la bomba hidráulica de circulación de servicio. En dichas circunstancias, la bomba hidráulica de circulación en espera asumirá automáticamente el papel de la bomba hidráulica de circulación de servicio. Los fallos de ambas bombas hidráulicas de circulación de servicio y en espera darán como resultado una alarma en la HMI.

La filosofía anterior de control y protección del motor se aplica mutatis mutandis a las bombas hidráulicas de alta presión.

Como se mencionó anteriormente, los acumuladores almacenan energía en forma de aceite hidráulico a presión. Las bombas hidráulicas de alta presión cargan los acumuladores hasta una presión de funcionamiento establecida en 230 bar. Los acumuladores estarán entonces listos para liberar energía para activar los ERC cuando se requiera un ESD-2. Los acumuladores están configurados de modo que se requiera el funcionamiento de uno de cada dos acumuladores redundantes para activar el ERC correspondiente. Los acumuladores están dimensionados para dar un 100 % de redundancia para una configuración de 10 ERC. En el segundo modo de funcionamiento, la HPU recarga automáticamente los acumuladores, lo que permite cualquier fuga interna o pérdidas debidas a la expansión térmica. Las válvulas solenoides están dispuestas para evitar la liberación espuria de los ERC. Las válvulas solenoides están configuradas de modo que se requiera el funcionamiento de una de las dos válvulas solenoides redundantes para activar la acción correspondiente.

Durante la transferencia del GNL a través del conducto, varios bucles de control están activos en el sistema de alta presión.

Los acumuladores se controlan constantemente para detectar fugas durante el funcionamiento. Para un acumulador dado, su presión se monitoriza y se vuelve a presurizar iniciando una bomba hidráulica de alta presión de servicio si la presión monitorizada cae por debajo de un punto de ajuste, por ejemplo, 180 bar, en el software. No hay ninguna alarma anunciada asociada.

El sistema acumulador está diseñado como un sistema sellado con una mínima fuga esperada. Si los sensores de presión de un acumulador determinado detectan una fuga de presión y si el acumulador requiere represurizarse varias veces por hora, se genera una alarma en la HMI, por ejemplo, como "Fuga de acumulador detectada". Realice una alarma de mantenimiento.

Si una bomba hidráulica de alta presión de servicio no se inicia cuando el acumulador correspondiente requiere represurización, se anuncia una alarma en la HMI. A continuación, se inicia la bomba hidráulica de alta presión en espera. En el caso de que ambas bombas hidráulicas de alta presión fallen y ambos acumuladores estén cargados, se generará una alarma de alta prioridad en la HMI.

Si ambas bombas hidráulicas de alta presión fallan y un acumulador está por debajo de 170 bar, se emitirá una alarma de alta prioridad en la HMI y se emitirá una salida de ESD-1 al barco correspondiente.

Si no se detecta ningún aumento de presión durante 5 segundos o se detecta una reducción de presión durante un ciclo de carga durante la recarga del acumulador durante el segundo modo de funcionamiento, la recarga del acumulador se detiene y se emite una alarma en la HMI. El operario puede aceptar luego la alarma para reiniciar la secuencia de represurización.

Prueba de ensayo

Se puede realizar una prueba de ensayo parcial antes de cada transferencia de GNL. En la prueba de ensayo se realiza una prueba 'en caliente' en condiciones ambiente y una prueba "en frío". La prueba "en caliente" debe completarse no más de 48 horas antes del comienzo de la transferencia de GNL. La prueba "frío" debe realizarse después del enfriamiento pero antes de la transferencia de GNL.

La prueba de ensayo parcial consiste en una prueba del cilindro hidráulico para simular la separación de las primera y segunda porciones de acoplamiento, con lo que el percutor se retira para configurar el cilindro hidráulico durante la prueba de ensayo para inhibir la separación real de las primera y segunda porciones de acoplamiento;

En el arranque, se probará la funcionalidad de todas las válvulas solenoides para mantener la integridad. Esta secuencia es semiautomática e informará de cualquier fallo en la HMI.

Cualquier fallo detectado debe repararse para mantener la integridad y la disponibilidad del montaje.

Cuando un componente de montaje falla después de que ha comenzado una transferencia de GNL, la transferencia de GNL continúa hasta que se completa. A partir de entonces, el componente de montaje tendrá que reemplazarse o repararse antes de que se pueda completar la prueba de ensayo para las transferencias de g Nl posteriores.

Durante cualquier secuencia (incluyendo la prueba de ensayo), cuando se genera una alarma, el operario tiene la opción de visualizar la alarma y aceptarla. Durante el inicio, al seleccionar Prueba de ensayo se restablecerán todas las peticiones anteriores de fuera de servicio a activas.

Si se selecciona el control manual, hay 3 categorías que deben comprobarse. Los permisos son pasos que se realizan al comienzo de la secuencia y no se pueden usar más adelante en la secuencia. Las protecciones son elementos que se requieren, es decir, la correcta retroalimentación de sobrecarga del motor. Los enclavamientos están presentes durante toda la secuencia y no se pueden restablecer ni superar, es decir, no se permitiría que dos motores enclavados funcionasen en paralelo.

Durante el segundo modo de funcionamiento, no se permite la activación manual de válvulas.

El uso de control manual solo está permitido en la sección de prueba de ensayo previa de la secuencia, se deberá introducir una contraseña de supervisor antes de que se permita el accionamiento manual de la válvula o de la bomba. Antes de cualquier activación manual de las válvulas, el programa ejecutará una secuencia para garantizar que los percutores no estén presentes.

En caso de fallo de la secuencia de la prueba de ensayo, se suspenderá y se cancelará. Por ejemplo, cuando un filtro se bloquea durante la prueba de ensayo, la secuencia de la prueba de ensayo se detiene para permitir que el operario cambie el filtro. A partir de entonces, la secuencia no puede completarse sin una comprobación del filtro, por lo que se cancela el paso actual y se reinicia una secuencia de comprobación del filtro.

Se permitirá que determinados componentes de montaje que se clasifican como no esenciales se puedan retirar del servicio para una transferencia. Uno de los siguientes elementos puede quedar fuera de servicio con el uso de una contraseña de supervisor en caso de un fallo debido a su estado no crítico:

• Bombas hidráulicas de cebado de HPU en una configuración redundante;

• bombas hidráulicas de circulación en una configuración redundante; el fallo de una bomba de circulación no afectará la transferencia de GNL hasta que la temperatura del ERC descienda por debajo de 2 °C; • sensores de presión de mangueras hidráulicas en una configuración redundante, ya que se permite un fallo de sensor debido a la disponibilidad de un valor del sensor redundante; por lo que permitimos el fallo de un sensor y usamos un valor del sensor redundante;

• sensores de posición de percutor, ya que solo monitorizan la posición del percutor y no intervienen en la activación del ERC;

• sensores de temperatura de ERC, ya que solo controlan la temperatura del ERC y no intervienen en el control de la temperatura del ERC.

Funciones instrumentadas de seguridad

El montaje incluye dos SIF, que son un SIF de separación automática de distancia y un SIF de botón pulsador de ESD-2 "aplicación a demanda". Los botones pulsadores en cubierta se localizan en los paneles de control locales, uno en el lado de babor de la cubierta y otro en el lado de estribor. Hay un tercer botón pulsador ESD-2 localizado en el panel de control remoto. Los SIF se muestran en la Figura 4.

Ambos SIF utilizan el PLC de seguridad de Siemens como solucionador lógico y ambos usan los mismos elementos finales, es decir, los acoplamientos de desbloqueo de emergencia.

Los sensores de distancia están diseñados para cumplir con SIL2. Están configurados en una configuración redundante en tarjetas separadas y están diseñados para que el solucionador lógico inicie el estado de seguridad cuando la falla incluya la condición de funcionamiento de fallo o falla de dos de los tres sensores de distancia.

Durante el ESD-2, se ignora todo la monitorización de fallas. Si una válvula solenoide se muestra estando fuera de posición, todas las válvulas solenoides siempre se accionarán al accionarse independientemente de la posición de arranque indicada por la retroalimentación.

ERC

La HPU permite la activación de los ERC con cierre de miembro de válvula de flujo doble en un punto de separación identificado y seguro dentro del sistema. Los ERC garantizan que se minimice el riesgo de derrame del GNL fuera del conducto. Tras la emisión de una señal de ESD-2, todos los ERC conectados se activarán en una secuencia predeterminada y temporizada para separar sus primera y segunda porciones de acoplamiento respectivas.

Los ERC son los elementos finales del sistema de control. Cuando se les pide que lo hagan, los ERC deben separar las secciones del conducto, que permiten la transferencia de GNL entre los dos barcos.

Como se mencionó anteriormente, cada ERC tiene sensores redundantes y de alta disponibilidad para evaluar su temperatura y la posición del percutor. La activación del sensor de posición completamente retraído no es redundante. Los sensores redundantes siguen la filosofía de fallas del sensor y la filosofía de generación de alarmas estándar. Todos los sensores pueden detectar condiciones de falla de circuito abierto.

Los ERC se mantienen a temperatura de funcionamiento mediante la circulación de aceite a través de los acoplamientos de desbloqueo de emergencia. El aceite circula a través del cilindro hidráulico en dirección contraria al flujo de activación en el cual un orificio en el pistón crea una pequeña contrapresión que extiende el pistón. La dirección inversa del flujo garantiza que no haya posibilidad de una separación espuria descontrolada de las primera y segunda porciones de acoplamiento.

Los sensores de temperatura para los ERC tienen puntos de ajuste de alarma "bajo" y "bajo-bajo". El punto de ajuste de alarma "bajo", por ejemplo, 8 °C establecerá una alarma en la HMI, mientras que el punto de ajuste de alarma "bajo-bajo" de 2 °C establecerá una alarma en la HMI y emitirá una salida de ESD-1 al barco correspondiente. Los sensores de temperatura también se usan para comprobar cualquier desviación en las temperaturas medidas entre los sensores de temperatura del mismo ERC y cualquier desviación en las temperaturas entre los ERC individuales. Una desviación de 5 °C entre sensores de temperatura del mismo ERC o entre ERC individuales establecerá una alarma en la HMI.

Cuando hay una desviación de temperatura por encima de 5 °C entre los sensores de temperatura del mismo ERC, el operario tendrá la opción de desactivar uno de los sensores de temperatura a través de la pantalla de contraseña del operario durante el segundo modo de funcionamiento. El sensor restante se usará entonces, sin ninguna redundancia, para los puntos de ajuste de las alarmas y las comparaciones de desviación con otros ERC.

Los sensores de temperatura se clasifican como un par redundante y, por lo tanto, usan la filosofía de diagnóstico de fallos. Si un sensor de temperatura falla en el diagnóstico de la tarjeta durante el segundo modo de funcionamiento, el valor del otro sensor de temperatura se usa como valor sustituto para el resto del segundo modo de funcionamiento.

Cuando dos valores de proceso aceptables están disponibles en los sensores de temperatura, se usa un promedio de los dos valores como el valor de temperatura promedio para el ERC.

Se usa un conmutador de proximidad de retracción del cilindro de activación durante una activación para evaluar si el pistón se ha accionado a demanda o no se ha activado. Si el pistón no se activa, se genera una alarma de prioridad alta en la pantalla de HMI. El conmutador de proximidad de retracción del cilindro de activación no es un sensor redundante y, por lo tanto, funciona sin redundancia cuando se aplica a fallas y entradas de proceso. Para una entrada de proceso que indica un pistón fuera de posición, el resultado es la iniciación de un ESD-1 y se anuncia una alarma en la pantalla.

Una falla de hardware dará como resultado una alarma en la pantalla HMI.

Separación de los barcos

El objetivo del ESD-2 es una "rotura en seco" controlada y segura de las primera y segunda secciones de manguera. Los ERC se activan en secuencia para evitar daños en el acoplamiento de desbloqueo de emergencia derivados de una colisión o de la creación de una fuente de ignición potencial.

Los estados de señal al barco para el ESD-2 y el ESD-1 se procesarán por el programa de PLC de seguridad. La capacidad de diagnóstico mejorada de las tarjetas de seguridad se usa para aumentar la disponibilidad del relé de ESD-1.

Si los primer y segundo barcos se separan debido, por ejemplo, a un fallo del sistema de amarre, se iniciará un ESD-1 cuando se exceda un primer umbral de distancia de seguridad (por ejemplo, 4 metros), seguido de una iniciación temporizada de un ESD-2 cuando se exceda un segundo umbral de distancia de seguridad (por ejemplo, 7 metros). En una situación de emergencia cuando la desviación excede con creces el segundo umbral de distancia de seguridad antes de que se complete la iniciación temporizada del ESD-2, se inicia una iniciación inmediata del ESD-2. Esto garantiza que la manguera de transferencia nunca se extienda por completo antes de que se complete el ESD-2.

