KACZOR Grzegorz 1 MŁYNARSKI Stanisław 2 SZKODA Maciej 3 Weryfikacja poziomu nienaruszalności bezpieczeństwa SIL w systemach technicznych WSTĘP Funkcjonujące we współczesnym przemyśle maszyny i urządzenia techniczne pozostają w wielu przypadkach pod kontrolą systemów programowalnych, których niezawodność i bezpieczeństwo są ściśle uzależnione od wczesnego wykrycia potencjalnego zagrożenia. Jest to możliwe dzięki zaawansowanym urządzeniom automatyki i elektroniki [1,2]. Wzrastająca odpowiedzialność tych systemów za właściwe rozpoznawanie sygnałów wejściowych i ich przetwarzanie wymaga opracowania efektywnych metod wykrywania zagrożeń z tym związanych. Jednym z działań, mających na celu poprawę tej sytuacji było uchwalenie standardów dotyczących zapewnienia bezpieczeństwa funkcjonalnego. The International Society of Automation zaproponowała koncepcję poziomów nienaruszalności bezpieczeństwa (SIL). Natomiast Międzynarodowa Komisja Elektrotechniczna uchwaliła normę IEC 61508 Functional safety of electrical/electronic/ programmable electronic safety-related systems, która została przygotowana w taki sposób, aby ułatwić ilościową weryfikację poziomu SIL dla systemów bezpieczeństwa [3,4]. Wprowadzona koncepcja poziomów nienaruszalności bezpieczeństwa jako ilościowa miara bezpieczeństwa funkcjonalnego systemów technicznych, pozwala określić graniczny poziom ryzyka związanego z występowaniem określonych, niepożądanych zdarzeń. Podczas dokonywania oceny systemów pod kątem standardu SIL, główna uwaga skupiona jest na bezpieczeństwie tego systemu oraz jego elementów. Zapewnienie wymaganego poziomu bezpieczeństwa związane jest ściśle z niezawodnością systemu. Konieczne staje się wyznaczenie wskaźników niezawodności, takich jak funkcji zawodności bezpieczeństwa F(t), funkcji niezawodności bezpieczeństwa R(t) czy intensywności uszkodzeń λ(t) dla systemu i jego elementów. W wyniku oceny bezpieczeństwa otrzymuje się prawdopodobieństwo niebezpiecznego uszkodzenia systemu PFD lub PFH. W niniejszej pracy przeprowadzono weryfikację poziomu nienaruszalności bezpieczeństwa zintegrowanego systemu kontroli zagrożenia pożarowego i wybuchowego dla jednego z zakładów branży chemicznej w Polsce. 1. ANALIZA BEZPIECZEŃSTWA FUNKCJONALNEGO W ŚWIETLE DOTYCHCZASOWYCH OPRACOWAŃ Złożoność zagadnień dotyczących niezawodności i bezpieczeństwa funkcjonalnego systemów technicznych zaowocowały powstaniem licznych prac naukowych, poświęconych tej tematyce [5 17]. Przykładowo w pracy [5] zaprezentowano ilościowy model probabilistyczny, który wykorzystuje poziomy SIL do oceny bezpieczeństwa systemu transportu. Do oceny bezpieczeństwa zastosowano m.in. metodę symulacji Monte Carlo. W pracy [6] autorzy opisują kompleksowe ujęcie problemu bezpieczeństwa obiektów technicznych. W prowadzonych rozważaniach podają algorytmy i sposoby systemowych rozwiązań zapewnienia bezpieczeństwa eksploatacji obiektów technicznych. Autorzy pracy [7] prezentują wykorzystanie programów z zastosowaniem metod symulacyjnych do analizy bezpieczeństwa pojazdów. Z kolei autorzy pracy [8] zawarli opis metody oceny 1 Politechnika Krakowska im. Tadeusza Kościuszki w Krakowie, Wydział Mechaniczny; 31-864 Kraków; al. Jana Pawła II 37. Tel. +48 374 33 14, Fax: +48 374 33 11, g. kaczor@m8.mech.pk.edu.pl 2 Politechnika Krakowska im. Tadeusza Kościuszki w Krakowie, Wydział Mechaniczny; 31-864 Kraków; al. Jana Pawła II 37. Tel. +48 374 33 22, Fax: +48 374 33 11, mlynarski_st@poczta.onet.pl 3 Politechnika Krakowska im. Tadeusza Kościuszki w Krakowie, Wydział Mechaniczny; 31-864 Kraków; al. Jana Pawła II 37. Tel. +48 374 35 12, Fax: +48 374 33 11, maciek@m8.mech.pk.edu.pl 661
