Poziomy SIL funkcji bezpieczeństwa – ich znaczenie w warstwowej koncepcji redukcji ryzyka procesowego

MARIUSZ BALICKI – jestem do Twojej dyspozycji
Odpowiem na pytania odnośnie: oferty, specyfikacji technicznej, dostawy, montażu

Nie odbieram? Kliknij! Prawdopodobnie w tym momencie jestem na spotkaniu lub w trasie. Proszę wyślij SMS lub e-mail – na pewno odpowiem, lub zostaw swój numer, abym mógł oddzwonić

    Projekt

    Projekt
    Dostawa

    Dostawa
    Montaz

    Montaż
    Uruchomienie

    Uruchomienie
    Serwis

    Serwis

    Zwiększenie intensywności produkcji przy jednoczesnej presji na minimalizację jej kosztów może mieć wpływ na bezpieczeństwo instalacji. Przy dosyć szybko zmieniających się wymaganiach rynku dodatkowym czynnikiem zwiększającym zagrożenie jest presja czasu.

    Zagrożenia na instalacji mogą być związane z zaburzeniami procesowymi (np. wzrost ciśnienia, temperatury lub przepływu, awaria systemu chłodzenia czy sterowania), awariami elektrycznymi (np. zanik zasilania, przepięcia), usterkami mechanicznymi (np. korozja, drgania) czy czynnikami zewnętrznymi (np. burze, huragany, trzęsienia ziemi, pożary czy wybuchy w sąsiedztwie – efekt domina). Niebezpieczeństwo może się wiązać również z błędami ludzkimi, niezamierzonymi (np. błędy projektowe czy proceduralne, niewłaściwe zachowanie się pracowników wynikające z braku kwalifikacji) oraz, niestety, działaniami zamierzonymi – sabotaż, atak terrorystyczny czy cyberatak.

    Historia uczy, że przy pewnym splocie niekorzystnych czynników może dojść do awarii lub katastrofy. Wyciągnięte z nich wnioski uświadamiają nam, gdzie jeszcze są obszary do poprawy, na co szczególnie należy zwracać uwagę, projektując, budując, eksploatując czy remontując instalacje przemysłowe podwyższonego ryzyka.

    Ryzyko związane z zagrożeniami w zakładzie produkcyjnym rozpatrywane jest w zależności od rodzaju ewentualnych strat. Możemy mówić o ryzyku utraty zdrowia i życia pracowników oraz osób postronnych, ryzyku finansowym związanym z utratą majątku i potencjalnych zysków oraz ryzyku środowiskowym. Nie bez znaczenia, zwłaszcza dla spółek giełdowych, są straty wizerunkowe mogące wpływać na spadek ceny akcji przedsiębiorstwa.

    Ogólnie ryzyko w procesie produkcyjnym można zdefiniować jako kombinację częstości lub prawdopodobieństwa wystąpienia zdarzenia awaryjnego oraz jego konsekwencji:
    R = P x S
    gdzie:
    R – ryzyko
    P – prawdopodobieństwo wystąpienia zdarzenia awaryjnego
    S – skutki wynikające z wystąpienia zdarzenia awaryjnego.

    Z kolei przez bezpieczeństwo rozumie się sytuację, gdy nie występuje ryzyko na poziomie nieakceptowalnym. Aby sprawdzić, czy ryzyko jest akceptowalne, należy je oszacować i ocenić w odniesieniu do przyjętych kryteriów. Kryteria akceptowalności każdego z wymienionych powyżej obszarów ryzyka powinny zostać określone przez kierownictwo przedsiębiorstwa.

    Poziom dopuszczalności ryzyka uzależniony jest od wielu czynników: zagrożeń, jakie generują obecne w procesie substancje, lokalizacji i wielkości zakładu, ilości narażonych na ewentualne skutki osób, doświadczenia z prowadzonym procesem, przyjętych standardów oraz wymogów prawnych. Bardzo pomocna w prowadzeniu analiz i oceny ryzyka jest opracowana i zatwierdzona przez zarząd matryca ryzyka (tab. 1.), obejmująca wszystkie obszary zagrożeń (ryzyko ludzkie, finansowe, środowiskowe).

    Bezpieczeństwo procesowe, które jest częścią integralną ogólnego bezpieczeństwa przedsiębiorstwa, odnosi się do instalacji procesowych zawierających i przetwarzających substancje chemiczne. Jest ono ściśle zależne od bezawaryjnego prowadzenia procesu technologicznego.