El ESD-1 detendrá la transferencia de GNL entre ambos barcos al detener las bombas de transferencia de GNL en un barco y al cerrar las válvulas de colector de ESD-1 en ambos barcos, aislando por lo tanto cualquier posible transferencia de GNL. Las válvulas de ESD-1 se cerrarán en 30 segundos según el código de Portadora de gas internacional (IGC).

La iniciación del ESD-2 forma parte del diseño del SIS para lograr una clasificación de SIL2. Es un requisito que los sensores de distancia estén conectados antes de que se pueda satisfacer la lógica del circuito de seguridad y antes de que comiencen las operaciones de transferencia de GNL. La verificación de la configuración correcta se visualizará como una matriz de seguridad. La posición se enseña al seleccionar un conmutador selector de sistema listo.

El pistón de cada ERC alcanza una carrera completa en 500 m cuando se activa.

Cuando dos de los tres sensores de distancia hayan medido una distancia de 4 metros entre los dos barcos, se emitirá un ESD-1 al barco.

El diseño permitirá una separación temporizada por etapas a una distancia de 7 metros entre los dos barcos. Se anunciará una alarma durante 5 segundos antes de su liberación; el operario solo puede silenciar la sirena después de que se complete la liberación. La primera etapa liberará los ERC 1, 3, 5, 7 y 9. Las válvulas solenoides correspondientes se mantendrán activas durante 1000 m y luego se desactivarán. Habrá un retardo adicional de 5 segundos antes de que se lancen los ERC 2, 4, 6, 8 y 10. Las válvulas solenoides correspondientes ahora se mantendrán activas durante 1000 m y luego se desactivarán. El diagrama de temporización de válvulas correspondiente se muestra en la Figura 6.

El diseño permitirá una separación temporizada acortada en etapas a 10 metros. La alarma ya estará anunciando. La primera etapa liberará los ERC 1, 3, 5, 7 y 9. Las válvulas solenoides correspondientes se mantendrán activas durante 1000 m y luego se desenergizarán. A continuación, habrá un retardo adicional de 500 m antes de que se activen los ERC 2, 4, 6, 8 y 10. Las válvulas solenoides correspondientes se mantendrán activas durante 1000 m y luego se desenergizarán. El diagrama de temporización de válvulas correspondiente se muestra en la Figura 7.

El ESD-2 se iniciará manualmente si se acciona cualquier botón pulsador de ESD-2. Se anunciará una alarma durante 5 segundos antes de su liberación; esto permitirá que las bombas de carga se detengan. La primera etapa liberará los ERC 1, 3, 5, 7 y 9. Las válvulas solenoides correspondientes se mantendrán activas durante 1000 m y luego se desenergizarán. Habrá un retardo adicional de 1000 m antes de que se activen los ERC 2, 4, 6, 8 y 10. Las válvulas solenoides correspondientes se mantendrán activas durante 1000 m y luego se desenergizarán. El diagrama de temporización de válvulas correspondiente se muestra en la Figura 8.

Todas las válvulas solenoides de bloqueo se mantendrán activas desde 500 m antes de que se lancen los ERC 1, 3, 5, 7 y 9, hasta que se lancen los ERC 2, 4, 6, 8 y 10, y durante todos los modos de activación; esto es para mitigar cualquier posibilidad de fuga y liberación espuria. Todas las activaciones de ESD-2 y ESD-1 estarán disponibles para verlas en una pantalla de matriz de seguridad.

Medición de la distancia del barco

Los sensores de distancia usados para evaluar la distancia entre los barcos se han seleccionado por su fiabilidad y robustez.

Los sensores de distancia están en una zona peligrosa de la zona 1; estas áreas para las portadoras de GNL se definen en IEC 60092-502. La filosofía de protección elegida para los sensores es el uso de una barrera aislada usada para aplicaciones de seguridad intrínseca. La barrera está clasificada para aplicaciones de SIL2. La barrera convierte el valor del sensor de distancia, en este caso 0-25 metros, en un valor de 4-20 ma.

La tarjeta de seguridad de Siemens SM336F tiene los siguientes diagnósticos de fallas Namur NE43 disponibles: el límite de alarma de umbral de rotura de cable es inferior a 3,6 mA; y el límite de alarma de umbral de cortocircuito es superior a 21,00 mA. La relación se muestra en la Figura 3.

La barrera es transparente para el PLC y pasará a través de todos los valores analógicos a la entrada del PLC. En condiciones de cortocircuito, la barrera limitará la corriente de falla a 30 mA.

Los valores analógicos se procesan por el programa del PLC, si los valores están por encima o por debajo de los límites de alarma y la alarma "Falla de circuito abierto del sensor de distancia STxx" o "Falla de cortocircuito del sensor de distancia STxx" se visualiza en la HMI.

La activación de los ERC se basa en la medición de la distancia de activación de un ERC mediante dos de los tres sensores de distancia para minimizar las emisiones molestas.

En condiciones de falla, la transferencia de GNL puede continuar con uno de los tres sensores de distancia en una condición de falla que puede ser un fallo del sensor o una discrepancia. Se anunciará una alarma de alta prioridad en la pantalla de alarma de la HMI.

Cuando solo hay dos sensores de distancia disponibles, la liberación de los ERC se basará en dos de los dos sensores de distancia para efectuar una liberación de ESD-2.

Escenarios de falla de sensor

Tres posibles condiciones de falla y los resultados resultantes se establecen como sigue:

• un sensor con falla (<3,6 mA o >21,00 mA), dando dos sensores lecturas aceptables (la configuración se detalla más adelante). Resultado: alarma en la HMI;

• dos sensores con falla (<3,6 mA o >21,00 mA), un sensor da lecturas aceptables. Resultado - ESD-1 y alarma en la HMI;

• tres sensores con falla (<3,6 mA o >21,00 mA). Resultado: ESD-1 y alarma en la HMI.

Escenarios de discrepancia en la lectura del sensor

El posible escenario de discrepancia en la lectura del sensor se establece como sigue:

• una lectura de sensor incrementalmente por encima de un punto de ajuste de condición de alarma (4-10 metros), dando dos sensores lecturas que leen entre 0 y 3,99 metros desde la posición de referencia (configuración detallada más adelante). Alarma resultante en el HM;

• todas las lecturas del sensor entre 0 y 3,99 metros desde la posición de referencia. Una discrepancia de 500 mm entre 2 sensores (la configuración se detalla más adelante). Alarma resultante en la HMI;

• todas las lecturas del sensor entre 0 y 3,99 metros desde la posición de referencia. Una discrepancia de 500 mm entre los 3 sensores. Alarma resultante en la activación de la HMI y del ESD-1;

• dos sensores que leen gradualmente por encima de un punto de ajuste de condición de alarma (7 metros), un sensor que da una discrepancia de >500 mm. Alarma resultante en la HMI y el ESD-1, seguida de una liberación temporizada de ESD-2 de los acoplamientos;

• dos sensores que leen incrementalmente por encima de un punto de ajuste de condición de alarma (10 metros), un sensor que da una discrepancia de >500 mm. Alarma resultante en la HMI y el ESD-1 seguida inmediatamente por una liberación de ESD-2 de los acoplamientos.

Activación manual del ESD-2

Los botones de activación manual de ESD-2 residen dentro de los paneles de control local [LCP] y de los paneles de control remoto [RCP]. Se requiere que los botones pulsadores de ESD-2 localizados en los paneles [LCP] sean circuitos intrínsecamente seguros. Las barreras intrínsecamente seguras se usan para el aislamiento; las barreras tienen clasificación Namur y SIL 2. El botón pulsador en la estación de LCP es un único contacto normalmente abierto con una red de resistencias Namur a través de él. Esto da diagnósticos de condición de falla de acuerdo con la memoria descriptiva de Namur EN 60947-5-6. La barrera [17T (E)] tiene la funcionalidad Namur que se utiliza para la monitorización de fallas.

La barrera tiene 2 salidas:

• La salida 1 será la salida principal de activación de ESD-2 a la tarjeta de seguridad de PLC. Esta salida será verdadera cuando el botón de ESD-2 no esté activo. Un cambio de estado en esta salida siempre dará el ESD-2 como salida.

• La salida 2 dará una salida de indicación en buen estado a la tarjeta de seguridad de PLC en el caso de detección de cortocircuito o de circuito abierto. El cambio de estado en esta salida dará una salida de ESD-1 al barco.

En el caso del botón pulsador de ESD-2 [RCP], usaremos entradas dobles normalmente cerradas y usaremos los diagnósticos de hardware de la tarjeta de seguridad para la detección de cortocircuitos y la detección de circuitos abiertos.

Todas las entradas deben estar en los módulos de entrada de seguridad de Siemens.

Válvulas de liberación de solenoide de seguridad

Todos los sensores de posición de solenoide están clasificados como sensores de proceso y simplemente monitorizan el resultado de un accionamiento; no se requiere que estén en las tarjetas de seguridad. Utilizamos la funcionalidad Namur de los sensores para comprobar las condiciones de falla. Los sensores siguen el protocolo de falla estándar.

Las tarjetas de salida de seguridad se usan para accionar los solenoides de pistón de accionamiento de ERC. Estos solenoides redundantes están dispuestos en escenarios de tarjetas redundantes de modo que cualquier fallo de una sola tarjeta no afecte negativamente la disponibilidad del mecanismo de liberación.

Las tarjetas de salida también ofrecen interrogación de hardware; en el caso de que la bobina en el solenoide esté en circuito abierto, se genera una alarma de hardware y se muestra en la pantalla de HMI.

Anunciadores de alarma

Todas las alarmas irán acompañadas de un zumbador en el panel de la sala de control [RCP]. Este zumbador se puede silenciar sin aceptar la alarma si es necesario.

Durante el proceso de prueba de ensayo, los pasos que requieren la intervención del operario se anunciarán mediante el zumbador del panel, este se puede silenciar con el uso del botón de silencio en la HMI.

Todas las condiciones de alarma se pueden aceptar en la pantalla. El ESD-1 iniciado por el sistema siempre parpadeará las balizas blancas en las estaciones [LCP]. El e SD-2 iniciada por el sistema siempre hará parpadear las balizas rojas y anunciará usando las Sirenas en las estaciones [LCP]. Aceptar la alarma cancelará las Balizas y las Sirenas. Si se silencia la Sirena, las Balizas parpadearán hasta que se acepte la alarma.

Todas las Sirenas e indicaciones no estarán en las tarjetas de seguridad; estarán en tarjetas de salida estándar. Pantallas de registro de alarmas generales

Todas las alarmas se separarán en varios grupos:

• Alarmas de comunicación.

• Alarmas generales del sistema.

• Alarmas críticas.

• Alarmas I/O de hardware.

Las alarmas de todos los grupos se guardarán en el registro de Alarmas. La alarma con el nivel más alto de importancia se mostrará en la pantalla del banner superior, este banner se visualiza en la línea superior de cualquier página visualizada. A continuación se muestra una representación de la pantalla del registro de alarmas.

Las alarmas se almacenarán inicialmente según el nivel de prioridad.

Las alarmas de máxima prioridad que inician el ESD-1 y el ESD-2 siempre estarán en la parte superior de la lista.

Las alarmas se pueden aceptar y, cuando se borren, se eliminarán de la pantalla de alarma actual, pero aún estarán disponibles para verlas en la pantalla de registro.

Silenciar una alarma dejará la alarma actual hasta que se acepte; la alarma no se puede restablecer hasta que se acepte.

Las alarmas de grupo en el caso de fallas de la tarjeta se enmascararán usando las interrupciones de diagnóstico para evitar un gran número de alarmas sin sentido.

Alarmas de comunicación general

Estas alarmas se representarán en el Registro de alarmas y la alarma actual se visualizará en el banner superior. Las Alarmas y Errores de comunicación se pueden ver gráficamente en la Pantalla de visualización de arquitectura del sistema.

Las alarmas se enfatizarán mediante el accionamiento de un zumbador en la parte frontal de la estación de control de RCP.

Debido a la naturaleza redundante del sistema y a la selección de componentes de alta disponibilidad, la pérdida de una sola parte del sistema de comunicación, tal como un solo cable Profibus, una unidad principal o un procesador, dará como resultado una alarma de baja prioridad, ya que esto no afecta la disponibilidad de los componentes de entrada o salida de redundancia individuales.

La pérdida de ambos procesadores o cables Profibus elevará la alarma a Prioridad crítica y emitirá una salida de ESD-1 al barco.

Alarmas generales

Estas alarmas se representarán en el Registro de alarmas y la alarma actual se visualizará en el banner superior. Las alarmas se enfatizarán mediante el accionamiento simultáneo de un zumbador en la parte frontal de la estación de control de RCP.

Se puede hacer doble clic en cualquier alarma, lo que da como resultado un enlace directo a la página de representación de alarma más relevante, como se muestra en la siguiente representación.

