Systemy gazometryczne – funkcjonalność i bezpieczeństwo

Transkrypt

Trzcionka St. Systemy gazowmetryczne – funkcjonalność i bezpieczeństwo funkcjonalne.
Bezpieczeństwo przeciwwybuchowe – wybrane zagadnienia. Praca zbiorowa. Główny Instytut Górnictwa, Katowice 2013, (s. 96 - 107)
Stanisław Trzcionka
Systemy gazometryczne – funkcjonalność i bezpieczeństwo funkcjonalne
Gas measuring systems – functionality and functional safety
Streszczenie.
Artykuł omawia systemy eksplozymetryczne pod kątem korzyści jakie wnosi ta aparatura w proces aktywnego zwalczania zagrożenia wybuchem gazów i par cieczy palnych. Zawiera również informacje o wymaganiach stawianych
systemom w procesie badania typu WE. Omawia także kwestie niezawodności systemów inspirowane europejską polityką normalizacyjną, kładącą silny nacisk na niezawodność urządzeń elektronicznych – szczególnie tych, które pracują pod kontrolą oprogramowania – służących zapewnieniu bezpieczeństwa
Abstract.
The article subjects explosimetric systems in the light of benefits this apparatus brings into the process of active fight
of gases and flammable vapours explosion hazard. It contains information about requirements set for systems in the
process of WE type examination. The article also subjects the matter of systems' reliability inspired
by European normalization policy, that puts special attention on safety related electronic devices' reliability - especially those, which work under software control.
————————————
Pomimo wielu prób ujednolicenia metodyki oceny ryzyka
1. WPROWADZENIE
wybuchu pozostaje szereg wątpliwości. Szczególnie w
Dyrektywa 1999/92/EC [1] (ATEX USER) określa mimiejscach, w których kryteria jakościowe należy wyrazić
nimalne wymagania, które powinien spełnić pracodawca,
liczbowo. Na przykład, o ile zmniejszy się ryzyko wybuw którego zakładzie może wystąpić atmosfera wybuchochu po wprowadzeniu ciągłego monitorowania stanowisk
wa. Jej celem jest ujednolicenie poziomu bezpieczeństwa
pracy za pomocą stacjonarnego systemu eksplozymeprzeciwwybuchowego we wszystkich krajach członkowtrycznego? Zwyczajowo przyjmuje się, że ryzyko zmniejskich Unii Europejskiej. Do polskiego porządku prawneszy się o rząd. Takie podejście abstrahuje od dwóch istotgo dyrektywa została wprowadzona rozporządzeniem [2].
nych kwestii:
Pracodawca jest zobowiązany do posiadania i okresowej
aktualizacji dokumentu zabezpieczenia stanowiska pracy
• roli, jaką system pełni w procedurach bezpieczeństwa
przed wybuchem. Dokument powinien zawierać:
stosowanych w danej aplikacji,
• jakości i poziomu niezawodności systemu.
• informacje o identyfikacji atmosfer wybuchowych i
ocenę ryzyka wystąpienia wybuchu,
• informacje o podjętych środkach zapobiegających
wystąpieniu zagrożeń wybuchem,
• wykaz miejsc pracy zagrożonych wybuchem wraz z
ich klasyfikacją,
• deklarację, że stanowiska i narzędzia pracy, a także
urządzenia zabezpieczające i alarmujące są zaprojektowane, używane i konserwowane z uwzględnieniem
zasad bezpieczeństwa.
Rozporządzenie nie określa formularza dokumentu zabezpieczenia przed wybuchem ani nie precyzuje metodyki
jego opracowania. Wynika to z dużej różnorodności stanowisk na których może wystąpić zagrożenie wybuchem,
co utrudnia unifikację dokumentu zabezpieczenia przed
wybuchem. Trudności sprawia również właściwa ocena
danych wejściowych do procedur oceny ryzyka, a od tego
zależą ich wyniki.
Na przykład, bezpieczeństwo przeciwwybuchowe podziemnych wyrobisk kopalń metanowych jest w zdecydowanej mierze oparte na systemach metanometrycznych.
W kopalni, metan wydobywa się z odkrytej calizny węglowej, zrobów i zalegającego lub transportowanego
urobku. Dzięki systemowi metanometrii, dyspozytor może śledzić poziom zagrożenia wybuchem i informować
właściwe służby kopalni o konieczności podjęcia działań
prewencyjnych, np. intensyfikacji przewietrzania zagrożonych wyrobisk, aby utrzymać stężenie metanu na akceptowalnym poziome, a gdy staje się to niemożliwe, system
zapewnia wyłączenie potencjalnych inicjałów wybuchu,
pochodzących od urządzeń elektrycznych.
Jakość i poziom niezawodności systemu zależy od producenta, ale również od użytkownika. Nawet najlepsze systemy źle zainstalowane, eksploatowane lub konserwowane
tracą swoje zdolności do spełniania funkcji związanych z
bezpieczeństwem.
Sympozjum naukowo-techniczne
„Bezpieczeństwo techniczne w przestrzeniach zagrożonych wybuchem.” EpsilonX 2013
Główny Instytut Górnictwa, Katowice
Artykuł został opracowany w ramach Programu Wieloletniego V.B.16, koordynowanego przez Centralny Instytut Ochrony Pracy pt.: „Opracowanie metody przypisania poziomu nienaruszalności bezpieczeństwa SIL dla typowych, związanych z bezpieczeństwem elektrycznych
systemów sterowania maszynami i urządzeniami w górnictwie węgla kamiennego”.