    Konieczność zapewnienia bezpieczeństwa powinna być uwzględniana na wszystkich etapach życia każdej instalacji chemicznej. Ryzyko wystąpienia awarii związane jest z utratą kontroli nad prowadzonym procesem co może doprowadzić do utraty szczelności instalacji i uwolnienia obecnych w niej substancji. W zależności od właściwości tych substancji konsekwencją uwolnienia może być pożar, wybuch, zatrucie ludzi lub skażenie środowiska. Przeciwdziałanie awariom jest wymogiem prawnym nakładanym na kierujących przedsiębiorstwem zwiększonego lub dużego ryzyka (Dyrektywa SEVESO).

    Warstwy zabezpieczeń

    Zapewnienie bezpiecznej pracy instalacji procesowej polega na odpowiednim doborze systemów zabezpieczających. Dobór zabezpieczeń należy rozpocząć od identyfikacji wszystkich zagrożeń, jakie występują na instalacji i wyboru tych scenariuszy awaryjnych, które powodują, że te zagrożenia są największe. Scenariusze awaryjne to sekwencje występujących po sobie zdarzeń rozpoczynających się od tzw. zdarzenia inicjującego (przyczyny), a kończących wystąpieniem niepożądanych skutków.

    W celu identyfikacji scenariuszy awaryjnych możemy wykorzystać różne metody analityczne. Wybór metody zależy od tego, na jakim etapie w cyklu życia jest instalacja (projekt, budowa, eksploatacja, modyfikacja) oraz od ilości posiadanych informacji, wiedzy i doświadczenia jakie mamy w odniesieniu do analizowanej instalacji.

    Przeprowadzona analiza powinna dać odpowiedzi na pytania: co może się wydarzyć, jak często, w jaki sposób może do tego dojść i jakie będą skutki. Wnioski z analizy powinny prowadzić do określenia poziomu ryzyka związanego z instalacją.

    Po określeniu ryzyka możemy poddać go ocenie, która pozwoli wskazać, czy taki poziom jest dla nas akceptowalny. W tym celu możemy wykorzystać przyjętą w zakładzie matrycę ryzyka. Dokonując oceny, uwzględniamy istniejące w instalacji zabezpieczenia – jeśli takie zostały zastosowane. Gdy poziom ryzyka jest wyższy od akceptowalnego, określamy, jak duża jego redukcja jest wymagana.

    Potrzebną redukcję ryzyka uzyskujemy przez zastosowanie systemów zabezpieczenia i ochrony, które w instalacjach procesowych tworzą układ warstw bezpieczeństwa. W prostym modelu (rys. 1.) warstwa zabezpieczeniowa zlokalizowana jest między zagrożeniem procesowym a jego ewentualnym skutkiem. Warstwami takimi mogą być pojedyncze urządzenia, systemy techniczne lub określone procedury organizacyjne.

    Podstawowe funkcje, jakie pełnią warstwy zabezpieczeniowe (rys. 2.):
    1. zapobieganie wystąpieniu zagrożenia na instalacji:

    • bezpieczeństwo wewnętrzne instalacji,
    • podstawowy system sterowania procesem (BPCS),
    • system monitorowania przebiegu procesu i działanie operatora (system alarmów, procedury bezpieczeństwa, nadzór operatorski),
    • przyrządowe systemy bezpieczeństwa (SIS),

    2. ochrona instalacji przed skutkami zdarzenia awaryjnego:

    • system detekcji wycieków,
    • zawory bezpieczeństwa,
    • panele odciążające wybuch,
    • kontrola źródeł wycieku (tace podzbiornikowe, pochodnie),

    3. przeciwdziałanie skierowane na łagodzenie skutków awarii:

    • systemy zraszaczowe,
    • kurtyny wodne i parowe,
    • Zakładowa Straż Pożarna,
    • Ratownictwo Chemiczne,
    • Państwowa Straż Pożarna,
    • procedury ewakuacyjne.

    Celem warstw zapobiegania jest uniemożliwienie lub zmniejszenie prawdopodobieństwa uaktywnienia się scenariusza awaryjnego. W przypadku niepowodzenia jej zadziałania uruchamiane są warstwy ochrony, których zadaniem jest zabezpieczenie ludzi i instalacji przed skutkami awarii. Jeśli i te warstwy zawiodą, uruchamiane są warstwy łagodzenia skutków.