Durante las operaciones de transferencia, estas alarmas se clasificarán como no críticas y, usualmente, serán el resultado de un elemento fallido en un par redundante. Debido a que la función aún está disponible, a estas alarmas se les asignará una prioridad baja. El operario tiene la opción de continuar con la transferencia o detener la transferencia y reparar la falla.

Durante el proceso de Prueba de ensayo, cuando una alarma se clasifica como no crítica, tal como un sensor de temperatura del aceite configurado de forma redundante o configuraciones de bomba redundantes y válvulas asociadas, el operario tendrá la opción de poner el sensor fuera de servicio. Esta opción solo está disponible en el nivel supervisor de protección con contraseña, y se convertirá en parte de un proceso de permiso emitido desde el barco.

Los elementos críticos de seguridad no se pueden retirar del servicio durante la prueba de ensayo. Dichos elementos son Acumuladores, Sensores de distancia y válvulas solenoides de activación de ERC que deben estar siempre disponibles para el servicio.

Alarmas críticas de seguridad

Estas alarmas siempre tendrán el nivel más alto de prioridad y en general irán acompañadas de la activación de ESD-1.

El sistema está diseñado de modo que, con una condición de ESD-1 activa, el sistema aún sea capaz de activar una condición de ESD-2.

Al operario no se le permite la entrada durante una situación de alarma crítica. El resultado de las alarmas críticas de seguridad es una función del software y no puede verse influenciado por el operario.

Si ambos sensores redundantes fallan en el mismo ERC, donde normalmente el fallo de un sensor individual sería de baja prioridad, esto se eleva a una alarma crítica de Seguridad. Esto se debe a que el software no puede evaluar la disponibilidad del ERC y se activará una condición de ESD-1.

Los sensores de percutor son la excepción a esto, ya que los percutores se pueden evaluar visualmente para garantizar que estén en posición.

Alarmas I/O de hardware

A las fallas de canales de hardware individuales se les asignará una prioridad baja, si forman parte de un par redundante de entradas o salidas. Las fallas típicas pueden ser un circuito abierto en un sensor con funcionalidad Namur o la detección de un circuito abierto en una salida de seguridad de la válvula solenoide. En el caso de un fallo de hardware de la tarjeta de Entrada o Salida, esto se evaluará en función del modo de control. El fallo de la tarjeta de hardware se evaluará como una prioridad más alta que un protocolo de alarma de hardware individual durante la transferencia, ya que la redundancia está disponible. Este nivel de alarma no emite un ESD-1, pero siempre será la alarma de mayor rango en la lista de registros. Durante la Prueba de ensayo, esta será una alarma de alta prioridad e inhibirá la secuencia de la Prueba de ensayo hasta que se rectifique.

Las fallas de Hardware individuales siempre se clasificarán como de baja prioridad durante la transferencia si hay redundancia disponible.

Las alarmas de fallo de hardware de la Tarjeta de entrada siempre enmascararán las alarmas de entrada relevantes generadas por un fallo de hardware.

Pantallas de mantenimiento

Esta pantalla de mantenimiento estará disponible para el operario, solo cuando el sistema esté en el modo Prueba de ensayo y se haya seleccionado el control manual.

La pantalla de mantenimiento tiene una sola función, para poder realizar el mantenimiento de las bombas de Circulación y Presión. La función será semiautomática. El operario podrá iniciar y detener las bombas a través de la pantalla de mantenimiento de HMI manualmente. El accionamiento de la válvula en modo manual estará disponible solo cuando no haya presión en el sistema.

Pantalla de contraseña de supervisor

Durante el proceso de prueba de ensayo, la pantalla de Contraseña de supervisor puede inhibir los sensores no críticos y los elementos finales, esta función se restablece al comienzo de cada Proceso de prueba de ensayo. Matriz de seguridad

Después de una activación de ESD-1 o ESD-2, la pantalla de matriz de seguridad estará disponible para diagnosticar la razón detrás de la liberación. También se habrá generado una alarma.

La Matriz de seguridad, un ejemplo de la cual se muestra en la Figura 5, está disponible en cualquier momento para dar al operario un fácil acceso a las diversas situaciones de fallo y ESD que el sistema está comprobando. Arranque e inicialización del sistema

Se requiere que el operario siga la rutina de comprobación disponible en el IOM antes de aplicar energía al sistema como sigue:

1. Garantizar que los gabinetes del Panel de control-1 (CP-1), Panel de control-2 (CP-2) y Panel de control-3 (CP-3) estén sellados y asegurados.

2. Garantizar que todas las tapas de sellado estén aseguradas en los cables de conexión de ERC individuales.

3. Garantizar que todas las cubiertas estén aseguradas en los terminales del calentador y del motor de la HPU.

4. Comprobar visualmente todas las mangueras y conexiones hidráulicas de la HPU.

Rutina de arranque del sistema de energía

Toda la energía de 220 vac o 440 vac se distribuye desde el CP-1. Esto garantiza que, cuando el CP-1 está aislado, todos los gabinetes de ERS no tienen energía disponible.

El operario garantizará que los siguientes aisladores estén en la posición de Apagado:

• Suministro local 1 de 440 vac,

• Suministro 2 de 440 vac,

• UPS-1 de 220vac y UPS-2 de 220vac (no mostrado actualmente en los dibujos).

En la sala de conmutadores, el operario acoplará el Disyuntor de caja moldeada (MCCB) de la HPU y los Disyuntores en miniatura (MCB) de suministro de control en el siguiente orden:

1. {Conmutar el MCCB del Suministro 1 de HPU de 440 vac a la posición de encendido}.

2. {Conmutar el MCB del suministro de UPS-1 de 220 vac a la posición de encendido}.

3. {Conmutar el MCB de suministro de UPS-2 de 220 vac a la posición de encendido}.

Luego, el operario encenderá los aisladores Locales en el siguiente orden:

1. {Encender el aislador local 1 de HPU de 440 vac}

2. {Encender el Aislador local de UPS-1 de 220 vac}

3. {Encender el Aislador local de UPS-2 de 220 vac}

Rutina de arranque del sistema de control

Una vez que se hayan encendido los suministros 1 y 2 de UPS, la CPU 1 [41A2] localizada en el gabinete de RCP realizará una rutina de arranque. Si tiene éxito, la CPU-1 entrará en modo único como procesador maestro. La CPU-2 [41A4] localizada en el gabinete de RCP ahora realizará una rutina de arranque. Si tiene éxito, la CPU-2 pedirá un enlace de sincronización con la CPU-1. La CPU-1 maestra comparará los programas de ambos procesadores y actualizará la CPU-2 esclava con el programa maestro, si se detectan cambios.

A continuación, la CPU-1 se conectará y realizará comprobaciones de diagnóstico de comunicación en las siguientes unidades principales de Profibus:

• Unidad principal de RCP de Profibus [44U2(E)]

• Unidad principal de CP-1 de Profibus [14U2(E)] y [14U4(E)]

• Unidad principal de CP-2 de Profibus [23U1(E)] y [23U3(E)]

• Unidad principal de CP-3 de Profibus [33U1(E)]

La CPU-1 también se conectará a la HMI [3U7(E)] usando el anillo de Profinet redundante PN: 1.

Luego, la CPU-2 se conectará y realizará comprobaciones de diagnóstico de comunicación en las siguientes unidades principales de Profibus:

• Unidad principal de RCP de Profibus [44U3(E)]

• Unidad principal de CP-1 de Profibus [14U3(E)] y [14U5(E)]

• Unidad principal de CP-2 de Profibus [23U2(E)] y [23U4(E)]

• Unidad principal de CP-3 de Profibus [33U2(E)]

La CPU-2 también se conectará a la HMI [44U6(E)] usando el anillo Profinet redundante PN: 2.

Cuando el sistema tiene ambas CPU en línea y sincronizadas, toda la información de entrada analógica y digital se lee simultáneamente. Luego, ambas CPU reciben y procesan información de diagnóstico de las tarjetas de hardware de entrada y salida.

Solo el Procesador maestro escribirá en las tarjetas de salida. Si en algún momento falla el Procesador maestro, el procesador esclavo pasará al estado Maestro y continuará sin problemas el procesamiento y la escritura en las tarjetas de salida, sin interrupción del proceso. Se generará una alarma en la lista de registro de alarmas de la HMI.

En el caso de que se inicie un error de comunicación de la CPU, Profibus o Profinet, durante la rutina de arranque, la CPU y la unidad principal de Profibus relacionada sin errores se convertirán en Maestras. El sistema con error se convertirá en la unidad esclava. Se generará una alarma en la lista de registro de alarmas de la HMI.

La Falla también estará disponible para verla en la página de diagnóstico de la arquitectura del sistema.

Filosofía de suministro de tensión de control y alimentación principal

La fuente de alimentación de 440vac de la sala de Conmutación no es una fuente Redundante. La Presión de accionamiento está provista de acumuladores redundantes de modo que las bombas Hidráulicas no requieran redundancia. Se requieren suministros de control para la activación del ERC.

Todos los suministros de control son redundantes en el sistema. Cuando el sistema está activo, el sistema monitoriza todas las fuentes de alimentación: tanto de CA como de CC. Los relés de monitorización de 440 vac y 220 vac verifican la presencia de un suministro de tensión desde la Sala de conmutación.

El Monitor de línea de Suministro 1 de CP-1 de 440 vac [13U1(E)] ofrece funcionalidad de diagnóstico usando entradas binarias codificadas, los estados de alarma se muestran en Causa y Efecto. Las entradas binarias son las siguientes:

• Entrada binaria 1- Bastidor [CP-1.1(E)], Tarjeta [19A1(E)] Entrada [X1-16(E)]

• Entrada binaria 2- Bastidor [CP-1.1(E)], Tarjeta [111A(E)] Entrada [X1-16(E)]

Los monitores de línea de 230 vac usan una única entrada binaria para indicar un estado de falla como sigue: Monitor de línea de UPS-1 de CP-2 de 230vac [22U1(E)]

Entrada binaria - Bastidor [CP-2(E)], Tarjeta [217A1(E]

Monitor de línea de UPS-2 de CP-2 de 230vac [22U2(E)].

Entrada binaria - Bastidor [CP-2 (E)], Tarjeta [218A1 (E)]

El buen estado se indica mediante una entrada Verdadero. La indicación de pérdida de energía o falla se indica mediante el cambio de estado a Falso.

Todas las PSU de 24 vdc tienen protección corriente arriba no monitorizada (230 vac) proporcionada por MCB de dos polos. Toda la protección corriente abajo (24 vdc) la proporcionan MCB unipolares o protección con fusibles. La redundancia de 24 vdc se proporciona por un módulo de diodos conectado a cada fuente de alimentación. El módulo de redundancia ofrece un cambio continuo de fuentes de alimentación. La indicación de falla se proporciona con un contacto de retroalimentación binaria a una entrada de PLC. El buen estado se indica con una entrada Verdadera. El fallo del módulo o el fallo de Energía dan como resultado una salida Falsa.

A continuación se muestra una Lista de fuentes de Alimentación de par redundantes, módulos de diodos y localizaciones de entrada:

Módulo 1 de Fuente de alimentación y Redundancia de RCP de 24 vdc [43V1(E)] [43V3(E)]

Entrada binaria - Bastidor [RCP(E)], Tarjeta [417A(E)] Entrada [0(E)]

Módulo 2 de Fuente de alimentación y Redundancia de RCP de 24 vdc [43V2(E)] [43V4(E)]

Entrada binaria - Bastidor [RCP(E)], Tarjeta [417A(E)] Entrada [1(E)]

Módulo 1 de Fuente de alimentación y Redundancia de CP-1 y CP-2 de 24 vdc [21V1(E)] [21V2(E)] Entrada binaria - Bastidor [CP-2.1(E)], Tarjeta [217A(E)]

Módulo 2 de Fuente de alimentación y Redundancia de CP-2 de 24 vdc [22V3(E)] [22V4(E)]

Entrada binaria - Bastidor [CP-2.1(E)], Tarjeta [218A(E)]

Los módulos de fuente de alimentación intrínsecamente seguros para los módulos de interfaz [33U1(E)] y [33U2(E)] tienen información de fallo y redundancia incorporada. La información de fallo se transmite a través del bus del plano posterior al software:

Módulo 1 de Fuente de alimentación y Redundancia de CP-3 de 24 vdc [33V1(E)]

Módulo 2 de Fuente de alimentación y Redundancia de CP-3 de 24 vdc [33V2(E)]

Cualquier alarma de suministro de energía dará como resultado una pantalla de alarma en la HMI.

Dos suministros defectuosos en el mismo bastidor darán como resultado una salida de ESD-1 al barco.

Cuando todas las rutinas Previas al arranque se han completado, se inicia una rutina de comprobación de la presión del sistema. Se comprueban los sensores [34b, 34a y 34d], si la presión es superior a 5 bar, se visualiza la siguiente pantalla, indicando la pantalla "Despresurice manualmente los acumuladores 37a y 37ba y presione Hacer nueva prueba".

