Systemy bezpieczeństwa funkcjonalnego aplikacji przemysłowych - dobór i weryfikacja

Systemy bezpieczeństwa funkcjonalnego aplikacji przemysłowych - dobór i weryfikacja
Fot. Adobe Stock. Data dodania: 20 września 2022

Skuteczność systemów bezpieczeństwa funkcjonalnego w procesach przemysłowych jest uzależniona od wielu czynników, w szczególności od technologii zastosowanych w urządzeniach i maszynach procesowych oraz tego, ile lat ma instalacja procesowa. Jak ocenić jakość i poziom bezpieczeństwa? Od czego zacząć?

Niekiedy zdarza się, że przedsiębiorstwo zakupi istniejący już wcześniej zakład z całą zainstalowaną w nim linią procesową. Jak wówczas dokonać oceny zastosowanych w nim elementów sterowania i bezpieczeństwa? Czy są one w stanie zapewnić wymagany poziom bezpieczeństwa i niezawodności procesu? Czy spełniają obowiązujące standardy? Czy pojawiają się tam elementy ryzyka, niedopuszczalne w aktualnie obowiązujących przepisach? To pytania ważne i intrygujące, jednak przy zastosowaniu pewnych metod można znaleźć na nie odpowiedzi, dzięki którym możliwe jest nie tylko usprawnienie funkcji bezpieczeństwa, ale również ograniczenie kosztów związanych z ich implementacją w procesie przemysłowym.

Standardy bezpieczeństwa funkcjonalnego biorą swój początek od zapisów zadań inżynierskich mających na celu projektowanie, analizę i zarządzanie bezpieczeństwem systemowym, zawartych w standardzie ISA 84.01 z roku 1996. Tam po raz pierwszy również pojawia się pojęcie bezpieczeństwa w całym cyklu życia systemów (ang. SLC). Z kolei najnowsze zapisy w tej dziedzinie zawarte są w standardzie światowym IEC 61511:2003 (znanym też jako: ISA 84.00.01-2004). Podstawowe kierunki tych działań to:
  • gruntowne analizy ryzyka przyczyniające się do redukcji wymagań w stosunku do systemów bezpieczeństwa,

  • osiągi i funkcjonalności systemu zależne od oceny i weryfikacji projektowej,

  • dobra organizacja zarządzania procesem, powiązana z zarządzaniem bezpieczeństwem.
Takie podejście, oparte na analizie funkcjonalnej nie dostarcza szczegółowych wytycznych i zaleceń projektowych dla systemów bezpieczeństwa, jednak w zamian pozwala na ustalenie, jaki poziom bezpieczeństwa jest niezbędny w danej aplikacji procesowej i jaki poziom może być osiągnięty po zrealizowaniu określonych zadań projektowych. Tak właśnie powinno wyglądać współczesne, nowoczesne podejście do kwestii oceny poziomu bezpieczeństwa funkcjonalnego w procesach przemysłowych. Cykl życia przemysłowych systemów bezpieczeństwa SLC składa się z trzech podstawowych faz: analizy ryzyka, realizacji systemu i funkcjonalności oraz zarządzania.

W pierwszej z nich - analizie ryzyka, pokazanej na rysunku 1, ustalane są wymagania w zakresie niezbędnego sprzętu i modułów dla systemu bezpieczeństwa. Użytkownik/operator poddaje analizie jedną lub wiele jednostek procesowych, analizując generowane przez nie potencjalne zagrożenia bezpieczeństwa, zwane zagrożeniem. Następnie dla każdego takiego zagrożenia ustala się możliwe skutki jego wystąpienia (jak może być ono niebezpieczne) i prawdopodobieństwo jego wystąpienia (jak często może się pojawiać), poddając je znów gruntownym analizom. Tak powstała kombinacja skutków i prawdopodobieństwa wystąpienia zagrożenia składa się na ocenę ryzyka i tym samym poziomu bezpieczeństwa. Ta część procesu, nazywana analizą zagrożeń procesowych, jest już powszechnie stosowaną od kilkudziesięciu nawet lat praktyką w zakładach przemysłowych. Najpopularniejszą techniką prowadzenia wspomnianych analiz jest HAZOP (ang. Hazard and Operation). Dzięki jej zastosowaniu możliwe jest szybkie i kompleksowe ustalenie występujących w procesie zagrożeń oraz poziomów ryzyka ich wystąpienia oraz porównanie tych wyników z wartościami dopuszczalnymi dla danej aplikacji przez użytkownika lub służby serwisowe. W ten sposób uzyskuje się współczynnik redukcji ryzyka zagrożeń, obliczany jako stosunek rzeczywistego poziomu ryzyka, do poziomu dopuszczalnego. Jeżeli po jego analizie ryzyko wystąpienia zagrożeń mieści się w dopuszczalnych granicach, nie ma konieczności stosowania dodatkowych elementów bezpieczeństwa w aplikacji i specjalnie dedykowanych modułów bezpieczeństwa funkcjonalnego systemów automatyki z grupy urządzeń SIF (ang. Safety Instrumented Function). Wyniki wspomnianych wcześniej analiz wskazują, gdzie i kiedy tego typu sprzęt musi być zastosowany lub nie. Ustalenia takie i wskazówki zawarte są w raporcie dotyczącym bezpieczeństwa i ryzyka zagrożeń w aplikacji, zwanym SRS (ang. Safety Requirement Specification).