bezpieczeństwa funkcjonalnego, opartej na strukturalnej analizie niezawodności. Udowodniono, że otrzymane wyniki wedle zaproponowanej metody są porównywalne z wynikami obliczeń wg normy IEC 61508. Wśród dostępnych metod weryfikacji poziomów nienaruszalność bezpieczeństwa wg normy IEC 61508, znajduje się analiza Markova. W przypadku złożonych systemów technicznych, analiza Markova jest czasochłonna z uwagi na ilość możliwych stanów procesu stochastycznego [9]. Autorzy pracy [10] twierdzą, że ilość tych stanów dla systemów o wysokim stopniu redundancji może wynosić od 500 do 600. W artykule tym opracowano model Markova, w którym rozróżnia się maksymalnie 48 stanów. Inną metodę wyznaczania poziomów nienaruszalności bezpieczeństwa za pomocą drzewa uszkodzeń z wykorzystaniem bramki typu AND z priorytetem przedstawiono w pracy [11]. Zaproponowano także nowe określenia związane z działaniem programowalnych systemów elektronicznych ( new modes of operation ). Warto wspomnieć także o pracy [12], gdzie autorzy w ujęciu holistycznym opisują główne wymagania do prowadzenia analizy RAMS dla zintegrowanego systemu bezpieczeństwa. Łączą aspekty analizy RAMS zawarte w normie IEC 61508 z modelem Murthy ego. Twierdzą, że stanowi to uzupełnienie struktury cyklu życia bezpieczeństwa zawartego w ww. normie. Jako przykład zastosowania swojego podejścia naukowego wykorzystano przybrzeżny system wydobycia ropy naftowej i gazu. Z kolei, w opracowaniu [13] zaproponowano metodę zwiększenia bezpieczeństwa funkcjonalnego dla systemu transportu gazu ziemnego. Koncepcja polega na wykorzystaniu metod LOPA oraz Fuzzy Logic do zapobiegania lub ograniczania wypadków w przemyśle gazowym. Proponowane rozwiązanie zostało sprawdzone w systemie o średnim i wysokim poziomie ryzyka wystąpienia zagrożenia. Uzyskane wyniki świadczą o znacznej skuteczności rozwiązania dla utrzymania poziomu SIL na akceptowalnym poziomie. Autor pracy [14] przedstawiał przegląd wybranych zagadnień związanych z analizą bezpieczeństwa funkcjonalnego, zgodnie z aktualnie obowiązującymi normami IEC 61508 oraz IEC 61511 [15]. Opisano znaczenie podejścia probabilistycznego do ilościowych analiz do weryfikacji poziomów SIL. Przedstawiono również niektóre aspekty bezpieczeństwa funkcjonalnego do wykrywania palnych i toksycznych gazów w odniesieniu do założeń normy CENELEC pren 50402. Międzynarodowe normy IEC 61508 oraz IEC 61511, które zawierają ogólne informacje dla projektowania i wdrażania systemów bezpieczeństwa funkcjonalnego, nie uwzględniają czynników ludzkich i organizacyjnych. Autorzy pracy [16] przedstawili własną koncepcję weryfikacji poziomów SIL, oraz udowodnili, że wzięcie pod uwagę wymienionych czynników może wpłynąć na zwiększenie bezpieczeństwa funkcjonalnego systemów technicznych. 2. WERYFIKACJA SIL DLA WYBRANEGO SYSTEMU BEZPIECZEŃSTWA 2.1. Opis analizowanego systemu Jako przykład weryfikacji poziomu nienaruszalności bezpieczeństwa wykorzystano wybrane wyniki z analizy bezpieczeństwa SIL wykonanej w 2013 roku dla jednego z zakładów branży chemicznej w Polsce. Analiza SIL była jednym z etapów dużego projektu związanego z kompleksową modernizacją istniejącego zintegrowanego systemu bezpieczeństwa. Ze względu na to, że projekt modernizacji nie obejmował wymiany urządzeń wykonawczych jak wentylatory, żaluzje, zawory i inne, analizowany system składa się z podsystemu czujnikowego i podsystemu logicznego. Podsystemy te skonfigurowano oddzielnie w dwóch pętlach dozorowych: zagrożenia pożarowego