Systemy bezpieczeństwa funkcjonalnego w przemyśle na przykładzie systemu blokad FSC elektrociepłowni Grupy Azoty w Policach
Urządzenia, instalacje oraz sposoby eksploatacji urządzeń w procesach przemysłowych muszą być zgodne z wymaganiami dotyczącymi redukcji ryzyka. Dotyczy to w szczególności tych procesów fizykochemicznych, które wiążą się ze zmianą stanu skupienia czynnika, przetwarzaniem energii lub procesami chemicznymi stwarzającymi zagrożenie dla zdrowia i życia ludzkiego lub środowiska.
Zagrożenia, które występują w przemyśle chemicznym, petrochemicznym, energetyce i gazownictwie, mogą być przyczyną wybuchów, pożarów i destrukcji środowiska naturalnego na dużą skalę, dlatego w prawodawstwie światowym zwiększa się wymagania formalne i techniczne w tym zakresie.
Standardy oraz wymogi prawne
Wymagania formalnoprawne dotyczące bezpieczeństwa urządzeń i instalacji w obszarze przemysłu procesowego i energetyki są określone w sposób ogólny w następujących aktach prawnych:
➡ w Ustawie z dnia 7 lipca 1994 r. – Prawo budowlane – ustawa zawiera wymagania dotyczące projektowania oraz budowy obiektów m.in. w zakresie bezpieczeństwa konstrukcji, bezpieczeństwa pożarowego, bezpieczeństwa użytkowania;
➡ w Ustawie z dnia 10 kwietnia 1997 r. – Prawo energetyczne – zgodnie z jej zapisami projektowanie, produkcja, import, budowa oraz eksploatacja urządzeń, instalacji i sieci powinny zapewniać racjonalne i oszczędne zużycie paliw lub energii przy zachowaniu:
– niezawodności współdziałania z siecią,
– bezpieczeństwa obsługi i otoczenia po spełnieniu wymagań ochrony środowiska,
– zgodności z wymaganiami odrębnych przepisów, a w szczególności: prawa budowlanego, o ochronie przeciwporażeniowej, o ochronie przeciwpożarowej, o dozorze technicznym, polskich norm wprowadzonych do obowiązkowego stosowania lub innych przepisów wynikających z technologii wytwarzania energii i rodzaju stosowanego paliwa;
➡ w Ustawie z dnia 21 grudnia 2000 r. o dozorze technicznym – działania zmierzające do zapewnienia bezpiecznego
funkcjonowania określonych w ustawie urządzeń technicznych objęte są dozo-
rem technicznym. Urząd Dozoru Technicznego prowadzi nadzór nad bezpieczeństwem technicznym oraz działania w zakresie podniesienia poziomu bezpieczeństwa procesowego w całym cyklu życia urządzeń i instalacji przemysłowych w sektorach przemysłu chemicznego, petrochemii, energetyki oraz przemysłu gazowniczego;
➡ w Dyrektywie Parlamentu Europejskiego i Rady 2014/68/UE z dnia 15 maja 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich odnoszących się do udostępniania na rynku urządzeń ciśnieniowych – określa ona m.in. wymagania dla osprzętu zabezpieczającego, takie jak:
– niezawodność, odpowiedniość do przewidzianych zadań,
– konstrukcja uwzględniająca wymogi konserwacji i badania urządzeń,
– niezależność od innych funkcji, chyba że inne takie funkcje nie mogą mieć wpływu na jego funkcję zapewnienia bezpieczeństwa,
– zgodność z odpowiednimi zasadami projektowania w celu uzyskania odpowiedniej i niezawodnej ochrony. Zasady te obejmują w szczególności tryb bezpiecznego działania w razie uszkodzenia, redundancję, niejednoczesność oraz autodiagnozowanie.
Główne standardy bezpośrednio dotyczące systemów bezpieczeństwa to:
➡ wieloarkuszowa norma PN-EN 61508 „Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem”
➡ oraz norma sektorowa PN-EN 61511 „Bezpieczeństwo funkcjonalne. Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego”.