Comprobaciones de secuencia previas al arranque

Cuando la rutina de arranque se haya completado, aparecerá una ventana emergente en la pantalla de HMI, indicando la ventana emergente "Conmutar el conmutador del acoplador de desbloqueo de emergencia (415S2) a la Posición de prueba de ensayo y presionar Aceptar". Para aceptar, el operario presiona el botón Aceptar en la HMI.

El conmutador de llave [415S2 (E)] tiene contactos normalmente abiertos y normalmente cerrados que nos dan un monitorización No equivalente en la entrada de seguridad (Filosofía de seguridad en un capítulo separado), en la posición de prueba de ensayo Bastidor [RCP(E)] Tarjeta [15A(E)]. La Entrada [1(E)] es Verdadera y la Entrada [13(E)] es Falsa.

El Conmutador habilita 4 funciones en la posición de Prueba de ensayo.

1. Permite que la información de la variable del programa pase en una dirección solamente entre el programa No seguro y el Programa de seguridad. Si coloca el conmutador en la posición listo/Transferencia en cualquier momento, se desactivará esta función.

2. Establece todo el equipo disponible para el servicio independientemente del estado de transferencia anterior (fuera de servicio o no)

3. La salida de señal de ESD-1 de RCP [130K1(E)] y la salida de señal de ESD-2 de RCP [130K2(E)] se desenergizarán dando una señal permanente de ESD-1 y de ESD-2 al barco durante el proceso de Prueba de ensayo. Esto dictará que el sistema debe haber completado una Prueba de ensayo y estar en modo de transferencia, antes de que se pueda transferir cualquier producto. No es posible anular esta función. Cualquier anulación de la retroalimentación de ESD-1 formará parte del sistema de permisos de funcionamiento de los barcos y no formará parte del sistema KLAW e Rs .

4. Activar la secuencia del Prueba de ensayo.

Una vez que el conmutador de Llave [415S2 (E)] esté en el modo de Prueba de ensayo, el sistema permanecerá en un estado inactivo hasta que se inicie la secuencia de prueba de ensayo. La prueba de ensayo se inicia arrancando el ciclo de verificación y calentamiento de aceite.

Cuando se completa con éxito un procedimiento de Prueba de ensayo, se Indica al Operario que conmute [415S2(E)] a la posición de Transferencia, esto inhibe cualquier transferencia de variable entre el Proceso y el software de Seguridad. Esto también habilita las Funciones instrumentadas de seguridad, Automáticas (medición de distancia) y Manual (Botones pulsadores de ESD-2).

Validación inicial

Todos los ERC que se usarán para la transferencia de GNL deben seleccionarse manualmente antes del arranque de la comprobación de validación.

{El operario Presiona el Botón de ERC-1 en el aviso de HMI}. Esto visualizará luego una Ventana emergente en la pantalla de HMI donde el operario puede seleccionar si la manguera de transferencia es de Vapor o de Líquido. {El operario Presiona el botón Aceptar en el aviso de HMI}.

Antes de comenzar las comprobaciones Hidráulicas, el sistema comprueba solo los cabezales activos que están conectados al ERS.

Debido a que los termopares y los sensores de proximidad tienen todos la misma localización de pasador en todos los conectores, el sistema puede comprobar los sensores de ERC seleccionados para detectar las condiciones de falla. Las siguientes condiciones de alarma también se verifican y cualquier alarma resultante se indica en la HMI.

[ERC-1] está seleccionado; no tiene conector eléctrico.

[ERC??] no está seleccionado; desconecte el conector eléctrico.

Monitorización del percutor

La posición del Percutor ERC-1 se monitoriza mediante los sensores de proximidad [22S1] y el sensor [22S2]. Los sensores están conectados a una tarjeta de entrada Namur 22A1 en el CP-3. El sistema realiza comprobaciones de diagnóstico en los sensores dando los siguientes estados de alarma posibles en la HMI.

Falla del cortocircuito o circuito abierto del sensor de Percutor de ERC-1 [21S1(E)].

Falla del cortocircuito o circuito abierto del sensor de Percutor de ERC-1 [22S1(E)].

El ERC-1 [21S1(E)] [22S2(E)] que detecta el pasador de Bloqueo presente durante la Prueba de ensayo.

Conflicto de detección del Percutor de ERC-1 [22S1(E)] [22S2(E)] durante la Prueba de ensayo.

Cuando el sistema ha validado el ERC y la configuración del conector y ha confirmado que no hay ningún Percutor en el ERC para ser objeto de una Prueba de ensayo, una ventana de HMI visualiza un mensaje que pide al operario que acepte la configuración y arranque la prueba de ensayo o que rechace la configuración y reconfigure los ERC. {El operario Presiona el Botón Rechazar en el aviso de HMI} - al rechazar la configuración, se reiniciará la secuencia en la pantalla de selección de ERC.

{El operario Presiona el Botón Aceptar en el aviso de HMI} - se inicia el paso de comprobación de la posición cero del sensor de separación y se visualiza el siguiente aviso, como se muestra en la siguiente sección.

Rutina de comprobación y calentamiento de aceite

Todas las bombas y calentadores de servicio de espera alternarán entre de Servicio y en Espera en función de horas de funcionamiento equilibradas. El programa mantendrá las horas de funcionamiento iguales entre el elemento de Servicio y en Espera.

{El operario Presiona el botón Aceptar en la HMI para iniciar el bucle de control}.

A continuación, el sistema ejecuta el bucle de control de verificación y protección de aceite. Este bucle de control se ejecutará continuamente mientras los Calentadores estén activos.

Proceso de prueba: -1. Si el nivel bajo [LS77] no está activo, el sistema habilitará las salidas del calentador.

2. Si los cortes térmicos [S18a y 18b] están en buen estado, habilitar el arranque del calentador

3. El software usa un Termopar [TT4a] y [TT4b] para evaluar la temperatura del aceite. Si la temperatura del aceite está por debajo de 30 °C, se activan ambos contactores de calentador [130K3(E)] y [131 K3(E)]. 4. Durante la fase de calentamiento del aceite, si no se detecta un aumento de temperatura después de 30 minutos, se generará una alarma "La temperatura del aceite no aumenta - compruebe el circuito del calentador".

5. Cuando la temperatura del aceite alcanza los 35 °C, la salida del calentador en espera se desactiva. El calentador de servicio elevará la temperatura del aceite a 40 °C.

6. Durante la secuencia de calentamiento del aceite, [SV21a] y [SV21b] se energizarán para hacer circular el aceite. [SV47a] y [SV47b] se energizarán para garantizar que no haya presión de aceite disponible en el ERC. Las Bombas [M6] y [M7] se alternarán entre de servicio y en espera cada 30 minutos para ayudar a hacer circular el aceite durante la fase de calentamiento.

7. Durante la Prueba de ensayo, los Calentadores de aceite mantendrán la temperatura del depósito de aceite sin la necesidad de usar las Bombas de circulación de aceite.

8. Cuando se alcanza el punto de ajuste de temperatura, aparecerá una pantalla emergente HMI como se muestra a continuación y se activará la salida de zumbador [31H1] en el panel de RCP.

{El operario Presiona el botón aceptar en el aviso de HMI para iniciar el procedimiento de prueba de ensayo en caliente} - el zumbador se cancela y el aviso en la sección "Comprobación del sensor de separación completamente retraído" aparecerá en la pantalla de HMI.

Prueba de ensayo

A partir de este punto en el proceso de prueba de ensayo, se visualizará un contador en la esquina de la pantalla de HMI. Este contador contará a partir de 48 horas y será claramente visible para el operario. Si la prueba de ensayo no se completa y el sistema se pone en modo de transferencia antes de que el contador llegue a 0 horas, el proceso de prueba de ensayo se cancelará y se reiniciará desde un paso anterior.

Las alarmas sonarán cada 2 horas cuando el contador esté por debajo de las 12 horas desde la cancelación. Las alarmas se cancelarán una vez que el sistema esté activo.

Un botón de Cancelación de prueba de ensayo estará disponible para que el operario cancele y reinicie el proceso de prueba de ensayo en cualquier momento.

En caso de fallo de la secuencia, se retendrá y se cancelará. Ejemplo, filtro bloqueado durante la prueba de ensayo. El sistema detiene la secuencia y el operario cambia el filtro. La secuencia no se puede completar sin una comprobación de filtro, así que cancele el paso y reinicie la secuencia de comprobación del filtro.

Prueba de ensayo en caliente

Vamos a seleccionar el ERC-1, a los efectos de esta narrativa de prueba.

El IOM indicará que todos los acoplamientos de ERC no usados deberían tener que desconectarse eléctrica e hidráulicamente antes de iniciar el procedimiento de Prueba de ensayo.

Dentro de la narrativa se usarán dos descripciones de Prueba de ensayo:

• Prueba de ensayo - esto indica que se realiza una prueba de funcionalidad completa, tal como accionar el solenoide, y la retroalimentación se registra en un sensor;

• Prueba de ensayo parcial - esto indica una comprobación de funcionalidad parcial, tal como una carrera del pistón del accionador de ERC, y la retroalimentación se registra en el sensor. Esto se debe a que el Percutor no está presente, no estamos haciendo una prueba de funcionalidad completa. El acoplamiento no se ha activado, por lo que no se puede evaluar como una Prueba de ensayo completa.

Durante el proceso de prueba de ensayo, cualquier paso de secuencia fallido dará como resultado una indicación de alarma y una elección del operario. Estas ventanas emergentes no se mencionarán en la narrativa para simplificar las descripciones de la secuencia.

Para cualquier fallo que normalmente daría como resultado una alarma de ESD-1, el operario no tendrá la opción de continuar la prueba de ensayo; solo estará disponible la opción de hacer una nueva prueba.

Dentro del proceso de Prueba de ensayo, si un sensor no crítico falla en una validación y hay un sensor redundante disponible, se permite retirar el sensor del servicio durante el resto del proceso de la Prueba de ensayo y el proceso de Transferencia posterior. Esta función solo está disponible a través del nivel de acceso de la contraseña de Supervisor.

Los elementos críticos de la planta no tendrán la opción de retirarse del servicio.

Cuando se selecciona Prueba de ensayo para transferencias posteriores, todos los sensores se volverán a habilitar y, para retirar un sensor del servicio, se requerirá la implementación del procedimiento documentado.

Dentro del procedimiento de IOM, se le pedirá al operario que retire el Percutor en los ERC activos antes de comenzar la Prueba de ensayo.

Verificación del sensor de separación completamente retraído

Durante el proceso de prueba en caliente, el sistema verificará que los tres sensores de distancia estén conectados. No hay ningún requisito para garantizar que los sensores estén conectados en una configuración particular. Se pueden cortar hasta 5 metros de cable del sensor de distancia. Esto está permitido porque la extensión máxima del sensor de distancia es de 25 m. La extensión máxima teórica para el ESD-2 es de 15 m. Retirar 5 m dejará 5 m en espera.

Los criterios de aprobación de los sensores de Distancia en este punto son tres de los tres sensores de distancia; no se tolerarán fallos. Cualquier fallo tendrá que rectificarse y tendrá que iniciarse una nueva prueba.

{El operario Presiona Arrancar prueba en los avisos de HMI} - se ejecuta la siguiente secuencia de prueba: Para verificar que todos los enchufes están conectados, se espera un mínimo de 4 ma en cada entrada del sensor, una cifra menor a 3,6 mA generará una alarma en la HMI y detendrá la secuencia de prueba.

Completamente retraído, se requiere que la longitud medida absoluta esté en el rango de 0,0 m a 5,0 m. Cualquier medición absoluta fuera de estos valores generará una alarma en la HMI indicando el problema y detendrá la secuencia de prueba. La única opción disponible en estos sensores es reemplazar y volver a hacer la prueba. Cuando se satisfagan todos los criterios, el programa tomará el valor de la posición cero y lo almacenará en el programa de seguridad dentro de un bloque variable. Esto se usará entonces para futuras comprobaciones incrementales durante las comprobaciones de validación de sensor de distancia.

Se visualizará un aviso de HMI al completar una prueba exitosa, y el aviso de HMI le preguntará al operario si debe iniciar una prueba de circulación de aceite y una prueba de ensayo de presión.

Prueba de ensayo del sistema de circulación de aceite

Con el fin de simplificar las secuencias, una vez que se ha comprobado la retroalimentación en una válvula, no nos referiremos al sensor de retroalimentación durante las secuencias posteriores. El programa siempre comprobará el accionamiento de la válvula después de cada petición de movimiento y generará una alarma por fallo de movimiento.

La prueba seguirá una secuencia preestablecida que se puede dividir en los siguientes pasos:

1. Comprobaciones de retroalimentación de Posición del solenoide (comprobaciones comunes del sistema) 2. Función del motor y comprobación del sensor de presión y del sensor de flujo (comprobaciones comunes del sistema)

3. Verificación del sensor y del accionador de ERC (comprobaciones de ERC individuales)

Pruebas de retroalimentación de posición de solenoide I

Antes de presurizar el sistema, el programa realiza una secuencia de pruebas de accionamiento para garantizar el correcto funcionamiento del solenoide.