i zagrożenia wybuchowego. System bezpieczeństwa służy do zabezpieczenia zakładu przed uszkodzeniami wywołanymi przez wybuch lub pożar. Pozwala na bezpiecznie prowadzenie pracy personelu obsługi i urządzeń technologicznych. Zintegrowany system bezpieczeństwa składa się z rozproszonych jednostek logicznych pracujących na wspólną bazę danych procesowych, zorganizowaną dzięki redundantnej sieci światłowodowej łączącej jednostki logiczne. W konfiguracji podsystemu czujnikowego uwzględniono nowej generacji czujniki wiodącego światowego producenta, które wyposażone zostały w funkcję autodiagnostyki: czujniki dymu CD1 i CD2, czujniki temperatury CT, czujniki płomienia CP, czujniki zagrożenia wybuchowego CG1 i CG2 oraz czujniki multisensorowe CM. Czujniki zagrożenia 662
wybuchowego dokonują pomiarów analogowych stężenia czynnika wybuchowego dla wykrywania podprogowych stężeń. Wszystkie czujniki posiadają identyfikację i są adresowalne przez system. Czujniki zagrożenia wybuchowego dostarczają informacji analogowej o stężeniu gazu w dolnej granicy zagrożenia. System sterowania może w przypadku nawet niewielkich, kilkuprocentowych stężeń gazu, dostarczyć obsłudze zakładu informację o potencjalnym niebezpieczeństwie. Rozmieszczenie czujników w poszczególnych strefach zakładu było poprzedzone próbami zadymienia i rozprzestrzeniania się czynników w celu zaprojektowania jak najlepszej ich lokalizacji. Wszystkie zastosowane elementy czujnikowe posiadają certyfikaty zgodnie z dyrektywą 94/9/EG i certyfikaty poziomu bezpieczeństwa SIL2. Podsystem logiczny projektowanego systemu tworzą centrale z modułami wejścia/wyjścia, realizujące operacje logiczne na sygnałach z pętli, które są do nich podłączone. Do każdej z central podłączony jest sterownik programowalny. Jednostki logiczne łączą się z czujkami przy pomocy pętli dozorowych odpornych na pojedyncze uszkodzenie. W analizowanym systemie przewidziano centralę pożarową umożliwiającą podłączenie modułów wykrywania pożaru a także wykrywania zagrożenia wybuchowego. Pętle wykrywania pożaru podłączone zostały do modułów OM-310. Pętla wykrywania zagrożenia wybuchowego zbudowana jest w oparciu o moduł OM-340. Wszystkie zastosowane czujniki zagrożenia wybuchowego przeznaczone są do współpracy z centralami, dla których przewidziano osobne zasilanie. Pomimo że między centralami istnieje połączenie to żadna z nich nie może wykonywać operacji logicznych na sygnałach z pętli, które nie są do niej bezpośrednio podłączone. W związku z tym w każdym przypadku wyznaczania prawdopodobieństwa niezadziałania funkcji bezpieczeństwa głosowanie w podsystemie logicznym zostaje przyjęte jako 1oo1. System może być w stanie czuwania i przejść automatycznie do procedur bezpieczeństwa lub w stanie serwisowym z wyłączonym czuwaniem. Stan serwisowy dotyczy podsystemu, czyli wyłączenia części czujników wykrywania zainstalowanych w obiekcie. Dla zapewnienia wysokiego poziomu nienaruszalności bezpieczeństwa zastosowano sterowniki o modułowej serii i poziomie bezpieczeństwa SIL3. Ponadto zastosowano redundancję połączeń kablowych pomiędzy centralami, poprzez przeprowadzenie dwoma różnymi trasami niezależnych redundantnych linii światłowodowych łączących centrale. Wszystkie zastosowane i wbudowane programy wykorzystane w systemie są certyfikowane dla poziomu nienaruszalności bezpieczeństwa SIL2. Dla poprawy bezpieczeństwa zastosowano także redundancję czujników w obszarze ich działania. W strefach bezpieczeństwa zastosowano wyzwalanie alarmu przyjmując struktury niezawodnościowe progowe 2 z n. Rozwiązanie takie miało na celu redukcję częstości fałszywych alarmów, a tym samym kosztów nieuzasadnionych przestojów zakładu. 