Em processamento

Aguarde...

O PATENTSCOPE estará indisponível durante algumas horas por motivos de manutenção em Domingo 05.04.2020 às 10:00 AM CEST
Configurações

Configurações

1. JP2019501315 - 炭化水素制御モジュールを停止させるための安全システム

Document

Description

Title of Invention 炭化水素制御モジュールを停止させるための安全システム GB 1521605.4 20151208 NO 20151677 20151208 EP2016080351 20161208 WO2017097945 20170615 20180808

Technical Field

0001  

Background Art

0002   0003   0004   0005   0006   0007   0008   0009   0010   0011   0012   0013   0014   0015  

Summary of Invention

Technical Problem

0016  

Technical Solution

0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087  

Brief Description of Drawings

0088  

Description of Embodiments

0089   0090   0091   0092   0093   0094   0095   0096   0097   0098   0099   0100   0101   0102   0103   0104   0105   0106   0107   0108   0109   0110   0111   0112   0113   0114   0115   0116   0117   0118   0119   0120   0121   0122   0123   0124   0125   0126   0127   0128   0129   0130   0131   0132   0133   0134   0135   0136   0137   0138   0139   0140   0141   0142   0143   0144   0145   0146   0147   0148   0149   0150   0151   0152   0153   0154   0155   0156   0157   0158   0159   0160   0161   0162   0163   0164   0165   0166   0167   0168   0169   0170   0171   0172   0173   0174   0175   0176   0177   0178   0179   0180   0181   0182   0183   0184   0185   0186   0187   0188   0189   0190   0191   0192   0193   0194   0195   0196   0197   0198   0199   0200   0201   0202   0203   0204   0205   0206   0207   0208  

Claims

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18   19   20   21   22   23   24   25   26   27   28   29   30   31   32   33   34   35   36    

Drawings

1   2   3   3A   3B   3C   3D   4   5   6   7   8   9   10   11   12   13   14    

Description

炭化水素制御モジュールを停止させるための安全システム

GB 1521605.4 20151208 NO 20151677 20151208 EP2016080351 20161208 WO2017097945 20170615 20180808

Technical Field

[0001]
本明細書に提示される例示的な実施形態は、炭化水素生産装置、特に、ロアー・ライザー・パッケージ(lower riser package)および緊急切断パッケージのうちの少なくとも1つを備える装置、の構成要素を作動させるように構成された制御モジュールを停止させるための安全システム、たとえば、海底改修安全システム、を対象とする。

Background Art

[0002]
坑井における炭化水素への海底インターベンション運用は、典型的には、以下を含む。
[0003]
坑井制御パッケージ(「WCP:Well Control Package」)−典型的には、緊急切断パッケージ(「EDP:Emergency Disconnect Package」)およびロアー・ライザー・パッケージ(「LRP:Lower Riser Package」)の2つの海底モジュールを備え、典型的には安全弁で坑井孔を取り囲むもの、
[0004]
ライザー・システム−WCPと改修リグまたは船とを接続する、約30〜50mの長さを有する接続されたライザー・ジョイント、典型的にはパイプのセット、
[0005]
改修制御システム(「WOCS:Workover Control System」)−典型的には、WOSにおける実質的にすべての作動を制御する電気システム、電子システム、および液圧システムであって、前記作動は、弁の開閉、温度および圧力を含むパラメータの測定、電気および液圧を含む様々な機器へのエネルギー供給を含むもの。
[0006]
現在、安全計装システム(「SIS:Safety Instrumented System」)に対する要求が高まっており、たとえば、ノルウェー石油公社は、人員、環境、および資産へのリスクを軽減するために、SISの厳格な実施を要求している。改修事業セグメントでは、これは、主に3つの安全機能に関する。
[0007]
生産シャットダウン(「PSD:Production Shutdown」)、
[0008]
緊急シャットダウン(「ESD:Emergency Shutdown」)、および
[0009]
緊急急速切断(「EQD:Emergency Quick Disconnect」)。
[0010]
上記の機能は、リグまたは船を、処理領域または環境における炭化水素の流出または漏れ、およびライザーからの流出などの危険な状態から保護するように努力する。これらの機能は、さらに、たとえば、位置の喪失の場合に坑井の完全性を保護する。位置の喪失は、たとえば、船/リグが坑井の位置から所与の領域の外側に漂流する場合に生じる場合がある。
[0011]
安全機能の最小限の範囲の実装は、通常、IEC61508およびISO13628−7などの国際規格によって規制されており、後者は、いくつかの改修に特有の要件も含んでいる。
[0012]
US4174000は、海底坑井のための複数の制御システムをインターフェースするための方法および装置を記載している。
[0013]
US2005/0121188A1は、流体坑井を制御することを記載している。
[0014]
WO2011/041550A2は、交換可能なマンドレルを有する海底制御システムを記載している。
[0015]
US2014/0374114A1は、海底インターベンションシステムを記載している。

Summary of Invention

Technical Problem

[0016]
従来のシステムでは、安全機能は、プロセス制御システムの不可欠な部分として実装され、ある種のソフトウェア分離がプロセス制御システムとSISとの間で実施される。いくつかの安全規則は、改修安全システム(「WSS:Workover Safety System」)がプロセス制御システムから隔離されるように、プロセス制御システムからのWSSのさらなる分離を要求している。