Określają one definicję bezpieczeństwa funkcjonalnego jako sposobu zapobiegania zagrożeniom poprzez uprzednio zdefiniowane działanie. Głównym celem bezpieczeństwa funkcjonalnego jest zmniejszenie prawdopodobieństwa wystąpienia niebezpiecznego uszkodzenia, a w konsekwencji ograniczenie ryzyka do poziomu akceptowalnego. Aby to osiągnąć, normy wprowadzają podejście oparte na analizie i redukcji ryzyka przy użyciu parametrów niezawodnościowych, takie jak: poziom nienaruszalności bezpieczeństwa SIL (Safety Integrity Level) oraz średnie prawdopodobieństwo uszkodzenia niebezpiecznego PFD (Probability of Failure on Demand). Definiują one pojęcie cyklu życia dla urządzeń związanych z bezpieczeństwem, określając jednocześnie fazy od koncepcji poprzez realizację i użytkowanie do likwidacji. Standaryzują także dotychczas używane pojęcia związane z systemami automatyki zabezpieczeniowej, takie jak system ESD (Emergency Shutdown System), system blokad (Interlock System), system FSC (Fail Safe Control), system zezwoleń (Permissive System) itp.
Terminem używanym w obu standardach jest SIS (Safety Instrumented System) jako system wykorzystywany do wykonania funkcji bezpieczeństwa. Funkcja bezpieczeństwa SIF (Safety Instrumented Function) jest zaimplementowana przez system SIS oraz służy do dojścia lub zachowania stanu bezpiecznego procesu w sposób odpowiedni do specyficznego niebezpiecznego zdarzenia.
Systemy bezpieczeństwa w przemyśle
SIS są systemami automatyki zabezpieczeniowej przeznaczonymi wyłącznie do zapewnienia bezpieczeństwa procesu. Zabezpieczają one instalacje przed przekroczeniami dopuszczalnych granic krytycznych parametrów procesu. Pracują równolegle z podstawowymi systemami sterowania BPCS (Basic Process Control System). Zostaną one omówione na przykładzie wydziału elektrociepłowni EC II Grupy Azoty w Policach1.
Procesem produkcji energii cieplnej oraz energii elektrycznej elektrociepłowni EC II steruje podstawowy system sterowania procesem (BPCS), system klasy DCS (Distributed Control System) Experion PKS firmy Honeywell. Oprócz swojej podstawowej funkcji realizuje on także monitoring stanu zabezpieczeń systemu blokadowego. Na stacjach operatorskich systemu DCS operator ma możliwość obserwacji i wywołania synoptyki blokadowej. Stany blokadowe odczytywane są jako alarmy krytyczne systemu podstawowego. Jako system automatyki zabezpieczeniowej (SIS) urządzeń elektrociepłowni EC II w Policach zastosowano system FSC (Fail Safe Control) firmy Honeywell. System bezpieczeństwa realizuje zabezpieczenia kotłów, turbin oraz palników elektrociepłowni. Wyposażony jest w konsolę monitoringu blokad zlokalizowaną pomiędzy stacjami operatorskimi podstawowego systemu sterowania. Konsola umożliwia sygnalizację stanów blokadowych niezależnie od monitoringu systemu podstawowego, ale także konfigurację zabezpieczeń zależnie od trybów pracy elektrociepłowni.
Przykładową realizację układów sterowania oraz układów blokadowych przedstawiono na rys. 1. Przedstawia on wycinek instalacji kotła OP (Opromieniowany – Pyłowy) oraz uproszczony schemat PiA (pomiarów i automatyki) wybranych obwodów. Podstawowym elementem kotła, w którym zachodzi przemiana wody w parę, jest walczak. Jest to cylindryczny zbiornik ciśnieniowy, w którym mieszanina parowo-wodna zostaje grawitacyjnie oddzielona. Schemat ilustruje również zespół młynowy (młyn-wentylator), który służy do wytwarzania pyłu węglowego. Pył ten transportowany jest pyłoprzewodami do kotła. W kotle zachodzi proces spalania mieszaniny pyłu węglowego z powietrzem. Dzięki temu energia zawarta w węglu zostaje przekazana energii powstającej pary.