2.2. Realizacja funkcji bezpieczeństwa w systemie Przez realizację funkcji bezpieczeństwa w analizowanym systemie należy rozumieć: wykrycie i sygnalizację pożaru lub ulatnianie się gazu; wyeliminowanie lub ograniczenie zagrożeń np. poprzez odcięcie zasilania gazu, automatyczne gaszenie pożaru, odpowiednie do występującego zagrożenia sterowanie pracą elementów wykonawczych; wezwanie służb bezpieczeństwa (straży pożarnej, jednostek ds. eliminowania zagrożenia wybuchowego). Ze względu na zagrożenia, warunki wykrywania i funkcje obiektu opracowano różne algorytmy funkcji bezpieczeństwa dla wykrywania pożaru i zagrożenia wybuchowego. 1. Realizacja funkcji bezpieczeństwa wykrywania pożaru przebiega od pobudzenia czujki w pętli detekcji ppoż. do zakończenia akcji ratowniczej. Zdefiniowano dwa typy alarmu: alarm pożarowy 1 stopnia bez limitu czasowego, który występuje przy pobudzeniu dowolnej jednej czujki w pętli detekcji ppoż.; alarm pożarowy 2 stopnia z limitem czasu na reakcję przed wysłaniem sygnałów do systemów sterowania zakładem i powiadomienie służb bezpieczeństwa, który występuje przy pobudzeniu 2 z n czujek w dowolnej pętli detekcji ppoż. 663
2. Funkcja bezpieczeństwa wykrywania zagrożenia wybuchowego również jest realizowana od pobudzenia czujnika w pętli detekcji. Wyróżniono dwa typy alarmu: alarm wybuchowy 1 stopnia, kiedy stężenie gazu przekracza 1 próg pomiarowy następuje włączenie wentylacji awaryjnej i wysłanie sygnałów do systemów sterowania zakładem; alarm wybuchowy 2 stopnia, kiedy stężenie gazu przekracza 2 próg pomiarowy lub przy pobudzeniu czujek w dowolnej pętli detekcji zagrożenia wybuchowego następuje włączenie wentylacji awaryjnej, odcinanie dopływu czynnika wybuchowego i wysłanie sygnałów do systemów sterowania zakładem. Dana funkcja bezpieczeństwa jak np. dezaktywacja zagrożenia wybuchowego jest realizowana w następujący sposób: a) Pomiar wartości stężenia gazu. b) Przekazanie wyników pomiarów. c) Porównanie wyników pomiarów z zadanymi wartościami progowymi. d) Sprawdzenie liczby czujników wykazujących przekroczenie w danej strefie detekcji dla alarmu 1 stopnia głosowanie 1oo1, dla alarmu 2 stopnia głosowanie 2ooN, które oznacza, że dwa czujniki z N zainstalowanych w strefie głosowania wykazują stan niebezpieczny. e) Układy logiki programowalnej wykonują funkcje logiczne i realizują sterowanie według zadanych algorytmów. Dalsza część funkcji bezpieczeństwa jest realizowana przez urządzenia wykonawcze, które nie podlegały analizie. 3. WERYFIKACJA SIL DLA WYBRANEGO SYSTEMU BEZPIECZEŃSTWA 3.1. Realizacja funkcji bezpieczeństwa w systemie Metoda strukturalnej analizy niezawodności związana jest z tzw. diagramami blokowymi (RBD reliability block diagrams), które przedstawiają wzajemne powiązania między elementami systemu, determinującymi jego niezawodność. W oparciu o równanie funkcji niezawodności systemu, z zależności (1) można wyznaczyć funkcję intensywności uszkodzeń. Jej znajomość jest wymagana do obliczenia wskaźników PFH i PFD, na podstawie, których weryfikowany jest poziom nienaruszalności bezpieczeństwa. Dla struktur prostych, funkcja niezawodności może być określona ze wzoru (2), przy założeniu, że system składa się z elementów jednorodnych, opisanych wykładniczym rozkładem prawdopodobieństwa [19 22]: n N! i i k / n k!( N i)! r( t) (1 r( t (1) i k R )) gdzie: N liczność elementów systemu, k minimalna liczność zdatnych elementów wymaganych do poprawnej pracy systemu, r(t) niezawodność elementu systemu, R k/n (t) niezawodność systemu. Dla przypadku rozkładu wykładniczego, zależność (1) przyjmuje następującą postać: R k / n n i N! ( t) t ni k!( N i)! e (1 e ) ik (2) W celu wyznaczenia funkcji intensywności uszkodzeń, która odnosi się do prawdopodobieństwa uszkodzenia niebezpiecznego na godzinę (PFH), należy skorzystać ze wzoru: 1 dr( t) sys ( t) (3) R( t) dt 664
