Blokady Systemy zabezpieczające

Promocja
Pomiary Automatyka Robotyka 3/2004
Wstęp do bezpieczeństwa funkcjonalnego
Blokady
Systemy zabezpieczające
wg IEC 61508 i IEC 61511
R
osnące potrzeby skuteczniejszego zabezpieczenia życia i zdrowia oraz świadomość znaczenia
ochrony środowiska zaowocowały w ostatnich
latach opracowaniem norm IEC 61508 i IEC 61511.
Normy te w sposób całościowy obejmują aspekty bezpieczeństwa w przemyśle przetwórczym i procesowym, dając szereg wskazówek co do identyfikacji zagrożeń* i ryzyka**, określenia dopuszczalnych ich
poziomów oraz praktycznej realizacji systemów zabezpieczających — redukujących ryzyko.
Artykuł ten ogranicza się do ostatniego aspektu normy, przedstawiając skrótowy katalog uwarunkowań
i rozwiązań systemów zabezpieczających instalacje
wytwórcze.
Każde zidentyfikowane zagrożenie i ryzyko jakie
stwarza instalacja przetwórcza/procesowa w związku
z występowaniem wysokich ciśnień, wysokiej temperatury, toksycznych lub wybuchowych substancji należy zredukować, stosując przypisane mu funkcje zabezpieczające. Konieczny stopień redukcji ryzyka do jego
akceptowanej wartości zależy od poziomu rozwoju
społecznego i panującego systemu prawnego. Funkcje zabezpieczające są realizowane zazwyczaj przez
pętle blokad, złożone z sensorów, sterownika (jeden
sterownik może realizować wiele funkcji zabezpieczających) i elementów wykonawczych.
Zadaniem funkcji zabezpieczającej jest doprowadzenie procesu do stanu bezpiecznego, zazwyczaj poprzez jego zatrzymanie-zablokowanie. Podkreślenie
znaczenia parametrów niezawodnościowych wszystkich elementów pętli (statystyki pokazują wyższy poziom zawodności czujników, a zwłaszcza elementów
wykonawczych, niż sterowników ESD) jako całości realizującej funkcję zabezpieczającą jest jednym z istotnych założeń omawianych norm.
Podstawowym parametrem funkcji zabezpieczającej jest jej poziom (spośród czterech) nienaruszalno-
ści bezpieczeństwa SIL (Safety Integrity Level) przekładający się jednoznacznie na wartość redukcji ryzyka realizowaną przez tę funkcję (wartość redukcji ryzyka
jest odwrotnością SIL).
SIL jest definiowany jako średnie prawdopodobieństwo niezadziałania funkcji zabezpieczającej w danym
przedziale czasu (rok przy pracy na żądanie i godzina
przy pracy ciągłej). Głównym zadaniem projektanta
przy konstruowaniu funkcji zabezpieczającej jest taki
dobór elementów i architektury pętli blokady realizującej tę funkcję, by wypadkowe prawdopodobieństwo
uszkodzeń tych elementów powodujących utratę funkcji zabezpieczającej mieściło się liczbowo w założonym
przedziale poziomu SIL.
Ograniczając się do konstrukcji funkcji zabezpieczającej — pętli blokady przy pracy na żądanie (praca na
żądanie oznacza, że funkcja zabezpieczająca powinna
zadziałać tylko w przypadku awarii systemu sterowania procesem, co z założenia zdarza się raz do roku)
można wymienić następujące czynniki wpływające na
poziom SIL pętli blokad:
średnia częstość występowania uszkodzeń niebezpiecznych elementów pętli powodujących utratę jej
funkcji zabezpieczających;
odsetek uszkodzeń niebezpiecznych elementów
w odniesieniu do ogólnej liczby ich uszkodzeń;
architektura połączeń elementów pętli, a zwłaszcza
redundancja ich funkcji;
stopień i zakres diagnostyki uszkodzeń elementów
pętli blokad;
częstość testów funkcjonalnych elementów pętli
blokad;
stopień podatności uszkodzeń elementów blokad
na wspólny czynnik np. temperaturę;
szybkość — okres wymiany uszkodzonych elementów
pętli blokad.
* zagrożenie – potencjalne źródło możliwej szkody
** ryzyko – prawdopodobieństwo wystąpienia szkody i ciężkości tej szkody
37
Pomiary Automatyka Robotyka 3/2004
Wzajemne relacje wymienionych czynników w sposób czasami skomplikowany określają poziom SIL oferowany przez funkcję zabezpieczającą skonstruowaną przy użyciu określonych elementów. Biorąc jeszcze
pod uwagę iteracyjny sposób dochodzenia do wymaganej wartości SIL, opracowano szereg programów
wspomagających obliczanie tego parametru.
W programach tych jako dane wejściowe są używane parametry niezawodnościowe określone przez
producentów elementów blokad (podawany przez
producentów parametr SIL dla elementów blokad
oznacza tylko, że dany element może być stosowany
do konstrukcji funkcji zabezpieczającej o poziomie SIL
nie wyższym od podanego) oraz inne uwarunkowania dotyczące określonej instalacji.
