Poziomy SIL funkcji bezpieczeństwa

Podobne dokumenty
Instalacja procesowa W9-1

Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Automatyki

Proces projektowania AKPiA i systemów sterowania. mgr inż. Ireneusz Filarowski

ZDARZENIE JAK ZAWSZE KATALIZATOR ZMIAN. Poziomy SIL funkcji bezpieczeństwa. Magazyn branży przemysłowej

Spis treści do książki pt. Ocena ryzyka zawodowego Autorzy: Iwona Romanowska-Słomka Adam Słomka

Systemy zabezpieczeń

SPIS TREŚCI. Str. WSTĘP 9 CZĘŚĆ I 1. WPROWADZENIE 13

Urząd Dozoru Technicznego. RAMS Metoda wyboru najlepszej opcji projektowej. Ryszard Sauk. Departament Certyfikacji i Oceny Zgodności Wyrobów

DiaSter - system zaawansowanej diagnostyki aparatury technologicznej, urządzeń pomiarowych i wykonawczych. Politechnika Warszawska

KOMPLEKSOWE ROZWIĄZANIA W OBSZARZE BEZPIECZEŃSTWA PROCESÓW PRZEMYSŁOWYCH

ANALIZA BEZPIECZEŃSTWA SIL I HAZOP W ENERGETYCE NA WYBRANYCH PRZYKŁADACH

Marek Trajdos Klub Paragraf 34 SBT

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA

Kalibracja kryteriów akceptacji ryzyka, jako narzędzie zapobiegania stratom

Zagadnienia bezpieczeństwa funkcjonalnego w dyrektywach Nowego Podejścia

Systemy eksplozymetryczne jako urządzenia zabezpieczające

Bezpieczeństwo funkcjonalne: pomiar temperatury związany z bezpieczeństwem zgodnie z normą IEC 61508

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Industrial Monitor nr 04 (14) Bezpieczeństwo procesów przemysłowych

Znaczenie zarządzania ryzykiem w przedsiębiorstwie

mgr inż. Iwona Matysiak mgr inż. Roksana Banachowicz dr inż. Dorota Brzezińska

Bezpieczeństwo maszyn w przestrzeni zagrożonej wybuchem

Projektowanie funkcji bezpieczeństwa. z wykorzystaniem podsystemu transmisji danych bezpieczeństwa

OPIS WYDARZENIA SYMPOZJUM. Bezpieczeństwo wybuchowe i procesowe w zakładach przemysłowych DLA ZAKŁADÓW AZOTOWYCH PUŁAWY ORAZ SPÓŁEK PARTNERSKICH

PRZEWODNIK PO PRZEDMIOCIE

Temat: Weryfikacja nienaruszalności bezpieczeństwa SIL struktury sprzętowej realizującej funkcje bezpieczeństwa

Zarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej

Tomasz Kamiński. Tendencje i możliwości rozwoju systemów automatyki i nadzoru z uwzględnieniem aspektu bezpieczeństwa

MODELE I PROCEDURY OCENY ZGODNOŚCI MODELE I PROCEDURY OCENY ZGODNOŚCI BEZPIECZEŃSTWA FUNKCJONALNEGO SYSTEMÓW ZABEZPIECZENIOWYCH W

Analiza i ocena ryzyka procesowego. Ryszard Sauk UDT Oddział w Szczecinie

Wzorcowy dokument zabezpieczenia przed wybuchem (DZPW) dla pyłowych atmosfer wybuchowych

PROCEDURY ZARZĄDZANIARYZYKIEM

ELOKON Polska Sp. z o.o. Bezpieczeństwo pracy przemysłowych urządzeń do procesów cieplnych

ST Bezpieczeństwo funkcjonalne i systemy detekcji gazów Poziom nienaruszalności bezpieczeństwa SIL DETEKCJA

Kompleksowe podejście do zapewnienia bezpieczeństwa urządzeń technicznych. Michał Karolak Urząd Dozoru Technicznego

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

FMEA. Tomasz Greber Opracował: Tomasz Greber (

Model MART do badania awarii procesowych

Modelowanie niezawodności prostych struktur sprzętowych

Safety Integrity Level (SIL) Obowiązek czy dobra praktyka? Michał Karolak UDT, Warszawa 27 styczeń 2010

Przeciwdziałanie poważnym awariom przemysłowym - aktualny stan prawny

Oszacowanie niezawodności elektronicznych układów bezpieczeństwa funkcjonalnego

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

Zarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej

Diagnostyka procesów i jej zadania

Metoda generowania typowych scenariuszy awaryjnych w zakładach dużego i zwiększonego ryzyka - ExSysAWZ

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Walidacja elementów systemów sterowania związanych z bezpieczeństwem jako krok do zapewnienia bezpieczeństwa użytkowania maszyn

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Stałe urządzenia gaśnicze na gazy

Systemy bezpieczeństwa funkcjonalnego w przemyśle

Informacja o występujących zagrożeniach w WARTER Spółka z o. o. oddział Kędzierzyn-Koźle

Metodologia FMEA. Zajęcia 8. dr inż. Piotr T. Mitkowski. Materiały dydaktyczne, prawa zastrzeżone Piotr Mitkowski 1

Program certyfikacji wyrobów na zgodność z dyrektywą maszynową w Centrum Badań i Certyfikacji Instytutu EMAG

Ocena ilościowa ryzyka: analiza drzewa błędu (konsekwencji) Zajęcia 6. dr inż. Piotr T. Mitkowski.