Struktura niezawodnościowa rozpatrywanego systemu, składa się z 37 elementów. Norma IEC 61508 nie zawiera jednoznacznego wyjaśnienia oraz przykładu obliczeniowego dla tego przypadku. Prezentowana praca może być traktowana, jako uzupełnienie metodyki obliczeniowej wspomnianej normy. W niniejszym opracowaniu struktura niezawodnościowa jest budowana w oparciu o sprzętowo programowe rozwiązanie systemu. Uproszczoną strukturę niezawodnościową systemu przedstawiono na rysunku 1. Reprezentuje ona niezawodnościowe relacje elementów względem zachowania przez system bezpieczeństwa funkcjonalnego i stanowi podstawę do obliczenia poziomu nienaruszalności bezpieczeństwa. Rys. 1. Uproszczona struktura niezawodnościowa systemu 3.2. Założenia do analizy W weryfikacji SIL analizowanego systemu przyjęto następujące założenia: liczba przywołań systemu bezpieczeństwa w ciągu roku może przekraczać 1, dlatego zastosowano metodę wyliczenia bazująca na przywołaniu ciągłym. W sytuacji takiej docelową miarą uszkodzeń systemu wg IEC 61508-4 jest prawdopodobieństwo niebezpiecznego uszkodzenia na godzinę PFH; producent sprzętu i oprogramowania systemu wymaga przeprowadzenia testów co 24 miesiące, stąd odstęp testu okresowego T 1 =17520 h; cykl autodiagnostyki systemu wynosi 24 godziny. W tabeli 1 zamieszczono typy zastosowanych w systemie czujników i ich podstawowe dane niezawodnościowe. Pokrycie diagnostyczne DC dla elementów systemu określa część uszkodzeń niebezpiecznych, które w teście diagnostycznym są wykrywalne. Parametr β określa część niewykrytych uszkodzeń niebezpiecznych, które mają tzw. wspólną przyczynę. Wobec braku możliwości dokładnego określenia wartości tego parametru przyjęto, że będzie on stanowił całość tych uszkodzeń, które są niewykrywalne, czyli (1 DC). Natomiast parametr β D określający tę część uszkodzeń o wspólnej przyczynie, które są wykrywalne jak w EN 61508-6 przyjęto na poziomie 0,5β. Tab. 1. Dane niezawodnościowe elementów systemu Ilość Typ czujnika Funkcja czujników SFF [%] λ D β β D CT Heat detector 2 96,3% 1,00E-06 0,09 0,05 91% CD1, CD2 Smoke detector 16 95,6% 3,84E-07 0,06 0,03 94% CM Multi sensor 1 95,7% 6,65E-07 0,07 0,04 93% CG1 Gas detector 8 95,1% 1,66E-06 0,07 0,04 93% CG2 Gas detector 8 97,5% 2,00E-06 0,07 0,04 93% CP AutroFlame 2 93,5% 2,56E-06 0,08 0,04 92% OM-310 Output module 1 96,0% 0,8E-07 0,10 0,05 90% DC [%] 665
OM-340 Output module 1 96,0% 0,8E-07 0,10 0,05 90% Oznaczenia z tabeli 1: SFF udział uszkodzeń niebezpiecznych; λ D intensywność uszkodzeń niebezpiecznych; β część niewykrytych uszkodzeń niebezpiecznych, które mają wspólną przyczynę; β D część uszkodzeń o wspólnej przyczynie, które są wykrywalne w teście diagnostycznym; DC pokrycia diagnostyczne. Do obliczeń zastosowano pakiet kompleksowych narzędzi komputerowych firmy Reliasoft. Należą do nich oprogramowanie BlockSim oraz Weibull++, które zostały stworzone z myślą zastosowaniu do złożonych systemów technicznych, których struktura funkcjonalna i niezawodnościowa może ulegać zmianie w trakcie eksploatacji. Narzędzia te pozwalają m.in. na analizę danych statystycznych, aproksymację tych danych typowymi rozkładami prawdopodobieństwa, projektowanie struktur niezawodności (RBD), drzewa uszkodzeń (FTA) oraz wyznaczanie przebiegów funkcyjnych wskaźników niezawodności. 