Poziomy SIL funkcji bezpieczeństwa – ich znaczenie w warstwowej koncepcji redukcji ryzyka procesowego

Zwiększenie intensywności produkcji przy jednoczesnej presji na minimalizację jej kosztów może mieć wpływ na bezpieczeństwo instalacji. Przy dosyć szybko zmieniających się wymaganiach rynku dodatkowym czynnikiem zwiększającym zagrożenie jest presja czasu.

Zagrożenia na instalacji mogą być związane z zaburzeniami procesowymi (np. wzrost ciśnienia, temperatury lub przepływu, awaria systemu chłodzenia czy sterowania), awariami elektrycznymi (np. zanik zasilania, przepięcia), usterkami mechanicznymi (np. korozja, drgania) czy czynnikami zewnętrznymi (np. burze, huragany, trzęsienia ziemi, pożary czy wybuchy w sąsiedztwie – efekt domina). Niebezpieczeństwo może się wiązać również z błędami ludzkimi, niezamierzonymi (np. błędy projektowe czy proceduralne, niewłaściwe zachowanie się pracowników wynikające z braku kwalifikacji) oraz, niestety, działaniami zamierzonymi – sabotaż, atak terrorystyczny czy cyberatak.

Historia uczy, że przy pewnym splocie niekorzystnych czynników może dojść do awarii lub katastrofy. Wyciągnięte z nich wnioski uświadamiają nam, gdzie jeszcze są obszary do poprawy, na co szczególnie należy zwracać uwagę, projektując, budując, eksploatując czy remontując instalacje przemysłowe podwyższonego ryzyka.

Ryzyko związane z zagrożeniami w zakładzie produkcyjnym rozpatrywane jest w zależności od rodzaju ewentualnych strat. Możemy mówić o ryzyku utraty zdrowia i życia pracowników oraz osób postronnych, ryzyku finansowym związanym z utratą majątku i potencjalnych zysków oraz ryzyku środowiskowym. Nie bez znaczenia, zwłaszcza dla spółek giełdowych, są straty wizerunkowe mogące wpływać na spadek ceny akcji przedsiębiorstwa.

Ogólnie ryzyko w procesie produkcyjnym można zdefiniować jako kombinację częstości lub prawdopodobieństwa wystąpienia zdarzenia awaryjnego oraz jego konsekwencji:
R = P x S
gdzie:
R – ryzyko
P – prawdopodobieństwo wystąpienia zdarzenia awaryjnego
S – skutki wynikające z wystąpienia zdarzenia awaryjnego.

Z kolei przez bezpieczeństwo rozumie się sytuację, gdy nie występuje ryzyko na poziomie nieakceptowalnym. Aby sprawdzić, czy ryzyko jest akceptowalne, należy je oszacować i ocenić w odniesieniu do przyjętych kryteriów. Kryteria akceptowalności każdego z wymienionych powyżej obszarów ryzyka powinny zostać określone przez kierownictwo przedsiębiorstwa.

Poziom dopuszczalności ryzyka uzależniony jest od wielu czynników: zagrożeń, jakie generują obecne w procesie substancje, lokalizacji i wielkości zakładu, ilości narażonych na ewentualne skutki osób, doświadczenia z prowadzonym procesem, przyjętych standardów oraz wymogów prawnych. Bardzo pomocna w prowadzeniu analiz i oceny ryzyka jest opracowana i zatwierdzona przez zarząd matryca ryzyka (tab. 1.), obejmująca wszystkie obszary zagrożeń (ryzyko ludzkie, finansowe, środowiskowe).

Bezpieczeństwo procesowe, które jest częścią integralną ogólnego bezpieczeństwa przedsiębiorstwa, odnosi się do instalacji procesowych zawierających i przetwarzających substancje chemiczne. Jest ono ściśle zależne od bezawaryjnego prowadzenia procesu technologicznego.

Konieczność zapewnienia bezpieczeństwa powinna być uwzględniana na wszystkich etapach życia każdej instalacji chemicznej. Ryzyko wystąpienia awarii związane jest z utratą kontroli nad prowadzonym procesem co może doprowadzić do utraty szczelności instalacji i uwolnienia obecnych w niej substancji. W zależności od właściwości tych substancji konsekwencją uwolnienia może być pożar, wybuch, zatrucie ludzi lub skażenie środowiska. Przeciwdziałanie awariom jest wymogiem prawnym nakładanym na kierujących przedsiębiorstwem zwiększonego lub dużego ryzyka (Dyrektywa SEVESO).