En este caso, la narrativa se referirá solo a las válvulas de bloqueo y a las válvulas de activación de ERC-1. Si se validan válvulas de ERC adicionales, sus respectivas válvulas de bloqueo y activación se probarán en pasos de secuencia posteriores. Para garantizar que no haya fugas hacia atrás, se requiere que todas las válvulas de bloqueo estén energizadas en una activación. Todas las válvulas de bloqueo conectadas al colector deben pasar el proceso de prueba.

Nota: -[SV48-1] y [SV49-1] se energizan para cerrarse. Todas las demás válvulas se energizan para abrirse.

Proceso de prueba: -• Energizar la válvula [SV21a] y comprobar que el sensor [S90-33] cambia de estado de Falso a Verdadero. La válvula permanece energizada;

• Energizar la válvula [SV21b] y comprobar que el sensor [S90-34] cambia de estado de Falso a Verdadero.

Válvula desenergizada;

• Energizar las válvulas de bloqueo normalmente abiertas de ERC-1 [SV48-1 ] y [SV49-1 ]. Comprobar el cambio de estado de la retroalimentación de Verdadero a Falso en los sensores [S90-11] y el sensor [S90-12]. Desenergizar las válvulas;

• Energizar las válvulas de bloqueo normalmente cerradas de Alta presión de ERC-1 [SV88-1a] y [SV89-1b].

Comprobar el cambio de estado de la retroalimentación de Falso a Verdadero en los sensores [S90-1] y el sensor [S90-2]. Las válvulas se desenergizan después de la prueba.

Función del motor y sensor de presión, sensor de flujo y verificación del filtro

Proceso:

Energizar las válvulas de bloqueo normalmente abiertas de ERC-1 [SV48-1] y [SV49-1]

El programa desenergizará [SV47-a] y [SV47-b] independientemente de su estado anterior antes de realizar el siguiente paso.

Energizar el contactor [130K2 (E)]. Monitorizar el cambio de estado de la entrada de retroalimentación del contactor de Verdadero a Falso.

Si la bomba de Servicio no está disponible, iniciar el modo en Espera, si ambas bombas no están disponibles, cancelar la prueba

Ejecutar el funcionamiento de la bomba durante 5 minutos (se confirmará durante la puesta en funcionamiento). Monitorizar el retorno al filtro de obstrucción de depósito [F85a] y al filtro hidráulico [F9a] de la bomba de circulación [M6].

[S85b] y [S28a] proporcionan retroalimentación. El buen estado es Verdadero. Falso indica un filtro bloqueado.

Si [S85b] y [S28a] son verdaderos durante 30 segundos. Terminar la prueba antes de tiempo. Desenergizar las válvulas [SV21a].

La bomba [M6] ahora está presurizando el sistema. La presión del sistema se establece en 40 bar.

Pruebas de bombas de recirculación

Las siguientes pruebas se realizan cada 5 segundos durante el período de presurización:

La presión se evalúa mediante los sensores [PT32a], [PT32b] y [PT32C]. La desviación permitida entre los sensores es una desviación de 5 bar mayor que esto y dará como resultado una alarma de HMI y un aviso para hacer una nueva prueba.

Si la bomba no ha alcanzado una presión de 40 bar en los sensores PT32a. PT32b y PT32c después de 60 segundos, esto dará como resultado una alarma de HMI y un aviso de nueva prueba

El sistema comprueba si hay fugas importantes, esto está designado por los siguientes parámetros [FT72]>4,5 LPM y PT32c menos de 10 bar. Esto dará como resultado una alarma de HMI y un aviso de nueva prueba. El sistema comprueba si hay fugas menores [FT72]>2 LPM y PT32c menos de 35 bar, esto dará como resultado una alarma de HMI, esta condición no detendrá la prueba de ensayo aunque el sistema no alcanzará los 40 bar después de 60 segundos.

Pruebas de válvulas SV47a y 47b

Las válvulas [SV47-a] [SV47-b] no tienen retroalimentación eléctrica, por lo que el sensor de presión [PT32c y PT32d] se usa para detectar la apertura y el cierre de la válvula.

Cuando el sistema haya alcanzado los 40 bar, se ordena a la bomba que se detenga.

El sistema espera 10 segundos y comprueba que las comprobaciones [PT32c y PT32d] estén por encima de 20 bar; esta comprobación garantiza que el sistema no tenga fugas y que haya más de 20 bar disponibles para la siguiente prueba

La válvula [SV47-a] se energiza, la caída de presión a menos de 1 Bar [PT32c y PT32d] es una indicación aceptable de válvula abierta, la Válvula [SV47-a] se desenergiza si no se mide una caída de presión, aparecerá una ventana emergente en la HMI indicando que la válvula no se ha abierto, el sistema se cancelará

Arranca la bomba [M7] (bomba en espera):

Realizar la comprobación del bloqueo del filtro Hidráulico [F9b] de la bomba de Circulación [M7] durante 5 minutos (TBC). [S28b] proporciona retroalimentación. El buen estado es Verdadero; Falso indica un filtro bloqueado. Cuando [S28b] sea verdadero durante 30 segundos, finalizar la prueba pronto.

Desenergizar las válvulas [SV21 b], [SV47-a] y [SV47-b].

Realizar las pruebas especificadas en la sección "pruebas de la bomba de recirculación en la bomba [M7].

La válvula [SV47-b] se energiza, la caída de presión a menos de 1 Bar es una indicación aceptable de válvula abierta, [SV47-b] desenergizada. Si no se mide una caída de presión, aparecerá una ventana emergente en la HMI indicando que la válvula no se ha abierto, el sistema se cancelará.

Abrir las válvulas [48.1-48.10] y [49.1-49.10]. Comprobar la retroalimentación

Verificación de filtros, accionadores y sensores de ERC

Todos los cabezales activos se comprobarán secuencialmente durante 60 segundos

Proceso de prueba para el ERC-1: -Cerrar las válvulas [48.2-48.10] y [49.2-49.10], comprobar la retroalimentación y garantizar que [SV48.1 y 49.1] permanezcan abiertos

Bomba de servicio con orden de arranque

El sistema de circulación ahora estará presurizado. El cilindro hidráulico de ERC-1 se extenderá completamente y comenzará la circulación. Esto se verifica cuando el sensor [23S3 (E)] es Verdadero. Si [23S3 (E)] permanece Falso, se activará una alarma de HMI.

Las desviaciones de los sensores de temperatura de cabezal [TT01] y [TT02] se monitorizan durante la prueba. La desviación de temperatura aceptable es de 5 °C.

Se realiza una prueba de flujo de ERC usando el sensor de flujo [FI72] para verificar que el filtro manual y el filtro de retorno de circulación de ERC [F55-1] no estén bloqueados y en buen estado:

• Filtro manual [60-1] - sin retroalimentación

• Filtro de retorno de circulación de ERC - retroalimentación proporcionada por [S53a] (funcionamiento normal Falso)

El flujo normal de una válvula es de 300 cc por minuto. El punto de ajuste de la alarma se establece en 200 cc por minuto (a confirmar durante la puesta en funcionamiento).

La prueba de flujo se realizará durante 1 minuto (TBC) en cada ERC. Si, después de este tiempo, la retroalimentación en el filtro de circulación de ERC es Verdadera, o el flujo está por debajo de 200 cc por minuto, se generará una alarma y el operario tendrá la opción de hacer una nueva prueba.

La prueba se lleva a cabo en todos los ERC activos cerrando todas las válvulas SV48 y 49, excepto las válvulas en el ERC que se vayan a probar.

Prueba de ensayo del circuito de presión de activación

La prueba seguirá una secuencia preestablecida que se puede dividir en los siguientes pasos. Con el fin de simplificar las secuencias, una vez que se ha comprobado la retroalimentación en una válvula, no nos referiremos al sensor de retroalimentación durante las secuencias posteriores. El programa siempre comprobará el accionamiento de la válvula después de cada petición de movimiento y generará una alarma por fallo de movimiento:

Pruebas de retroalimentación de posición de solenoide II

Antes de presurizar el sistema, el PLC realiza una secuencia de pruebas de accionamiento para garantizar el funcionamiento correcto del solenoide antes de arrancar las bombas de alta presión.

En este caso, la narrativa se referirá solo a las válvulas de bloqueo y activación de ERC-1, si se validan válvulas de ERC adicionales, se probarán sus respectivas válvulas de bloqueo en el mismo paso de secuencia en el que se accionarían en dos bancos 1, 3, 5, 7, 9 y 2, 4, 6, 8, 10.

Proceso de prueba: -• Energizar las válvulas de bloqueo de ERC-1 normalmente cerradas [SV88-1] y [SV89-1], comprobar el cambio de retroalimentación de estado de Falso a Verdadero en los sensores [S90-1] y el sensor [S90-1];

• Energizar la Válvula [SV20a] y comprobar el cambio de estado del sensor [S90-31] de Falso a Verdadero, la válvula permanece energizada;

• Energizar la Válvula [SV20b] y comprobar el cambio de estado del sensor [S90-32] de Falso a Verdadero. Desenergizar la válvula;

• Energizar las válvulas de bloqueo abiertas de ERC-1 [SV48-1] y [SV49-1], comprobar el cambio de retroalimentación de estado de Verdadero a Verdadero falso en los sensores [S90-11] y el sensor [S90-12]. Desenergizar después de la prueba.

Comprobación de la cámara del acumulador de rotura

Energizar las válvulas [SV46a], [SV46b] [SV88-1] y [SV89-1], y desenergizar [SV48-1] y [SV49-1] para retirar la presión residual del sistema hidráulico. Estas válvulas no tienen retroalimentación y se comprobarán mediante un Proceso separado más adelante en la secuencia.

Si la presión en el sensor [PT34a] es mayor o igual que [PT43a], se activará una alarma "Purgue manualmente el acumulador".

Si la presión en el sensor [PT34b] es mayor o igual que [PT43b], se activará una alarma "Purgue manualmente el acumulador".

Abrir las Válvulas [SV30a] y [SV30b].

Medir los sensores de presión de Nitrógeno [PT43a] y [PT43a]. Un valor por debajo de 100 Bar activará una alarma. Desenergizar las válvulas [SV30a], [SV30b], [SV46a] y [SV46b].

Para todas las válvulas de activación de cierre del ERC [SV88 y SV89]

Función del motor, posición del solenoide y evaluación del sensor

La bomba de servicio se seleccionará para la secuencia de evaluación de fugas de la válvula. En este caso es la bomba [5b]. Las bombas [5a] y [5b] están interconectadas en el software, por lo que no es posible hacer funcionar ambas bombas al mismo tiempo.

Energizar la válvula [SV20b].

Energizar el Contactor [31K1 (E)]. Monitorizar el cambio de estado de la entrada de retroalimentación del contactor de Verdadero a Falso.

La bomba [M5b] hace circular el aceite a través de los filtros Hidráulicos de Alta presión [F8b] y el filtro de la manguera hidráulica de retorno [F85a] durante un período de 5 minutos (TBC). [S86a] y [S27b] proporcionan retroalimentación de bloqueo del filtro. El buen estado es Verdadero; Falso indica un filtro bloqueado.

Si [S86a] y [S27b] son verdaderos durante 60 segundos, finalizar la prueba pronto.

Detener el motor [M5b]. Desenergizar la válvula [SV20b].

Energizar la válvula solenoide [SV20a]. Energizar el contactor [M5a] [30K1 (E)] y monitorizar el cambio de la entrada de retroalimentación de estado del contactor de Verdadero a Falso.

La bomba [M5a] hace circular el aceite a través del filtro Hidráulico de Alta presión [F8a] durante un período de 5 minutos. [S27b] proporciona retroalimentación de bloqueo del filtro. El buen estado es Verdadero; Falso indica un filtro bloqueado. Si [S27a] es verdadero durante 60 segundos, finalizar la prueba pronto.

Desenergizar la válvula [SV20a].

Energizar las válvulas [SV30a], [SV30b], [SV46a] y [SV46b]

Evaluación del sensor de presión

Hay válvulas de retención en las mangueras hidráulicas de presión de la bomba para inhibir cualquier pérdida de presión a través de la bomba que no esté en funcionamiento. Debido a esto, no es posible probar todos los sensores de presión en una secuencia.

Las secuencias de prueba de servicio y en espera son intercambiables.

La bomba [M5a] ahora está presurizando el sistema.

