Zarządzanie alarmami – stosowanie racjonalizacji

Zbyt łatwe wdrożenie alarmów sprawia, że ich lista jest bardzo długa. Racjonalizacja alarmów pomoże kontrolować i optymalizować ich wybór.
Źle zaprojektowane systemy alarmowe są przyczyną ignorowania krytycznych zdarzeń alarmowych lub niewłaściwej reakcji operatorów, co prowadzi do nieprzewidzianych postojów w produkcji, obniżenia jakości produktów, straty majątku zakładu itd. Jednakże największym sprawcą okazuje się wdrożenie nowoczesnych technologii w systemach sterowania. W czasach, kiedy wszystkie elementy systemu sterowania i alarmy były okablowane, inżynierowie musieli, w każdym przypadku, uzasadniać użycie alarmu, które pojawiało się na pulpicie sterowniczym ze względu na realny jego koszt około 1000 USD. Odkąd nowoczesne systemy sterowania oferowane są z całą gamą alarmów, traktuje się je, bezzasadnie, jako pozbawione kosztów. Dlatego nie ma szczególnej motywacji do skrupulatnego ustalania alarmów lub zmniejszania ich liczby. Nikt nie chce być obwiniony za nieuwzględnienie alarmu. Większość projektantów bezkrytycznie uwzględni i zastosuje wszystkie dostępne alarmy oferowane przez system sterowania. Jak przedstawiono w tabeli 1 (poniżej), prowadzi to do zbyt częstego występowania bezsensownych alarmów w sterowni lub niewłaściwego ustalenia priorytetów dla sytuacji alarmowych. Wszystkie te sytuacje zmniejszają skuteczność operatora.
Trochę podstaw
Właściwie funkcjonujący system alarmowy pozwala operatorowi prowadzić proces w niemalże idealnych warunkach sterowania i zapewniać bezpieczeństwo. Pierwszym krokiem w projektowaniu takiego systemu jest ustalenie kryteriów alarmu i zarejestrowanie ich w odpowiednim dokumencie metodologii alarmowej, stosując następujące kryteria:
Alarm: Akustyczne i/lub wizualne środki informujące operatora o wadliwym działaniu urządzenia, zaistniałym błędzie w procesie lub nieprawidłowym stanie wymagającym określonej reakcji. Odpowiedni czas powinien być określony w celu umożliwienia operatorowi zareagowania na dane zdarzenie. Poza tym każdy alarm powinien ostrzegać, informować oraz instruować; każdy alarm sygnalizowany operatorowi powinien być praktyczny oraz znaczący [Ref ISA-18.2 oraz EEMUA 191]. Oznacza to, że jeśli sytuacja nie wymaga reakcji operatora, to nie powinien być sygnalizowany stan alarmowy.

Dokument metodologii alarmowej (APD – alarm philosophy document): Dokument ten określa standardy związane ze wszystkimi aspektami zarządzania sytuacjami alarmowymi przez przedsiębiorstwo, włączając projektowanie, produkcję oraz konserwację. Zawiera definicje/kryteria określające, czym powinien być alarm, jako uzupełnienie zasad racjonalizacji, takich jak ustalenie priorytetów dla sytuacji alarmowych, określenie ich zaprogramowanych progów zadziałania oraz ich klasyfikacja. Dokument metodologii alarmowej musi być ustalony przed rozpoczęciem racjonalizacji.
Termin „alarm” jest często używany w celu określenia alarmów kandydackich, jak również tych, które przeszły przez proces racjonalizacji. Dla przejrzystości niniejszej dyskusji należy dokonać następującego rozróżnienia:
Alarm kandydacki to taki, który jest brany pod uwagę w celu włączenia go do systemu alarmowego. Może on już istnieć (brownfield system) lub być proponowanym/potencjalnym alarmem do systemu greenfield lub brownfield.
Termin „alarm” będzie oznaczał zracjonalizowany alarm, taki, który został oceniony na podstawie kryteriów APD i je spełnił.
Rozpoczęcie procesu
Racjonalizacja jest procesem, w którym interdyscyplinarny zespół analizuje każdy oceniany alarm w celu upewnienia się, że jest uzasadniony i spełnia kryteria alarmu zarejestrowanego w APD. Celem jest system alarmowy, w którym właściwy alarm jest dostarczony do operatora w odpowiednim czasie, mający istotne znaczenie, udzielający właściwej informacji.