Warstwy zabezpieczeń

Zapewnienie bezpiecznej pracy instalacji procesowej polega na odpowiednim doborze systemów zabezpieczających. Dobór zabezpieczeń należy rozpocząć od identyfikacji wszystkich zagrożeń, jakie występują na instalacji i wyboru tych scenariuszy awaryjnych, które powodują, że te zagrożenia są największe. Scenariusze awaryjne to sekwencje występujących po sobie zdarzeń rozpoczynających się od tzw. zdarzenia inicjującego (przyczyny), a kończących wystąpieniem niepożądanych skutków.

W celu identyfikacji scenariuszy awaryjnych możemy wykorzystać różne metody analityczne. Wybór metody zależy od tego, na jakim etapie w cyklu życia jest instalacja (projekt, budowa, eksploatacja, modyfikacja) oraz od ilości posiadanych informacji, wiedzy i doświadczenia jakie mamy w odniesieniu do analizowanej instalacji.

Przeprowadzona analiza powinna dać odpowiedzi na pytania: co może się wydarzyć, jak często, w jaki sposób może do tego dojść i jakie będą skutki. Wnioski z analizy powinny prowadzić do określenia poziomu ryzyka związanego z instalacją.

Po określeniu ryzyka możemy poddać go ocenie, która pozwoli wskazać, czy taki poziom jest dla nas akceptowalny. W tym celu możemy wykorzystać przyjętą w zakładzie matrycę ryzyka. Dokonując oceny, uwzględniamy istniejące w instalacji zabezpieczenia – jeśli takie zostały zastosowane. Gdy poziom ryzyka jest wyższy od akceptowalnego, określamy, jak duża jego redukcja jest wymagana.

Potrzebną redukcję ryzyka uzyskujemy przez zastosowanie systemów zabezpieczenia i ochrony, które w instalacjach procesowych tworzą układ warstw bezpieczeństwa. W prostym modelu (rys. 1.) warstwa zabezpieczeniowa zlokalizowana jest między zagrożeniem procesowym a jego ewentualnym skutkiem. Warstwami takimi mogą być pojedyncze urządzenia, systemy techniczne lub określone procedury organizacyjne.

Podstawowe funkcje, jakie pełnią warstwy zabezpieczeniowe (rys. 2.):
1. zapobieganie wystąpieniu zagrożenia na instalacji:

• bezpieczeństwo wewnętrzne instalacji,
• podstawowy system sterowania procesem (BPCS),
• system monitorowania przebiegu procesu i działanie operatora (system alarmów, procedury bezpieczeństwa, nadzór operatorski),
• przyrządowe systemy bezpieczeństwa (SIS),

2. ochrona instalacji przed skutkami zdarzenia awaryjnego:

• system detekcji wycieków,
• zawory bezpieczeństwa,
• panele odciążające wybuch,
• kontrola źródeł wycieku (tace podzbiornikowe, pochodnie),

3. przeciwdziałanie skierowane na łagodzenie skutków awarii:

• systemy zraszaczowe,
• kurtyny wodne i parowe,
• Zakładowa Straż Pożarna,
• Ratownictwo Chemiczne,
• Państwowa Straż Pożarna,
• procedury ewakuacyjne.

Celem warstw zapobiegania jest uniemożliwienie lub zmniejszenie prawdopodobieństwa uaktywnienia się scenariusza awaryjnego. W przypadku niepowodzenia jej zadziałania uruchamiane są warstwy ochrony, których zadaniem jest zabezpieczenie ludzi i instalacji przed skutkami awarii. Jeśli i te warstwy zawiodą, uruchamiane są warstwy łagodzenia skutków.