Durante todas las siguientes secuencias de presurización para los puntos de ajuste de 150,170 y 230 bar, se realizan las siguientes pruebas: -Si la bomba no ha alcanzado la presión del punto de ajuste de presión en los sensores PT34a. PT34b y PT34c después de 60 segundos, esto dará como resultado una alarma de HMI y un aviso de nueva prueba

El sistema comprueba si hay fugas importantes, esto está designado por los siguientes parámetros [FT73]>4.5 LPM y PT34c de menos de 10 bar, esto dará como resultado una alarma de HMI y un aviso de una nueva prueba. El sistema comprueba si hay fugas menores [FT73]>2 LPM y PT34c de menos de 50 bar, esto dará como resultado una alarma de HMI, esta condición no detendrá la prueba de ensayo aunque el sistema no alcanzará los 150 bar después de 60 segundos.

La presión del sistema se establece en 150 bar. Cuando se alcance esta presión, detener la bomba [M5a]. La presión se evalúa mediante los sensores [PT34a], [PT34b], [PT43a], [PT43b], [PT34c], [PT34d] y [PT83]. La desviación permitida entre los sensores es de 5 Bar durante la secuencia de prueba que dura 5 segundos (a confirmar durante la realización de la prueba).

Cerrar las válvulas [SV46a] y [SV46b].

Energizar las válvulas solenoides [SV88-1] y [SV89-1] de la válvula de ERC-1 para purgar la presión del sistema. Cuando la presión sea inferior a 5 bar [PT83], desenergizar las válvulas solenoides de ERC-1 [SV88-1] y [SV89-1].

Energizar la válvula solenoide [SV20b]. Arrancar la bomba [M5b] y luego desenergizar la válvula solenoide [SV20b]. Cuando se alcance una presión de 170 bar, detener la bomba [M5b]. La presión se evalúa mediante los sensores [PT34a], [PT43b], [PT43a], [PT34b], [PT34c] y [PT34e]. La desviación permitida entre los sensores es de 5 bar durante la secuencia de prueba que dura 5 segundos (a confirmar durante la realización de la prueba).

Posición de la válvula y evaluación de fugas

Durante esta secuencia, un fallo en la prueba dará como resultado la realización de una nueva prueba de la secuencia completa.

Energizar la válvula solenoide [SV20a]. Arrancar el motor [M5a] y luego desenergizar la válvula solenoide [SV20a]. Cuando los sensores de presión [PT34a] y [PT34b] miden 230 bar (TBC), las válvulas [SV30a] y [SV30b] se desenergizan, almacenando la carga presurizada. Detener la Bomba [M5b].

Energizar la válvula de ERC-1 y las válvulas solenoides [SV88-1], [SV89-1], [SV46a] y [SV46b] para purgar la presión del sistema.

Comprobar los sensores de presión [PT34a y PT34b] para detectar una presión por encima de 180 bar, si la presión está por debajo de 180 bar, represurizar el sistema, si la presión está por debajo de 180 bar y se ha intentado la presurización más de 3 veces, la alarma en la HMI y cancelar la prueba.

Monitorizar los sensores de presión [PT43a] y [PT34a] durante 5 minutos. Una reducción de la presión de 50 Bar (TBC) indicará una fuga del solenoide [SV30A] y activará una alarma.

Monitorizar la presión [PT43b] y [PT34b] durante 5 minutos. Una reducción en la presión de 50 Bar (TBC) indicará una fuga del solenoide [SV30b] y activará una alarma, las pruebas de la válvula solenoide [SV30a] y [SV30b] se realizan simultáneamente.

Desenergizar las Válvulas solenoides [SV46a] y [SV46b].

Energizar la Válvula solenoide [SV30a].

Monitorizar el sensor de presión [PT83]. Si después de 5 minutos (TBC) la presión ha aumentado significativamente en [PT83], se activará una alarma: "Válvula [SV46a] o [SV46b] con fugas" realizar una nueva prueba si hay menos de 3 intentos, si no se cancela.

Energizar la Válvula solenoide [SV46a].

El sensor de presión [PT83] monitoriza un aumento de presión. Desenergizar [SV46a]. Ningún cambio en la presión activará una alarma "Prueba de accionamiento fallida de la válvula [SV46a]". Desenergizar [SV30a]. Hemos comprobado la función de [SV30a] antes en la secuencia.

Energizar la válvula ERC-1 y las válvulas solenoides [SV88-1], [SV89-1] para purgar el sistema. Luego, desenergizar.

Energizar [SV30b].

Energizar la válvula solenoide [SV46b].

El sensor de presión [PT83] monitoriza un aumento de presión. Ningún cambio en la presión activará una alarma "Prueba de accionamiento fallida de la válvula [SV46b]". Desenergizar [SV46b] y [SV30b].. Realizar la secuencia de presurización del acumulador a 230 bar

Prueba de fuga oculta de la válvula de bloqueo

Energizar todas las válvulas [SV88 y SV89].

Energizar todas las válvulas [SV48andSV49]

Energizar las válvulas [SV46a, SV30a]

Comprobar si hay una presión por encima de 180 bar en los sensores [PT83, PT34c], si es inferior a 180 bar, represurizar el sistema.

Comprobar si hay una fuga de presión por encima de 50 bar en 60 segundos, si está por encima de 50 bar, cancelar la prueba de fuga y la alarma en la HMI.

La siguiente prueba se lleva a cabo en cada ERC individual para los propósitos de esta narrativa, describiremos solo la prueba en el ERC-1. Si en algún momento la presión del acumulador cae por debajo de 180 bar, la prueba se suspenderá y el acumulador se volverá a presurizar antes de reiniciar la secuencia de prueba

Energizar [SV48-1 ], compruebe si hay fugas de presión por encima de 50 bar en 60 segundos, si está por encima de 50 bar, cancelar la prueba de fuga y la alarma en la HMI [SV49-1] con fugas, reemplace la válvula y reinicie la prueba de ensayo

Desenergizar [SV48-1] y energizar [SV49-1], comprobar si hay fugas de presión por encima de 50 bar en 60 segundos, si está por encima de 50 bar, cancele la prueba y la alarma en la HMI [SV48-1] con fugas, reemplace la válvula y reinicie la prueba de ensayo

Repetir la prueba para todos los ERC y luego desenergizar todas las válvulas activas y realizar una secuencia de represurización a 230 bar

Prueba de flujo de la bomba

Energizar las válvulas solenoides de ERC-1 [SV88-1] y [SV89-1].

Esta prueba evalúa el flujo de la bomba disponible para el sistema.

Energizar la válvula [SV20a].

Arrancar las bombas [M5a].

Desenergizar la válvula [SV20a].

Energizar las válvulas solenoides [SV46-a] y [SV46-b].

Las válvulas solenoides de ERC-1 [SV48-1] y [SV49-1] ya se desenergizan de un paso anterior.

Monitorizar el flujo de la bomba durante un período de 5 minutos (TBC) usando el sensor de flujo [FI73]. Un flujo de 4000 cc por minuto (TBC) es aceptable a 40 °C; un flujo por debajo de 2000 cc por minuto generará una alarma en la HMI.

Detener la bomba [M5a]

Energizar la válvula [SV20b].

Arrancar las bombas [M5b].

Desenergizar la válvula [SV20b].

Monitorizar el flujo de la bomba durante un período de 5 minutos usando el sensor de flujo [FI73]. Un flujo de 4000 cc por minuto (TBC) es aceptable a 40 °C; un flujo por debajo de 2000 cc por minuto activará una alarma.

Detener la bomba [M5b].

Comprobar que la presión se ha reducido por debajo de 20 bar en [PT83]. Cuando esto sea Verdadero, desenergizar las válvulas solenoides de ERC-1 [SV88-1 ] y [SV89-1 ] y las válvulas solenoides [SV46-a] y [SV46-b]. Cuando se complete la prueba de ensayo del circuito de presión de activación, aparecerá un mensaje en la pantalla de HMI, confirmando el mensaje la finalización de la prueba de ensayo del circuito actual y preguntando al operario si desea iniciar la Verificación de activación del cilindro hidráulico de ERC.

{El operario presiona el botón aceptar para iniciar la Verificación de accionamiento del cilindro hidráulico de ERC} Verificación de accionamiento del cilindro hidráulico de ERC

Esto es una Prueba de ensayo parcial, ya que solo se activa el cilindro hidráulico. El acoplamiento no está activado y, por lo tanto, el ERC no se puede clasificar como que ha tenido una prueba de ensayo completo.

En este caso, solo estamos probando el ERC-1. Si se van a probar más ERC, estos se probarán individualmente. Durante la circulación, está activa la subrutina para la evaluación de la posición del pistón y la comprobación del bloqueo del filtro.

La válvula solenoide fuera de posición es un circuito de control permanente y siempre está funcionando en el programa.

Arrancar las bombas de circulación de aceite

Notas: -Como el sistema se puede implementar en muchas condiciones ambientales, se realizará un ciclo de calentamiento en los ERC activos.

La temperatura inicial del acoplamiento puede estar por debajo de 0 °C debido a condiciones ambientales externas muy bajas. Durante el calentamiento del acoplamiento, las alarmas de baja temperatura se inhiben hasta que el ERC ha alcanzado los 8 °C. Una vez que el acoplamiento ha alcanzado esta temperatura, el ERC está sometido a las condiciones de alarma estándar.

En el caso de que uno o más ERC no alcancen la temperatura de funcionamiento, el programa permitirá un tiempo adicional (que se decidirá durante la puesta en funcionamiento) para que el acoplamiento alcance la temperatura y registre el aumento de temperatura durante este período. Si no se registra ningún aumento de temperatura, se generará una alarma "baja temperatura de ERCxx". Si el aumento de temperatura es lento, se emitirá la alarma "compruebe el filtro manual de ERCxx".

Durante la circulación normal del aceite, para evitar alarmas innecesarias, todas las alarmas de filtro y temperatura tendrán un retraso de 30 segundos antes de la activación. El corte de aceite por alta temperatura es la excepción. Esta alarma siempre dará como resultado que el circuito de control del calentador se desenergice inmediatamente. Los sensores están sometidos a una disposición de votación de 1 de dos.

La Bomba de servicio siempre se seleccionará si está disponible.

Proceso:

Durante la Prueba de ensayo, los Calentadores de inmersión en aceite mantienen la temperatura del depósito de aceite.

Comprobar que las válvulas solenoides de ERC-1 [SV48-1] y [SV49-1] estén desenergizadas; si se energizan, desenergícelas. Esto permite la ruta de retorno al depósito.

Comprobar que las válvulas solenoides [SV47-a] y [SV47-b] estén desenergizadas; si se energizan, desenergícelas.

Energizar la válvula solenoide [SV21a].

Arrancar el motor de circulación de servicio en este ejemplo [M6]. Desenergizar la válvula [SV21a].

Comprobar la retroalimentación de flujo en el sensor [FI72].

Haga fluir aceite a través del ERC-1 (o todos los ERC activos). Evaluar la temperatura del mecanismo de disparo mediante los sensores [TT01] y [TT02].

Cuando cada acoplamiento activo alcanza una temperatura mínima de 5 °C, el sistema realiza las siguientes comprobaciones:

• Comprobar la desviación de Temperatura entre los ERC activos. Para cualquier desviación por encima de 5 °C, generar una alarma.

• Comprobar la desviación de Temperatura entre los sensores [TT01] y [TT02]. Para cualquier desviación por encima de 5 °C, generar una alarma.

Una vez que un ERC ha pasado por el punto de ajuste de 8 °C durante el ciclo de calentamiento, las alarmas de baja temperatura se activarán y activarán una alarma si el ERC cae por debajo de los 8 °C.

Monitorización del percutor

Un aviso de HMI le pide al operario que compruebe si se retiran los percutores.

{El operario Presiona el Botón Aceptar en el aviso de HMI}

Prueba previa: -El sistema comprueba que los percutores se retiren de los cabezales activos. Durante el proceso de la prueba de ensayo, la extracción de los pasadores no generará una alarma.

Las comprobaciones de hardware para detectar cortocircuitos y circuitos abiertos, como se describe en la sección "Pruebas de retroalimentación de posición del solenoide II", siempre están activas. Estas fallas siempre generarán una alarma en la HMI.

La secuencia no se completará hasta que se hayan retirado y verificado todos los percutores.

Aviso del botón pulsador de ESD-2 de la prueba

Cuando todos los ERC activos estén por encima de 5 °C, se visualizará un mensaje en la pantalla de HMI que confirme que todos los ERC están a la temperatura de funcionamiento:

{El operario Presiona el Botón Aceptar en los avisos de HMI} Presurización del sistema y la secuencia de activación iniciada.

Prepresurizar el sistema

La Bomba de servicio siempre estará seleccionada; en este caso asumimos que la bomba de servicio es [M5a]. Los acumuladores siempre se presurizarán individualmente durante la secuencia de presurización.

Proceso: -Comprobar que las válvulas Solenoides [SV88-1], [SV89-2] estén desenergizadas; si se energizan, desenergícelas;.

Comprobar que las válvulas Solenoides [SV46-a] y [SV46-b] estén desenergizadas; si se energizan, desenergícelas.

Comprobar que las válvulas Solenoides, [SV48-1] y [SV49-1] estén desenergizadas. Esto es para retirar cualquier presión residual del sistema y para la circulación.

