• Nie Znaleziono Wyników

Modelowanie bezpieczeństwa instalacji krytycznych

Współczesne złożone obiekty techniczne podwyższonego ryzyka, stwarzające zagrożenia dla czło-wieka i środowiska, projektuje się stosując warstwy zabezpieczeniowo-ochronne i zasadę „obrony w głąb”. Obiekty te są coraz częściej w wysokim stopniu zautomatyzowane i skomputeryzowane. Istotny wpływ na ich bezpieczeństwo mają systemy sterowania i automatyki zabezpieczeniowej, które reali-zują różne funkcji bezpieczeństwa [6.1]. Warstwy zabezpieczeń obejmują nie tylko środki techniczne, ale i działania podejmowane przez człowieka. Jak wspomniano, na bezpieczeństwo obiektu złożonego mają istotny wpływ czynniki ludzkie i organizacyjne [6.8].

Podstawowym zadaniem systemu bezpieczeństwa jest redukcja częstości występowania stanów nienormalnych, a po wystąpieniu awarii ograniczenie rozmiaru szkody. Przykładowy warstwowy sys-tem zabezpieczeń złożonego obiektu podwyższonego ryzyka przedstawiono na Rys.6.3. Należy pod-kreślić znaczenie zastosowania właściwej technologii procesu i odporności instalacji na zakłócenia wewnętrzne, która jeśli to tylko możliwe powinna być projektowana zgodnie z zasadą inherentne-go bezpieczeństwa. Dotyczy to warstwy 1 na Rys.6.3. Osobny problem stanowi eliminowanie lub redukowanie niekorzystnego wpływu zakłóceń zewnętrznych.

1. Projekt procesu i instalacji 2. Systemy monitorowania

i sterowania

3. Alarmy krytyczne i interwencje operatorów 4. Systemy automatyki zabezpieczeniowej SIS

5. Systemy zabezpieczeń inżynieryjnych (zawory, kurtyny, obudowy) 6. Przeciwdziałania wewnętrzne (procedury, ewakuacja, straż i ratownictwo) 7. Przeciwdziałania zewnętrzne (procedury komunikacji, ewakuacja i ratownictwo)

Rys. 6.3: Warstwy zabezpieczeń w złożonym obiekcie podwyższonego ryzyka

Do warstw zabezpieczeń systemu technologicznego podwyższonego ryzyka zalicza się (Rys.6.3):

2 - systemy monitorowania i sterowania, 3 - systemy alarmów krytycznych i interwencje operatorów, 4

- systemy automatyki zabezpieczeniowej SIS (Safety Instrumented System) [6.5], 5 - systemy zabez-pieczeń inżynieryjnych i lokalizacji skutków awarii (zawory bezzabez-pieczeństwa instalacji ciśnieniowych, kurtyny, bariery i obudowy i inne urządzenia), 6 – przeciwdziałania wewnętrzne (plany awaryjne, pro-cedury i środki techniczne, których celem jest minimalizowanie strat ludzkich i majątkowych), oraz 7 - przeciwdziałania zewnętrzne, których celem jest minimalizowanie strat na zewnątrz obiektu po wystąpieniu poważnej awarii.

Na skuteczność funkcjonowania całego systemu zabezpieczeń wpływa istotnie system zarządzania bezpieczeństwem w przedsiębiorstwie (technologiczne procedury awaryjne, procedury administracyj-ne, plany awaryjne) i współpraca z jednostkami zewnętrznymi (straż pożarna, ratownictwo, sztab zarządzania kryzysowego).

Należy podkreślić, że koncepcja bezpieczeństwa funkcjonalnego zawarta w normach IEC 61508 i IEC 61511 ma istotne znaczenie w zarządzaniu bezpieczeństwem obiektu, gdyż ma związek z warstwami 2, 3, 4, a nawet 5. Na funkcjonowanie kolejnych warstw zabezpieczeniowych mają istotny wpływ czynniki ludzkie oraz czynniki organizacyjne.

Rys.6.3 nie uwzględnia niektórych ważnych dla bezpieczeństwa obiektu systemów, takich jak system monitorowania pożarowego, systemy gaśnicze wraz z układami sterowania, systemy komuni-kacji i inne. Niektóre z nich powinny być również projektowane zgodnie z kryteriami bezpieczeństwa funkcjonalnego. Dotyczy to również systemów zainstalowanych w atmosferze zagrożonej wybuchem.

Warstwy zabezpieczeń oznaczone numerami od 2 do 5 na Rys.6.3 powinny być niezależne fizycznie i funkcjonalnie. Warstwę zabezpieczeń (urządzenie, system lub działanie) uważa się za niezależną (IPL - Independent Protection Layer ) [6.1] jeśli:

• jest skuteczna w zapobieganiu lub ograniczaniu skutków stanów nienormalnych, kiedy funkcjo-nuje zgodnie z projektową specyfikacją techniczną,

• spełnia wymóg niezależności od rozważanych zdarzeń inicjujących i elementów składowych innych warstw zabezpieczeń, gdy są one przywoływane do działania (rozważa się szereg scena-riuszy awaryjnych),

• jest audytowalna przez potwierdzenie założonej skuteczności działania warstwy na podstawie dokumentacji, przeglądów, testów, modelowania oraz osiągniętego poziomu nienaruszalności bezpieczeństwa SIL.

Wyróżnia się dwa podstawowe rodzaje niezależnych warstw zabezpieczeń IPL [6.1]:

• bierne IPL,

• aktywne IPL.

W systemie zabezpieczeń wymaga się funkcji aktywnej IPL, aby spowodować zmianę stanu systemu w odpowiedzi na stan procesu, reprezentowany zakresem zmian określonych wielkości fizycznych (np.

temperatura, ciśnienie, poziom wibracji), albo na sygnał z innego miejsca (np. zmiana stanu przycisku lub wyłącznika). Aktywna warstwa typu IPL zawiera ogólnie:

• sensor / czujnik dowolnego rodzaju (przyrząd pomiarowy, urządzenie przestawne, narząd ludzki itd.),

• element przetwarzania informacji i podejmowania decyzji (przekaźnik, moduł logiczny, sterow-nik programowalny, człowiek itp.),

• działanie realizowane automatycznie i/lub przez człowieka.

W szczególności czynna IPL może być zaprojektowana jako system automatyki zabezpieczeniowej zrealizowany jako system E/E/PE [6.6] lub SIS [6.5].

Mimo stosowania kilku warstw zabezpieczeń w obiektach powyższego ryzyka występują w nich nadal awarie z poważnymi skutkami wewnątrz i niekiedy również na zewnątrz (w otoczeniu zakładu przemysłowego). W celu skutecznego przeciwdziałania potencjalnym awariom, podstawowe znacze-nie ma zrozumieznacze-nie ich przyczyn. Ze względu na złożoność problemu analizę ryzyka przeprowadza

się zwykle dla kilku najważniejszych scenariuszy awaryjnych, które reprezentują określone kategorie zdarzeń awaryjnych [6.4].

Metoda analizy warstw zabezpieczeń LOPA (Layer of Protection Analysis) [6.1] opiera się na zgrubnej ocenie ryzyka. Jest ona szczególnie przydatna we wstępnej analizie ryzyka dzięki wyróżnieniu ważniejszych scenariuszy awaryjnych na podstawie analizy HAZOP [6.14] i wstępnym zdefiniowaniu matrycy ryzyka (zakresy częstości i skutków potencjalnych zdarzeń awaryjnych). Szczególna zaleta tej metody tkwi w przejrzystej ocenie probabilistycznej funkcji bezpieczeństwa i warstw zabezpieczeń, które obejmują systemy sterowania i automatyki zabezpieczeniowej. Ilościowa oszacowanie probabi-listyczne utraty funkcji bezpieczeństwa bazuje na prawdopodobieństwie niezadziałania na żądanie P F D. Dotyczy ono w szczególności systemów E/E/PE [6.6] i SIS [6.5].

Znając oszacowania wartości P F D funkcji bezpieczeństwa wyróżnionych w ramach i-tego sce-nariusza awaryjnego można napisać wzór na jego częstość

Fi = FiI

J

Y

j=1

P F Dij (6.10)

gdzie: FiI - częstość i-tego zdarzenia inicjującego (I), a−1; P F Dij - prawdopodobieństwo niewypeł-nienia j-tej funkcji na przywołanie dla i-tego zdarzenia inicjującego.

Dane niezawodnościowe i inne parametry modeli probabilistycznych występujące we wzorze (6.6) pochodzą w praktyce z różnych źródeł, którymi mogą być [6.1], [6.4]:

• dane pozyskane z podobnych instalacji danego sektora przemysłowego,

• dane pozyskane z baz danych ogólnych (dane generyczne) [6.21], [6.19],

• dane wyznaczone na podstawie danych statystycznych przebiegu eksploatacji konkretnej insta-lacji i zaistniałych uszkodzeń (niestety nie są one gromadzone systematycznie w przemyśle),

• dane dostawców wyposażenia (są one niestety zwykle zbyt optymistyczne),

• dane bazujące na opiniach ekspertów, w szczególności dane generyczne korygowane przez eks-pertów z uwzględnieniem różnych czynników [6.10], [6.13], [6.21], [6.19].

Na Rys.6.4 przedstawiono trzy warstwy IPL [6.1], które mają zapobiec wstąpieniu zdarzenia awaryj-nego:

• IPL1 – podstawowy system sterowania (Basic Process Control System - BPCS),

• IPL2 – człowiek-operator, który nadzoruje proces i interweniuje w razie wystąpienia sytuacji nienormalnej lub awaryjnej,

• IPL3 – system zabezpieczeń (Safety Instrumented System - SIS).

IPL1 BPCS

IPL2

OPERATOR IPL3

SIS

Rys. 6.4: Oddziaływanie przykładowych warstw zabezpieczeń

Stan awaryjny z poważnymi skutkami nastąpi, jeśli kolejne warstwy nie wypełnią funkcji zwią-zanych z bezpieczeństwem. Wobec tego częstość i-tego scenariusza awaryjnego w modelu ryzyka w przypadku tych warstw określa wzór

Fi= FiI· P F Di;IP L1· P F Di;IP L2· P F Di;IP L3 (6.11) Przykładowe oszacowania wartości P F D dla różnych architektur systemów E/E/PE lub SIS, z uwzględnieniem pokrycia diagnostycznego podsystemów i możliwych uszkodzeń zależnych, moż-na zmoż-naleźć w poradniku [6.1] i monografii [6.9]. W konkretnych rozwiązaniach architektury systemu

E/E/PE lub SIS należy zastosować odpowiednie metody modelowania probabilistycznego zarysowane odpowiednio w normach [6.6] i [6.5]. Problem polega na tym, że zdarzenia polegające na uszkodze-niach lub błędach człowieka w kolejnych warstwach zabezpieczeń mogą być zależne. Wymaga to stosowania odpowiednich metod modelowania probabilistycznego zdarzeń zależnych, czego nie za-wiera poradnik [6.1] i norma [6.5]. Dlatego wzór (6.11) wymaga modyfikacji, a zamiast indeksów IPL (Independent Protection Layer ) występują indeksy PL (Protection Layer )

FiZ = FiI· P F Di;P L1· P F Di;P L2· P F Di;P L3= kZFi (6.12) Współczynnik kZ (kZ >> 1) we wzorze (6.12) może przyjmować wartość nawet na poziomie 10 i więcej zależnie od warstw zabezpieczeń i rodzajów zależności. Możliwość występowania zdarzeń zależ-nych jest uwarunkowana czynnikami technicznymi i środowiskowymi, a przede wszystkim czynnikami ludzkimi i organizacyjnymi [6.4], [6.7], [6.15], [6.14].

6.4. Wpływ czynników ludzkich i organizacyjnych na bezpieczeństwo