Aby dobrze wypełniać swoje funkcje warstwy zabezpieczeń powinny spełniać określone wymagania:

• powinny być dedykowane do ochrony lub ograniczenia skutków jednego zdarzenia awaryjnego,
• powinny być niezależne, tzn. że uszkodzenie jednej warstwy nie powinno mieć wpływu na działanie innej (automatyka sterowania procesem nie powinna mieć elementów wspólnych z automatyką zabezpieczeniową – SIS),
• powinny być skuteczne – niezawodne oraz efektywne w działaniu, tzn. że zostaną uruchomione z określonym prawdopodobieństwem oraz wypełnią przypisaną im do realizacji funkcję bezpieczeństwa,
• działanie warstw powinno być sekwencyjne – kolejne zabezpieczenie powinno zadziałać po niepowodzeniu poprzedniego,
• powinna być zapewniona możliwość kontroli i sprawdzenia działania poszczególnych warstw.

Każda z zastosowanych warstw zabezpieczeń wprowadza pewną wielkość redukcji ryzyka procesowego. Sumaryczna wartość tej redukcji powinna zapewnić, że poziom ryzyka resztkowego jest niższy od przyjętego poziomu ryzyka akceptowalnego. Dalsze zmniejszanie ryzyka poniżej poziomu akceptowalnego jest możliwe (np. przez zastosowanie kolejnych warstw zabezpieczających), ale niesie za sobą konieczność ponoszenia dodatkowych, nierzadko bardzo wysokich kosztów i może być ekonomicznie nieuzasadnione (zasada ALARP).

Do określenia poziomu redukcji ryzyka wnoszonego przez poszczególne warstwy zabezpieczeń wymagana jest znajomość niezawodności ich działania. Jeśli warstwę zabezpieczeń stanowi zespół urządzeń, niezawodność całego układu zależy od poziomu niezawodności wszystkich jego elementów.

Skuteczność działania zastosowanych zabezpieczeń uzależniona jest w dużej mierze od ich parametrów technicznych, ale także od przyjętego w przedsiębiorstwie systemu zarządzania bezpieczeństwem. System ten powinien obejmować zarówno technologiczne, jak i organizacyjne procedury postępowania na wypadek awarii, system szkoleń i podnoszenia kompetencji załogi a także zasady współpracy z jednostkami zewnętrznymi (strażą pożarną, ratownictwem, sztabem zarządzania kryzysowego).

Przyrządowe systemy bezpieczeństwa (SIS)

Szczególną rolę w warstwowej koncepcji zabezpieczeń pełnią przyrządowe systemy bezpieczeństwa (SIS – Safety Instrumented System). Ich zadaniem jest jak najszybsze sprowadzenie instalacji do stanu bezpiecznego po przekroczeniu nastawionych progów lub wywołaniu zadziałania.

Projektując przyrządowy system bezpieczeństwa (SIS), należy do każdego wytypowanego w analizie ryzyka scenariusza awaryjnego zaprojektować układ wykonawczy, którego zadaniem będzie niedopuszczenie do rozwinięcia się danego scenariusza. Układ ten będzie realizował zdefiniowane funkcje bezpieczeństwa (SIF – Safety Instrumented Function). Określając te funkcje, należy sprecyzować, czego od nich oczekujemy, tzn. jakie zadania mają spełnić, jak szybko mają to zrobić oraz z jakim prawdopodobieństwem (niezawodnością). Do zapobieżenia rozwinięciu się niektórych scenariuszy awaryjnych może być wymagane określenie więcej niż jednej funkcji bezpieczeństwa.

Realizowana funkcja bezpieczeństwa może mieć różny rodzaj pracy:

• rzadkiego przywołania – funkcja bezpieczeństwa jest wykonywana tylko na przywołanie w celu sprowadzenia kontrolowanego układu do stanu bezpiecznego; częstość przywołań jest nie większa niż raz na rok;
• częstego przywołania – funkcja bezpieczeństwa jest wykonywana tylko na przywołanie w celu sprowadzenia kontrolowanego układu do stanu bezpiecznego; częstość przywołań jest większa niż raz na rok;
• ciągły – funkcja bezpieczeństwa utrzymuje układ w stanie bezpiecznym jako cześć normalnego działania.

Przykładem systemu działającego na przywołanie jest układ, który realizuje określoną funkcję po zaistnieniu sytuacji awaryjnej (np. odcięcie dopływu medium do zbiornika po przekroczeniu maksymalnego poziomu napełnienia). Z kolei przykładem pracy ciągłej jest system monitorujący przebieg procesu, który na bieżąco informuje operatora o jego stanie.