Technical Solution

[0017]
要約すると、本明細書で提示される例示的な実施形態のいくつかは、海底インターベンション運用設備を制御するために使用されるシステムを対象とし、前記設備は、海底坑井からの炭化水素を取り扱うことができる。前記システムは、前記海底インターベンション運用設備内の様々な弁の開閉などの機能を制御するように適合された第1のコントローラを備える。前記第1のコントローラは、前記海底インターベンション運用設備内の様々なポイントにおける温度および圧力などのプロセス・パラメータを測定するように適合させることもできる。前記第1のコントローラは、前記海底インターベンション運用設備内の様々な機器および弁へのエネルギー供給を制御するように適合させることもできる。前記弁および前記様々な機器は、電気的、液圧的、空気圧的になど、単独または組み合わせて作動される。前記システムは、第1のコントローラからハードウェアに関して物理的に分離されるように適合された第2のコントローラをさらに備える。物理的に分離されたことによって、第1のコントローラおよび第2のコントローラが、2つの異なるエンティティとして、たとえば、2つの異なる電子モジュールとして実現されることを意味する。例示的な実施形態のうちのいくつかによれば、第1のコントローラおよび第2のコントローラのうちの少なくとも1つは、プログラマブル・ロジック・コントローラ(「PLC:Programmable Logic Controller」)などの論理コントローラとして実現される。前記第2のコントローラは、前記第1のコントローラから独立して前記様々な機器および弁のうちの少なくともいくつかを作動させることによって、前記海底インターベンション運用設備における安全機能を実行することができる。
[0018]
本明細書で提示される例示的な実施形態のいくつかは、改修安全システム(「WSS」)の実装のためのシステムおよび方法を対象とし、前記WSSは、プロセス制御システム(「WOCS」)100から物理的に分離される。例示的な実施形態のうちのいくつかにおいて提案されるWSSは、ある意味ではごく単純化されるように設計され、シャットダウンおよび/または切断を達成するために絶対に必要な機能のみを実装する。加えて、例示的な実施形態のうちのいくつかは、重要なイベント、たとえば、海底安全機能ESDおよびEQDに関する応答時間を短縮しようとするものである。システムは、ESD/EQDに関する重要な弁の数の低減、ブリード・オフ機能の実装、およびシャットダウン時のWOCM104の必要性の排除を含む特徴を有して設計される。例示的な実施形態のうちのいくつかによる安全システムは、改修制御システムによってとられた任意のアクションを停止させるように設計される。安全イベントが発生すると、安全システムは、WCSによる任意のコマンドを無効化することができる。
[0019]
ここで、例示的な実施形態のうちのいくつかについて、例として例示的な実施形態を示す添付図面を参照して以下に詳細に説明する。
[0020]
一般性の限定または損失のない単純化のために、本明細書の議論の大部分は、例示的な実施形態のうちのいくつかを説明するために開放水域改修システムを使用する。当業者は、例示的な実施形態のうちのいくつかの特徴が、制御システムと安全システムとの間の強化された分離および信頼性などの利点が必要とされる他のタイプの改修システム、海底システム、または他のシステムに適用できることを理解するであろう。
[0021]
さらに、単純化のために、同じサブシステムの範囲内にある機能、たとえば、WSS機能を表すブロックは、典型的には、すべての図において同じ参照符号で示されている。当業者は、異なる図に示されたそのようなWSSが、添付図面のすべてに示された全機能を備える正確に同じモジュールまたはコントローラである必要はなく、分散型制御トポロジなどで実装される異なるコントローラであってもよいことを理解するであろう。そのような分散型コントローラは、通信リンクを使用することによって、互いに、および/または主コントローラと通信している場合がある。実装形態におけるそのような変形例は、主題を単純に保つために以下の図に示されていないので、それらの不在は、例示的な実施形態のうちのいくつかの一般性の制限であるとみなされるべきではなく、または一般性の損失とみなされるべきではない。同様の理由付けは、以下の図に示された他のブロックにも当てはまる。
[0022]
したがって、例示的な実施形態のうちのいくつかは、炭化水素生産装置、特に、ロアー・ライザー・パッケージおよび緊急切断パッケージのうちの少なくとも1つを備える装置の構成要素を作動させるように構成された改修制御モジュールをオーバライドするための改修安全システムを対象とする。改修制御モジュールは、構成要素への作動液を調整するように構成される。様々な実施形態は、噴出防止装置、掘削パッケージ、クリスマス・ツリー(たとえば、電気的に作動されるツリー)、ライザー・パッケージなどで実施することができる。
[0023]
改修制御モジュールは、対応する作動液源から作動液を受け取るように構成された液圧入力部、および受け取った作動液を構成要素に送達するように構成された液圧出力部などの、動力入力部を備える。
[0024]
改修安全システムは、トリガ信号を受信するように構成されたトリガ入力部を備え、液圧出力部と安全アキュムレータとの間に接続されるように構成された少なくとも1つの圧力弁を含むことができる。少なくとも1つの圧力弁は、安全アキュムレータから蓄積された作動液を受け取るように構成される。安全システムは、作動液が構成要素に送達されるのを防止するために、トリガ信号を受信すると、少なくとも1つのオーバライド弁を閉じるように、具体的には、機能ラインを閉じ、通気ラインを開くように構成され得る。
[0025]
いくつかの例示的な実施形態は、制御モジュールを停止させることを含むことができる、設備の少なくとも一部を安全状態にするために炭化水素処理設備に結合されるように構成された安全システムを対象とする。設備は、制御モジュール、具体的には、改修制御モジュール(WOCM:Workover Control Module)、海底電子モジュール(SEM:Subsea Electronics Module)、海底制御モジュール(SCM:Subsea Control Module)、およびライザー制御モジュール(RCM:Riser Control Module)のうちの少なくとも1つを備える。
[0026]
制御モジュールは、設備の構成要素、具体的には、トップサイド生産設備、ロアー・ライザー・パッケージ(LRP)、緊急切断パッケージ(EDP)、噴出防止装置(BOP:Blowout Preventer)、ライザー・パッケージ(RP:Riser Package)、掘削パッケージ(DP:Drilling Package)、主制御ユニット(MCU:Master Control Unit)、および液圧力ユニット(HPU:Hydraulic Power Unit)、クリスマス・ツリー、具体的には表面ツリー、具体的には海底ツリー、具体的には、電気作動弁、マニホールド、コイル状チューブ・フレーム、およびワイヤ・ライン・フレームを有するクリスマス・ツリーのうちの少なくとも1つを備える構成要素を作動させるように構成され得る。
[0027]
制御モジュールは、エネルギー入力部、具体的には、電気入力部、空気圧入力部、および液圧入力部のうちの少なくとも1つを備え、エネルギー入力部は、構成要素、具体的には、電気アクチュエータ、具体的には、スクリュー駆動部およびソレノイドのうちの1つ、具体的には、液圧アクチュエータ、具体的には、空気圧アクチュエータを作動させるのに十分な対応する動力源からの動力流を受け取るように構成される。制御モジュールは、制御モジュールを介して調整された動力流を構成要素に送達するように構成された、エネルギー出力部、具体的には、液圧出力部、空気圧出力部、および電気出力部のうちの少なくとも1つをさらに備える。
[0028]
安全システムは、トリガ信号を受信するように構成された制御入力部を備える。安全システムは、制御モジュールのエネルギー入力部と、動力を制御モジュールに適用する対応する動力源との間、および/または、制御モジュールのエネルギー出力部と構成要素との間に直列接続された、少なくとも1つのオーバライド用開閉部、具体的には、弁、およびスイッチ、具体的にはリレーのうちの少なくとも1つをさらに備えることができる。安全システムは、動力流が構成要素に送達されるのを防ぐために、トリガ信号を受信すると、少なくとも1つのオーバライド用開閉部を閉じるように構成され得る。
[0029]
例示的な実施形態のうちのいくつかによれば、上記で説明したシステムは、動力を構成要素に送達するために制御モジュールのエネルギー出力部に並列接続で結合されるように構成され得る、少なくとも1つの圧力および/またはアキュムレータの開閉部に結合された安全アキュムレータをさらに備えてもよい。圧力開閉部は、弁またはリレーを備えてもよい。少なくとも1つの圧力開閉部は、からの動力流を受け取るように構成されてもよく、トリガ信号を受信すると、少なくとも1つの圧力開閉部は、開位置になり、液圧を、制御モジュールとは独立して、それぞれEDPおよび/またはBOPに提供するために、前記動力流を、緊急切断パッケージEDP内に配置された少なくとも1つの開閉部、ライザー制御モジュールRCM内の弁、および/または噴出防止装置BOP内に配置された環状バッグに提供するように構成される。
[0030]
例示的な実施形態のうちのいくつかは、炭化水素生産装置、具体的には、ロアー・ライザー・パッケージおよび緊急切断パッケージのうちの少なくとも1つを備える装置の構成要素を作動させるように構成された改修制御モジュールのための改修安全システムを対象とする。改修制御モジュールは、構成要素への作動液を調整するように構成されてもよい。場合によっては、安全システムは、制御モジュールによる構成要素を作動させない試みにもかかわらず、構成要素を作動させることができる。
[0031]
改修制御モジュールは、対応する作動液源から作動液を受け取るように構成された液圧入力部と、受け取った作動液を構成要素に送達するように構成された少なくとも1つの液圧出力部とを備えることができる。
[0032]
改修安全システムは、トリガ信号を受信するように構成されたトリガ入力部を備える。改修安全システムはまた、液圧出力部と並列接続された少なくとも1つの圧力弁を備えてもよく、少なくとも1つの圧力弁は、フェイル・セーフ・アキュムレータからの蓄積された作動液を受け取るように構成される。安全システムは、蓄積された作動液を構成要素に送達するために、トリガ信号を受信すると、少なくとも1つの圧力弁を開くように構成される。
[0033]
例示的な実施形態のうちのいくつかは、設備の少なくとも一部を安全状態にするために、炭化水素処理設備に結合されるように構成された安全システムを対象とする。設備は、制御モジュール、具体的には、改修制御モジュール(WOCM)、海底電子モジュール(SEM)、海底制御モジュール(SCM)、およびライザー制御モジュール(RCM)のうちの少なくとも1つを備える。
[0034]
制御モジュールは、設備の構成要素、具体的には、トップサイド生産設備、ロアー・ライザー・パッケージ(LRP)、緊急切断パッケージ(EDP)、噴出防止装置(BOP)、ライザー・パッケージ(RP)、掘削パッケージ(DP)、主制御ユニット(MCU)、および液圧力ユニット(HPU)、クリスマス・ツリー、具体的には表面ツリー、具体的には海底ツリー、具体的には、電気作動弁、マニホールド、コイル状チューブ・フレーム、およびワイヤ・ライン・フレームを有するクリスマス・ツリーのうちの少なくとも1つを備える構成要素を作動させるように構成され得る。
[0035]
制御モジュールは、エネルギー入力部、具体的には、電気入力部、空気圧入力部、および液圧入力部のうちの少なくとも1つを備え、エネルギー入力部は、構成要素、具体的には、電気アクチュエータ、具体的には、スクリュー駆動部およびソレノイド、具体的には、液圧アクチュエータ、空気圧アクチュエータを作動させるのに十分な対応する動力源からの動力流を受け取るように構成され、エネルギー出力部、具体的には、液圧出力部、および電気出力部のうちの少なくとも1つは、制御モジュールを介して調整された動力流を構成要素に送達するように構成される。
[0036]
安全システムは、トリガ信号を受信するように構成された制御入力部を備える。安全システムは、エネルギーを蓄積するように構成された、安全アキュムレータ、具体的には、液圧アキュムレータ、バッテリ、キャパシタ、フライホイール、およびUPSのうちの少なくとも1つと、制御モジュールのエネルギー入力部および対応する動力源、ならびに、制御モジュールのエネルギー出力部および構成要素のうちの少なくとも1つと並列接続で配置されるように構成された、少なくとも1つのアキュムレータ開閉部、具体的には、弁およびリレーのうちの少なくとも1つとをさらに備える。安全システムは、蓄積されたエネルギーを構成要素に送達するために、トリガ信号を受信すると、少なくとも1つのアキュムレータ開閉部を開くように構成される。
[0037]
例示的な実施形態のうちのいくつかによれば、様々なシステムは、制御モジュールのエネルギー入力部と対応するエネルギー源との間、および制御モジュールのエネルギー出力部と構成要素との間のうちの少なくとも一方で、直列接続された少なくとも1つのオーバライド用開閉部をさらに備えることをさらに備えることができる。安全システムは、動力流が構成要素に送達されるのを防ぐために、トリガ信号を受信すると、少なくとも1つのオーバライド用開閉部を閉じるように構成される。
[0038]
例示的な実施形態のうちのいくつかは、トリガ入力部を備える動力管理システムを対象とする。システムは、プロセッサと、メモリと、メモリ内に記憶され、プロセッサによって実行可能な命令とを備える論理デバイスをさらに備える。論理デバイスは、トリガ入力部に結合し、電力線を含むアンビリカル、具体的には、300メートルを超える、具体的には、3000メートルを超えるを含む、1000メートルを超える長さを有するアンビリカルに結合されるように構成される。システムはまた、電力線に接続された少なくとも1つの開閉部(たとえば、弁)、具体的には、オーバライド弁およびアキュムレータ弁のうちの少なくとも1つを備えることができる。
[0039]
システムは、論理デバイスに結合された電源、具体的には、少なくとも30ボルト、具体的には約500ボルトまでを送達するように構成された、具体的にはDC電源を備えることができる。実施形態は、論理デバイスとは別個のディスクリート電源を備えることができる。実施形態は、論理デバイスと一体化された電源を備えることができる。電源は、弁に接続されたときに電力線を介して弁を作動させるように構成され得る。システムはまた、論理デバイスおよび電源に結合された、スイッチ、具体的には、リレーを備えることができ、スイッチは、論理デバイスによって、電源が弁に接続されていない監視状態と、電源が弁に接続されている無効化状態との間で切り替えるように作動可能である。典型的には、アンビリカル回路は、実質的(および、しばしば変化する抵抗性)を有する。したがって、弁を作動させるために必要な実際の作動電圧を保証することは、アンビリカル回路を監視することから利益を得ることができる。
[0040]
論理デバイスは、電力線および弁を含む電気回路を特徴付けるパラメータを測定することと、アンビリカルを介して送達されたときに弁を作動させるのに十分な所望の電圧を弁にもたらすように期待されるトップサイド電圧を計算することと、計算されたトップサイド電圧を電源に伝送することとを含む方法を実行するように構成される。電源は、アンビリカル上で受ける電圧損失にもかかわらず、弁を作動させるのに十分なトップサイド電圧に維持され得る。
[0041]
例示的な実施形態のうちのいくつかによれば、電力管理システムは、非作動電圧を電力線に印加することと、印加された電圧から生じる電流を測定することと、測定された電流を、弁の抵抗に正規化すること、具体的には、弁の抵抗を減算することと、正規化された電流を使用してアンビリカルの抵抗を計算することとによって、さらに測定することができる。
[0042]
例示的な実施形態のうちのいくつかによれば、論理デバイスは、トリガ入力部(112)を介してトリガ信号を受信し、電源を使用して弁を作動させるために監視状態から無効化状態に変更するようにスイッチを作動させるようにさらに構成される。
[0043]
例示的な実施形態のうちのいくつかによれば、上記で説明した実施形態は、ソフトウェアおよびハードウェアに関して改修制御モジュールから分離された安全システムを備えることができる。
[0044]
例示的な実施形態のうちのいくつかによれば、少なくとも1つのオーバライド弁は、第1の対応する作動液源と第1の対応する液圧入力部との間に直列接続された第1のオーバライド弁と、第2の対応する作動液源と第2の対応する液圧入力部との間に直列接続された第2のオーバライド弁と、改修制御モジュールの液圧出力部と構成要素との間に直列接続された少なくとも1つの第3のオーバライド弁とを備える。
[0045]
例示的な実施形態のうちのいくつかによれば、少なくとも1つのオーバライド弁は、トップサイド制御モジュール弁と、表面生産ウイング弁に結合されたパイロット弁との間に直列接続されている。トリガ信号を受信すると、少なくとも1つのオーバライド弁は、閉位置になるように構成され、それによって、パイロット弁および表面生産ウイング弁への作動液の流れを防止する。
[0046]
例示的な実施形態のうちのいくつかによれば、改修安全システムにおける弁またはゲートは、A/B冗長性における複製ゲートおよび/または弁を備えることができる。
[0047]
例示的な実施形態のうちのいくつかによれば、トリガ信号は、アナログ電圧、具体的には、25Vまでを含む48Vまでの、具体的には、直流、DCを備えることができる。
[0048]
例示的な実施形態のうちのいくつかによれば、安全システムは、上記で説明したような電力管理システムをさらに備えることができる。例示的な実施形態のうちのいくつかによれば、安全システムは、安全システムに結合された制御モジュールをさらに備えることができる。
[0049]
前記第1のコントローラから独立することによって、第2のコントローラが、前記第1のコントローラをバイパスすること、前記第1のコントローラの機能を引き継ぐこと、前記第1のコントローラからのコマンドを無視することなどの機能ができることを意味する。第2のコントローラは、前記様々な機器および弁の少なくともいくつかを安全状態にするために前記機能を使用する。
[0050]
第1のコントローラは、プロセス・コントローラであってもよい。第2のコントローラは、安全コントローラであってもよい。