Kolejna faza cyklu SLC, jak pokazano na rysunku 2, możliwa jest do realizacji po dokładnym wyspecyfikowaniu konieczności stosowania lub niestosowania dedykowanych modułów bezpieczeństwa funkcjonalnego SIF. Dobór takich modułów jest przedmiotem koncepcyjnych projektów systemów sterowania i monitoringu dla danej aplikacji przemysłowej, gdzie ustala się elementy w których konieczne będzie zastosowanie redundancji, wprowadza się i testuje dopuszczalne interwały czasowe ewentualnych opóźnień zadziałania zabezpieczeń itp. Na zakończenie przeprowadza się procedury weryfikacji przyjętych założeń projektowych, poprzez obliczenia i symulację proponowanych rozwiązań technicznych i nastaw parametrów pracy modułów sterowania, monitoringu i bezpieczeństwa. Jeżeli przyjęta w danym projekcie koncepcja nie zapełnia wymogów aplikacji i użytkownika, wprowadza się korekty i usprawnienia dotąd, aż założenia i wymogi będą spełnione w dopuszczalnych granicach tolerancji. Jeżeli osiągnięcie zakładanych parametrów bezpieczeństwa funkcjonalnego możliwe jest na klika sposobów, wybierana jest ścieżka optymalna. Procedura taka powtarzana jest dla wszystkich elementów systemu bezpieczeństwa funkcjonalnego SIF. Po zaakceptowaniu wszystkich koncepcji technicznych, tworzony jest kompleksowy projekt ostateczny, wraz z dokumentacją. Wówczas przeprowadza się też kompleksowe testy poprawności funkcjonowania całego planowanego systemu.

Instalacja i komisjonowanie urządzeń systemowych przeprowadzane jest na początku trzeciej fazy cyklu życia systemów bezpieczeństwa, jak to pokazano na rysunku 3. Po przeprowadzeniu wszystkich testów komisjonowania realizowany jest z kolei audyt poddający weryfikacji kompletność dokumentacji oraz zgodności realizacji projektów wszystkich elementów SIF, testów i samej procedury komisjonowania zgodnie z pierwotnymi założeniami. W czasie takiej walidacji systemów bezpieczeństwa wykonywane są i sprawdzane wszystkie procedury zarządzania systemem i jego modułami. Elementem walidacji powinno być również bezpieczeństwo cyfrowe systemów, ze względu na coraz częściej pojawiające się współcześnie zagrożenia systemów sterowania i bezpieczeństwa funkcjonalnego związane ze zdalnym dostępem do sieci automatyki i sterowania poprzez sieci LAN i Internet. Gdy wreszcie system bezpieczeństwa jest sprawdzony i gotowy, można uruchomić proces przemysłowy. W początkowej fazie, po uruchomieniu procesu, należy jeszcze raz zweryfikować poprawność funkcjonowania wszystkich elementów sterowania i bezpieczeństwa funkcjonalnego, z uwzględnieniem nastaw i harmonogramów ustalonych przy analizie i szacowaniu ryzyka dla elementów systemu bezpieczeństwa funkcjonalnego SIF. Wyniki tych testów powinny być przechowywane tak, by w trakcie dalszej pracy procesu i związanego z nim systemu bezpieczeństwa możliwe było wprowadzanie korekt, weryfikacja poprawności działania procedur bezpieczeństwa, w odniesieniu do nastaw początkowych, przy uruchamianiu procesu.

Zastosowanie procedur SLC dla już działających procesów

Przedstawione procedury bezpieczeństwa funkcjonalnego dla całego cyklu życia systemów obsługujących procesy przemysłowe najczęściej nie mogą być bezpośrednio zastosowane w przypadku wprowadzania tego typu bezpieczeństwa do procesów już istniejących i funkcjonujących. Zalecenia standardów IEC opracowano bowiem głównie z myślą o implementacji bezpieczeństwa funkcjonalnego w nowych, tworzonych od podstaw procesach przemysłowych. Jednakże ogólne zasady i podstawowe założenia organizacji systemów bezpieczeństwa mogą być zaimplementowane również w tego typu aplikacjach.

