Senzory monitorujú proces a v prípade, že sa objaví nebezpečný/neprijateľný stav procesu, bezpečnostný logický člen rozhodne o odpojení/vypnutí (alebo zapnutí) výstupov, po ktorom koncové prvky/akčné členy uvedú proces do tzv. bezpečného stavu. Zatiaľ to znie dobre, však? V tomto článku by sme vás chceli upozorniť na veľké nedorozumenie, ktoré sme identifikovali na trhu. Nedorozumenie, ktoré môže viesť k veľmi nepríjemným prekvapeniam v prípade nehôd. Radšej ich nazývame nehodami, pretože v tomto článku sa dočítate, ako by sa im dalo predísť.
Výrobcovia snímačov, koncových prvkov (akčných členov) a rozhraní pre prevádzku (vstup/výstup) môžu predávať svoje zariadenia bez veľkej zodpovednosti. Zariadenia sú starostlivo navrhnuté, testované a vo väčšine prípadov certifikované nezávislým certifikačným orgánom. Funkčnosť týchto zariadení je obmedzená napríklad na detekciu tlaku a prevod na signál 4 – 20 mA. Rozhodovanie o tom, či výstupy SIF majú prejsť do bezpečného stavu alebo nie, vykonáva bezpečnostný riadiaci automat (bezpečnostné PLC).
Bezpečnostný riadiaci automat nie je zariadenie, ktoré stačí pripojiť, zapnúť a je pripravené na použitie. Ako hovorí skratka PLC (programovateľný logický automat), je určený pre bezpečnosť procesov. Je to mozog vášho bezpečnostného systému, ktorý rozhoduje o živote alebo smrti, výrobe alebo odstávke, poškodení alebo nepoškodení. A s mozgami tohto druhu treba zaobchádzať opatrne.
Zodpovednosť výrobcov bezpečnostných PLC
V prvom rade sa musíme vrátiť k výrobcom bezpečnostných automatov, ktorých zámerom je predať ich čo najviac. Často sa orientujú na cenu. No pozor! Títo výrobcovia sa v mnohých ohľadoch zriekajú právnej zodpovesnosti za to, čo sa so zakúpeným bezpečnostným PLC robí. V skutočnosti sa zriekajú zodpovednosti tromi spôsobmi: v obchodných podmienkach spoločnosti, v bezpečnostných príručkách bezpečnostného PLC a nakoniec listom v škatuli, v ktorej bezpečnostné PLC dostanete. V liste sa jednoducho píše: „Otvorením tejto škatule prijímate všetku zodpovednosť za aplikáciu, v ktorej sa tento hardvér použije.“
Následne je na rade inžinier závodu (alebo integrátor, dodávateľ), ktorý si kúpil bezpečnostné PLC. Skúsenosti nám hovoria, že v mnohých prípadoch sa vyhlásenie o odmietnutí zodpovednosti jednoducho odloží a ani sa nečíta. Žiaľ, ignorovanie skutočného významu vyhlásenia o vylúčení zodpovednosti môže mať vážne následky. Nie priamo, nie teraz, ale neskôr. V priemere dochádza k nehodám na stavbe po siedmich rokoch prevádzky. Keď sa na mieste stane incident, začínajú sa skutočné problémy. Najmä preto, že vedenie a zamestnanci závodu neboli pripravení na to, že implementácia SIS zahŕňa oveľa viac než len inštaláciu a programovanie PLC.
Po incidente budú nasledovať interné a úradné vyšetrovania, vyšetrovania poisťovní (na začiatku), negatívne informácie na sociálnych sieťach a začnú zasahovať environmentálne organizácie. Nehovoriac o tom, že čoskoro budú nasledovať žaloby iniciované spoločnosťami aj civilistami, ktorí utrpeli škodu a žiadajú náhradu škody.
Následky
Škody spôsobené incidentom možno zhruba rozdeliť do troch kategórií:
1. osobné následky: nehody, trvalá (čiastočná) invalidita, strata času atď.,
2. environmentálne následky: v rámci „plota“ spoločnosti, „za plotom“ spoločnosti,
3. finančné následky: opravy, strata výroby, výrobné pokuty, žaloby a nároky z občianskoprávnej zodpovednosti.
V ďalšej časti článku je to označené ako škoda.
Čím sa môže koncový používateľ po incidente brániť?
Kúpili sme bezpečnostné PLC SIL3.
Všetky ostatné zakúpené zariadenia majú stupeň SIL3.
Naša špecifikácia požiadaviek sa vzťahuje na normu IEC 61508 a/alebo IEC 61511 (???).
Pre väčšinu koncových používateľov sa tu ich obrana končí. No pre právnikov a poisťovne je to začiatok trestného stíhania a budovania prípadu, v ktorom poisťovňa môže preukázať zdokumentované dôkazy, že škodu nemusí uhradiť.
Rozprávky a mýty
Je to rozprávkový príbeh či mýtus, že ak si kúpite všetko vybavenie vhodné pre SIL3, automaticky sa dostanete na úroveň SIL3. V dnešnej dobe sa to asi ľahšie chápe ako fake news. Napriek tomu mnohí ľudia vo firmách stále veria tomuto príbehu a slepo nasledujú akýkoľvek certifikát (dokonca aj bez údajov o poruchách na certifikáte) alebo len akceptujú údaje o poruchovosti bez toho, aby spochybnili tieto hodnoty a okolnosti, za ktorých boli tieto údaje zozbierané.
Nebezpečenstvo nie je ďaleko
V praxi, dokonca aj v západnej spoločnosti, akou je Európa, si to stále veľa koncových používateľov neuvedomuje. Ďalej uvádzame niekoľko príkladov z rôznych krajín.
Francúzsko: Mnohí koncoví používatelia si neuvedomujú, že ak osobné dôsledky incidentu môžu prekročiť „plot“ spoločnosti, súlad s normou IEC 61511 (Ed. 2) je podľa francúzskych zákonov povinný.
Taliansko: Hlavný koncový používateľ „najmodernejších technológií“ má povesť koncového používateľa, ktorý má v priemere jeden výbuch v závode ročne (s obeťami na životoch!). Na mieste sa zistilo, že bezpečnostné výstupy sú nepretržite premostené 24 V, aby sa obišiel bezpečnostný systém na vypnutie. Bezpečnostné vstupy sú buď premostené do „zdravého“ stavu, alebo sú trvalo vynútené do stavu údržby. To všetko preto, aby sa zabezpečila kontinuálna a nepretržitá výroba.
Nemecko: Dodávateľ bezpečnostných PLC predáva FSM ako doplnkovú možnosť. Zákazníci (systémoví integrátori) sa rozhodnú vzdať sa tejto možnosti (keďže systém je rovnaký, ale drahší), pričom si neuvedomujú, že zodpovednosť za FSM sa tým presúva na nich. V konečnom dôsledku FSM zostane neriešené, pričom dodávateľ bezpečnostného PLC je chránený odmietnutím zodpovednosti vo svojich podmienkach a/alebo zmluve.
Holandsko: Spoločnosť Tank farm dostala pokutu tri milióny eur a pokyn na zastavenie výroby za porušenie bezpečnostných a licenčných predpisov.
Belgicko: Vláda núti koncových používateľov inštalovať bezpečnostné PLC a pýta sa, aká je návratnosť ich investícií. Keďže na to neexistuje jasná odpoveď, rozhodnú sa pre najlacnejšieho dodávateľa a ignorujú akékoľvek snahy o FSM. Samozrejme, najlacnejší dodávateľ sa postará o to, aby vo svojich podmienkach a/alebo zmluve neniesol žiadnu zodpovednosť.
Ako skutočne získať úroveň integrity bezpečnosti SIL?
Bez toho, aby sme zachádzali do podrobností, uvádzame vysvetlenie toho, čo skutočne robí SIS s bezpečnostnými funkciami (SIF) vhodnými pre určitú úroveň integrity bezpečnosti (SIL).
1. Životný cyklus bezpečnosti
Tak ako takmer všetko, aj bezpečnostný systém má svoj životný cyklus. Tento životný cyklus bezpečnosti opisuje povinnosti „od kolísky po hrob“ (od začiatku návrhu až po vyradenie z prevádzky). Preto neexistuje žiadna fáza životného cyklu, ktorú by bolo možné preskočiť bez toho, aby sa zohľadnila bezpečnosť. Normy IEC 61508 aj IEC 61511 majú životný cyklus funkčnej bezpečnosti prakticky identický (obr. 2).
2. Prístup od potrubia k potrubiu
V rámci SIS môže existovať viacero SIF. SIF sa identifikujú počas procesu, ktorý je známy ako HAZOP (metodika na identifikáciu procesného rizika/nebezpečenstva a prevádzkyschopnosti). Každý návrh SIS by sa mal začať štúdiou HAZOP a aspoň každých päť rokov (podľa nariadenia OSHA USA) sa musí vykonať opätovná HAZOP, aby sa zistilo, či boli predpoklady počas predchádzajúcej štúdie HAZOP správne. Ak bol systém zavedený ešte pred vydaním uvedených noriem IEC, je rozumné začať vykonávať (re)HAZOP na nainštalovanom a prevádzkovanom SIS. Máloktorý koncový používateľ vie o povinnosti vykonať (re)HAZOP.
Výsledkom HAZOP je správa, ktorá obsahuje zoznam všetkých SIF s podrobným opisom požiadaviek a príslušných požadovaných bezpečnostných opatrení. Ďalší krok po HAZOP je, že každému SIF sa pridelí úroveň SIL. Tá udáva požadovaný faktor zníženia rizika (RRF), ktorý musí bezpečnostná funkcia (SIF) dosiahnuť. Pri každej SIF so SIL (napr. SIL1, 2, 3 alebo 4) treba preukázať tri veci:
1. PFDavg (PFDavg = 1/RRF). Ide o priemernú pravdepodobnosť poruchy pri požiadavke na zásah bezpečnostného systému, ktorá je inverznou hodnotou faktora zníženia rizika. Inými slovami je to pravdepodobnosť, že bezpečnostná funkcia (SIF) zlyhá v okamihu, keď existuje požiadavka na zásah bezpečnostného systému (napr. vysoký tlak, nízka hladina, vysoká teplota). Ako príklad možno uviesť, že pri SIL3 musí byť PDFavg medzi 0,001 a 0,0001. Táto hodnota predstavuje rozsah pre tento konkrétny SIF medzi potrubiami, kde sa musia sčítať hodnoty PFDavg zo všetkých zariadení (ako je napr. snímač, oddeľovač, bezpečnostné PLC, relé, akčný člen). Ich súčet musí zodpovedať rozsahu pásma SIL3. Takže čím viac zariadení je v SIF, tým horší bude PFDavg (v prípade „single“ zariadenia, teda bez redundancie).
2. HFT (z angl. Hardware Fault Tolerance). Ide o schopnosť tolerovať poruchy hardvéru a napriek tomu mať možnosť, že SIF môže dosiahnuť bezpečný stav. V závislosti od kvality hardvéru nemusí jedno zariadenie stačiť a v určitej architektúre (napr. hlasovacej) sú potrebné dve alebo viac zariadení. To znamená, že napríklad pri dvoch zariadeniach sa uplatňuje hlasovanie jedno z dvoch (1oo2). Ak jedno z dvoch zariadení zistí nebezpečný stav (napr. vysoký tlak), SIF sa vykoná a uvedie proces do bezpečného stavu. V oboch normách sú tabuľky, ktoré definujú minimálnu hodnotu HFT na základe kvality zariadení.
3. SC (Systematic Capability). Ide o meradlo kvality organizácie výrobcu a systému FSM. Vyjadruje sa ako SCx, kde x zodpovedá požadovanej úrovni SIL. SC musí zodpovedať cieľovej úrovni SIL. SC sa musí preukázať pre všetky zakúpené zariadenia v SIF prostredníctvom vyhlásenia výrobcu zariadenia (alebo od certifikačného orgánu). SC sa však musí preukázať aj pre všetky strany zapojené do životného cyklu bezpečnosti (napr. koncový používateľ, dodávateľ, integrátor SIS). SC sa určuje na základe použitého FSM. Súčasťou SC je preukázaná spôsobilosť všetkých účastníkov životného cyklu bezpečnosti.
3. Riadenie funkčnej bezpečnosti
Na obr. 2 sa nachádza na ľavej strane časť s jasným odkazom: v celom životnom cykle bezpečnosti sa musí uplatňovať FSM. Zámerom FSM je obmedziť systematické chyby/poruchy (v SIS) alebo im predchádzať a tým zvyšovať systematickú integritu bezpečnosti. Tieto slová môžu byť ťažko zrozumiteľné. Aby boli lepšie pochopiteľné, uvedieme príklad. Predpokladajme, že návrh logickej aplikácie (väčšinou diagramy príčin a následkov (C&E)) obsahuje chybu. Integrátor SIS začne projektovať na základe týchto C&E, ale chybu nezistí, systém interne testujú rôzne osoby, tiež chybu nenájdu. Potom sa vykoná továrenská preberacia skúška (FAT), ktorú vykonajú kompetentné osoby z radov konečného používateľa alebo zástupca dodávateľa. Chyba však stále zostáva skrytá. Na konci FAT ide systém na stavbu aj s chybou. Toto nazývame systematická chyba. Jediným spôsobom, ako vyriešiť systematickú chybu, je oprava C&E. Zámerom FSM je obmedziť systematické zlyhania alebo sa im vyhnúť, alebo inými slovami nájsť skryté zlyhania. Ako to však urobiť?
- Zamestnať a využiť (osvedčený) kompetentný personál na projekte (t. j. koncový používateľ, dodávateľ, integrátor SIS atď.). Znalí a skúsení ľudia odhalia chyby skôr.
- Uistite sa, že sa projekt vykonáva štruktúrovaným a disciplinovaným spôsobom. Žiadne ústne zmeny na poslednú chvíľu. Namiesto toho zmrazenie návrhu a ďalšie modifikácie už len po balíkoch zmien – „modpackoch“. Prideľte projektových manažérov, ktorí riadia projekt štruktúrovaným spôsobom.
- Používanie postupov, nástrojov a šablón. Je lákavé použiť dokumentáciu z predchádzajúceho projektu a znovu použiť položky, ktoré sú potrebné podľa (bezpečnostných) požiadaviek. Tým sa však zvyšuje riziko, že sa prehliadnu a zabudnú veci (ktoré sú v šablóne, ale v predchádzajúcom projekte sa nepoužili), čo vedie k zásadným chybám v projekte a/alebo k množstvu (nezaplatených!) prepracovaní. Okrem toho môžu existovať veľmi špecifické bezpečnostné požiadavky klienta, ktoré sa teraz kopírujú do nového projektu, hoci v skutočnosti nie sú potrebné.
- Overenie návrhu prostredníctvom preskúmania dokumentu a s využitím iného kompetentného posudzovateľa, ako je autor dokumentu.
- Testovanie návrhu pomocou štruktúrovaných a dobre zdokumentovaných testovacích postupov. Uistite sa, že tester je iná osoba ako inžinier. Uvedomte si, že na „živom“ systéme už testovanie nie je možné (alebo povolené), pretože by narušilo výrobu. Preto je najdôležitejšie dôkladné testovanie vopred, aby sa odhalilo čo najviac chýb.
- Zaznamenávajte a dokumentujte všetko, čo sa vykonalo, a uchovávajte tieto záznamy (aktualizované). Tieto záznamy o skúškach môžu byť dôležitým spôsobom obrany spoločnosti pred nárokmi poisťovní a iných vyšetrovateľov a dôkazom, že sa urobilo všetko pre to, aby sa tejto udalosti predišlo. Žiadne záznamy znamenajú žiadne dôkazy, a teda dobrý dôvod, ktorý poisťovne využívajú na to, aby škodu nezaplatili! Dbajte na to, aby sa viedla „audítorská stopa“ a aby bola aktuálna.
Normy IEC
Normy IEC 61508 a IEC 61511 poskytujú dobrý a jasný návod, ako aplikovať FSM v spoločnosti. Pravidelné audity FSM odhalia nedostatky, nezrovnalosti a slabé miesta v systéme FSM, aby sa tieto systematické chyby mohli odstrániť. Tým, že je systém FSM v súlade s normami IEC, môže spoločnosť preukázať správnu technickú prax a má dôkaz, že urobila všetko, čo bolo v jej silách, aby bol proces čo najbezpečnejší. Všetkým zúčastneným v prevádzkovej fáze procesu to poskytne pokoj, keď budú vedieť, že za SIS existuje robustný systém.
Pre koncového používateľa však zostáva nepretržitou investíciou, stojí peniaze a ak sa na mieste nestane žiadna nehoda, manažment je ľahko v pokušení tieto náklady znížiť. To preto, lebo v záznamoch o sledovaní vidia, že sa žiadne incidenty nestali, a medzitým náklady na údržbu a audit systému FSM zostávajú rovnaké.
Tí, ktorí sa ocitli v takejto situácii, si musia odpovedať na jednu otázku: Môžete sa vyhnúť v budúcnosti nehode, ak sa pozeráte len do spätných zrkadiel? Ak sa nad tým zamyslíte a budete k sebe úprimní, pravdepodobne sami dospejete k záveru, že manažment si musí byť vedomý nebezpečenstiev v procese, existencie a dôležitosti bezpečnostného systému v súlade s SCx a prečo je potrebné neustále vyvíjať úsilie na udržanie bezpečnostného systému (vrátane dokumentácie/auditu) v dobrom stave. Angažovanosť a podpora vedenia je preto nevyhnutná!
Rozhodnutia manažmentu spôsobili…
História nás naučila, že mnohé, ak nie všetky incidenty sa stali katastrofami v dôsledku rozhodnutia manažmentu:
Černobyľská jadrová elektráreň
Experiment, ktorý spôsobil výbuch jadrového reaktora, bol potrebný na to, aby niektorí manažéri dostali svoje prémie.
Raketoplán Challenger
Vedenie ignorovalo vážne varovania technických odborníkov, aby sa zachovala požadovaná letová rýchlosť.
Severomorská plošina Piper Alpha
Manažment sa sústredil na výrobu namiesto pravidelných bezpečnostných školení a evakuačných cvičení, kultúra v riadiacej miestnosti bola taká, že bezpečnostnej odstávke sa bolo potrebné za každú cenu vyhnúť, aby ste neprišli o prácu.
Platforma na mori Deepwater Horizon
Inžinieri mali tušenie, že situácia nie je v poriadku. Vedenie ich nútilo pokračovať v odstraňovaní zaostávania v harmonograme, ako aj znižovať náklady na materiál používaný na správne nastavenie vrtov. Následné nároky z procesu občianskoprávnej zodpovednosti presiahli 100 miliárd USD.
Preto dôrazne odporúčame vedeniu technologického závodu, kde môže dôjsť k zraneniu alebo usmrteniu ľudí či k vážnemu poškodeniu životného prostredia, aby zvážili nasledujúce otázky:
- Myslíte si, že bezpečnosť je drahá? Skúste zažiť incident…
- Cítili by ste sa na mieste tak bezpečne, aby ste tam mohli žiť so svojou rodinou?
- Ste manažér, ktorý musí navštíviť rodinu a oznámiť jej, že ich manžel/syn prišiel o život po nehode vo vašom závode?
- Môžete sa na seba pozrieť do zrkadla s vedomím, že ste urobili všetko, čo bolo vo vašich silách, aby bol váš priemyselný podnik čo najbezpečnejší? Po prečítaní tohto článku už asi nie…
Je načase konať a zaistiť bezpečnosť spätne, keďže sa ešte nestala žiadna nehoda. Nehody nie sú otázkou AK, ale KEDY.
Záver
Bezpečnostný systém, v ktorom sú zakúpené všetky zariadenia vhodné pre určitú úroveň SIL, nie je bezpečnostný systém. Úroveň SIL sa musí preukázať výpočtom PFDavg, posúdením na HFT a na SC. SC sa dá kedykoľvek preukázať dobre zdokumentovaným systémom FSM. Systém FSM musí uľahčiť riadenie kompetencií zapojených zamestnancov a zahŕňať postupy, nástroje a šablóny. Kontroluje sa prostredníctvom pravidelných auditov. FSM sa má zohľadňovať od začiatku návrhu až po vyradenie z prevádzky, pre všetky SIF (pipe-to-pipe).
Autor pôvodnej verzie článku:
Ton Beems, expert na funkčnú bezpečnosť (TÜV Rheinland #146/10 SIS FSM), Safety Assurance and Consultancy department – Yokogawa Europe.
Ladislav Nagy
Špecialista na funkčnú bezpečnosť a školiteľ (TÜV Rheinland #58/2020; SIS)
Yokogawa Slovakia s.r.o.
ladislav.nagy@yokogawa.com