Energizar la válvula solenoide de Carga [SV20a]. Arrancar la bomba [M5a] y desenergizar la válvula [SV20a]. Energizar las válvulas solenoides de Liberación [SV30a].

Las siguientes pruebas se realizan cada 10 segundos durante la secuencia de presurización. Si [PT34d] y [PT34a] no detectan un aumento de presión por encima de 2 Bar en 10 segundos (TBC durante la puesta en funcionamiento), y se detectan segundos de flujo alto (TBC durante la puesta en funcionamiento), o una disminución de presión de 5 bar en 10 segundos y segundos de flujo alto (TBC durante la puesta en funcionamiento), se activa una alarma "Falla detectada grave o falla de la bomba" y se emite un comando de parada de la bomba. El operario tiene la opción de reiniciar la secuencia de presurización después de comprobar el sistema.

Si la bomba no ha alcanzado la presión del punto de ajuste de presión en los sensores PT34a o PT34b y PT34c después de 60 segundos, esto dará como resultado una alarma de HMI y un aviso de una nueva prueba.

Presurizar el acumulador del sistema. Monitorizar los sensores de presión [PT34a] y [PT43a]. Cuando la presión esté por encima de 230 bBar, desenergizar [SV30a].

Energizar las válvulas solenoides de liberación [SV30b].

Presurizar el acumulador del sistema. Monitorizar los sensores de presión [PT34b] y [PT43b]. Cuando la presión esté por encima de 230 bBar, desenergizar [SV30b].

Desenergizar la válvula [SV20a]

Detener la bomba [M5a].

El dispositivo ahora está listo para la activación. El sistema controlará los sensores de presión [PT34a] y [PT34b]. Si alguno de estos sensores detecta una caída de presión, la bomba en servicio realizará una secuencia de arranque y represurizará el sistema.

Si se requiere que la bomba vuelva a presurizar el sistema 4 veces en una hora (se decidirá durante la puesta en funcionamiento), se generará una alarma en la HMI "Fuga de presión en el sistema de accionamiento".

Validación del botón pulsador de ESD-2

Prueba previa: -El propósito de esta serie de pruebas es garantizar la integridad de todos los circuitos del Botón pulsador de ESD-2. Las pruebas serán secuenciales y cada parte de la secuencia se mostrará en la pantalla de HMI. A medida que se accionan los botones, el accionamiento se mostrará mediante un cambio de azul a verde. El accionamiento final del botón pulsador iniciará una carrera del pistón de ERC simulando por tanto la activación. Las pruebas son secuenciales y, como tales, no tienen límite de tiempo. La notificación del fallo de un paso de secuencia estará puramente relacionada con el hecho de que la secuencia no cambiará de color. Deberá presionar todos los botones pulsadores para completar la secuencia.

Proceso: -Para esta secuencia de prueba, podemos asumir que se han probado los botones de ESD-2 en LCP-1 y LCP-2 {El operario acciona el botón pulsador [RCP-1] ESD-2 y luego restablece el botón pulsador}

La secuencia es comprobar que la entrada de seguridad cambia de estado y, simultáneamente, comprobar el cortocircuito y la retroalimentación de falla de circuito abierto desde la barrera. (No se espera que cambie de estado en condiciones normales de funcionamiento).

Si la entrada de seguridad cambia de estado de Verdadero a Falso y la retroalimentación de falla permanece Verdadera, se pasa la secuencia de la prueba.

Luego se le indica al operario que haga una prueba del ESD-2 localizado en [LCP-2], y finalmente del botón de ESD-2 localizado en [RCP].

Los botones pulsadores de ESD-2 están clasificados como protección crítica complementaria. Tres de ellos deben estar activos y estar en buen estado para completar el proceso de prueba. El fallo de una prueba de botón pulsador de ESD-2 inhibirá el siguiente paso del proceso de prueba.

Activación de ERC

La siguiente secuencia se inicia cuando se pide al operario que accione el botón pulsador [RCP] de ESD-2 como parte final del proceso de validación del botón pulsador de eSD-2.

Se realiza la secuencia de comprobación de entrada del botón pulsador de ESD-2; si el resultado de la prueba es satisfactorio, se inicia la activación de la secuencia de ESD-2.

La prueba de activación es secuencial, probando cada ERC individualmente. El propósito de la realización de la prueba secuencialmente es garantizar que las mangueras hidráulicas y los conectores eléctricos correctos estén conectados al ERC correcto, esta comprobación se realiza monitorizando el sensor de retracción del cilindro de activación, en el caso de ERC-1, este es el sensor [23S3 (E)]. La prueba se secuencia con 1000 m entre los accionamientos de ERC.

Toda la retroalimentación se monitoriza pero no tiene un efecto mitigante en la versión de ERC cuando está en modo de activación.

Durante la activación, la dirección de la presión se invierte en el filtro de retorno de ERC; este cambio de presión puede configurar una alarma en la HMI. La entrada del filtro de retorno solo se comprueba durante la circulación de aceite y no durante la activación.

Proceso: -La Bomba de circulación [M6] está Desactivada. Las válvulas de Retorno al depósito [SV47a] y [SV47b] se energizan.

Las Válvulas de bloqueo [SV48-1] y [SV49-1] y [SV46a] y [SV46b] se energizan.

Las válvulas de bloqueo [SV30a] y [SV30b] se energizan para presurizar el sistema.

Las válvulas [SV20a] y [SV20b] se desenergizan y protegidas de la presión del sistema mediante válvulas de no Retorno.

Energizar [SV88-1 a] y [SV89-1 b].

La retroalimentación se monitoriza en el sensor de pistón retraído de ERC-1, CP-3 [23S3 (E)] y en los sensores de Percutor [21S1(E)] y [22S1(E)].

Hay varias condiciones de alarma posibles:

Si el sensor de pistón retraído [23S3 (E)] es falso y los sensores de percutor [21S1 (E)] y [22S1 (E)] son Falsos, la alarma "Posición desconocida de pistón de ERC-1" se visualiza en la HMI.

Si el sensor de pistón retraído [23S3 (E)] es Falso, los sensores de percutor [21S1 (E)] son verdaderos y el Sensor [22S1 (E)] es Falso, la alarma "Conflicto del sensor ERC-1" se visualiza en e1HMI.

Si un ERC no se dispara o el resultado de la prueba no es satisfactorio, la secuencia de prueba de activación cesará en el paso de secuencia fallida. Se le pedirá al operario que compruebe las conexiones hidráulicas y eléctricas del ERC que fallaron. El operario tendrá la opción de reiniciar una nueva prueba. El sistema iniciará la secuencia de presión Previa detallada en la sección "prepresurizar el sistema" antes de reiniciar la secuencia de prueba. La secuencia de prueba comenzará automáticamente y no requerirá que se active un botón de ESD-2. Cuando la secuencia sea exitosa, el sistema estará listo para la operación automática. Si el sistema ahora está validado y listo para funcionar, se visualizará una ventana emergente pidiendo al operario que Acepte represurizar el sistema en la pantalla de HMI:

{El operario presiona el botón de aceptar} esto iniciará la secuencia automática

Inicializar el control automático

Se inicia la secuencia de presurización automática descrita en la sección "prepresurizar el sistema".

Se inicia la secuencia de circulación automática descrita en la sección "Arrancar las bombas de circulación de aceite".

Todos los sistemas de calentamiento y Presión y las alarmas de Circulación estarán activos.

Cuando la secuencia de circulación de calentamiento de aceite esté activa, el pistón de ERC-1 se extenderá y el sistema verá que el sensor [23S3 (E)] se ha vuelto Falso, lo que indica que el pistón está listo para reemplazar los percutores: Un aviso pide el operario que reemplace los percutores y presione Aceptar.

{El operario presiona el botón Aceptar}.

Nota:

El botón Aceptar no responderá hasta que todos los pasadores estén correctamente colocados.

Los sensores de Percutor ahora están activos. Estas alarmas ahora permanecerán activas para las secuencias de prueba de ensayo restantes. Las alarmas de sensor fuera de posición ahora se visualizarán en la HMI.

Se inicia la secuencia de validación del sensor de distancia.

Validación del sensor de distancia

Durante las pruebas de ensayo, todos los sensores de distancia deben estar en pleno funcionamiento, por lo que solo se aceptan tres de los tres criterios de aprobación. El valor incremental (restablecido a cero cuando se retrae completamente en un paso anterior) está disponible para su visualización en la pantalla de HMI en cualquier momento.

La validación de la medición de Distancia debe completarse antes de la conexión de las mangueras entre los barcos. En la sección anterior, hemos validado y comprobado el valor del sensor completamente retraído para [STS1], [STS2] y [STS3]. Los valores de cero cuando estaban completamente retraídos se almacenaron dentro del programa de seguridad para el uso futuro.

El Operario garantiza que los sensores estén conectados al barco opuesto {el Operario presiona el botón aceptar} - se realizan las siguientes comprobaciones de secuencia:

1. Los Sensores de distancia deben haberse extendido incrementalmente más de 3 metros desde el valor completamente retraído almacenado en el programa de seguridad, descrito en la sección "Pruebas de retroalimentación de posición de solenoide I", para permitir que se acepte la validación.

2. El programa comprueba que quedan más de 10 metros de cable en el codificador del sensor de distancia, de modo que sea posible el accionamiento.

3. Los sensores [STS1 (E)], [STS2 (E)] y [STS3 (E)] deben tener menos de 500 mm de desviación entre los valores extendidos cuando estén conectados al barco opuesto, o se generará una alarma en la HMI.

4. El valor analógico incremental actual de los sensores [STS1 (E)], [STS2 (E)] y [STS3 (E)] se almacena en el programa de seguridad. Este valor ahora se almacena como la posición de referencia de funcionamiento y será la base de todas las comprobaciones de comparación entre sensores.

5. Durante la prueba, si algún sensor de distancia falla en un proceso de validación, se generará una alarma y se visualizará en la HMI.

6. En el caso de que un sensor falle o deje de ser fiable, el operario tendrá la opción de cambiar el sensor y luego ejecutar las secuencias detalladas en la sección "Pruebas de retroalimentación de posición del solenoide I" inmediatamente, seguidas de la secuencia detallada en la "validación del sensor de distancia".

Activación de transferencia

El sistema ahora está completamente probado y validado. Poner el sistema en modo de transferencia inhibirá todo el control manual. Toda la activación de ERC ahora será la única función de las Funciones instrumentadas de seguridad; todas estas están activas. Todos los lazos de control y monitorización de procesos estarán activos. Proceso:

Cuando se ha completado la secuencia de validación del sensor de distancia, se le Pide al operario que conmute [415S2 (E)] a la posición de Transferencia, esto inhibe cualquier transferencia de Variable entre el Proceso y el software de Seguridad. Esto también habilita las Funciones instrumentadas de seguridad, Automáticas (medición de distancia) y Manual (botones ESD-2), el sistema de Seguridad ahora está activo y se visualiza una advertencia de aviso al operario de que los barcos ahora están interconectados:

{El operario conmuta el conmutador de llave [415S2] a la Posición de transferencia}:

Notas:

Si existe una situación de ESD-1, el sistema pasará inmediatamente al ESD-1.

El ESD-1 no se puede inhibir en el Modo de transferencia.

El programa realiza una comprobación de todos los sensores en busca de condiciones de falla/fuera de posición; si no se encuentran fallas, la salida de ESD-1 al barco se energiza habilitando la transferencia de carga.

La llave se retira del conmutador [415S2] para evitar una operación accidental durante la transferencia. Cambiar el conmutador de Llave [415S2] de transferencia a configuración siempre dará como resultado un ESD-1.

Circulación de aceite

Las válvulas solenoides de ERC-1 [SV48-1 ] y [SV49-1 ] se desenergizan. Esto permite la ruta de retorno al depósito. Las válvulas solenoides [SV47-a] y [SV47-b] se desenergizan.

El motor de circulación de servicio está funcionando; en este ejemplo [M6].

Comprobar la retroalimentación de flujo en el sensor [FI72]. Si el flujo se reduce por debajo del punto de ajuste de la alarma (250 cc) (TBC) durante la transferencia, y la temperatura del ERC comienza a reducirse como resultado de la reducción del flujo, se generará una alarma en la HMI y se iniciará la bomba en Espera.

Esta es ahora una secuencia automatizada y continuará hasta que se genere una alarma. La bomba de servicio estará activa durante toda la duración de la transferencia.

El sistema realiza las siguientes comprobaciones:

• Evaluar la temperatura del mecanismo de liberación mediante los sensores [TT01] y [TT02].

• Comprobar la desviación de temperatura entre los ERC activos. Cualquier desviación por encima de 5 °C genera una alarma.

• Comprobar la desviación de Temperatura entre los sensores [TT01] y [TT02] y [TT04b]. Cualquier desviación por encima de 5 °C genera una alarma.

