Automatyka zabezpieczeniowa w przemyśle procesowym

Pojęcie automatyki zabezpieczeniowej, kojarzone do niedawna prawie wyłącznie z elektroenergetyką i kolejnictwem, ma znaczenie o wieleszersze i dotyczy wydzielonych układów automatyki, odpowiedzialnych za bezpieczeństwo: ludzi, środowiska oraz instalacji technologicznych. W przemyśle procesowym automatykę zabezpieczeniową nazywa się także ?układami blokadowymi?, ?układami awaryjnego odstawiania instalacji? (ESD), ?układami awaryjnego zrzutu?.

Rys. 1. Drzewo ryzyka według normy DIN V 19250

Minęły lata od pojawienia się na naszym rynku nowych unormowań dotyczących układów automatyki zabezpieczeniowej, w tym także unormowań polskich. Wciąż jednak w warunkach przetargowych spotkać można zdania o następującej treści: ?oferowane rozwiązania powinny spełniać wymagania normy DIN V 19250, DIN V VDE0801 oraz norm IEC 61508, IEC61511?. Co bardziej pracowici dodają także wymóg zgodności z amerykańską normą ANSI/ISA-84.01.
Cóż począć z takimi wymaganiami? Przez grzeczność nie poradzę. Zajmę się za to przypomnieniem kilku podstawowych informacji o normach stosowanych w automatyce zabezpieczeniowej, szczególnie dotyczących przemysłu procesowego.
Próba usprawiedliwienia
Historia ewolucji unormowań dotyczących automatyki zabezpieczeniowej może być pewnym usprawiedliwieniem nieporozumień w tej dziedzinie. Szczególnie w ostatnim dziesięcioleciu ewolucja ta znacznie przyśpieszyła.
O ile jeszcze do niedawna powszechną praktyką było posługiwanie się jedynie normami niemieckimi (DIN V VDE0801 i DIN V 19250), a także zaleceniami API, to w połowie lat 90. pojawiła się nowa norma amerykańska ANSI/ISA-84.01. Wprowadzone przez nią podejście to już była rewolucja. Zaraz potem opublikowano powstającą w bólach międzynarodową normę IEC 61508, przyjętą potem także jako EN 61508 i ostatnio jako PN-EN 61508. Te normy, trudne w zrozumieniu i aplikacji, spełniły jedną ważną rolę ? zwróciły uwagę na problemy do tej pory opisywane głównie jakościowo, problemy rozwiązywane intuicyjnie: dzięki zdrowemu rozsądkowi projektantów. Okazało się przy tym, że intuicja to za mało i że potrzebna jest gruntowna, systematyczna wiedza. Wiedzę tę zaczęły oferować pojawiające się jak grzyby po deszczu firmy konsultingowe.
O automatyce zabezpieczeniowej zaczęło się mówić i pisać. Producenci sprzętu do tej pory powszechnie używanego w układach zabezpieczających zostali postawieni przez normę IEC 61508 poza marginesem. Zaczęli więc walczyć o życie. Pojawiły się opracowania, których celem było znalezienie i rozpropagowanie sposobu omijania wymagań, stępienie ich ostrza. To doprowadziło do jeszcze większego zamętu i nieporozumień. Jest więc kolejne usprawiedliwienie. Dopiero powstanie, będącej skutkiem kompromisów, normy IEC 61511 nieco uspokoiło sytuację.
Po co te normy?
Żadna z wyżej wymienionych norm nie została w Polsce ogłoszona jako obowiązująca, a normy nieobowiązujące stanowią jedynie opis dobrej praktyki inżynierskiej. Po co więc je stosować? Powodów jest kilka:

  • Poruszamy się bowiem w obszarze związanym z bezpieczeństwem ludzi i środowiska, a na dodatek związanym z poważnymi stratami materialnymi. Warto zatem postępować zgodnie z dobrą praktyką inżynierską. Przestrzeganie zasad może okazać się jedynym argumentem dla komisji powypadkowych.
  • Najnowsze normy stanowczo ułatwiają pracę projektantom, systematyzują ją, pozwalają na jednoznaczną ocenę wyników.
  • I wreszcie najważniejsze: żąda tego inwestor, a od inwestora żąda firma ubezpieczeniowa.