2
CHARAKTERYSTYKA SYSTEMÓW
PLOZYMETRYCZNYCH
EKS-
Stosowanie systemów eksplozymetrycznych do zabezpieczania przestrzeni zagrożonych wybuchem umożliwia
podniesienie bezpieczeństwa realizowanych tam procesów
technologicznych. System eksplozymetryczny zapewnia:
• wykrywanie obecności lotnych substancji palnych w
powietrzu,
• monitorowanie stopnia zagrożenia wybuchem, jeżeli
jest wyskalowany w ułamku procentowym dolnej granicy wybuchowości (% DGW) substancji, której
obecność wykrywa,
• sygnalizowanie lokalne i zdalne obecności stężeń potencjalnie niebezpiecznych,
• generowanie sygnałów decyzyjnych dla urządzeń wykonawczych, będących peryferiami systemu,
• dokumentowanie historii zagrożeń.
Sterowane przez system urządzenia peryferyjne umożliwiają aktywne przeciwdziałanie zagrożeniu wybuchem
przez:
• sterowanie strumieniem wentylacji w celu obniżenia
stężeń substancji palnej w powietrzu,
• eliminację potencjalnych, elektrycznych źródeł zapłonu, gdy zostają przekroczone dopuszczalne wartości
stężeń,
• zatrzymanie procesu technologicznego, jeżeli jego
kontynuacja może grozić wybuchem.
Klasyczny system eksplozymetryczny składa się z czujników rozmieszczonych w zabezpieczanym obszarze, linii
zasilająco-transmisyjnych i jednostki centralnej (centrali).
Najistotniejszym elementem systemu są czujniki, dokonujące konwersji sygnału nieelektrycznego, jakim jest stężenie gazu, na sygnał elektryczny. Od nich w dużej mierze
zależą parametry metrologiczne systemu. Spośród kilkunastu metod konwersji, w praktyce przemysłowej, stosowane są dwie: katalityczne spalanie i absorpcja promie-
a)
niowania elektromagnetycznego w podczerwieni.
Katalityczny element czujnikowy (fot. 1a) swoją popularność zawdzięcza relatywnie niskiej cenie. Jego podstawowymi wadami są: podatność na zatrucia, brak selektywności w zbiorze gazów palnych i niezdolność do poprawnej
pracy w mieszaninach o znacznym niedoborze tlenu.
Przyjmuje się, że wyniki pomiarów są mało wiarygodne
jeżeli stężenie tlenu w mieszaninie gazowej jest niższe od
12% v/v. Szczególnie niebezpieczna jest podatność elementu czujnikowego na zatrucia, następujące w wyniku
kontaktu z niektórymi substancjami, np. silikonami,
związkami ołowiu, związkami siarki (np. SO2), halogenami czy estrami fosforowymi. Wynikiem zatrucia katalizatora jest silne obniżenie lub całkowita utrata czułości
przetwarzania. Fakt utraty zdolności wykrywania gazów
wybuchowych nie jest sygnalizowany zmianami innych
parametrów i można go wykryć jedynie, sprawdzając reakcję elementu na gaz testowy o znanym stężeniu składnika palnego. Obowiązkiem producenta urządzenia jest
zamieszczenie w instrukcji obsługi informacji o substancjach mogących zatruć katalizator czujnika.
Brak selektywności katalitycznego elementu czujnikowego
w zbiorze gazów wybuchowych, objawia się tym, że reaguje on na obecność innych gazów palnych niż gaz mierzony, zawyżając wskazania, przy czym nie jest to skorelowane z ich dolnymi granicami wybuchowości. Czyli
sygnał czujnika nie informuje o rzeczywistym zagrożeniu
pochodzącym od tych gazów. Dlatego stosowanie czujnika katalitycznego w mieszaninie gazów wybuchowych
wymaga dodatkowych zabiegów kalibracyjnych. Jeżeli
jeden ze składników mieszaniny jest zdecydowanie dominujący to czujnik jest kalibrowany na ten składnik. Jeżeli
mieszanina zawiera kilka gazów o podobnych stężeniach
lub skład mieszaniny zmienia się w czasie, to czujnik kalibruje się na gaz o najniższej DGW. Gazy niepalne, w
niskich stężeniach nie oddziaływują na czujnik katalityczny.
Absorpcyjny (IR) element czujnikowy (fot. 1b) jest ceniony za znacznie lepszą selektywność (chociaż pasma mak-
Fot. 1. Katalityczny (a) i absorpcyjny (b) element czujnikowy
b)
symalnej absorpcji węglowodorów nienasyconych leżą
bardzo blisko siebie i zachowanie pełnej selektywności
jest bardzo trudne). Czujnik IR nie ulega zatruciom. Odpowiada natomiast słabym, nieliniowym oraz podatnym
na wpływy temperatury, ciśnienia i wilgotności sygnałem,
którego obróbka wymaga bardziej rozbudowanej elektroniki. Ponadto jest droższy niż czujnik katalityczny.
Zadaniem linii zasilająco-transmisyjnych jest dostarczenie
do czujnika zasilania i transmisja sygnału pomiarowego do
jednostki centralnej. W tym elemencie systemu zachodzą
istotne zmiany. W starszych systemach stosowano kilkużyłowe kable, rozchodzące się promieniście od jednostki
centralnej do rozmieszczonych na obiekcie czujników.