    Aby dobrze wypełniać swoje funkcje warstwy zabezpieczeń powinny spełniać określone wymagania:

    • powinny być dedykowane do ochrony lub ograniczenia skutków jednego zdarzenia awaryjnego,
    • powinny być niezależne, tzn. że uszkodzenie jednej warstwy nie powinno mieć wpływu na działanie innej (automatyka sterowania procesem nie powinna mieć elementów wspólnych z automatyką zabezpieczeniową – SIS),
    • powinny być skuteczne – niezawodne oraz efektywne w działaniu, tzn. że zostaną uruchomione z określonym prawdopodobieństwem oraz wypełnią przypisaną im do realizacji funkcję bezpieczeństwa,
    • działanie warstw powinno być sekwencyjne – kolejne zabezpieczenie powinno zadziałać po niepowodzeniu poprzedniego,
    • powinna być zapewniona możliwość kontroli i sprawdzenia działania poszczególnych warstw.

    Każda z zastosowanych warstw zabezpieczeń wprowadza pewną wielkość redukcji ryzyka procesowego. Sumaryczna wartość tej redukcji powinna zapewnić, że poziom ryzyka resztkowego jest niższy od przyjętego poziomu ryzyka akceptowalnego. Dalsze zmniejszanie ryzyka poniżej poziomu akceptowalnego jest możliwe (np. przez zastosowanie kolejnych warstw zabezpieczających), ale niesie za sobą konieczność ponoszenia dodatkowych, nierzadko bardzo wysokich kosztów i może być ekonomicznie nieuzasadnione (zasada ALARP).

    Do określenia poziomu redukcji ryzyka wnoszonego przez poszczególne warstwy zabezpieczeń wymagana jest znajomość niezawodności ich działania. Jeśli warstwę zabezpieczeń stanowi zespół urządzeń, niezawodność całego układu zależy od poziomu niezawodności wszystkich jego elementów.

    Skuteczność działania zastosowanych zabezpieczeń uzależniona jest w dużej mierze od ich parametrów technicznych, ale także od przyjętego w przedsiębiorstwie systemu zarządzania bezpieczeństwem. System ten powinien obejmować zarówno technologiczne, jak i organizacyjne procedury postępowania na wypadek awarii, system szkoleń i podnoszenia kompetencji załogi a także zasady współpracy z jednostkami zewnętrznymi (strażą pożarną, ratownictwem, sztabem zarządzania kryzysowego).

    W opinii eksperta

    Presja na osiągnięcie celów produkcyjnych, wymagania dotyczące redukcji kosztów produkcji, ale również starzenie i zużywanie się instalacji powodują wzrost zagrożeń związanych z ryzykiem wystąpienia poważnej awarii czy katastrofy. Jednocześnie postęp technologiczny i zdobyte doświadczenia powodują, że mamy do dyspozycji coraz lepsze zabezpieczenia techniczne i organizacyjne mające nas przed tym uchronić.

    Jedną z bardzo szybko rozwijających się technologii związanych z redukcją ryzyka wystąpienia awarii są przyrządowe systemy bezpieczeństwa SIS (tzw. systemy blokadowe). Bardzo ważną kwestią jest określenie wymaganego poziomu redukcji ryzyka przez te systemy. Aby określić ten poziom, trzeba wykonać ocenę i analizę ryzyka występującego w zabezpieczanej instalacji. Można do tego celu wykorzystać jedną z wielu znanych technik analitycznych. Nie należy ulegać pokusie szacowania wymaganego poziomu SIL „na wyczucie”. Określenie z góry poziomu SIL3 dla układu z pozoru wydaje się poprawne – wysoki poziom SIL to bezpieczniejsza instalacja. Nie jest to jednak do końca słuszne założenie.

    Wykonanie układu z niezawodnością na poziomie SIL3 jest bardzo kosztowne, a niekiedy wręcz niemożliwe z powodu braku na rynku urządzeń z potwierdzoną tak wysoką niezawodnością. Dodatkowo utrzymanie wysokiego poziomu SIL to konieczność częstego wykonywania testów i przeglądów okresowych zgodnie z przyjętym do obliczeń czasookresem, co również kosztuje, a niekiedy jest niewykonalne ze względu na konieczność zapewnienia ciągłości produkcji.