[0051]
例示的な実施形態のうちのいくつかによれば、第2のコントローラは、第1のコントローラのコマンドのうちの少なくともいくつかを無効化するように適合される。第2のコントローラは、システムを安全状態にすることができる。例示的な実施形態のうちのいくつかによれば、第2のコントローラは、前記様々な機器のうちの少なくともいくつかを安全状態にすることによって、システムを安全状態にする。
[0052]
前記海底インターベンション運用設備は、海底配置機器のほかに、他の場所に配置されたトップサイドおよび関連する機能をさらに含むことができる。
[0053]
前記第1のコントローラは、単一の電子モジュール、または複数のモジュールを備える分散配置のいずれかとして実現され得る。別の実施形態では、前記複数のモジュールは、バスまたはワイヤレス・リンクなどの通信媒体を介して互いに通信している。別の実施形態では、第1のコントローラは、第1のコントローラが第1の複数のコントローラを備えるという意味において冗長構成で実装され、冗長構成における少なくとも1つのコントローラは、動作可能で第1のコントローラの作動を扱うことができる少なくとも1つのコントローラが前記第1の複数のコントローラ内に存在する限り、前記第1の複数のコントローラからの少なくとも1つのコントローラが故障しても、バックアップ・コントローラとして作動することができる。
[0054]
また、前記第2のコントローラは、単一の電子モジュール、または複数のモジュールを備える分散配置のいずれかとして実現され得る。別の実施形態では、前記複数のモジュールは、バスまたはワイヤレス・リンクなどの通信媒体を介して互いに通信している。別の実施形態では、第2のコントローラも、第2のコントローラが第2の複数のコントローラを備えるという意味において冗長構成で実装され得、冗長構成における少なくとも1つのコントローラは、動作可能で第2のコントローラの作動を扱うことができる少なくとも1つのコントローラが前記第2の複数のコントローラ内に存在する限り、前記第2の複数のコントローラからの少なくとも1つのコントローラが故障しても、バックアップ・コントローラとして作動することができる。
[0055]
例示的な実施形態のうちのいくつかによれば、前記第2のコントローラは、第1のコントローラと通信することができる。
[0056]
例示的な実施形態のうちのいくつかによるシステムの別の実施形態では、前記海底インターベンション運用は、海底坑井からの炭化水素を処理するプロセス・プラントを備え、坑井制御パッケージ(「WCP」)は、海底に配置されてもよく、前記WCPは、緊急切断パッケージ(「EDP」)とロアー・ライザー・パッケージ(「LRP」)とをさらに備える。前記EDPおよびLRPは、前記海底インターベンション運用設備における前記炭化水素の流れを制御するための複数の弁をさらに備える。前記海底インターベンション運用はまた、ライザー・システム、掘削デッキ、プラットフォーム、または類似物を備え、主制御ユニット(「MCU」)が前記デッキまたはプラットフォーム上に配置されてもよく、液圧力ユニット(「HPU」)が前記デッキまたはプラットフォーム上に配置されてもよい。
[0057]
さらに別の実施形態では、前記掘削デッキまたはプラットフォームは、少なくとも部分的に、船または船の一部である。前記船は、船舶またはボートなどの浮遊物体であってもよい。
[0058]
さらに別の実施形態では、前記第2のコントローラは、複数の最終要素の制御を停止させ、前記複数の最終要素は、海底インターベンション運用設備内の様々な機器および弁のうちの少なくともいくつかを備える。第2のコントローラは、安全イベントが開始されたとき、複数の最終要素の制御を停止させる。例示的な実施形態のうちのいくつかによれば、前記第2のコントローラは、前記第1のコントローラから前記複数の最終要素への制御コマンドに関係なく、前記制御を停止させる。第2のコントローラは、前記第1のコントローラから前記複数の最終要素への空気圧制御コマンドおよび/または液圧制御コマンドおよび/または電気制御コマンドのうちの少なくともいくつかを無効化することによって、複数の最終要素の制御を停止させる。したがって、第2のコントローラは、海底インターベンション運用設備内の前記様々な機器および弁のうちの少なくともいくつかに対する優先制御を達成することができる。
[0059]
無効化によって、第2のコントローラまたは安全コントローラが、安全機能に関して、前記様々な機器のうちの少なくともいくつかに対する制御の最も高い優先順位を有することを意味する。したがって、第1のコントローラまたはプロセス・コントローラの制御コマンドは、前記様々な機器のうちの少なくともいくつかに対する制御のより低い優先順位を有する。第2のコントローラは、安全イベントが発生したとき、またはトリガされたときにこの優先順位を行使する。
[0060]
例示的な実施形態のうちのいくつかによれば、第2のコントローラは、前記複数の最終要素内の各最終要素を前記各最終要素のそれぞれの所定の安全状態にする。最終要素によって、ソレノイド、弁、レギュレータ、回路遮断器、またはリレーなどの要素を意味する。
[0061]
別の実施形態では、第2のコントローラは、安全イベントの検出または開始時に前記複数の最終要素の制御を停止させる。前記安全イベントは、生産シャットダウン(「PSD」)、緊急シャットダウン(「ESD」)、または緊急急速切断(「EQD」)を含む。
[0062]
例示的な実施形態のうちのいくつかによれば、システムは、複数の無停電電源(「UPS:Uninterruptable Power Supply」)をさらに含む。前記複数のUPSは、前記第1のコントローラの制御機能の実行のための電力を供給するために、第1のコントローラに電気的に結合される。前記複数のUPSの少なくとも一部はまた、前記第2のコントローラに電気的に結合される。第2のコントローラは、電圧、電流、および、前記複数のUPS内の残りの電力またはエネルギーを含む所定のパラメータを監視するように適合される。第2のコントローラは、所定の条件下で、様々な機器および弁の少なくとも一部を前記複数のUPSからの引き出し電力から隔離するようにさらに適合される。
[0063]
別の実施形態では、前記所定の条件は、安全イベントの開始と、所定の範囲または限界未満の前記複数のUPS内の残りの電力またはエネルギーとを含む。
[0064]
さらに別の実施形態では、システムは、少なくとも1つの制御弁、たとえば、DCVをさらに備える。前記制御弁は、前記第2のコントローラによって制御され、流体搬送供給ライン内の流れまたは圧力を制御するように適合される。前記流体搬送供給ラインは、液圧供給ライン、または空気圧供給ラインなどであり得る。前記流体搬送供給ラインは、前記流体搬送供給ライン内の圧力下の流体から動力を供給するように構成される。前記流体搬送供給ライン内の前記流体の圧力による動力は、複数の機器を作動させるために使用される。前記機器は、弁などの最終要素を含む。第2のコントローラは、前記少なくとも1つの制御弁を制御するために前記第2のコントローラによって使用される少なくとも1つの電源を含む。コントローラはまた、トリガ・イベントを生成するように構成された少なくとも1つの開始ユニットを備える。前記トリガ・イベントは、特定の安全イベントが開始されたことを第2のコントローラに通知する。前記トリガ・イベントを受信すると、第2のコントローラは、前記複数の機器内の機器のうちの少なくともいくつかが安全状態に設定されるように、前記流体搬送供給ライン内の流体の流れまたは圧力を適合させるための信号を前記少なくとも1つの制御弁に送るように構成される。システムは、たとえば、前記流体搬送供給ライン内の流体をブリード・オフする、遮断する、または追加の流体を注入することによって、前記流体搬送供給ライン内の圧力を適応させる。
[0065]
例示的な実施形態のうちのいくつかによれば、システムは、電力管理システムをさらに備え、前記電力管理システムは、少なくとも1つの電気消費装置に電源ユニットを電気的に結合するための少なくとも1つの電気ケーブルを備える。前記電源ユニットは、高電圧電源ユニットであり得る。前記電源ユニットは、少なくとも1つの電気ケーブルに電力を供給するために使用される。前記少なくとも1つの電気消費装置は、前記電源ユニットの位置から遠隔に配置され得る。前記少なくとも1つの電気消費装置は、前記少なくとも1つの電気ケーブルを介して電源ユニットによって供給された電力を引き出すように適合される。提案された電力管理システムは、前記電気ケーブル上の所定の位置における電圧、電流、および電力を含む電気パラメータを測定するように適合された測定ユニットをさらに備える。電気パラメータの測定位置は、電源ユニットの近くであってもよい。システムは、構成ユニットをさらに備え、前記構成ユニットは、リレーまたは高電圧半導体などの少なくとも1つのスイッチング素子を備える。前記少なくとも1つのスイッチング素子は、電源と少なくとも1つのケーブルとの間に直列に接続され得る。前記構成ユニットの位置はまた、電源ユニットの位置の近くであってもよい。前記構成ユニットは、電源ユニットによって供給される電力のパラメータを構成するように適合される。前記第2のコントローラは、前記電源ユニット、前記構成ユニット、および前記測定ユニットと通信するように適合され、前記第2のコントローラは、前記少なくとも1つの電気消費装置によって受け取られた電力が常に所定の限度内にあるように、構成ユニットを動的に構成するようにさらに適合される。したがって、前記電気パラメータを監視することによって、提案された電力管理システムは、前記少なくとも1つの消費装置によって受け取られた電力が常に好ましい限度内にあるように、前記少なくとも1つの消費装置に供給される電力を構成することができる。システムは、各消費装置の電力パラメータが個別に追跡され、所望の限度内に維持されるように、複数の消費装置を個別に監視するように構成され得る。
[0066]
例示的な実施形態のうちのいくつかは、海底インターベンション設備における安全機能を制御するための制御システムの実施形態を備える。前記制御システムは、流体搬送供給ラインの流れまたは圧力を制御するように適合された少なくとも1つの制御弁(「DCV:Control Valve」)を備える。前記流体搬送供給ラインは、複数の機器を作動させるために前記流体搬送供給ライン内の圧力下の流体から動力を供給するように構成される。前記機器は、弁などの最終要素と、前記少なくとも1つの制御弁を制御するように適合された少なくとも1つの論理コントローラ、たとえば、プログラマブル・ロジック・コントローラ(「PLC」)とを含む。前記制御コントローラはまた、前記少なくとも1つの制御弁を制御するために前記少なくとも1つの論理コントローラによって使用される少なくとも1つの電源を備える。制御システムはまた、トリガ・イベントを生成するように構成された、押しボタンなどの少なくとも1つの開始ユニットを含み、前記トリガ・イベントは、特定の安全イベントが開始されたことを少なくとも1つの論理コントローラに通知する。前記トリガ・イベントを受信すると、少なくとも1つの論理コントローラは、前記複数の機器内の機器のうちの少なくともいくつかが安全状態に設定されるか、または安全状態にされるように、前記流体搬送供給ライン内の流体の流れまたは圧力を適合させるための信号を前記少なくとも1つの制御弁に送るように構成される。
[0067]
例示的な実施形態のうちの少なくともいくつかによれば、前記流体搬送供給ラインは、液圧供給ライン、または空気圧供給ライン、またはそれらの組み合わせである。
[0068]
別の実施形態では、制御システムは、前記流体搬送供給ライン内の圧力をブリード・オフすることによって、前記流体搬送供給ラインの圧力を適合させる。
[0069]
さらに別の実施形態では、制御システムは、前記流体搬送供給ライン内に追加の流体を注入することによって前記流体搬送供給ラインの圧力を適合させる。
[0070]
さらに別の実施形態では、制御システムは、前記流体搬送供給ライン内の流体を遮断または再配向することによって前記流体搬送供給ラインの圧力を適合させる。
[0071]
前記制御システムの別の実施形態では、少なくとも1つの論理コントローラは、複数の安全機能ステップを実行する。前記安全機能ステップは、前記複数の機器内の機器のうちの少なくともいくつかを制御するための所定のシーケンスにおいて前記少なくとも1つの論理コントローラによって実行されるコマンドのセットを備える。
[0072]
制御システムのさらに別の実施形態では、前記少なくとも1つの電源はまた、電力源と、少なくとも1つのエネルギー蓄積ユニットとを備える。前記制御システムは、前記電源および前記少なくとも1つのエネルギー蓄積ユニットのパラメータを監視するようにさらに適合される。前記パラメータは、前記エネルギー蓄積ユニット内の残りの蓄積されたエネルギー、残りの安全機能ステップをうまく実行するために必要な電力またはエネルギーの予測、および前記電力源の作動パラメータを含む。所定の条件下で、制御システムは、前記少なくとも1つの電源から電力を引き出す任意の重要でない機器を隔離、トリップ、またはシャットダウンするように適合される。したがって、提案された制御システムは、前記安全機能ステップなどの重要な機能を実行するための残りの電力を確保することができる。
[0073]
一実施形態では、前記少なくとも1つのエネルギー供給は、液圧であり、前記動力源は、液圧ポンプであり、前記少なくとも1つのエネルギー蓄積ユニットは、液圧アキュムレータである。
[0074]
別の実施形態では、前記少なくとも1つのエネルギー供給は、電気であり、前記動力源は、発電機または配電盤であり、前記少なくとも1つのエネルギー蓄積ユニットは、UPSである。
[0075]
さらに別の実施形態では、前記少なくとも1つのエネルギー供給は、空気圧であり、前記動力源は、ポンプであり、前記少なくとも1つのエネルギー蓄積ユニットは、空気圧アキュムレータである。
[0076]
提案された制御システムの別の実施形態では、前記所定の条件は、前記動力源が利用可能ではないことと、前記残りの蓄積されたエネルギーが所定の限度未満であることとを含む。
[0077]
さらに別の実施形態では、前記制御システムは、可動プラットフォームを含む海底インターベンション運用に関係し、前記開始ユニットは、前記プラットフォームの位置を含むパラメータの測定のための測定ユニットをさらに備える。前記開始ユニットは、前記パラメータが所定の限度を超えてドリフトする場合、安全イベントが開始されたことを前記論理コントローラに通知するトリガ・イベントを生成するように適合される。
[0078]
別の実施形態では、前記制御システムは、より高い電圧で切り替えるためのリレーと、絶縁抵抗ライン監視ロジックと、ライン監視用の抵抗器とをさらに備える。
[0079]
例示的な実施形態のうちのいくつかは、海底インターベンション設備において適用するための電力管理システムの実施形態を備える。前記電力管理システムは、少なくとも1つの電気消費装置に電源ユニットを電気的に結合するための少なくとも1つの電気ケーブルを備える。前記電源ユニットは、高電圧電源ユニットであり得る。前記電源ユニットは、少なくとも1つの電気ケーブルに電力を供給するために使用される。少なくとも1つの電気消費装置は、前記電源ユニットの位置から遠隔に配置され得る。少なくとも1つの電気消費装置は、前記少なくとも1つの電気ケーブルを介して電源ユニットによって供給された電力を引き出すように適合される。提案された電力管理システムは、前記電気ケーブル上の所定の位置における電圧、電流、および電力を含む電気パラメータを測定するように適合された測定ユニットをさらに備える。前記電気ケーブル上の所定の位置は、電源ユニット位置の近くである。電力管理システムは、構成ユニットをさらに備え、前記構成ユニットはまた、少なくとも1つのスイッチング素子を備える。前記スイッチング素子の可能な実施形態は、リレーと、高電圧半導体デバイスとを含む。前記少なくとも1つのスイッチング素子は、電源と少なくとも1つのケーブルとの間に直列に接続され得る。前記構成ユニットは、電源ユニットの位置の近くに配置され得る。前記構成ユニットは、電源ユニットによって少なくとも1つの電気ケーブルに供給される電力のパラメータを構成するように適合される。電力管理システムはまた、論理コントローラ、たとえば、プログラマブル・ロジック・コントローラ(「PLC」)を備える。前記論理コントローラは、前記電源ユニット、前記構成ユニット、および前記測定ユニットと通信するようにさらに適合される。論理コントローラは、前記少なくとも1つの電気消費装置によって受け取られた電力が常に所定の限度内にあるように、構成ユニットを動的に構成することができる。
[0080]
提案された電力管理システムの例示的な実施形態のうちのいくつかによれば、前記論理コントローラは、少なくとも1つの電気出力を使用して前記構成を制御するように適合される。前記電気出力は、デジタルであってもよいが、別の実施形態では、前記電気出力部は、少なくとも部分的にアナログであってもよい。
[0081]
電力管理システムの例示的な実施形態によれば、前記論理コントローラは、少なくとも1つの電気入力を使用して、前記構成ユニットの状態および設定を監視するように適合される。前記電気入力は、デジタルであってもよいが、別の実施形態では、前記電気入力は、少なくとも部分的にアナログであってもよい。
[0082]
電力管理システムの別の実施形態では、前記構成ユニットは、前記電源ユニット内に配置される。
[0083]
電力管理システムの別の実施形態では、論理コントローラは、前記少なくとも1つの電気ケーブルを通って流れる電流をほぼ一定に維持する。
[0084]
電力管理システムのさらに別の実施形態では、論理コントローラは、前記少なくとも1つの消費装置にわたる電圧をほぼ一定に維持する。
[0085]
電力管理システムのさらに別の実施形態では、前記少なくとも1つの消費装置によって受け取られる電力のパラメータは、前記少なくとも1つの電気ケーブルにわたる電圧降下および前記少なくとも1つの電気ケーブルにおける抵抗変動とは無関係である。
[0086]
電力管理システムの例示的な実施形態のうちのいくつかによれば、論理コントローラは、電力管理システム内の構成要素の初期モデルまたは公称値でインスタンス化される。前記公称値およびモデルは、ケーブルの電気パラメータと、少なくとも1つの電気ケーブルの物理パラメータと、少なくとも1つの消費装置の電気パラメータとを含む。
[0087]
電力管理システムのさらに別の実施形態では、論理コントローラは、前記電気パラメータの経時的な変動を記録し、前記論理コントローラは、前記電力管理システム内の特定の構成要素がまもなく故障する可能性があるという信号を生成するように適合される。

