Obsługa stanów alarmowych: wkrótce nowy standard

Przejście z analogowego systemu sterowania na cyfrowy może skutkować znacznym wzrostem liczby sytuacji alarmowych. Tym bardziej, że dobre rozwiązania, które monitorują i redukują liczbę niepożądanych ostrzeżeń, nie są zbyt powszechne. Na szczęście w tym roku światło dzienne powinien ujrzeć oficjalny standard ISA, który będzie regulował funkcjonowanie tego typu systemów. 

Wykorzystanie komputerów we współczesnych systemach DCS pozwala na szybkie i efektywne informowanie operatora o wystąpieniu sytuacji awaryjnej / alarmu. Stosunkowo nowym podejściem jest projektowanie systemu alarmów w taki sposób, że użytkownik jest informowany o danej sytuacji awaryjnej jedynie wtedy, gdy wymagane jest od niego jakiekolwiek działanie. 

Technologia jest dobra, a zatem im jej więcej, tym lepiej. Prawda? Otóż nie. Więcej nie zawsze znaczy lepiej. Nowoczesne mikroprocesory oraz rozproszone systemy sterowania (w tym DCS) umożliwiają sygnalizowanie sytuacji alarmowych związanych z niemalże każdym etapem procesu produkcyjnego. I to praktycznie bez wzrostu kosztów inwestycji. W rezultacie wiele fabryk boryka się z olbrzymią liczbą ostrzeżeń o awariach. Najczęściej powoduje to zwykłą frustrację, ale niekiedy prowadzi do tragedii.

– Niby każdy wie, że profesjonalne zarządzanie alarmami to niezwykle ważna sprawa. Jednak jakoś nie na tyle, żeby porządne systemy tego typu stały się standardowym „wyposażeniem” każdego zakładu – zauważa Todd Stauffer, menedżer marketingu PCS7 w Siemens Energy & Automation. 

Tymczasem nie brakuje zdarzeń, które ilustrują konsekwencje źle zaprojektowanego systemu alarmów. Jednym z bardziej spektakularnych jest eksplozja w fabryce BP w Texas City z marca 2005 roku. W rezultacie śmierć poniosło 15, a obrażeniom uległo blisko 170 osób. Badająca sprawę amerykańska komisja ds. zagrożeńi bezpieczeństwa w przemyśle chemicznym uznała, że jedną z głównych przyczyn eksplozji była niepełna Obsługa stanów alarmowych: wkrótce nowy standard Spokojnie, to tylko awaria Przejście z analogowego systemu sterowania na cyfrowy może skutkować znacznym wzrostem liczby sytuacji alarmowych. Tym bardziej, że dobre rozwiązania, które monitorują i redukują liczbę niepożądanych ostrzeżeń, nie są zbyt powszechne. Na szczęście w tym roku światło dzienne powinien ujrzeć oficjalny standard ISA, który będzie regulował funkcjonowanie tego typu systemów. funkcjonalność systemu alarmów (szczegółowy raport na ten temat można pobrać ze strony internetowej www.csb.gov). Ten oraz inne wypadki skłoniły personel wielu fabryk do ponownego przemyślenia kwestii programów zarządzania obsługą stanów awaryjnych. Kierownicy zakładów zaczęli rozważać wprowadzanie opracowanych w tej dziedzinie standardów. Coraz bardziej popularne stają się testy funkcjonujących systemów zarządzania alarmami. Można polecić między innymi test zaproponowany przez organizację Engineering Equipment and Materials Users’ Association’s (EEMUA) i opublikowany pod tytułem „Alarm Systems: A Guide to Design, Management and Procurement” („Systemy alarmów: wprowadzenie do projektowania, zarządzania i zaopatrzenia”). Przez wielu uznany jest za standard.

Według Tima Donaldsona, dyrektora działu marketingu w Iconics, szczególnie istotne wśród wielu czynników wpływających na poprawę działania fabryki są m.in.: rozkład stanów alarmowych w procesie produkcyjnym, częstotliwość aktualizacji danych, wpływ zmiennych monitorowanych na siebie, czas reakcji operatora oraz zmiany na stanowiskach operatorskich. Wszystkie te informacje są kluczowe dla określenia jakości systemu alarmów. Dostarczają poza tym niezmiernie istotnych informacji poprawiających działania procesowe.   