    Ponadto wysoki poziom SIL układu w niektórych przypadkach może powodować większą częstość niepożądanego zadziałania. Jeśli jednak przeprowadzona analiza ryzyka rzeczywiście wykaże konieczność jego redukcji na poziomie SIL3 powinniśmy rozważyć zwiększenie poziomu redukcji ryzyka przez inne warstwy bezpieczeństwa (np. BPCS czy system alarmów), tak żeby część przypadająca na SIS była na poziomie SIL2.

    Mariusz Balicki, specjalista ds. bezpieczeństwa procesowego i wybuchowego w GRUPIE WOLFF

    Przyrządowe systemy bezpieczeństwa (SIS)

    Szczególną rolę w warstwowej koncepcji zabezpieczeń pełnią przyrządowe systemy bezpieczeństwa (SIS – Safety Instrumented System). Ich zadaniem jest jak najszybsze sprowadzenie instalacji do stanu bezpiecznego po przekroczeniu nastawionych progów lub wywołaniu zadziałania.

    Projektując przyrządowy system bezpieczeństwa (SIS), należy do każdego wytypowanego w analizie ryzyka scenariusza awaryjnego zaprojektować układ wykonawczy, którego zadaniem będzie niedopuszczenie do rozwinięcia się danego scenariusza. Układ ten będzie realizował zdefiniowane funkcje bezpieczeństwa (SIF – Safety Instrumented Function). Określając te funkcje, należy sprecyzować, czego od nich oczekujemy, tzn. jakie zadania mają spełnić, jak szybko mają to zrobić oraz z jakim prawdopodobieństwem (niezawodnością). Do zapobieżenia rozwinięciu się niektórych scenariuszy awaryjnych może być wymagane określenie więcej niż jednej funkcji bezpieczeństwa.

    Realizowana funkcja bezpieczeństwa może mieć różny rodzaj pracy:

    • rzadkiego przywołania – funkcja bezpieczeństwa jest wykonywana tylko na przywołanie w celu sprowadzenia kontrolowanego układu do stanu bezpiecznego; częstość przywołań jest nie większa niż raz na rok;
    • częstego przywołania – funkcja bezpieczeństwa jest wykonywana tylko na przywołanie w celu sprowadzenia kontrolowanego układu do stanu bezpiecznego; częstość przywołań jest większa niż raz na rok;
    • ciągły – funkcja bezpieczeństwa utrzymuje układ w stanie bezpiecznym jako cześć normalnego działania.

    Przykładem systemu działającego na przywołanie jest układ, który realizuje określoną funkcję po zaistnieniu sytuacji awaryjnej (np. odcięcie dopływu medium do zbiornika po przekroczeniu maksymalnego poziomu napełnienia). Z kolei przykładem pracy ciągłej jest system monitorujący przebieg procesu, który na bieżąco informuje operatora o jego stanie.

    Kolejnym krokiem po zdefiniowaniu wszystkich funkcji bezpieczeństwa jest zaprojektowanie warstwy sprzętowej układu, którego zadaniem będzie realizacja danej funkcji.

    Układy te, nazywane układami blokadowymi, budowane są często z wykorzystaniem urządzeń elektrycznych/elektronicznych/programowalnych elektronicznych (E/E/PE). Wynika to z coraz większej ich niezawodności, a właśnie niezawodność działania jest jednym z głównych wymagań stawianych systemom bezpieczeństwa. Żeby można było zastosować urządzenia E/E/PE w systemach związanych z bezpieczeństwem, powinny być one tak zaprojektowane i wykonane, aby zapobiec ich potencjalnym uszkodzeniom oraz, jeśli już do nich dojdzie, skutecznie te uszkodzenia kontrolować.

