Poziom nienaruszalności bezpieczeństwa procesów technologicznych w przemyśle

Przyrządowe systemy bezpieczeństwa (SIS) są instalowane w zakładach przemysłu procesowego w celu zmniejszania zagrożeń ze strony realizowanych tam procesów technologicznych. Muszą one być przyporządkowane do docelowego poziomu nienaruszalności bezpieczeństwa (SIL) podczas realizacji procesu, aby określić, co musi być zrealizowane w następnej kolejności.

Przyrządowe systemy bezpieczeństwa (SIS – Safety Instrumented Systems) są instalowane w zakładach przemysłu procesowego w celu zmniejszania zagrożeń ze strony realizowanych tam procesów technologicznych poprzez sprowadzenie procesu do „stanu bezpiecznego”, gdy wartości wielkości regulowanych przekroczą punkty nastaw lub gdy bezpieczne warunki operacyjne zostaną naruszone.

System SIS jest jedną z warstw zabezpieczeń w wielowarstwowym systemie bezpieczeństwa, ponieważ żaden pojedynczy środek bezpieczeństwa nie jest w stanie sam wyeliminować ryzyka. Analiza warstwy ryzyka (LOPA – Layer of Protection Analysis) to metoda, dzięki której wszystkie znane zagrożenia związane z procesem i wszystkie znane warstwy zabezpieczeń są dokładnie przeanalizowane. Dla każdego procesu, w którym badanie LOPA wykazało, że istniejące zabezpieczenie nie może zredukować ryzyka do akceptowalnego lub tolerowanego poziomu, wymagany jest system SIS. Jednak nie wszystkie zagrożenia związane z procesem wymagają zastosowania takiego systemu. Każde zagrożenie, które wymaga zastosowania SIS, musi być przyporządkowane do docelowego poziomu nienaruszalności bezpieczeństwa (SIL – Safety Integrity Level).

Czym są poziomy SIL?

Poziomy SIL wywodzą się z dwóch norm dobrowolnie stosowanych przez właścicieli/operatorów fabryk w celu określenia wymagań bezpieczeństwa realizacji niebezpiecznych operacji. Są to następujące normy:

→ IEC 61508: „Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/
programowalnych elektronicznych systemów związanych z bezpieczeństwem” (Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems).

→ IEC 61511: Przyrządowe systemy bezpieczeństwa dla sektora przemysłu procesowego (Safety Instrumented Systems for the Process Industry Sector).

Jak zdefiniowano w normach Międzynarodowej Komisji Elektrotechnicznej (IEC), istnieją cztery poziomy SIL (SIL1÷SIL4). Wyższy poziom SIL oznacza większe zagrożenie związane z procesem oraz wyższy poziom zabezpieczeń wymaganych od systemu SIS. Poziom SIL jest funkcją częstotliwości zagrożeń oraz znaczenia, krytyczności tych zagrożeń. Zagrożenia, które mogą występować częściej lub których konsekwencje są poważniejsze, mają wyższe poziomy SIL.

Aby wyznaczyć poziom SIL zagrożeń związanych z procesem, pomocne jest zrozumienie cyklu życia bezpieczeństwa (safety lifecycle).

Przykład modelu cyklu życia bezpieczeństwa.

Cykl życia bezpieczeństwa

Normy IEC definiują koncepcję określaną mianem cyklu życia bezpieczeństwa, która zapewnia powtarzalną platformę, dzięki której wszystkie zagrożenia związane z procesem są identyfikowane i analizowane w celu identyfikacji i zrozumienia, które z nich wymagają zastosowania systemu SIS dla ich ograniczenia. Z założenia jest to proces cykliczny. Wszelkie zmiany projektu procesu, warunków operacyjnych lub sprzętu wymagają cyklicznego powrotu do punktu początkowego, aby zagwarantować, że wszystkie zmiany są wdrażane poprawnie.

Istnieje wiele etapów wyznaczania poziomu SIL. Proces ten rozpoczyna się wraz z wykonaniem analizy zagrożenia procesowego (PHA – Process Hazard
Analysis
).

Analiza PHA jest systematycznym szacowaniem wszystkich potencjalnych zagrożeń związanych z procesem przemysłowym. Konieczne jest przeanalizowanie wszystkich potencjalnych przyczyn i konsekwencji takich zdarzeń, jak:

→ pożary,

→ eksplozje,

→ emisje materiałów toksycznych, niebezpiecznych lub łatwopalnych itd.

