Podstawą działań związanych z budową i testowaniem systemów bezpieczeństwa urządzeń są dwa standardy – IEC 61508 i 61511. Zasadniczo przyjmuje się w nich, że im większy poziom ryzyka wystąpienia zagrożeń w danym procesie, tym lepsze systemy kontroli i monitoringu powinny być w nim zastosowane. W celu ustalenia poziomu bezpieczeństwa urządzeń (w normie nazwanego SIL – poziom nienaruszalności bezpieczeństwa), można wykorzystać różne techniki i metody. Podobnie jest przy testowaniu i analizie, czy dany proces i urządzenia w nim wykorzystywane spełniają warunki związane z nadanym im wcześniej poziomem bezpieczeństwa SIL. Techniki te, zwane często technikami weryfikacji poziomów SIL, bazują na różnorodnych czynnikach, takich jak wskaźniki awaryjności, stany awaryjne, wskaźniki dotyczące liczby konkretnych zdarzeń w systemie czy urządzeniu, poziom wykorzystania elementów automatyki, czas trwania testów praktycznych itp. Niebagatelny wpływ na wyniki analiz i testów mają przyjęte na wstępie założenia dotyczące ich przeprowadzenia. Na przykład założenie o wykonaniu 95% wszystkich niezbędnych testów praktycznych w systemie (zamiast 100%) może przyczynić się nawet do 40% redukcji ostatecznych osiągów (parametrów pracy) systemu, a założenie o wykonaniu jedynie 90% testów – aż 57% redukcji osiągów. Jak widać, przeprowadzenie kompleksowych testów praktycznych na urządzeniach ma bardzo istotne znaczenie i jest niezbędnym elementem analizy poprawności i niezawodności działania całego systemu.
Dwa tryby awaryjne
Sprzętowe systemy bezpieczeństwa SIS zwykle pozostają w trybie uśpienia (np. zawór izolacyjny, bezpieczeństwa, pozostaje przez większość czasu otwarty). Tego typu układy mogą ulec uszkodzeniu na dwa sposoby: bezpieczny i niebezpieczny. Uszkodzenia bezpieczne to takie, które prowadzą do pewnych utrudnień w czasie produkcji i niewielkich ewentualnych strat (np. zawór izolacyjny gwałtownie zatrzasnął się na skutek przepalenia cewki sterującej zaworem; nie ma tu bezpośredniego zagrożenia dla produkcji). Uszkodzenia niebezpieczne z kolei to takie, przy których system nie jest zdolny do wykonania zadań związanych z bezpieczeństwem i ochroną (np. cewka sterowania zaworem dostaje impuls do zamknięcia, a mimo to zawór nie zamyka się na żądanie).
Diagnostyka automatyczna, testy praktyczne (manualne)
Niektóre urządzenia mają wbudowane w sobie moduły automatycznej diagnostyki, umożliwiające wykrycie stanów przedawaryjnych i awaryjnych. Przykładem mogą być sterowniki PLC, mające zdolność wykrywania różnych wewnętrznych stanów niebezpiecznych, jak na przykład zatrzaśnięcie w niekończącej się pętli programowej itp. Jednakże tego typu diagnostyka i oparcie się tylko na niej nie zawsze jest w 100% skuteczne. Niektóre bowiem prostsze urządzenia, takie jak czujniki czy zawory, nie mają wbudowanych modułów autodiagnostycznych. Na przykład prosty elektrozawór nie ma możliwości poinformowania o swoim zatrzaśnięciu czy zablokowaniu.
Dlatego też, w celu ustalenia poziomu bezpieczeństwa, wszystkie urządzenia powinny być poddane testom praktycznym, manualnym. Podane w normach poziomy bezpieczeństwa SIL bazują na obliczeniach ryzyka awarii urządzeń w określonym czasie. Im częściej testuje się urządzenia i diagnozuje ich stan, tym szybciej można wykryć i usunąć ewentualne zagrożenia. W tabeli 1 podano wymagania i parametry dotyczące poszczególnych poziomów bezpieczeństwa SIL.
Przy założeniu braku elementów autodiagnostyki współczynnik prawdopodobieństwa wystąpienia niebezpiecznego uszkodzenia w czasie pracy PFD dla systemów bez redundancji oblicza się ze wzoru:
PFD = λd * (TIm/2)
gdzie:
λd – częstość uszkodzeń niebezpiecznych
TIm – okres między kolejnymi testami manualnymi
Jeżeli w urządzeniach zastosowano modułu autodiagnostyki, współczynniki częstości uszkodzeń niebezpiecznych dzielą się na dwie grupy: zagrożeń wykrytych i niewykrytych. W tym przypadku współczynnik PFD oblicza się ze wzoru:
PFD = (λdd * (TIa/2)) + (λdu * (TIm/2))
gdzie:
λdd – częstość uszkodzeń niebezpiecznych wykrywalnych
λdu – częstość uszkodzeń niebezpiecznych niewykrywalnych
TIa – okres między kolejnymi testami automatycznymi
TIm – okres między kolejnymi testami manualnymi
W większości przypadków współczynnik PFD liczony dla systemów z modułami diagnostycznymi jest znacznie mniejszy w stosunku do współczynnika związanego z testami manualnymi urządzeń (zwykle dwukrotnie mniejszy) i może być pominięty.