Innym istotnym parametrem systemów zabezpieczających (system ten można zdefiniować jako szereg pętli blokad wykorzystujących jeden sterownik typu ESD), także obliczanym przez programy
wspomagające projektowanie, jest stopień ich dostępności, definiowany jako przedział czasu pomiędzy nieuzasadnionymi względami bezpieczeństwa
wyłączeniami instalacji (wyłączenia te powstają na
skutek uszkodzeń elementów pętli systemu zabezpieczającego).
Dostępność systemu ma decydujące znaczenie ekonomiczne w przemyśle procesowym, gdzie wyłączenie instalacji powoduje znaczne straty w postaci utraty produkcji, ale także kosztów ponownego rozruchu
instalacji.
Wysoki poziom dostępności systemów zabezpieczających osiąga się poprzez redundowanie i zaawansowaną diagnostykę elementów blokad na poziomie
sterownika (karty WE/WY czy jednostki CPU) oraz
czujników i elementów wykonawczych.
Omawiane aspekty projektowania funkcji zabezpieczających — pętli blokad — systemów zabezpie-
AUTOMATICON
stoisko D27
czających znajdują pełną ilustrację w programie produkcyjnym firmy HIMA.
HIMA oferuje obecnie sterowniki ESD serii Hxxq
dla przemysłu procesowego oraz serię sterowników
dla przemysłu wytwórczego Matrix, obie oparte na architekturze HI-Quad.
Rys. 1. Schemat blokowy sterownika Hxxq w architekturze
Hi−Quad o najwyższej dostępności−HRS
Dodatkowo Hima opracowała protokół komunikacyjny Safe-Ethernet oraz narzędzie do określania SIL
pętli blokad o nazwie SILence.
Seria sterowników Hxxq oferuje poziom integralności bezpieczeństwa SIL 3 oraz trzy stopnie dostępności, w celu optymalizacji nakładów inwestycyjnych
w stosunku do potrzeb instalacji. Sercem tych sterowników jest jednostka centralna złożona z dwóch
synchronicznie pracujących i wzajemnie testujących
się procesorów ze specjalnym, niezależnym układem
watchdog w architekturze Hi-Quad.
Wersja sterownika o najwyższej dostępności — HRS
(rys. 1) zakłada redundancję wszystkich płyt WE/WY
Rys. 2. Integracja sterowników serii Hxxq na platformie OPC przy użyciu protokołu Safe−Ethernet
Promocja
oraz płyty CPU i reprezentuje sobą dwa synchronicznie pracujące, wzajemne testujące się, niezależne sterowniki. Taka konstrukcja zapewnia nieprzerwaną
pracę instalacji przy uszkodzeniu dowolnego modułu sterownika bez restrykcji na czas jego wymiany
z zapewnieniem pełnego bezpieczeństwa instalacji
na niezredukowanym poziomie SIL 3.
Sterowniki Matrix także oferują poziom zabezpieczenia SIL 3, lecz tylko standardowy stopień dostępności, z uwagi na przeznaczenie do pracy w przemyśle wytwórczym. Czas reakcji sterowników Matrix
został zredukowany do 20 ms, co w istotny sposób
podnosi wydajność linii produkcyjnych z zachowaniem wysokich wymagań bezpieczeństwa obsługi.
Opracowany przez Himę „Safe Ethernet“ jest protokołem komunikacyjnym o poziomie bezpieczeństwa
SIL 3 z wykorzystaniem dowolnego medium transmisyjnego, także łączności satelitarnej. Oferowany poziom bezpieczeństwa należy rozumieć jako poziom
bezpieczeństwa — wiarygodności otrzymanego komunikatu – lecz niegwarantujący braku zakłóceń lub
przerw w transmisji. Sterowniki Hima mogą być zintegrowane na platformie OPC, wykorzystując standardowe oprogramowanie HMI (rys. 2).
Oprogramowanie wspomagające SILence pozwala na obliczenie wartości poziomu nienaruszalności
bezpieczeństwa SIL dla dowolnych architektur pętli
blokad i dysponuje bogatą biblioteką danych dotyczących bezpieczeństwa elementów blokad. Jest to
Pomiary Automatyka Robotyka 3/2004
obecnie jedyne tego typu oprogramowanie ma aprobatę TÜV.
Uzupełnieniem w zakresie elementów blokad,
w ofercie firmy POLYCO, jest seria iskrobezpiecznych separatorów firmy MTL o poziomie bezpieczeństwa od SIL1 do SIL 3 oraz przetworniki temperatury firmy Moore Ind.
Dla upowszechniania i wymiany informacji związanej omawianymi normami działa w Europie komitet SIPI (Safety in Process Industry) a w Polsce powstało regionalne stowarzyszenie — Komitet
Bezpieczeństwa Funkcjonalnego (KBF) z siedzibą
w Gdańsku.
Biliografia
1. Aplication Note AN9205 „An Introduction to Functional Safety”
2. Josef Borcsok „Safety Consideration-HIMA white
papers”
3. Marek Jeziorowski „ Wprowadzenie do normy IEC
61508”
Marek Jeziorowski
uczestnik prac Komitetu
Bezpieczeństwa Funkcjonalnego