Na rys. 1 linią przerywaną zostały zaznaczone elementy podstawowego systemu sterowania (BPSC). Jest to graficzne przedstawienie układu regulacji poziomu w walczaku LIC. Regulator realizowany jest poprzez system DCS. Jako wartości mierzone regulatora występują trzy pomiary poziomu LT. Operator ma możliwość wyboru jednego z trzech pomiarów, według którego poziom będzie regulowany. Uzupełnienie wody jest realizowane pompami z systemu DCS. Wypracowany sygnał sterujący przekłada się na wydajność pomp zasilających.
Linią ciągłą oznaczono elementy systemu zabezpieczeń FSC (SIS). Na schemacie przedstawiono realizację dwóch funkcji bezpieczeństwa:
➡ Zabezpieczenie walczaka od bardzo niskiego poziomu wody (LL) (w dalszej części artykułu określany jako SIF 01)
– niski poziom wody w walczaku spowoduje wzrost temperatury i ciśnienia, jeżeli zawory bezpieczeństwa nie zostaną otwarte, w skrajnym przypadku może dojść do wybuchu kotła. Funkcja bezpieczeństwa SIF jest realizowana poprzez trzy pomiary poziomu LT. W przypadku spadku poziomu wody w walczaku poniżej zdefiniowanego minimum system bezpieczeństwa FSC zatrzyma podawanie paliwa do kotła, a w konsekwencji odstawi kocioł. Zaprzestanie podawania paliwa jest rzeczą niezbędną podczas odstawiania kotła, ponieważ przy zaniku płomienia podawanie paliwa prowadzi do powstania atmosfery wybuchowej w kotle;
➡ Zabezpieczenie układu od zaniku pracy pomp zasilających (YH) (w dalszej części artykułu określany jako SIF 02) – przemiana stanu skupienia wody w walczaku odbywa się w sposób ciągły. Ewentualny zanik pracy pomp spowoduje spadek ilości wody w kotle, a w konsekwencji jego odstawienie. Po zaniku sygnału z pompy pierwszej układ SZR (Samoczynne Załączenie Rezerwy) powinien spowodować uruchomienie pompy rezerwowej. Po 10 sekundach, gdy żadna z pomp nie pracuje, następuje odstawienie kotła. System bezpieczeństwa FSC monitoruje na bieżąco stany urządzeń krytyczne dla procesu – w tym wypadku jest to stan pracy pomp zasilających P1 i P2. Aktywacja drugiej funkcji bezpieczeństwa także powoduje zatrzymanie podawania paliwa do kotła, a w konsekwencji odstawienie całego kotła.
W przemyśle procesowym podstawowe systemy sterowania (BPSC) są nierozerwalnie związane z systemami bezpieczeństwa (SIS). Wspólny obszar dotyczy przede wszystkim nadzorowanego procesu, dlatego często elementy obu systemów są ze sobą powiązane. Głównym kierunkiem ich integracji jest monitorowanie stanu poszczególnych funkcji bezpieczeństwa przez podstawowy system sterowania (BPSC). Integracja obu systemów wiąże się z wieloma korzyściami dla obsługi danego procesu, ale także sprzyja błędom konfiguracyjnym w realizacji systemów bezpieczeństwa. W obiektach wysokiego ryzyka wymagana jest separacja funkcji bezpieczeństwa realizowanej przez system blokadowy od układów realizowanych przez podstawowy system sterowania. Częstymi błędami wskazywanymi przez specjalistów z branży bezpieczeństwa jest całościowa lub częściowa realizacja funkcji bezpieczeństwa (SIF) poprzez podstawowy system sterowania (BPSC). W prezentowanym przykładzie (rys. 1) wszystkie funkcje bezpieczeństwa są odseparowane od układów podstawowego systemu sterowania (BPSC). Funkcje bezpieczeństwa kotła OP opierają się na przetwornikach podstawowego systemu sterowania, lecz stanowią dwa niezależne obwody pomiarowe. System SIS jest autonomicznym systemem, który pracuje niezależnie od układów sterowania procesem. W przypadku awarii systemu DCS system FSC zapewnia obsłudze monitoring stanów blokadowych oraz bezpieczne odstawienie zakładu.