    Ważne normy

    PN-EN 61508 – Bezpieczeństwo funkcjonalne elektrycznych / elektronicznych / programowalnych elektronicznych systemów związanych z bezpieczeństwem

    Norma PN-EN 61508 jest normą ogólną bezpieczeństwa funkcjonalnego. Na jej podstawie opracowano szereg norm sektorowych, m.in.:
    PN-EN 61511 – Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego
    PN-EN 61513 – Elektrownie jądrowe – Oprzyrządowanie i systemy kontroli ważne dla bezpieczeństwa – Wymagania ogólne dla systemów
    PN-EN 62061 – Bezpieczeństwo maszyn – Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i elektronicznych programowalnych systemów sterowania związanych z bezpieczeństwem
    PN-EN 50126 – Zastosowania kolejowe – Specyfikowanie i wykazywanie niezawodności, dostępności, podatności utrzymaniowej i bezpieczeństwa (RAMS)

    Wymagania, jakie muszą spełnić systemy E/E/PE, gdy są używane do wypełniania funkcji bezpieczeństwa w procesach przemysłowych, zawarte są w normach PN-EN 61508 (norma ogólna dotycząca bezpieczeństwa funkcjonalnego) oraz PN-EN 61511 (norma sektorowa dotycząca bezpieczeństwa funkcjonalnego w przemyśle procesowym). Odnoszą się one do całego cyklu życia bezpieczeństwa instalacji, który obejmuje koncepcję wstępną, identyfikację zagrożeń, analizę i ocenę ryzyka, projektowanie, zaimplementowanie, eksploatację, aż do wyłączenia z ruchu lub likwidacji.

    Dla poszczególnych faz cyklu życia bezpieczeństwa w normach przewidziane zostały wymagania dotyczące zapobiegania uszkodzeniom elementów układu E/E/PE (unikanie powstawania uszkodzeń) oraz wymagania dotyczące kontrolowania uszkodzeń, czyli zapewnienia bezpieczeństwa nawet wtedy, gdy uszkodzenie się pojawi.

    Normy podają również propozycje metod, jakie można wykorzystać do oceny ryzyka w celu określenia wymaganego poziomu redukcji ryzyka dla funkcji bezpieczeństwa (np. graf ryzyka, kalibrowany graf ryzyka, tablice krytyczności, Analiza Warstw Zabezpieczeń).

    W ramach podanego w normach schematu można rozpatrywać także systemy realizujące funkcje bezpieczeństwa wykonane przy użyciu innych technik – mechanicznej, hydraulicznej czy pneumatycznej.

    Niezawodność systemów E/E/PE, wykorzystywanych do wypełniania funkcji bezpieczeństwa, określa się jednym z czterech poziomów nienaruszalności bezpieczeństwa SIL (Safety Integrity Level). Poziom 4. jest poziomem najwyższym, poziom 1. najniższym. Im wyższy jest poziom SIL, tym większe jest prawdopodobieństwo, że funkcja bezpieczeństwa zostanie przez system wypełniona i tym samym większa redukcja ryzyka zostanie przez układ osiągnięta (rys. 3.).

    Wynikowy poziom SIL dla całego systemu bezpieczeństwa zależy od niezawodności (poziomów SIL) poszczególnych jego elementów, w tym również niezawodności kanałów komunikacyjnych. Najprostszy system bezpieczeństwa E/E/PE składa się z elementu pomiarowego, elementu logicznego i elementu wykonawczego (rys. 4.). Po określeniu wymaganego poziomu SIL dla wszystkich funkcji bezpieczeństwa i zaprojektowaniu struktury sprzętowej kolejnym krokiem jest weryfikacja, która ma na celu potwierdzenie, że zaprojektowane systemy spełniają założone wymagania.

    Poziom nienaruszalności bezpieczeństwa SIL poszczególnych urządzenia zależy w głównej mierze od ich niezawodności wyrażonej intensywnością uszkodzeń ʎ. Intensywność uszkodzeń dzieli się na intensywność uszkodzeń bezpiecznych ʎS oraz intensywność uszkodzeń niebezpiecznych ʎD, a te z kolei na uszkodzenia wykrywalne (ʎSD, ʎDD) i niewykrywalne przez testy diagnostyczne (ʎSU, ʎDU). Całkowita intensywność uszkodzeń wyraża się wzorem:

    λ = λD+ λS = λDU + λDD + λSU + λSD

    Na podstawie intensywności uszkodzeń możemy określić dodatkowe parametry wykorzystywane w obliczeniach, np.:
    DC – pokrycie diagnostyczne
    DC = λDD / λD
    SFF (Safe Failure Fraction) – odsetek uszkodzeń bezpiecznych
    SFF = (λDD + λS) / λ

