Bezpieczeństwo funkcjonalne zgodne z normami
Wielu z nas poziom nienaruszalności bezpieczeństwa kojarzy się przede wszystkim ze współczynnikami intensywności uszkodzeń i złożonymi obliczeniami, prowadzącymi do wyznaczenia prawdopodobieństwa niezadziałania systemu na żądanie. Tymczasem istnieją inne metody poprawy bezpieczeństwa procesu, które można zastosować, bez wspomagania się kalkulatorem.
Międzynarodowe standardy bezpieczeństwa funkcjonalnego IEC 61508 i IEC 61511 zostały opracowane w wyniku reakcji społeczeństw na konsekwencje poważnych awarii przemysłowych. Przestrzeganie opisanych standardami reguł dotyczących cyklu życia bezpieczeństwa pozwala znacznie zredukować prawdopodobieństwo uszkodzenia systemu bezpieczeństwa.
Nowe wymagania
Przed użytkownikami instalacji technologicznych stawia się dzisiaj coraz wyższe wymagania dotyczące efektywności produkcji, przy jednoczesnym zachowaniu wysokiego poziomu bezpieczeństwa. Do czerwca bieżącego roku wszystkie kraje należące do Unii Europejskiej są zobowiązane do wdrożenia dyrektywy Seveso III, narzucającej wyższe standardy inspekcji prowadzonych przez narodowe agencje i wprowadzającej bardziej restrykcyjne zasady zarządzania bezpieczeństwem w przedsiębiorstwach.
Zadaniem inspektorów jest sprawdzenie, czy przestrzegane są reguły dobrych praktyk w zarządzaniu bezpieczeństwem, w odniesieniu do wymagań normy PN-EN 61511. Wielu doświadczonych użytkowników istniejących instalacji technologicznych zdołało w pewnym stopniu wdrożyć reguły bezpieczeństwa, jednak norma wymaga podejścia strukturalnego i planowania dla zapewnienia, że prowadzone działania zostaną zweryfikowane i udokumentowane, a wszelkie akcje korygujące zakończone. W praktyce skompletowanie dla inspektora wszystkich wymaganych dokumentów może okazać się nie lada wyzwaniem.
Przyjrzyjmy się pięciu obszarom, kluczowym dla możliwości poprawy bezpieczeństwa. Trzy z nich związane są z fazą pracy w cyklu zapewniania bezpieczeństwa, a więc dotyczą każdej instalacji, niezależnie od jej wieku i wybranej metody zapewnienia bezpieczeństwa.
Architektura typu Smart SIS zakłada wykorzystanie diagnostyki aparatury pomiarowej i ustawników elementów wykonawczych już w fazie projektu systemu SIS dla optymalizacji kosztów ponoszonych przez użytkownika podczas całego cyklu życia bezpieczeństwa. Wybór właściwych urządzeń i decyzja o stopniu nadmiarowości w architekturze systemu bezpieczeństwa podejmowane są na podstawie specyfikacji SRS, przy czym wpływ na wyznaczone prawdopodobieństwo niezadziałania na żądanie mają wszystkie elementy funkcji SIF począwszy od czujnika, przez sterownik logiczny, do elementu wykonawczego
Specyfikacja wymagań bezpieczeństwa
Pierwsza część cyklu życia bezpieczeństwa, zgodnie z PN-EN 61511, to faza analizy, gdzie identyfikowane są wszystkie potencjalne zagrożenia i określany jest współczynnik redukcji ryzyka dla przyrządowego systemu bezpieczeństwa (SIS). Technika badania zagrożeń i gotowości operacyjnej (HAZOP) może stanowić początek działań, zmierzających do zdefiniowania specyfikacji wymagań bezpieczeństwa (SRS), które konsolidują wszystkie istotne informacje dla projektu i realizacji systemu SIS.
Każda przyrządowa funkcja bezpieczeństwa (SIF) jest związana ze specyficznym zagrożeniem i narzuca się jej wymagania, dotyczące m.in. sposobu działania oraz poziomu nienaruszalności bezpieczeństwa SIL. W specyfikacji SRS opisane są wszystkie funkcje SIF, w sposób pozwalający zaprojektować i zbudować system bezpieczeństwa. Norma PN-EN 61511 wymienia 27 zagadnień, które powinny być objęte przez kompletny SRS, z dodatkowym uwzględnieniem wymagań dotyczących oprogramowania systemu SIS. Niezrozumienie bądź pominięcie któregokolwiek z wymagań może skutkować przyjęciem błędnych założeń dla dalszych prac projektowych, konstrukcyjnych lub późniejszej eksploatacji systemu.