Skoncentrujmy się na tych czynnikach, które mogą wpłynąć na proces. Są to:

→ awarie sprzętu,

→ awarie przyrządów pomiarowych lub problemy z ich kalibracją,

→ odcięcie mediów (energii elektrycznej, wody chłodzącej, sprężonego powietrza itd.),

→ błędy lub działania ludzkie,

→ czynniki zewnętrzne, takie jak burze lub trzęsienia ziemi.

W ramach analizy PHA musi być przeanalizowana zarówno częstotliwość, jak i ewentualne konsekwencje każdego zagrożenia procesowego. Należy znaleźć odpowiedzi na następujące pytania:

→ Jak często może wystąpić zagrożenie? Np. wylanie się cieczy może zdarzyć się zawsze przy ręcznym napełnianiu zbiornika (wiele razy w roku).

→ Jak poważne są konsekwencje zdarzenia? Np. uszkodzenie sprzętu, pożar, eksplozja, emisja toksycznych gazów lub śmierć ludzi.

Kluczowy dla analizy PHA jest fakt, że wypadki mogą się zdarzyć i się zdarzają. Dlatego należy odejść od myślenia, czy coś złego może się zdarzyć, a zamiast tego przewidywać, kiedy to się wydarzy. Każdemu zidentyfikowanemu zagrożeniu jest przyporządkowana „akceptowalna” częstotliwość. Nie można przyjąć, że zagrożenie nigdy się nie wydarzy.

→ Zagrożenie związane ze zdarzeniem, które będzie wymagało udzielenia pierwszej pomocy, może być traktowane jako „akceptowalne”, jeśli zdarzenie to występuje tylko raz w roku.

→ Wybuch lub pożar spowodowany przez pęknięcie zbiornika może mieć „akceptowalną” częstotliwość, jeśli zdarza się raz na 10 tysięcy lat.

Końcowym wynikiem analizy PHA jest lista wszystkich możliwych zagrożeń procesowych, z których każdemu przyporządkowano „akceptowalną” częstotliwość wystąpienia. Następnym krokiem w wyznaczeniu cyklu życia bezpieczeństwa jest analiza warstw zabezpieczeń.

Żadne pojedyncze zabezpieczenie samo nie jest w stanie wyeliminować ryzyka. Z tego powodu efektywny system bezpieczeństwa musi składać się z warstw zabezpieczeń.

W ten sposób, jeśli jedna z warstw zabezpieczeń zawiedzie, to kolejne warstwy sprowadzą proces do stanu bezpiecznego. Ponieważ liczba warstw bezpieczeństwa i ich niezawodność wzrasta, to bezpieczeństwo całego procesu także rośnie.

Ważne jest, aby zrozumieć, że każda warstwa musi funkcjonować niezależnie od innych w przypadku, gdy jedna lub więcej warstw zawodzi.

Niektóre ze specyficznych przykładów warstw zabezpieczeń to:

→ systemy przeciwpożarowe,

→ systemy zabezpieczeń przed wyciekiem (bariery lub podwójne ściany),

→ ciśnieniowe zawory bezpieczeństwa,

→ systemy detekcji gazu/ostrzegawcze.

Dla każdego zagrożenia procesowego, zidentyfikowanego przez analizę PHA, należy:

→ wykonać listę wszystkich dostępnych środków bezpieczeństwa, niezwiązanych z systemem SIS,

→ przyporządkować do każdej warstwy jej własny współczynnik zmniejszenia ryzyka,

→ obliczyć efektywną częstotliwość zagrożeń przy zastosowaniu warstw zabezpieczeń.

Przykład. Operacja napełniania zbiornika, która występuje 250 razy w roku, „może” doświadczyć zdarzenia przepełnienia 250 razy w roku. W tej sytuacji:

→ warstwa zabezpieczeń w formie prawidłowego systemu odpowietrzania/odpływu może zmniejszyć niebezpieczeństwo poprzez wartość współczynnika (zmniejszenia ryzyka) równą 100,

→ zagrożenie wynikające z przepełnienia zbiornika będzie miało efektywną częstotliwość występowania równą 250/100 = 2,5 razy na rok.

Po obliczeniu efektywnej częstotliwości występowania każdego zagrożenia kluczowe pytanie, na które należy odpowiedzieć, brzmi: „Czy po zastosowaniu warstw zabezpieczeń niezwiązanych z systemem SIS efektywna częstotliwość będzie niższa od akceptowalnej?”.