Racjonalizacja jest jednym z etapów zarządzania eksploatacją alarmami określoną w ISA-18.2. Jest często nazywana dokumentacją i racjonalizacją (D&R – documentation and retionalization), ponieważ wszelkie informacje powinny być właściwie dokumentowane w głównej bazie danych systemu alarmowego (MADB – master alarm database). W celu wspierania tego zadania dostępne są narzędzia zarządzania systemami alarmowymi. Skuteczne narzędzie potrafi znacząco zmniejszyć czas realizacji całego procesu, zarówno oszczędzając pieniądze, jak i obniżając czas pracy personelu.
W celu rozpoczęcia prac należy utworzyć zespół racjonalizacji. Zespół powinien składać się z trzech do czterech kluczowych członków oraz z listy niepełnoetatowych członków, którzy mogą wnieść konkretne doświadczenie. Ekspert zarządzania alarmami powinien służyć jako koordynator. Przykładowy zespół jest zaprezentowany poniżej [Ref ISA-18.2 TR2].
Pełnoetatowi:

  • inżynierowie produkcji i/lub technolodzy zaznajomieni z procesem produkcyjnym, ekonomiką oraz systemem sterowania,
  • operator/operatorzy z dogłębną wiedzą na temat procesu produkcyjnego oraz doświadczeniem w zakresie systemów sterowania,
  • inżynier urządzeń oraz systemu sterowania procesem produkcyjnym,
  • koordynator zarządzania alarmami.

Jeden z powyższych będzie zazwyczaj wskazany jako osoba prowadząca dokumentację.
Niepełnoetatowi w razie potrzeby:

  • inżynierowie zarządzania bezpieczeństwem/ryzykiem oraz środowiska,
  • inżynier utrzymania ruchu,
  • specjaliści od urządzeń/analizatorów,
  • zarządzanie (rozruchem).

Następnie zespół gromadzi dokumentację niezbędną do przeprowadzenia analizy/oceny alarmów, takich jak P&IDs, HAZOPs, oceny SIL, procedury obsługi oraz najistotniejsze, dokument metodologii alarmowej APD. Następnie przechodzimy do sedna procesu racjonalizacji, systematycznego przeglądu, krok po kroku, każdego ocenianego alarmu.
Wybór i przegląd kandydatów
Alarmy kandydackie mogą być wybierane do przeglądu po kolei lub jako grupa w przypadku podobieństw. Kolejność wyboru odbywa się zgodnie z logiczną sekwencją podyktowaną rozmieszczeniem sprzętu w procesie produkcyjnym. Pozwala to na powtórne zastosowanie rezultatów poprzedniego projektu.
Pierwszy krok przeglądu ma określić, czy kandydat spełnia fundamentalne kryteria zarejestrowane w dokumencie metodologii alarmowej, to znaczy:

  • czy wskazuje wadliwe działanie, błąd lub niepożądany stan,
  • czy wymaga określonej czasowo reakcji operatora w celu uniknięcia określonych konsekwencji,
  • czy jest wyjątkowy lub czy istnieją inne alarmy, które wskazują taki sam stan,
  • czy jest to najlepszy wskaźnik pierwotnej przyczyny niepożądanej sytuacji.