Rys. 2. Zidentyfikowane przyczyny awarii przemysłowych (źródło UK HSE 1990)

Którą normę wybrać? Którą
Czym się te normy różnią? Którą z nich wybrać, jako podstawę działania?
Na początku stwierdzenie podstawowe: żadna z opisywanych poniżej norm nie unieważnia obowiązujących norm sektorowych. W przypadku przemysłu procesowego normami takimi są np. obowiązujące normy dotyczące automatyki palników olejowych: PN-EN 230 i gazowych: PN-EN 298, zaworów odcinających paliwo: PN-EN264 itp. Wszystkie międzynarodowe normy dotyczące bezpieczeństwa funkcjonalnego uznają nadrzędność przepisów lokalnych i branżowych.
Dla tych, którzy nie chcą kontynuować tej lektury, napiszę już teraz: przy konstruowaniu urządzeń stosowanych w układach automatyki zabezpieczeniowej należy wybrać normę PN-EN 61508, a przy projektowaniu kompletnych układów zabezpieczających należy wybrać normę EN 61511. Dlaczego?
O tym w dalszej części. Zacznijmy od przeglądu norm.
Przegląd norm związanych z automatyką zabezpieczeniową
Norma DIN V19250 z automatyką związana jest dosyć luźno. Przedstawia ona sposób szacowania wielkości ryzyka niesionego przez niepożądane zdarzenia. Definiuje przy tym 9 poziomów ryzyka (od 0 do 8).
Do określania ryzyka zastosowano drzewo błędów, metodę prostą, przejrzystą i o dużych walorach dydaktycznych. Dzięki temu właśnie norma zyskała dużą popularność. Według normy na wielkość ryzyka wpływ mają:

  • częstotliwość występowania zagrożeń,
  • wielkość potencjalnych konsekwencji,
  • częstotliwość narażania się na zagrożenia,
  • szansa na uniknięcie ofiar w przypadku gdy niepożądane wydarzenie wystąpiło, a ludzie byli w jego zasięgu.