Po zidentyfikowaniu wszystkich zagrożeń procesowych i przyporządkowaniu im wszystkich warstw zabezpieczeń, jeśli analiza PHA/LOPA wykazała, że istniejące zabezpieczenia nie mogą zredukować ryzyka do akceptowalnego lub tolerowanego poziomu, będzie wówczas wymagany system SIS. Jednak w rzeczywistości nie każde zagrożenie procesowe wymaga zastosowania systemu SIS.

Przyrządowe systemy bezpieczeństwa i ich funkcje

Celem systemu SIS jest sprowadzenie procesu do stanu bezpiecznego, gdy wartości wielkości regulowanych przekroczyły punkty nastaw lub gdy zostały naruszone bezpieczne warunki operacyjne.

Rolą systemu SIS jest redukcja ryzyka poprzez wdrożenie przyrządowych funkcji bezpieczeństwa (SIF – Safety Instrumented Functions).

Poniżej podano dwa przykłady funkcji SIF:

→ Zagrożenie: przepełnienie zbiornika. Funkcja SIF: system SIS wyłącza pompy napełniające, gdy poziom cieczy w zbiorniku przekroczy uprzednio ustawioną bezpieczną wartość.

→ Zagrożenie: wysoka temperatura. Funkcja SIF: system SIS za pomocą przekaźnika wyłącza zasilanie grzałki po osiągnięciu przez obiekt uprzednio nastawionej bezpiecznej wartości temperatury.

W każdym przypadku SIF jest funkcją bezpieczeństwa realizowaną przez system SIS w celu osiągnięcia lub utrzymywania stanu bezpiecznego. Czujniki, jednostka logiczna (ang. logic solver) i elementy wykonawcze funkcji SIF współdziałają ze sobą, aby wykryć zagrożenie i sprowadzić proces do stanu bezpiecznego.

Każda funkcja SIF służy jako warstwa bezpieczeństwa sprowadzająca efektywną częstotliwość występowania zagrożenia poniżej częstotliwości akceptowalnej. W tym celu każda funkcja SIF musi mieć minimalny współczynnik zmniejszenia ryzyka.

Docelowy poziom SIL funkcji SIF

W przykładzie z przepełnieniem zbiornika obliczono, że po zastosowaniu warstw zabezpieczeń spoza systemów SIS efektywna częstotliwość występowania zagrożenia wyniosła 2,5 razy na rok. Jeśli akceptowalna częstotliwość występowania zagrożenia wynosi raz na 10 lat, to funkcja SIF musi mieć współczynnik zmniejszenia ryzyka (RRF – Risk Reduction Factor) równy co najmniej 25. Tak więc:

→ minimalny współczynnik RRF funkcji SIF = efektywna częstotliwość występowania zagrożenia bez zastosowania systemu SIS/częstotliwość akceptowalna = 2,0/0,1=25,

→ minimalna wartość współczynnika RRF każdej funkcji SIF jest używana do wyznaczania docelowego poziomu SIL funkcji SIF.

Docelowy poziom SIL jest wyznaczany bezpośrednio ze współczynnika RRF na podstawie tabeli 1. Należy zwrócić uwagę na relację pomiędzy poziomem SIL a współczynnikiem RRF. Poziom SIL1 ma minimalny współczynnik RRF równy 101, a SIL2 – minimalny współczynnik RRF równy 102 i tak dalej.

W przykładzie z przepełnieniem zbiornika minimalna wartość współczynnika RRF wynosi 25, docelowy poziom SIL funkcji SIF wynosi SIL1, a zatem jest to zagrożenie na poziomie SIL1.

Dla każdego zagrożenia zidentyfikowanego za pomocą analiz PHA i LOPA, które wymaga użycia funkcji SIF, docelowy poziom SIL jest przyporządkowywany przy użyciu tej samej metody. Należy zauważyć, że prawdopodobnie będziemy mieli różne docelowe poziomy SIL. Następnym krokiem w tym procesie jest zaprojektowanie systemu SIS, który będzie w stanie zrealizować wymagane funkcje SIF i osiągnąć docelowy poziom SIL.

Osiągalne poziomy SIL funkcji SIF

SIS jest systemem obejmującym wiele komponentów, takich jak:

→ czujniki dostarczające sygnał wejściowy,

→ interfejsy i przetworniki sygnału wejściowego,

→ jednostka logiczna z zasilaniem i komunikacją,

→ przetworniki i interfejsy sygnału wyjściowego oraz zasilanie,

→ elementy wykonawcze (zawory, przekaźniki, styczniki) do ostatecznej realizacji funkcji sterowania.