3.3. Schemat systemu Na rysunku 2 przedstawiono konfigurację pętli dozorowych zagrożenia pożarowego (kolor czerwony) i wybuchowego (kolor niebieski) oraz rozmieszczenie wszystkich elementów czujnikowych, wyszczególnionych w tabeli 1 dla analizowanego zakładu. CD1/6 CG2/7 CG2/6 CG2/5 CG2/4 CD2/1 CG2/3 CD1/5 A7 CD1/4 CD1/3 A6 CG1/2 CG1/3 A5 CM/1 CG1/1 A4 CD1/1 A3 CT/1 A2 CP/1 A1 A10 A9 CD1/8 CD1/7 A8 CD1/2 CG1/8 CG1/7 CG1/6 CG1/5 CG1/4 A16 A11 CG2/2 CG2/1 CD2/2 A14 ROP1 CP/2 CG2/8 CD2/3 CD2/5 CD2/8 CD2/4 CD2/6 CT/2 CD2/7 A12 A13 A15 A17 A18 A19 A20 ROP 2 Rys. 2. Konfiguracja pętli dozorowych Czujnik płomienia Czujnik gazu Czujnik temperatury Czujnik multisensorowy Czujnik dymu ROP1 Wyłącznik ręczny 3.4. Wyznaczenie prawdopodobieństwa niebezpiecznego uszkodzenia systemu PFH sys W obliczeniach zostały uwzględnione czynniki powodujące uszkodzenia o tzw. wspólnej przyczynie mogące spowodować niezadziałanie systemu bezpieczeństwa. Do takich elementów można zaliczyć: uszkodzenia modułów wejściowych/wyjściowych pętli w centralach OM-310 i OM- 340 oraz uszkodzenie zasilania systemu bezpieczeństwa. Na podstawie wykonanych analiz prawdopodobieństwo uszkodzenia funkcji bezpieczeństwa dla podsystemu zasilania jako przyczyny wspólnej zostało określone na poziomie: 10 PFH ZASIL 4,7810 Intensywność uszkodzeń systemu dla odstępu testu okresowego T 1 =17520 h wynosi: 666
5 1 sys 1(17520) 3,24 10 h Stąd, prawdopodobieństwo niebezpiecznego uszkodzenia systemu PFH sys na godzinę: 5 sys 1 3,24 10 6 PFH sys1 (1 DC) 1 0,9 1,62 10 2 2 WNIOSKI W tabeli 2 zestawiono wyniki obliczeń dla analizowanego systemu. Przeprowadzone obliczenia wykazały, że prawdopodobieństwo niebezpiecznego uszkodzenia PFH sys wynosi: 1,62 10-6, a zatem wg normy IEC 61508, poziom nienaruszalności bezpieczeństwa analizowanego systemu spełnia poziom SIL1. Tab. 2. Wyniki obliczeń dla analizowanego systemu Intensywność Prawdopodobieństwo uszkodzeń systemu niebezpiecznego uszkodzenia λ sys PFH sys Poziom nienaruszalności bezpieczeństwa SIL 3,24 10-5 1,62 10-6 SIL1 Na wykresach 1a i 1b przedstawiono przebieg funkcji niezawodności R sys (t) oraz dystrybuanty F sys (t) z przedziałami ufności 0,95. Wykresy 2a i 2b przedstawiają z kolei funkcję gęstości prawdopodobieństwa f sys (t) oraz intensywności uszkodzeń λ sys (t). a) b) Wykres 1. a) Funkcja niezawodności R(t) systemu; b) Funkcja dystrybuanty F(t) systemu a) b) Wykres 2. a) Funkcja gęstości prawdopodobieństwa f sys (t) systemu; b) Funkcja intensywności uszkodzeń λ(t) systemu 667
Ocena charakterystyk umożliwia analizę dynamiki ich wartości przed osiągnięciem założonego odstępu testu okresowego. Stanowi to dodatkowy element analizy narastającego zagrożenia bezpieczeństwa, szczególnie przydatny do wnioskowania o stabilności funkcji bezpieczeństwa systemu. Streszczenie W opracowaniu przedstawiono weryfikację poziomu nienaruszalności bezpieczeństwa (SIL) zintegrowanego systemu kontroli zagrożenia pożarowego i wybuchowego dla jednego z zakładów branży chemicznej w Polsce. Analiza, poprzedzona przeglądem dotychczasowych opracowań w zakresie bezpieczeństwa funkcjonalnego w rozległych systemach technicznych, została przeprowadzona zgodnie z wymaganiami normy IEC 61508, powszechnie uznanej w dziedzinie bezpieczeństwa programowalnych urządzeń automatyki. Safety Integrity Level Verification for Technical Systems Abstract This paper presents a verification of Safety Integrity Level (SIL) for controlling fire and explosive hazards integrated system located in one of the plants in chemical industry in Poland. The analysis, conducted in accordance with IEC 61508 standard, were preceded by reviewing of existing studies in field of functional safety in programmable automation systems. BIBLIOGRAFIA 1. Ann Lundeigen M., Rausand M., Bouwer Utne I., Integrating RAMS engineering and management with the safety life cycle of IEC 61508. Reliability Engineering and System Safety 2007 (92). 