Rozlewnia ROMGAZ w Konarzynkach

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Czynniki ryzyka i ich znaczenie w występowaniu zdarzeń pożarowych w przemyśle

POLITYKA ZARZĄDZANIA RYZYKIEM

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

PARAMETRY, WŁAŚCIWOŚCI I FUNKCJE NIEZAWODNOŚCIOWE NAPOWIETRZNYCH LINII DYSTRYBUCYJNYCH 110 KV

Zasady oceny ryzyka związanego z maszynami i narzędzie komputerowe wspomagające tę ocenę w procesie ich projektowania dr inż.

Czynniki ludzkie w analizie rozwiąza funkcjonalnego

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Komputerowe narzędzia wspomagające prowadzenie i dokumentowanie oceny ryzyka przy projektowaniu maszyn

Kompetencje osób wykonujących pracę

Ocena Ryzyka Zawodowego AKTUALIZACJA OCENY RYZYKA ZAWODOWEGO NA STANOWISKACH PRACY W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W PARADYŻU

IV Sympozjum Bezpieczeństwa Maszyn, Urządzeń i Instalacji Przemysłowych, r. mgr inż. Antoni Saulewicz

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

dr inż. Krzysztof J. Czarnocki

Ocena ryzyka w kształtowaniu bezpieczeństwa pożarowego przez właściciela (zarządcę) obiektu budowlanego

Ocena ryzyka zawodowegoto proste! Copyright by Zdzisław Wiszniewski

Analiza ryzyka eksploatacji urządzeń ciśnieniowych wdrażanie metodologii RBI w Grupie LOTOS S.A

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

dokonać ustalenia kategorii zdarzenia/ryzyka, wg. podziału określonego w kolumnie G arkusza.

ZARZĄDZENIE Dyrektora Samodzielnego Publicznego Zakładu Opieki Zdrowotnej im. dr Kazimierza Hołogi w Nowym Tomyślu nr 17 z dnia r.

EKSPLOATACJA SYSTEMÓW TECHNICZNYCH

UTRZYMANIE RUCHU ZA POMOCĄ NARZĘDZIA EQUIPMENT CARE

TARBONUS. 17. Ryzyko zawodowe, jego analiza i ocena

SYSTEMY BEZPIECZEŃSTWA WSPÓŁCZESNYCH MASZYN I URZĄDZEŃ TECHNOLOGICZNYCH 1. WPROWADZENIE

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

ORGANIZACJA DZIAŁAŃ W ZAKRESIE OCENY RYZYKA ZAWODOWEGO

Instrukcja. ocena aspektów środowiskowych PE-EF-P01-I01

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ELEMENTÓW PODANYCH W PN-EN i PN-EN

Audyty zarządzania bezpieczeństwem - wstęp do tworzenia i doskonalenia Systemu Zarządzania Bezpieczeństwem obiektów przemysłowych.

Doświadczenia w eksploatacji gazomierzy ultradźwiękowych

Informacja na temat środków bezpieczeństwa i sposobu postępowania w przypadku poważnej awarii przemysłowej

PODSTAWY OCENY WSKAŹNIKÓW ZAWODNOŚCI ZASILANIA ENERGIĄ ELEKTRYCZNĄ

Wytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów

Instytut Politechniczny Państwowa Wyższa Szkoła Zawodowa. Diagnostyka i niezawodność robotów

Procedura Zarządzania Ryzykiem I. PODSTAWOWE POJĘCIA

Transkrypt:

SIL Zwiększenie intensywności produkcji Mariusz Balicki, specjalista ds. bezpieczeństwa procesowego i wybuchowego w GRUPIE WOLFF Poziomy SIL funkcji bezpieczeństwa Ich znaczenie w warstwowej koncepcji redukcji ryzyka procesowego przy jednoczesnej presji na minimalizację jej kosztów może mieć wpływ na bezpieczeństwo instalacji. Przy dosyć szybko zmieniających się wymaganiach rynku dodatkowym czynnikiem zwiększającym zagrożenie jest presja czasu. Zagrożenia na instalacji mogą być związane z zaburzeniami procesowymi (np. wzrost ciśnienia, temperatury lub przepływu, awaria systemu chłodzenia czy sterowania), awariami elektrycznymi (np. zanik zasilania, przepięcia), usterkami mechanicznymi (np. korozja, drgania) czy czynnikami zewnętrznymi (np. burze, huragany, trzęsienia ziemi, pożary czy wybuchy w sąsiedztwie efekt domina). Niebezpieczeństwo może się wiązać również z błędami ludzkimi, niezamierzonymi (np. błędy projektowe czy proceduralne, niewłaściwe zachowanie się pracowników wynikające z braku kwalifikacji) oraz, niestety, działaniami zamierzonymi sabotaż, atak terrorystyczny czy cyberatak. Historia uczy, że przy pewnym splocie niekorzystnych czynników może dojść do awarii lub katastrofy. Wyciągnięte z nich wnioski uświadamiają nam, gdzie jeszcze są obszary do poprawy, na co szczególnie należy zwracać uwagę, projektując, budując, eksploatując czy remontując instalacje przemysłowe podwyższonego ryzyka. Ryzyko związane z zagrożeniami w zakładzie produkcyjnym rozpatrywane jest w zależności od rodzaju ewentualnych strat. Możemy mówić o ryzyku utraty zdrowia i życia pracowników oraz osób postronnych, ryzyku finansowym związanym z utratą majątku i potencjalnych zysków oraz ryzyku środowiskowym. Nie bez znaczenia, zwłaszcza dla spółek giełdowych, są straty wizerunkowe mogące wpływać na spadek ceny akcji przedsiębiorstwa. Ogólnie ryzyko w procesie produkcyjnym można zdefiniować jako kombinację częstości lub prawdopodobieństwa wystąpienia zdarzenia awaryjnego oraz jego konsekwencji: R = P x S gdzie: R ryzyko P prawdopodobieństwo wystąpienia zdarzenia awaryjnego S skutki wynikające z wystąpienia zdarzenia awaryjnego. Częstosliwość zdarzenia Z kolei przez bezpieczeństwo rozumie się sytuację, gdy nie występuje ryzyko na poziomie nieakceptowalnym. Aby sprawdzić, czy ryzyko jest akceptowalne, należy je oszacować i ocenić w odniesieniu do przyjętych kryteriów. Kryteria akceptowalności każdego z wymienionych powyżej obszarów ryzyka powinny zostać określone przez kierownictwo przedsiębiorstwa. Kategoria ciężkości szkody katastroficzne ciężkie poważne lekkie częste NA NA NA TA Poziom dopuszczalności ryzyka uzależniony jest od wielu czynników: zagrożeń, jakie generują obecne w procesie substancje, lokalizacji i wielkości zakładu, ilości narażonych na ewentualne skutki osób, doświadczenia z prowadzonym procesem, przyjętych standardów oraz wymogów prawnych. Bardzo pomocna w prowadzeniu analiz i oceny ry- prawdopodobne NA NA TNA TA sporadyczne NA TNA TNA A rzadkie NA TNA TA A wyjątkowe TNA TA TA A Tab. 1. Przykład matrycy ryzyka. A ryzyko akceptowane nie wymagające wprowadzenia dodatkowych środków bezpieczeństwa i ochrony TA ryzyko tolerowane akceptowane, przy którym należy rozważyć wprowadzenie dodatkowych środków bezpieczeństwa i ochrony, jeżeli są one praktycznie uzasadnione TNA ryzyko tolerowane - nieakceptowane, dopuszczalne czasowo przy wskazaniach wprowadzenia koniecznych dodatkowych środków bezpieczeństwa i ochrony NA ryzyko nieakceptowane, uniemożliwiające eksploatację instalacji w aktualnych warunkach do czasu wprowadzenia koniecznych dodatkowych środków bezpieczeństwa i ochrony Grafika: materiały własne GRUPA WOLFF