Brief Description of Drawings

[0088]
例示的な実施形態のうちのいくつかの実施形態について、添付図面を参照して以下でさらに説明する。
[fig. 1] 典型的な従来の改修システムの簡略化された例を示す図である。
[fig. 2] 典型的な従来の改修システムの代替例を示す図である。
[fig. 3] 例示的な実施形態のうちのいくつかによるシステムの実施形態を示す図である。
[fig. 3A] 例示的な実施形態のうちのいくつかによる安全システムの例示的な実施形態を示す図である。
[fig. 3B] 例示的な実施形態のうちのいくつかによる図3AのシステムのA/B冗長構成の例を示す図である。
[fig. 3C] 例示的な実施形態のうちのいくつかによる安全システムのトップサイド構成を示す図である。
[fig. 3D] 例示的な実施形態のうちのいくつかによる安全システムの電圧調整機能を示す図である。
[fig. 4] 例示的な実施形態のうちのいくつかによるプロセス・シャットダウン(「PSD:Process Shutdown」)機能の実施形態を示す図である。
[fig. 5] 例示的な実施形態のうちのいくつかによる緊急シャットダウン(「ESD」)機能の実施形態を示す図である。
[fig. 6] 例示的な実施形態のうちのいくつかによる緊急急速切断(「EQD」)機能の実施形態を示す図である。
[fig. 7] 例示的な実施形態のうちのいくつかによる無停電電源(「UPS」)原理の実施形態を示す図である。
[fig. 8] 例示的な実施形態のうちのいくつかによるアキュムレータ原理の第1の実施形態を示す図である。
[fig. 9] アキュムレータ原理の第1の実施形態を使用するときの例示的な実施形態のうちのいくつかによるランディング・ストリングESD機能の実施形態を示す図である。
[fig. 10] 例示的な実施形態のうちのいくつかによるアキュムレータ原理の第2の実施形態を使用するランディング・ストリングESDの実施形態を示す図である。
[fig. 11] 例示的な実施形態のうちのいくつかによるUPS原理の代替実施形態を示す図である。
[fig. 12] 例示的な実施形態のうちのいくつかによる電力管理システムの実施形態を示す図である。
[fig. 13] 例示的な実施形態のうちのいくつかによるフェイル・セーフ・クローズ構成の実施形態を示す図である。
[fig. 14] 例示的な実施形態のうちのいくつかによる最終要素の起動のためのフェイル・アズ・イズ(Fail−as−Is)構成の実施形態を示す図である。