Sygnał był transmitowany w standardzie prądowym (od 4
do 20 mA), napięciowym lub częstotliwościowym. W
niektórych systemach odległości czujnika od centrali dochodzą do 10 km. W nowszych rozwiązaniach stosowana
jest transmisja cyfrowa w standardzie RS 232C, RS 485
lub protokołem opracowanym przez producenta systemu.
Jeżeli istnieje możliwość lokalnego zasilania czujników,
łączy się je z centralą siecią LAN, gdzie dane są przesyłane w protokole EtherNet/IP, MODBUS, ControlINet,
BACmet, Profibus lub innym. Pojawiają się również radiowe systemy transmisji danych pomiarowych, pracujące
najczęściej w paśmie 2,4 GHz. Pozwala to, w porównaniu
z rozwiązaniami starszymi, zmniejszyć koszty systemu o
znaczący element, jakim są koszty okablowania.
Konstrukcje jednostek centralnych również zmieniają się
z czasem. Tylko w starych lub bardzo małych systemach
została zachowana zasada, że każdy tor pomiarowy ma w
centrali swój panel, na którym znajdują się elementy sygnalizacji optycznej, wyświetlacz wyniku i elementy nastaw wzmocnienia oraz zerowania. Nowsze centrale są
bardziej zblokowane, a wszystkie sygnały przesyłane są do
komputera. Zarządzanie systemem odbywa się z poziomu
oprogramowania, które jest integralną częścią systemu.
Umożliwia ono nie tylko uporządkowaną wizualizację
wyników, ale również nadawanie uprawnień poszczególnym czujnikom, np. do wyłączania energii elektrycznej,
zdalnego informowania siecią telefonii komórkowej, zestawiania czujników w grupy, czy zmiany wartości progowych. Oczywiście, działania te mogą wykonywać tylko
osoby uprawnione, po zalogowaniu się do systemu, za
pomocą hasła (każde logowanie jest przechowywane w
historii pracy systemu).
3
WYMAGANIA
STAWIANE
SYSTEMOM
EKSPLOZYMETRYCZNYM W PROCESIE
CERTYFIKACJI
Obowiązkiem producenta systemu jest wystawienie każdej
jego konfiguracji znaku zgodności CE, który jest potwierdzeniem, że spełnia ona wymagania wszystkich dyrektyw,
którym podlega. W deklaracji zgodności ma on obowiązek powołania się na odpowiednie certyfikaty niezależnych jednostek notyfikowanych w obszarze danych dyrek-
tyw. Certyfikat można uzyskać, jeżeli w trakcie badania
typu stwierdzono, że konfiguracja systemu spełnia wymagania wszystkich, dotyczących jej norm zharmonizowanych. Za kompletność deklaracji zgodności odpowiada
producent. Potencjalny nabywca powinien sprawdzić czy
producent posiada certyfikaty, które w niej wymienia.
Dyrektywa ATEX [3] stawia systemom eksplozymetrycznym wyjątkowo rozbudowany zbiór wymagań. Jest to
uzasadnione tym, że są one traktowane jako urządzenia
zabezpieczające (załącznik II dyrektywy [3]), czyli są elementami aktywnie współtworzącymi bezpieczeństwo
przeciwwybuchowe. O ile od na przykład pompy pracującej w przestrzeni zagrożonej wybuchem dyrektywa wymaga jedynie by ona sama nie byłą źródłem inicjału wybuchu, o tyle od systemu eksplozymetrycznego wymaga się
również, aby niezawodnie realizował funkcje bezpieczeństwa redukujące poziom zagrożenia wybuchem.
System eksplozymetryczny jest urządzeniem elektrycznym, więc podlega dyrektywie ATEX. Te jego części,
które są wprowadzane do przestrzeni zagrożonej wybuchem muszą mieć budowę przeciwwybuchową, czyli muszą spełniać wymagania normy PN-EN 60079-0 i norm
związanych. Jest to warunek konieczny ale – w przypadku
urządzeń zabezpieczających – niewystarczający. Są to,
przede wszystkim, czujniki i linie zasilająco-transmisyjne.
Czujniki mają najczęściej budowę iskrobezpieczną „ia” –
zgodną z normą PN-EN 60079-11 - i/lub ognioszczelną,
spełniającą wymagania PN-EN 60079-1. Jednostka centralna, z uwagi na zasilanie sieciowe, jest zazwyczaj lokalizowana poza strefą zagrożoną wybuchem. Z punktu widzenia dyrektywy ATEX 100 jest tzw. urządzeniem towarzyszącym, czyli jako całość nie ma budowy przeciwwybuchowej, ale jej obwody elektryczne, wprowadzane do
strefy (linie zasilająco-transmisyjne) są iskrobezpieczne, co
w oznakowaniu sygnalizują nawiasy klamrowe, np.
[Ex ia] IIC T6. Często proces certyfikacji prowadzony jest
oddzielnie dla czujników i jednostki centralnej. Wówczas,
przy zestawianiu danej konfiguracji systemu, wymagany
jest dodatkowy certyfikat systemowy oparty na badaniach
zgodności z wymaganiami normy PN-EN 60079-25.
Spełnienie powyższych wymagań zapewnia, że elementy
systemu, w stanach normalnej pracy i w stanach awaryjnych nie zainicjują wybuchu. I tylko tyle.
Jeżeli system ma spełniać funkcje urządzenia zabezpieczającego musi być technicznie wiarygodny. Ponieważ jego
podstawowym zadaniem jest pomiar stężeń gazów wybuchowych, należy sprawdzić jego parametry metrologiczne.