zyka jest opracowana i zatwierdzona przez zarząd matryca ryzyka (tab. 1.), obejmująca wszystkie obszary zagrożeń (ryzyko ludzkie, finansowe, środowiskowe). Bezpieczeństwo procesowe, które jest częścią integralną ogólnego bezpieczeństwa przedsiębiorstwa, odnosi się do instalacji procesowych zawierających i przetwarzających substancje chemiczne. Jest ono ściśle zależne od bezawaryjnego prowadzenia procesu technologicznego. Konieczność zapewnienia bezpieczeństwa powinna być uwzględniana na wszystkich etapach życia każdej instalacji chemicznej. Ryzyko wystąpienia awarii związane jest z utratą kontroli nad prowadzonym procesem co może doprowadzić do utraty szczelności instalacji i uwolnienia obecnych w niej substancji. W zależności od właściwości tych substancji konsekwencją uwolnienia może być pożar, wybuch, zatrucie ludzi lub skażenie środowiska. Przeciwdziałanie awariom jest wymogiem prawnym nakładanym na kierujących przedsiębiorstwem zwiększonego lub dużego ryzyka (Dyrektywa SEVESO). Warstwy zabezpieczeń Po określeniu ryzyka możemy poddać go ocenie, która pozwoli wskazać, czy taki poziom jest dla nas akceptowalny. W tym celu możemy wykorzystać przyjętą w zakładzie matrycę ryzyka. Dokonując oceny, uwzględniamy istniejące w instalacji jeśli takie zostały zastosowane. Gdy poziom ryzyka jest wyższy od akceptowalnego, określamy, jak duża jego redukcja jest wymagana. Potrzebną redukcję ryzyka uzyskujemy przez zastosowanie systemów i ochrony, które w instalacjach procesowych tworzą układ warstw bezpieczeństwa. W prostym modelu (rys. 1.) warstwa zabezpieczeniowa zlokalizowana jest między zagrożeniem procesowym a jego ewentualnym skutkiem. Warstwami takimi mogą być pojedyncze urządzenia, systemy techniczne lub określone procedury organizacyjne. Podstawowe funkcje, jakie pełnią warstwy zabezpieczeniowe (rys. 2.): 1. zapobieganie wystąpieniu zagrożenia na instalacji: bezpieczeństwo wewnętrzne instalacji, podstawowy system sterowania procesem (BPCS), system monitorowania przebiegu procesu i działanie operatora (system alarmów, procedury bezpieczeństwa, nadzór operatorski), przyrządowe systemy bezpieczeństwa (SIS), 2. ochrona instalacji przed skutkami zdarzenia awaryjnego: system detekcji wycieków, zawory bezpieczeństwa, panele odciążające wybuch, kontrola źródeł wycieku (tace podzbiornikowe, pochodnie), 3. przeciwdziałanie skierowane na łagodzenie skutków awarii: systemy zraszaczowe, kurtyny wodne i parowe, Zakładowa Straż Pożarna, Ratownictwo Chemiczne, Państwowa Straż Pożarna, procedury ewakuacyjne. Celem warstw zapobiegania jest uniemożliwienie lub zmniejszenie prawdopodobieństwa uaktywnienia się scenariusza awaryjnego. W przypadku niepowodzenia jej zadziałania uruchamiane są warstwy ochrony, których zadaniem jest zabezpieczenie ludzi i instalacji przed skutkami awarii. Jeśli i te warstwy zawiodą, uruchamiane są warstwy łagodzenia skutków. Zapewnienie bezpiecznej pracy instalacji procesowej polega na odpowiednim doborze systemów zabezpieczających. Dobór zabezpieczeń należy rozpocząć od identyfikacji wszystkich zagrożeń, jakie występują na instalacji i wyboru tych scenariuszy awaryjnych, które powodują, że te zagrożenia są największe. Scenariusze awaryjne to sekwencje występujących po sobie zdarzeń rozpoczynających się od tzw. zdarzenia inicjującego (przyczyny), a kończących wystąpieniem niepożądanych skutków. W celu identyfikacji scenariuszy awaryjnych możemy wykorzystać różne metody analityczne. Wybór metody zależy od tego, na jakim etapie w cyklu życia jest instalacja (projekt, budowa, eksploatacja, modyfikacja) oraz od ilości posiadanych informacji, wiedzy i doświadczenia jakie mamy w odniesieniu do analizowanej instalacji. Przeprowadzona analiza powinna dać odpowiedzi na pytania: co może się wydarzyć, jak często, w jaki sposób może do tego dojść i jakie będą skutki. Wnioski z analizy powinny prowadzić do określenia poziomu ryzyka związanego z instalacją. Zagrożenia procesowe / zdarzenie inicjujące Warstwa zabezpieczająca (techniczna lub organizacyjna) Rys. 1. Model ukazujący lokalizację warstwy zabezpieczeniowej pomiędzy zagrożeniem procesowym a jego ewentualnym skutkiem. Rys. 2. Model warstwowego systemu zabezpieczeń. Skutek Zewnętrzne systemy przeciwdziałania (np. Państwowa Straż Pożarna) Wewnętrzne systemy przeciwdziałania (np. Zakładowa Straż Pożarna, systemy zraszania) Ochrona fizyczna (np. system detekcji, panele odciążające, zawory bezpieczeństwa) Automatyka zabezpieczeniowa SIS Alarmy krytyczne, działanie operatora BPCS Sterowanie procesem Proces Bezpieczeństwo wewnętrzne instalacji

Aby dobrze wypełniać swoje funkcje warstwy zabezpieczeń powinny spełniać określone wymagania: powinny być dedykowane do ochrony lub ograniczenia skutków jednego zdarzenia awaryjnego, powinny być niezależne, tzn. że uszkodzenie jednej warstwy nie powinno mieć wpływu na działanie innej (automatyka sterowania procesem nie powinna mieć elementów wspólnych z automatyką zabezpieczeniową SIS), powinny być skuteczne niezawodne oraz efektywne w działaniu, tzn. że zostaną uruchomione z określonym prawdopodobieństwem oraz wypełnią przypisaną im do realizacji funkcję bezpieczeństwa, działanie warstw powinno być sekwencyjne kolejne zabezpieczenie powinno zadziałać po niepowodzeniu poprzedniego, powinna być zapewniona możliwość kontroli i sprawdzenia działania poszczególnych warstw. Każda z zastosowanych warstw zabezpieczeń wprowadza pewną wielkość redukcji ryzyka procesowego. Sumaryczna wartość tej redukcji powinna zapewnić, że poziom ryzyka resztkowego jest niższy od przyjętego poziomu ryzyka akceptowalnego. Dalsze zmniejszanie ryzyka poniżej poziomu akceptowalnego jest możliwe (np. przez zastosowanie kolejnych warstw zabezpieczających), ale niesie za sobą konieczność ponoszenia dodatkowych, nierzadko bardzo wysokich kosztów i może być ekonomicznie nieuzasadnione (zasada ALARP). Do określenia poziomu redukcji ryzyka wnoszonego przez poszczególne warstwy zabezpieczeń wymagana jest znajomość niezawodności ich działania. Jeśli warstwę zabezpieczeń stanowi zespół urządzeń, niezawodność całego układu zależy od poziomu niezawodności wszystkich jego elementów. Skuteczność działania zastosowanych zabezpieczeń uzależniona jest w dużej mierze od ich parametrów technicznych, ale także od przyjętego w przedsiębiorstwie systemu zarządzania bezpieczeństwem. System ten powinien obejmować zarówno technologiczne, jak i organizacyjne procedury postępowania na wypadek awarii, system szkoleń i podnoszenia kompetencji załogi a także zasady współpracy z jednostkami zewnętrznymi (strażą pożarną, ratownictwem, sztabem zarządzania kryzysowego). Przyrządowe systemy bezpieczeństwa (SIS) Szczególną rolę w warstwowej koncepcji zabezpieczeń pełnią przyrządowe systemy bezpieczeństwa (SIS Safety Instrumented System). Ich zadaniem jest jak najszybsze sprowadzenie instalacji do stanu bezpiecznego po przekroczeniu nastawionych progów lub wywołaniu zadziałania. Projektując przyrządowy system bezpieczeństwa (SIS), należy do każdego wytypowanego w analizie ryzyka scenariusza awaryjnego zaprojektować układ wykonawczy, którego zadaniem będzie niedopuszczenie do rozwinięcia się danego scenariusza. Układ ten będzie realizował zdefiniowane funkcje bezpieczeństwa (SIF Safety Instrumented Function). Określając te funkcje, należy sprecyzować, czego od nich oczekujemy, tzn. jakie zadania mają spełnić, jak szybko mają to zrobić oraz z jakim prawdopodobieństwem (niezawodnością). Do zapobieżenia rozwinięciu się niektórych scenariuszy awaryjnych może być wymagane określenie więcej niż jednej funkcji bezpieczeństwa. Realizowana funkcja bezpieczeństwa może mieć różny rodzaj pracy: rzadkiego przywołania funkcja bezpieczeństwa jest wykonywana tylko na przywołanie w celu sprowadzenia kontrolowanego układu do stanu bezpiecznego; częstość przywołań jest nie większa niż raz na rok; częstego przywołania funkcja bezpieczeństwa jest wykonywana tylko na przywołanie w celu sprowadzenia kontrolowanego układu do stanu bezpiecznego; częstość przywołań jest większa niż raz na rok; Poziom ryzyka Poziomy ryzyka bez zabezpieczeń SIL 1 SIL 2 SIL 3 SIL 4 Ryzyko akceptowalne Rys. 3. Redukcja ryzyka w zależności od poziomu nienaurszalności bezpieczeństwa SIL.

