Un ESD (Emergency Shut Down System) è un sistema di controllo di emergenza utilizzato per la gestione delle sequenze di avviamento e arresto di un impianto o di un macchinario.
Negli impianti di processo l’arresto di emergenza ha la funzione di ridurre al minimo le conseguenze delle situazioni di emergenza, generalmente la fuoriuscita di idrocarburi o l’innesco di un incendio in aree con idrocarburi o il guasto dei sistemi di alimentazione o di componenti essenziali.
Lo scopo del sistema ESD è quello di proteggere il personale, tutelare gli impianti e prevenire gli impatti ambientali. Il sistema ESD è dunque uno dei principali sistemi di sicurezza nell’impiantistica e nelle applicazioni industriali complesse.
Un sistema di arresto di emergenza è anche un metodo per bloccare le operazioni di processo, isolare connessioni o correnti in entrata e ridurre rapidamente la possibilità di un evento indesiderato.
Lo spegnimento di emergenza è un requisito minimo o una procedura che deve essere implementata in tutte le fasi di progettazione, produzione, collaudo oltre che come requisito del sistema di sicurezza.
La funzione in ridondanza è la più popolare tra i sistemi ESD. Solitamente, tali sistemi sono integrati in un loop chiuso e sono connessi ad un sistema di Shut Down indipendente, che a sua volta può essere ridondato.
Azioni tipiche messe in atto dai sistemi ESD sono l’arresto del flusso di idrocarburi, l’innesco dell’interruttore di arresto per apparecchiature rotanti, l’isolamento delle scorte di idrocarburi, delle fonti di innesco, delle apparecchiature elettriche non essenziali, l’attivazione dei sistemi di protezione antincendio, l’apertura/chiusura delle valvole di blocco in posizione di sicurezza, il blocco di motori elettrici e delle unità package, l’avvio delle procedure di depressurizzazione e inertizzazione dell’impianto, laddove previste.
Una volta avviato l’arresto, tutti gli elementi finali utilizzati per garantire la sicurezza devono rimanere attivi (stato di sicurezza). Sarà quindi necessaria un’azione manuale per ripristinare lo stato di arresto. Il sistema ESD deve essere progettato in maniera tale da ridurre al minimo il rischio di arresto accidentale. È necessario perciò prendere in considerazione l’uso di una logica sugli elementi di attivazione (es. rilevatori di gas, pulsanti manuali ecc.).
Le logiche e i livelli
In genere il sistema di arresto di emergenza è basato su PLC (Programmable Logic Controller) certificato per applicazioni di sicurezza, DCS (Distributed Control System) o BMS (Burner Management System) per intervenire in caso di malfunzionamento o errore operativo, garantendo la messa in sicurezza dell’impianto. L’ESD è però un sistema indipendente dalle unità di controllo dedicate alle sequenze operative di impianto.
Il blocco dell’impianto può essere totale, nel caso in cui i malfunzionamenti rilevati lo richiedano, ma anche parziale nel caso in cui si possa porre in sicurezza l’unità coinvolta nell’evento pericoloso, pur mantenendo in funzione il resto dell’impianto.
La fermata totale o parziale dell’impianto può essere avviata sia da sequenze automatiche, attivate dal superamento di talune condizioni operative, sia da attivazione manuale tramite pulsanti di blocco posizionati in campo o in sala controllo, a seconda della necessità.
La sequenza di avvio viene avviata dopo il reset della logica ESD. A seguito di un arresto, i relativi livelli ESD devono essere resettati individualmente e manualmente dall'operatore della console operativa.
Quanto alle attrezzature da campo, se non diversamente specificato, le valvole di shut down (SDV) vengono resettate manualmente a livello locale, mentre per avviare le apparecchiature o le sezioni di processo, è necessario inibire alcuni ingressi al sistema ESD, in quanto i segnali dei sensori potrebbero trovarsi in uno stato anomalo prima dell’avvio e causare un arresto.
Tali inibitori sono designati come “inibitori dell’avviamento”. Ogni funzione di inibizione viene resettata automaticamente o dal segnale del sensore che ritorna allo stato normale o dopo un tempo di ritardo prestabilito.
Tipicamente il sistema ESD funziona in modalità fail-safe, cioè in stato diseccitato di qualsiasi sensore digitale (ingresso) o attuatore (uscita). Pertanto, il rilevamento dei guasti di qualsiasi componente critico del sistema e degli ingressi/uscite in campo deve comportare un’azione che porti l’impianto alla condizione di sicurezza.
In genere un ESD è progettato come una struttura gerarchica a più livelli di protezione, in ordine crescente di emergenza. A livello esemplificativo possiamo ad esempio prevedere:
ESD 0 – Abbandono dell’impianto o della piattaforma
ESD 1 - Arresto di emergenza e depressurizzazione dell’intero impianto
ESD 2 - Arresto di emergenza per un’unità di processo all’interno dell’impianto
ESD 3 - Arresto totale del processo
ESD 4 - Arresto di processo per un’unità di processo all’interno dell’impianto
