System sterowania podstawowych procesów (BPCS – Basic Process Control System) skupiony jest przede wszystkim na ich optymalizacji, w celu zapewnienia stabilności pracy przedsiębiorstwa. Z drugiej strony rosnący poziom ryzyka ogranicza zastosowanie środków minimalizujących negatywny wpływ zdarzeń „po fakcie”. Gdzieś pomiędzy tymi dwiema sferami działań leży bardzo istotna warstwa – Przyrządowe Systemy Bezpieczeństwa (SIS – Safety Instrumented Systems).
Postępująca automatyzacja pomaga ludziom pracować w sposób bezpieczny, jednak wymaga to proaktywnego stosowania technik zarządzania ryzykiem. Dbałość o bezpieczeństwo funkcjonalne ułatwia też odpowiednią organizację pracy załogi. W artykule opisano cztery najczęściej pomijane obszary zarządzania ryzykiem.
Czym jest zarządzanie ryzykiem
Każdy system techniczny niesie ze sobą jakieś zagrożenia: czy to dla ludzi, czy dla środowiska, czy też dla urządzeń i modułów tworzących ten system. Ryzyko jest i pozostanie nieodłącznym elementem w inżynierii, kluczowe jest jednak utrzymywanie go na możliwie najniższym poziomie – tzw. ALARP (As Low As Reasonably Practicable). Zarządzanie bezpieczeństwem funkcjonalnym, czyli niejako planowana redukcja zagrożeń za pomocą zautomatyzowanych systemów bezpieczeństwa, stanowi coraz częstszy wymóg podczas projektowania nowych procesów przemysłowych czy modernizacji już istniejących. Po to właśnie wprowadzono pojęcie poziomów integralności bezpieczeństwa SIL (Safety Integrity Level).
W sektorze procesów przemysłowych należy zapobiegać zagrożeniom, kontrolować je oraz ograniczać ich wpływ poprzez poziom ochrony. Na poziomie podstawowym system kontroli BPCS ma za zadanie optymalizację procesu tak, aby zapewnić jego ciągłość w ujęciu biznesowym. Jednak BPCS sam w sobie tylko częściowo zapobiega zagrożeniom i kontroluje możliwość ich wystąpienia. Z drugiej strony, wykorzystywane środki ograniczające ryzyko „po fakcie” minimalizują lub niwelują negatywne skutki, jeżeli już do jakiegoś niepożądanego zdarzenia dojdzie. Gdzieś pomiędzy plasują się Przyrządowe Systemy Bezpieczeństwa SIS.
1. Pierwszy pomijany aspekt bezpieczeństwa: wstępna ocena ryzyka
Przeprowadzenie oceny ryzyka na wczesnym etapie projektowania procesu ma znaczenie krytyczne, ale niestety często pozostaje brakującym elementem w całym planie działań. Ponieważ zarządzanie ryzykiem funkcjonalnym tak naprawdę bazuje na dobrej ocenie wstępnej, więc poleganie na niestarannym „gotowcu” lub w ogóle nieprzeprowadzenie żadnej oceny może nawet sparaliżować cały projekt. Istnieją dowody, że niemal 40% wypadków w przemyśle jest spowodowanych brakiem wstępnej oceny ryzyka zagrożeń procesowych lub bardzo słabo przygotowaną oceną, bez sprecyzowania wymagań w aspekcie skutecznego zarządzania nim.
Znaczenie przyrządowych systemów bezpieczeństwa – SIS
Kolokwialnie mówiąc, systemy SIS to ostatnia linia obrony przed dojściem do momentu, w którym pozostaje już tylko dzwonić po straż pożarną i policję. Gdy wszystkie inne systemy zawiodą, SIS są jeszcze w stanie uratować sytuację. Ich działanie może dotyczyć konkretnych potrzeb, zebranych w wymaganiach dotyczących bezpieczeństwa SRS (Safety Requirements Specification) oraz ich funkcji SIF (Safety Instrumented Functions). Wszystkie niezbędne informacje są zawarte w analizie zagrożeń procesowych PHA (Process Hazard Analysis) oraz analizie zagrożeń i zdolności operacyjnych HAZOP (Hazard and Operability Study). Ponieważ większość procesów ma kilka pętli sterujących pracujących jednocześnie, będą one w stanie zagwarantować odpowiedni, akceptowalny poziom ryzyka.
Systemy SIS realizują funkcje sterowania za pośrednictwem urządzeń i modułów elektronicznych, pneumatycznych, hydraulicznych lub w układach hybrydowych. W ich skład wchodzi zazwyczaj jeden lub więcej czujników monitorujących stan procesu, procesor logiki, podejmujący decyzje zapewniające utrzymywanie całego systemu w stanie bezpiecznym, a także zestaw elementów wykonawczych (aktorów), realizujących fizycznie polecenia z układu logiki. Pomyślne wdrożenie SIS może zmniejszyć ryzyko zagrożeń w procesach aż o kilka rzędów wielkości, wraz z oczywistymi korzyściami płynącymi dla bezpieczeństwa pracy i ciągłości działania.
W normach IEC 61511/ISA 84 zapisano wytyczne dotyczące najlepszych praktyk w zakresie projektowania, realizacji, eksploatacji, ale także likwidacji systemów SIS. Szereg regulacji dla producentów czujników, logiki czy urządzeń wykonawczych zawiera natomiast norma IEC 61508. Zrozumienie podobieństw i różnic w obu podejściach prezentowanych w tych normach jest bardzo ważne dla osiągnięcia spodziewanego efektu.