Kolejnym krokiem po zdefiniowaniu wszystkich funkcji bezpieczeństwa jest zaprojektowanie warstwy sprzętowej układu, którego zadaniem będzie realizacja danej funkcji.

Układy te, nazywane układami blokadowymi, budowane są często z wykorzystaniem urządzeń elektrycznych/elektronicznych/programowalnych elektronicznych (E/E/PE). Wynika to z coraz większej ich niezawodności, a właśnie niezawodność działania jest jednym z głównych wymagań stawianych systemom bezpieczeństwa. Żeby można było zastosować urządzenia E/E/PE w systemach związanych z bezpieczeństwem, powinny być one tak zaprojektowane i wykonane, aby zapobiec ich potencjalnym uszkodzeniom oraz, jeśli już do nich dojdzie, skutecznie te uszkodzenia kontrolować.

Wymagania, jakie muszą spełnić systemy E/E/PE, gdy są używane do wypełniania funkcji bezpieczeństwa w procesach przemysłowych, zawarte są w normach PN-EN 61508 (norma ogólna dotycząca bezpieczeństwa funkcjonalnego) oraz PN-EN 61511 (norma sektorowa dotycząca bezpieczeństwa funkcjonalnego w przemyśle procesowym). Odnoszą się one do całego cyklu życia bezpieczeństwa instalacji, który obejmuje koncepcję wstępną, identyfikację zagrożeń, analizę i ocenę ryzyka, projektowanie, zaimplementowanie, eksploatację, aż do wyłączenia z ruchu lub likwidacji.

Dla poszczególnych faz cyklu życia bezpieczeństwa w normach przewidziane zostały wymagania dotyczące zapobiegania uszkodzeniom elementów układu E/E/PE (unikanie powstawania uszkodzeń) oraz wymagania dotyczące kontrolowania uszkodzeń, czyli zapewnienia bezpieczeństwa nawet wtedy, gdy uszkodzenie się pojawi.

Normy podają również propozycje metod, jakie można wykorzystać do oceny ryzyka w celu określenia wymaganego poziomu redukcji ryzyka dla funkcji bezpieczeństwa (np. graf ryzyka, kalibrowany graf ryzyka, tablice krytyczności, Analiza Warstw Zabezpieczeń).

W ramach podanego w normach schematu można rozpatrywać także systemy realizujące funkcje bezpieczeństwa wykonane przy użyciu innych technik – mechanicznej, hydraulicznej czy pneumatycznej.

Niezawodność systemów E/E/PE, wykorzystywanych do wypełniania funkcji bezpieczeństwa, określa się jednym z czterech poziomów nienaruszalności bezpieczeństwa SIL (Safety Integrity Level). Poziom 4. jest poziomem najwyższym, poziom 1. najniższym. Im wyższy jest poziom SIL, tym większe jest prawdopodobieństwo, że funkcja bezpieczeństwa zostanie przez system wypełniona i tym samym większa redukcja ryzyka zostanie przez układ osiągnięta (rys. 3.).

Wynikowy poziom SIL dla całego systemu bezpieczeństwa zależy od niezawodności (poziomów SIL) poszczególnych jego elementów, w tym również niezawodności kanałów komunikacyjnych. Najprostszy system bezpieczeństwa E/E/PE składa się z elementu pomiarowego, elementu logicznego i elementu wykonawczego (rys. 4.). Po określeniu wymaganego poziomu SIL dla wszystkich funkcji bezpieczeństwa i zaprojektowaniu struktury sprzętowej kolejnym krokiem jest weryfikacja, która ma na celu potwierdzenie, że zaprojektowane systemy spełniają założone wymagania.

Poziom nienaruszalności bezpieczeństwa SIL poszczególnych urządzenia zależy w głównej mierze od ich niezawodności wyrażonej intensywnością uszkodzeń ʎ. Intensywność uszkodzeń dzieli się na intensywność uszkodzeń bezpiecznych ʎS oraz intensywność uszkodzeń niebezpiecznych ʎD, a te z kolei na uszkodzenia wykrywalne (ʎSD, ʎDD) i niewykrywalne przez testy diagnostyczne (ʎSU, ʎDU). Całkowita intensywność uszkodzeń wyraża się wzorem:

λ = λD+ λS = λDU + λDD + λSU + λSD

Na podstawie intensywności uszkodzeń możemy określić dodatkowe parametry wykorzystywane w obliczeniach, np.:
DC – pokrycie diagnostyczne
DC = λDD / λD
SFF (Safe Failure Fraction) – odsetek uszkodzeń bezpiecznych
SFF = (λDD + λS) / λ

Na podstawie intensywności uszkodzeń poszczególnych urządzeń wchodzących w skład systemu bezpieczeństwa (ʎ), a także czasu między testami okresowymi systemu (TI), średniego czasu naprawy (MTTR), współczynnika uszkodzeń zależnych (β) oraz przy uwzględnieniu architektury systemu możemy oszacować jego niezawodność, której miarą jest poziom SIL.
Określenie poziomu SIL przebiega w kilku etapach. W zależności od rodzaju pracy systemu należy obliczyć wartości kryterialne (tab. 2.):
PFDavg – wartość średnia prawdopodobieństwa niewypełnienia funkcji bezpieczeństwa na żądanie (rodzaj pracy rzadkiego przywołania),
PFH – częstość wystąpienia uszkodzenia niebezpiecznego na godzinę (rodzaj pracy częstego przywołania lub ciągłej).
W ujęciu matematycznym są one funkcją pięciu parametrów:

PFDavg = f (ʎ, DC, TI, β, MTTR)
PFH = f (ʎ, DC, TI, β, MTTR)

gdzie:
ʎ – intensywnością uszkodzeń [h-1]
DC – pokrycie diagnostyczne [%]
TI – czas między testami okresowymi [h]
β – współczynnik uszkodzeń zależnych
MTTR – średni czas przywracania zdatności urządzenia do użycia (naprawy) [h]

Wzory, według których obliczamy wartości PFDavg oraz PFH, zależą od architektury systemu. Przykłady wzorów, jakie można przyjąć do obliczenia PFDavg i PFH dla systemów o architekturze 1oo1 i 1oo2 (według PN-EN 61508) podano na poniżej.

Jak z nich wynika, przy obliczaniu PFDavg oraz PFH duże znaczenia ma czas między testami okresowymi (TI). Wydłużenie tego czasu powoduje wzrost wartości PFDavg (PFH), co w konsekwencji może doprowadzić do zmniejszenia poziomu SIL danego układu. Ponadto przy obliczeniach należy uwzględnić:

• stopień wykrywania uszkodzeń przez testy sprawdzające,
• prawdopodobieństwo pogorszenia własności urządzenia przez testy okresowe,
• niezawodność środków i procedur używanych do wykonywania testów,
• niezawodność układów dostarczających media niezbędne do prawidłowego działania systemu (np. jeśli jest wymagane ogrzewanie rurek impulsowych dla czujnika, to niezawodność działania układu grzewczego powinna być uwzględniona w obliczeniach).

Przykłady wzorów obliczeniowych wg PN-EN 61508

Aby móc skorzystać z podanych wcześniej wzorów i obliczyć PFDavg lub PFH, potrzebne są dane niezawodnościowe urządzeń. Takie dane mogą być dostarczone przez producenta urządzenia, jeśli zostało ono przebadane przez niezależną jednostkę i posiada odpowiedni certyfikat. Można również posłużyć się dostępnymi bazami danych (np. OREDA). Na rynku dostępne są także programy komputerowe umożliwiające obliczenie PFDavg lub PFH (np. exSILentia). Programy te mają „zaszyte” bazy paramentów niezawodnościowych urządzeń.

Do ostatecznego określenia poziomu SIL rozpatrywanego systemu należy dodatkowo uwzględnić SFF (Safe Failure Fraction) – udział uszkodzeń bezpiecznych oraz HFT (Hardware Fault Tolerance) – odporność architektury sprzętowej na defekty.

Wartość SFF określa procentowy udział uszkodzeń bezpiecznych (S – safe failure) w ogólnej liczbie awarii. Uszkodzenia bezpieczne to takie, które nie mają możliwości wprowadzenia systemu w stan niebezpieczny lub w stan uniemożliwiający wypełnienie funkcji bezpieczeństwa. Im wyższa wartość SFF tym mniejsze jest prawdopodobieństwo niebezpiecznego uszkodzenia systemu. SFF równe 83 oznacza, że 83 uszkodzenia na 100 nie mają wpływu na wypełnienie funkcji bezpieczeństwa przez system.

