Politechnika Gdańska
Transkrypt
Politechnika Gdańska
Plan prezentacji Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Automatyki • Systemy zarządzania w zakładzie przemysłowym • Racjonalizacja kosztów produkcji w obiektach podwyższonego ryzyka • Opcje sterowania ryzykiem – rozwiązania techniczne i organizacyjne • Redukcja ryzyka za pomocą systemów E/E/PE • Warstwy zabezpieczeniowo-ochronne instalacji podwyższonego ryzyka (BPCS-Operator-SIS) • Interfejsy operatorskie (HMI) i system alarmowy (AS) • Wpływ parametrów ryzyka na założenia projektowe systemu alarmowego • Systemy sterowania i systemy alarmowe zorientowane na człowieka – aktualne wyzwania • Wnioski końcowe Kazimierz T. Kosmowski [email protected] Wprowadzenie do przedmiotu „Niezawodność i diagnostyka” Aktualne zagadnienia niezawodności i bezpieczeństwa Przedmiot: Niezawodność i diagnostyka (NiD) AiR, studia I stopnia, sem. V, rok. ak. 2010/11 Obiekty techniczne / instalacje przemysłowe Zarządzanie ryzykiem Rynek Inwestycje Ryzyko Produkcja Sprzedaż Zysk Eksploatacja Systemy zarządzania w obiekcie przemysłowym podwyższonego ryzyka Cele Zagrożenia System zarządzania przedsiębiorstwem Zakłócenia Zawodność Odstawienia Awarie Straty / szkody System zarządzania bezpieczeństwem informacji Ocena ryzyka System zarządzania jakością Media System zarządzania środowiskowego Energia Ryzyko strat: •ludzkich •majątkowych •środowiskowych Surowce, półprodukty robocze System zarządzania bezpieczeństwem informacji, projektowany np. z uwzględnieniem norm: – PN-ISO/IEC 27001:2007, – ISO/IEC 17799:2005, – ISO/IEC 15408:2005, – ISO/IEC 13335:2004; System zarządzania jakością – PN-EN ISO 9001:2001(2008); System zarządzania środowiskowego – PN-EN ISO 14001: 2005; System zarządzania bezpieczeństwem techniki i pracy: – PN-EN 61508:2002, – PN-EN 61511:2005, – PN-N 18001:2004 i inne. Potrzeba integrowania systemów zarządzania. Obciążenie środowiska Potencjalne straty* Ryzyko R Zagrożenia Ocena ryzyka dla celów ubezpieczeń * straty: zdrowotne, środowiskowe i ekonomiczne Kryteria Systemy zarządzania w zakładzie przemysłowym Normy dotyczące jakości, ochrony środowiska i bezpieczeństwa Zautomatyzowana instalacja procesowa w różnej formie System zarządzania bezpieczeństwem techniki i pracy 3 Produkty; koszty C Zarządzanie bezpieczeństwem – zagrożenia, scenariusze awaryjne, opcje sterowania ryzykiem, kryteria. Systemy warunkujące niezawodność i bezpieczeństwo obiektu przemysłowego podwyższonego ryzyka 8. Obiekty współpracujące Infrastruktura i środowisko 13. Systemy kontroli dostępu, zabezpieczeń i ochrony 12. Nadzór techniczny i administracyjny 11. Realizacja strategii w ramach SZP 14. Telekomunikacja, sieć komputerowa 2. Systemy pomocnicze i systemy zabezpieczeń 4. Systemy sterowania 1. Instalacja procesowa 3. Systemy pomiarowe 7. Systemy automatyki zabezpieczeniowej 6. Sterownia - nadzór operatorski i systemy wspomagania decyzji 5.Systemy monitorowania, diagnostyki i alarmów 10. Opracowanie strategii eksploatacji w ramach SZP (jakość, efektywność i bezpieczeństwo) 9. Systemy rejestracji danych eksploatacyjnych i środowiskowych oraz zakłóceń wewnętrznych i zewnętrznych Problem racjonalizacji kosztów produkcji w obiektach podwyższonego ryzyka min C p dla Q p ⊇ Q rp , E e ⊆ E er , D i ⊇ D ir , R l ⊆ R lr Minimalizowanie wektora składowych kosztów produkcji Cp (skumulowanych w ciągu roku lub jednostkowych) przy spełnieniu wymagań / kryteriów (r): • wektor wymagań jakościowych Qp, • wektor obciążenia środowiskowego Ee - kary za emisję lub wydalanie substancji szkodliwych do otoczenia (np. CO2 lub ścieków), • wektor miar związanych z niezawodnością / gotowością instalacji Di, zależy od realizacji przyjętej strategii obsługi profilaktycznej oraz • wektor ryzyka różnego rodzaju potencjalnych strat Rl o charakterze losowym lub w wyniku działań intencyjnych (np. ataku na obiekt lub cyberataku). Odpowiednio zdefiniowane miary ryzyka należy redukować lub utrzymywać na określonym poziomie stosując systemy zabezpieczające oraz właściwą strategię okresowego testowania elementów i ich obsługi profilaktycznej. Istotny wpływ czynników ludzkich i organizacyjnych. Matryca