Description of Embodiments

[0089]
図1は、ライザー・ベースの従来の改修制御システム(「WOCS」)100の簡略化された例を示す。そのようなシステムは、ライザー108と、たとえば、掘削リグ・デッキまたはプラットフォーム110上に配置された主制御ユニット(「MCU」)101と、液圧力ユニット(「HPU」)102と、たとえば、改修アンビリカル103を備えるアンビリカルと、海底電子モジュール(「SEM」)(たとえば、図2の201参照)と、典型的にはWCP105内に含まれる改修制御モジュール(「WOCM」)とを備える。これらの中で、
[0090]
MCU101は、典型的には、デッキ110上に配置されたコンテナである。前記コンテナは、典型的には、オペレータ制御パネルと、論理コントローラと、海底電力および通信ユニットと、他の電気、電子、またはプログラマブル・システム構成要素とを備える。MCUは、HPU102、および1つまたは複数の海底電子モジュール201と通信する。
[0091]
HPU102は、典型的には、アキュムレータと、液圧機能制御弁とを備える。HPU102は、空気圧弁と、電動式ソレノイド弁とをさらに備えてもよい。
[0092]
SEM201は、典型的には、1つの機器モジュールと1つの制御機能モジュールとに分割される。制御機能SEMは、トップサイド制御システムから信号を受信し、改修制御モジュール(「WOCM」)内の対応する液圧制御機能に電力を供給するドライバ・カードを備える。WOCM、たとえば、201参照、は、典型的には、海底に配置され、坑井制御パッケージ(「WCP」)105の一部である。図1は、ライザー・システム108も示す。
[0093]
言い換えれば、MCU101は、典型的には、改修システム内の弁の作動を制御するためのデジタル制御信号をHPU102およびWOCMに送る。図1に示す他の部品は、当業者には明らかであるので、さらには論じない。
[0094]
図2は、改修システムの代替図を示す。システム200は、掘削リグ・デリック、または改修のためのタワーなどを備え、前記タワーまたはデリックは、たとえば、プラットフォームまたはデッキ110とプロセス・プラント202とを有するサービス船舶またはリグ上にあってもよい。前記デッキ110は、掘削リグ上に設置されてもよく、または、坑井インターベンション船舶上に設置されてもよい。掘削リグにおいて、このデッキ110は、しばしばドリル・フロアと呼ばれる。自動化側では、システムは、トップサイド上に位置するMCU101とHPU102とを備える。図は、坑井制御パッケージ(「WCP」)105をより詳細に示す。ときには改修スタックとも呼ばれるWCP105は、主に、ロアー・ライザー・パッケージ(「LRP」)204と、緊急切断パッケージ(「EDP」)205とを備える。参考に、クリスマス・ツリー(「XT:Christmas Tree」)も示されている。LRP204およびEDP105は、炭化水素の流れを制御し、隔離するための複数の弁を備える。改修システム内の典型的な弁の主な機能は、次の通りである。
[0095]
表面生産ウイング弁(「SPWV:Surface Production Wing Valve」)208は、典型的には表面フロー・ツリー209内に配置される。SPWV208は、ライザー・ベースの改修システム内の炭化水素の流れから船舶プロセス・プラントを隔離するために使用される。
[0096]
典型的には本明細書ではリテーナー弁(「RV:Retainer Valve」)211と名付けられたゲート弁は、ライザー・ベースの改修システム内の炭化水素の流れからライザー108を隔離するために使用される。RV211は、たとえば、緊急急速切断(「EQD」)の場合にライザー内に潜在的な炭化水素を保持する。
[0097]
本明細書では生産隔離弁(「PIV:Production Isolation Valve」)212は、ライザー・ベースの改修システム内の炭化水素の流れからライザー108を隔離するために使用される。PIV212はまた、たとえば、緊急急速切断(「EQD」)の場合に2次坑井バリアとして機能する。
[0098]
弁231、232、233、および234は、環状ボア弁、クロスオーバ弁、および注入弁を示す。これらの弁は、坑井を循環させることと、化学物質を注入することとを含む機能のために使用される。
[0099]
典型的にはEDP海ダンプ弁と名付けられた241は、たとえば、緊急シャットダウン(「ESD」)または緊急急速切断(「EQD」)の場合の間、戻りシステムが制御流体の流れを制限しないように、液圧制御流体の海への戻りラインを開くために使用される。
[0100]
典型的にはLRP海ダンプ弁と名付けられた242は、たとえば、緊急シャットダウン(「ESD」)または緊急急速切断(「EQD」)の場合の間、戻りシステムが制御流体の流れを制限しないように、液圧制御流体の海への戻りラインを開くために使用される。
[0101]
EDPコネクタ1次アンロック251は、EDPコネクタを解除するために使用され、EDP205がLRP204から切断することを可能にする。
[0102]
EDPコネクタ2次切断252は、EDPコネクタ1次アンロック251へのバックアップ機能のために使用される。2次切断252の主な機能は、EDP205がLRP204から切断することを可能にすることである。
[0103]
典型的には、LRP204内に2つの主ボア弁、2つのゲート弁または(たとえば、上部および下部PIV)1つのゲート弁のいずれか、および1つのせん断シール・ラム(安全ヘッド(「SH:Safety Head」))が存在する。
[0104]
例示的な実施形態のうちのいくつかは、改修安全システム(「WSS」)の実装のためのシステムおよび方法を対象とし、前記WSSは、プロセス制御システム(「WOCS」)100から物理的に分離されている。例示的な実施形態のうちのいくつかにおいて提案されるWSSは、シャットダウンおよび/または切断を達成するために絶対に必要な機能のみを実装するという意味においてごく単純化されるように設計される。加えて、例示的な実施形態のうちのいくつかは、重要なイベント、たとえば、海底安全機能ESDおよびEQDに対する応答時間を短縮しようとする。システムは、減少した数のESD/EQD、ブリード・オフ機能の実装、およびシャットダウン・イベントにおけるWOCM104の必要性の排除を含む機能を有して設計される。例示的な実施形態のうちのいくつかによる安全システムは、改修制御システムによってとられた任意のアクションを停止させるように設計される。安全イベントが発生すると、安全システムは、WCSによる任意のコマンドを無効化することができる。
[0105]
例示的な実施形態のうちのいくつかは、任意の開放水域改修システム、ライザー・レス改修システムなどに後付けすることができるように実装される。トップサイド・コントローラおよび液圧安全アダプタは、大部分の直接液圧イン・ライザー改修システムまたはランディング・ストリング・システムと互換性がある。
[0106]
ここで、提案されたWSS301a、301b、および301cで拡張された図2に示すシステムの実施形態を示す図3を参照する。提案されたWSS301a、301b、および301cは、以下を備える。
[0107]
トップサイド部分301a、b:WSSのトップサイド部分301a、bは、WOCS100のトップサイド部分から独立するように実装される。唯一の例外は、WSS301a、bとWOCS100との間で共有される無停電電源(「UPS」)(図3には図示せず)である。WSSトップサイド部分301aは、既存の改修コンテナに後付けすることができるように実装される。代替的には、WSSトップサイド部分301aは、別個のコンテナ内に設置されてもよい。提案されたWSSのトップサイド部分301aは、順序付けロジックおよび通信インターフェース、ならびにイニシエータおよびコンディショニング監視システムを備える。加えて、WSSトップサイド部分301a、bは、液圧安全アダプタを含み、前記アダプタは、生産シャットダウン(「PSD」)およびイン・ライザー改修ESDなどの直接液圧安全機能の開始のための方向制御弁をさらに備える。
[0108]
改修安全モジュール(「WSM」)302:本実施形態では、WSM302は、典型的には、WSSの海底部分301cとして実装される。WSM302は、緊急切断パッケージ(「EDP」)205上に搭載され、海底制御モジュールおよび改修制御モジュールから独立している。WSM302は、WSSの実行部分である。提案されたWSS301a、301b、および301cは、典型的には、安全機能実行における完全な冗長性のための2つのWSMが供給される。WSMは、典型的には、マニホールド搭載方向制御弁303を有する圧力補償エンクロージャである。WSMは、例示的な実施形態を上述した従来技術からさらに区別する機械的構成要素を本質的に含む。例示的な実施形態のうちのいくつかによれば、すべての制御ロジックは、必要に応じて容易にアクセスおよび維持することができるトップサイドに位置する。
[0109]
方向制御弁303:非通電時閉(de−energized−to−close)機能について、WSM302内の方向制御弁303は、通常、WOCM201からの液圧出力を通過させる。重要なイベント、たとえば、ESDが開始されると、方向制御弁303は、位置をシフトし、改修制御モジュールからの液圧出力を戻すようにダンプする。これは、従来の改修スタックまたはWCPにおける液圧システム設計に従って主ボア弁を閉じさせる。EDPコネクタは、通常、異なる機能を必要とし、WSM302ブロックは、アキュムレータ供給を遮断し、重要なイベントでは、アキュムレータがEDPコネクタ機能を加圧するためにラインを開く。DCV303は、電気的に定位置に保持される(すなわち、非通電時トリップ(de−energize to trip))、または、たとえば、通常は非通電(すなわち、トリップするために電気的に動かされる)のいずれかであり得る。例示的な実施形態のうちのいくつかによれば、方向制御弁303は、直接制御される。DCVは、典型的にはDC電圧を使用して、トップサイド安全コントローラからのハードワイヤード信号によって電気的に駆動される。1つまたは複数の方向制御弁は、トップサイド、またはアンビリカルの海底端のいずれかに並列に結合されることによって、同じDC電圧信号によって制御され得る。
[0110]
緊急のイベントまたは重大イベントにおいて、提案されたWSS301a、301b、および301cによって動かされる約14の海底弁および約13のトップサイド弁が存在する。弁の数は、改修システム構成に依存する。図3は、提案されたWSS301a、301b、および301cが11の海底弁および1つのトップサイド弁を動かす標準的な開放水域改修構成の実施形態を示す。
[0111]
例示的な実施形態のうちのいくつかの主な目的のうちの1つは、WOCSとは独立した改修システムにおける緊急シャットダウン機能を実装することである。緊急シャットダウン機能は、典型的には、プロセス・シャットダウン(「PSD」)、緊急シャットダウン(「ESD」)、および緊急急速切断(「EQD」)である。これらは、以下のように説明される。
[0112]
図3は、WSS、SEM/WOCM、MCU、HPUなどの間の例示的な相互接続を示しているが、そのような相互接続のすべてが示されているわけではないことが理解されるべきである。たとえば、WSSは、海底装置内の様々な構成要素または弁、たとえば、弁211〜252を作動させるように構成され得ることが理解されるべきである。
[0113]
図3Aは、例示的な実施形態のうちのいくつかによる安全システムの例示的な実施形態を示す。図3Aに示すように、安全システム301は、制御モジュール201の周りに配置される。例示的な実施形態のうちのいくつかによれば、制御モジュール201は、炭化水素採掘装置の構成要素104を作動させるように構成された、改修制御モジュール(WOCM)、海底電子モジュール(SEM)、および/またはライザー制御モジュール(RCM)であり得る。具体的には、装置は、ロアー・ライザー・パッケージ(LRP)、緊急切断パッケージ(EDP)、噴出防止装置(BOP)、ライザー・パッケージ(RP)、掘削パッケージ(DP)、主制御ユニット(MCU)、および/または液圧力ユニット(HPU)のうちの少なくとも1つを備える。
[0114]
制御モジュール201は、構成要素への作動液または動力流を調整するように構成される。制御モジュールは、任意の数の流体源または動力源、たとえば、供給源116および118を備えることができる。図3Aによって提供される例では、供給源116は、海底装置のトップサイドからのLP液圧供給であり、供給源118は、フェイル・セーフ・アキュムレータである。供給源は、制御モジュールの入力部106_1および106_2に流体または動力の流れを提供するように構成される。制御モジュールは、流れを蓄積し、出力部110_1、110_2、および110_3を介して様々な構成要素104に流れを送る。
[0115]
通常の作動の間、安全システム内のいくつかの開閉部、たとえば、弁またはリレーは、最初は、開位置にあってもよい。具体的には、オーバライド用開閉部114_1および114_2は、通常の作動の間、開位置にあってもよく、それによって、供給源116および118からの流体または動力の流れが制御モジュールに提供されることを可能にする。同様に、オーバライド弁120_1および120_2はまた、蓄積された流体または動力が制御ユニットから様々な構成要素104に提供されることを可能にするために、通常の作動の間、開位置にあってもよい。
[0116]
緊急イベントの間、トリガ112が安全システムに供給され、それによってシステムを作動させてもよい。そのような起動の間、オーバライド用開閉部1114_1、114_2、120_1、および120_2は、具体的には、機能ラインを閉じ、通気ラインを開くために、閉位置に置かれてもよい。オーバライド用開閉部が閉位置に置かれると、開閉部114_1および114_2は、動力または流体の流れが制御モジュールに入るのを防止し、開閉部120_1および120_2は、動力または流体の流れが制御モジュールから出て構成要素に供給されるのを防止する。そのような構成要素の例は、弁211、および212、231〜234に対するパイロット弁、ならびにコネクタ251および252に対するパイロット弁であり得る。
[0117]
例示的な実施形態のうちのいくつかによれば、安全システムは、緊急イベントの間に構成要素に圧力が供給されることを保証するために使用され得る任意の数の開閉部をさらに備えることができる。たとえば、圧力開閉部150が安全システム内に含まれてもよい。圧力開閉部150は、供給源またはアキュムレータ140から作動液または動力流を供給され得る。
[0118]
通常の作動の間、圧力開閉部150は、閉位置にある。トリガ信号を受信すると、安全システムは、圧力開閉部を開位置に置き、それによって、流れが制御モジュールとは独立して構成要素に直接提供されることを可能にする。そのような流れは、制御モジュールとは独立して液圧をEDPおよび/またはBOPにそれぞれ提供するために、EDP内に配置された少なくとも1つの弁、RCM内の弁、および/または噴出防止装置BOP内に配置された環状バッグなどの構成要素に圧力を提供することができる。そのような圧力は、たとえば、輸送中に、たとえば、装置の様々な構成要素が互いに解除される手順の間に有用であり得る。
[0119]
図3Aの安全システムの開閉部のすべては、制御モジュールに対して独立していることが理解されるべきである。具体的には、安全システムの開閉部は、ソフトウェアおよびハードウェアに関して制御モジュールから分離され、したがって、制御モジュールとは独立して作動する。そのような特徴は、制御モジュールが正常に動かない場合に、そのような動作不具合が安全システムの作動に影響を与えないように、さらなる程度の安全性を付加する。そのような独立性は、図1および図2に示すシステムに対する明らかな変形ではないことが理解されるべきである。具体的には、ハードウェアおよびソフトウェアに関して独立して安全システムを設けることは、海底装置にかなりのコストを追加し、それによってそのような分離を思いとどまらせる追加のハードウェア・リソースおよびソフトウェア・リソースの使用を必要とする。
[0120]
例示的な実施形態のうちのいくつかによれば、そのような安全システムはまた、図3Bに示すようなA/B冗長性を備えることができる。A/B冗長性は、安全システムの要素の2つの別個の構成要素への二重化を提供する。たとえば、A/B冗長性のA安全システム内のオーバライド用開閉部114_1Aが故障した場合、B安全システム内の対応するオーバライド用開閉部114_1Bは、Aシステム内の故障した開閉部の代わりに作動可能に構成される。したがって、冗長システムは、緊急イベントの場合に海底装置に作動の完全度をさらに付加する。
[0121]
例示的な実施形態のうちのいくつかによれば、安全システムはまた、海底装置のトップサイド上に位置する要素を備えることができる。図3Cは、安全システムのトップサイド開閉部の例を示す。図3Cに示すように、オーバライド弁120_3が動力源とパイロット弁305との間に直列接続され、パイロット弁305は、SPWV208に接続される。そのようなデバイスは、海底装置の構成要素104である。
[0122]
作動中、トリガ信号を受信すると、オーバライド弁またはゲート120_3は、安全システムを介して閉位置に置かれる。閉位置において、オーバライド弁120_3は、流体または動力の流れがパイロット弁305に到達することを防止し、したがって、そのような流れは、SPWV208に到達することも防止される。
[0123]
例示的な実施形態のうちのいくつかによれば、安全システムは、電力管理システム310をさらに備えることができる。電力管理システム310は、制御モジュールがしきい値の範囲内の供給電圧で作動していることを保証することができる。制御モジュールは、海面の数百マイル下である場合もあることが理解されるべきである。したがって、トップサイドで供給される電圧は、そのような電圧が制御モジュールに到達するまでにある程度の電気抵抗に耐えることになる。例示的な実施形態のうちのいくつかによれば、電力管理システム310は、海底受電電圧を定期的に測定するように構成され得る。受電電圧値を送られた電圧の値と比較する際に、制御モジュールは、アンビリカルを介して移動する電圧に関連する電流抵抗を決定することができる。抵抗の知識を用いて、送電電圧の量は、モジュールが適切に作動していること確実にするために、制御モジュールに提供される電圧が所定のしきい値の範囲内であることを保証するために変更され得る。
[0124]
具体的には、例示的な実施形態のうちのいくつかによれば、トリガ入力部を備える電力管理システムを対象とし得る。システムは、プロセッサと、メモリと、メモリ内に記憶され、プロセッサによって実行可能な命令とを備える論理デバイスをさらに備える。論理デバイスは、トリガ入力部に結合し、論理デバイスは、電力線を含むアンビリカル、具体的には、300メートルを超える、具体的には、1000メートルを超える長さを有するアンビリカルに結合されるように構成される。システムはまた、電力線に接続された少なくとも1つの弁、具体的には、オーバライド弁およびアキュムレータ弁のうちの少なくとも1つを備える。
[0125]
システムは、論理デバイスに結合された電源、具体的には、少なくとも30ボルト、具体的には約500ボルトまでを送達するように構成された、具体的にはDC電源、具体的には、ディスクリート電源、またはロジックと一体化された電源をさらに備え、電源は、弁に接続されたときに電力線を介して弁を作動させるように構成される。システムはまた、論理デバイスおよび電源に結合された、スイッチ、具体的には、リレーを備え、スイッチは、論理デバイスによって、電源が弁に接続されていない監視状態と、電源が弁に接続されている無効化状態との間で切り替えるように作動可能である。
[0126]
論理デバイスは、電力線および弁を含む電気回路を特徴付けるパラメータを測定することと、アンビリカルを介して送達されたときに弁を作動させるのに十分な所望の電圧を弁にもたらすように期待されるトップサイド電圧を計算することと、計算されたトップサイド電圧を電源に伝送することとを含む方法を実行するように構成される。
[0127]
例示的な実施形態のうちのいくつかによれば、電力管理システムは、非作動電圧を電力線に印加することと、印加された電圧から生じる電流を測定することと、測定された電流を、弁の抵抗に正規化すること、具体的には、弁の抵抗を減算することと、正規化された電流を使用してアンビリカルの抵抗を計算することとによって、さらに測定することができる。
[0128]
例示的な実施形態のうちのいくつかによれば、論理デバイスは、トリガ入力部(112)を介してトリガ信号を受信し、電源を使用して弁を作動させるために監視状態から無効化状態に変更するようにスイッチを動かすようにさらに構成される。
[0129]
例示的な実施形態に関連する様々な概念について、ここでより詳細に論じる。
[0130]
PSD機能の主な特徴は、以下の通りである。
1.PSDは、改修システムの表面フロー・ツリー209、たとえば、表面生産ウイング弁(「SPWV」)208を閉じる。
2.ライザー・ベースの改修システムについて、PSDは、典型的には、トップサイドのみで実行され、そのため、改修アンビリカルを介する通信を必要としない。ライザー・レス改修システムでは、PSDは、通常はWCPによって制御され、重要なイベントではWSSによって停止するXT上の機能である。
3.通常は、押しボタンで開始される。
4.PSDはまた、プロセス設備の内部ESD機能によって開始され得る。
5.PSDはまた、船舶/リグの安全および自動化システムのESD機能によって開始され得る。
6.PSDは、電力および/または液圧力の損失時の、フェイル・セーフ・タイプ、通常は、フェイル・セーフ・クローズ・タイプの安全機能である。
7.PSDは、通常、最終要素が、たとえば、電力、空気圧力、または液圧力、またはそれらの組み合わせによる動力供給によって開かれることを意味する、非通電時トリップの安全機能である。最終要素への動力をカットすることは、安全機能を安全状態に戻す。
8.この場合のシステムの安全状態は、典型的には、PSDイベントの開始から5秒以内にライザー/炭化水素の戻る内容物から隔離されたリグ/船舶プロセス設備である。
9.通常はUPSを介して供給される電力供給は、WOCSと共有される。
10.液圧力および/または空気圧力供給は、通常、PSD機能のために必要ではないが、前記液圧/空気圧供給は、通常、SPWV208を開に保持するために使用される。例示的な実施形態のうちのいくつかにおいて提案されるようなWSSなしでは、電力は、空気圧弁を開いたままにし、それは、DCVを開いたままにし、それはさらに、SPWV208を開いたままでいるように加圧されたままにする。提案されたWSSでは、第2のDCVが追加され、電力は、WSS DCVを開いたままにし(すなわち、前記DCVは、電気的に開いたままにされ)、それは、SPWV208を開いたままでいるように加圧されたままにする。
[0131]
図4は、例示的な実施形態のうちのいくつかによる典型的なPSD原理の略図を示す。450におけるような実線の矢印は、電気信号を表し、460におけるような破線は、液圧信号を表す。当業者は、液圧信号および電気信号の範囲を拡張、縮小、置換、または組み合わせることによって、代替実施形態が可能であることを理解するであろう。いくつかの実施形態では、空気圧などの代替の動力源を用いて同様の機能を達成することも可能である。したがって、特定の実施形態は、簡潔にするために、かつ、例示的な実施形態の範囲を限定することなく、一般的な意味で提示される。