1 Artykuł został opracowany na podstawie dokumentacji technicznych i technologicznych Centrum Energetyki, wydziału elektrociepłowni EC II Grupy Azoty w Policach.
Określenie poziomu nienaruszalności SIL
Aby zapewnić bezpieczeństwo funkcjonalne, należy przeanalizować zagrożenia stwarzane przez system lub proces technologiczny oraz wykonać ocenę ryzyka. Pierwszym krokiem oceny jest identyfikacja zagrożeń. Etap ten może być zrealizowany przy użyciu różnych metod, jednak najczęściej używa się do tego celu analizy HAZOP (Hazard and Operability Study). Jest to metoda powszechnie stosowana w przemyśle chemicznym, petrochemicznym i energetycznym, gdzie rozpatrywane są odchylenia parametrów procesowych od wartości zadanych. Opis zastosowania badania HAZOP jest określony w normie PN-IEC 61882 „Badania zagrożeń i zdolności do działania (badania HAZOP). Przewodnik zastosowań”.
Podczas badania HAZOP często określa się na bieżąco, które funkcje są istotne dla zapewnienia bezpieczeństwa procesu i można je kwalifikować jako funkcję SIF. Dalszy sposób postępowania dostarczają normy PN-EN 61508 oraz PN-EN 61511.W zależności od skali zagrożeń oraz prawdopodobieństwa ich wystąpienia określa się, czy dany proces powinien zostać zabezpieczony funkcją SIF oraz jaki poziom nienaruszalności SIL musiałaby spełniać dana funkcja bezpieczeństwa. Podzespoły służące do wdrożenia funkcji bezpieczeństwa są dobierane także w zależności od wymaganego poziomu nienaruszalności.
Aby sklasyfikować urządzenie zgodnie z SIL, normy PN-EN 61508 i 61511 proponują zastosowanie parametrów opartych na rachunku prawdopodobieństwa, m.in. PFD. Parametr ten opisuje średnie prawdopodobieństwo niemożności zrealizowania funkcji bezpieczeństwa SIF. Dozwolony zakres parametru PFD został określony dla każdego z czterech poziomów nienaruszalności bezpieczeństwa. Od SIL 4 (najniższe prawdopodobieństwo awarii SIF) do SIL 1 (stosunkowo wysokie prawdopodobieństwo awarii SIF). Podczas doboru poziomu nienaruszalności SIL dla funkcji bezpieczeństwa bierze się także pod uwagę rozmiar spodziewanej awarii oraz jej prawdopodobieństwo.
Norma PN-EN 61508 wprowadza także metodę grafu ryzyka jako zgrubną metodę oceny poziomu nienaruszalności SIL (rys. 2). Wykorzystanie powyższej metody do określenia poziomu nienaruszalności SIL dla funkcji bezpieczeństwa kotła OP przedstawiono w tabeli.
Elementy systemu SIS
Norma PN-EN 61508 określa wytyczne dotyczące struktury oraz architektury zastosowanych komponentów oraz sposobu realizacji systemów bezpieczeństwa (od konfiguracji sprzętowej po program kontrolerów). Przykładową strukturę systemu SIS przedstawiono na rys. 3.