    Na podstawie intensywności uszkodzeń poszczególnych urządzeń wchodzących w skład systemu bezpieczeństwa (ʎ), a także czasu między testami okresowymi systemu (TI), średniego czasu naprawy (MTTR), współczynnika uszkodzeń zależnych (β) oraz przy uwzględnieniu architektury systemu możemy oszacować jego niezawodność, której miarą jest poziom SIL.
    Określenie poziomu SIL przebiega w kilku etapach. W zależności od rodzaju pracy systemu należy obliczyć wartości kryterialne (tab. 2.):
    PFDavg – wartość średnia prawdopodobieństwa niewypełnienia funkcji bezpieczeństwa na żądanie (rodzaj pracy rzadkiego przywołania),
    PFH – częstość wystąpienia uszkodzenia niebezpiecznego na godzinę (rodzaj pracy częstego przywołania lub ciągłej).
    W ujęciu matematycznym są one funkcją pięciu parametrów:

    PFDavg = f (ʎ, DC, TI, β, MTTR)
    PFH = f (ʎ, DC, TI, β, MTTR)

    gdzie:
    ʎ – intensywnością uszkodzeń [h-1]
    DC – pokrycie diagnostyczne [%]
    TI – czas między testami okresowymi [h]
    β – współczynnik uszkodzeń zależnych
    MTTR – średni czas przywracania zdatności urządzenia do użycia (naprawy) [h]

    Wzory, według których obliczamy wartości PFDavg oraz PFH, zależą od architektury systemu. Przykłady wzorów, jakie można przyjąć do obliczenia PFDavg i PFH dla systemów o architekturze 1oo1 i 1oo2 (według PN-EN 61508) podano na poniżej.

    Jak z nich wynika, przy obliczaniu PFDavg oraz PFH duże znaczenia ma czas między testami okresowymi (TI). Wydłużenie tego czasu powoduje wzrost wartości PFDavg (PFH), co w konsekwencji może doprowadzić do zmniejszenia poziomu SIL danego układu. Ponadto przy obliczeniach należy uwzględnić:

    • stopień wykrywania uszkodzeń przez testy sprawdzające,
    • prawdopodobieństwo pogorszenia własności urządzenia przez testy okresowe,
    • niezawodność środków i procedur używanych do wykonywania testów,
    • niezawodność układów dostarczających media niezbędne do prawidłowego działania systemu (np. jeśli jest wymagane ogrzewanie rurek impulsowych dla czujnika, to niezawodność działania układu grzewczego powinna być uwzględniona w obliczeniach).

    Przykłady wzorów obliczeniowych wg PN-EN 61508

    Aby móc skorzystać z podanych wcześniej wzorów i obliczyć PFDavg lub PFH, potrzebne są dane niezawodnościowe urządzeń. Takie dane mogą być dostarczone przez producenta urządzenia, jeśli zostało ono przebadane przez niezależną jednostkę i posiada odpowiedni certyfikat. Można również posłużyć się dostępnymi bazami danych (np. OREDA). Na rynku dostępne są także programy komputerowe umożliwiające obliczenie PFDavg lub PFH (np. exSILentia). Programy te mają „zaszyte” bazy paramentów niezawodnościowych urządzeń.

    Do ostatecznego określenia poziomu SIL rozpatrywanego systemu należy dodatkowo uwzględnić SFF (Safe Failure Fraction) – udział uszkodzeń bezpiecznych oraz HFT (Hardware Fault Tolerance) – odporność architektury sprzętowej na defekty.

    Wartość SFF określa procentowy udział uszkodzeń bezpiecznych (S – safe failure) w ogólnej liczbie awarii. Uszkodzenia bezpieczne to takie, które nie mają możliwości wprowadzenia systemu w stan niebezpieczny lub w stan uniemożliwiający wypełnienie funkcji bezpieczeństwa. Im wyższa wartość SFF tym mniejsze jest prawdopodobieństwo niebezpiecznego uszkodzenia systemu. SFF równe 83 oznacza, że 83 uszkodzenia na 100 nie mają wpływu na wypełnienie funkcji bezpieczeństwa przez system.

    SFF = (λDD + λS) / λ

    HFT określa tolerancję systemu na uszkodzenia i zależy od jego architektury. Tolerancja N oznacza, że N+1 uszkodzenie spowoduje niezdolność systemu do wypełnienia funkcji bezpieczeństwa. Przy HFT równym 0 uszkodzenie jednego elementu spowoduje, że układ będzie niesprawny. HFT równe 2 będą miały systemy o architekturze 1oo3.