Dla użytkownika już działającej instalacji opracowanie SRS jest okazją do przeanalizowania i udokumentowania aktualnego poziomu bezpieczeństwa. Poszukiwanie odpowiedzi na takie pytania, jak:
- z jakimi zagrożeniami wiąże się prowadzenie procesu?
- jakie środki są zastosowane dla zmniejszenia ryzyka?
- jakie są minimalne wymagania, związane z osiągnięciem przez proces stanu bezpiecznego?,
pozwoli z jednej strony przypomnieć sobie intencje projektanta instalacji, a z drugiej zapewne pojawią się kwestie, z którymi będzie się należało zmierzyć w najbliższym czasie. Zatrudnienie niezależnego konsultanta do współpracy przy tworzeniu specyfikacji SRS pomoże wszystkim zaangażowanym stronom spojrzeć szerzej na problematykę bezpieczeństwa i jednoznacznie zrozumieć dyskutowanie kwestie.
Projektowanie i opracowanie SIS
Podczas wyboru elementów SIS z uwagą przyglądamy się certyfikatom i analizujemy liczby opisujące niezawodność urządzeń. Należy jednak mieć na uwadze, że są to wskaźniki teoretyczne, wyznaczone dla określonych warunków pracy i obsługi. W związku z tym, zanim założymy, że możemy je zastosować do dalszych obliczeń, należy sprawdzić, czy nasze procedury serwisowe odpowiadają opisanym w dokumentacji urządzeń.
Zastosowana aparatura powinna być odpowiednia do realizacji określonych zadań. Na przykład zawór regulacyjny może nie być właściwym urządzeniem dla zadania odcięcia strumienia medium procesowego. Zawory regulacyjne, z uwagi na częste ruchy elementów wykonawczych podlegają mechanicznemu zużyciu, podczas gdy zawory odcinające, które pozostają w tej samej pozycji przez dłuższy czas, przejawiają tendencję do zakleszczania. Zastosowanie inteligentnych ustawników pozycyjnych z funkcją testu częściowego skoku zaworu dostarcza dodatkowych informacji o stanie urządzenia i zgodnie ze współczynnikiem pokrycia diagnostycznego umożliwia wykrycie pewnych uszkodzeń zaworu podczas normalnej pracy instalacji. W systemach bezpieczeństwa funkcjonalnego diagnostyka elementu wykonawczego jest nader istotna, ponieważ zwykle konsumuje on około 60 proc. budżetu poziomu nienaruszalności bezpieczeństwa SIL. Podstawową zaletą procedury testu częściowego skoku jest możliwość znacznego wydłużenia czasu pomiędzy okresowymi testami sprawdzającymi, z którymi związane jest wyłączenie instalacji z ruchu.
Ciągła zmienność sygnału analogowego oznacza, że urządzenie pomiarowe działa, zwłaszcza jeśli jesteśmy w stanie skorelować wartość pomiarową ze wskazaniami innych przyrządów. Ponadto bogata diagnostyka inteligentnych urządzeń pomiarowych może być istotna dla użytkownika, o ile sterownik logiczny jest w stanie te informacje przyjąć i przekazać obsłudze. Natomiast czujniki dwustanowe zmieniają stan sygnału wyłącznie przy wystąpieniu zagrożenia, co oznacza, że większa grupa uszkodzeń objawi się dopiero przy żądaniu zadziałania. Jest to jedna z przyczyn, dla której preferowane są przyrządy analogowe.
Zapis testu częściowego skoku zaworu. Próba polegała na kontrolowanej zmianie położenia zaworu z pełnego otwarcia (100 %) do pozycji 90 % i z powrotem podczas pracy instalacji. Wynik próby był pozytywny, bowiem wykres mieścił się w określonym obszarze wyznaczonym wokół sygnatury zaworu, czyli „wzorcowej” charakterystyki w pełni sprawnego urządzenia
Przy wyborze urządzenia do systemu bezpieczeństwa funkcjonalnego należy rozważyć poniższe kwestie:
- czy nasze doświadczenie wskazuje na wyższą niż oczekiwana awaryjność urządzeń podczas eksploatacji?
- czy urządzenie jest w stanie przekazać potrzebne informacje i pracować poprawnie w środowisku, w którym zostanie zainstalowane?
- czy urządzenie spełnia wymagania, które zostały zawarte w specyfikacji SRS?
Praca i obsługa urządzeń
Elementy systemu SIS, rozmieszczone na obiekcie, powinny być w sposób widoczny oznaczone. Powinny tym samym odróżniać się od podobnego sprzętu, wykorzystywanego przez procesowy system sterowania. Norma wymaga, by urządzenia obsługiwane były przez odpowiednio przeszkolony i kompetentny personel oraz by żadne zmiany nie były wprowadzane do systemu bezpieczeństwa bez uprzedniego zaplanowania i zatwierdzenia.