Testy praktyczne, manualne – czy to wystarczy?
Założenie, że testy praktyczne są narzędziem w 100% skutecznym, nie jest jednak do końca poprawne. Na przykład pełne dokręcenie i sprawdzenie szczelności zaworu nie gwarantuje w stu procentach, że jest on zamontowany prawidłowo i nie pojawią się na nim żadne wycieki. Zawsze w trakcie jego użytkowania może się pojawić jakaś erozja materiału lub ujawnić np. zły spaw. Podobnie dokładne przetestowanie czujnika elektronicznego nie gwarantuje wcale, że element ten będzie działał poprawnie – zwiększa jedynie szanse na to. Nawet wymontowanie takiego czujnika i sprawdzenie go w specjalistycznym laboratorium, nie gwarantuje że czujnik będzie reagował prawidłowo, zamontowany z powrotem w swojej aplikacji. Trzecim przykładem może być pływakowy czujnik poziomu cieczy, który po testach polegających na wymuszonych zmianach poziomu tej cieczy, niekoniecznie musi reagować prawidłowo i pokazywać właściwy jej poziom. Podsumowując, czynniki zagrażające awarią urządzeń pozostają w nich w czasie całego okresu ich funkcjonowania i muszą być uwzględnione przy obliczaniu współczynnika PFD:
PFD = (λdd * (TIa/2)) + (λdu * (TIm/2)) + (λdn * (czas życia/2))
gdzie:
λdd – częstość uszkodzeń niebezpiecznych wykrywalnych
λdu – częstość uszkodzeń niebezpiecznych niewykrywalnych
λdn – częstość uszkodzeń niebezpiecznych nigdy niewykrytych
TIa – okres między kolejnymi testami automatycznymi
TIm – okres między kolejnymi testami manualnymi
Niewłaściwe wykonanie testów i analiz
Niewłaściwe wykonanie testów praktycznych ma bardzo duże znaczenie w szacowaniu poziomu bezpieczeństwa, niezależnie od zastosowanego sprzętu i konfiguracji urządzeń. Obliczenia odpowiednich wskaźników mogą być wykonane ręcznie lub za pomocą odpowiednich programów, które podają szacunkowe ich wartości. Innymi słowy, obliczenia przeprowadzone dla pojedynczych urządzeń (wyłączników lub zaworów), modułów z elementami autodiagnostyki itp. przynoszą podobne rezultaty. Jak już wspomniano wcześniej, jeżeli liczba testów praktycznych urządzeń spadnie do 95%, poziom ograniczenia ryzyka awarii spada aż o 40%, a przy spadku liczby testów do 90% − aż o 57%. Wyniki te uzyskuje się przy założeniu 15-letniego okresu użytkowania urządzeń oraz corocznym cyklu przeprowadzania testów praktycznych, manualnych.
Wskaźniki związane z poziomami bezpieczeństwa SIL zmieniają się wraz z nimi o całe rzędy wielkości (tabela 1). I tak na przykład system z kompleksowym i dokładnym testowaniem manualnym i wskaźnikiem redukcji ryzyka na poziomie 400, przy założeniu zmniejszenia liczby testów manualnych do poziomu 90%, doprowadzi do redukcji tego wskaźnika do wartości 170. Obie te liczby mieszczą się w ramach poziomu bezpieczeństwa SIL2. Warto jednakże zwrócić uwagę, że system, który na początku ma wskaźnik redukcji ryzyka równy 200 (SIL2), przy takim założeniu zmniejszyłby się aż do wartości 86, a to już prowadzi do konieczności zmiany poziomu bezpieczeństwa na SIL1.
Szczegółowe i dokładne testy i analizy – czy to wykonalne?
Jak wynika z dotychczasowych rozważań, testy manualne powinny być wykonywane jak najstaranniej i systematycznie, w przeciwnym bowiem razie możliwe jest niespełnienie wymogów określonych w normach dotyczących poziomów bezpieczeństwa i niezawodności urządzeń. Oczywiście celem głównym jest osiągnięcie 100% wykonawstwa wszystkich testów i analiz. I o ile nie jest zbyt problematyczna kwestia przeprowadzania samych testów, o tyle pewien problem stanowi prawidłowa ocena ich wyników wraz z oszacowaniem, czy faktycznie przeprowadzone działania w 100% zweryfikowały poprawność funkcjonowania wszystkich urządzeń. Odkąd w zakładach przemysłowych zaczęto stosować komputerowe bazy danych, gdzie gromadzone są informacje o pracy urządzeń i parametrach systemów sterowania, szacowanie to jest znacznie ułatwione, jednak wciąż nie osiąga się upragnionego poziomu 100% pewności i tak chyba pozostanie na zawsze.
Artykuł pod redakcją Andrzeja Ożadowicza
Autor: Paul Gruhn