O działaniu operatora: Uzasadnione działania operatora, takie jak uruchomienie pompy rezerwowej lub otwarcie zaworu, są zaprojektowane tak, aby zmieniały stan procesu produkcyjnego, natomiast zwykłe potwierdzenie alarmu lub odnotowanie go w dzienniku tym nie jest. Jeśli działanie operatora nie może być jednoznacznie określone (czyli nie ma uzasadnienia), wówczas warunek alarmu kandydackiego nie jest spełniony.
O wyjątkowości: Jeśli działania alarmów kandydackich wywołują taką samą reakcję (działanie) operatora, może to wskazywać, że alarmy są zduplikowane. Jedną z metod określającą, czy obydwie sytuacje dla poziomu „wysoki” i „wysoki-wysoki” zbiornika się pokrywają, jest analiza działania operatora dla każdego z wymienionych przypadków. Jeżeli reakcja operatora na poziom „wysoki” (zmniejszyć przepływ wlotowy) jest całkowicie lub tylko w pewnym stopniu różna od poziomu „wysoki-wysoki” (wstrzymać przepływ wlotowy), wówczas obie sytuacje mogą być spełnione.
Alarmy kandydackie, które nie spełnią kryteriów, są zaznaczone do usunięcia z systemu alarmowego. Tym sposobem usuwa się kandydatów, którzy są zbędni. Kandydaci, którzy spełnią kryteria, przechodzą dalej do następnego etapu, który ma określić ich priorytet.
Określenie priorytetu
Priorytet alarmu pomaga operatorowi w decyzji, na którą sytuację alarmową należy zareagować w pierwszej kolejności, dlatego jest kluczowy w bezpiecznej i skutecznej kontroli procesu. Powszechnie dzieli się go na trzy lub cztery poziomy z określeniami, takimi jak stan zagrożenia lub stan krytyczny, wysoki, średni, niski, w celu ułatwienia operatorowi podjęcia decyzji o reagowaniu na sytuację. Priorytet określa się w oparciu o analizę dwóch czynników: stopnia konsekwencji w przypadku braku działania oraz niezwłoczności działania. Są one zespolone w matrycy ustalającej priorytety alarmów, która jest zarejestrowana w APD. Tabela 2 przedstawia uproszczoną ilustrację. W procesie racjonalizacji każdy alarm kandydacki jest oceniany przy użyciu matrycy z APD w celu określenia jego priorytetu. Nowoczesne narzędzia zarządzania alarmami sprawiają, że proces ten staje się dość prosty.

