Godząc się na brak dokumentacji

Najbardziej popularny w 2009 roku temat dyskusji na portalach społecznościowych Facebook i LinkedIn (w grupach skupionych wokół amerykańskiego Control Engineering) dotyczy zagadnienia: czy operatorzy powinni mieć możliwość samodzielnego wprowadzania zmian ustawień oprzyrządowania, czy powinno to być zadaniem bardziej formalnym, a zmiany powinny być wprowadzane przez ludzi na szczeblu zarządzającym?
Dyskusja rozpoczęła się po tym, kiedy pojawiły się komentarze na temat wzrastającej liczby przypadków, w których opisywano dostrajanie przez operatorów nastaw przyrządów, zazwyczaj w celu zmniejszenia liczby trapiących ich alarmów, ale bez wprowadzania odpowiednich zmian w dokumentacji. Po zaistnieniu takiej sytuacji nikt inny nie jest świadomy wprowadzonych zmian. W sytuacji, gdy proces związany z jednym z przyrządów, którego zmiany nastaw dotyczyły, wyszedłby poza dozwolony technologicznie zakres właśnie z uwagi na wprowadzone zmiany, naprawienie takiego stanu rzeczy mogłoby stać się bardzo złożone. Przyczyny tego należy się dopatrywać właśnie w tym, że żadne adnotacje odnośnie wprowadzonych zmian nie znalazły odzwierciedlenia w dokumentacji.
Podsumowując tę dyskusję, wyodrębniliśmy najbardziej istotne zagadnienia i pogrupowaliśmy je w cztery podstawowe obszary – wpływ na sterowanie, narzędzia programowe i oprzyrządowanie, procedury i ostateczna odpowiedzialność.
Wpływ na sterowanie
Faktem jest, że nierozsądne i nieudokumentowane zmiany dotyczące nastaw przyrządów mogą wpływać na wiele wbudowanych zadań sterowania – twierdzi Allan Gibson, starszy konsultant i inżynier bezpiecznego funkcjonowania w Invensys, aby podkreślić, że wprowadzanie zmian regulacji i śledzenie tych zmian jest „jednym z kluczowych zadań” należących do operatora.
– Żadne ustawienia alarmów nie powinny być zmieniane bez szczegółowej analizy – powiedział Gibson. – Jeśli alarm nie jest krytyczny, a powoduje takie niedogodności, że daje to operatorowi prawo do wprowadzenia zmian zakresu jego aktywacji, wówczas pierwszym pytaniem, jakie musimy sobie postawić, powinno być: dlaczego alarm ten znajduje się na pierwszym miejscu? Alarm zawsze musi oznaczać utratę kontroli i żaden z alarmów nie powinien być zaimplementowany bez automatycznego poziomu kontrolowania przeciwdziałania generowaniu takiego alarmu podczas normalnych warunków pracy. Częste alarmy są znakiem uszkodzonego systemu sterowania lub uszkodzenia strategicznej infrastruktury. W obu przypadkach inżynier infrastruktury lub DCS powinien traktować alarmy pod kątem naprawy jako swój najwyższy priorytet.
Tony Atkinson, główny konsultant do spraw bezpieczeństwa w ABB, zauważył, że powiązane z nastawianymi punktami procesu lub innymi zmiennymi parametrami alarmy są często dla obsługi powodem do bezpośredniego manipulowania ich zakresami z uwagi na brak zróżnicowania poziomów dostępu w systemie alarmowym.
– Dla przykładu, jeśli specyfikacja wsadu lub produktu ulega zmianom, wówczas granice alarmów również mogą się zmienić w związku z nowymi warunkami procesu – powiedział Atkinson. W takiej sytuacji Atkinson dostrzega przypadek, w którym alarmy mogą być dostosowane przez zespół operatorów, przy zachowaniu pewnej formy „zmiany kontrolnych świateł” procesu, gdzie nowe ustawienia alarmów są zdefiniowane wraz z wyznaczonymi zmianami warunków procesu i zdefiniowane formalną procedurą lub specyfikacją i pod warunkiem wpisania tych zmian do listy sprawdzającej systemu kontroli oprzyrządowania.
– Problem jest złożony z uwagi na fakt, że wiele (większość?) systemów alarmowych nie rozróżnia poziomów dostępu pozwalających dostać się do ograniczeń alarmowych jako coś krytycznego – powiedział Atkinson. – Jeśli pozwoli się na dostęp do jednego alarmu, wówczas często pozwala się na dostęp do wszystkich alarmów i żadne zróżnicowanie nie będzie całkowicie proceduralne. Dając taki dostęp, zalecam zazwyczaj kierowanie się ostrożnością i nie pozwalam operatorom na dostęp do granic alarmowych dopóki odpowiadająca za zmianę kontroli systemu obsługa nie jest na miejscu.