2. Beugin J., Renaux L., Cauffriez L., A SIL quantification approach based on an operating situation model for safety evaluation in complex guided transportation systems. Reliability Engineering and System Safety 2007 (92). 3. Calixto E., Gas and Oil Reliability Engineering. Modeling and Analysis. Gulf Professional Publishing, Oxford 2013. 4. Guo H., Yang X., A simple reliability block diagram method for safety integrity verification. Reliability Engineering and System Safety 2007 (92). 5. IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems. 6. IEC 61511 Functional safety - Safety instrumented systems for the process industry. 7. Kaczor G., Reliability of chosen friction pairs of piston ring cylinder sleeve. Technical Transactions 2012 (9-M). 8. Kaczor G., Szkoda M., Analiza przyczyn i skutków uszkodzeń (FMEA) w zastosowaniu do pojazdów szynowych. Pojazdy Szynowe 2/2014. 9. Khalii M., Abdou M. A., Mansour M. S., Farag H. A., Ossman M. E., A cascaded fuzzy-lopa risk assessment model applied in natural gas industry. Journal of Loss Prevention in the Process Industries 2012 (25). 10. Knegtering B., Brombacher A. C., Application of micro Markov models for quantitative safety assessment to determine safety integrity levels as defined by the IEC 61508 standard for functional safety. Reliability Engineering and System Safety 1999 (66). 11. Kosmowski K. T., Functional safety concept for hazardous systems and new challenges. Journal of Loss Prevention in the Process Industries 2006 (19). 12. Manzini R., Regattieri A., Pham H., Ferrari E., Maintenance for Industrial Systems. Springer- Verlag Gmbh, 2010. 13. Misumi Y., Sato Y., Estimation of average hazardous-event-frequency for allocation of safety integrity levels. Reliability Engineering and System Safety 2007 (92). 14. Młynarski S., Oprzędkiewicz J., System solutions for safety and reliability assurance of technical objects. Problemy Eksploatacji. Maintenance Problems 2012 (3). 668
15. Młynarski S., Pałka E., Symulacyjna metoda analizy bezpieczeństwa szynowego. Pojazdy Szynowe 2/2011. 16. O Conor Patrick D. T., Newtor D., Bromley R., Practical Reliability Engineering. Wiley-IEEE, 2000. 17. Rouvroye J. L., Wiegerinck J. A. M., Minimizing costs while meeting safety requirements: Modeling deterministic (imperfect) staggered tests using standard Markov models for SIL calculations. ISA Transactions 2006 (45). 18. Schönbeck M., Rausand M., Rouvroye J., Human and organizational factors in the operational phase of instrumented systems: A new approach. Safety Science 2010 (48). 19. Smith D. J., Reliability, Maintainability and Risk. Butterworth-Heinemann 2000. 20. Smith J.D., Kenneth G., Simpson K.G.L., Safety Critical Systems Handbook. Straightforward Guide to Functional Safety, IEC 61508 (2010 Edition) and Related Standards. Elsevier, Oxford 2011. 21. Szkoda M., Assessment of reliability, availability and maintainability of rail gauge change systems. Eksploatacja i Niezawodnosc Maintenance and Reliability 2014; 16 (3): 422 432. 22. Szkoda M., Wskaźniki niezawodności środków transportu szynowego. Logistyka 3/2012. 669