Bezpieczeństwo procesów. Potencjalne problemy

Udoskonalenie zdolności systemu bezpieczeństwa do wykonywania zadań na życzenie wymaga lepszej diagnostyki, konserwacji i regularnego testowania.


Gwarantem niezawodnego funkcjonowania systemów automatyzacji procesów wytwórczych oraz innych systemów obsługujących produkcję i całe przedsiębiorstwo są podsystemy zabezpieczające. Zawierają one w sobie: zarówno elementy (zawory nadmiarowe, przepony bezpieczeństwa, dodatkowe kanały, elementy ostrzegania itp.), jak i całe urządzenia zabezpieczające, a także sygnalizację stanu i alarmową oraz instrukcje i procedury postępowania. Elementy i całe rozwiązania podsystemów zabezpieczających są wbudowane w proces technologiczny lub w system automatyki, mogą też działać równolegle, współpracując z tymi systemami i stanowią zabezpieczenia na różnych poziomach – od ważnego zespołu, poprzez określone urządzenie, węzeł produkcyjny aż do systemu dla całego zakładu czy przedsiębiorstwa.
Te podsystemy zabezpieczające wymagają jednak ciągłego doskonalenia swoich możliwości, poprawiania algorytmów diagnostyki, stałej konserwacji i regularnego testowania. Powinny też mieć zdolność do wykonywania zadań na życzenie, na przykład skutecznego zadziałania przy symulowanej awarii. Najwyższym poziomem zabezpieczenia jest SIS (Safety-Instrumented System). SIS to specjalnie zaprojektowane rozwiązania scalające przyrządy i oprogramowanie. Funkcjonują one przez cały czas w trybie bezpośredniej łączności z procesem wytwórczym (przetwórczym), a ich zadaniem jest podejmowanie błyskawicznych działań, w celu usunięcia skutków wykrytych przez siebie niebezpiecznych zdarzeń zachodzących w procesie. 
Jednak pomiędzy awariami w procesie upływają tygodnie, miesiące czy nawet lata, zaś w przeciągu tego czasu musimy mieć pewność, że nasz system SIS jest sprawny i gotów do skutecznego działania. Taką pewność możemy uzyskać poprzez właściwy wybór urządzeń SIS odpowiedni dla danego procesu, zainstalowanie ich zgodnie z zasadami wiedzy inżynierskiej, utrzymywanie według skutecznych metod utrzymania ruchu, a ponadto należy testować, testować i jeszcze raz testować. Aby zminimalizować prawdopodobieństwo niewłaściwego zadziałania w przypadku wystąpienia awarii, wprowadza się do przepisów regulujących to zagadnienie pewną wartość tego prawdopodobieństwa określaną jako PFD (Probability of Failure on Demand – „Prawdopodobieństwo awarii na żądanie”),  a także szereg zaleceń i norm, w których jest mowa o PFD dla: elementów, urządzeń, a nawet całego systemu SIS.
Udoskonalone normy bezpieczeństwa
Normy dotyczące bezpieczeństwa zostały opracowane dla zaspokojenia konkretnych potrzeb określonego zastosowania jakiegoś urządzenia – wymienionej gałęzi przemysłu lub obowiązku stosowania na obszarze kraju. Jednym z przykładów jest norma ANSI P-1.1-1969 (brak polskiego odpowiednika), która służy do definiowania wymagań bezpieczeństwa dla zakładów papierniczych w USA, produkujących papierową pulpę, papiery i kartony.
Wymagany sposób działania

Poziom integracji systemu bezpieczeństwa

Docelowa wartość redukcji ryzyka

Docelowa uśredniona wartość PFD

1. (90-99%)

10 do 100

0,1 do 0,01

2. (99-99,9%)

100 do 1,000

0,01 do 0,001

3. (99,9-99,99%)

1,000 do 10,000

0,001 do 0,0001

4. (>99,99%)

>10,000

<0,0001

UWAGA!
Typowe procesy przemysłowe nie należą do obszaru zastosowań przepisów bezpieczeństwa SIL 4, a pojedynczy, programowalny system zabezpieczający nie powinien być stosowany dla spełnienia wymagań SIL 4.
Źródło: Control Engineering na podstawie danych z IEC 61511-1 Tabela 3