Wymagania w tym zakresie określa norma PN-EN 6007929-1 [8]. Określa ona wymagania dotyczące dokładności
pomiarów, odporności na zmiany warunków środowiskowych (temperatury, ciśnienia, wilgotności, prędkości
przepływu gazu, itp.) i innych czynników zakłócających
pomiar (strasy mechaniczne, fluktuacje zasilania, zatrucia,
zapylenie itd.). Ww. norma jest zharmonizowana z dyrektywą ATEX. Jeżeli system pełni funkcje urządzenia za-
bezpieczającego to fakt wykonania badań zgodności z jej
wymaganiami powinien być potwierdzony w certyfikacie
(pkt 9 formularza) i deklaracji CE.
Dodatkowo, urządzenia eksplozymetryczne powinny
spełniać wymagania normy PN-EN 50270 [5] dotyczącej
kompatybilności elektromagnetycznej (EMC), tak w zakresie emisji, jak i immisji promieniowania elektromagnetycznego.
4.
PROBLEMY NIEZAWODNOŚCI SYSTEMU
EKSPLOZYMETRYCZNEGO
Po przejściu, opisanego w punkcie 3, pełnego procesu
badań i certyfikacji otrzymuje się system, który nie zainicjuje wybuchu, będzie mierzył z wymaganą dokładnością
w przedziałach dopuszczalnych zmian warunków środowiskowych i w obecności akceptowalnych narażeń zewnętrznych. Pozostaje jednak pytanie, jakie jest prawdopodobieństwo, że w warunkach normalnej pracy i w mogących wystąpić stanach awaryjnych system nie wykona
powierzonej mu funkcji bezpieczeństwa? Jest to pytanie
bardzo istotne, ponieważ system ma informować lub
automatycznie reagować na pojawienie się gazu wybuchowego w taki sposób, aby nie doszło do wybuchu.
Problematyka bezpieczeństwa funkcjonalnego elektrycznych/elektronicznych/programowalnych elektronicznych
systemów (E/E/PES) związanych z bezpieczeństwem
jest przedmiotem pakietu norm PN-EN 61508 [10].
Jednym z pierwszych przypadków implementacji filozofii
norm PN-EN 61508 do konkretnej grupy urządzeń jest
norma PN-EN 50402 [6]. Dotyczy ona właśnie stacjonarnych systemów eksplozymetrycznych. Norma ta nie jest
zharmonizowana z dyrektywą ATEX 100. Nie ma do niej
również odwołań w obecnych edycjach norm metrologicznych, ponieważ została opracowana później. Jest
jednak bardzo użyteczna przy opracowywaniu dokumentu
bezpieczeństwa w sytuacji, gdy jednym z elementów zapewniającym bezpieczeństwo jest system eksplozymetryczny. Norma ta, dla określenia poziomu nienaruszalności bezpieczeństwa funkcji z nim związanych używa terminu SIL-capability (SILC).
Z definicji funkcji bezpieczeństwa wynika, że nie każda
funkcja systemu jest związana z bezpieczeństwem. Najczęściej funkcje te są związane z sygnałami wyjść wykonawczych po przekroczeniu progowych wartości stężeń.
Są to np. funkcja sterowania wentylacją w zabezpieczanym rejonie po stwierdzeniu wzrostu stężenia gazu, czy
wyłączenie energii elektrycznej dla wyeliminowania inicjałów wybuchu. Z bezpieczeństwem są również związane
funkcje wizualizacji danych pomiarowych i komunikatów
oraz archiwizacji.
Z uwagi na dużą różnorodność konfiguracji systemów
eksplozymetrycznych, norma zaleca rozbicie struktury na
moduły. Moduły są jednostkami funkcjonalnymi systemu
detekcji gazu. Realizują one zdefiniowaną część funkcjonalności wewnątrz systemu.
Oprócz SILC, dla każdego modułu należy wyznaczyć,
skorelowaną z nim, minimalną tolerancję defektu sprzętu.
Przez uszkodzenie bezpieczne rozumie się takie uszkodzenie, które nie powoduje utraty zdolności do wykonania funkcji bezpieczeństwa.
Należy również wyznaczyć dla modułu wskaźnik uszkodzeń sprzętu, korzystając z dostępnych danych statystycznych lub bibliotek producentów podzespołów.
Posiadając te dane można przejść do określenia SILC
wybranej funkcji bezpieczeństwa. W tym celu należy:
• rozważyć moduły i ich połączenia,
• zidentyfikować wszystkie moduły i połączenia, które
mają wpływ na tę funkcję i połączyć je w łańcuchy,
• określić SILC modułów, uwzględniając uszkodzenia
sprzętu i oprogramowania,
• moduły, które nie mają wpływu na funkcję bezpieczeństwa nie muszą być brane pod uwagę; to samo
należy zastosować do połączeń niemających związku z
daną funkcją bezpieczeństwa,
• szeregowe i równoległe łańcuchy powinny być sumowane w bloki,
• sumowanie łańcuchów w bloki powinno być powtarzane aż pozostanie pojedynczy blok z SILC rozważanej funkcji bezpieczeństwa systemu.
Podczas sumowania łańcuchów w bloki obowiązują następujące zasady:
• wewnątrz szeregowego łańcucha najsłabszy moduł,
tzn. moduł posiadający najniższy SILC, określa SILC
nowego elementu, który zostanie użyty do dalszych
rozważań,
• wewnątrz równoległego łańcucha, jeżeli moduły są
niezależne (tzn. uszkodzenie jednego nie wpływa na
drugi i nie mają wspólnego mechanizmu destrukcji)
określa moduł o najwyższym SILC.