Testy działania systemów alarmów

EEMUA (zalecane)

Ropa i gaz

Petrochemia

Energetyka

Inne

Średnia dzienna liczba alarmów

144

1 200

1 500

2 000

900

Średnia liczba alarmów kończących się przestojami

9

50

100

65

35

Maksymalna liczba alarmów na 10 min

10

220

180

350

180

Średnia liczba alarmów na 10 min

1

6

9

8

5

Rozkład procentowy (mało / średnio / dużo)

80/15/5

25/40
/35

25/40/35

25/40/35

25/40
/35

Źródło: Matrikon i EEMUA

Większość fabryk doświadcza znacznie większej liczby stanów alarmowych, aniżeli wskazywałyby na to zalecenia ekspertów. 

Powrót do przeszłości

Poza innymi ważnymi pytaniami, związanymi z zarządzaniem alarmami, należy zadać jedno podstawowe: dlaczego musi ich być tak dużo? Todd Stauffer tłumaczy to poprzez odniesienie do historii. Przypomina, że w erze systemów analogowych sygnalizacja alarmowa była zaprojektowana „na stałe”. Projektowanie było żmudne i musiało być przeprowadzone bardzo starannie. Następnie cała instalacja była montowana na obiekcie. Przykładowy koszt instalacji sygnalizacji dla jednej sytuacji awaryjnej oscylował w granicach 3 tysięcy złotych. Stąd wymagana staranność podczas projektowania oraz instalowania.

– Natomiast w przypadku nowoczesnych systemów DCS koszt dołączenia kolejnego alarmu jest w zasadzie zerowy. Konsekwencją tego jest podłączanie i przesyłanie do systemów alarmowych wszystkich możliwych informacji – podsumowuje przedstawiciel Siemensa.

Model systemu obsługi alarmów

Rys. 1. Dobry system alarmów powinien być zaprojektowany
zgodnie z określonymi normami. Grupa robocza ISA’s SP-18.02, zajmująca się projektowaniem systemów dla obsługi awarii w
procesach przemysłowych, zaproponowała holistyczne podejście,
oparte na modelu szeroko rozumianego cyklu życia produktu, uwzględniającego: filozofię systemu, trening, monitorowanie czy kontrolę.
 

W dzisiejszych czasach operatorzy wprost zalewani są nawałnicą informacji przypominających komunikaty alarmowe. EEMUA sugeruje, że dobry system alarmów nie powinien „wypluwać” więcej niż jednego komunikatu na 10 minut, a co najwyżej 144 komunikaty na dzień pracy. Tylko wtedy praca operatorów może być efektywna. W rzeczywistości większość z nich notuje znacząco większą liczbę ostrzeżeń. Zwykle od pięciu do dziewięciu na każde 10 minut pracy (patrz tabela na poprzedniej stronie). David Gaertner z Invensysa podaje przykład fabryki, w której pięciu operatorów zanotowało blisko 5 milionów komunikatów o sytuacjach alarmowych podczas sześciomiesięcznego rozruchu fabryki.

– Jedno z urządzeń zasygnalizowało alarm około 550 000 razy. W ten sposób funkcjonowało ono przez kilka miesięcy. Aż dziwne, że nikogo nie doprowadziło do szału ani nikt go nie wyłączył – powiedział David Gaertner.

Te oraz inne doświadczenia powinny być uwzględniane przy tworzeniu i konfigurowaniu nowych systemów alarmów. Kolejne zalecenie sugeruje, aby projektować systemy, w których alarm występuje jedynie wtedy, gdy konieczna jest jakakolwiek reakcja zwrotna ze strony operatora. Podejście takie stanowić ma fundamentalną zmianę w projektowaniu systemów alarmów. Według komisji ISA SP18 powinno to zmienić spojrzenie projektantów na sposób interakcji operatora i sterowanego / monitorowanego procesu. Wnioskując z prac komisji ISA SP18, alarm jest dźwiękową i/lub graficzną informacją o zakłóceniach, odchyłkach bądź nieprawidłowych warunkach pracy urządzeń uczestniczących w danym procesie.

Idąc za tą definicją sugeruje się, aby w systemach alarmów umieszczać jedynie te komunikaty, które wymagają jakiegokolwiek działania ze strony operatora. Wtedy komunikat może być przekazywany zarówno w postaci dźwiękowej i/lub graficznej, a co ważne, sugerującej operatorowi, że powinien coś zrobić.

Pomiar dla samego pomiaru

W wypowiedziach ekspertów najczęściej pojawia się rada, która brzmi: „nie rób niczego, dopóki nie posiadasz odpowiedniego do tego celu narzędzia, które możesz wykorzystać podczas pomiaru”. Podpisuje się pod nią między innymi Nick Sanders, wiceprzewodniczący komitetu SP-18.00.02 w ramach organizacji ISA, zajmującego się pracami nad zarządzaniem systemami alarmów, jak również menedżera ds. rozwiązań dla przemysłu chemicznego w firmie DuPont.

– System monitorowania musi nas informować, w jakim stanie znajduje się proces po wystąpieniu danej sytuacji awaryjnej. Z iloma ostrzeżeniami mamy aktualnie do czynienia? Ile z nich ma najwyższy możliwy priorytet? System monitorowania powinien również informować, jak dane sytuacje awaryjne wpływają na jakość pracy całego systemu – wyjaśnia Sanders.

Jego zdaniem należy również wziąć pod uwagę, czy zaprojektowany system alarmów odzwierciedla przyzwyczajenia operatorów. Keith Jones, starszy menedżer w Wonderware dodaje, że wiele branż przemysłu wymaga obsługi baz danych materiałów i składników produkcji (przykładowo w branży spożywczej i farmaceutycznej). 


Alarmy należy hierarchizować. Rozkład priorytetów w dobrze zaprojektowanym systemie alarmów to około 5%alarmów o najwyższym priorytecie (oznaczanym np. #1), około 15% o priorytecie #2 i pozostałe 80% o najniższym priorytecie #3. Taki podział znacznie ułatwia operatorom obsługę sytuacji awaryjnych – oczywistym jest, że najpierw muszą reagować na te o najwyższym priorytecie #1”.


– Informacje tego typu są bardzo użyteczne podczas obsługi stanów alarmowych. Obecnie możemy dokonać implementacji w czasie rzeczywistym całego szeregu komponentów, służących do wizualizacji sytuacji alarmowych. Przykładowo, można wyświetlać proste histogramy częstości występowania alarmów. Możliwe jest także skonfigurowanie rozmaitych poziomów alarmów, dostarczając tym samym danych zarówno dla menedżerów, jak i dyrektorów – wymienia przedstawiciel Wonderware.


W dzisiejszych czasach operatorzy wprost zalewani są nawałnicą informacji przypominających komunikaty alarmowe. EEMUA sugeruje, że dobry system alarmów nie powinien „wypluwać” więcej niż jednego komunikatu na 10 minut, a co najwyżej 144 komunikaty na dzień pracy.


Jak podkreśla David Gaertner, każdy system alarmów składa się z co najmniej dwóch podstawowych elementów. Po pierwsze, dobrego narzędzia analizy określającego, które z urządzeń generuje najwięcej alarmów. Po drugie, wsparciem dla personelu, dzięki któremu możliwe będzie wyeliminowanie problemu. Narzędzia analityczne pomagają zrozumieć, gdzie w procesie znajdują się „miejsca zapalne”. Określają lokalizację punktów o najwyższej częstotliwości alarmowania. Dzięki temu możemy ustalić hierarchię awarii, uszkodzeń i innych niepożądanych sytuacji. Wiele fabryk ustala swoje własne priorytety alarmów, przy czym nie do przyjęcia jest, aby wszystkie alarmy miały najwyższy możliwy priorytet. Alarmy należy hierarchizować. Rozkład priorytetów w dobrze zaprojektowanym systemie alarmów to około 5% alarmów o najwyższym priorytecie (oznaczanym np. #1), około 15% o priorytecie #2 i pozostałe 80% o najniższym priorytecie #3. Taki podział znacznie ułatwia operatorom obsługę sytuacji awaryjnych. Oczywiste jest, że najpierw muszą reagować na te o najwyższym priorytecie #1.

Mark McTavish z Matrikonu zwraca jednak uwagę na fakt, że oprogramowanie jest jedynie narzędziem, a nie rozwiązaniem samym w sobie. Uważa, że alarmy powinny pojawiać się jedynie czasami, w wyjątkowych sytuacjach, kiedy coś wymyka się spod kontroli, przekracza założone granice. Dobry system alarmów pomaga zauważyć takie sytuacje. Wspiera operatora w codziennej pracy, zwiększając jakość pracy i ułatwiając działania, na przykład przez doprowadzenie do obniżenia liczby niepożądanych przestojów procesu.

Nie pominąć operatora

Jednakże nawet posiadanie dobrego systemu alarmów nie jest w zupełności wystarczające. Potrzebna jest swego rodzaju filozofia, dokument wskazujący główne kierunki rozwoju wszystkich projektowanych systemów alarmów. Prace nad takimi dokumentami prowadzi komisja ISA SP18, która koncentruje się nie tylko na racjonalizacji systemu alarmów, ale na całym cyklu obsługi sytuacji alarmowych, uwzględniając konfigurację nowych alarmów. Obejmuje ona nauczanie systemu alarmów, modyfikacje, testy systemu oraz okresowe monitorowanie systemu.

– Chcemy tutaj skorzystać z holistycznego podejścia, będącego wynikiem opracowania ISA 84.00.01 (patrz rysunek 1.) – tłumaczy Sands, wiceprzewodniczący komisji.

Według McTavisha podejście takie zmusza do uwzględnienia operatora w procesie projektowania.

– Niestety, większość ludzi nie bierze tego pod uwagę – zauważa przedstawiciel Matrikonu. – To operator jest tak naprawdę centralnym punktem systemu alarmów. Inżynierom trudno jest zrozumieć problemy, z jakimi borykają się na co dzień operatorzy, dopóki sami nie zasiądą na ich miejscu i nie zetkną z systemem.

Według Jonesa z Wonderware’a krytyczną kwestią jest prezentacja ostrzeżeń z wykorzystaniem prawidłowo zaprojektowanego interfejsu użytkownika HMI. Jego zdaniem alarmy muszą być odfiltrowane od pozostałych informacji. Poza tym komunikat powinien w jasny sposób stwierdzać, czego oczekuje się od operatora.

– Gdy inżynier procesu konfiguruje system, może oznakować urządzenia zgodnie z zaleceniami ISA za pomocą określonych etykiet. Jednakże operator nie odwołuje się do sytuacji alarmowej za pomocą tych etykiet. W swoim interfejsie widzi jedynie, przykładowo, „regulator poziomu dla zbiornika XYZ”. Jeżeli komunikat będzie błędny bądź niejasny, stanie się źródłem problemu. Tak naprawdę to operator jest najważniejszym elementem systemu alarmów, nie zaś inżynier procesu czy technolog – mówi Stauffer z Siemensa.

Z kolei Eddie Habibi, założyciel PAS, dodaje, że efektywna praca operatorów bezpośrednio wpływa na niezawodność procesu i poziom zysków płynących z jego funkcjonowania. Według Habibi inwestowanie w pracę operatorów jest tym samym, co inwestowanie w systemy sterowania procesem. Nie można zapewnić dobrej obsługi procesu bez prawidłowego doboru tzw. czynnika ludzkiego. Kompetentny operator zna proces produkcyjny, posiada dobre umiejętności interpersonalne, jest komunikatywny, przykłada się do powierzonych mu obowiązków, posiada szeroko rozumiane dobre nawyki w życiu codziennym. Zanim zaczęto wprowadzać systemy DCS, operator widział tablice synoptyczne, tworzące skomplikowane konstrukcje, składające się setek lampek, przełączników, wskaźników i mierników. Wraz z wprowadzeniem komputerowych systemów sterowania wszystkie te elementy zostały zamienione przez interfejs użytkownika. Przechodząc od systemów analogowych do cyfrowej realizacji tegoż interfejsu, zrealizowanego za pomocą wielu ekranów wizualizacji, operatorzy gubią sprzed oczu wielkość monitorowanego przez nich procesu.