ciągły funkcja bezpieczeństwa utrzymuje układ w stanie bezpiecznym jako cześć normalnego działania. Przykładem systemu działającego na przywołanie jest układ, który realizuje określoną funkcję po zaistnieniu sytuacji awaryjnej (np. odcięcie dopływu medium do zbiornika po przekroczeniu maksymalnego poziomu napełnienia). Z kolei przykładem pracy ciągłej jest system monitorujący przebieg procesu, który na bieżąco informuje operatora o jego stanie. Kolejnym krokiem po zdefiniowaniu wszystkich funkcji bezpieczeństwa jest zaprojektowanie warstwy sprzętowej układu, którego zadaniem będzie realizacja danej funkcji. Układy te, nazywane układami blokadowymi, budowane są często z wykorzystaniem urządzeń elektrycznych/elektronicznych/programowalnych elektronicznych (E/E/PE). Wynika to z coraz większej ich niezawodności, a właśnie niezawodność działania jest jednym z głównych wymagań stawianych systemom bezpieczeństwa. Żeby można było zastosować urządzenia E/E/PE w systemach związanych z bezpieczeństwem, powinny być one tak zaprojektowane i wykonane, aby zapobiec ich potencjalnym uszkodzeniom oraz, jeśli już do nich dojdzie, skutecznie te uszkodzenia kontrolować. Wymagania, jakie muszą spełnić systemy E/E/PE, gdy są używane do wypełniania funkcji bezpieczeństwa w procesach przemysłowych, zawarte są w normach PN-EN 61508 (norma ogólna dotycząca bezpieczeństwa funkcjonalnego) oraz PN-EN 61511 (norma sektorowa dotycząca bezpieczeństwa funkcjonalnego w przemyśle procesowym). Odnoszą się one do całego cyklu życia bezpieczeństwa instalacji, który obejmuje koncepcję wstępną, identyfikację zagrożeń, analizę i ocenę ryzyka, projektowanie, zaimplementowanie, eksploatację, aż do wyłączenia z ruchu lub likwidacji. Dla poszczególnych faz cyklu życia bezpieczeństwa w normach przewidziane zostały wymagania dotyczące zapobiegania uszkodzeniom elementów układu E/E/PE (unikanie powstawania uszkodzeń) oraz wymagania dotyczące kontrolowania uszkodzeń, czyli zapewnienia bezpieczeństwa nawet wtedy, gdy uszkodzenie się pojawi. Normy podają również propozycje metod, jakie można wykorzystać do oceny ryzyka w celu określenia wymaganego poziomu redukcji ryzyka dla funkcji bezpieczeństwa (np. graf ryzyka, kalibrowany graf ryzyka, tablice krytyczności, Anliza Warstw Zabezpieczeń). W ramach podanego w normach schematu można rozpatrywać także systemy realizujące funkcje bezpieczeństwa wykonane przy użyciu innych technik mechanicznej, hydraulicznej czy pneumatycznej. Niezawodność systemów E/E/PE, wykorzystywanych do wypełniania funkcji bezpieczeństwa, określa się jednym z czterech poziomów nienaruszalności bezpieczeństwa SIL (Safety Integrity Level). Poziom 4. jest poziomem najwyższym, poziom 1. najniższym. Im wyższy jest poziom SIL, tym większe jest prawdopodobieństwo, że funkcja bezpieczeństwa zostanie przez system wypełniona i tym samym większa redukcja ryzyka zostanie przez układ osiągnięta (rys. 3.). Wynikowy poziom SIL dla całego systemu bezpieczeństwa zależy od niezawodności (poziomów SIL) poszczególnych jego elementów, w tym również niezawodności kanałów komunikacyjnych. Najprostszy system bezpieczeństwa E/E/PE składa się z elementu pomiarowego, elementu logicznego i elementu wykonawczego (rys. 4.). Po określeniu wymaganego poziomu SIL dla wszystkich funkcji bezpieczeństwa i zaprojektowaniu struktury sprzętowej kolejnym Szukasz wiedzy z zakresu bezpieczeństwa wybuchowego i procesowego? Weź udział w szkoleniach ATEX z unikatowymi pokazami wybuchów na żywo realizowanymi przez wieloletnich praktyków. www.hazex.eu krokiem jest weryfikacja, która ma na celu potwierdzenie, że zaprojektowane systemy spełniają założone wymagania. Poziom nienaruszalności bezpieczeństwa SIL poszczególnych urządzenia zależy w głównej mierze od ich niezawodności wyrażonej intensywnością uszkodzeń ʎ. Intensywność uszkodzeń dzieli się na intensywność uszkodzeń bezpiecznych ʎ S oraz intensywność uszkodzeń niebezpiecznych ʎ D, a te z kolei na uszkodzenia wykrywalne (ʎ SD, ʎ DD ) i niewykrywalne przez testy diagnostyczne (ʎ SU, ʎ DU ). Całkowita intensywność uszkodzeń wyraża się wzorem: λ = λ D λ S = λ DU λ DD λ SU λ SD Na podstawie intensywności uszkodzeń możemy określić dodatkowe parametry wykorzystywane w obliczeniach, np.: DC pokrycie diagnostyczne DC = λ DD / λ D SFF (Safe Failure Fraction) odsetek uszkodzeń bezpiecznych SFF = (λ DD λ S ) / λ Na podstawie intensywności uszkodzeń poszczególnych urządzeń wchodzących w skład systemu bezpieczeństwa (ʎ), a także czasu między testami okresowymi systemu (T I ), średniego czasu naprawy (MTTR), współczynnika uszkodzeń zależnych (β) oraz przy uwzględnieniu architektury systemu możemy oszacować jego niezawodność, której miarą jest poziom SIL. Reklama Kanał komunikacyjny Kanał komunikacyjny Element pomiarowy Element logiczny np. sterownik programowalny Element wykonawczy SIL wej SIL ster SIL wyj Rys. 4. Przykładowy schemat systemu bezpieczeństwa E/E/PE. SIL funkcji bezpieczeństwa