Struktura systemu podzielona jest na trzy zasadnicze części:
➡ urządzenia wejściowe (informacje o stanie procesu): m.in. czujniki, przetworniki pomiarowe oraz aparaty elektryczne (na rys. 3 zaznaczone kolorem szarym);
➡ programowalne urządzenie elektroniczne (sterownik programowalny w wykonaniu safety lub system dla aplikacji safety). Systemy są dostępne w różnych konfiguracjach programowych i sprzętowych. Składają się z układów wejść/wyjść oraz z układów realizujących logikę programowalną;
➡ elementy wykonawcze, takie jak zawory, przekaźniki oraz aparaty elektryczne (na rys. 3 zaznaczone kolorem szarym).
Dla każdej z trzech części struktury norma PN-EN 61508 definiuje architektury instrumentalne MooN (M z N), czyli system wykonany z N kanałów niezależnych tak połączonych, że M kanałów wystarczy do wypełnienia przyrządowej funkcji bezpieczeństwa. W celu zwiększenia prawdopodobieństwa zadziałania funkcji bezpieczeństwa SIF stosuje się różne architektury: 1oo1 (wybór 1 kanału z 1 dostępnego – „1 z 1”), 1oo2 (wybór 1 kanału z 2 dostępnych – „1 z 2”), 1oo2D (wybór 1 kanału z 2 dostępnych z dodatkową diagnostyką), 2oo2 (wybór 2 kanałów z 2 dostępnych – „2 z 2”), 2oo3 (wybór 2 kanałów z 3 dostępnych – „2 z 3”).
Logika w sterownikach safety systemu FSC zorganizowana jest poprzez funkcjonalne diagramy logiczne FLS (Functional Logic Diagrams). Zmiany w logice oraz konfiguracji systemu SIS są wykonywane bez zatrzymywania procesu. System bezpieczeństwa ma także rozbudowane możliwości autodiagnostyczne od weryfikacji sprawności wejść/wyjść po nadzór nad poprawnością wykonania programu. Weryfikacja sprawności wejść/wyjść odbywa się na poziomie sprzętowym oraz programowym. Programowa weryfikacja dokonywana jest m.in. poprzez pomiar czasu włączenia/wyłączenia sygnału cyfrowego lub odpowiednie zakresy wartości dla sygnałów analogowych. Weryfikacja sprzętowa to m.in. wykrywanie zwarcia, niezdolność do przedstawienia poprawnej wartości lub stanu, awaria diody gaszącej łuk, otwarty obwód w pętli oraz kontrola napięcia.
Nawiązując do omawianego w artykule przykładu zastosowania systemu automatyki blokadowej w przemyśle procesowym, szczegółowy opis funkcji bezpieczeństwa SIF z rys. 1 może przedstawiać się następująco:
➡ funkcja SIF 01 – niski poziom wody w walczaku – funkcja jest realizowana na podstawie trzech pomiarów poziomu w architekturze 2oo3. Stan każdego toru sygnalizowany jest na synoptyce blokadowej kotła. Aktywacja funkcji bezpieczeństwa nastąpi wtedy, gdy minimum dwa przetworniki poziomu zasygnalizują przekroczenie wartości krytycznej. Zadziałanie tylko jednego kanału spowoduje aktywację alarmu uszkodzenia wejścia. Aktywacja funkcji powoduje wyłączenie zespołów młynowych ZM1, wyłączenie palników rozpałkowych PM1 oraz zatrzymanie wentylatorów podmuchu, a w konsekwencji – zatrzymanie podawania paliwa do kotła OP230;
➡ funkcja SIF 02 – zatrzymanie pomp wody zasilającej – funkcja jest realizowana na podstawie sygnałów pracy pomp zasilających P1 i P2. Praca pomp sygnalizowana jest na synoptyce blokadowej kotła. Aktywacja funkcji powoduje wyłączenie zespołów młynowych ZM1, wyłączenie palników rozpałkowych PM1 oraz zatrzymanie wentylatorów podmuchu, a w konsekwencji – zatrzymanie podawania paliwa do kotła OP230. Aktywacja funkcji bezpieczeństwa następuje 10 sekund po zatrzymaniu pomp zasilających.