Przykładowo kalibracja przetwornika przepływu jest prowadzona według odmiennych procedur, w zależności od tego, czy urządzenie pracuje w systemie sterowania procesem, czy w systemie SIS. Podczas kalibracji komputer przepływu przechodzi w tryb serwisowy i zamraża stan wyjścia analogowego na czas prowadzenia prac. W takiej sytuacji funkcja SIF nie spełnia swojego zadania, co może prowadzić do zatrzymania obiektu, bądź co gorsze – do prowadzenia procesu bez zapewnienia redukcji ryzyka.
Norma PN-EN 61511 zawiera wymagania, według których wszystkie urządzenia systemu SIS powinny być identyfikowalne, a wszelkie ich zmiany – udokumentowane. Przestrzeganie tych reguł, a także zasad dotyczących kompetencji personelu, znacząco zmniejsza ryzyko awarii przemysłowej.
Planowanie testów sprawdzających i inspekcji
System sterowania procesem reaguje na zmiany parametrów technologicznych w czasie rzeczywistym i wypracowuje sygnały, zgodnie z zaprojektowaną strategią sterowania. W ciągłej pracy uszkodzenia urządzeń takich jak pompa czy zawór są szybko wykrywane. System SIS reaguje wyłącznie wtedy, gdy pojawia się zagrożenie, dlatego projektanci stosują zaawansowaną diagnostykę do detekcji uszkodzeń niebezpiecznych. Niestety, pewna grupa uszkodzeń może zostać wykryta tylko podczas testów sprawdzających.
Użytkownicy instalacji zwykle okresowo wykonują testy sprawdzające, jednak planowanie i dokumentowanie wyników testów nie zawsze spełnia wymogi standardów, co ujawnione zostaje podczas inspekcji. Testy sprawdzające powinny być wykonywane zgodnie z wymaganiami specyfikacji SRS oraz założeniami przyjętymi podczas weryfikacji SIL. Pozwala to spełnić zamierzenia projektanta systemu, a rejestracja uszkodzeń jest niezbędna dla późniejszych audytów i oceny systemu bezpieczeństwa. Zarówno pokrycie diagnostyczne testów, jak i częstość ich przeprowadzania, bezpośrednio wpływają na średnie prawdopodobieństwo niezadziałania SIS na żądanie.
Zarządzanie obejściami zabezpieczeń w systemie SIS
Przełączniki obejściowe (sprzętowe lub programowe – uruchamiane z klawiatury) bywają używane w celach przeprowadzenia testów sprawdzających, bądź napraw lub wymiany elementów systemu, podczas pracy instalacji. Zwykle stosuje się przełączniki obejściowe dla czujników, rzadziej dla elementów wyko-
nawczych.
Funkcja SIF podczas aktywnego obejścia nie działa, dlatego norma wymaga opracowania procedur związanych z autoryzacją, wprowadzeniem obejścia i powrotem do normalnego trybu pracy, tak szybko, jak to jest możliwe. Każde zastosowanie obejścia na czas dłuższy niż wymagany do naprawy lub przeprowadzenia testów powinno zostać zarejestrowane i zgłoszone jako niezgodność.
Wsparcie jest dostępne
Doświadczeni użytkownicy istniejących od lat instalacji, dla zachowania bezpieczeństwa prowadzenia procesu, postępują zgodnie z określonymi zasadami, jednak aby je uporządkować i sformalizować według wymagań normy PN-EN 61511 zapewne będą potrzebować fachowej pomocy.
Emerson, dysponując grupą wykwalifikowanych i doświadczonych konsultantów bezpieczeństwa funkcjonalnego, oferuje szeroki zakres usług, ukierunkowanych m.in. na optymalizację i uproszczenie systemów nowo projektowanych oraz na doprowadzenie do spełnienia wymagań normy przez systemy już istniejące. Dzięki naszemu wsparciu skutecznie rozwiązane zostaną problemy zgłoszone podczas inspekcji, a przede wszystkim, przez osiągnięcie zgodności z normą, zapewniony zostanie odpowiedni poziom bezpieczeństwa funkcjonalnego.
Więcej informacji na podjęty temat można znaleźć na stronie internetowej: www.EmersonProcess.com/IM508.
EMERSON PROCESS MANAGEMENT Sp. z o.o.
ul. Szturmowa 2a
02-678 Warszawa
tel. 22 458 92 00
fax 22 458 92 31
www.emersonprocess.pl
źródło: Automatyka 1-2/2015
Słowa kluczowe
bezpieczeństwo funkcjonalne, emerson process management, SIS
Komentarze
blog comments powered by Disqus