Określenie poziomu SIL przebiega w kilku etapach. W zależności od rodzaju pracy systemu należy obliczyć wartości kryterialne (tab. 2.): PFD avg wartość średnia prawdopodobieństwa niewypełnienia funkcji bezpieczeństwa na żądanie (rodzaj pracy rzadkiego przywołania), PFH częstość wystąpienia uszkodzenia niebezpiecznego na godzinę (rodzaj pracy częstego przywołania lub ciągłej). W ujęciu matematycznym są one funkcją pięciu parametrów: PFD avg = f (ʎ, DC, T I, β, MTTR) PFH = f (ʎ, DC, T I, β, MTTR) gdzie: ʎ - intensywnością uszkodzeń [h -1 ] DC - pokrycie diagnostyczne [%] T I czas między testami okresowymi [h] β - współczynnik uszkodzeń zależnych MTTR średni czas przywracania zdatności urządzenia do użycia (naprawy) [h] Wzory, według których obliczamy wartości PFD avg oraz PFH, zależą od architektury systemu. Przykłady wzorów, jakie można przyjąć do obliczenia PFD avg i PFH dla systemów o architekturze 1oo1 i 1oo2 (według PN-EN 61508) podano na poniżej. Jak z nich wynika, przy obliczaniu PFD avg oraz PFH duże znaczenia ma czas między testami okresowymi (T I ). Wydłużenie tego czasu powoduje wzrost wartości PFD avg (PFH), co w konsekwencji może doprowadzić do zmniejszenia poziomu SIL danego układu. Ponadto przy obliczeniach należy uwzględnić: stopień wykrywania uszkodzeń przez testy sprawdzające, prawdopodobieństwo pogorszenia własności urządzenia przez testy okresowe, niezawodność środków i procedur używanych do wykonywania testów, niezawodność układów dostarczających media niezbędne do prawidłowego działania systemu (np. jeśli jest Poziom SIL PFD avg PFH [h -1 ] SIL 1 10-1 > PFD avg 10-2 10-5 > PFH 10-6 SIL 2 10-2 > PFD avg 10-3 10-6 > PFH 10-7 SIL 3 10-3 > PFD avg 10-4 10-7 > PFH 10-8 SIL 4 10-4 > PFD avg 10-5 10-8 > PFH 10-9 Tab.2. Zależność poziomu SIL od wartości PFD avg i PFH. Przykłady wzorów obliczeniowych wg PN-EN 61508 wymagane ogrzewanie rurek impulsowych dla czujnika, to niezawodność działania układu grzewczego powinna być uwzględniona w obliczeniach). Aby móc skorzystać z podanych wcześniej wzorów i obliczyć PFD avg lub PFH, potrzebne są dane niezawodnościowe urządzeń. Takie dane mogą być dostarczone przez producenta urządzenia, jeśli zostało ono przebadane przez niezależną jednostkę i posiada odpowiedni certyfikat. Można również posłużyć się dostępnymi bazami danych (np. OREDA). Na rynku dostępne są także programy komputerowe umożliwiające obliczenie PFD avg lub PFH (np. exsilentia). Programy te mają zaszyte bazy paramentów niezawodnościowych urządzeń. Do ostatecznego określenia poziomu SIL rozpatrywanego systemu należy dodatkowo uwzględnić SFF (Safe Failure Fraction) udział uszkodzeń bezpiecznych oraz HFT (Hardware Fault Tolerance) odporność architektury sprzętowej na defekty. Wartość SFF określa procentowy udział uszkodzeń bezpiecznych (S safe failure) w ogólnej liczbie awarii. Uszkodzenia bezpieczne to takie, które nie mają możliwości wprowadzenia systemu w stan niebezpieczny lub w stan uniemożliwiający wypełnienie funkcji bezpieczeństwa. Im wyższa wartość SFF tym mniejsze jest prawdopodobieństwo niebezpiecznego I. architektura systemu 1oo1 T a. PFD avg λ I λ DU 2 DMMMMMMMM b. PFH λ DU II. architektura systemu 1oo2 a. PFD avg 2((1 β DD ) λ DD (1 β) λ DU ) 2 tt CCCC tt GGGG β DD λ DD MMMMMMMM β λ DU ( T I MMMMMMMM) 2 b. PFH 2((1 β DD ) λ DD (1 β) λ DU ) 2 tt CCCC β DD λ DD β λ DU gdzie: tt CCCC = λ DU ( T I MMMMMMMM) λ DD λ D 2 λ D tt GGGG = λ DU ( T I MMMMMMMM) λ DD λ D 3 λ D β DD = β 2 MMMMMMMM średni czas przestoju wszystkich elementów w kanale podsystemu MMMMMMMM średni czas przestoju elementów w grupy głosowania współczynnik uszkodzeń zależnych wykryty przez testy diagnostyczne