    Najwyższy poziom SIL, jaki może zostać przypisany dla danej funkcji bezpieczeństwa przy uwzględnieniu SFF oraz HFT w zależności od typu użytych urządzeń/podsystemów (A lub B), pozwala określić tab.3. Podsystem może być zaklasyfikowany jako typ A, jeżeli odnośnie do elementów koniecznych do wykonania funkcji bezpieczeństwa:

    • zdefiniowane są wszystkie rodzaje jego uszkodzeń,
    • jego zachowanie w warunkach defektu można w pełni określić,
    • istnieją wystarczające dane dotyczące uszkodzeń uzyskane na bazie doświadczeń eksploatacyjnych, na podstawie których można oszacować intensywność uszkodzeń wykrywalnych i niewykrywalnych niebezpiecznych.

    Jeśli dany podsystem nie spełnia tych wymagań, musi być uważany za podsystem kategorii B.

    Końcowym i niezwykle ważnym etapem cyklu życia bezpieczeństwa, przedstawionym w normie PN-EN 61508, jest odpowiednia eksploatacja systemów związanych z bezpieczeństwem. Aby utrzymać osiągnięty poziom SIL, niezbędne jest wykonywanie testów okresowych zgodnie z przyjętym w obliczeniach czasem TI.

    Podsumowanie

    Przeprowadzanie analiz bezpieczeństwa staje się standardem w zakładach przemysłowych, szczególnie tam, gdzie występują duże zagrożenia związane z przetwarzanymi czy magazynowanymi substancjami. Przeprowadzenie analizy pozwala rozpoznać panujące zagrożenia i zaprojektować odpowiednie sposoby redukcji ryzyka z nimi związanego.

    Systemy zabezpieczeń instalacji budowane są w oparciu o warstwową koncepcję ochrony. Bardzo ważną rolę w tym podejściu pełni warstwa przyrządowych systemów bezpieczeństwa (SIS – Safety Instrumented System). Jej zadaniem jest jak najszybsze sprowadzenie instalacji do stanu bezpiecznego, jeśli wcześniejsze warstwy ochrony zawiodą. W skład przyrządowego systemu bezpieczeństwa wchodzą układy realizujące określone funkcje bezpieczeństwa (SIF), wyszczególnione na podstawie przeprowadzonej analizy ryzyka. Prawdopodobieństwo wykonania tych funkcji przez układ określa ich poziom nienaruszalności bezpieczeństwa SIL.

    Poprawny dobór tych rozwiązań i odpowiednie zaprojektowanie układów wymaga wiedzy i doświadczenia. Pomocą w tej kwestii są normy dotyczące bezpieczeństwa funkcjonalnego – ogólna PN-EN 61508 oraz opracowane na jej podstawie normy sektorowe (np. PN-EN 61511 dotycząca przemysłu procesowego). Normy te podają wymagania odnoście całego cyklu życia systemu bezpieczeństwa, bo tylko podejście kompleksowe daje gwarancję, że wypracowane rozwiązanie będzie skuteczne.

    Oprócz rozwiązań technicznych bardzo duże znaczenie w zapewnieniu bezpieczeństwa w przedsiębiorstwie ma również poziom kultury bezpieczeństwa. Zależy ona od wypracowanych standardów zarządzania, uznawanych wspólnie wartości, przyjętego systemu komunikacji wewnętrznej, zaangażowania załogi w zapewnienie bezpieczeństwa, budowania poczucia współodpowiedzialności, a także w wyciąganiu wniosków ze zdarzeń z historii.

    Bardzo ważnym elementem kultury bezpieczeństwa jest budowanie kompetencji pracowników poprzez szkolenia kształtujące i utrwalające odpowiednie standardy zachowania zarówno w czasie wykonywania normalnych operacji procesowych, jak i w sytuacjach awaryjnych.