– Zbyt często pomijamy temat szkoleń obsługi. Piloci samolotów szkoleni są przez dziesiątki godzin. Muszą osiągnąć określony poziom doświadczenia, zanim powierzy im się życie wielu ludzi podczas rzeczywistego lotu. Musimy przywiązywać większą uwagę do ciągłego zwiększania poziomu kompetencji już pracujących operatorów – podkreśla przedstawiciel PAS.

Aby dobrze zarządzać systemami alarmów, należy poświęcić czas i pieniądze. Źle zaprojektowany system prowadzi do strat w produkcji, a dość często do narażenia ludzkiego życia. Inicjalizacja programu modernizacji istniejącego systemu alarmów może być trudna do realizacji, a później dość żmudna do przeprowadzenia. Niemniej zawsze podnosi ogólną sprawność działania systemu jako całości. Najważniejsze, aby jasno określić cele, a następnie podjąć sensowne działania.

– Trzeba przy tym pamiętać, że system alarmów jest procesem samym w sobie, a nie jednorazowo realizowanym projektem – podsumowuje Gaertner z Invensysa.

ce

Artykuł pod redakcją
dra inż. Krzysztofa Pietrusewicza
z Instytutu Automatyki
Przemysłowej
Politechniki Szczecińskiej

  

Poza innymi wskazówkami odnośnie projektowania systemów alarmowych EEMUA zaleca spójną i jasną prezentację komunikatów o stanach awaryjnych. Każdy ekran powinien:

  • jasno przedstawiać powstałą sytuację,
  • wykorzystywać zwroty zrozumiałe dla operatora,
  • wykorzystywać skróty zgodne z powszechnie używanymi w danym regionie świata,
  • mieć zwartą strukturę wiadomości,
  • zostać przetestowany z uwagi na swoją użyteczność podczas normalnej pracy na obiekcie.

 

Źródło: EEMUA („Alarm Systems: A Guide to Design, Management and Procurement”)

 


Korzystaj z najlepszych wzorców

Niestety, brakuje dobrych źródeł informacji na temat projektowania profesjonalnych systemów alarmowych. Jednym z najlepszych jest artykuł „Alarm Systems: A Guide to Design, Management and Procurement”, opublikowany przez EEMUA w 1999 roku (publikacja nr 191). Dokument dostarcza zaleceń odnośnie projektowania i wdrażania systemów alarmów, ich funkcjonowania, optymalizacji działania w ramach istniejącego systemu, jak również wyznacza specyfikę nowo tworzonych systemów. Został opracowany przy znacznym udziale ekspertów ze świata przemysłu w porozumieniu z organizacjami, takimi jak ASM (konsorcjum zajmujące się zarządzaniem w sytuacjach krytycznych). Dodatkowo poszczególne etapy prac nad dokumentem konsultowano z pracownikami działu badań i rozwoju Honeywell. Więcej informacji na ten temat znaleźć można na stronach internetowych EEMUA oraz konsorcjum ASM:www.eemua.co.uk/p_instrumentation.htm, www.asmconsortium.org.

Organizacja ISA (Instrumentation, Systems, and Automation Society, www. isa.org), która dość często wyznacza standardy w wielu dziedzinach techniki, zajmuje się również problemami związanymi ze zwiększeniem poziomu odpowiedzialności systemu alarmów. Stowarzyszenie pracuje nad dokumentem SP-18.02: „Zarządzanie systemami alarmów w przemyśle”. Specjalna komisja, w skład której wchodzą użytkownicy, dostawcy i konsultanci, opracowuje: standardy, raporty techniczne, zalecenia dla systemów alarmów (włączając w to sygnalizatory oraz inne elementy systemów automatyki). Celem jest wypracowanie konsensusu, który będzie zgodny ze standardem ANSI. Prace nad standardem rozpoczęły się w październiku 2003 roku. Zakończenie prac nad standardem spodziewane jest w tym roku.

Więcej informacji na ten temat na pod adresem:www.isa.org/standards