uszkodzenia systemu. SFF równe 83 oznacza, że 83 uszkodzenia na 100 nie mają wpływu na wypełnienie funkcji bezpieczeństwa przez system. SFF = (λ DD λ S ) / λ HFT określa tolerancję systemu na uszkodzenia i zależy od jego architektury. Tolerancja N oznacza, że N1 uszkodzenie spowoduje niezdolność systemu do wypełnienia funkcji bezpieczeństwa. Przy HFT równym 0 uszkodzenie jednego elementu spowoduje, że układ będzie niesprawny. HFT równe 2 będą miały systemy o architekturze 1oo3. Najwyższy poziom SIL, jaki może zostać przypisany dla danej funkcji bezpieczeństwa przy uwzględnieniu SFF oraz HFT w zależności od typu użytych urządzeń/podsystemów (A lub B), pozwala określić tab.3. Podsystem może być zaklasyfikowany jako typ A, jeżeli odnośnie do elementów koniecznych do wykonania funkcji bezpieczeństwa: zdefiniowane są wszystkie rodzaje jego uszkodzeń, jego zachowanie w warunkach defektu można w pełni określić, istnieją wystarczające dane dotyczące uszkodzeń uzyskane na bazie doświadczeń eksploatacyjnych, na podstawie których można oszacować intensywność uszkodzeń wykrywalnych i niewykrywalnych niebezpiecznych. Jeśli dany podsystem nie spełnia tych wymagań, musi być uważany za podsystem kategorii B. Końcowym i niezwykle ważnym etapem cyklu życia bezpieczeństwa, przedstawionym w normie PN-EN 61508, jest odpowiednia eksploatacja systemów związanych z bezpieczeństwem. Aby utrzymać osiągnięty poziom SIL, niezbędne jest wykonywanie testów okresowych zgodnie z przyjętym w obliczeniach czasem T I. Podsumowanie Przeprowadzanie analiz bezpieczeństwa staje się standardem w zakładach przemysłowych, szczególnie tam, gdzie występują duże zagrożenia związane z przetwarzanymi czy magazynowanymi substancjami. Przeprowadzenie analizy pozwala rozpoznać panujące zagrożenia i zaprojektować odpowiednie sposoby redukcji ryzyka z nimi związanego. Urządzenia typu A Urządzenia typu B SFF HFT HFT 0 1 2 0 1 2 <60% SIL 1 SIL 2 SIL 3 Systemy zabezpieczeń instalacji budowane są w oparciu o warstwową koncepcję ochrony. Bardzo ważną rolę w tym podejściu pełni warstwa przyrządowych systemów bezpieczeństwa (SIS Safety Instrumented System). Jej zadaniem jest jak najszybsze sprowadzenie instalacji do stanu bezpiecznego, jeśli wcześniejsze warstwy ochrony zawiodą. W skład przyrządowego systemu bezpieczeństwa wchodzą układy realizujące określone funkcje bezpieczeństwa (SIF), wyszczególnione na podstawie przeprowa- niedozwolony SIL 1 SIL 2 [60%, 90%) SIL 2 SIL 3 SIL 4 SIL 1 SIL 2 SIL 3 [90%, 99%) SIL 3 SIL 4 SIL 4 SIL 2 SIL 3 SIL 4 99% SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4 Tab.3. Poziom SIL układu w zależności od typu urządzeń oraz wielkości SFF i HFT. Ważne normy PN-EN 61508 Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem Norma PN-EN 61508 jest normą ogólną bezpieczeństwa funkcjonalnego. Na jej podstawie opracowano szereg norm sektorowych, m.in.: PN-EN 61511 Bezpieczeństwo funkcjonalne Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego PN-EN 61513 Elektrownie jądrowe Oprzyrządowanie i systemy kontroli ważne dla bezpieczeństwa Wymagania ogólne dla systemów PN-EN 62061 Bezpieczeństwo maszyn Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i elektronicznych programowalnych systemów sterowania związanych z bezpieczeństwem PN-EN 50126 Zastosowania kolejowe Specyfikowanie i wykazywanie niezawodności, dostępności, podatności utrzymaniowej i bezpieczeństwa (RAMS)