Sposób, w jaki czynniki te mają wpływ na poziom ryzyka, przedstawia rys. 1. Jak widać, zastosowane elementy oceny mają charakter rozmyty, żeby nie powiedzieć opisowy, niemniej jednak pozwalają na powtarzalność ocen i na ich porównywanie w ramach co najmniej jednej instalacji. Pomimo tego, że najnowsze normy wymagają ilościowego oszacowania ryzyka, norma DIN V19250 znajduje zastosowanie przy wstępnym wyszukiwaniu miejsc szczególnie zagrożonych, które potem poddane zostają głębszym analizom.
Norma DIN V VDE 0801 uzupełniona o Amendment A1, to norma dotycząca używania sprzętu cyfrowego w układach automatyki zabezpieczeniowej.
Norma związana jest z zasadami budowy sterowników, stanowiących część centralną układów zabezpieczających. Zasady zależą od wymaganego stopnia (klasy AK) pewności działania sprzętu. Klasy pewności zdefiniowano z kolei opierając się na o poziomach ryzyka oszacowanego na podstawie normy DIN V19250. I tak, do zabezpieczania sytuacji obarczonej ryzykiem na poziomie np. 3. w części centralnej układu zabezpieczeń należy zastosować sterownik (układ) o pewności działania klasy 3.
Według normy zdefiniowano 8 klas pewności działania sterowników (albo innych urządzeń) ? od AK1 do AK8. Dla każdej z tych klas zdefiniowano wymagania techniczne stawiane sprzętowi i oprogramowaniu, a także wymagania organizacyjne stawiane wobec jego projektowania, budowy wdrażania i eksploatacji. Przez wiele lat według tej normycertyfikowano sprzęt przeznaczony do pracy w układach zabezpieczeń. Głównym mankamentem normy było nieuwzględnienie w niej wpływu innych niż układ sterujący, elementów pętli blokadowej.
Pojawienie się normyIEC 61508 praktycznie położyło kres certyfikacji według Normy DIN i klas AK.
Normy ?nowego podejścia?
Pod koniec lat 90. pojawiło się pojęcie ?normy nowego podejścia?. Co ono oznacza? Otóż w związku z szybkim postępem technicznym postanowiono zrezygnować z normowania polegającego na narzucaniu szczegółowych ?prawidłowych rozwiązań?. Rozwiązania takie szybko dezaktualizowały się i hamowały wprowadzanie lepszych sposobów. Nowe podejście polega na rezygnacji z przedstawiania rozwiązań szczegółowych oraz na określaniu jedynie kryteriów ich oceny i porównywania. W normach nowego podejścia opisywane są także ogólne zasady postępowania przy poruszaniu się po normowanym obszarze. W przypadku normowania automatyki zabezpieczeniowej nowe podejście polega na zdefiniowaniu miary jakości zabezpieczenia oraz na stwierdzeniu, że bezpieczeństwo zależy nie tylko od zastosowanych rozwiązań technicznych, ale także od prawidłowego zarządzania wszystkimi etapami ?życia? instalacji. Jako miarę jakości przyjęto średnie prawdopodobieństwo niezadziałania zabezpieczenia, gdy zadziałanie będzie wymagane ? w skrócie PFDavg. Pojęcie to było używane już wcześniej, ale teraz odniesiono je do działania całej pętli blokadowej. Wprowadzono także, oparte na PFDavg, pojęcie klas pewności zabezpieczenia ? zwane SIL (Safety Integrity Level). Zdefiniowano klasy SIL od 1 do 4, przy czym pewność działania zabezpieczenia rośnie logarytmicznie z numerem klasy. Formalne polskie tłumaczenie pojęcia SIL to ?poziom nienaruszalności bezpieczeństwa?.

Rys. 3. Warstwowy model zabezpieczeń procesu

Fakt, że zarządzanie wszystkimi etapami życia instalacji ma wpływ na jej bezpieczeństwo, był intuicyjnie oczywisty i opisywało go w swoich publikacjach wielu autorów. Dużo na ten temat można znaleźć np. w publikacjach AIChE. W 1990 roku brytyjskie HSE opublikowało informację opisującą przyczyny awarii przemysłowych, które wydarzyły się na przestrzeni kilku lat. Z publikacji tej wynika, że przyczyny tych awarii znaleźć można zarówno w błędach popełnionych przy projektowaniu instalacji, jak i podczas jej budowy, uruchamiania, eksploatacji i złomowania. Procentowy udział tych czynników przedstawia rys. 2.
Na takich właśnie dwóch fundamentalnych zasadach, mówiących o wpływie na jakość zabezpieczenia wszystkich elementów obwodu i całego cyklu życia instalacji, oparte są najnowsze normy związane z bezpieczeństwem procesów przemysłowych. Są to normy tzw. nowego podejścia. Kolejnym fundamentalnym czynnikiem dla tworzenia unormowań było przyjęcie warstwowego modelu opisu zabezpieczeń procesów przemysłowych. W modelu tym wszystkie czynniki mające wpływ na wzrost bezpieczeństwa procesu podzielono na niezależne od siebie grupy ? warstwy. Przyjęcie warstwowego modelu zabezpieczeń usystematyzowało tworzenie zabezpieczeń i ocenę ich skuteczności. Ułatwiło analizę ryzyka, a szczególnie tworzenie i analizę scenariuszy awaryjnych. Przykład powszechnie używanego podziału na warstwy zabezpieczeń przedstawia rys. 3.
Norma ANSI/ISA S84.1 jest normą amerykańską. Jak wynika z jej tytułu ?Application of Safety Instrumented Systems for the Process Industries? dotyczy wyłącznie automatyki zabezpieczeniowej w przemyśle procesowym. Lista autorów dowodzi, że jest ona mocno oparta na realiach i potrzebach przemysłu. Norma opiera się na warstwowym modelu zabezpieczeń i dodatkowo wprowadza pojęcie cyklu życia bezpieczeństwa, pojęcie, które bezpośrednio wynika z wcześniejszych publikacji UK HSE.
Po raz pierwszy w tej właśnie normie wykazano konieczność przeprowadzenia analizy ryzyka niesionego przez proces niemal na każdym z etapów cyklu życia instalacji, począwszy już od projektu koncepcyjnego. Analizy takie były do tej pory wymagane procedurami wewnętrznymi dobrych firm technologicznych, ale jedynie dobrych firm. W praktyce spotkać można było wiele instalacji, w których po przeprowadzeniu jednorazowej analizy ryzyka, np. metodą HAZOP, więcej do takich analiz nie wracano, pomimo zmian w instalacjach, technologiach i procedurach eksploatacji.
W normie zdefiniowano trzy poziomy pewności zabezpieczeń (nienaruszalności bezpieczeństwa) od SIL1 do SIL3. Nie mówi się w niej nic o metodach określania ryzyka pracy instalacji. Nie stawia praktycznie żadnych wymagań wobec sposobu organizowania i przeprowadzania prac niezwiązanym bezpośrednio z automatyką zabezpieczeniową. Znacznie bardziej szczegółowo przedstawiona jest w niej kolejność i zakres prac przy tworzeniu układów zabezpieczających SIS (Safety Instrumented Systems), ich wdrażaniu i eksploatacji.
Norma ANSI/ISA S84.1 w zasadzie nie wymaga stosowania w układach zabezpieczających specjalizowanego sprzętu. Wymaga jednak danych niezawodnościowych użytego sprzętu, pozwalających na określenie klasy SIL całego zabezpieczenia. Sugeruje używanie sprzętu od sprawdzonych dostawców.
Norma nie stawia specjalnych wymagań także wobec oprogramowania systemowego i narzędziowego. Sugeruje jedynie używanie rozwiązań sprawdzonych w innych aplikacjach przemysłowych. Jakość oprogramowania aplikacyjnego musi być sprawdzana w głębokich testach funkcjonalnych. W przypadku zastosowania sprzętu i oprogramowania o nieznanych parametrach niezawodnościowych zalecane jest stosowanie odpowiednich redundancji.
Dzięki swojej przejrzystości, zwięzłości i racjonalności przedstawionych wymagań Norma ANSI/ ISA S84.1 ?1996 jest godna polecenia każdemu zajmującemu się automatyką zabezpieczeniową. To świetny materiał szkoleniowy. Bez jego przestudiowania praca nad zrozumieniem norm IEC może przedłużyć się znacząco. Dołączone do normy dodatki zawierają przykłady tworzenia i stosowania układów zabezpieczających w praktyce przemysłowej. W dodatkach tych znaleźć można odpowiedzi na wiele podstawowych pytań praktycznych, pojawiających się przy budowie zabezpieczeń układowych.
O pozostałych unormowaniach dotyczących automatyki zabezpieczeniowej w następnym numerze.
ce
Witold Głodek jest projektantem automatyki o wieloletnim doświadczeniu. Ukończył Wydział Elektroniki Politechniki Warszawskiej. Od 6-ciu lat zajmuje się także bezpieczeństwem procesów przemysłowych i automatyką zabezpieczeniową. Jest autorem licznych publikacji na ten temat. Kontakt do autora: mpco@mpco.pl.pl.