    Przykłady metod stosowanych do analizy zagrożeń

    • przegląd cech bezpieczeństwa (SR – safety review)
    • analiza list kontrolnych (CA – checklist analysis)
    • klasyfikacja względna (RR – relative ranking)
    • wstępna analiza zagrożeń (PHA – preliminary hazard analysis)
    • analiza „co-jeżeli” (what-if analysis)
    • analiza zagrożeń i zdolności działania (HAZOP – hazard and operability study)
    • analiza przyczyn i skutków wad (FMEA – failure modes and effects analysis)
    • analiza drzewa uszkodzeń (FTA – fault tree analysis)
    • analiza drzewa zdarzeń (ETA – event tree analysis)
    • analiza przyczyn i skutków (CCA – cause-consequence analysis)
    • analiza niezawodności człowieka (HRA – human reliability analysis)
    • identyfikacja zagrożeń (HAZID – hazard identification)

    Modelowe podejście do bezpieczeństwa wybuchowego w zakładzie przemysłowym

    Audyt ATEX

    Krok 1
    Audyt ATEX

    Podczas Audytu ATEX zwrócimy uwagę na braki w zakresie bezpieczeństwa wybuchowego i wskażemy zadania, które należy wykonać w pierwszej kolejności, aby najmocniej przełożyły się na poprawę bezpieczeństwa.

    koncepcja-ochrony-instalacji-przed-wybuchem-atex

    Krok 2
    Koncepcja ochrony

    Wynikiem Audytu ATEX jest także wstępna koncepcja ochrony instalacji przed wybuchem. Pozwala ona oszacować koszty zabezpieczeń. Po badaniu parametrów wybuchowości pyłu z instalacji przechodzimy do finalnej koncepcji i projektu.

    Krok 3
    Projekt i dobór zabezpieczeń

    Po akceptacji koncepcji i zbadaniu parametrów wybuchowości pyłu z instalacji przystępujemy do finalnego doboru zabezpieczeń przeciwwybuchowych i stworzenia projektu uwzględniającego wszystkie wymagane zmiany na produkcji.

    Fot. 3. Zabudowany taśmociąg dostarczający miał węglowy z hali węgla do zbiornika miału węglowego, zabezpieczony za pomocą systemu odsprzęgania wybuchu typu HRD na zasypie do zbiornika.

    Krok 4
    Dostawa i montaż “pod klucz”

    Koordynujemy cały proces dostawy i montażu zabezpieczeń. Posiadamy własne zespoły montażowe i serwisowe posiadające doświadczenie w realizowaniu montażu bez konieczności zatrzymania pracy zakładu inwestora.

    Krok 5
    Wykonanie ORW i DZPW

    Przeprowadzamy powykonawczą Ocenę Ryzyka Wybuchu i sporządzamy (lub aktualizujemy) Dokument Zabezpieczenia Przed Wybuchem. Zwykle przeprowadzamy również szkolenia dla załogi z zakresu bezpieczeństwa wybuchowego.

    Zabezpiecz swoją instalację.

    Darmowa konsultacja

    Odpowiem na Twoje pytania odnośnie zagrożeń związanych z wykorzystywaniem palnych i wybuchowych pyłów na produkcji i realizacją wymagań Dyrektywy ATEX.  Aby skorzystać z darmowej i w 100% niezobowiązującej konsultacji wystarczy, że wypełnisz poniższy formularz. Obok formularza wypisałem też przykłady pytań, które były już do nas kierowane.

    MARIUSZ BALICKI – jestem do Twojej dyspozycji
    Odpowiem na pytania odnośnie: oferty, specyfikacji technicznej, dostawy, montażu

    Nie odbieram? Kliknij! Prawdopodobnie w tym momencie jestem na spotkaniu lub w trasie. Proszę wyślij SMS lub e-mail – na pewno odpowiem, lub zostaw swój numer, abym mógł oddzwonić

      Projekt

      Projekt
      Dostawa

      Dostawa
      Montaz

      Montaż
      Uruchomienie

      Uruchomienie
      Serwis

      Serwis

      Przykładowe pytania

      Wymagania Dyrektywy ATEX:
      • Czy mój pył jest wybuchowy?
      • Kiedy należy wykonać Dokument Zabezpieczania Przed Wybuchem, a kiedy warto zacząć od Audytu ATEX? 
      • W jaki sposób wyznaczana jest strefa bezpieczeństwa w obrębie chronionego aparatu?
      Zabezpieczenia przeciwwybuchowe:
      • Czy prewencyjne niedopuszczanie do wybuchu/pożaru systemem gaszenia iskier może wyeliminować konieczność stosowania butli HRD?
      • Czy klapę dekompresyjną skierowaną w stronę drogi można zabezpieczyć panelem kierunkowym?
      • Czy klapa zwrotna może być stosowana również w systemie odciągów przeznaczonych do pyłów i wiórów drewnianych?

      Darmowa konsultacja