Proces od identifikácie nebezpečenstiev po definovanie bezpečnostných požiadaviek
Norma [1] definuje bezpečnosť ako neprítomnosť neprijateľného rizika. Z tejto definície vyplýva, že absolútna bezpečnosť je nedosiahnuteľná a treba akceptovať fakt, že prevádzka mnohých priemyselných procesov obsahuje určité prirodzené riziko. Vo všeobecnosti možno riziko vyjadriť vzťahom:
(1)
kde
R je celkové riziko spojené s riadeným procesom;
n je počet nebezpečenstiev (nežiaducich udalostí);
ri je riziko súvisiace s i-tým nebezpečenstvom (možno ho vypočítať ako kombináciu intenzity, resp. frekvencie, početnosti, pravdepodobnosti nebezpečenstva a jeho dôsledkov.
Vo všeobecnosti platí, že ak je riziko spojené s riadeným procesom (vypočítané alebo odhadnuté) väčšie ako tolerovateľné riziko, tak ho treba aplikáciou bezpečnostných opatrení (ochranných vrstiev) znížiť minimálne na úroveň tolerovateľného rizika (obr. 3). Veľkosť tolerovateľného rizika závisí od konkrétnej aplikačnej oblasti a ak ide o riziko súvisiace s ohrozením zdravia osôb alebo životného prostredia, tak je spravidla definované zákonmi, normami alebo inou legislatívou.
Analýzu rizika treba realizovať pre daný technologický proces a s ním spojené zariadenia. V rámci analýzy treba identifikovať všetky nebezpečenstvá a pre každé nebezpečenstvo určiť (odhadnúť) pravdepodobnosť jeho výskytu, jeho dôsledky (škody na ľudskom zdraví, životnom prostredí, materiálne škody…) a vypočítať (odhadnúť) s ním spojené riziko. Je dôležité, aby boli identifikované všetky nebezpečenstvá, ktoré sa môžu vyskytnúť v jednotlivých fázach technologického procesu. Pri identifikácii nebezpečenstiev sa odporúča postupovať od majoritných k minoritným nebezpečenstvám, aby sa zaistilo čo najväčšie pokrytie priestoru nebezpečenstiev.
Dôležité je, aby sa pri identifikácii nebezpečenstiev venovala pozornosť aj prípadným ľudským chybám. Kvantitatívne hodnotenie rizika je z praktického hľadiska veľmi problematické (napríklad z dôvodu nejednotnej kvantifikácie rôznych dôsledkov nebezpečenstva), preto sa v praxi na hodnotenie rizika spravidla používajú kvalitatívne alebo semikvantitatívne metódy, resp. kombinácia týchto metód (FMEA, ETA, HAZOP…). Na základe výsledkov hodnotenia rizika sa definujú bezpečnostné funkcie (SF – safety function: funkcia, ktorá má byť realizovaná SIS alebo iným technologickým systémom súvisiacim s bezpečnosťou alebo externým prostriedkom na zníženie rizika, ktorým sa dosiahne alebo udrží bezpečný stav procesu vzhľadom na špecifickú nebezpečnú udalosť [2]).
Z tejto definície vyplýva, že každé identifikované nebezpečenstvo musí byť eliminované (čiastočne alebo úplne) použitím bezpečnostnej funkcie. Nevylučuje sa, aby jedna bezpečnostná funkcia pokrývala viac nebezpečenstiev. Pri definovaní bezpečnostných funkcií treba brať do úvahy fakt, že jedno nebezpečenstvo môže mať rôzne následky (v závislosti od momentálneho stavu technologického procesu) alebo rôzne nebezpečenstvá môžu mať rovnaký následok. Na obr. 4 je znázornený princíp redukcie rizika pomocou ochranných vrstiev (PL – protection layer). Ochranné vrstvy spoločne zaisťujú požadovanú úroveň bezpečnosti riadeného procesu tým, že poskytujú prevenciu pred výskytom nehody (znižujú frekvenciu výskytu nebezpečenstva) a/alebo zmierňujú následky prípadnej nehody, a tak sa podieľajú na realizácii bezpečnostných funkcií.
Odporúča sa, aby jednotlivé bezpečnostné vrstvy boli navzájom nezávislé, pričom ich počet závisí od konkrétnej aplikácie (závislosť znižuje ich účinok a komplikuje postupy súvisiace s dosiahnutím požadovanej bezpečnosti). Medzi ochranné vrstvy možno zaradiť aj základný systém riadenia procesu (BPCS), ktorý reaguje na signály z riadeného procesu, resp. od operátora, a zaisťuje riadenie procesu v zhode s definovanými funkčnými požiadavkami, aj keď spravidla nevykonáva bezpečnostné funkcie. Bezpečnostné riadiace systémy spojitých technologických procesov (SIS) tvoria jednu z ochranných vrstiev a sú špeciálne navrhnuté tak, aby minimalizovali výskyt nehody a tým chránili osoby, životné prostredie a zariadenia.
Aké bezpečnostné funkcie bude realizovať SIS, závisí od výsledkov analýzy rizika, pričom treba zohľadniť aj redukciu rizika, spojenú s prípadným použitím iných ochranných vrstiev a k nim priradeným bezpečnostných funkcií. SIS môže realizovať jednu alebo viac bezpečnostných funkcií. Bezpečnostné funkcie realizované SIS sú označované pojmom safety instrumented function (SIF). Pravdepodobnosť, s akou SIS uspokojivo plní požadované SIF v stanovených podmienkach a v stanovenom čase, sa vyjadruje pomocou integrity bezpečnosti (safety integrity) [2] (poznámka autora: vhodnejšie by bolo hovoriť o schopnosti, a nie pravdepodobnosti).
Integrita bezpečnosti sa udáva pomocou úrovne integrity bezpečnosti (SIL – safety integrity level) a tvoria ju dve časti – integrita bezpečnosti hardvéru (súvisí s náhodnými poruchami hardvéru a dá sa kvantifikovať) a systematická integrita bezpečnosti (súvisí so systematickými poruchami a nedá sa kvantifikovať) [2]. Na integritu bezpečnosti vplývajú rôzne faktory, ako je to naznačené na obr. 5.
Medzi tieto faktory treba zaradiť aj manažérstvo bezpečnosti, ktoré sa týka všetkých fáz životného cyklu SIS a pre jednotlivé fázy definuje úlohy, ktoré treba splniť, aby sa dosiahli stanovené bezpečnostné ciele. Ďalšie faktory (bezporuchovosť, diagnostika, architektúra obnova a technická nezávislosť) sú závislé od technického riešenia a spôsobu prevádzky SIS. Tieto faktory sa v mnohých prípadoch dajú opísať parametrami (dajú sa kvantifikovať), tak ako je to znázornené na obr. 5.
Vo všeobecnosti môže byť SF vykonávaná v režime prevádzky s nízkym vyžiadaním (operating in low demand mode of operation), v režime prevádzky s vysokým vyžiadaním (operating in high demand mode of operation) alebo v režime nepretržitej prevádzky (continuous mode of operation) [1]. Norma [2] rozlišuje len dva režimy prevádzky – režim s vyžiadaním (ak je frekvencia vyžiadania SIF menšia ako raz za rok) alebo nepretržitú prevádzku. V tab. 1 sú uvedené kvantitatívne požiadavky na jednotlivé SIL, ktoré sa vzťahujú na integritu bezpečnosti hardvéru.
Safety integrity level SIL |
režim s vyžiadaním | režim nepretržitej prevádzky |
stredná pravdepodobnosť nebezpečnej poruchy vyžidania SIF (PFDavg) |
stredná frekvencia nebezpečnej poruchy SIF [h-1] (PFH) |
|
4 | 10-5 ≤ až < 10-4 | 10-9 ≤ až < 10-8 |
3 | 10-4 ≤ až < 10-3 | 10-8 ≤ až < 10-7 |
2 | 10-3 ≤ až < 10-2 | 10-7 ≤ až < 10-6 |
1 | 10-2 ≤ až < 10-1 | 10-6 ≤ až < 10-5 |
Poznámka: SIL sa vzťahuje na SIF a niena SIS; SIS môže realizovať viac SIF s rôznymi SIL.
Tab. 1 Úrovne integrity bezpečnosti
Pretože SIL, ktorá sa vyžaduje od SIF, od veľkosti rizika, ktoré musí byť redukované. Preto mnohé v praxi používané metódy na hodnotenie rizika sú založené na predpoklade, že riziko sa odhaduje individuálne pre každé nebezpečenstvo a pre takto odhadnuté riziko metóda priamo priraďuje SIL pre SIF, ktorá redukuje identifikované nebezpečenstvo na tolerovateľnú úroveň (napríklad graf rizika). Analýza rizika tvorí základ pri definovaní bezpečnostných požiadaviek na SIS.
Bezpečnostné požiadavky musia byť špecifikované v takom rozsahu, aby boli dostatočné pre návrh SIS. Medzi tieto požiadavky možno zaradiť:
- opis funkčného správania pre každú SIF, ktorú SIS realizuje;
- definovanie SIL pre každú SIF, ktorú SIS realizuje;
- definovanie bezpečného stavu pre každú SIF, ktorú SIS realizuje;
- definovanie reakčného času pre každú SIF, ktorú SIS realizuje;
požiadavky súvisiace s manuálnym vypnutím SIS a opätovným uvedením do prevádzky apod.
Bezpečnostné požiadavky musia byť špecifikované tak, aby boli zrozumiteľné, jednoznačné, realizovateľné a kontrolovateľné. Článok bol vypracovaný s podporou Kultúrnej a edukačnej grantovej agentúry MŠVVaŠ SR KEGA, projekt č. 034ŽU-4/2016: Implementácia moderných technológií so zameraním na riadenie pomocou safety PLC do vzdelávania.
Literatúra
[1] STN EN 61508: Funkčná bezpečnosť elektrických/elektronických/programovateľných elektronických systémov súvisiacich s bezpečnosťou (Functional safety of electrical/ electronic/ programmable electronic safety-related systems). 2010.
[2] STN EN 61511: Funkčná bezpečnosť. Bezpečnostné riadiace systémy spojitých technologických procesov. (Functional safety – Safety instrumented systems for the process industry sector). 2005. Časť 1: Všeobecne, pojmy, požiadavky na systémy, softvér a hardvér. Časť 2: Návod na použitie časti 1. Časť 3: Návod na určenie požadovanej úrovne komplexnej bezpečnosti.
prof. Ing. Karol Rástočný, PhD.karol.rastocny@fel.uniza.sk
doc. Ing. Juraj Ždánsky, PhD.
juraj.zdansky@fel.uniza.sk
Žilinská univerzita v Žiline
Elektrotechnická fakulta
Katedra riadiacich a informačných systémov