Po zakończeniu tych iteracyjnych operacji dochodzi się
do wyniku, który określa SILC analizowanej funkcji bezpieczeństwa. Należy go wówczas porównać z wymaganym SIL procesu, np. określony przez numer strefy, w
której przebiega proces. Jeżeli SILC jest niższy od SIL,
należy zmienić konfigurację systemu i powtarzać wyznaczenie SILC funkcji bezpieczeństwa do skutku. Czasem
może się to wiązać z istotnymi zmianami w projekcie.
Trzcionka St. Systemy
S
gazowmetry
ryczne – funkcjonaalność i bezpieczeństwo funkcjonalne..
Bezpieczeeństwo przeciwwybbuchowe – wybranee zagadnienia. Praaca zbiorowa. Główny Instytut Górnictwa,
G
Kattowice 2013, (s. 96 - 107)
Rys. 1. Struktura funkkcjonalna kanałuu pomiarowego stężenia metanu
u w kopalni mettanowej
Po
obieżną analiizę bezpieczeeństwa funkccjonalnego kaanału
po
omiarowego stężeń gazuu wybuchow
wego dobrzee jest
prrzedstawić naa przykładzie rozbudowan
nego systemuu metonometryczneego, eksploattowanego w kopalniach m
metano
owych. Zasaady analizy obejmują
o
oczywiście rów
wnież
syystemy pracujjące w innym
m przemyśle, z tą różnicąą, pozio
om zagrożennia wybucho
owego w górrnictwie wym
musza
zaaostrzenie wyymagań dotycczących: częsttotliwości kallibracjii, szybkości reakcji system
mu i pokrycia diagnostycznnego.
Po
oziom nienarruszalności bezpieczeństw
b
wa dotyczy konkrretnej funkcji, a nie całłego systemu
u. W omawiaanym
prrzypadku anaalizowana jesst funkcja wyłączania
w
ennergii
eleektrycznej w zagrożonym
m rejonie (fu
unkcja „wyłąącz”),
po
o stwierdzeniiu przez kanaał pomiarow
wy systemu w
wartości stężeń przekkraczających poziom alarm
mowy.
Ryysunek 1 przzedstawia sttrukturę funkkcjonalną kaanału
pomiarowego ssystemu metaanometryczneego. Szczegóółowe
wyymagania dottyczące moduułów systemu, występująące w
staacjonarnych systemach ekspozymetry
e
ycznych (mettanomeetrycznych), ookreśla norm
ma PN-EN 50402
5
[6]. Pooniżej
przzedstawiono interpretację i przystosow
wanie tych w
wymagań
ń w obszarzze systemów
w stosowanyych w górnicctwie
podziemnym w celu zachow
wania pokryccia diagnostyccznego na poziomiie DC > 90%
%. Określon
no wymaganiia dla
poziomu nienarruszalności fuunkcji bezpieczeństwa SIL
LC 2.
Dyyfuzyjne pob
bieranie gazu
SILC
C 2: W odstępie czasu nieprzekraczzającym jednego
tygo
odnia należy skontrolowaćć funkcję kaażdego elemeentu
znajd
dującego się na drodze ddostępu gazu do komory pomiarrowej.
Czu
ujnik
Czujjnik składa się
s z elemenntu czujnikow
wego (sensorra) i
interrfejsu czujnik
ka:
SILC
C 2: Czujnik powinien sppełniać wymaagania mająccych
zasto
osowanie no
orm metroloogicznych [88]. Konserwaację
należży wykonywaać zgodnie z iinstrukcjami wytwórcy.
Kalibracja każdeggo kanału poomiarowego metanu
m
powin
nna
być wykonywanaa raz w tygoddniu i każdorazowo po prap
cach
h związanych
h z uszczelniaaniem zrobów
w. Należy prrzewidzzieć właściw
we proceduryy samodiagn
nostyczne (jeeżeli
zasto
osowana mettoda konwerssji stężenia na
n sygnał pom
miarowyy na to pozwala, np. w czuujnikach IR).
Tran
nsmisja sygn
nału
Tran
nsmisja sygnaałów dokonyw
wana jest pom
między nastęępującym
mi modułamii:
•
•
•
•
•
czujnik,
c
modu
uł linii,
moduł
m
linii, panel
p
komuniikacji,
panel
p
komunikacji, centralla,
oddzielne
o
kom
mputery centtral (komunikkacja systemuu),
moduł
m
wyjściia do elementtu wykonawcczego.
Eleementy o oggraniczonym czasie pracyy (np. filtry, kktóre
nsmisja sygnaału zapewniaa wymianę daanych pomięędzy
uleegają nasycanniu) należy wymieniać
w
zn
nacznie wczeeśniej Tran
wszy
ystkimi elementami systeemów. Obejm
muje ona po
ołąniżż osiągną swóój przewidyw
wany czas dziaałania. W insstrukczen
nie
pomięd
zy
czujnika
ami
system
mu
a
cent
tralą
cji należy podaćć informacje umożliwiającce użytkowniikowi
i połłączenie fizyyczne pomięddzy pozostałymi modułami
e
obliczenie czasuu pracy tych elementów.
Sympozjum
m naukowo--techniczne
„Beezpieczeństw
wo techniczzne w przesttrzeniach zagrożonych wybuchem.”
w
” EpsilonX 2013
2
Główny
G
Instyytut Górnicttwa, Katowic
ce
toru pomiarowego, jak również obsługę i monitorowanie
wymiany danych.
czeń. Matryca powinna obejmować czujniki znajdujące się
w tej samej grupie pomiarowej.
SILC 2: Środki użyte do detekcji uszkodzenia transmisji
danych powinny zawierać takie dane jak numerowanie
następcze telegramów, komunikat „time out”, identyfikację nadawcy i zabezpieczenie kodu minimalny czas odpowiedzi, w wyniku detekcji uszkodzeń, nie powinien przekraczać kilku sekund (do 4 s). Jeżeli czas ten zostanie
przekroczony to odpowiednie moduły, a jeżeli jest to
konieczne to cały system powinien wykonać funkcję wyłączenia energii w zabezpieczanym rejonie.
Wyjście centrali – indykacja wizualna (nie wchodzi
do łańcuch funkcji „wyłącz”)
Komputer centrali
•
•
•
•
przetwarza sygnały pomiarowe,
oblicza wartości mierzone,
obsługuje stany specjalne,
dokonuje oszacowania wartości sygnałów (porównanie z wartościami progowymi).
W systemach górniczych, w których akcję prewencyjną
podejmuje bezpośrednio czujnik, ww. działania wykonuje
również interfejs czujnika.
Przetwarzanie sygnału
SILC 2: W przypadku przetwarzania danych w jednostce
sterującej należy tak dobrać formaty danych i precyzję, z
jaką obliczane są wartości, aby żadne błędy wynikające
z przetwarzania nie były większe niż 0,05% v/v metanu.
Podczas przetwarzania komputer powinien kontrolować
automatycznie wybrane wejście, wyjście i, tam gdzie jest
to wskazane, wewnętrzny zakres danych oraz obsługiwać
przekroczenia zakresu.
Obliczanie wartości mierzonej
Obliczanie wartości zawiera elementy przetwarzania wartości przetwarzania sekwencji wartości mierzonych.
SILC 2 Podczas pomiarów maksymalny czas pomiędzy
kolejnymi pomiarami wartości mierzonej nie może przekraczać 4 s. Dodatkowo należy brać pod uwagę czasy
opóźnienia spowodowane przez inne moduły.
Stan specjalny
Stan specjalny musi być stanem bezpiecznym procesu
oraz systemu metanometrycznego (SRECS).
Oszacowanie wartości sygnału
Oszacowanie sygnału następuje po obliczeniu wartości
mierzonych. Podstawą oszacowania mogą być wartości
mierzone, ale również sygnały statusu i inne sygnały zewnętrzne informujące o konieczności zainicjowania funkcji „wyłącz”.
SILC 2: Po stwierdzeniu przekroczenia wartości progowej
powinna zostać wykonana akcja (ostrzeganie lub funkcja
„wyłącz”). Funkcja „wyłącz” może być wykonana również w oparciu o zdefiniowaną uprzednio matrycę wyłą-
Indykacja jest stosowana w celu wyświetlenia wartości
mierzonych, statusów i – na żądanie – innych informacji.
Indykacja odbywa się na monitorze komputera centrali i
na panelach modułów.
SILC 2: Powinna być jednoznacznie określona jednostka
wielkości mierzonej. Wszystkie pomiary poniżej lub poniżej zakresu pomiarowego powinny być wyraźnie wskazane. Powinna być możliwa identyfikacja miejsca wykonania
wyświetlanego wyniku pomiaru.
Wyjście decyzyjne
Wyjście decyzyjne (np. optoelektroniczne) zawiera element przełączający w celu transmisji sygnału do peryferii.
Dostarcza ono sygnałów alarmowych i może inicjować
akcje związane z bezpieczeństwem w zewnętrznym wyposażeniu systemu, np. wyłączenie energii elektrycznej
w zabezpieczanym rejonie.
SILC 2: Sygnały (defektów lub alarmów) należące do
pojedynczego punktu pomiarowego powinny uruchamiać
związane z nim wyjście decyzyjne.
Sygnały należące do kilku punktów pomiarowych mogą
być powiązane w jeden sygnał lub uruchamiać wyjście
decyzyjne wszystkich związanych z nimi punktów pomiarowych, które są powiązane w matrycy wyłączeń. Wyjścia
decyzyjne powinny być regularnie sprawdzane lub monitorowane w sposób ciągły.
Archiwizacja danych (nie wchodzi do łańcucha
funkcji „wyłącz”)
Archiwum danych zawiera stały lub zapisywalny magazyn
danych, wraz ze związanym z nimi czasem. Dane należy
przechowywać z redundancją na dyskach twardych komputerów centrali powierzchniowej oraz pamięci nieulotnej
czujników. Przechowywanymi danymi mogą być sygnały
pomiarowe, wartości mierzone, znaczniki czasu, alarmy,
wskazania statusów, sygnały statusów i parametry odebrane przez wewnętrzną transmisję sygnału.
SILC 2: Źródło (np. punkt pomiarowy), typ sygnału,
status i sekwencja sygnału (np. znacznik czasu) przechowywanych danych powinny być jednoznaczne.
Przerwy w przechowywaniu danych, np. w wyniku przejściowego defektu modułu, powinny być rozpoznawalne.
W kwestiach związanych z wymaganiami i metodyką badań oprogramowania wszystkich modułów systemu trwa
obecnie w CENELEC dyskusja nad nową edycją normy
PN-EN 50402:2007 [6]. Jak dotąd jej zapisy odsyłają do
wymagań trzeciego arkusza normy [10].
Proces zakupu odpowiedniego systemu wymaga współdziałania i wymiany informacji między producentem systemu i potencjalnym użytkownikiem.
Producent powinien dla każdego modułu dostarczyć
użytkownikowi następujących informacji:
• opis funkcji realizowanych przez moduł,
• parametry interfejsu do innych modułów,
• specjalne warunki, które mogą wpływać na nienaruszalność bezpieczeństwa, np. narażenia środowiskowe
lub krótkie interwały konserwacyjne,
• specjalne warunki, które mogą oddziaływać na powiązane moduły (pojedynczy łańcuch, równoległy łańcuch), np. zatruwanie czujników katalitycznego spalania,
• przedział czasu, na który zaplanowane jest samotestowanie, aby wykryć niebezpieczne uszkodzenia
funkcji bezpieczeństwa.
Użytkownik zaś powinien przekazać producentowi następujące informacje:
• jakie funkcję bezpieczeństwa należy wykonać,
• numery SILC tych funkcji bezpieczeństwa,
• maksymalny wskaźnik uszkodzenia niebezpiecznego i,
w przypadku konfiguracji redundancyjnej modułów,
minimalny interwał testu odporności na uszkodzenie,
• interfejsy do innych urządzeń niezbędnych do osiągnięcia całkowitej funkcji bezpieczeństwa,
• zasady komunikacji z peryferiami,
• spodziewane warunki pracy modułów, włączając w to
dane na temat czynników zatruwających, obecnych w
analizowanym gazie lub w otoczeniu;
• dane zawierające pełny skład analizowanych gazów
występujących w zabezpieczanym rejonie.
Oczywiście, zachowanie tak żmudnie określonego SILC
jest uwarunkowane już podczas użytkowania, staraniami
obsługi systemu, aby poprawnie zlokalizować czujniki,
przestrzegać terminów okresowych inspekcji, kalibracji
oraz konserwacji. Zagadnienia te powinny być omówione w instrukcji obsługi systemu, którą dostarcza
producent. W kwestiach nierozstrzygniętych, zaleca się
zajrzeć do przewodnika PN-EN 60079-29-2 [9].
5
PRZENIESIENIE OGÓLNYCH WYMAGAŃ
BEZPIECZEŃSTWA FUNKCJONALNEGO
NA SYSTEMY EKSPLOZYMETRYCZNE
Systemy eksplozymetryczne pełnią funkcje związane z
bezpieczeństwem. Z punktu widzenia dyrektywy [3] są to
urządzenia zabezpieczające, których podstawowe wymagania zostały określone w załączniku II. Jednocześnie
powinny one spełniać wymagania podstawowych norm
dotyczących bezpieczeństwa funkcjonalnego [10], Próba
implementacji tych norm do systemów eksplozymetrycznych, z uwzględnieniem ich specyfiki stosowania w górnictwie podziemnym prowadzi do określenia następujących, ogólnych wymagań dla poziomów nienaruszalności
bezpieczeństwa systemów.
Wszystkie elementy systemu, realizujące funkcje bezpieczeństwa, powinny być projektowane, wytwarzane i
wprowadzane do eksploatacji pod nadzorem systemu
zarządzania bezpieczeństwem, uwzględniającym wymagania normy [11] i przepisów górniczych [4]. W celu unikania uszkodzeń należy stosować elementy od sprawdzonych dostawców. Elementy, od których zależy bezpieczeństwo (przeciwwybuchowe i funkcjonalne) powinny
być odrębnie sprawdzane przed i po montażu.
System powinien przejść badania typu WE (odpowiedni
moduł oceny zgodności z dyrektywą ATEX [3]) na zgodność z deklarowanymi normami dotyczącymi budowy
przeciwwybuchowej oraz normą metrologiczną PN-EN
60079-29-1 [8] i być serwisowany zgodnie z zaleceniami
producenta oraz przepisami branżowymi [4]. Powinny być
jasno zdefiniowane wyjścia wykonawcze (alarmowe), parametry zasilania i stany specjalne. Nastawy alarmów i
matryce wyłączeń powinny być wykonywane przez upoważnione osoby po uprzednim zalogowaniu się indywidualnym hasłem do systemu.
System powinien mieć redundancję zasilania z dwóch
niezależnych sieci energetycznych. Przejście do stanu
bezpiecznego powinno być inicjowane automatycznie.
Oprogramowanie systemu (wszystkich jego programowalnych elementów) powinno spełniać wymagania dla
SIL 1 normy [10].
SILC 2
Dla modułów prostych udział uszkodzenia bezpiecznego
powinien zawierać się pomiędzy 60 a 90%, jeżeli tolerancja defektu sprzętu wynosi 0. Dla modułów złożonych
udział uszkodzenia bezpiecznego powinien zawierać się
pomiędzy 60 a 90%, jeżeli tolerancja defektu sprzętu wynosi 1, albo pomiędzy 90 a 99%, jeżeli tolerancja defektu
sprzętu wynosi 0. W systemie należy implementować
środki i ustalić procedury umożliwiające okresowe sprawdzanie wszystkich funkcji bezpieczeństwa.