Na początku istotne jest zidentyfikowanie bezpośrednich (przybliżonych) skutków w przypadku zaniechania reakcji na alarm kandydacki. Ważna jest ocena jedynie skutków bezpośrednich a nie tego, co mogłoby się stać w przypadku całej serii zaniechań. Na przykład możliwymi skutkami alarmu krytycznego stanu bezpieczeństwa może być samoczynne wyłączenie systemu bezpieczeństwa.
Jeśli skutek braku działania nie może być zidentyfikowany, wówczas alarm kandydacki powinien zostać usunięty. Na przykład, jeśli jedynym bezpośrednim skutkiem alarmu wysokiego poziomu jest uruchomienie alarmu wysokiego-wysokiego poziomu, wówczas alarm wysokiego poziomu może nie być potrzebny.
Następnie niezwłoczność działania musi być oceniona i jest zdefiniowana jako czas, w jakim operator musi zareagować. Szybkość reakcji określa czas do momentu rozpoczęcia działania operatora lub dopuszczalny czas od momentu aktywacji alarmu aż do ostatniej chwili, kiedy działanie operatora zapobiegnie skutkom.
Jeśli czas jest zbyt długi lub niedopuszczalnie krótki, alarm kandydacki powinien zostać przeprojektowany lub sytuacja powinna być rozwiązana poza systemem alarmowym. Mimo że matryce z różnych źródeł będą się różniły, tabela 2 przedstawia jedynie koncepcję. Priorytet jest zidentyfikowany w przecięciu kolumny z najbardziej poważnymi skutkami oraz rzędu z jego oszacowaną niezwłocznością działania. Zespół racjonalizacji może przyjąć lub odrzucić priorytet określony z matrycy. Priorytetowość i racjonalność wyboru są zarejestrowane w Alarmowej Bazie Danych (MADB).
Określenie progu zadziałania
Próg zadziałania jest wartością lub sytuacją, w której alarm się aktywuje, a następnie powiadamia operatora. Musi być wyznaczony daleko przed granicą skutku, by dać operatorowi czas na podjęcie działania naprawczego oraz procesowi produkcyjnemu na odpowiedź, włącznie z dopuszczalnym marginesem bezpieczeństwa. Powinien również być traktowany z wystarczającą rezerwą, by nie uruchomić alarmu w rezultacie normalnego procesu produkcyjnego.
W systemie brownfield doświadczenie operacyjne może często być wykorzystane do oceny, czy istniejący próg zadziałania zapewnia dopuszczalną ilość czasu. Jeżeli tak, to określony próg zadziałania jest akceptowalny. Jeśli ocenia się, że próg zadziałania jest niedopuszczalny lub jeśli jest to system greenfield, wówczas jest określany na podstawie oceny dynamiki procesu. Informacja na ten temat powinna znajdować się w APD. Próg zadziałania oraz przesłanki jego wyboru powinny być zarejestrowane w MADB.
Powszechnym błędem w projektowaniu alarmów jest konfiguracja progu zadziałania alarmu oparta na ogólnikowych założeniach co do zakresu wartości inżynierskich. Przykładem jest konfiguracja progu zadziałania dla wysokiego-wysokiego, wysokiego, niskiego oraz niskiego-niskiego, jako 90%, 80%, 20% oraz 10% zakresu. Może to skutkować progiem zadziałania alarmu, który nie bierze właściwie pod uwagę czasu, w którym operator musi podjąć działanie, szybkości zmiany czynnika procesu, skutku wartości granicznej lub czasu jałowego procesu.
Inne dokumenty
Projekt: Poza priorytetem i progiem zadziałania racjonalizacja zawiera dokumentację parametrów alarmu. Uważna analiza tych parametrów może skutkować znaczną poprawą skuteczności systemu alarmowego. Na przykład właściwe ustawienie zakresu braku działania oraz opóźnień alarmu może zminimalizować występowanie nieznośnych alarmów samowzbudnych, jak również zapobiegać problemom w czasie instalacji oraz przekazania do eksploatacji. Zakres braku działania alarmu jest funkcją stosowaną w celu zmniejszenia liczby wzbudzeń alarmu dla danego nieprawidłowego stanu, który powinien wystąpić tylko raz. Chroni przed powrotem alarmu do stanu normalnego, zanim stan alarmowy nie zostanie usunięty przez ustawiony zakres braku działania.
Innym przykładem jest stosowanie zaawansowanego alarmowania, takiego jak tłumienie alarmu dla upewnienia się, że dany alarm jest istotny. Techniki tłumienia alarmu zapobiegają zgłoszeniu alarmu operatorowi, kiedy alarm jest uruchomiony, ale okazuje się nieistotny. Na przykład alarm wskazuje na niskie ciśnienie ssące pompy, która aktualnie nie pracuje, i może być stłumiony. Innymi przykładami technik tłumienia może być tłumienie zalewu alarmów, gdzie alarmy są tłumione w czasie pewnych niezaplanowanych sytuacji oraz w oparciu o stany procesów eksploatacyjnych w zakładzie. W niektórych przypadkach stanów alarmowych procesów progi zadziałania alarmu powinny być ustawione w sposób zróżnicowany, zależnie od stanu procesu.
Reakcja operatora: Jak pokazano w tabeli 3, racjonalizacja obejmuje również dokumentację utworzoną w celu poprawy reakcji operatora, łącznie z prawdopodobnymi przyczynami wzbudzenia alarmu, procedurami działania naprawczego (reakcja operatora) oraz weryfikacją procedur dla potwierdzenia, czy stan alarmowy jest realny (a nie fałszywy). Wszystkie zarejestrowane informacje powinny być dostępne dla operatorów w celu diagnozowania i reagowania na alarmy. Procedury reakcji na alarm mogą być wykorzystane w szkoleniu operatorów i mogą być zintegrowane w HMI (human-machine interface) w celu umożliwienia operatorom dostępu do informacji online.
Praktyki zarządzania: Na koniec, racjonalizacja obejmuje klasyfikację w celu identyfikacji grup alarmów o podobnej charakterystyce i wspólnych wymaganiach dla szkoleń, testów, dokumentacji, zarządzania zmian lub przechowywania danych. Ułatwia to zarządzanie i administrowanie. Zapewnia również doskonałą przejrzystość tym alarmom, które wymagają specjalnego traktowania, np. istotnych z punktu widzenia środowiska, zapewniających zmniejszenie ryzyka lub istotnych ze względu na regulacje OSHA PSM.
Korzyści z racjonalizacji alarmów
Jeśli chodzi o alarmy, to więcej nie znaczy lepiej. Skuteczne działanie racjonalizacyjne zapewni optymalny zestaw alarmów niezbędnych dla zachowania bezpiecznego procesu w normalnym eksploatacyjnym zakresie. Przy właściwym zastosowaniu racjonalizacja:

  • zmniejszy nadmiar alarmów na operatora,
  • zmniejszy prawdopodobieństwo przegapienia istotnych alarmów,
  • usunie kłopotliwe alarmy (np. samowzbudne, chwilowe lub alarmy opóźnione),
  • wyeliminuje zbędne alarmy,
  • zapewni i ustali priorytety dla naprawczych sytuacji alarmowych,
  • udoskonali reakcję operatora, która będzie szybsza, bardziej spójna i skuteczna,
  • zwiększy integralność systemu – zwiększy zaufanie operatora do systemu alarmowego,
  • zoptymalizuje zmniejszenie ryzyka użycia alarmu,
  • ustali podstawy dla ciągłego doskonalenia procesu.

Rezultatem będzie nie tylko to, że właściwy alarm będzie skierowany do operatora w odpowiednim czasie o właściwym znaczeniu i z właściwą informacją, ale skuteczna racjonalizacja pomoże również dostosować się do norm przemysłowych takich jak ISA-18.2, którą uważać się będzie w niedalekiej przyszłości za „dobrą praktykę inżynieryjną” przez firmy ubezpieczeniowe oraz agencje kontrolujące.
Todd Stauffer jest konsultantem zarządu systemów alarmowych dla exida. Skontaktuj się z nim przez tstauffer@exida.com.
John Bogdan jest głównym konsultantem w J Bogdan Consulting. Skontaktuj się z nim przez jbogdan@jbogdanconsulting.com. Susan Booth opracowuje dokumentację techniczną w J Bogdan Consulting.
CE

Przykład racjonalizacji

Spójrzmy na prosty przykład procesu racjonalizacji. Wyobraźmy sobie zbiornik magazynowy z linią przelewową, zlokalizowany wewnątrz tamy. Linia przelewowa jest ustalona tak, by utrzymać maksymalny zalew zbiornika, a pojemność obszaru tamy jest wystarczająca, by pomieścić bezpiecznie całą zawartość zbiornika. Automatyczny wyłącznik zamyka przepływ do zbiornika zanim poziom sięgnie linii przelewowej. Automatyczny wyłącznik wystarczająco zmniejsza ryzyko, dlatego nie jest wymagany dodatkowy poziom ochrony. Liczba oraz typ poziomu pomiarówjest nieistotny z punktu widzenia niniejszego przykładu, jakkolwiek zakładamy, że poziom pomiarów jest precyzyjny i wiarygodny. W czasie projektowania systemu sterowania zaproponowano trzy rodzaje alarmów kandydackich:

  • alarm wysokiego poziomu aktywowany przed zadziałaniem wyłącznika automatycznego,
  • alarm wysokiego-wysokiego poziomu aktywowany w momencie zadziałania wyłącznika automatycznego,
  • alarm wysokiego-wysokiego-wysokiego poziomu uruchamiany pomiędzy zadziałaniem wyłącznika a przelewem.