[0132]
図4における丸いブロック401、404、および407は、例示的な実施形態のうちのいくつかによるWSS構成要素を表し、残りのブロック(矩形)は、ここでは、WOCS構成要素を表す。
[0133]
先に論じたように、無停電電源(「UPS」)402は、WOCS部分405とWSS部分404との間で共有される。
[0134]
WOCSは、典型的には、トップサイド部分、たとえば、MCUコンテナ101内に位置するヒューマン・マシン・インターフェース(「HMI:Human Machine Interface」)403を介してオペレータがアクセス可能である。WOCS HMIは、WOCS論理コントローラ405と対話し、前記コントローラは、HPUコントローラ406、たとえば、典型的にはHPUコンテナ102内に位置するプログラマブル・ロジック・コントローラ(「PLC」)とさらに対話する。HPU PLC406は、表面生産ウイング弁(「SPWV」)の方向制御弁(DCV)408を制御する。前記SPWV DCV408は、WOCSアキュムレータ・バンク409からの液圧力供給を制御する。前記液圧力供給は、典型的には、表面フロー・ツリー209内の、トップサイドに位置するSPWV208を作動させるために使用される。
[0135]
例示的な実施形態のうちのいくつかによるWSSは、丸い形状のブロック401、404、および407に示されている。WSS内のPSDシーケンスは、PSDイベントをWSS論理コントローラ404に送信する押しボタン401を介して起動する。WSS論理コントローラのいくつかの例示的な実施形態は、PLCを含む。さらなる実施形態では、システムはまた、より高い電圧でスイッチするためのリレーと、絶縁ライン監視ロジックと、ライン監視用の抵抗計とを含む。PSDは、通常は、非通電時トリップ・タイプの機能ではないので、より高い電圧でスイッチするためのリレーは、典型的には、PSDのために必要とされない。WSS論理コントローラ404は、WOCSを停止させるために、表面フロー・ツリー・サイド・アウトレットへの液圧供給をブリード・オフするように専用PSD DCV407を制御する。
[0136]
PSD安全機能は、典型的には、プロセス設備において重大な混乱イベント、たとえば、生産設備、または表面フロー・ツリー209から生産設備へのホースにおける炭化水素の漏れが存在するときに使用される。
[0137]
ESD機能の主な特徴は、以下の通りである。
1.ESDは、典型的には、坑井制御パッケージ内、すなわち、改修システムの海底部分内のすべての(通常は3つの)主ボア弁およびすべての環状ボア弁を閉じる。
2.ESD機能は、典型的には、改修アンビリカルを介する、またはトップサイド・システムから海底システムへの同様の通信ケーブルを介する通信を必要とする。
3.ESDは、典型的には、押しボタンで起動/始動される。
4.ESD機能は、船舶/リグの安全および自動化システムのESD機能によって開始され得る。
5.ESD機能は、典型的には、将来の自動開始機能のための追加のスペア計装イニシエータ・ポートを備える。
6.ESDは、典型的には、電力または液圧力の損失時のフェイル・アズ・イズ・タイプの安全機能である。言い換えれば、ESDは、海底の動力タイプのうちの1つの損失時のタイプ機能である。電力と液圧力の両方が同時に故障したイベントにおいて、ESDは、典型的には、フェイル・セーフ・クローズ機能である。
7.ESDは、典型的には、最終要素が、動力、たとえば、電力、空気圧力、または液圧力、またはそれらの組み合わせを適用することによって安全状態にされることを意味する、通電時トリップの安全機能である。前記動力の供給をカットすることは、通常、安全機能を安全状態にさせない。
8.安全状態によって、本明細書では、リグ/船舶および環境がリザーバ内容物から隔離されていることが意味される。
9.通常、UPSを介して供給される電力供給は、通常、WOCSと共有される。電力の完全な損失時、たとえば、UPSの損失時、システムは、固有のフェイル・セーフ・クローズ機能によって安全状態になるが、必ずしもESD機能に関するタイミング要求の範囲内にあるとは限らない。
10.主ボア弁のための閉鎖援助のために使用される液圧力供給はまた、典型的には、WOCSと共有される。
11.パイロット機能のための液圧力供給は、典型的には、この機能において必要とされない。
12.ESD機能は、典型的には、さらに、上記で説明したPSD機能を開始する。
[0138]
例示的な実施形態のうちのいくつかによるESD機能のいくつかの例示的な実施形態が、図5に示されている。実線の矢印450は、電気信号を表し、破線460は、液圧信号を表す。当業者は、液圧信号および電気信号の範囲を拡張、縮小、置換、または組み合わせることによって、代替実施形態が可能であることを理解するであろう。いくつかの実施形態では、空気圧などの代替の動力源を用いて同様の機能を達成することも可能である。したがって、特定の実施形態は、本明細書では、簡潔にするために、かつ、例示的な実施形態の範囲を限定することなく、一般的な意味で提示される。
[0139]
図5に示す丸いブロック500、404、407、501、502、503、504、および505は、例示的な実施形態のうちのいくつかによるWSS構成要素を表し、残りのブロックは、ここでは、WOCS構成要素を表す。
[0140]
先に論じたように、無停電電源(「UPS」)402は、WOCS部分405とWSS部分404との間で共有され得る。
[0141]
図5に示すWOCS機能は、上記の図4の議論において説明したものと同様である。
[0142]
ESDシーケンスは、ESDイベントをWSS論理コントローラ404に送信する押しボタン500を介して起動/始動される。WSSコントローラ404のPSD DCV407およびSPWV208との対話は、上記の図4の議論において開示されている。WSS論理コントローラ404の提案された実施形態も、上記で議論されている。
[0143]
例示的な実施形態のうちのいくつかによれば、通常、坑井制御パッケージ550内の緊急切断パッケージ(「EDP」)205に搭載された1つまたは複数の海底キャニスタは、典型的には、以下を含む最終要素の独立した制御を可能にする14のDCV(501〜505を備える)を備える。
a.リテーナー弁(「RV」)211
b.EDP海ダンプ弁241(図5には図示せず)
c.生産隔離弁(「PIV」)212
d.安全ヘッド(「SH」)515。SH515は、コイル状チューブを隔離するために設計されたラム・タイプ弁である。それは、典型的には、ゲート弁よりも優れた隔離/切断能力を有し、いくつかのシステムにおいてリスクを低減するために使用される。代替的には、他のシステムは、3つのゲート弁を使用し、SH515は、その場合は存在せず、ゲート弁は、それを置き換えるように挿入され、挿入されたゲート弁は、しばしば、下部生産隔離弁(「LPIV:Lower Production Isolation Valve」)と呼ばれる
e.LRP海ダンプ弁242(図5には図示せず)
f.改修制御モジュール液圧供給(図5には完全には図示せず)
g.改修制御モジュール内部液圧(図5には具体的に図示せず)
h.ブリード・オフ弁(「BOV:Bleed−Off Valve」)(いずれの図にも図示せず)−EQDのみ(LRPからのEDPの切断時に液圧ロック(真空)を防止するために使用される)
i.たとえば、上部メタノール注入弁(「UMIV:Upper Methanol Injection Valve」)(図示せず)−EQDのみ(BOVに冗長)
j.緊急切断パッケージ・コネクタ1次アンロック251−EQD機能のみ(図5には図示せず)
k.緊急切断パッケージ・コネクタ2次アンロック252−EQD機能のみ(図5には図示せず)
l.スペア機能
[0144]
ESD安全機能は、典型的には、船舶/リグ上またはライザー/炭化水素戻りライン内のいずれかに大きな炭化水素漏れが存在するときにのみ起動される。ESD機能は、典型的には、押しボタン500によって開始され、それによって、WSSコントローラ404に信号を送り、前記安全コントローラ404は、シャットダウン・シーケンスを開始するリレー・ベースのコントローラであってもよい。前記信号を受信すると、安全コントローラ404は、さらに、プロセス制御システムに開始を通知する。シャットダウン・シーケンスは、安全コントローラ404によって実行される。別の実施形態によれば、安全コントローラ404は、少なくとも部分的にPLCである。典型的なステップは、以下の通りである(必ずしも同じ順序である必要はない)。
1.安全コントローラ404は、ESD開始をプロセス制御システムに通知する信号をWOCSに送る。
2.安全コントローラ404は、電気信号であり得る信号を、RVハイ・フローDCVの開放側におけるパイロット圧力をブリード・オフするDCV503に送り、それによってRV211を閉じさせる。同じ信号は、EDP海ダンプ弁の閉鎖側におけるパイロット圧力をブリード・オフするDCVにも送られ、それによってEDP海ダンプ弁241を開かせる。これは、RV211のより短い閉鎖時間を可能にする。
3.安全コントローラ404は、電気信号であり得る信号を、PIVハイ・フローDCVの開放側におけるパイロット圧力をブリード・オフするDCVに送り、それによってPIV212を閉じさせる。同じ信号は、LRP海ダンプ弁の閉鎖側におけるパイロット圧力をブリード・オフするDCVにも送られ、それによってLRP海ダンプ弁242を開かせる。これは、PIV212のより短い閉鎖時間を可能にする。
4.安全コントローラ404は、電気信号であり得る信号を、改修制御モジュールへの低圧液圧供給をブリード・オフする2つのDCV501および502に送り、それによって坑井制御パッケージ550内のすべての弁510をフェイル・セーフに導く。
5.安全コントローラ404は、電気信号であり得る信号を、改修制御モジュールの内部液圧をブリード・オフする2つのDCVに送り、それによってさらに坑井制御パッケージ550のより短いフェイル・セーフ応答を可能にする。
6.安全コントローラ404は、電気信号であり得る信号を、安全ヘッド・ハイ・フローDCVの開放側におけるパイロット圧力をブリード・オフするDCVに送り、それによって安全ヘッド515を閉じさせる。
[0145]
EQD機能の主な特徴は、以下の通りである。
1.EQDは、典型的には、坑井制御パッケージ550内、すなわち、改修システムの海底部分内のすべての(通常は3つの)主ボア弁およびすべての環状ボア弁を閉じる。EQDは、さらに、EDP205をLRP204から切断し、言い換えれば、WCP550の上部と下部とを切断する。
2.EQD機能は、典型的には、改修アンビリカルを介する、またはトップサイドから海底システムへの同様の通信ケーブルを介する通信を必要とする。
3.EQDは、典型的には、押しボタンで起動/始動される。
4.EQD機能は、船舶/リグの安全および自動化システムのESD機能によって開始され得る。
5.EQD機能は、典型的には、将来の自動開始機能のための追加のスペア計装イニシエータ・ポートを備える。
6.EQDは、典型的には、電力または液圧力の損失時のフェイル・アズ・イズ・タイプの安全機能である。これは、この場合、フェイル・セーフ・アズ・イズ状態にあり、誤って切断するのではなく、故障時に接続され続けるほうがより安全であるためである。
7.EQDは、典型的には、最終要素が、動力、たとえば、電力、空気圧力、または液圧力、またはそれらの組み合わせを適用することによって安全状態にされることを意味する、通電時トリップの安全機能である。前記動力の供給をカットすることは、通常、安全機能を安全状態にさせない。
8.安全状態によって、本明細書では、リグ/船舶および環境が坑井/リザーバ内容物から隔離され、さらに、前記リグ/船舶が坑井から切断されていることが意味される。
9.通常、UPSを介して供給される電力供給は、通常、WOCSと共有される。電力の完全な損失時、たとえば、UPSの損失時、システムは、固有のフェイル・セーフ・クローズ機能によって安全状態になるが、必ずしもEQD機能に関するタイミング要求の範囲内にあるとは限らない。
10.主ボア弁のための閉鎖援助のために使用される液圧力供給はまた、典型的には、WOCSと共有される。
11.EDP205のパイロット機能のための液圧力供給は、別個のアキュムレータを介して供給され得る。
12.EQD機能は、典型的には、さらに、上記で説明したようにPSD機能を開始する。
[0146]
EQD機能の例示的な実施形態のうちのいくつかが、図6に示されている。実線の矢印450は、電気信号を表し、破線460は、液圧信号を表す。当業者は、液圧信号および電気信号の範囲を拡張、縮小、置換、または組み合わせることによって、代替実施形態が可能であることを理解するであろう。いくつかの実施形態では、空気圧などの代替の動力源を用いて同様の機能を達成することも可能である。したがって、特定の実施形態は、簡潔にするために、例示的な実施形態の範囲を限定することなく、かつ、一般的な意味で提示される。
[0147]
図6に示す丸いブロック600、404、407、501、502、503、504、505、および601は、例示的な実施形態のうちのいくつかによるWSSシーケンスを表し、残りのブロックは、ここでは、WOCSシーケンスを表す。
[0148]
先に論じたように、無停電電源(「UPS」)402は、WOCS部分405とWSS部分404との間で共有され得る。
[0149]
図6に示すWOCS機能は、上記の図4の議論において説明したものと同様である。
[0150]
EQDシーケンスは、EQDイベントをWSS論理コントローラ404に送信する押しボタン600を介して起動/始動される。WSS論理コントローラ404のPSD DCV407およびSPWV208との対話は、上記の図4の議論において開示されている。WSS論理コントローラ404の提案された実施形態も、上記で議論されている。
[0151]
例示的な実施形態のうちのいくつかによれば、通常、坑井制御パッケージ550内の緊急切断パッケージ(「EDP」)に搭載された1つまたは複数の海底キャニスタは、典型的には、以下を含む最終要素の独立した制御を可能にする14のDCVを備える。
a.リテーナー弁(「RV」)211
b.EDP海ダンプ弁241(図5には図示せず)
c.生産隔離弁(「PIV」)212
d.安全ヘッド(「SH」)515
e.LRP海ダンプ弁242(図5には図示せず)
f.改修制御モジュール液圧供給(図6には完全には図示せず)
g.改修制御モジュール内部液圧(図6には具体的に図示せず)
h.BOV−説明のためにESD機能におけるリストを参照
i.UMIV−説明のためにESD機能におけるリストを参照
j.緊急切断パッケージ・コネクタ1次アンロック251(図6において、一般的なブロック、EDPコネクタ611として示す)
k.緊急切断パッケージ・コネクタ2次アンロック252(図6において、一般的なブロック、EDPコネクタDCV601によって制御可能なEDPコネクタ611として示す)
l.スペア機能
[0152]
EQDは、通常、リグ/船舶が位置を損失した(ドライブ・オフ/ドリフト・オフ)とき、または、大きな炭化水素漏れがESDによって含まれておらず、リグ/船舶ができるだけ早く場所を移動する必要があるときに開始される。EQD機能は、典型的には、押しボタン600によって開始され、それによって、WSSコントローラ404に信号を送り、前記安全コントローラ404は、リレー・ベースのコントローラであるが、少なくとも部分的に、シャットダウン・シーケンスを開始するPLCであってもよい。前記信号を受信すると、安全コントローラ404は、さらに、プロセス制御システムに開始を通知する。シャットダウン・シーケンスは、安全コントローラ404によって実行される。典型的なステップは、以下の通りである(必ずしも同じ順序である必要はない)。
1.安全コントローラ404は、EQD開始をプロセス制御システムに通知する信号をWOCSに送る。
2.安全コントローラ404は、信号、たとえば、電気信号を、RVハイ・フローDCVの開放側におけるパイロット圧力をブリード・オフするDCVに送り、それによってRV211を閉じさせる。同じ信号は、EDP海ダンプ弁の閉鎖側におけるパイロット圧力をブリード・オフするDCVにも送られ、それによってEDP海ダンプ弁241を開かせる。これは、RV211のより短い閉鎖時間を可能にする。
3.安全コントローラ404は、信号、たとえば、電気信号を、PIVハイ・フローDCVの開放側におけるパイロット圧力をブリード・オフするDCVに送り、それによってPIV212を閉じさせる。同じ信号は、LRP海ダンプ弁の閉鎖側におけるパイロット圧力をブリード・オフするDCVにも送られ、それによってLRP海ダンプ弁242を開かせる。これは、PIV212のより短い閉鎖時間を可能にする。
4.安全コントローラ404は、信号、たとえば、電気信号を、改修制御モジュールへの低圧液圧供給をブリード・オフする2つのDCVに送り、それによって坑井制御パッケージ550内のすべての弁510をフェイル・セーフに導く。
5.安全コントローラ404は、信号、たとえば、電気信号を、改修制御モジュールの内部液圧をブリード・オフする2つのDCVに送り、それによってさらに改修制御パッケージのより短いフェイル・セーフ応答を可能にする。
6.安全コントローラ404は、信号、たとえば、電気信号を、コネクタの1次機能および2次機能にパイロット圧力を加えるDCVに送る。
7.安全コントローラ404は、信号、たとえば、電気信号を、安全ヘッド・ハイ・フローDCVの開放側におけるパイロット圧力をブリード・オフするDCVに送り、それによって安全ヘッド515を閉じさせる。
[0153]
例示的な実施形態のうちのいくつかは、従来のWOCSベースのシステム対する以下の例示的な利点をもたらし、主なものを以下に列挙する。
[0154]
PSD機能について、例示的な実施形態のうちのいくつかは、以下をもたらす。
1.プロセス制御システムおよび機能から物理的に分離され、それによって、安全性が強化された、独立した、高速で信頼性の高いシステムをもたらす、安全関連のシステムおよび機能。
2.(上記で論じたような)開放水域改修システム、ランディング・ストリング、ライザー・レス改修システム、スルー・チュービング・ロータリー掘削改修システム、およびそれらの類似物または組み合わせを含む、異なるタイプの改修システムにおいて使用するための柔軟性。
3.安全システムによるプロセス制御システムのハードウェア停止。
[0155]
ESD機能について、例示的な実施形態のうちのいくつかは、以下をもたらす。
1.プロセス制御システムおよび機能から物理的に分離され、それによって、安全性が強化された、独立した、高速で信頼性の高いシステムをもたらす、安全関連のシステムおよび機能。
2.たとえば、上記の議論で示したような液圧配管を使用する、安全システムによるプロセス制御システムのハードウェア停止。電気、空気圧、または他のシステムにおける同等物も可能である。
3.安全機能を高い信頼性かつ堅牢にする、比較的簡略化された安全機能。加えて、システム内の任意の故障検出もより容易であり、それによって、システムの高い可用性をもたらす。
4.安全機能または完全性の損失のない海底回収可能プロセス制御。
5.(上記で論じたような)開放水域改修システム、ランディング・ストリング、ライザー・レス改修システム、スルー・チュービング・ロータリー掘削改修システム、およびそれらの類似物または組み合わせを含む、異なるタイプの改修システムにおいて使用するための柔軟性。
[0156]
EQD機能について、例示的な実施形態のうちのいくつかは、以下をもたらす。
1.プロセス制御システムおよび機能から物理的に分離され、それによって、安全性が強化された、独立した、高速で信頼性の高いシステムをもたらす、安全関連のシステムおよび機能。
2.コネクタ・アンロックのパイロット・ステージのための物理的に分離された液圧供給。
3.たとえば、上記の議論で示したような液圧配管を使用する、安全システムによるプロセス制御システムのハードウェア停止。電気、空気圧、または他のシステムにおける同等物も可能である。
4.安全機能を高い信頼性かつ堅牢にする、比較的簡略化された安全機能。加えて、システム内の任意の故障検出もより容易であり、それによって、システムの高い可用性をもたらす。
5.安全機能または完全性の損失のない海底回収可能プロセス。
6.(上記で論じたような)開放水域改修システム、ランディング・ストリング、ライザー・レス改修システム、スルー・チュービング・ロータリー掘削改修システム、およびそれらの類似物または組み合わせを含む、異なるタイプの改修システムにおいて使用するための柔軟性。
[0157]
例示的な実施形態のうちのいくつかの別の目的は、典型的な改修システム内または同様のシステム内の既存の構成要素の信頼性および堅牢性を高めることである。例示的な実施形態のうちのいくつかは、安全システムの安全性および信頼性を向上させ、より新しい規制安全要件を満たすために、WSSに関する液圧供給、電力供給、および動力管理エリアに対する以下の変更を提案する。
[0158]
より最近の規制要件の要求は、たとえば、以下の通りである。
1.IEC61511−1 11.2.11:動力の損失時に安全状態にならないサブシステムについて、以下の要件のすべてが満たされ、11.3に従ってアクションがとられる。
a.回路の完全性の損失が検出される(たとえば、終端監視)。
b.補助電源(たとえば、バッテリ・バックアップ、無停電電源)を使用して電源の完全性が保証される。
c.システムへの電力の損失が検出される。
2.IEC61511−1 11.2.4:基本プロセス制御システムをこの規格に適合させないことが意図されている場合、基本プロセス制御システムは、安全計装システムの機能的完全性が損なわれない程度に、別個かつ独立に設計されなければならない。
[0159]
注記1 作動情報は、交換され得るが、安全計装システム(「SIS」)の機能安全を損なうべきではない。
[0160]
注記2 基本プロセス制御システムの故障が安全計装システムの安全計装機能を損なわない場合、SISのデバイスはまた、基本プロセス制御システムの機能のために使用され得る。
[0161]
上記の項目1は、液圧力供給の監視および見張りと、動力を蓄積するためのアキュムレータの使用とを必要とすると解釈される。SIL2達成のために、冗長な蓄積が必要とされ、十分であることが仮定される。アキュムレータは、基本プロセス制御システム(「BPCS:Basic Process Control System」)を使用する予防保守と、安全計装システム(「SIS」)を使用する液圧力の損失の検出とについて監視されなければならない。SIL2という用語は、当業者には知られているべきであり、SIL2は、安全完全性レベル2を表し、これは、故障の確率が10−2〜10−3のオーダであることを意味し、システム・アーキテクチャおよびプロジェクト実行に対する特定の要件が満たされなければならない。
[0162]
項目2は、SISが可能な程度まで基本プロセス制御システムから分離されることと、任意のおよびすべての共有される要素および/または通信リンクがSISに悪影響を及ぼすことができないこととを要求すると解釈される。
[0163]
安全規制を満たし、それを超えるために、以下の実現が提案される。
[0164]