2. Drugi aspekt bezpieczeństwa: odpowiedni podział wymagań
Podczas projektowania systemów SIS często pomijana jest konieczność podziału wymagań dotyczących bezpieczeństwa. Tymczasem to bardzo ważny krok, w którym przypisuje się funkcję SIF do konkretnych urządzeń, oprogramowania lub do obu tych elementów. Nierzadko projektanci budują system bez uprzedniego upewnienia się, czy wybrana architektura jest odpowiednia do osiągnięcia wymaganej redukcji ryzyka. Projektowanie bez odpowiedniego przygotowania może skutkować powstaniem systemu przeprojektowanego, drogiego w implementacji lub – co gorsza – słabo przygotowanego, o nieakceptowalnie wysokim poziomie ryzyka.
Właściwy poziom SIL
Jak zatem osiągnąć odpowiedni poziom SIL? Konkretny poziom integralności bezpieczeństwa określa wiarygodność Przyrządowego Systemu Bezpieczeństwa. Wraz ze wzrostem od 1 do 4 poziomu SIL wzrasta poziom wiarygodności SIS odnoszący się do zmniejszenia poziomu ryzyka. Wiarygodność jest określana przez obliczenia PFD – prawdopodobieństwa wystąpienia „awarii na żądanie” (Probability of Failure on Demand). Osiągnięcie określonego poziomu SIL wymaga spełnienia każdego z trzech warunków – niezawodności PFD, struktury HFT (Hardware Fault Tolerance – odporności urządzeń na uszkodzenia) oraz SFF (Safe Failure Fraction – stopnia występowania bezpiecznej liczby uszkodzeń). Przy odpowiednich wartościach każdego z tych elementów można mówić, że SIF odpowiadają wymaganiom SRS.
3. Trzeci aspekt bezpieczeństwa: wykorzystywanie dostępnej architektury systemów sieciowych
Aby zapewnić osiągnięcie odpowiedniego poziomu SIL, warto wykorzystać dostępne, lecz często pomijane architektury sieciowych systemów automatyki i wymiany danych. Dojście do wymaganego parametru niezawodności PFD jest bardzo trudne w przypadku wykorzystywania architektury jeden-na-jeden (one-out-of-one, 1oo1). Natomiast zaprojektowanie redundancji w systemie z wykorzystaniem architektury trzy-na-dwa (two-out-of-three, 2oo3) może znacząco podnieść poziom bezpieczeństwa przy redukcji kosztu powstania systemu.
Może to również pomóc w uzyskaniu rozwiązania kompromisowego, czyli systemu wykrywającego niebezpieczne zdarzenia, przy znikomej liczbie fałszywych alarmów.
Istota zarządzania bezpieczeństwem funkcjonalnym
Obniżając ryzyko wystąpienia zagrożeń w danym procesie, należy zwracać szczególną uwagę także na ogólny poziom ryzyka w całym cyklu rozwoju. Zarządzanie bezpieczeństwem funkcjonalnym jest najważniejszym elementem ograniczenia występowania zagrożeń. Dobrze wykonane wdrożenie systemu zarządzania oznacza odpowiednie udokumentowanie, łatwość weryfikacji i oceny funkcjonalnego bezpieczeństwa – zarówno przez osoby z zewnątrz, jak i uczestniczące w procesie.
4. Czwarty aspekt bezpieczeństwa: dbałość o bezpieczeństwo funkcjonalne w cyklu życia procesu/produktu
Zarządzanie funkcjonalne bezpieczeństwem musi być elementem, od którego rozpoczyna się każdy proces, i stanowić zarazem ostatni etap weryfikujący jego zakończenie. Niedopuszczalne jest rozpoczynanie prac nad systemem zarządzania bezpieczeństwem funkcjonalnym, gdy projektowanie zostanie zakończone lub, co gorsza, gdy system jest już zbudowany i czeka na rozruch. Takie podejście powoduje często ogromne opóźnienia i straty.
Co dalej?
Jaka przyszłość czeka systemy zarządzania bezpieczeństwem funkcjonalnym? Widać coraz większą świadomość wagi zagadnień związanych z minimalizowaniem ryzyka w inżynierii procesowej. Istnieje więc duża szansa na coraz sprawniejsze wykorzystywanie automatyzacji w zapewnieniu maksymalnego bezpieczeństwa procesów przemysłowych i stanowisk roboczych. Kluczem do osiągnięcia zadowalającego stanu w tej kwestii jest i będzie zmiana nastawienia wobec zarządzania ryzykiem. Bezpieczeństwo funkcjonalne stanowi krok właśnie w tym kierunku, zaś sumienne zarządzanie nim może zapewnić inżynierom i specjalistom BHP spokojny sen.
Autor: Erik Reynolds jest ekspertem ds. bezpieczeństwa, pracuje jako konsultant w firmie Intertek.
Tekst pochodzi ze specjalnego wydania “Bezpieczeństwo 2017“. Jeśli Cię zainteresował, ZAREJESTRUJ SIĘ w naszym serwisie, a uzyskasz dostęp do darmowej prenumeraty w formie drukowanej i/lub elektronicznej.