Podsumowanie
Przedstawione w artykule przykłady realizacji funkcji bezpieczeństwa obrazują ścieżkę projektowania, wdrażania i funkcjonowania systemów SIS w aplikacjach przemysłowych. Przedstawiono przegląd wymogów prawnych oraz normatyw dotyczących bezpieczeństwa funkcjonalnego. Na podstawie wybranego układu wykonano ocenę ryzyka, wyznaczono funkcję bezpieczeństwa oraz określono poziom nienaruszalności. Celem artykułu było praktyczne przedstawienie zasad bezpieczeństwa funkcjonalnego.
Obecnie instalacje przemysłowe są dostosowywane do wymagań nowoczesnych standardów. Nowe instalacje budowane są zgodnie z wymaganiami formalnoprawnymi dotyczącymi bezpieczeństwa funkcjonalnego w uzgodnieniu z UDT. Instalacje te są wykonywane w oparciu o najnowszą wiedzę techniczną, w tym o normy PN-EN 61508 i PN-EN 61511.
Autor dziękuje dyrekcji Centrum Energetyki Grupy Azoty Zakładów Chemicznych Police za zgodę na publikację zdjęć oraz ilustracji przygotowanych na podstawie otrzymanych materiałów. W szczególności dziękuje dyrektorowi Centrum Energetyki za udzielone wsparcie.
Marek Żurawski – automatyk, inżynier bezpieczeństwa zawodowego. Pracuje w firmie ELOKON Polska.
Literatura
- Dokumentacja eksploatacyjna Grupy Azoty, Centrum Energetyki wydziału elektrociepłowni EC II.
2. Dokumentacja techniczna kotła OP230 Grupy Azoty, Centrum Energetyki wydziału elektrociepłowni EC II.
3. Instrukcja operatorska ECII, Honeywell.
4. K.T. Kosmowski, „Koncepcja bezpieczeństwa funkcjonalnego w przemyśle”, [w:] „Zarządzanie bezpieczeństwem funkcjonalnym”, materiały konferencji naukowo-technicznej, Jurata 16-18.09.2004, s. 99-10.
5. T. Kunicki, „Przegląd systemów SIS i analiza elementów układów zabezpieczających w realizacji bezpieczeństwa funkcjonalnego”, [w:] „Zarządzanie bezpieczeństwem funkcjonalnym”, materiały konferencji naukowo-technicznej, Jurata 16-18.09.2004, s. 111-122.
6. Wymagania niezawodnościowe systemów zabezpieczeń na podstawie aktualnie obowiązujących norm, Akademia UDT, Pogorzelica 2016.
7. „Fail Safe Control. Safety Manual. Release 531”, Revision 01(03/2001), Honeywell.
8. Ustawa z dnia 7 lipca 1994 r. – Prawo budowlane (t.j. DzU z 2017 r., poz. 1332).
9. Ustawa z dnia 10 kwietnia 1997 r. – Prawo energetyczne (t.j. DzU z 2017 r., poz. 220).
10. Ustawa z dnia 21 grudnia 2000 r. o dozorze technicznym (t.j. DzU z 2017 r., poz. 1040).
11. Dyrektywa Parlamentu Europejskiego i Rady 2014/68/UE z dnia 15 maja 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich odnoszących się do udostępniania na rynku urządzeń ciśnieniowych (OJ L 189, 27.6.2014, p. 164–259).
12. PN-EN 61508, „Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem”.
13. PN-EN 61511, „Bezpieczeństwo funkcjonalne. Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego”.
14. „Bezpieczeństwo funkcjonalne – SIL. Zmniejszenie ryzyka dzięki zastosowaniu napędów elektrycznych”, AUMA.