改修制御システム(「WOCS」)は、低圧(「LP」)機能と高圧(「HP」)機能の両方のための冗長アキュムレータ・バンクと、WOCS LP AとWOCS LP Bとを備える。両方のバンクは、船舶/リグの動力供給の損失時、たとえば、液圧ポンプへの動力の損失時に、最低1時間BPCSを活動状態に保つような大きさにされる。アキュムレータの寸法設定の計算に関する要件およびマージンのため、アキュムレータは、通常、1時間の最小限の要件よりも長くBPCSを活動状態に維持することができる。
[0165]
WOCSアキュムレータ409は、さらに、WOCSオペレータが手動でシステムをその定義された安全状態にする能力を保証する。特定の作動条件に応じて、安全状態に到達するために要求されるステップは、変化する場合がある。アキュムレータ409は、通常、WOCS液圧力ユニット(「HPU」)102内に配置される。
[0166]
ここで図7を参照する。全体的なリグ/船舶の原理のために、WOCS UPS402aおよび402bは、電気的に保持されるスイッチ701aおよび701bと、船舶/リグESDシステムが緊急のイベントにおいてUPSを停止させ、船舶/リグ上のすべての電力をスイッチ・オフすることができる緊急電源オフ(「EPO:Emergency Power Off」)とを備える。これにより、電気的に保持されたダンプ弁705(コイル702aおよび702bを使用する2оо2(two−out−of−two)投票回路にWOCS UPS402aおよび402bによって直接保持される)を起動させる。ダンプ弁は、WOCS HPU内の液圧をブリード・オフし、BPCSをその定義された安全状態にさせ、すなわち、坑井が密封され。すべての機能が非通電にされる。WOCS冗長モジュール704は、UPS402aまたは402bが故障しても、WOCS405が電力を受け取ることを保証する。
[0167]
いくつかの実施形態では、急速切断機能は、利用不可能であるが、音響バックアップ、ROV無効化、およびライザー弱リンクが通常利用可能である。音響バックアップおよびROV無効化は、(たとえば、EPOの後)WCPが電源および液圧力供給を損失したとき、EDPコネクタの切断を開始する手段である。ライザー弱リンクは、ライザー・ジョイントのうちの1つが過負荷時に破裂するように設計された機械的機能であり、リグ/船舶がドライブ・オフ/ドリフト・オフすることを可能にし、WCPを、電力および液圧力の損失によりフェイル・セーフ・クローズにする。これらは、緊急急速切断に対する追加の保護レイヤである。EQDは、改修システムが坑井に接続されている間にリグ/船舶が位置を損失する場合に必要な安全計装機能(「SIF:Safety Instrumented Function」)である。
[0168]
改修安全システム(「WSS」)は、(サブ表面試験ツリー内のバリア要素が、高圧坑井孔を切断し、閉鎖し、密封することを必要とする)直接液圧ランディング・ストリング緊急シャットダウンなどの、安全状態に到達するためにトップサイドの蓄積された液圧力および電力に依存する安全機能を含む。このため、提案されたWSSは、SIL2要件を満たすために十分高い信頼性でこの機能に液圧力を提供する。
[0169]
例示的な実施形態のうちのいくつかは、アキュムレータ原理の実装形態を示す以下の2つの実施形態を提案する。
[0170]
実施形態1:共有アキュムレータ・バンク
[0171]
第1の実施形態の簡略化された概要が図8に示されている。ここで、ボックス「801」の形状のような丸いブロックは、例示的な実施形態のうちのいくつかにおいて提案されるようなモジュール/機能を表す。ブロック「802」のような六角形のブロックは、ここでは、基本プロセス制御システム(「BPCS」)機能を表す。BPCSは、WOCSの別名である。「803」のような残りのブロックは、ここでは、SISとBPCSとの間で共有される機能を表す。単純さのために、単一の構成要素が図8に示されているが、同じ原理は、複数の構成要素にも適合し、たとえば、アキュムレータ409は、複数のアキュムレータであってもよい。
[0172]
図8に示すように、アキュムレータ409は、WSS機能806とWOCS機能805の両方のための液圧力を供給する。例示的な実施形態のうちのいくつかによれば、隔離弁808がアキュムレータ409とWOCS機能805との間に配置される。前記隔離弁808は、アキュムレータ409のパラメータも監視するWSSコントローラ404によって制御される。WSSコントローラ404によって監視される前記パラメータは、圧力とアキュムレータ・レベルとを含む。前記パラメータがそれらの所定の限度に達すると、たとえば、圧力が特定の限度未満になると、WSSコントローラ404は、アキュムレータ409内に蓄積された液圧容量が重要な機能、すなわちWSS機能806のために確保されるように、隔離弁808を閉じる。そうすることによって、システムは、安全機能を実行し、それによって、船舶またはプラントを安全にするのに十分な液圧供給が利用可能であることを保証することができる。パラメータが安全限度内に戻ると、WSSコントローラ404は、WOCS機能805が実行されることを可能にするために、隔離弁808を開く。
[0173]
SISが安全臨界機能を制御する能力を保証するBPCSへの供給を遮断すると、BPCSは、通常、バリア弁を開に保持する液圧力の損失のために、自動的に安全状態になるように強制される。
[0174]
アキュムレータ409は、SISによって監視され、監視情報は、SISとBPCSとの間の通信リンク、たとえば、既存の一方向Modbusリンク(図8には図示せず)を使用して、BPCS/WOCSで共有される。
[0175]
図9は、アキュムレータ原理の本実施形態による、この場合、ボール弁910aおよび910bを介して高圧坑井孔900を制御するために実装されているように見えるシステムの典型的な概要を示す。アキュムレータ409aa、409ab、409ba、および409bbは、SIS機能とBPCS機能との間で共有される。弁904aa、904ab、904ba、および904bb、ならびに、910aおよび910bも、SIS機能とBPCS機能との間で共有される。液圧ポンプ909aa、909ab、909ba、および909bbは、BPCSによって制御および監視される。これは、SISをシンプルに保ち、安全臨界機能に限定し、それによって、システムの向上した堅牢性と短縮した応答時間とを含む利点を達成するために行われる。図9からわかるように、BPCSアキュムレータは、完全に冗長であり、冗長なバリア要素の安全機能が別個の液圧力供給から制御されるように設計された液圧システムである。これは、安全システム設計における堅牢性および単純さをさらに保証する。
[0176]
実施形態2:安全システムのための分離蓄積
[0177]
第2の実施形態の簡略化された概要が図10に示されている。本実施形態における改修安全システムは、それぞれWOCSポンプ909aa、909ab、909ba、および909bbによって充填されるアキュムレータの別個のセット1009aa、1009ab、1009ba、および1009bbを利用する。図1の実施形態におけるように、ポンプは、安全システムをリーンに保つための安全機能の一部ではない。システムは、安全状態に達するのに十分な蓄積容量および動力が常に存在することを保証する。安全機能の開始のような特定のイベントにおいて、改修安全システムのアキュムレータ409aa、409ab、409ba、および409bbは、前記安全機能の開始時にバリア要素に液圧力を加えるために、液圧機能ラインにティード・イン(teed−in)される。
[0178]
上記で論じた第1の実施形態は、システム内の減少した数のアキュムレータなどの例示的な利点を備え、第1の実施形態は、第2の実施形態よりも比較的単純な実装形態である。
[0179]
ここで再び最近の規制要件を参照する。
1.IEC61511−1 11.2.11:動力の損失時に安全状態にならないサブシステムについて、以下の要件のすべてが満たされ、11.3に従ってアクションがとられる。
a.回路の完全性の損失が検出される(たとえば、終端監視)。
b.補助電源(たとえば、バッテリ・バックアップ、無停電電源)を使用して電源の完全性が保証される。
c.システムへの電力の損失が検出される。
2.IEC61511−1 11.2.4:基本プロセス制御システムをこの規格に適合させないことが意図されている場合、基本プロセス制御システムは、安全計装システムの機能的完全性が損なわれない程度に、別個かつ独立に設計されなければならない。
[0180]
注記1 作動情報は、交換され得るが、安全計装システム(「SIS」)の機能安全を損なうべきではない。
[0181]
注記2 基本プロセス制御システムの故障が安全計装システムの安全計装機能を損なわない場合、SISのデバイスはまた、基本プロセス制御システムの機能のために使用され得る。
[0182]
項目1は、ここでは、電源の監視および見張りと、無停電電源(「UPS」)の使用とを必要とすると解釈される。SIL2達成のために、冗長なUPSが必要とされ、十分であることが仮定される。UPSは、基本プロセス制御システム(「BPCS」)を使用する予防保守と、安全計装システム(「SIS」)を使用する電源の損失の検出とについて監視されなければならない。
[0183]
項目2は、ここでは、SISが可能な程度まで基本プロセス制御システムから分離されることと、任意のおよびすべての共有される要素および/または通信リンクがSISに悪影響を及ぼすことができないこととを要求すると解釈される。
[0184]
安全規制を満たし、それを超えるために、以下の実現が提案される。
[0185]
ここで再び図7を参照すると、改修制御システム(「WOCS」)は、2つの冗長UPS、WOCS UPS A402aとWOCS UPS B402bとを備える。両方のUPSは、船舶/リグ電源の損失時にBPCSが最低1時間活動状態に保たれ得るように指定される。容量などのUPSの仕様の計算に関する要件およびマージンのため、UPSは、通常、1時間の最小限の要件よりも長くBPCSを活動状態に維持することができる。
[0186]
WOCSUPS402aおよび402bは、さらに、WOCSオペレータが手動でシステムをその定義された安全状態にする能力を保証する。特定の作動条件に応じて、安全状態に到達するために要求されるステップは、変化する場合がある。
[0187]
全体的なリグ/船舶の原理のために、WOCS UPS402aおよび402bは、電気的に保持されるスイッチ701aおよび701bと、船舶/リグESDシステムが緊急のイベントにおいてUPSの設定を無効化し、船舶/リグ上のすべての電力をスイッチ・オフすることができる緊急電源オフ(「EPO:Emergency Power Off」)とを備える。これにより、電気的に保持されたダンプ弁705(2оо2(two−out−of−two)投票回路にWOCS UPS402aおよび402bによって直接保持される)を起動させる。ダンプ弁は、WOCS HPU内の液圧をブリード・オフし、BPCSをその定義された安全状態にさせ、すなわち、坑井が密封され。すべての機能が非通電にされる。
[0188]
たとえば、船舶EPO信号によって、または両方のWOCS UPS A402aおよびWOCS UPS B402bの故障によって引き起こされる、WSS緊急シャットダウン(「ESD」)およびプロセス・シャットダウンSIFにおいて定義された安定状態の開始を改修制御システムに認識させるために、例示的な実施形態のうちのいくつかは、改修制御システムがバックアップ電源としてWOCS UPSを使用すべきであることを提案する。これを行うことによって、提案されたシステムは、たとえば、電力損失のためにWOCSがシャットダウンしたときなどのインスタンスを回避し、WSSは、システムが安全状態に到達したかどうかを知らない。
[0189]
万一、両方のWOCS UPSが故障する場合、WSSが緊急急速切断(「EQD」)を開始する能力を維持するために第3の独立したUPSを含むことが可能である。この第3のUPSもリグ/船舶EPO信号の対象となり、グローバルな安全対策のためEQD機能を利用不可能にすることに留意されたい。前のセクションにおけるように、バックアップ・イニシエータ(音響ROVおよびライザー弱リンク)は、トップサイドの蓄積動力(電気または液圧)に依存しないので、依然として利用可能である。
[0190]
図11は、例示的な実施形態のうちのいくつかによる電力管理システムの別の実施形態を示す。この実施形態では、WSS404は、専用UPS1102を介して追加で電力が供給される。第1の冗長モジュール704aは、UPS A402aとUPS B402bとの間に冗長性を提供する。第2の冗長モジュール704bは、第1の冗長モジュールからの出力と専用WSS UPS1102との間の冗長性を提供する。この実施形態では、WSSは、WOCS UPS402a、bの損失後であってもEQDを利用可能に保つことができるが、WSSがWOCSへの電力の損失と、改修システムの固有のフェイル・セーフとを認識するように、WOCS UPS402a、bへの接続を依然として有する。
[0191]
ここで、最近の規制要件のうちの1つを再び参照する。
1.IEC61511−1 11.2.11:動力の損失時に安全状態にならないサブシステムについて、以下の要件のすべてが満たされ、11.3に従ってアクションがとられる。
a.回路の完全性の損失が検出される(たとえば、終端監視)。
b.補助電源(たとえば、バッテリ・バックアップ、無停電電源)を使用して電源の完全性が保証される。
c.システムへの電力の損失が検出される。
[0192]
項目1aは、ここでは、海底ライン、および高電圧電源ユニット(「HVPSU:high−voltage power supply unit」)出力ラインのライン監視を必要とすると解釈される。
[0193]
項目1cは、ここでは、HVPSU状態の監視および見張り、すなわち、内部故障の検出を必要とすると解釈される。
[0194]
例示的な実施形態のうちのいくつかは、改修安全システムを単純化し、堅牢で信頼できるものにすることを対象とする。この目的を達成するための本発明者らによって認識された重要な要素は、ハードワイヤード電力を使用して海底機能を直接制御することである。
[0195]
海底機能は、典型的には、作動するために直流24Vにおいて4Wを必要とし、起動するために通電されるように構成される。言い換えれば、安全機能は、所与の範囲内の電力、たとえば、安全状態に到達するための所与の電圧における電力を必要とする。改修システムに関するISO13628−7などのいくつかの要件は、以下を遵守することが重要である。
[0196]
例として、3600mのオーダの長さを有するアンビリカル内のケーブルを介する海底DCVコイルの直接運用は、電力伝送ケーブルの長さにわたる電圧降下に遭遇する。アンビリカルの長さは、システムが展開される実際のフィールドの深さに応じて変化する。3600m長のAWG19ケーブルを介してトップサイドに接続された海底に位置する4W24VDCコイルに24VDCを供給するために、約190VDCのトップサイド電圧が必要とされる。ケーブルにおける電圧降下は、ケーブル材料、長さ、断面、抵抗率、および、典型的には、材料の抵抗率を変化させる温度さえ含むいくつかの要因に依存する。
[0197]
本発明者らは、DCVを含む海底構成要素に関する電源条件を改善するための、例示的な実施形態のうちのいくつかのさらに別の実施形態における以下の方法およびシステムを提供する。
[0198]
ここで図12を参照すると、例示的な実施形態のうちのいくつかによるシステムおよび方法の一般的な形態は、以下のように提案される。
1.可変のケーブル長、ケーブル断面、周囲温度、および、各ケーブルに並列に接続された構成要素またはソレノイドの数を用いて、ソレノイドなどの海底構成要素に通電するための必要なトップサイド電力を計算するための理論モデルを検証する。
2.電力システム設定のための初期値を生成し、前記設定を用いて、WSS論理コントローラ404、たとえば、PLCを初期化するために論理モデルを使用する。
3.たとえば、電気測定機器1202を使用して、海底ライン・パラメータを監視し、高電圧電源ユニット(「HVPSU」)1201設定を動的に調整するために、海底ラインにおいて印加される電圧および供給される電流を含む前記パラメータを使用する。前記設定は、たとえば、PLC404とHVPSU1201との間の制御インターフェースまたはバス1211を使用して調整される。
4.HVPSU1201設定を検証し、修正するために、電気測定機器1202からの測定パラメータを使用し、すなわち、命令された設定と実際の設定との間の比較および修正を実行する。
5.通信リンクまたはバス1211を使用してHVPSU1201を内部診断のために連続的に監視する。前記通信リンクは、たとえば、シリアル通信媒体を備える。
6.HVPSU1201において故障が検出された場合、たとえば、オペレータによってアスクセス可能なSCADA HMIおよびSIL2互換のWSSステータス・ランプまたはディスプレイを介してWOCSオペレータに通知する。前記ランプは、BPCSまたはSCADA HMIが使用可能でなくてもオペレータにとって可視である。
[0199]
当業者は、実際には、電源からのクリーンな冗長性をシステム内の最終要素に提供するためのAブランチおよびBブランチの各々について少なくとも1つのHVPSU1201が存在することを理解するであろう。
[0200]
この実施形態の重要な利点は、システムを既製の構成要素を使用して構築し、それにもかかわらず高い信頼性の堅牢で単純な安全システムを達成することができることである。言い換えれば、高電圧電源ユニット1201(HVPSU AおよびHVPSU B)は、比較的安価な既製の構成要素として選択され得る。これは、それらがSIL2安全機能において使用するために事前認証されることを必要としないことを意味する。上記で提案されているような閉ループ監視および修正機構は、汎用構成要素を使用し、注文品の構成要素なしで開発され得る高い信頼性の安全システムをもたらし、それによってコストを削減する。
[0201]
例示的な実施形態のうちのいくつかに従って、上記の説明で言及したような特定の最終要素の起動について論じる。上記で論じたような安全システムの物理的独立性の目的を達成するために、最終要素を動かす以下の方法およびシステムが例示的な実施形態において提案される。
[0202]
WSS制御が、液圧供給源、たとえば、アキュムレータ402と最終要素との間に直列に配置されることが提案され、前記最終要素は、フェイル・セーフ・クローズ(「FSC:Fail−Safe−Close」)最終要素である。制御されるWSSが、最終要素と並列に配置されることがさらに提案され、前記最終要素は、フェイル・アズ・イズ(「FAI」)要素である。そうすることによって、WSSは、最終要素の制御のための支配的なシステムにされる。
[0203]
図13は、フェイル・トゥ・セーフまたはフェイル・セーフ・クローズ構成の単純化された概要を示す。ここで、WOCS201は、DCVモジュール1301を制御し、WOCS201とDCVモジュール1301の両方は、海底に設置され得る。DCVモジュール1301は、WSSによって制御される少なくとも1つのDCVを備え、DCVモジュール内の前記DCVは、ソレノイド弁、たとえば、1302などの、電気的に駆動される値であり得る。この場合、ソレノイド弁1302は、ESD機能およびEQD機能を実施するために使用されるWSS制御DCVである。図示のように、ソレノイド弁1302は、WOCS201に直列に接続される。図13において、WSSによって動かされるDCV1302は、作動させて示されており、したがって、WOCS201は、最終要素1330を制御していない。WSSが作動すると、WSS内の前記DCV1302は、ライン1307における液圧をブリード・オフし、したがって、WOCS201からの最終要素1330の制御を遮断する。図13に示す最終要素1330は、たとえば、RV、PIV、およびSHに関する典型的なメイン・ボア弁設定を示す。ブロック1330は、ライン1309を介してDCV1310に液圧力を供給するアキュムレータ1308を示す。第2のDCV1320は、ライン1319を介して液圧供給も受け取る。弁1310および1320への液圧供給は、同じアキュムレータまたは別個のアキュムレータのいずれかによって供給され得る。DCV1310および1320は、弁1340のポートCおよびOを介してライン1310および1319内の液圧供給をルーティングすることによって弁1340を制御している。
[0204]
図13は、フェイル・セーフ・クローズ構成を示しているが、WSSは、フェイル・アズ・イズであり、すなわち、DCVモジュール1301が故障した場合、最終要素1330は、状態を変更しないことに留意されたい。誤ったトリップは、要求に応じてトリップを達成しないことと同等に危険であるので、この設計は、安全機能の誤ったトリップを回避するために、例示的な実施形態のうちのいくつかに従って選択される。DCV弁1302は、図13において作動させて示されていることに留意されたい。
[0205]
図14は、フェイル・アズ・イズ構成の単純化された概要を示す。DCVモジュール1301は、図13において論じたのと同様であり、WSSによって制御される。図示のように、WSSは、DCV1410および1420の内部パイロット1407とインターフェースするためにソレノイド弁1402を使用する。WOCS201は、DCV1410および1420の外部パイロット1437とインターフェースする。安全シーケンス、たとえば、WSS EQDが起動すると、アキュムレータ1408によってライン1406を介して供給されるWSSからの圧力が印加され、それは、DCV1410および1420に、弁1440のポートCULおよびCLを介して液圧供給を適用することによってコネクタをアンロックさせる。
[0206]
本明細書の説明および特許請求の範囲を通して、「備える」および「含む」という単語、およびそれらの変形は、「限定はしないが含む」ことを意味し、それらは、他の部分、添加物、構成要素、整数、またはステップを除外することを意図しない(および除外しない)。本明細書の説明および特許請求の範囲を通して、文脈上他に要求されない限り、単数形は、複数形を包含する。具体的には、不定冠詞が使用される場合、明細書は、文脈上他に要求されない限り、複数性ならびに特異性を考慮するものとして理解されるべきである。
[0207]
特定の態様に関連して説明される特徴、整数、特性、化合物、化学部分、またはグループは、矛盾しない限り、任意の他の態様、実施形態、または例に適用可能であると理解されるべきである。(任意の添付の特許請求の範囲、要約書、および図面を含む)本明細書に開示された特徴のすべて、および/または、そのように開示された任意の方法もしくはプロセスのステップのすべては、そのような特徴および/またはステップのうちの少なくともいくつかが互いに排他的である組み合わせを除いて、任意の組み合わせにおいて組み合わされ得る。例示的な実施形態は、任意の前述の実施形態の詳細に限定されない。例示的な実施形態は、(任意の添付の特許請求の範囲、要約書、および図面を含む)本明細書に開示された特徴のうちの任意の新規なもの、もしくは任意の新規な組み合わせ、または、そのように開示された任意の方法もしくはプロセスのうちの任意の新規なもの、もしくは任意の新規な組み合わせにわたる。
[0208]
読者の注意は、本出願に関連して本明細書と同時にまたはその前に提出され、本明細書で公衆の閲覧に供せられるすべての書類および文書を対象とし、すべてのそのような書類または文書の内容は、参照により本明細書に組み込まれる。