Zracjonalizujmy, po kolei, każdy z powyższych alarmów kandydackich.
Wysoki poziom: Ten alarm kandydacki jest nieistotny i niepowtarzający się. Kluczowe jest, by operator był przygotowany na bliskie uruchomienie wyłącznika, a poziom jest jedynym, wyłącznym, najlepszym pomiarem w celu jego rozpoznania. Skutkiem zaniechania obsługi tego alarmu może być trwający wzrost poziomu, aż do zadziałania wyłącznika automatycznego. Ponieważ wyłącznik automatyczny jest zaprojektowany w celu bezpiecznego powstrzymania przepływu do zbiornika, jedynym skutkiem w procesie jest dezorganizacja spowodowana wstrzymaniem. Odnosząc się do matrycy ustalonych priorytetów (tabela 1), nie występuje wpływ na bezpieczeństwo lub środowisko. Zakładając, że skutek finansowy wstrzymania przepływu jest niewielki (mniej niż 50 000 USD), a operator ma więcej niż 5 minut na reakcję, priorytet niniejszego alarmu byłby niski. Typowym działaniem naprawczym byłoby zmniejszenie przepływu do zbiornika, przekierowanie przepływu do innego zbiornika i/lub zwiększenie odpływu ze zbiornika.
Poziom wysoki-wysoki (wyłącznik): Wyłączenie automatyczne jest bezpośrednim rezultatem zaniechania obsługi tego alarmu. Nie występują żadne inne skutki, jak w przypadku alarmu wysokiego poziomu, dlatego nie jest to alarm niepowtarzający się. Ponadto nie zapewnia operatorowi czasu na reakcję. Zawodzi więc w dwóch przypadkach, by spełnić kryteria alarmu. Ten alarm kandydacki powinien zostać odrzucony przed wprowadzeniem go do systemu alarmowego.
Poziom wysoki-wysoki-wysoki: Chociaż poziom wysoki-wysoki-wysoki jest skutkiem zaniechania obsługi alarmu wysokiego poziomu, to nie jest to skutek bezpośredni, ponieważ niezadziałanie wyłącznika automatycznego jest również powodem uruchomienia tego alarmu. Dlatego nie da się wydedukować, że ma to te same skutki. W rzeczywistości nie ma ono tych samych skutków i wymaga różnych działań naprawczych. Ten alarm kandydacki wskazuje na niezadziałanie systemu wyłącznika automatycznego, dlatego okazuje się być całkowicie nieistotny. Jednakże może nie być to najlepszy środek, by rozpoznać to uszkodzenie. Inne metody, takie jak wyłączniki krańcowe zaworów, status pracy pomp lub pomiary przepływu mogą dostarczyć wcześniejszych wskazań uszkodzenia. W przypadku dostępności któregoś z nich należy je wykorzystać zamiast proponowanego alarmu. Jednak na potrzeby dyskusji zakładamy, że nie są dostępne. Skutkiem zaniechania obsługi tego alarmu jest dalszy wzrost poziomu, aż do przelania się zbiornika do otaczającego obszaru. Odnosząc się ponownie do matrycy ustalonych priorytetów (tabela 1), jest mało prawdopodobne, że nastąpi poważne zagrożenie bezpieczeństwa. Mogłyby jednak wystąpić skutki środowiskowe oraz finansowe wymagające notyfikacji oraz konieczność wymiany utraconego produktu. Zależnie od tego, jak szybka powinna być reakcja operatora, natychmiastowa, pilna, alarm będzie zyskiwał priorytet średni lub wysoki. Działanie naprawcze w przypadku tego alarmu będzie się różniło od alarmu o poziomie wysokim i wyłącznika automatycznego (oczywiście były one nieskuteczne lub zawiodły) i będą pociągały za sobą bardziej inwazyjne działania w celu powstrzymania przepływu do zbiornika.
W związku z tym nie istnieją inne metody wykrywania przyczyny niezadziałania wyłącznika, alarm wysokiego-wysokiego-wysokiego poziomu przejdzie proces racjonalizacji i ostatecznie zostanie włączony do systemu alarmowego.
Problemy z działaniem powszechnych alarmów, które mogą być rozwiązane poprzez racjonalizację, zostały przedstawione w tabeli 3.