Szacowanie zagrożeń i ryzyka dla procesów funkcjonujących zaczyna się podobnie jak poprzednio, od etapu pierwszego - analiz. Większość zakładów przemysłowych na świecie ma zwykle już przeprowadzone analizy ryzyka w oparciu o wspomnianą wcześniej technikę HAZOP, wymaganą przez przepisy i standardy w wielu krajach. Jeżeli okazuje się jednak, że tego typu analizy nie były przeprowadzone lub nie można dotrzeć do ich wyników, pierwszym i niezbędnym krokiem jest ich poprawne przeprowadzenie. Jeżeli wyniki są dostępne, konieczna jest ich weryfikacja ze stanem aktualnym i sprawdzenie, czy przystają one do obecnego stanu modułów sterowania i bezpieczeństwa procesowego. Na tym etapie konieczne jest ustalenie kryteriów i obszarów tolerancji zmian parametrów procesowych nie powodujących jeszcze zagrożenia bezpieczeństwa funkcjonalnego. W wielu przypadkach ustalenie tych kryteriów może być ułatwione na podstawie założeń przyjętych wcześniej dla modułów bezpieczeństwa SIL, zainstalowanych na liniach produkcyjnych. Na bazie parametrów i szacunkowego ryzyka zagrożeń dla tychże modułów z określonymi poziomami SIL możliwe jest określenie istniejącego już w procesie bezpieczeństwa funkcjonalnego SIF. Ustalony w ten sposób poziom bezpieczeństwa SIF powinien być porównany z szacowanym poziomem SIF na podstawie przyjętych kryteriów i szacowanego ryzyka zagrożeń dla całego procesu, w oparciu o standardy IEC. W wielu przypadkach po takim porównaniu i analizach, okazuje się, że w danym procesie wiele niezbędnych modułów bezpieczeństwa już znajduje się w odpowiednich miejscach i spełnia funkcje ochronne. Moduły takie mogą pozostać na swoich miejscach i dalej funkcjonować, chyba że dla danego miejsca w procesie wzrastają wymogi bezpieczeństwa, wówczas moduły muszą być wymienione tak, aby dla całego procesu uzyskać właściwy poziom SIF, zaktualizowany do nowych wymogów i obostrzeń wynikających ze współczesnych standardów bezpieczeństwa funkcjonalnego procesów.

W fazie drugiej cyklu życia systemów bezpieczeństwa należy ustalić i oszacować listę zainstalowanych urządzeń zgodnych z wymogami SIF, w odniesieniu do najnowszych kryteriów związanych z ryzykiem wystąpienia zagrożeń w procesie. Podobna analiza funkcjonalności i poziomu bezpieczeństwa powinna być wykonana dla nowego projektu systemu bezpieczeństwa, z uwzględnieniem wykorzystania modułów już obecnych w systemie. W rezultacie możliwe są trzy rodzaje wyników:
1. System SIF nie spełnia kryteriów bezpieczeństwa;
2. System SIF spełnia kryteria bezpieczeństwa;
3. System SIF przewyższa kryteria bezpieczeństwa.

Wynik 1 - System SIF nie spełniający wymogów bezpieczeństwa musi być zmodernizowany. W pierwszej kolejności należy wprowadzić częstsze i zróżnicowane metody testowania niezawodności modułów bezpieczeństwa, w celu ustalenia najsłabszych ogniw systemu. Dopiero wówczas, na podstawie wyników tych testów, podejmuje się decyzje o wymianie określonych modułów SIF w celu zaktualizowania systemu bezpieczeństwa funkcjonalnego oraz spełnienia przyjętych kryteriów bezpieczeństwa. Każdy z modułów systemowych SIF musi mieć odpowiednie certyfikaty i powinien być wprowadzony do dokumentacji technicznej.

Wynik 2 - Jeżeli system SIF spełnia wymogi bezpieczeństwa, konieczne jest jedynie jego udokumentowanie i certyfikacja. Dla wszystkich modułów konieczne są certyfikaty, które muszą być wprowadzone do dokumentacji. Dla modułów bez certyfikatów należy przeprowadzić testy i analizy, a ich wyniki wprowadzić do dokumentacji.