dzonej analizy ryzyka. Prawdopodobieństwo wykonania tych funkcji przez układ określa ich poziom nienaruszalności bezpieczeństwa SIL. Poprawny dobór tych rozwiązań i odpowiednie zaprojektowanie układów wymaga wiedzy i doświadczenia. Pomocą w tej kwestii są normy dotyczące bezpieczeństwa funkcjonalnego ogólna PN-EN 61508 oraz opracowane na jej podstawie normy sektorowe (np. PN-EN 61511 dotycząca przemysłu procesowego). Normy te podają wymagania odnoście całego cyklu życia systemu bezpieczeństwa, bo tylko podejście kompleksowe daje gwarancję, że wypracowane rozwiązanie będzie skuteczne. Oprócz rozwiązań technicznych bardzo duże znaczenie w zapewnieniu bezpieczeństwa w przedsiębiorstwie ma również poziom kultury bezpieczeństwa. Zależy ona od wypracowanych standardów zarządzania, uznawanych wspólnie wartości, przyjętego systemu komunikacji wewnętrznej, zaangażowania załogi w zapewnienie bezpieczeństwa, budowania poczucia współodpowiedzialności, a także w wyciąganiu wniosków ze zdarzeń z historii. Bardzo ważnym elementem kultury bezpieczeństwa jest budowanie kompetencji pracowników poprzez szkolenia kształtujące i utrwalające odpowiednie standardy zachowania zarówno w czasie wykonywania normalnych operacji procesowych, jak i w sytuacjach awaryjnych. Przykłady metod stosowanych do analizy zagrożeń przegląd cech bezpieczeństwa (SR safety review) analiza list kontrolnych (CA checklist analysis) klasyfikacja względna (RR relative ranking) wstępna analiza zagrożeń (PHA preliminary hazard analysis) analiza co-jeżeli (what-if analysis) analiza zagrożeń i zdolności działania (HAZOP hazard and operability study) analiza przyczyn i skutków wad (FMEA failure modes and effects analysis) analiza drzewa uszkodzeń (FTA fault tree analysis) analiza drzewa zdarzeń (ETA event tree analysis) analiza przyczyn i skutków (CCA causeconsequence analysis) analiza niezawodności człowieka (HRA human reliability analysis) identyfikacja zagrożeń (HAZID hazard identification) W opinii autora Mariusz Balicki, specjalista ds. bezpieczeństwa procesowego i wybuchowego w GRUPIE WOLFF Presja na osiągnięcie celów produkcyjnych, wymagania dotyczące redukcji kosztów produkcji, ale również starzenie i zużywanie się instalacji powodują wzrost zagrożeń związanych z ryzykiem wystąpienia poważnej awarii czy katastrofy. Jednocześnie postęp technologiczny i zdobyte doświadczenia powodują, że mamy do dyspozycji coraz lepsze techniczne i organizacyjne mające nas przed tym uchronić. Jedną z bardzo szybko rozwijających się technologii związanych z redukcją ryzyka wystąpienia awarii są przyrządowe systemy bezpieczeństwa SIS (tzw. systemy blokadowe). Bardzo ważną kwestią jest określenie wymaganego poziomu redukcji ryzyka przez te systemy. Aby określić ten poziom, trzeba wykonać ocenę i analizę ryzyka występującego w zabezpieczanej instalacji. Można do tego celu wykorzystać jedną z wielu znanych technik analitycznych. Nie należy ulegać pokusie szacowania wymaganego poziomu SIL na wyczucie. Określenie z góry poziomu SIL3 dla układu z pozoru wydaje się poprawne wysoki poziom SIL to bezpieczniejsza instalacja. Nie jest to jednak do końca słuszne założenie. Wykonanie układu z niezawodnością na poziomie SIL3 jest bardzo kosztowne, a niekiedy wręcz niemożliwe z powodu braku na rynku urządzeń z potwierdzoną tak wysoką niezawodnością. Dodatkowo utrzymanie wysokiego poziomu SIL to konieczność częstego wykonywania testów i przeglądów okresowych zgodnie z przyjętym do obliczeń czasookresem, co również kosztuje, a niekiedy jest niewykonalne ze względu na konieczność zapewnienia ciągłości produkcji. Ponadto wysoki poziom SIL układu w niektórych przypadkach może powodować większą częstość niepożądanego zadziałania. Jeśli jednak przeprowadzona analiza ryzyka rzeczywiście wykaże konieczność jego redukcji na poziomie SIL3 powinniśmy rozważyć zwiększenie poziomu redukcji ryzyka przez inne warstwy bezpieczeństwa (np. BPCS czy system alarmów), tak żeby część przypadająca na SIS była na poziomie SIL2.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres