Wprowadzenie
Skutkiem wprowadzenia standardów bezpieczeństwa funkcjonalnego (normy IEC 61508/511) było wiele usprawnień w przemyśle przetwórczym, ponieważ wymagają zwrócenia uwagi, również w sposób formalny, na systemy bezpieczeństwa przyrządowego. W rzeczywistości jednak standardy te nie zawsze są w pełni wdrażane, co powoduje dodatkowe koszty, brak gotowości urządzeń a – co gorsza – fałszywe przekonanie o zmniejszeniu ryzyka wypadków. Celem tego artykułu jest przedstawienie spojrzenia autora na sposoby ustalania równowagi między niebezpieczną fabryką a fabryką bezzałogową.
Co to jest bezpieczeństwo funkcjonalne?
Termin 'bezpieczeństwo funkcjonalne’ stosowany w przemyśle przetwórczym, odnosi się do pełnego cyklu życia sieci łańcuchów bezpieczeństwa przyrządowego lub funkcjonalności systemów zabezpieczających (SIF). Jest regulowany normami IEC 61511, stanowiącymi podzbiór ogólnych norm IEC 61508, które de facto stanowią minimalny zbiór najlepszych praktyk w tej dziedzinie.
Bezpieczeństwo funkcjonalne odnosi się do automatycznej ochrony i barier zapobiegawczych, które nie wymagają ingerencji człowieka, gdy są włączone. Typowym przykładem jest „bardzo wysoki poziom bezpieczeństwa” w zasobniku, który, gdy zostanie osiągnięty zadany parametr poziomu, wywoła serię automatycznych działań takich, jak zatrzymanie pompy i zamknięcie zaworów. Jako takie, bariery te mogą być uważane za podzbiór w warstwach struktury ochrony zakładu przemysłowego, które same są podzbiorem systemu bezpieczeństwa procesu.
Rys. 1: Bezpieczeństwo funkcjonalne i bezpieczeństwo procesu
Jednym z istotnych aspektów standaryzacji jest pojęcie poziomów nienaruszalności w SIF (Safety Integrity Function – funkcjonalność bezpieczeństwa przyrządowego), które odzwierciedlają niezawodność systemu, określaną zwykle jako prawdopodobieństwo wystąpienia awarii w zadanym zakresie lub nawet poziom SIL systemu (Safety Integrity Level – poziom nienaruszalności bezpieczeństwa). Im więcej redundancji w architekturze łańcucha, tym wyższy teoretyczny SIL. Jednym z zadań związanych z ustaleniem zgodności ze standardami jest ustalenie wymaganych poziomów SIL”, które polega na określeniu poziomu zmniejszenia zagrożenia, jaki ma zapewnić funkcja zabezpieczająca systemu, której zadaniem jest zmniejszanie do akceptowalnej wartości dopuszczalnego ryzyka wystąpienia nieumyślnego scenariusza wypadkowego.
Poprawa bezpieczeństwa funkcjonalnego
Formalizacja bezpieczeństwa funkcjonalnego przyczynia się do ogromnej poprawy bezpieczeństwa, jaka dokonuje się i będzie się dokonywać na przestrzeni lat. W jej wyniku operacje stają się mniej manualne i bezpieczniejsze. Uniknęliśmy także wielu katastrof przemysłowych, dzięki celowo zaplanowanym i skonstruowanym automatycznym barierom ostatecznym[1].
Lewa część schematu na Rys. 2 ilustruje powyższą poprawę jako zmniejszenie ryzyka w miarę wzrostu ilości SIF. Niestety, poprawa ta nie jest asymptotyczna, ponieważ po przekroczeniu pewnej wartości dla oprzyrządowania i kontroli oraz złożoności systemu, ryzyko przestaje spadać, a zamiast tego ponownie wzrasta, jak pokazano w prawej części Rys. 2.
Rys. 2. Optymalna operatywność / bezpieczeństwo
Optymalne rozwiązanie może być także przedstawione jako stan pomiędzy nadmierną prostotą i zbyt ubogą specyfikacją po lewej stronie, a nadmierną złożonością i zbyt rozbudowaną specyfikacją po prawej stronie, która jest szkodliwa dla operatywności.
Trend w bezpieczeństwie funkcjonalnym
W ciągu ostatnich dziesięciu lat nastąpił wzrost liczby łańcuchów bezpieczeństwa w procesach przemysłowych i zaznaczyła się tendencja do stosowania nadmiernie rozbudowanych specyfikacji. E. Marzall[2] pisze nawet, że niektóre badania wskazują, że 50% SIF w rafineriach jest nadmiernie rozbudowanych.
Koszty są często bardzo wysokie (koszty inwestycyjne, koszty operacyjne i koszty utrzymania) i szybko rosną wraz ze wzrostem złożoności funkcji. Zrozumiała jest potrzeba zapewnienia, aby łańcuchy bezpieczeństwa nie były nadmiernie rozbudowywane. Rys. 3 przedstawia wizualne wyjaśnienie wpływu nadmiernie rozbudowanych specyfikacji na poziom nienaruszalności bezpieczeństwa sieci, a zwłaszcza znaczne koszty funkcji na poziomie SIL3, które, w zależności od źródeł, są 3 do 4 razy wyższe niż funkcja na poziomie SIL1 w kategoriach niezawodności.
Rys. 3. Koszty SIS w porównaniu do poziomu nienaruszalności bezpieczeństwa (Honeywell[3], 2011)
Wyzwania i koszty osiągnięcia zgodności z normami bezpieczeństwa funkcjonalnego są wysokie. I jak to często bywa, fizyczna część kosztów bezpieczeństwa procesów zależy przede wszystkim od jakości fazy analiz wstępnych (zrozumienia zagrożeń, analizy ryzyka).
Sam wybór kosztownych rozwiązań inwestycyjnych w funkcje bezpieczeństwa na wysokim poziomie nienaruszalności nie jest problemem. Chociaż często zapewnia to firmie poczucia bezpieczeństwa, paradoksalnie nie zawsze zmniejsza ryzyko. Przed zbadaniem przyczyn eskalacji ilościowej, szczególnie pod względem poziomów nienaruszalności w funkcjonalnościach przyrządowych systemu bezpieczeństwa, uzasadnijmy ten pozorny paradoks.
Dlaczego zwiększenie ilości SIF powoduje ponowny wzrost ryzyka?
Kompromis między bezpieczeństwem a operatywnością
Zbyt wiele funkcjonalności SIF zmniejsza gotowość operacyjną zakładu przemysłowego. Klasycznym przykładem jest tu urządzenie zabezpieczające pompę niskiego ciśnienia, które musi być wyłączone na jakiś czas, aby móc uruchomić pompę.
Innym przykładem jest samoczynne wyłączanie awaryjne, które z reguły występuje częściej tam, gdzie mamy do czynienia z wiarygodnymi systemami SIF, które działają, na przykład na 1 z 2 sygnałów. Włączanie awaryjne może powodować częstsze zatrzymania i ponowne uruchamianie urządzeń i stąd odchylenia od normalnej pracy. Powszechnie wiadomo, co zostało poparte statystyką wypadków, że wypadki przy pracy występują częściej w fazach przejściowych, takich jak lądowanie i start samolotu.
Powyżej pewnego poziomu uciążliwości dla produkcji mogą nawet być podejmowane decyzje o obejściu systemu bezpieczeństwa, czasami bez odpowiedniego systemu zarządzania, który zmniejsza ryzyko po lewej stronie Rys. 2. Dość typowym przykładem są tu tłumiki wybuchu, które są wyłączane przez przypadkowe zadziałanie.
Złożoność
Zbyt wiele systemów SIF prowadzi również do zbyt wielu źle zarządzanych (a zwłaszcza słabo przetestowanych) SIF, a tym samym do poziomu redukcji realnego ryzyka niższego niż to zdefiniowano na początku.
Złożoność powoduje także eskalację liczby alarmów w sterowni. Sytuacja ta jest na tyle realna, że dała początek nowej dziedzinie: zarządzaniu alarmami. Nadmierna liczba alarmów powoduje, że przestaje się zwracać uwagę na ważne aspekty o krytycznym znaczeniu dla bezpieczeństwa.
Błędy poznawcze
Sama obecność automatycznych barier ostatecznych powoduje poczucie samouspokojenia co do bezpieczeństwa w zakładzie. Personel operacyjny stopniowo ulega przekonaniu, że nic poważnego nie może się zdarzyć, i że instalacja zostanie automatycznie przełączona w tryb awaryjny.
W niektórych przypadkach bezpieczeństwo przyrządowe, jako ostateczna bariera, staje się częścią procesu. Na przykład pracownicy zaczynają używać parametru „bardzo wysoki poziom bezpieczeństwa” w zasobniku jako parametru kontrolnego. Operacje wykonywane są przy najwyższych wartościach parametru, zbliżających się do punktu awaryjnego. Jest to oczywiście bardzo szkodliwe dla wiarygodności barier, które stają się raczej ciągłym trybem sterowania niż wydarzeniem, które czasami ma miejsce. Pewnego dnia bariera będzie uszkodzona i nastąpi przelanie zasobnika.
Podczas przeprowadzanej przez nas oceny wypadku zbliżonego do katastrofy (która na szczęście dobrze się zakończyła) usłyszeliśmy od operatorów, że systemowe bariery bezpieczeństwa przyrządowego były tym, „co powstrzymuje nas od zejścia z drogi bez względu na błędy, jakie popełniamy w postaci odchyleń od procesu” (sic!). Jest to oczywiście błąd poznawczy podobny do tego, jaki spotykamy w grach wideo (efekt Nintendo). Aby użyć uproszczonej metafory z samochodem, sytuacja podobna jest do sytuacji kierowcy, który mając poduszkę powietrzną oraz system przeciwpoślizgowy, stopniowo jedzie coraz szybciej nawet podczas deszczu. Dobrze wiadomo, że praca w okolicach granicy bezpieczeństwa (innymi słowy w sytuacji już pogorszonej) jest sama w sobie czynnikiem, przyczyniającym się do poważnych wypadków.
Podobnie, zbyt wiele systemów SIF może również tworzyć „iluzję zrozumienia i wiedzy wśród personelu operacyjnego, w tym inżynierów”[4]. W pełni zautomatyzowanym zakładzie ludzie stopniowo tracą z pola widzenia 'normalny proces produkcyjny’. Bardzo ważne jest, aby zwalczać takie zaburzone postrzeganie.
Ukierunkowanie działań nie jest proste, a jednym z najważniejszych działań jest szkolenie i kształcenie operatorów w dziedzinie ostatecznych barier i ich przydatności. Prawdziwe zwalczanie zaburzeń poznawczych, które zagnieździły się w organizacjach, nie jest tylko kwestią kilku sesji szkoleniowych i często wymaga działań sięgających głębiej.
Przyczyny i rozwiązania w reakcji na trend
Przyczyny trendu, który staram się krótko zilustrować, są wielorakie i o różnym charakterze. W tym rozdziale opiszę zasady i rozwiązania, które mogą mu zapobiegać.
Przyczyny systemowe
Sam fakt, że normy stworzone zostały przez światowej sławy specjalistów od oprzyrządowania i sterowania/kontroli sprawił, że wiele organizacji powierzyło ich realizację specjalistom z dziedziny automatyki i utrzymania ruchu, czyli działów firmy, które są bezpośrednio na styku z dostawcami zintegrowanych rozwiązań lub dostawców urządzeń bezpieczeństwa (czujniki, aparaty, systemy sterowania i oprzyrządowania itp.). Prowadzi to często do rozłączenia bezpieczeństwa funkcjonalnego od obszaru bezpieczeństwa procesu, którego jest podzespołem.
Rozwiązanie tego problemu leży, jak w przypadku inspekcji opartych na analizie ryzyka, w zapewnieniu lepszego powiązania pomiędzy bezpieczeństwem i utrzymaniem ciągłości procesu a szkoleniem zespołów interdyscyplinarnych. Ponadto, dla bezpieczeństwa funkcjonalnego korzystne jest, aby jego siłą napędową było bezpieczeństwo procesu, ponieważ jest to przede wszystkim kwestia zarządzania a nie automatyczne sterowanie przemysłowe.
Formalizm
Sama strona formalna standardów jest odpowiedzialna za niektóre z zaobserwowanych trendów. Formalizm standardów, jak to pokazano na Rys.4, czasami prowadzi analityków do rozumowania w kategoriach oprzyrządowania łańcuchów bezpieczeństwa kosztem innych barier.
Rys.4. Podejście SIS zgodnie z IEC 61511
W rzeczywistości już samo takie podejście zawiera wypaczenia, ponieważ funkcje oprzyrządowania są wyizolowane oraz błędnie uznane i postrzegane jako najlepszy sposób doprowadzenia badanych zagrożeń do akceptowalnego poziomu. Jednym z bezpośrednich skutków jest zbyt duży nacisk na SIS (przyrządowy system bezpieczeństwa) kosztem innych barier. Zbyt często zdarza się, że grupy robocze określające poziomy SIL (poziom nienaruszalności bezpieczeństwa) „łagodzą” zagrożenia poprzez dodanie SIS bez poświęcenia należytej uwagi innym możliwym opcjom, począwszy od stosowania odpowiednich koncepcji bezpieczeństwa i kwestionując ocenę potencjalnego ryzyka scenariuszy branych pod uwagę.
Innym błędem jest to, że uzasadnienie standardów bierze pod uwagę bariery ochronne (np. zawory) zanim rozważone zostaną bariery zapobiegawcze, którymi często są SIS. Wszelkie analizy zagrożeń muszą oczywiście i przede wszystkim skupić się na barierach, uniemożliwiających wystąpienie niebezpiecznego zjawiska.
Lista ograniczeń i pułapek przy określaniu poziomu SIL jest dość długa. Baybutt[5] idzie dalej pisząc o tej ważnej dziedzinie i włącza do niej:
- znaczenie kalibracji w macierzy dopuszczalności zagrożenia,
- wybór metody (LOPA /analiza warstw zabezpieczeń/ vs. Graf ryzyka),
- znaczenie źródeł danych o awarii,
- uwzględnienie powszechnie występujących przyczyn awarii (np. Fukushima).
Eliminowanie tego rodzaju błędów, wynikających z formalizmu, powinno się przede wszystkim skupić na zmniejszaniu ryzyka u jego źródeł, a dopiero potem na jego łagodzeniu, zaczynając od barier zapobiegawczych. Jednym z najlepszych przykładów jest skupienie się „na chemicznej stronie reakcji” w przemyśle chemicznym tak, aby uczynić reakcję samoistnie bezpieczną i, de facto, ograniczyć prawdopodobieństwo i konsekwencje egzotermicznych reakcji łańcuchowych. Mówiąc bardziej ogólnie, polega to na powrocie do podstaw i skupieniu się na prostych, niezawodnych systemach biernych, które można zapewnić w postaci zaworów lub płytek bezpieczeństwa, stosując kilka środków ostrożności i przestrzegając kilku zasad.
Aspekt barier ludzkich
Tabela 1 przedstawia również znaczne różnice w traktowaniu barier ludzkich (alarm bezpieczeństwa / analiza / typ działania) na podstawie danych z próby obejmującej 225 firm. Oznacza to, że ponad jedna czwarta respondentów przyznaje bardzo mało punktów – mniej niż 2 – tego typu barierom. Jest więc bardzo prawdopodobne, że funkcja bezpieczeństwa, która pozwala, aby scenariusz został ustawiony na akceptowalnym poziomie ryzyka, jest nadmiernie rozbudowana. Wartość 10 jest wykorzystywana przez połowę badanych firm.
Tabela 1. Rozkład typowych czynników redukujących zagrożenia dla alarmu / bariery w postaci działania człowieka oparty na próbie obejmującej 225 firm (według Stauffera[6]).
Współczynnik redukcji zagrożenia |
% |
1 |
10,4 |
1 do 2 |
14,8 |
2 do 10 |
20 |
10 |
43 |
>10 |
3 |
Jakkolwiek celem tego artykułu nie jest omówienie wiarygodności działań użytkownika w obliczu alarmu, wartość 10 jest skutecznym punktem odniesienia w tym przypadku[7], z zastrzeżeniem, że kultura bezpieczeństwa została właściwie wdrożona.
Opinie ekspertów
Inną podstawową przyczyną występowania takiej tendencji jest brak kultury rozpoznawania ważności problemu wśród analityków. Można to określić jako brak wiedzy eksperckiej w dziedzinie bezpieczeństwa procesu. Jednym z ważnych aspektów są błędy w wykorzystywanych źródłach danych. Łatwo jest zrozumieć, że ocena penalizująca (wyższa niż rzeczywista) potencjalnego zagrożenia doprowadzi bezpośrednio do definiowania wysokiego poziomu nienaruszalności bezpieczeństwa w SIF; przeciwieństwo tej sytuacji jest także prawdziwe i równie niepokojące, jak pokazuje Summers[8].
Rozwiązaniem tego problemu, które powinno być regularnie powtarzane , jest zwiększenie wiedzy eksperckiej na temat bezpieczeństwa procesu wśród osób bezpośrednio zaangażowanych w proces na wszelkich szczeblach organizacji: analityków ryzyka, specjalistów ds. oprzyrządowania i kontroli, konserwatorów, operatorów itp. Moim zdaniem nie można się ograniczyć do zorganizowania pojedynczego szkolenia na ten temat. Niezbędny jest rzeczywisty proces rozwijania umiejętności.
Inne zalecenia
Niektóre rozważania, o których mowa w tym artykule, prowadzą do niższej redukcji czynników ryzyka (zainstalowane SIL) niż sądzono, a w związku z tym stanowią znacznie większe rzeczywiste zagrożenie, niż jest to postrzegane przez kierownictwo. Co należy zrobić, aby zaradzić tej sytuacji na bardziej ogólną skalę?
- Przede wszystkim postępować zgodnie ze zdrowym rozsądkiem. Jest dość nietypowe, aby w zakładzie przemysłowym występowały więcej niż 2 lub 3 funkcje bezpieczeństwa przyrządowego na poziomie SIL 3. Jeśli tak nie jest, najpierw należy się przyjrzeć samemu procesowi.
- Systematycznie rozważać zwiększenie bezpieczeństwa w porównaniu do kosztów barier przyrządowych, przeprowadzając analizy techniczno-ekonomiczne, jeśli to konieczne. Zasoby są ograniczone i bariery, które zapewniają najlepsze wyniki w zmniejszaniu ryzyka, powinny być preferowane, a stosowanie SIF powinno być ostatecznością.
- Należy skupić się na barierach z dużym współczynnikiem redukcji zagrożenia, jak również na barierach najprostszych, które są często tańsze.
- Należy badać skuteczność działania barier bezpieczeństwa (w tym SIF) w regularnych odstępach czasu. To na ogół pozwala na upewnienie się, że bariery, które z definicji (a nawet ze względu na sposób, w jaki zostały zaprojektowane) nie są nigdy (lub bardzo rzadko) uruchamiane, będą działać zgodnie z oczekiwaniami, kiedy są rzeczywiście potrzebne.
Wnioski
Poziom bezpieczeństwa procesu jest wynikiem optymalizacji relacji między człowiekiem, systemami i urządzeniami. Funkcje bezpieczeństwa przyrządowego są jednym z kluczowych elementów, ponieważ sprawiają, że możliwe jest znaczące zmniejszenie poziomu ryzyka. Innymi słowy, zapewniają niezawodność, która jest na ogół wyższa od czynności wykonywanych przez użytkownika.
W ciągu ostatnich 30 lat różne przewodniki, normy i standardy, które określają ich strukturę, instalację, funkcjonowanie i wymagania odnośnie niezawodności, przyczyniły się do ogromnego rozwoju i znacznie zmniejszyły zagrożenia w naszych fabrykach. Doprowadziło to do zmniejszenia liczebności personelu operacyjnego, ponieważ niektóre zadania związane z bezpieczeństwem zostały przejęte przez system bezpieczeństwa przyrządowego. Należy jednak pamiętać, że istnieje granica korzystania z systemów automatyki, i że nadmierne oprzyrządowanie może obniżyć ogólną wydajność.
Podobnie jak w przypadku innych aspektów bezpieczeństwa procesu, ekspertyzy w zakresie bezpieczeństwa funkcjonalnego mają zasadnicze znaczenie dla optymalizacji inwestycji w dziedzinie bezpieczeństwa i ukierunkowaniu ich na bariery i działania środków zapobiegawczych o największym wpływie na zmniejszenie ryzyka w procesie przemysłowym.
[1] Casal identyfikuje 17 z 34 przebadanych przypadków opisanych w A. Casal, SIS Pitfalls, Major Incidents and Lessons Learned, Safety Control System Conference /Pułapki SIS, poważne wypadki i wyciągnięte wnioski, Konferencja na temat systemu kontroli bezpieczeństwa/, Perth, Australia, 2011
[2] E. Marzall, Decrease Safety System Costs by Considering Existing Layers of Protection /Zmniejszenie kosztów systemu bezpieczeństwa przez rozważenie istniejących warstw ochrony/, Exida2001
[3] Biała księga Honeywell, Planowanie zabezpieczenia systemowego, 2011
[4] Dennis Hendershot, Process Safety and Environnemental Protection /Bezpieczeństwo procesu i ochrona środowiska/ Protection 2006, 84, 1-6
[5] P. Baybutt Interfejs między bezpieczeństwem funkcjonalnym a bezpieczeństwem procesu i analizą ryzyka, Postęp w bezpieczeństwie procesu, 2013
[6] T. Stauffer, P. Clarke, Benchmarking Industry Practices for the Use of Alarms As Safeguards and Layers of Protection /Benchmarking w praktyce działania w przemyśle w zakresie stosowania alarmów jako zabezpieczeń i warstw ochrony/, Global Congress on Process Safety /Światowy kongres bezpieczeństwa procesu/, 2013.
[7] J.M. Haight i V. Kecojevic, „Automation vs. human intervention: What is the best fit for the best performance?”/Automatyzacja vs. interwencja człowieka: Co jest najlepsze do osiągania najwyższej wydajności?/,” Process safety progress /Postęp w dziedzinie bezpieczeństwa procesu/, tom 24, nr 1, str. 45-51, 2005.
[8] A. Summers, „Overfill Protective Systems – Complex Problem, Simple Solution”/Systemy zabezpieczające przed przepełnieniem – złożony problem, proste rozwiązanie„, SIS-Tech, 2008