Często tego typu zalecenia są opracowywane w postaci wytycznych projektowych, opartych na technikach dostępnych w chwili wprowadzania określonej regulacji w życie. Autorzy wszystkich tych norm, wytycznych lub zaleceń zakładają, że działania związane z cyklem życia systemu, takie jak: instalowanie, testowanie i utrzymanie w ruchu są wykonywane w sposób właściwy, co niestety zbyt często nie jest prawdą. (Patrz ramka: „Wydarzenia poprzedzające udoskonalanie przepisów bezpieczeństwa” na str. 19). 
Nowsze standardy bezpieczeństwa, takie jak te opracowane przez IEC oraz ISA, bazują na identyfikacji ryzyka i jego liczbowym określaniu, potem na eliminacji tego ryzyka, gdzie jest to tylko możliwe oraz na stosowaniu zabezpieczeń na odpowiednim poziomie tam, gdzie ryzyka nie da się całkowicie wykluczyć. 
Części 1-7 standardu IEC 61508 (polski odpowiednik: PN-EN-61508-1 do 7), dotyczący funkcjonalnego bezpieczeństwa programowalnych elektrycznych (elektronicznych) systemów używanych w systemach bezpieczeństwa, obejmują wszystkie aspekty skuteczności i niezawodności działania. Zawierają wymagania związane z bezpieczeństwem funkcjonalnym dla różnych gałęzi przemysłu, szczególnie przemysłu chemicznego, naftowego, gazowniczego, papierniczego, elektroenergetycznego (bez elektrowni atomowych) oraz dla niektórych innych, nieprzetwórczych gałęzi przemysłu. 
W odpowiedzi na reakcję tych reprezentantów przemysłu, którzy jako pierwsi wdrożyli IEC 61508, a dla których standard ten był trudny i mało elastyczny, komitet IEC sporządził wyciąg i ponownie opracował odpowiednie sekcje. W ten sposób utworzono standard IEC 61511 (brak odpowiednika w Polsce) przeznaczony dla potrzeb przemysłu przetwórczego. W rezultacie powstał standard dotyczący bezpieczeństwa funkcjonalnego, który zapewnia przemysłowi przetwórczemu pewien zakres elastyczności, przy równoczesnym zapewnieniu zgodności z podstawowym zakresem wymagań IEC 61508.  
Wpływ częstotliwości testowania na poziomie PFD

Prawdopodobieństwo, że system SIS nie zadziała prawidłowo w przypadku wystąpienia awarii w urządzeniu zwiększa się z biegiem czasu. Jednakże powraca ono na wcześniejszy, wyższy poziom niezawodności (mniejsza wartość PFD) po wykonaniu pełnego testu weryfikującego sprawność urządzenia. Zwiększenie częstotliwości wykonywania pełnych testów obniża PFD i sugeruje dwa rozwiązania: 1) zastosowanie tego samego systemu do spełnienia wymagań wyższego poziomu bezpieczeństwa (SIL – ang. Safety Integrity Level) lub 2) zastosowanie tańszego rozwiązania do spełnienia tych samych wymagań poziomu S
Źródło: Control Engineering na bazie danych od firmy Emerson Process Mana gement

Klauzula S84 Angela
Summers, prezes grupy SIS w firmie Tech Solutions i jednocześnie posiadający prawo głosu członek komitetu SP84 w organizacji ISA, mówi, że standard ANSI/ISA S84.00.01-2004 (brak odpowiednika w Polsce) pt. „Bezpieczeństwo funkcjonalne: Systemy bezpiecznego oprzyrządowania dla sektora przemysłu przetwórczego” pasuje do IEC 61511 z jednym wyjątkiem. Jak stwierdza A. Summers: – W S84-2004 znajduje się klauzula, wymagająca, aby właściciele lub operatorzy badali i dokumentowali nie tylko swoje projekty SIS, ale również stosowane działania związane z obsługą i utrzymaniem ruchu. Jeśli zostanie ustalone, że zainstalowany system SIS zapewnia bezpieczne funkcjonowanie zakładu, nie ma potrzeby wprowadzania modyfikacji. Jednakże, jeśli badanie wykaże, że SIS nie zapewnia odpowiedniego poziomu zabezpieczeń, konieczne jest doprowadzenie go do stanu zgodności poprzez zastosowanie najnowszych sprawdzonych rozwiązań inżynieryjnych.
Celem przepisów IEC 61511 oraz S84-2004 nie jest narzucanie rodzaju zastosowanej techniki czy też poziomu nadmiarowości. Intencją tych standardów bezpieczeństwa jest zapewnienie, że im większe jest ryzyko związane z procesem, tym bardziej rozbudowany musi być zainstalowany system SIS.
Chociaż zgodność z ustaleniami w normie IEC 61511 S84-2004 pozostaje dobrowolnym wyborem użytkownika, to staje się ona standardem międzynarodowym, dotyczącym systemów zabezpieczających dla przemysłu przetwórczego, standardem uznawanym przez wiele krajów. Widać to po zwiększającej się liczbie: 

  • opracowań prezentowanych przez użytkowników podczas konferencji i sympozjów,
  • odnośników zamieszczonych na stronach internetowych producentów systemów sterowania oraz 
  • zaleceń sporządzanych przez agencje rządowe, takich krajów jak: Stany Zjednoczone, Wielka Brytania, Włochy, Irlandia, Norwegia, Chiny oraz Indie.

Jednym z dowodów na to, że rządy mają świadomość znaczenia normy S84, jest kara w wysokości 360 tysięcy USD nałożona przez rządową agencję OSHA (będącą częścią Departamentu Pracy) na firmę Formosa Plastics. Jako uzasadnienie tej kary podano, że w liczbie 45 „poważnych wykroczeń” wyszczególnionych przez OSHA, kilka z nich dotyczyło „braku zgodności z uznawanymi praktykami inżynieryjnymi, takimi jak ANSI/ISA S84”.   
Na czym należy skupić uwagę?
Zdarza się, że kiedy inżynierowie i technicy zaczynają poznawać SIS, dość często od razu zakładają, że konieczny będzie potrójny czy poczwórny pakiet programowy. 
Jednakże podczas analizowania danych takich jak OREDA (Offshore REliability DAta) okazało się, że w 50% przypadków zawodzą elementy sterujące, w 42% czujniki, a pakiety programów logicznych zaledwie w 8%. Fakty te nie zwalniają nikogo od odpowiedzialności za wybór i użycie odpowiednich pakietów programów logicznych, ale pomagają podkreślić znaczenie uwzględniania wszystkich czynników wpływających na skuteczność SIS.
Te czynniki to: 

  • wskaźnik awaryjności i symptomy uszkodzeń sprzętu,
  • rodzaj zainstalowanego oprzyrządowania,
  • kryteria wyboru,
  • stopień nadmiarowości (redundancji),  
  • zakres stosowania procedur diagnozowania,
  • częstotliwość przeprowadzania testów.

Jedynym sposobem upewnienia się, że czynniki te są uwzględnione (przy równoczesnym zachowaniu umiaru stosowanych rozwiązań), jest staranne określenie kryteriów projektowych. Rozpoczyna się to od przeprowadzenia analizy ryzyka i ustalenia wymaganego poziomu integracji systemu bezpieczeństwa SIL (Safety Integrity Level) zgodnie z definicją standardu IEC (patrz: tabela „Wymagany sposób działania”).
Po ustaleniu wymaganego poziomu SIL standard IEC wskazuje docelową wartość współczynnika redukcji ryzyka RRF (risk reduction factor) oraz docelową uśrednioną wartość PFD. W ten sposób zostają określone kryteria ilościowe przyrządowego podsystemu bezpieczeństwa (SIS). 
Oczywiście, samo zaprojektowanie i zainstalowanie SIS nie wystarczy dla osiągnięcia zdefiniowanych wartościdotyczących całkowitego bezpieczeństwa, trzeba jeszcze ten system obsługiwać i sprawdzać, aby mieć pewność, że z upływem czasu jego skuteczność nie będzie spadać.  
Obniżanie wartości wskaźnika PFD
Istnieją trzy zasadnicze sposoby zmniejszania prawdopodobieństwa, że SIS nie zadziała na żądanie: 

  • zwiększanie zakresu czynności diagnostycznych, 
  • zwiększanie częstotliwości testowania urządzeń, 
  • instalowanie podwójnych, potrójnych a nawet poczwórnych urządzeń obok siebie.

Poszerzenie zakresu stosowania procedur diagnostycznych jest dzisiaj o wiele łatwiejsze i tańsze, ponieważ coraz więcej oferowanych urządzeń może już mieć wbudowane algorytmy diagnostyczne, dające się połączyć z komputerowymi systemami zarządzającymi wyposażeniem produkcyjnym – AMS (Asset Management System). Jednakże podczas wprowadzania tego typu rozwiązań jako części SIS wymagane jest zastosowanie specjalnych środków bezpieczeństwa. 
Na przykład eksperci ds. bezpieczeństwa pracujący dla firmy Exida.com zbadali zastosowanie multiplekserów z protokołem komunikacyjnym HART w powiązaniu z systemem AMS firmy Emerson Process Management, w celu rozszerzenia zakresu diagnozowania stanu urządzeń. Specjaliści z firmy Exida donoszą, że przetestowane rozwiązanie może skutecznie poprawić diagnozowanie przy równoczesnym spełnieniu wielu wymagań przepisów IEC 61511, jednakże przy spełnieniu wymienionych poniżej warunków: 

  • oprogramowanie AMS winno ustawić system bezpieczeństwa z właściwym priorytetem i zabezpieczyć dostęp hasłem,
  • ustalenie i udokumentowanie odpowiednich procedur zapewniających właściwe zastosowanie narzędzi komunikacji HART, 
  • wskaźniki awaryjności multipleksera oszacowane już na etapie projektowania SIS.

Drugą możliwością pozwalającą na zmniejszenie wartości wskaźnika PFD jest zwiększenie częstotliwości testowania urządzeń. Patrz wykres str. 16, który ilustruje fakt, że zwiększenie częstotliwości pełnego testowania obniża wartość PFD.
Czytelnicy powinni jednak zwrócić uwagę na fakt, że pełne testowanie wymaga zazwyczaj wyłączenia urządzenia z procesu lub zainstalowania obejścia linii produkcyjnej. Ponieważ coraz więcej zakładów przetwórczych wydłuża okresy pracy pomiędzy planowanymi przestojami, zatem ogranicza możliwość wykonania pełnego testowania urządzeń. 
Rozwiązaniem alternatywnym jest wykonywanie testów niepełnych, np. uruchamianie zaworów małymi, w stosunku do skoku, przesunięciami, które nie będą niekorzystnie wpływać na realizację procesu wytwórczego/przetwórczego, ale wystarczą, by sprawdzić, czy zawór wykonuje przesuw na żądanie, czy też nie (patrz wykres poniżej). Wykres ten ilustruje, w jaki sposób cząstkowe testowanie zaworów może przedłużyć okresy pomiędzy pełnym testowaniem, przy równoczesnym utrzymaniu wymaganej wartości wskaźnika PFD.
Testowanie zaworów 
Istnieją trzy podstawowe metody niepełnego testowania zaworów:

  • mechaniczne ograniczenie skoku,
  • impulsowe użycie zaworu z napędem elektromagnetycznym, 
  • regulowanie wielkości przesuwu przez pozycjoner.

Mechaniczne ograniczenie to rozwiązanie tanie, polegające na zastosowaniu elementów blokujących (pierścienie, kołki, zderzaki) ruch trzonu zaworu do małej części jego nominalnego przesuwu. Trzeba przy tym pamiętać, że zakłócają one celową pracę zaworu, dlatego częścią procedury testującej jest zapewnienie przywrócenia normalnego zakresu pracy zaworu po wykonaniu testu. 
Metoda impulsów sygnału elektrycznego podawanego na cewkę testowanego zaworu elektromagnetycznego jest prosta w stosowaniu i bardzo skutecznie załącza iwyłącza nawet zespoły zaworów. Metoda ta wymaga zastosowania wyłączników krańcowych lub sygnalizatorów położenia, odpowiednio wyregulowanych oraz zsynchronizowanych z impulsowymi wyjściami podawanymi z logicznego pakietu sterującego. Po wykonaniu testu pakiet sterujący musi przywrócić zawór do położenia bezpiecznego oraz wykluczyć możliwość fałszywych wyłączeń. 
Korzyści wynikające z niepełnego testowania skoku zaworów

Regularne stosowanie ręcznego lub automatycznego cząstkowego testowania zaworów może przedłużyć czas pracy pomiędzy wykonywaniem pełnych testów, przy równoczesnym utrzymaniu wymaganej wartości wskaźnika PFD.
Źródło: Control Engineering na bazie danych od firmy Emerson Process Mana gement
Regulacja przez pozycjoner (ustawnik pozycyjny) jest najbardziej skuteczna, kiedy w strukturze systemu SIS mamy do czynienia z zaworami regulacyjnymi oraz mikroprocesorowymi ustawnikami pozycyjnymi. Oprócz ustawiania zaworów na zadane krótkie ruchy inteligentny ustawnik pozwala na dokonanie szeregu czynności diagnostycznych, obejmujących cały zakres skoku zaworu oraz opór stawiany siłownikowi. Ponieważ ze względu na koszt zaworów nadmiarowych zazwyczaj nie wyposaża się ich w pozycjonery, przeciwnicy tej metody uznają konieczność instalowania dodatkowego sprzętu i związane z tym koszty za poważną wadę. 

Wydarzenia poprzedzające udoskonalanie przepisów bezpieczeństwa

  • Rafineria Pernis: Holandia – 20 stycznia 1968 – 2 ofiary śmiertelne, 85 rannych
  • Flixborough Wielka Brytania – 1 czerwca 1974 – 28 ofiar śmiertelnych, setki rannych
  • Seveso: Włochy – 10 lipca 1976 – 700 rannych
  • Bhopal: Indie – 2 grudnia 1984 – 2 500 ofiar śmiertelnych, 100000 rannych
  • Piper Alpha: Wielka Brytania, Morze Północne – 6 lipca 1998 – 165 ofiar śmiertelnych, 61 rannych

Źródło: Control Engineering

Co innego wynika jednak z raportu naftowego giganta British Petrol. Raport podaje, że po zainstalowaniu regulatorów Metso Automation-Neles model VG800 oraz oprogramowania ValvGuard, umożliwiającego niepełne testowanie i monitorowanie stanu, bezpieczeństwo w zakładzie zostało znacznie zwiększone, a koszty operacyjce uległy redukcji. BP podaje, że inwestycja zwróciła się w bardzo krótkim czasie. O podobnym sukcesie donosi  Saudi Aramco – przy zaworach nadmiarowych, po zainstalowaniu cyfrowych regulatorów FieldVue firmy Emerson.
Jedną z mniej nagłaśnianych korzyści zwiększenia zakresu stosowania procedur diagnostycznych i częstotliwości testowania zaworów nadmiarowych jest możliwość ich wyeliminowania. W niektórych zastosowaniach o wysokim poziomie ryzyka od dawna praktykuje się szeregowe instalowanie dwóch zaworów nadmiarowych. Przyczyną tego typu działań jest to, że prawdopodobieństwo, aby jednocześnie obydwa zawory nie zamknęły/otworzyły się na żądanie, jest bardzo małe. Jednakże ostrożne stosowanie urządzeń nadmiarowych, zwiększenie zasięgu diagnostyki i zwiększenie częstotliwości testowania pozwala niektórym firmom na wyeliminowanie jednego z dwóch zaworów nadmiarowych i podobno odbywa się to bez zmniejszenia skuteczności działania systemu bezpieczeństwa. ce 
Artykuł pod redakcją Józefa Czarnula