Podczas każdego uruchamiania systemu i na życzenie
dyspozytora powinna być przeprowadzana autodiagnostyka sprawności sprzętu i oprogramowania. Podczas
okresowych kalibracji (raz w tygodniu) powinna być
sprawdzana drożność wlotów gazu do elementów czujnikowych oraz stan spieków i filtrów. Stany specjalne systemu powinny być aktywowane i sygnalizowane automatycznie. Powinna istnieć możliwość nastawy parametrów
torów pomiarowych i powinny być one możliwe do
sprawdzenia w trybie pomiarowym systemu.
Oprogramowanie systemu (wszystkich jego programowalnych elementów) powinno spełniać wymagania dla
SIL 2, normy [10].
6
PODSUMOWANIE
6.1
Systemy detekcji gazów i par palnych w procesie
certyfikacji powinny podlegać ocenie:
SILC 1
• bezpieczeństwa przeciwwybuchowego wszystkich elementów składowych,
• parametrów metrologicznych, z uwzględnieniem czynników zakłócających wskazania w warunkach spodziewanej eksploatacji,
• kompatybilności elektromagnetycznej.
6.2
Podstawowe zadania realizowane przez systemy
detekcji to: wykrywanie niebezpiecznych stężeń
gazów wybuchowych, ostrzeganie o zagrożeniach
i – niejednokrotnie samodzielne – podejmowanie
działań prewencyjnych, są bezpośrednio związane
z bezpieczeństwem przeciwwybuchowym. Ponieważ zawodnie działający system detekcji może
tworzyć większe zagrożenia niż jego brak, zaleca
się (chociaż nie jest to wymóg obligatoryjny) ocenę niezawodności działania jego funkcji związanych z bezpieczeństwem i wyznaczenie ich poziomu nienaruszalności SILC.
6.3
Osiągnięcie zadowalającego poziomu SILC zależy
od konstruktora i producenta systemu. Jego zachowanie jest uwarunkowane, już podczas użytkowania, staraniami obsługi systemu, by poprawnie zlokalizować czujniki, przestrzegać terminów
okresowych inspekcji, kalibracji oraz konserwacji.
Zagadnienia te powinny być omówione w instrukcji obsługi systemu, którą dostarcza producent.
Literatura
[1]
[2]
[3]
Directive 1999/92/EC of the European Parliament
and of the Council of 16 December 1999 on minimum requirements for improving the safety and
health protection of workers potentially at risk
from explosive atmospheres (15th individual Directive within the meaning of Article 16(1) of Directive 89/391/EEC).
Rozporządzenie Ministra Gospodarki, Pracy i Polityki Społecznej z dnia 29 maja 2003, w sprawie minimalnych wymagań dotyczących bezpieczeństwa i
higieny pracy pracowników zatrudnionych na stanowiskach pracy, na których może wystąpić atmosfera wybuchowa. Dz. U. Nr 107, poz. 1004.
Dyrektywa Parlamentu Europejskiego i Rady z dnia
23 marca 1994 w sprawie ujednolicenia przepisów
prawnych państw członkowskich, dotyczących
urządzeń i systemów ochronnych przeznaczonych
do użytku w przestrzeniach zagrożonych wybuchem; 94/9/WE (tekst ujednolicony na podstawie
tekstu oficjalnego). Katowice, Główny Instytut
Górnictwa, listopad 1999 r.
[4] Rozporządzenie Ministra Gospodarki z dnia 25
czerwca 2010 r. zmieniające rozporządzenie w
sprawie bezpieczeństwa i higieny pracy, prowadzenia ruchu oraz specjalistycznego zabezpieczenia
przeciwpożarowego w podziemnych zakładach
górniczych. Dz. U. z dnia 14 lipca 2010 r.
[5] PN-EN 50270:2005 Kompatybilność elektromagnetyczna – Elektryczne przyrządy do wykrywania i
pomiaru gazów palnych, gazów toksycznych lub
tlenu.
[6] PN-EN 50402:2007 Elektryczne przyrządy do wykrywania i pomiaru gazów palnych lub toksycznych
oraz par albo tlenu – Wymagania dotyczące bezpieczeństwa funkcjonalnego stacjonarnych systemów detekcji gazu.
[7] PN-EN 60079 (grupa norm 0–35) Atmosfery wybuchowe.
[8] PN-EN 60079- 29-1:2010 Atmosfery wybuchowe Część 29-1: Detektory gazu -- Wymagania metrologiczne i funkcjonalne detektorów gazów palnych
[9] PN-EN 60079- 29-2:2010 Atmosfery wybuchowe Część 29-2: Detektory gazu -- Wybór, instalacja,
użytkowanie i konserwacja detektorów gazów palnych i tlenu
[10] PN-EN 61508-(1 do 7). Bezpieczeństwo funkcjonalne elektrycznych/ elektronicznych/ programowalnych elektronicznych systemów związanych z
bezpieczeństwem.
[11] ISO/IEC 80079-34:2011 Explosive atmospheres –
Part 34: Application of quality systems for equipment manufacture (org).
Informacje dodatkowe o autorze.
dr inż. Stanisław Trzcionka Główny Instytut Górnictwa,
Kopalnia Doświadczalna BARBARA.
tel (32) 32 36 562, email: [email protected]
www.kdbex.eu .

Systemy gazometryczne – funkcjonalność i bezpieczeństwo

Transkrypt

Podobne dokumenty

PL Instrukcja obsługi (część dotycząca ochrony Ex) czujnika

DEKLARACJA ZGODNOŚCI

Komputery panelowe do pracy w strefie zagrożonej wybuchem

Karta techniczna zestawu treningowego „Jeździec konny”

PL - consilium