Claims

[1]
炭化水素生産装置、特に、ロアー・ライザー・パッケージおよび緊急切断パッケージのうちの少なくとも1つを備える装置の構成要素(104)を作動させるように構成された改修制御モジュール(201)を停止させるように構成された改修安全システム(301)であって、
前記改修制御モジュール(201)が、前記構成要素への作動液を調整するように構成され、前記改修制御モジュール(201)が、
対応する作動液源(116、118)から作動液を受け取るように構成された液圧入力部(106_1、106_2)と、前記受け取った作動液を前記構成要素に送達するように構成された液圧出力部(110_1、110_2)とを備え、
前記改修安全システムが、
トリガ信号を受信するように構成されたトリガ入力部(112)と、
前記改修制御モジュールの前記液圧入力部(106_1、106_2)と前記改修制御モジュール(201)の前記対応する作動液源(116、118)、および
前記改修制御モジュール(201)の前記液圧出力部(110_1、110_2、110_3)と前記構成要素(104)
のうちの1つの間の直列接続の少なくとも1つのオーバライド弁(114_1、114_2、120_1、120_2、120_3)とを備え、
前記安全システムが、前記作動液が前記構成要素に送達されるのを防止するために、前記トリガ信号を受信すると、前記少なくとも1つのオーバライド弁(114_1、114_2、120_1、120_2、120_3)を閉じるように、具体的には、機能ラインを閉じ、通気ラインを開くように構成された、改修安全システム。
[2]
ソフトウェアおよびハードウェアに関して前記改修制御モジュールから分離された、請求項1に記載の改修安全システム。
[3]
作動液を貯蔵し供給するように構成された安全アキュムレータ(140)と、
前記貯蔵された作動液を前記安全アキュムレータ(140)から受け取り、前記貯蔵された作動液を前記構成要素(104)に送達するように構成された少なくとも1つの圧力弁(150)とをさらに備え、前記トリガ信号を受け取ると、前記少なくとも1つの圧力弁(150)が、前記貯蔵された作動液を前記安全アキュムレータ(140)から前記構成要素に、具体的には、坑井制御パッケージ内に配置された遮断弁およびBOP内に配置された環状バッグ弁のうちの少なくとも1つに提供するために開くように構成された、請求項1または2に記載の改修安全システム。
[4]
前記少なくとも1つのオーバライド弁(114_1、114_2、120_1、120_2、120_3)が、第1の対応する作動液源(116)と第1の対応する液圧入力部(160_1)との間に直列接続で配置されるように構成された第1のオーバライド弁(114_1)と、第2の対応する作動液源(118)と第2の対応する液圧入力部(106_2)との間に直列接続された第2のオーバライド弁(114_2)と、前記改修制御モジュール(201)の前記液圧出力部(110_1、110_2)と前記構成要素(104)との間に直列接続された少なくとも1つの第3のオーバライド弁(120_1、120_2)とを備える、請求項1から3のいずれか一項に記載の改修安全システム。
[5]
前記少なくとも1つのオーバライド弁(120_3)が、トップサイド制御モジュール弁(302)と、表面生産ウイング弁(208)に結合されたパイロット弁(305)との間に直列接続で配置されるように構成され、前記トリガ信号を受け取ると、前記少なくとも1つのオーバライド弁(120_3)が、閉位置になり、それによって、前記パイロット弁(305)および前記表面生産ウイング弁(208)への作動液の流れを防止するように構成された、請求項1から4のいずれか一項に記載の改修安全システム。
[6]
前記改修安全システム内の弁が、A/B冗長性を備える複製弁を備える、請求項1から5のいずれか一項に記載の改修安全システム。
[7]
前記トリガ信号が、アナログ電圧、具体的には、25Vまでを含む48Vまでの、具体的には、直流、DCを備える、請求項1から6のいずれか一項に記載の改修安全システム。
[8]
請求項1から7および9から14のいずれか一項に記載の改修安全システムと、
前記改修制御モジュールと
を備える装置。
[9]
改修制御モジュール(201)とともに使用するように構成され、炭化水素生産装置、特に、ロアー・ライザー・パッケージおよび緊急切断パッケージのうちの少なくとも1つを備える装置の構成要素(104)を作動させるように構成された改修安全システム(301)であって、
前記改修制御モジュール(201)が、前記構成要素への作動液を調整するように構成され、前記改修制御モジュールが、
対応する作動液源(116、118)から前記作動液を受け取るように構成された液圧入力部(106_1、106_2)と、前記受け取った作動液を前記構成要素に送達するように構成された少なくとも1つの液圧出力部(110_1、110_2、110_3)とを備え、
前記改修安全システムが、
作動液を貯蔵し提供するように構成された安全アキュムレータ(140)と、
トリガ信号を受信するように構成されたトリガ入力部(112)と、
前記貯蔵された作動液を前記安全アキュムレータ(140)から受け取り、前記貯蔵された作動液を前記構成要素(104)に送達するように構成された少なくとも1つの圧力弁(150)と
を備え、
前記安全システムが、前記貯蔵された作動液を前記安全アキュムレータ(140)から前記構成要素(104)に送達するために、前記トリガ信号を受け取ると、前記少なくとも1つの圧力弁(150)を開くように構成された、改修安全システム。
[10]
ソフトウェアおよびハードウェアに関して前記改修制御モジュールから分離された、請求項9に記載の改修安全システム。
[11]
前記改修制御モジュール(201)の前記液圧入力部(106_1、106_2)と改修制御モジュール(201)の前記対応する作動液源(116、118)、および
前記改修制御モジュール(201)の液圧出力部(110_1、110_2)と前記構成要素(104)
のうちの1つの間の直列接続の少なくとも1つのオーバライド弁(114_1、114_2、120_1、120_2、120_3)をさらに備え、
前記安全システムが、前記作動液源(116、118)から受け取った前記作動液が前記構成要素に送達されるのを防止するために、前記トリガ信号を受信すると、前記少なくとも1つのオーバライド弁(114_1、114_2、120_1、120_2、120_3)を閉じるように、具体的には、機能ラインを閉じ、通気ラインを開くように構成された、請求項9または10に記載の改修安全システム。
[12]
前記少なくとも1つのオーバライド弁(114_1、114_2、120_1、120_2、120_3)が、第1の対応する作動液源(116)と第1の対応する液圧入力部(160_1)との間に直列接続された第1のオーバライド弁(114_1)と、第2の対応する作動液源(118)と第2の対応する液圧入力部(106_2)との間に直列接続された第2のオーバライド弁(114_2)と、前記改修制御モジュール(201)の前記液圧出力部(110_1、110_2)と前記構成要素(104)との間に直列接続された少なくとも1つの第3のオーバライド弁(120_1、120_2)とを備える、請求項11に記載の改修安全システム。
[13]
前記少なくとも1つのオーバライド弁(120_3)が、トップサイド制御モジュール弁(302)と、表面生産ウイング弁(208)に結合されたパイロット弁(305)との間に直列接続し、前記トリガ信号を受け取ると、前記少なくとも1つのオーバライド弁(120_3)が、閉位置になり、それによって、前記パイロット弁(305)および前記表面生産ウイング弁(208)への作動液の流れを防止するように構成された、請求項11または12に記載の改修安全システム。
[14]
前記改修安全システム内の弁が、A/B冗長性を有する複製弁を備える、請求項9から13のいずれか一項に記載の改修安全システム。
[15]
前記トリガ信号が、アナログ電圧、具体的には、25Vまでを含む48Vまでの、具体的には、直流、DCを備える、請求項9から14のいずれか一項に記載の改修安全システム。
[16]
トリガ入力部(112)と、
プロセッサと、メモリと、前記メモリ内に記憶され、前記プロセッサによって実行可能な命令とを備え、前記トリガ入力部に結合され、
電力線を含むアンビリカル、具体的には、300メートルを超える、具体的には、1000メートルを超える長さを有するアンビリカルと、
前記電力線に接続された少なくとも1つの弁、具体的には、オーバライド弁およびアキュムレータ弁のうちの少なくとも1つと
に結合されるように構成された論理デバイス(310A)と、
前記論理デバイスに結合された電源(310B)、具体的には、少なくとも30ボルト、具体的には約500ボルトまでを送達するように構成された、具体的にはDC電源、具体的には、弁に接続されたときに電力線を介して弁を作動させるように構成された、ディスクリート電源、またはロジックと一体化された電源と、
前記論理デバイスによって、
前記電源が前記弁に接続されていない監視状態と、
前記電源が前記弁に接続されている無効化状態と
の間で切り替えるように作動可能な、前記論理デバイスおよび電源に結合されたスイッチ、具体的には、リレーと
を備え、
前記論理デバイスが、
前記電力線および前記弁を含む電気回路を特徴付けるパラメータを測定することと、
前記アンビリカルを介して送達されたときに前記弁を作動させるのに十分な所望の電圧を前記弁においてもたらすように期待されるトップサイド電圧を計算することと、
前記計算されたトップサイド電圧を前記電源に伝送することと
を含む方法を実行するように構成された、電力管理システム(310)。
[17]
測定することが、
非作動電圧を前記電力線に印加することと、
前記印加された電圧から生じる電流を測定することと、
前記測定された電流を、前記弁の抵抗に正規化すること、具体的には、前記弁の抵抗を減算することと、
前記正規化された電流を使用して前記アンビリカルの抵抗を計算することと
を含む、請求項16に記載の電力管理システム。
[18]
前記論理デバイスが、
前記トリガ入力部(112)を介してトリガ信号を受信し、
前記電源を使用して前記弁を作動させるために前記監視状態から前記無効化状態に変更するように前記スイッチを動かすようにさらに構成された、請求項16または17に記載の電力管理システム。
[19]
炭化水素処理設備の少なくとも一部を安全状態にするために前記設備に結合されるように構成された安全システム(301)であって、前記設備が、制御モジュール(201)、具体的には、改修制御モジュールWOCM、海底電子モジュールSEM、海底制御モジュールSCM、およびライザー制御モジュールRCMのうちの少なくとも1つを備え、
前記制御モジュール(201)が、前記設備の構成要素(104)、具体的には、
トップサイド生産設備、ロアー・ライザー・パッケージLRP、緊急切断パッケージEDP、噴出防止装置BOP、ライザー・パッケージRP、掘削パッケージDP、主制御ユニットMCU、および液圧力ユニットHPU、クリスマス・ツリー、具体的には表面ツリー、具体的には海底ツリー、具体的には、電気作動弁、マニホールド、コイル状チューブ・フレーム、およびワイヤ・ライン・フレームを有するクリスマス・ツリー
のうちの少なくとも1つを備える構成要素を作動させるように構成され、
前記制御モジュールが、
前記構成要素(104)、具体的には、電気アクチュエータ、具体的には、スクリュー駆動部およびソレノイドのうちの1つ、具体的には、液圧アクチュエータ、具体的には、空気圧アクチュエータを作動させるのに十分な対応する動力源(116、118)からの動力流を受け取るように構成された、エネルギー入力部(106_1、160_2)、具体的には、電気入力部、空気圧入力部、および液圧入力部のうちの少なくとも1つと、
前記制御モジュールを介して調整された前記動力流を前記構成要素に送達するように構成された、エネルギー出力部(110_1、110_2)、具体的には、液圧出力部、空気圧出力部、および電気出力部のうちの少なくとも1つと
を備え、
前記安全システムが、
トリガ信号を受信するように構成された制御入力部(112)と、
前記制御モジュール(201)の前記エネルギー入力部(106_1、106_2)と対応する動力源(116、118)、および
前記制御モジュール(201)の前記エネルギー出力部(110_1、110_2)と前記構成要素(104)
のうちの少なくとも1つの間に直列接続された、少なくとも1つのオーバライド用開閉部(114_1、114_2、120_1、120_2、120_3)、具体的には、弁、およびスイッチ、具体的にはリレーのうちの少なくとも1つと
を備え、
前記安全システムが、前記動力流が前記構成要素(104)に送達されるのを防ぐために、前記トリガ信号を受信すると、前記少なくとも1つのオーバライド用開閉部(114_1、114_2、120_1、120_2、120_3)を閉じるように構成された、安全システム(301)。
[20]
前記安全システムが、ソフトウェアおよびハードウェアに関して前記制御モジュールから分離された、請求項19に記載の安全システム。
[21]
少なくとも1つの他の動力源(140)からの動力流を受け取るように構成された、前記構成要素の少なくとも1つの開閉部、具体的には、弁またはリレーに圧力を提供するように構成されたエネルギー出力部(110_3)に並列接続された少なくとも1つの圧力開閉部(150)をさらに備え、前記トリガ信号を受信すると、前記少なくとも1つの圧力開閉部が、開位置になり、液圧を、前記制御モジュールとは独立して、それぞれ緊急切断パッケージEDPおよび/または噴出防止装置BOPに提供するために、前記動力流を、前記EDP内に配置された少なくとも1つの開閉部、ライザー制御モジュールRCM内の弁、および/または前記BOP内に配置された環状バッグに提供するように構成された、請求項19または20に記載の安全システム。
[22]
前記少なくとも1つのオーバライド用開閉部(114_1、114_2、120_1、120_2、120_3)が、第1の対応する動力源(116)と直列接続された第1のオーバライド用開閉部(114_1)と、第2の対応する動力源(118)と直列接続された第2のオーバライド用開閉部(114_2)と、前記改修制御モジュール(201)の前記エネルギー出力部(110_1、110_2)と前記構成要素(104)との間に直列接続された少なくとも第3のオーバライド用開閉部(120_1、120_2)とを備える、請求項19から21のいずれか一項に記載の安全システム。
[23]
パイロット開閉部(305)と直列接続された少なくとも1つのトップサイド・オーバライド用開閉部(120_3)と、表面生産ウイング開閉部(208)、具体的には、表面生産ウイング弁とをさらに備え、前記トリガ信号を受信すると、前記少なくとも1つのトップサイド・オーバライド用開閉部が、閉位置になり、それによって、動力流が前記パイロット開閉部(305)および前記表面生産ウイング開閉部(208)に提供されるのを防止するように構成された、請求項19から22のいずれか一項に記載の安全システム。
[24]
前記改修安全システム内の開閉部が、A/B冗長性における複製ゲートを備える、請求項19から23のいずれか一項に記載の安全システム。
[25]
前記トリガ信号が、アナログ電圧、具体的には、25Vまでを含む48Vまでの、具体的には、直流、DCを備える、請求項19から24のいずれか一項に記載の安全システム。
[26]
請求項16から18のいずれか一項に記載の電力管理システムをさらに備える、請求項1から14のいずれか一項に記載の改修安全システムまたは請求項19から25のいずれか一項に記載の安全システム。
[27]
前記安全システムに結合された前記制御モジュールをさらに備える、請求項19から26のいずれか一項に記載の安全システム。
[28]
炭化水素処理設備の少なくとも一部を安全状態にするために、前記設備に結合されるように構成された安全システム(301)であって、前記設備が、制御モジュール(201)、具体的には、改修制御モジュールWOCM、海底電子モジュールSEM、海底制御モジュールSCM、およびライザー制御モジュールRCMのうちの少なくとも1つを備え、
前記制御モジュール(201)が、前記設備の構成要素(104)、具体的には、トップサイド生産設備、ロアー・ライザー・パッケージLRP、緊急切断パッケージEDP、噴出防止装置BOP、ライザー・パッケージRP、掘削パッケージDP、主制御ユニットMCU、および液圧力ユニットHPU、クリスマス・ツリー、具体的には表面ツリー、具体的には海底ツリー、具体的には、電気作動弁、マニホールド、コイル状チューブ・フレーム、およびワイヤ・ライン・フレームを有するクリスマス・ツリーのうちの少なくとも1つを備える構成要素を作動させるように構成され、
前記制御モジュールが、
前記構成要素(104)、具体的には、電気アクチュエータ、具体的には、スクリュー駆動部およびソレノイド、具体的には、液圧アクチュエータ、空気圧アクチュエータを作動させるのに十分な対応する動力源からの動力流を受け取るように構成された、エネルギー入力部(106_1、106_2)、具体的には、電気入力部、空気圧入力部、および液圧入力部のうちの少なくとも1つと、
前記制御モジュールを介して調整された動力流を前記構成要素に送達するように構成された、エネルギー出力部(110_3)、具体的には、液圧出力部、および電気出力部のうちの少なくとも1つと
を備え、
前記安全システムが、
トリガ信号を受信するように構成された制御入力部(112)と、
エネルギーを蓄積するように構成された、安全アキュムレータ(140)、具体的には、液圧アキュムレータ、バッテリ、キャパシタ、フライホイール、およびUPSのうちの少なくとも1つと、
前記制御モジュール(201)のエネルギー入力部(106_1、106_2)および前記対応する動力源(116、118)、ならびに、
前記制御モジュール(201)の前記エネルギー出力部(110_3)および前記構成要素(104)
のうちの少なくとも1つと並列接続で配置されるように構成された、少なくとも1つのアキュムレータ開閉部(150、150A、150B)、具体的には、弁およびリレーのうちの少なくとも1つと
をさらに備え、
前記安全システムが、前記蓄積されたエネルギーを前記構成要素(104)に送達するために、前記トリガ信号を受信すると、前記少なくとも1つのアキュムレータ開閉部(150、150A、150B)を開くように構成された、安全システム。
[29]
前記改修安全システムが、ソフトウェアおよびハードウェアに関して前記改修制御モジュールから分離された、請求項28に記載の安全システム。
[30]
前記制御モジュール(201)のエネルギー入力部(106_1、106_2)と前記対応するエネルギー源(116、118)との間、および
前記制御モジュール(201)のエネルギー出力部(110_1、110_2、110_3)と前記構成要素(104)との間
のうちの少なくとも一方で、直列接続された少なくとも1つのオーバライド用開閉部(114_1、114_2、120_1、120_2、120_3)をさらに備え、
前記安全システムが、前記動力流が前記構成要素に送達されるのを防ぐために、前記トリガ信号を受信すると、前記少なくとも1つのオーバライド用開閉部(114_1、114_2、120_1、120_2、120_3)を閉じるように構成された、請求項28または29に記載の安全システム。
[31]
前記少なくとも1つのオーバライド用開閉部(114_1、114_2、120_1、120_2、120_3)が、第1の対応する動力源(116)と直列接続された第1のオーバライド用開閉部(114_1)と、第2の対応する動力源(118)と直列接続された第2のオーバライド用開閉部(114_2)と、前記改修制御モジュール(201)の前記エネルギー出力部(110_1、110_2)と前記構成要素(104)との間に直列接続された少なくとも第3のオーバライド用開閉部(120_1、120_2)とを備える、請求項30に記載の安全システム。
[32]
パイロット開閉部(305)と直列接続された少なくとも1つのトップサイド・オーバライド用開閉部(120_3)と、表面生産ウイング開閉部(208)、具体的には、表面生産ウイング弁とをさらに備え、前記トリガ信号を受信すると、前記少なくとも1つのトップサイド・オーバライド用開閉部が、閉位置になり、それによって、動力流が前記パイロット開閉部(305)および前記表面生産ウイング開閉部(208)に提供されるのを防止するように構成された、請求項28から31のいずれか一項に記載の安全システム。
[33]
前記安全システム内の開閉部が、A/B冗長性における複製ゲートを備える、請求項28から32のいずれか一項に記載の安全システム。
[34]
前記トリガ信号が、アナログ電圧、具体的には、25Vまでを含む48Vまでの、具体的には、直流、DCを備える、請求項28から33のいずれか一項に記載の安全システム。
[35]
請求項16から18のいずれか一項に記載の電力管理システム(310)をさらに備える、請求項28から34のいずれか一項に記載の安全システム。
[36]
前記安全システムに結合された前記制御モジュールをさらに備える、請求項28から35のいずれか一項に記載の安全システム。

Drawings

[ Fig. 1]

[ Fig. 2]

[ Fig. 3]

[ Fig. 3A]

[ Fig. 3B]

[ Fig. 3C]

[ Fig. 3D]

[ Fig. 4]

[ Fig. 5]

[ Fig. 6]

[ Fig. 7]

[ Fig. 8]

[ Fig. 9]

[ Fig. 10]

[ Fig. 11]

[ Fig. 12]

[ Fig. 13]

[ Fig. 14]