• [TT04a] comprueba la temperatura alta y baja en el depósito de aceite; este es un bucle de seguridad. • Las entradas de corte de seguridad del calentador [18a] y [18b] se monitorizan por el sistema de PLC. Sistema de presión de activación

El sistema se presuriza desde la sección "Sistema de prepresurización". La bomba de servicio siempre estará seleccionada; en este caso asumimos que la bomba de servicio es [M5a].

Proceso:

El sistema está listo para su activación. El sistema controlará la presión de los sensores de presión [PT34a] y [PT43a]. Si alguno de estos sensores detecta una caída de presión, la bomba de servicio realizará una secuencia de arranque y represurizará el sistema como se describe en la sección "Prepresurizar el sistema".

Tenga en cuenta que el sistema solo represurizará el acumulador que haya detectado una reducción de presión. El sistema está comprobando la activación y bloqueando las válvulas fuera de posición.

Todos los contactores y las entradas de retroalimentación de sobrecarga son bombas monitorizadas, el fallo de la bomba de servicio dará como resultado el arranque de la bomba en espera.

Si se requiere que la bomba represurice un Acumulador en particular dentro de un tiempo preestablecido, nominalmente una hora (se decidirá durante la puesta en funcionamiento), se generará una alarma en la "Fuga de presión en el Acumulador xxxx" de HMI.

Sensores de distancia

Si los barcos principal y esclavo se separan debido a un fallo del sistema de amarre, primero se iniciará un ESD-1 a una deriva de 4 metros, seguido de una liberación temporizada de ESD-2 iniciada a una deriva de 7 metros. En una situación de emergencia cuando la deriva es superior a 10 metros antes de que se complete la liberación temporizada a los 7 metros, se iniciará una liberación inmediata.

Todas las comprobaciones de errores del sensor están activas.

Prueba en frío

La prueba en frío es una prueba activa; se debe tener mucho cuidado con este proceso de prueba, ya que esto puede hacer y hará una liberación completa de ERC si no se retiran los Percutores.

Esta prueba debe realizarse después del proceso de enfriamiento, pero antes de que pueda comenzar la transferencia principal.

Dado que la prueba se realiza en un sistema activo, no podemos inhibir ni enmascarar ninguna entrada o salida. Esta prueba debe formar parte de un procedimiento de prueba documentado para el barco.

La liberación es una liberación completa usando ambas válvulas redundantes, por lo que 46 válvulas solenoides en total

Procedimiento:

1. El operario presiona un Botón pulsador de ESD-1 del barco.

2. El operario comprueba que las bombas de carga se han detenido.

3. Todos los percutores se retiran de los ERC activos.

4. Todos los pasadores retirados generarán una alarma en la HMI; el operario acepta las alarmas.

5. El operario activa cualquier botón pulsador de ERC-2 (en general secuenciado dentro del procedimiento de prueba).

Proceso:

La Bomba de circulación [M6] está desactivada. Las Válvulas de retorno al depósito [SV47a] y [SV47b] se energizan.

Las Válvulas de bloqueo [SV48-1] y [SV49-1] y [SV46a] y [SV46b] se energizan. Las válvulas de bloqueo [SV30a] y [SV30b] se energizan para presurizar el sistema.

Las válvulas [SV20a] y [SV20b] se desenergizan y protegen de la presión del sistema mediante válvulas de no retorno.

Energizar [SV88-1a] y [SV89-1 b].

La retroalimentación se monitoriza en el sensor de pistón retraído de ERC-1, CP-3 [23S3 (E)] y en los sensores de percutor [22S1 (E)] y [22S2 (E)].

Después de una activación, se muestra un aviso en la HMI, con lo que el aviso advierte al operario de que el sistema se ha activado y le pregunta si desea volver a armar el sistema.

{El operario presiona el botón Aceptar} - se realizan las siguientes comprobaciones de secuencia:

• Se inicia la secuencia de presurización automática descrita en la sección "Prepresurizar el sistema".

• Se inicia la secuencia de circulación automática descrita en la sección "Arrancar las bombas de circulación de aceite".

• Todos los bucles de control de circulación y del sistema de calentamiento y presión estarán activos.

Cuando la secuencia de circulación de calentamiento de aceite está activa, el pistón de ERC-1 se extenderá. El sistema verá que el sensor [23S3 (E)] se ha vuelto Falso, lo que indica que el pistón está listo para reemplazar los percutores.

El operario ahora puede reemplazar los percutores, el sistema no se puede hacer activo hasta que se hayan reemplazado todos los percutores.

El programa realiza una comprobación de todos los sensores en busca de condiciones de falla/fuera de posición, si no se encuentran fallas, se visualiza en la pantalla un mensaje que confirma que el sistema está listo.

{El operario presiona el botón Aceptar} La salida de ESD-1 del barco se energiza habilitando la transferencia de carga.

Finalizar transferencia

Cuando la transferencia del GNL ha concluido y el sistema de mangueras de transferencia ha pasado por el proceso de "Calentamiento", las mangueras de transferencia deben retirarse antes de desactivar el sistema. Este paso lo inicia el supervisor de la sala de Control de transferencia.

Una vez que se retiran las mangueras, los percutores se retirarán de los ERC activos, por lo que se visualizarán las alarmas restantes del pasador en la HMI.

El sistema ahora no se puede desactivar.

Transferencia al proceso de prueba de ensayo

El sistema se desarma simplemente cambiando el conmutador de llave [415S2] a la posición z de la Prueba de ensayo. Esto desactivará todas las válvulas y apagará todas las Bombas y calentadores y enviará una señal de ESD-1 al barco.

Se le presentará al operario un aviso que le preguntará si desea continuar con una prueba de ensayo, y se le darán los botones Sí y No.

El operario presiona el botón Sí

Si el operario presiona el botón No, se producirá a continuación la secuencia en la siguiente sección.

El sistema restablecerá todos los elementos del equipo "Fuera de servicio".

El sistema ahora está en una condición de ESD-1; la salida solo se puede restablecer completando una secuencia de Prueba de ensayo.

Aparece un aviso que advierte al operario de que el sistema está desactivado y las mangueras hidráulicas se pueden desconectar.

Los sensores de Distancia ahora se pueden desconectar del barco.

Cuando los sensores de distancia [STS-1] [STS-2] y [STS-3] se restablecen a la posición inicial o se desconectan, la ventana emergente de advertencia se restablecerá.

La secuencia se restablecerá a la sección de "validación inicial".

El operario presiona el botón No

Cuando el operario presiona el botón No, aparece un aviso adicional pidiendo al operario que coloque el conmutador de Llave 415S2 en la posición de transferencia y presione Aceptar.

El operario conmuta el conmutador de Llave 415S2 a la posición de transferencia y presiona el botón ACEPTAR. El sistema comprueba que todos los percutores están en la posición correcta y que las temperaturas del Aceite y del ERC son satisfactorias, después de completar las comprobaciones, el sistema ejecuta los siguientes pasos:

Cuando el sistema está listo y activo, se retira el ESD-1 del barco.

Este proceso de transferencia final se realiza siempre que el conmutador de llave se cambia de Transferir a Prueba de ensayo cuando la transferencia ha estado activa; si la transferencia no ha estado activa, el sistema permanecerá en Prueba de ensayo.

El propósito de la prueba es evitar la implementación accidental de una secuencia de Prueba de ensayo completa a mitad de la transferencia.

Si el sistema no se va a usar durante un período de tiempo (dique seco), se recomienda que se despresurice el sistema. Esto se logra mediante el uso de válvulas manuales y se detallará en el IOM.

Claims

REIVINDICACIONES

1. Un montaje para transferir materia entre los primer y segundo objetos separados por una distancia, siendo móviles uno o ambos de los primer y segundo objetos para aumentar o disminuir la distancia entre ellos, comprendiendo el montaje:

un sistema de desbloqueo de emergencia que incluye un acoplamiento de desbloqueo de emergencia, incluyendo el acoplamiento de desbloqueo de emergencia unas primera y segunda porciones de acoplamiento (10, 12), la primera porción de acoplamiento (10) acoplada operativamente a la primera sección de conducto, la segunda porción de acoplamiento (12) acoplada operativamente a la segunda sección de conducto, las primera y segunda porciones de acoplamiento (10, 12) configuradas para ser conectables y separables selectivamente para permitir el acoplamiento selectivo y la separación de las primera y segunda secciones de conducto,

2. Un montaje de acuerdo con la reivindicación 1, en el que el sistema de diagnóstico está programado para realizar una prueba de ensayo para evaluar la capacidad operativa del sistema de desbloqueo de emergencia antes de cada una de una pluralidad de operaciones del conducto para transferir líquido o vapor entre los primer y segundo objetos.

3. Un montaje de acuerdo con una cualquiera de las reivindicaciones precedentes en el que el primer estado de seguridad incluye uno o más de:

• desenergización de una fuente de energía configurada para habilitar la carga de una fuente de energía almacenada para un accionador operable para iniciar la separación de la primera y segunda porciones de acoplamiento (10, 12);

• mantener una fuente de energía almacenada en un estado de carga completa, en el que la fuente de energía almacenada es para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento (10, 12);

• mantener cerrado un elemento de activación, que sea conmutable para abrir para iniciar la separación de las primera y segunda porciones de acoplamiento (10, 12);

• mantener abierto un elemento de bloqueo, que sea conmutable para cerrar para configurar las primera y segunda porciones de acoplamiento (10, 12) para bloquear el flujo de líquido o vapor a su través.

4. Un montaje de acuerdo con una cualquiera de las reivindicaciones precedentes en el que la prueba de ensayo incluye uno o más de:

• una prueba de un accionador para simular la separación de las primera y segunda porciones de acoplamiento (10, 12), en la que el accionador normalmente es operable para iniciar la separación de las primera y segunda porciones de acoplamiento (10, 12) pero configurado durante la prueba de ensayo para inhibir la separación real de las primera y segunda porciones de acoplamiento (10, 12);

• una prueba del estado de una fuente de energía almacenada para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento (10, 12);

• una prueba del estado de una bomba configurada para cargar una fuente de energía almacenada para un accionador operable para iniciar la separación de las primera y segunda porciones de acoplamiento (10, 12);

5. Un montaje de acuerdo con una cualquiera de las reivindicaciones precedentes, que comprende además: una función instrumentada de seguridad que incluye un sensor, un solucionador lógico y un elemento final, teniendo el elemento final forma de acoplamiento de desbloqueo de emergencia, en el que el solucionador lógico está programado para activar el elemento final en respuesta a la detección de una falla que inhibe el funcionamiento del conducto para transferir de forma segura líquido o vapor entre los primer y segundo objetos para:

iniciar el primer estado de seguridad para desenergizar el acoplamiento de desbloqueo de emergencia y mantener las primera y segunda porciones de acoplamiento conectadas entre sí; o

6. Un montaje de acuerdo con la reivindicación 5, en el que el solucionador lógico está programado para activar selectivamente el elemento final para iniciar el segundo estado de seguridad después de que se inicie el primer estado de seguridad.

7. Un montaje de acuerdo con la reivindicación 6, en el que el solucionador lógico está programado para activar selectivamente el elemento final para iniciar el segundo estado de seguridad después de un retardo de tiempo después de que se inicie el primer estado de seguridad.

8. Un montaje de acuerdo con una cualquiera de las reivindicaciones 5 a 7, en el que el sensor es un sensor de distancia configurado para medir, en uso, la distancia entre los primer y segundo objetos, y el fallo incluye la distancia entre los primer y segundo objetos que excede un umbral de distancia de seguridad predefinido.

9. Un montaje de acuerdo con la reivindicación 8, en el que el solucionador lógico está programado para activar selectivamente el elemento final para: iniciar el primer estado de seguridad cuando la distancia entre los primer y segundo objetos exceda un primer umbral de distancia de seguridad; e iniciar el segundo estado de seguridad para causar que la separación de las primera y segunda porciones de acoplamiento después de que se inicie el primer estado de seguridad y cuando la distancia entre los primer y segundo objetos exceda un segundo umbral de distancia de seguridad que sea mayor que el primer umbral de distancia de seguridad.

10. Un montaje de acuerdo con una cualquiera de las reivindicaciones 5 a 9, en el que la función instrumentada de seguridad está configurada para permitir la iniciación del segundo estado de seguridad a demanda independientemente del sensor.

11. Un montaje de acuerdo con cualquiera de las reivindicaciones 5 a 10, en el que el fallo incluye uno o más de:

12. Un montaje de acuerdo con una cualquiera de las reivindicaciones 5 a 11, en el que la falla incluye uno o más de:

• la condición de funcionamiento de fallo o falla de la mayoría de una pluralidad de componentes de montaje dispuestos en una configuración redundante;

13. Un montaje de acuerdo con la reivindicación 12, en el que el uno o más de la pluralidad de componentes de montaje incluyen:

• el acoplamiento de desbloqueo de emergencia;

• el sensor;