Tematyka bezpieczeństwa funkcjonalnego, mimo że obecna w świecie techniki już od lat 90. XX w., nadal jest niezrozumiana i pomijana w procesie oceny ryzyka technicznego. Wraz z przyspieszającym w każdej dziedzinie przemysłu procesem automatyzacji należy zwracać szczególną uwagę na działanie i niezawodność układów realizujących funkcje bezpieczeństwa – czyli tych, których nieprawidłowe działanie może doprowadzić do groźnych w skutkach zdarzeń.
Bezpieczeństwo funkcjonalne definiowane jest jako część bezpieczeństwa całkowitego w odniesieniu do maszyn, aparatów i instalacji oraz ich systemu sterowania, która zależy od prawidłowego działania systemów elektrycznych, elektronicznych i elektronicznych programowalnych związanych z bezpieczeństwem, systemów związanych z bezpieczeństwem wykonanych w innych technikach i zewnętrznych środków do zmniejszania ryzyka (rys. 1). Innymi słowy, bezpieczeństwo funkcjonalne dotyczy działania samego obiektu i przede wszystkim odnosi się do zapewnienia odpowiedniego poziomu niezawodności działania jego układu sterowania.
Przegląd norm technicznych
W dziedzinie bezpieczeństwa maszyn istnieją dobrze przyjęte normy dotyczące bezpieczeństwa funkcjonalnego. Najczęściej stosowaną jest PN-EN ISO 13849-1 – „Bezpieczeństwo maszyn. Elementy systemów sterowania związane z bezpieczeństwem. Część 1: Ogólne zasady projektowania”, która zastąpiła normę PN-EN 954-1 – „Maszyny. Bezpieczeństwo. Elementy systemów sterowania związane z bezpieczeństwem. Część 1: Ogólne zasady projektowania”. Dostępna jest też alternatywna norma PN-EN IEC 62061 – „Bezpieczeństwo maszyn. Bezpieczeństwo funkcjonalne elektrycznych, elektronicznych i elektronicznych programowalnych systemów sterowania związanych z bezpieczeństwem”. W obszarze przemysłu procesowego wykładnię w kwestii zapewnienia odpowiedniej niezawodności stanowi seria norm PN-EN IEC 61511 – „Bezpieczeństwo funkcjonalne. Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego”. Wszystkie te normy są oparte na tzw. normie bazowej, zwanej również parasolową: PN-EN IEC 61508 – 1/8 – „Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem”.
Wymienione normy są znane i powszechnie stosowane przez projektantów układów sterowania maszyn i instalacji procesowych oraz przez osoby zajmujące się walidacją i oceną ryzyka obiektów technicznych. W dziedzinie bezpieczeństwa wybuchowego zrozumienie i odwoływanie się do norm i publikacji traktujących o bezpieczeństwie funkcjonalnym jest natomiast zadziwiająco rzadkie. Praktyka pokazuje, że w przeważającej większości raportów zawierających ocenę ryzyka wybuchu (np. „Dokument zabezpieczenia przed wybuchem”, „Ocena zagrożenia wybuchem” i innych) nie pojawia się nawet wzmianka dotycząca wpływu układu sterowania na bezpieczeństwo ocenianego obiektu. A jeżeli taki wpływ występuje (co ma miejsce w większości przypadków), brakuje jakiejkolwiek oceny czy choćby określenia potrzeby takiej oceny zgodnie z normami dotyczącymi bezpieczeństwa funkcjonalnego.
Przyczyn takiego stanu rzeczy można się dopatrywać w dwóch kwestiach. Po pierwsze: w istniejących normach technicznych dotyczących zagadnień bezpieczeństwa funkcjonalnego w strefach zagrożenia wybuchem brakuje tego, co mają normy maszynowe czy procesowe – przejrzystości, jasno określonych zasad i przykładów zastosowań, które porządkowałyby wymagania i wiedzę. Po drugie: zagadnienia związane z bezpieczeństwem funkcjonalnym są złożone i wymagają posiadania wiedzy z dziedzin automatyki, sterowania czy teorii niezawodności. Osoby zajmujące się oceną ryzyka wybuchowego, pomimo niewątpliwie posiadanej wiedzy i doświadczenia z dziedziny teorii wybuchowości, pożarnictwa i znajomości norm powiązanych z Dyrektywą ATEX 2014/34/UE (Dyrektywa Parlamentu Europejskiego i Rady 2014/34/UE z dnia 26 lutego 2014 r. w sprawie harmonizacji ustawodawstw państw członkowskich odnoszących się do urządzeń i systemów ochronnych przeznaczonych do użytku w atmosferze potencjalnie wybuchowej), mogą nie mieć wystarczających umiejętności w dziedzinach niezbędnych przy ocenie niezawodności funkcji bezpieczeństwa realizowanych przez układy sterowania. Aby zapobiec powstawaniu dokumentów niepełnych i niekompletnych, kadra zarządzająca zlecająca ich opracowanie powinna zwrócić szczególną uwagę na kwalifikacje w dziedzinie znajomości zagadnień bezpieczeństwa funkcjonalnego i podkreślić swoje oczekiwania w tym zakresie podczas ustalania szczegółów technicznych wykonywanych analiz.
Podstawowe zasady zapobiegania wybuchowi i ochrony przed wybuchem, określone przez PN-EN 1127-1 – „Atmosfery wybuchowe. Zapobieganie wybuchowi i ochrona przed wybuchem. Część 1: Pojęcia podstawowe i metodyka” dotyczą:
-> unikania atmosfer wybuchowych,
-> unikania efektywnych źródeł zapłonu,
-> zatrzymania wybuchu i/lub ograniczania jego zakresu.
Zagadnienia związane z bezpieczeństwem funkcjonalnym mogą wynikać z każdej z tych zasad rozpatrywanej pojedynczo, niezależnie, a także z ich kombinacji. Taka wielowątkowość tej problematyki potęguje niezrozumienie, a wiedza i wymagania zawarte w kilku normach utrudniają interpretację i ich stosowanie.
Funkcje bezpieczeństwa
Należy pamiętać, że problematyka bezpieczeństwa funkcjonalnego dotyczy całych łańcuchów sterowania, a nie pojedynczych urządzeń zabezpieczających. Niezawodność funkcji bezpieczeństwa zależy w równym stopniu od jakości komponentów użytych do budowy układu, sposobu ich podłączenia, zdolności diagnostycznych systemów logicznych, jak i od zapewnienia odpowiednich cech redundancji i dywersyfikacji użytych technologii.
Przykładem funkcji bezpieczeństwa dotyczących zasady unikania atmosfer wybuchowych są np. układy monitorowania stężeń i koncentracji (czujniki stężeń par i gazów palnych), monitorowania przepływów (wentylacji lub systemów odpylania), układy monitorowania ilości tlenu (w systemach inertyzacji), funkcje zabezpieczające przed uwolnieniem substancji (np. przelaniem zbiorników z cieczami łatwopalnymi). W maszynach produkcyjnych użytkujących substancje łatwopalne bardzo często stosuje się rozwiązania związane z wentylacją, która potrafi usunąć substancje potencjalnie wybuchowe poza obszar maszyny. Alternatywą jest zastosowanie we wnętrzu maszyny elementów elektrycznych i nieelektrycznych o odpowiednich kategoriach EX (przeznaczonych do pracy w danych strefach zagrożenia wybuchem). Niewątpliwie rozwiązanie z niezawodnie działającą wentylacją skutkuje dużymi oszczędnościami – elementy w wykonaniu przeciwwybuchowym są kilkakrotnie droższe od ich odpowiedników w wykonaniu standardowym. Warunkiem zapewnienia odpowiedniej niezawodności układu wentylacji jest zastosowanie systemu wyposażonego w układy podtrzymania działania w przypadku utraty zasilania, uszkodzenia mechanicznego jednego z wentylatorów i monitorowania przepływu lub stężenia we wnętrzu analizowanego obszaru.
Określając wymagania dla funkcji związanych z unikaniem atmosfer wybuchowych, należy wziąć pod uwagę stopień emisji analizowanego źródła substancji palnej. Od tego, czy emisja jest stała (występuje podczas normalnego działania instalacji), okresowa (tzw. stopnia I – tylko w ściśle określonych sytuacjach) czy awaryjna (tzw. stopnia II), należy uzależnić narzucane wymagania niezawodnościowe dla funkcji bezpieczeństwa. Brak regulacji w tym zakresie w normach zharmonizowanych z Dyrektywą ATEX 2014/34/UE utrudnia obiektywną analizę i szacowanie ryzyka. Ocenę bezpieczeństwa funkcjonalnego dotyczącą rozpatrywanych funkcji należy przeprowadzać, opierając się na normach ogólnych, takich jak PN-EN 61508 czy PN-EN 13849. Dodatkowo wymagań należy szukać w normach: PN-EN 60079-29-3 – „Atmosfery wybuchowe. Część 29-3: Detektory gazu. Przewodnik dotyczący bezpieczeństwa funkcjonalnego stacjonarnych systemów detekcji gazu”, a także PN-EN 50402 – „Elektryczne przyrządy do wykrywania i pomiaru gazów palnych lub toksycznych oraz par albo tlenu. Wymagania dotyczące bezpieczeństwa funkcjonalnego stacjonarnych systemów detekcji gazu”.
Przykładem funkcji bezpieczeństwa dotyczących zasady unikania źródeł zapłonu są np. układy monitorowania temperatury powierzchni przekładni, łożysk i innych elementów ruchomych, układy monitorowania drgań części wirujących, układy kontroli poziomu (w przypadku zabezpieczenia przez zanurzenie w cieczy) czy układy kontroli przepływu lub ciśnienia (w przypadku zabezpieczania przez obudowę z nadciśnieniem). W celu określenia wymogów dla tych funkcji można skorzystać z wytycznych określonych przez normę PN-EN 50495 – „Urządzenia zabezpieczające niezbędne do bezpiecznego działania urządzeń ze względu na zagrożenia wybuchem”. Warto również zapoznać się z wymaganiami normy PN-EN 13463-6 – „Urządzenia nieelektryczne w przestrzeniach zagrożonych wybuchem. Część 6: Ochrona przez kontrolę źródła zapłonu »b«” zastąpioną niedawno przez PN-EN ISO 80079-37 – „Atmosfery wybuchowe. Część 37: Urządzenia nieelektryczne do atmosfer wybuchowych. Rodzaj zabezpieczenia nieelektrycznego: bezpieczeństwo konstrukcyjne »c«, nadzorowanie źródeł zapłonu »b«, zanurzenie w cieczy »k«”. Propozycja dotycząca przypisywania wymaganych poziomów niezawodności SIL (Safety Integrity Level) do danych funkcji bezpieczeństwa została przedstawiona w tabeli.
Przykładem funkcji bezpieczeństwa dotyczących systemów ochronnych są wszelkiego rodzaju układy aktywne, zmniejszające skutki ewentualnych wybuchów, np. system tłumienia wybuchu (wykrycie i użycie szybko działających gaśnic HRD), system izolowania wybuchu (zawory odcinające izolujące poszczególne segmenty instalacji) i inne. Norma PN-EN 15233 – „Metodyka oceny bezpieczeństwa funkcjonalnego systemów ochronnych do przestrzeni zagrożonych wybuchem” podaje jasne wskazówki związane z postępowaniem w procesie oceny bezpieczeństwa funkcjonalnego, nie podaje jednak kryteriów wyznaczania wymaganych poziomów niezawodności. Tutaj również należy opierać się na ocenie ryzyka i normach bardziej ogólnych.
Proces oceny bezpieczeństwa funkcjonalnego
Proces ten jest podzielony na szereg konsekwentnie realizowanych kroków logicznych (rys. 2). Jednym z najważniejszych jest identyfikacja samych funkcji bezpieczeństwa. Ten z pozoru trywialny i łatwy etap jest niezwykle istotny. Jeżeli nie zidentyfikuje się w nim jakiejś funkcji bezpieczeństwa, może to doprowadzić do poważnych konsekwencji dla użytkownika. Po pierwsze układ sterowania w analizowanym obiekcie najprawdopodobniej nie będzie spełniać wymaganych poziomów niezawodności dla takich funkcji od momentu samego uruchomienia. Po drugie proces zmian i modernizacji, a taki jest nieodłącznym elementem życia każdego obiektu technicznego, nie będzie alokował szczególnych wymagań w zakresie niezawodności dla tych elementów układu sterowania, które realizują niezidentyfikowane funkcje bezpieczeństwa.
Kolejny krok związany z szacowaniem wymagań dla funkcji bezpieczeństwa polega na przypisaniu wartości liczbowych ryzyku, jakie jest redukowane przez dane funkcje. Oczywistym jest, że przypisywana wysokość wymagań niezawodnościowych funkcji powinna ściśle zależeć od ich wpływu na poziom ryzyka. Poważne konsekwencje związane z niezadziałaniem funkcji bezpieczeństwa powinny rzutować na wysoki wymagany poziom niezawodności, i odwrotnie – niewielki wpływ na ryzyko to niskie wymagania.
W praktyce etapowi temu poświęca się jednak niewiele czasu. Drobiazgowa analiza parametrów związanych z prawdopodobieństwem i szacowaniem ewentualnych konsekwencji jest zastępowana pobieżną i skróconą oceną na podstawie subiektywnych opinii. Taka forma analizy bardzo często powoduje, że wymagania niezawodnościowe dla funkcji bezpieczeństwa są przeszacowane. Ma to oczywisty związek z naturalną reakcją człowieka na zagadnienia, w których nie ma wystarczającej wiedzy i doświadczenia. W sytuacjach niepewnych wydaje się, że lepiej jest narzucać wyższe wymagania, idąc w kierunku zwiększania bezpieczeństwa. Dalszymi konsekwencjami takiego podejścia są bardzo często przeszacowane wydatki na urządzenia pełniące funkcje bezpieczeństwa. Oprócz samego kosztu jednostkowego takiego systemu w momencie jego zakupu warto pamiętać, że wszelkiego rodzaju modernizacje, zmiany, a także samo utrzymanie go na odpowiednim poziomie będzie generowało dodatkowe wydatki. Czas i środki finansowe poświęcone na dobrą, głęboką analizę mogą się zwrócić już na etapie zakupu elementów z odpowiednimi poziomami niezawodnościowymi.
Ostatni krok związany z oceną bezpieczeństwa funkcjonalnego – analiza osiągniętych poziomów niezawodności dla wytypowanych funkcji bezpieczeństwa – jest etapem, w którym drobiazgowa ocena i kalkulacje są niezbędne. Odpowiednio szczegółowe uzasadnienie i opisanie struktury każdej z funkcji bezpieczeństwa będzie niezwykle przydatne podczas późniejszego użytkowania systemu i wprowadzania w nim modernizacji. Podczas analizy osiągniętych poziomów niezawodności bardzo ważny jest dostęp do odpowiednich baz danych niezawodności komponentów układu sterowania.
W praktyce, analizując rozwiązania stosowane w przemyśle, nierzadko można zauważyć mniej lub bardziej nieudolne próby zapewnienia odpowiedniego poziomu niezawodności. Projektanci często konstruują układy oparte na certyfikowanych czujnikach, podłączając je do zwykłych sterowników PLC lub nawet do dedykowanych układów logicznych bezpieczeństwa, zapominając zupełnie o elementach wyjściowych, które mają najczęściej decydujący wpływ na reakcję układu. Zawsze warto pamiętać o starej maksymie mówiącej o tym, że łańcuch jest tak mocny, jak jego najsłabsze ogniwo. Zasada ta jest wyjątkowo trafna w dziedzinie niezawodności. Jeżeli struktura sterowania opiera się na zawodnych elementach, dołożenie jednego, nawet najlepszego elementu nie podniesie znacząco jakości układu. Należy projektować, zawsze mając na uwadze całą strukturę – od elementu wejściowego przez układ logiczny do podsystemu wyjściowego.
Podsumowanie
Na zakończenie warto jeszcze raz podkreślić wagę bezpieczeństwa funkcjonalnego w układach sterowania obiektów, w których istnieje zagrożenie wybuchem. Zlecając przeprowadzenie oceny ryzyka wybuchu, np. na potrzebę opracowania „Dokumentu zabezpieczenia przed wybuchem”, wskazane jest zwrócenie szczególnej uwagi na analizę układu sterowania pod kątem określenia osiągniętych poziomów niezawodności przez funkcje bezpieczeństwa. Poprawna identyfikacja funkcji bezpieczeństwa, oszacowanie dla nich wymagań i potwierdzenie w formie raportu z analizy osiągniętych poziomów niezawodności dają pewność, że ryzyko związane z układem sterowania zostało odpowiednio zminimalizowane. Wszelkie analizy i oceny ryzyka (zwłaszcza w dziedzinie bezpieczeństwa wybuchowego) zaleca się wykonywać kolektywnie, przez zespół ekspertów posiadających komplementarną wiedzę i doświadczenie obejmujące zagadnienia techniczne, wiedzę teoretyczną i doświadczenie w takich dziedzinach, jak: wybuchowość, teoria pożarnictwa, teoria niezawodności czy automatyka. Taka strategia analiz zapewni kompleksowość i da pewność, że nie zostanie pominięty żaden istotny aspekt bezpieczeństwa, a my otrzymamy kompletny dokument mający konkretną wartość inżynierską.
Krzysztof Ujczak jest kierownikiem Działu Bezpieczeństwa Procesowego w firmie ELOKON Polska.