Wynik 3 - Dla systemów SIF, których parametry przewyższają wymogi bezpieczeństwa stawiane dla danego procesu, możliwe jest wprowadzenie zmian w harmonogramach testów weryfikacyjnych i ograniczenie częstotliwości ich przeprowadzania. Wydłużenie okresów pomiędzy procedurami testowymi przyczynia się do ograniczenia kosztów utrzymania i serwisu systemów bezpieczeństwa. Jak wynika z przeprowadzonych już kilka lat temu badań systemów bezpieczeństwa funkcjonalnego w wielu zakładach przemysłowych, w większości z nich systemy SIF były przewymiarowane i z zapasem spełniały wymogi bezpieczeństwa. Wskazuje to na znaczny potencjał w zakresie możliwych ograniczeń procedur testowych i utrzymania tych systemów, przy zachowaniu odpowiedniego poziomu bezpieczeństwa procesów.

W fazie trzeciej cyklu życia systemów bezpieczeństwa - zarządzaniu i serwisowaniu - działania przebiegają podobnie jak w omawianej wcześniej fazie trzeciej dla procesów nowo tworzonych. Różnice mogą dotyczyć lepszych procedur testowych i zróżnicowanych okresów przerw między ich przeprowadzaniem. Wiele zakładów które nie mają zainstalowanych odpowiednich systemów zabezpieczeń przed awariami i uszkodzeniem urządzeń procesowych, przeprowadza częstsze testy, pozwalające im na ustalenie obszarów wymagających usprawnienia w pierwszej kolejności. W tego typu testach najczęściej wykrywane są błędne połączenia, powiązania funkcjonalne oraz nieprawidłowo dobrane procedury zarządzania, wymagające usprawnień.

Wskazówki i harmonogramy działań ustalone w standardach bezpieczeństwa funkcjonalnego procesów przemysłowych, bazujące na kolejnych fazach cyklu życia systemów bezpieczeństwa, tworzą doskonałą strategię pozwalającą na ocenę i szacowanie poziomów bezpieczeństwa w istniejących systemach. Trzeba jednak mieć świadomość, że rzetelne przeprowadzenie wielokryterialnych analiz i szacunków, wymaga sporego nakładu pracy i dokładności. Może być on jednak skutecznie zredukowany dzięki wykorzystaniu odpowiednich, zautomatyzowanych narzędzi inżynierskich. Wielu dostawców systemów bezpieczeństwa oferuje narzędzia pozwalające na przeprowadzenie wszystkich faz ich cyklu życia. Większość z nich może być wdrożona do cyklu w trakcie przeprowadzania analiz HAZOP lub tuż po nich, wykorzystując ich wyniki. Na ich podstawie elementy systemowe SIF są automatycznie identyfikowane, wraz z oceną ich skuteczności, praktycznie bez udziału operatorów czy specjalistów. Dobre narzędzie ewaluacyjne, bazujące na zapisach standardu IEC 61511, pozwala na sprawne przeprowadzenie wszystkich procedur niezbędnych do wdrożenia, zarządzania i serwisowania elementów bezpieczeństwa funkcjonalnego procesów przemysłowych. Istotnym elementem jest również kompletna i przejrzysta dokumentacja, tworząc podwaliny pod sprawny serwis i ewentualne możliwości rozbudowy, usprawnień systemu w przyszłości. Ponadto jest ona doskonałym narzędziem obrony w przypadku kontroli prowadzonych nawet przez najbardziej wymagające instytucje.
×

DALSZA CZĘŚĆ ARTYKUŁU JEST DOSTĘPNA DLA SUBSKRYBENTÓW STREFY PREMIUM PORTALU WNP.PL

lub poznaj nasze plany abonamentowe i wybierz odpowiedni dla siebie. Nie masz konta? Kliknij i załóż konto!

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu

Podaj poprawny adres e-mail
W związku z bezpłatną subskrypcją zgadzam się na otrzymywanie na podany adres email informacji handlowych.
Informujemy, że dane przekazane w związku z zamówieniem newslettera będą przetwarzane zgodnie z Polityką Prywatności PTWP Online Sp. z o.o.

Usługa zostanie uruchomiania po kliknięciu w link aktywacyjny przesłany na podany adres email.

W każdej chwili możesz zrezygnować z otrzymywania newslettera i innych informacji.
Musisz zaznaczyć wymaganą zgodę

KOMENTARZE (0)

Do artykułu: Systemy bezpieczeństwa funkcjonalnego aplikacji przemysłowych - dobór i weryfikacja

NEWSLETTER

Zamów newsletter z najciekawszymi i najlepszymi tekstami portalu.

Polityka prywatności portali Grupy PTWP

Logowanie

Dla subskrybentów naszych usług (Strefa Premium, newslettery) oraz uczestników konferencji ogranizowanych przez Grupę PTWP

Nie pamiętasz hasła?

Nie masz jeszcze konta? Kliknij i zarejestruj się teraz!