Bill Hollifield, główny konsultant zarządzający alarmami i HMI w PAS, występuje przeciw takim zmianom, ponieważ odpowiednie dostrojenie wynika z metod inżynierskich, a nie intuicji.
– Pozwalanieoperatorom na wprowadzanie zmian ustawień oznacza, że operatorzy przychodzący na kolejną zmianę nie mają pojęcia, gdzie zakresy setek alarmów są ustawione – powiedział Holliefield. – Ustawienia indywidualnych preferencji, takich jak wartości skrajne alarmów, przekładają się na zastępczą optymalizację procesu, powodując przy każdej zmianie wahanie procesu, wprowadzając nieracjonalne alarmy, przyczyniając się do pływania stanów alarmowych, a zatem nie zapewniają pracy zgodnie z najlepszymi praktykami. Co więcej, od kiedy zmieniają się ustawienia bezpieczeństwa dla kontroli ustawień alarmów, nie zawsze zachowana jest ich efektywność – oto dlaczego użycie automatycznej rewizji i przeforsowanie pewnych mechanizmów w celu zapewnienia właściwych ustawień alarmów stają się codziennością.
Narzędzia programowe i oprzyrządowanie
Wzrastająca zmienność wyników operacji jest kolejnym uzasadnieniem obawy o przypadki, kiedy operatorzy dostrajają zakresy przyrządów bez wprowadzania jakichkolwiek zmian w bazach danych.
Charles Cohon, fundator i przewodniczący Prime Device Corp., przedstawił następujący przykład: – Linia produkcyjna odpowiada za wiercenie otworów w środku okręgu o promieniu pół cala. Kiedy operator nawierca otwór przy skrajnie lewym krańcu tolerancji, instynkt podpowiada mu, że wiercenie powinno być przeprowadzone ze zmienioną pozycją o pół cala w prawo, ponieważ „otwór wydaje się być zbyt daleko od środka”. Zmieniając pozycję wiercenia za każdym razem, kiedy wiercenie jest przy skrajnym krańcu tolerancji, tolerancja ta przesuwa się z wewnątrz okręgu o promieniu pół cala okręgu o promieniu jednego cala. Innymi słowy, operator, który dążył do uzyskania optymalnych wyników, zwiększa zasięg potencjalnie uzyskiwanych rezultatów (zmienność) czterokrotnie.
Podczas gdy większość z nas zgadza się, że specyficzne procesy i procedury powinny trzymać kontrolę nad zmianami zakresów pracy urządzeń, zgadza się także, że pewna możliwość zmiany parametrów jest złem koniecznym.
– Pracując w zakładach chemicznych w bardzo wilgotnym i zmiennym klimacie wiem, że jeśli operatorzy nie będą mieć pewnej kontroli nad przebiegiem procesu i temperaturą, proces ten może często zostać przerwany – mówi Glenn Hutson, koordynator stosowania bezpieczeństwa w BP Exploration. – Widziałem platformy sterowania, w których najważniejsze sterowanie procesu było dostępne tylko dla inżyniera procesu, który miał klucz (tak, prawdziwy fizyczny klucz). Podobnie widziałem jeszcze głupsze rozwiązanie od strony efektywności – inżyniera przyrządów kompletnie „odłączonego” od sterowania.  Operatorzy w dalszym ciągu szczęśliwie dostrajali urządzenia, myśląc, że wprowadzają jakieś zmiany.
Jon McClain, starszy inżynier projektowania programów/instalacji elektrycznych w ATI, zauważył, że problem autoryzowania operatorów w oprogramowaniu użytkownika jest zagadnieniem już od długiego czasu – od kiedy produkty bazujące na mikrokontrolerach zaczęły zastępować starsze produkty analogowe. W starszych produktach analogowych można było je często zobaczyć po prostu zablokowane kluczem w większej osłonie. Aby obsłużyć kontrolę upoważnień dla wprowadzenia zmian i kalibracji w produktach mikroprocesorowych, dużo przyrządów w naszym przemyśle ma pewien rodzaj wielopoziomowych haseł kontrolujących i logujących cechy, które należy wpisać w przypadku jakiejkolwiek zmiany systemu.

McLain zauważył, że ta metoda nie jest wcale uniwersalna, ale zatrzymuje przypadkowych użytkowników. Może także pomóc zrozumieć, która jednostka jest tą, która dokonuje zmian. Ostatecznie, ktoś zawsze może poznać hasło. W końcu zakłócenia związane z omijaniem haseł i podobnymi przypadkami mogą być efektywnie rozwiązane na poziomie personelu.
Fakt, że specyfikacja HART (Highway Addressable Remote Transducer) zawiera możliwości zabezpieczenia zapisu dla inteligentnych urządzeń, był lansowany przez Mike’a Boudreaux, zarządzającego produkcją w Emerson Process Management. – Możesz zabezpieczyć zapis w urządzeniu HART, a status zabezpieczenia wpisu pozwoli na kontrolę, wykorzystując zalety systemu zarządzania. Kiedy w trybie zabezpieczenia zapisu zmieni się kalibracja, użycie ręcznego komunikatora nie będzie możliwe.
Boudreaux zauważył także, że produkty programowe, takie jak Emerson QuickCheck Snap-On, mogą generować raporty pokazujące, które urządzenie jest aktualnie w trybie zabezpieczenia zapisu, czyniąc kontrolę i wyszukanie przyrządów HART, które nie są zabezpieczone, zadaniem prostym.
Procesy i procedury
Większość komentarzy w tej dyskusji skupiało się na rozwiązaniu problemu, bazując na ostrożnym przemyśleniu i spełnieniu wymagań proceduralnych. Pewne grupy posunęły się nawet tak daleko, że zaczęły się dzielić wytycznymi, jako środkiem pomocy innym przeglądającym lub służącym rozwojowi własnych wymagań. Inni sugerowali bliższe spojrzenie na możliwości włączenia w pewne technologie sterowania, które tym samym mogłyby już być zaimplementowane w miejscu korzystania przez użytkownika.
Jeden taki wpis pochodził od Arifa Mustafy, zarządcy krajowego w Yokogawa Middle East z Kuwejtu. Mustafa stwierdził, że pewne technologie sterowania pomagają raportować zmiany zakresów wprowadzanych przez operatorów na poziomie stacji operatorskich, poprzez:
Jasne zdefiniowanie krytycznych i niekrytycznych pętli, wewnętrznych blokad itd., bazując na kilku poziomach;
Atuty programu zarządzającego, który może być użyty do interakcji z inteligentnymi zakresami przyrządów, używając HART, Foundation Fieldbus lub Profibus;
Konkretne zmiany w zakresach na poziomie przyrządu mogą być przekazywane przez „wiadomości prowadzące operatora” lub zdarzenia powiadamiania DCS. Operatorzy mają wgląd w te zmiany. Zintegrowanie zalet programu zarządzającego z programem operatora DCS może być wykonane w celu synchronizacji, jako sygnalizowanie zdarzeń zmian zrobionych w obszarze wszystkich danych;
Inteligentne zakresy przyrządów pozwalają także na dokładne zablokowanie parametrów lub nastawienie granic zezwalanego definiowania zmian (na przykład system może odblokować komuś wprowadzanie zmian w zakresie, który mógłby mieć niesprzyjający wpływ na przebieg procesu);
Stacja logowania operatorów pozwala także wizualizować alarmy i informacje o zdarzeniach połączonych z zadaniami informującymi: czego dotyczy, gdzie i kiedy wystąpiło oraz przez kogo zostało wykonane.
Leslie Parchomchuck, prezes ClearSky Risk Management, dostarczył pragmatycznego zestawuwskazówek. – Rozpocznij od nadania priorytetów alarmom/przestudiuj racjonalność alarmów, aby określić, które alarmy są krytyczne dla bezpieczeństwa i integralności procesu (bezpieczne granice), a które są alarmami zmiennych procesowych, które pomagają w sprawnym prowadzeniu procesu – powiedział Parachomchuk. – Ze zdolnością monitorowania każdego punktu alarmowego DCS wiele urządzeń jest sprzężonych z wieloma alarmami, z których wiele jest alarmami niedogodnymi. Krytyczne/niebezpieczne/o wysokim priorytecie alarmy należą do grupy tych, które muszą przejść przez proces zmian zarządzania (MOC – management of change processes) i powinny być odblokowywane, zanim zostaną zmienione przez operatora. Inne sygnalizatory w systemie DCS powinny mieć elastycznie ustawiane przez operatora punkty alarmowe. Daje to zaletę posiadania gwarantujących bezpieczeństwo granic operacyjnych poprzez stałe punkty alarmowe, ale pozwalając jednocześnie operatorom skutecznie prowadzić aktualny proces.
Niektórzy sedna dyskusji upatrują w tym, jak dalece zmiany mogą być dozwolone i gdzie absolutnie nie mogą.
– Z mojego doświadczenia wynika, że operatorom daje się pozwolenie/możliwość do zmieniania parametrów procesu tylko tak dalece, jak proces lub procesy na to zezwalają, i w zadanym przypadku kształtu lub formy nie powinni mieć oni dostępu do kalibrowania lub parametrów bezpieczeństwa – powiedział Scott Mahler, profesjonalista z branży wytwarzania układów elektrycznych/elektronicznych. – Operatorzy powinni próbować odnaleźć sposób na pracę w otaczających ich widocznych niedogodnościach. Ale każda zmiana w kalibracji lub parametrach bezpieczeństwa powinna być dostarczona poprzez odpowiedni kanał i dokumentację.
Ocenienie problemów nieautoryzowanego i nieudokumentowanego zmieniania zakresów nastaw urządzeń, na  obu poziomach: systemu i urządzeń – stwierdza Herman Storey, szef technologii w Herman Storey Consulting – wchodzi w kategorię pracy procesu w obliczu braku zarządzania lub braku kontroli.
Storrey dodał, że w swojej karierze widział wiele projektów, gdzie alarmy były ustanawiane na ostatnią minutę (podczas uruchamiania), bez odpowiedniej rewizji inżynierskiej. – Po tym żaden system nie był ustanowiony w celu zapewnienia ustawień alarmowych – powiedział.
– Czasami zakresy przyrządów są wykonywane w ten sam sposób. Jest to błąd zarządzania, ale generalnie narzędzia bazodanowe są włączane w DCS, aby przechowywać kopie i odtworzyć ustawienia, które są wewnątrz systemu. Tym, co jest często nieimplementowane, jest logiczne podejście do przetrzymywania wszystkich informacji dotyczących ustawień alarmów, takich jak: dlaczego alarm jest tutaj, co go chroni i jaka konkretna akcja powinna zostać podjęta przez operatora, jeśli alarm zostanie wywołany. Nie mając narzędzi i systemu zarządzania, autoryzacja jest pomniejszym zagadnieniem.
Rozszerzając temat o odpowiedniej autoryzacji, Storey zauważył, że autoryzowane zmiany mogą być po prostu tak samo problematyczne, jak zmiany nieautoryzowane. Wiele przedsiębiorstw daje technikom ręczne komunikatory i wydaje im polecenie nastawienia zakresów pracy urządzeń – mówi Storey. – Te komunikatory są używane w razie problemów i zarządzania konfiguracją, co jest typowo robione w zakresie zależnym od tego, jaką informacją dysponuje technik. Często nie ma podłączonego systemu do zarządzania konfiguracją urządzenia lub otrzymania informacji diagnostycznych. Właściwość konfiguracji uzyskiwanych przy użyciu ręcznych komunikatorów jest bardzo niska i symuluje trafność operacji i tryb uszkodzenia. Ten problem autoryzowanej pracy wykonywanej przez autoryzowane osoby bez odpowiednich narzędzi może prowadzić do tego, że praca produkcyjna jest po prostu tak zła, jak praca nieautoryzowana.
Storey powiedział, że widział, iż większość właścicieli/operatorów ma zainstalowaną wielką bazę systemów, którenie mają dobrego wsparcia narzędziowego do zarządzania aktywami i siłą roboczą lub uszkodzeniami procesu pracy, gdzie narzędzia są zainstalowane. Co więc powinni robić właściciele/operatorzy w odpowiedzi na problem? Storey mówi, że powinni kontynuować cięcie kosztów w obliczu tych zagadnień.
Całkowita odpowiedzialność
Z opiniami na temat zakresu kompetencji operatorów, które z jednej strony sugerowały, aby nigdy nie pozwolić operatorom na wprowadzanie zmian, a z drugiej strony żądały upełnomocnienia operatorów, aby wprowadzali odpowiednie decyzje, poprzedzając je odpowiednim treningiem, konsultacją, i wprowadzeniem lepszych systemów i procedur. Rodzi się pytanie: kto jest ostatecznie odpowiedzialny za naprawianie pojawiającego się w takich sytuacjach problemu nieudokumentowanych obszarów zmian dotyczących urządzeń?
– To na inżynierze sterowania spoczywa odpowiedzialność, aby zaprogramować system tak, aby pozwolił na bezpieczne operacje podczas maksymalizowania „wolności” operatorów do utrzymania systemu… w okresie pracy! – powiedział Jerold Aulph, zarządzający programami w Battery Management Systems & Automation. – Przywołując zagadnienie bezpieczeństwa i cytując OSHA (Occupational Safety and Health Administration), „liczby nie zatrzymają systemu przed przegrzaniem”. Ustaw tryby uszkodzeń procesu i analizę skutków na początek fazy cyklu projektowania systemu, co gwarantuje zabezpieczenie od pojawienia się błędów i pozwoli ograniczyć dostęp operatorów do poziomów bezpieczeństwa, dając im tym samym gwarancję bycia bezpiecznymi operatorami.
Marc Houwelijckx, starszy inżynier kontroli procesu w firmie Total, utrzymuje stanowczo odmienny punkt widzenia. – Jako inżynier kontroli, nie jestem odpowiedzialny za zewnętrzne przyrządy. Jakkolwiek jestem mocno zależny od wykonania przez innych dobrze swojej pracy, w przeciwnym przypadku wszystkie nastawy, które wprowadzam, są stratą czasu.
Duane Mahnke, prezes DBMahnke Consulting, powiedział, że operatorzy lepiej współpracują, jeśli znają znaczenie swoich czynności i są traktowani jako część zadania korekcji. – To można wykonać poprzez zachętę pieniężną lub w inny sposób, aby wprowadzić ich o stopień wyżej i raportować zmiany lub niedogodności, w obliczu których stają, żeby wykonywać swoją pracę – powiedział Mahnke. – Bez zachęty operatorzy, będąc proszonymi o pracę bez przerwy, skłaniają się do robienia rzeczy, które ułatwiają im pracę i nie raportują tych zmian, bo nie wiedzą, jaki to ma wpływ na proces/produkt lub wiedzą, jaki może mieć wpływ, ale nie chcą by ktokolwiek dowiedział się, że robią to, czego robić nie powinni. Jeśli inżynier projektowania systemu i zarząd ma dobry kontakt z operatorami, przekona ich do bycia częścią „zespołu” i doceni zrobienie tego, mniej z tych rzeczy się przytrafi.
Artykuł pod redakcją dr. inż. Krzysztofa Jaroszewskiego, adiunkta w Katedrze Automatyki Przemysłowej i Robotyki Wydziału Elektrycznego Zachodniopomorskiego Uniwersytetu Technologicznego w Szczecinie.

Kiedy zmiana urządzenia jest naruszeniem standardów  
Poza wszelką dyskusją o najlepszych praktykach, komunikacji i optymalności procesów jest to, że wprowadzenie zmian do zakresów pracy urządzeń może być często bezpośrednim zakłóceniem standardów przemysłowych lub rządowych.
Michael G. Mariscalco PE i właściciel QEI Engineers zaznaczył, że w USA, jeśli proces odznacza się ryzykiem chemicznym, nieplanowanymi lub nieautoryzowanymi zmianami kontroli procesu, powinno być brane pod uwagę zakłócenie standardów OSHA Process Safety Managements. Dalej praktyka taka może naruszać wymogi ANSI/ISA 84.00.01-2004 Safety Instrumented Systems fo Process Industry Sector.
Mike Boudreaux z Emerson Process Management wskazał, że standard IEC 61511-1 klauzula 11.6.4 (i ANSI/ISA 84) wymaga, aby inteligentne czujniki były zabezpieczone przed zapisem, by chronić przed nieumyślnymi modyfikacjami ze zdalnych lokalizacji, o ile odpowiednie inspekcje bezpieczeństwa nie pozwalają na użycie trybu odczyt/zapis. – Standardy wymagają, żeby przy przeglądzie brać pod uwagę czynnik ludzki jako źródło błędów w przestrzeganiu procedur – dodał Boudreaux.
Profesjonalista Richard Quinnette, inżynier chemiczny i środowiskowy, także wskazał, że w nawiązaniu do OSHA 29 CFR 1910.119 w sekcji dotyczącej „Zarządzania zmianami”, jeśli w USA masz do czynienia z „ukrytymi procesami”, a operator wprowadza zmiany bez dokumentowania, udogodnienie to powinno być traktowane jako naruszenie. – To jest coś, do czego zarządzający operacjami powinni mocno zniechęcać nie tylko z powodu stosowania się do procedur, ale także z powodu bezpieczeństwa.