SFF = (λDD + λS) / λ

HFT określa tolerancję systemu na uszkodzenia i zależy od jego architektury. Tolerancja N oznacza, że N+1 uszkodzenie spowoduje niezdolność systemu do wypełnienia funkcji bezpieczeństwa. Przy HFT równym 0 uszkodzenie jednego elementu spowoduje, że układ będzie niesprawny. HFT równe 2 będą miały systemy o architekturze 1oo3.

Najwyższy poziom SIL, jaki może zostać przypisany dla danej funkcji bezpieczeństwa przy uwzględnieniu SFF oraz HFT w zależności od typu użytych urządzeń/podsystemów (A lub B), pozwala określić tab.3. Podsystem może być zaklasyfikowany jako typ A, jeżeli odnośnie do elementów koniecznych do wykonania funkcji bezpieczeństwa:

• zdefiniowane są wszystkie rodzaje jego uszkodzeń,
• jego zachowanie w warunkach defektu można w pełni określić,
• istnieją wystarczające dane dotyczące uszkodzeń uzyskane na bazie doświadczeń eksploatacyjnych, na podstawie których można oszacować intensywność uszkodzeń wykrywalnych i niewykrywalnych niebezpiecznych.

Jeśli dany podsystem nie spełnia tych wymagań, musi być uważany za podsystem kategorii B.

Końcowym i niezwykle ważnym etapem cyklu życia bezpieczeństwa, przedstawionym w normie PN-EN 61508, jest odpowiednia eksploatacja systemów związanych z bezpieczeństwem. Aby utrzymać osiągnięty poziom SIL, niezbędne jest wykonywanie testów okresowych zgodnie z przyjętym w obliczeniach czasem TI.

Podsumowanie

Przeprowadzanie analiz bezpieczeństwa staje się standardem w zakładach przemysłowych, szczególnie tam, gdzie występują duże zagrożenia związane z przetwarzanymi czy magazynowanymi substancjami. Przeprowadzenie analizy pozwala rozpoznać panujące zagrożenia i zaprojektować odpowiednie sposoby redukcji ryzyka z nimi związanego.

Systemy zabezpieczeń instalacji budowane są w oparciu o warstwową koncepcję ochrony. Bardzo ważną rolę w tym podejściu pełni warstwa przyrządowych systemów bezpieczeństwa (SIS – Safety Instrumented System). Jej zadaniem jest jak najszybsze sprowadzenie instalacji do stanu bezpiecznego, jeśli wcześniejsze warstwy ochrony zawiodą. W skład przyrządowego systemu bezpieczeństwa wchodzą układy realizujące określone funkcje bezpieczeństwa (SIF), wyszczególnione na podstawie przeprowadzonej analizy ryzyka. Prawdopodobieństwo wykonania tych funkcji przez układ określa ich poziom nienaruszalności bezpieczeństwa SIL.

Poprawny dobór tych rozwiązań i odpowiednie zaprojektowanie układów wymaga wiedzy i doświadczenia. Pomocą w tej kwestii są normy dotyczące bezpieczeństwa funkcjonalnego – ogólna PN-EN 61508 oraz opracowane na jej podstawie normy sektorowe (np. PN-EN 61511 dotycząca przemysłu procesowego). Normy te podają wymagania odnoście całego cyklu życia systemu bezpieczeństwa, bo tylko podejście kompleksowe daje gwarancję, że wypracowane rozwiązanie będzie skuteczne.

Oprócz rozwiązań technicznych bardzo duże znaczenie w zapewnieniu bezpieczeństwa w przedsiębiorstwie ma również poziom kultury bezpieczeństwa. Zależy ona od wypracowanych standardów zarządzania, uznawanych wspólnie wartości, przyjętego systemu komunikacji wewnętrznej, zaangażowania załogi w zapewnienie bezpieczeństwa, budowania poczucia współodpowiedzialności, a także w wyciąganiu wniosków ze zdarzeń z historii.

Bardzo ważnym elementem kultury bezpieczeństwa jest budowanie kompetencji pracowników poprzez szkolenia kształtujące i utrwalające odpowiednie standardy zachowania zarówno w czasie wykonywania normalnych operacji procesowych, jak i w sytuacjach awaryjnych.