Przykładowa funkcja SIF, realizowana przez system SIS, który wyłącza zasilanie cewki przekaźnika w celu otwarcia obwodu grzałki po osiągnięciu wysokiej temperatury przez obiekt regulacji, może mieć jeden z poniższych elementów pętli lub wszystkie elementy:

→ termoelement,

→ nadajnik sygnału temperatury,

→ przetwornik lub separator sygnału wejściowego,

→ kartę wejść analogowych,

→ kartę (-y) komunikacyjną (-e),

→ procesor (CPU),

→ kartę wyjść cyfrowych,

→ przetwornik lub separator sygnału wyjściowego,

→ przekaźnik zasilający grzałkę.

Musimy założyć, że w pewnym punkcie wystąpi zagrożenie. Nie możemy założyć, że zagrożenie nie wystąpi nigdy. Podobnie, musimy założyć, że w dowolnym z komponentów funkcji SIF może wystąpić uszkodzenie i nie zadziała on, reagując na przywołanie.

Jednym z bardzo rozpowszechnionych źródeł awarii jest zawór odcinający, który pozostaje otwarty w normalnych warunkach realizacji procesu. Jeśli w celu realizacji danej funkcji SIF wymagane jest zamknięcie zaworu, to możliwa jest sytuacja, że element ten zakleszczy się w położeniu otwartym i nie zamknie się, gdy będzie to wymagane. Z tego powodu musimy znać prawdopodobieństwo awarii funkcji SIF. Ogólne prawdopodobieństwo awarii danej funkcji SIF jest wyznaczane na podstawie obliczeń poziomu SIL (SIL calcs). Obliczenia te są dość złożone, jednak zasadniczo proces ich wykonania polega na zebraniu danych dotyczących wskaźników awaryjności dla komponentów SIF i uwzględnieniu takich współczynników, jak częstotliwość testów, redundancja, układ głosujący itd. Wynikiem końcowym będzie otrzymanie dla każdej funkcji SIF wartości ogólnego prawdopodobieństwa uszkodzenia na przywołanie (PFD – Probability of Failure on Demand).

Dane dotyczące awaryjności dla wielu urządzeń, które tworzą pętle SIF, są publikowane przez producentów sprzętu. Firmy
często współpracują z konsultantami przy wyznaczaniu wskaźników awaryjności.

Do obliczania poziomu SIL dla funkcji SIF są wymagane dane dotyczące awaryjności, nie zaś dane SIL. Nie ma czegoś takiego jak urządzenie o znamionowym poziomie SIL. Nie można kupić czujników czy systemów sterowania o znamionowym poziomie SIL.

Gdy znany jest już współczynnik PFD funkcji SIF, to jego współczynnik RRF oblicza się w prosty sposób, jako odwrotność PFD (RRF=1/PFD). Można wtedy porównać współczynnik RRF funkcji SIF z minimalnym wymaganym RRF. Jeśli współczynnik RRF funkcji SIF jest większy od minimalnego RRF, to funkcja SIF jest wystarczająca do zmniejszenia ogólnego poziomu zagrożenia poniżej akceptowalnego.

Wracając znów do analizowanego już przykładu z przepełnieniem zbiornika, załóżmy, że obliczenia poziomu SIL wykazały, iż funkcja SIF ma współczynnik RRF równy 300. Ponieważ jest on większy od 25, to funkcja SIF jest wystarczająca. Jeśli obliczenia poziomu SIL wykazały, że współczynnik RRF jest mniejszy od 25, to będzie konieczna zmiana lub ponowne rozmieszczenie komponentów funkcji SIF.

Jednym ze sposobów zwiększenia współczynnika RRF jest zainstalowanie czujników redundantnych w układzie głosującym lub zakup czujników o niższych opublikowanych współczynnikach awaryjności.

Relacje pomiędzy poziomem SIL oraz współczynnikami a PFD i RRF zestawiono w tabeli 2.

Wracając jeszcze raz do przykładu z napełnianiem zbiornika: minimalny współczynnik RRF wyniósł tam 25 (SIL1) przy współczynniku RRF dla funkcji SIF równym 300. Osiągalny poziom SIL funkcji SIF wynosi SIL2. Oznacza to, że do zabezpieczenia przez zagrożeniem na poziomie SIL1 jest tam wykorzystywana funkcja SIF zdolna osiągnąć poziom SIL2. Jest to sytuacja w pełni akceptowalna i wcale nie jest niczym niezwykłym.


David Yoset jest kierownikiem projektu w firmie Cross Company. Niniejszy artykuł oryginalnie pojawił się na blogu „Systemy Zintegrowane” tejże firmy.