ryzyka i ilustracja wymaganej redukcji ryzyka Zbiór trójek do wyznaczenia miar ryzyka: N [j. strat] F [a-1] F0 F-1 NA III III ℜ = {< S k , Fk , N k >} NB NC ND NE II I I I III a II IV III II F-3 IV IV III b IV b IV I Sterowanie ryzykiem - proces podejmowania decyzji mających na celu zarządzanie ryzykiem, w szczególności racjonalne zmniejszenie lub utrzymywanie ryzyka na określonym poziomie, korzystając z wyników oszacowania i oceny ryzyka. Dwa podejścia: (a) aktywne polegające na oddziaływaniu na przyczyny i czynniki ryzyka oraz (b) pasywne, koncentrujące się na zabezpieczaniu przed poważnymi awariami i ich skutkami. Najbardziej efektywne są podejścia zintegrowane. Koncepcja redukcji ryzyka za pomocą systemu E/E/PE PN-EN 61508 Ryzyko resztkowe Ryzyko tolerowane Ryzyko wzrasta II Możliwa redukcja ryzyka Częściowe ryzyko pokryte przez systemy bezpieczeństwa innej technologii d I II Częściowe ryzyko pokryte przez systemy E/E/PE związane z bezpieczeństwem Częściowe ryzyko pokryte przez zewnętrzne środki redukcji ryzyka Redukcja ryzyka uzyskana przez wszystkie systemy związane z bezpieczeństwem i zewnętrzne środki redukcji ryzyka ** b III IV II System elektryczny, elektroniczny, programowalny elektroniczny (E/E/PE) Komunikacja Interfejsy wejściowe (np. przetworniki A-C) Interfejsy wyjściowe (np. przetworniki C-A) Wymagane względne zmniejszenie ryzyka wprowadzając system E/E/PE B. Programowalne urządzenie elektroniczne r R = Rt / Rnp = Ft / Fnp = r F = PFDavg System E/E/PE – System elektryczny/ elektroniczny/ programowalny elektroniczny PFDavg – przeciętne prawdopodobieństwo niewypełnienia funkcji na przywołanie Schemat blokowy przykładowego układu z nadmiarowością strukturalną 1 7 2 2/3 4 A C. Wy Zasilanie Urządzenia wejściowe (np. czujniki) Rnp = Fnp N Skutki N = const ΔR = Rnp - Rt N – kategorie (przedziały liczbowe) strat F - kategorie (przedziały liczbowe) zdarzeń awaryjnych I, II, III i IV - kategorie ryzyka A. We Ryzyko związane z EUC R t = Ft N I c II * F Zarządzanie ryzykiem - systematyczna realizacja polityki bezpieczeństwa w praktyce z uwzglednieniem procedur i działań mających na celu analizowanie, ocenę i sterowanie ryzykiem. Wymagana redukcja ryzyka F-2 -4 Sterowanie ryzykiem Ryzyko (techniczne) - kombinacja częstości lub prawdopodobieństwa wystąpienia niebezpiecznych zdarzeń awaryjnych i ich konsekwencji prowadzących do określonych szkód, w tym strat zdrowotnych, środowiskowych i/lub materialnych (ekonomicznych) Urządzenia wyjściowe (np. elementy wykonawcze) ¾ Podsystemy A, B i C składają się z elementów potencjalnie zawodnych. ¾ Aby osiągać poprawiać niezawodność stosuje się nadmiarowość strukturalną w podsystemach A, B, C. ¾ Formułuje się kryteria probabilistyczne dla systemu E/E/PE realizującego funkcje związane z bezpieczeństwem. 3 W podukładzie A zaproponowano nadmiarowość strukturalną 2oo3, aby: • zwiększyć prawdopodobieństwo skutecznego zadziałania tego podukładu na przywołanie ( i całego układu), • zmniejszyć prawdopodobieństwo niepotrzebnego zadziałania układu spowodowanego bezpiecznymi uszkodzeniami elementów 1-3. 5 B 6 C 8 A - podukład pomiarowoprzetwornikowy B - podukład przetwarzania informacji / zasilania C - podukład wykonawczy 1-3 - czujnik / przetwornik 4 - element głosujący 5 - zasilanie 6 - przekaźnik 7-8 - elementy wykonawcze Etap ANALIZY (odbiorca, specjalista) Etap REALIZACJI (dostawca, użytkownik) 1 Koncepcja 2 Określenie całkowite zakresu 3 Analiza zagrożeń i ryzyka 4 Wymagania całkowite bezpieczeństwa 5 Alokacja bezpieczeństwa 9 Planowanie całkowite 6 Planowanie użytkowania i obsługi 7 Planowanie walidacji bezpieczeństwa Etap UŻYTKOWANIA (użytkownik / dostawca) 8 Planowanie instalowania i wprowadzenia do ruchu Systemy związane z bezpieczeństwem: E/E/PE Cykl życia (trwania) bezpieczeństwa PN-EN 61508 10 Systemy związane z bezpieczeństwem w innych technikach Realizacja (zob. cykl życia bezpieczeństw a E/E/PE) Realizacja 12 Zainstalowanie i wprowadz. do ruchu 13 Całkowita walidacja bezpieczeństwa 14 Użytkowanie, obsługa i naprawa 16 Wyłączenie z ruchu lub likwidacja 11 Zewnętrzne środki do zmniejszenia ryzyka Realizacja Powrót do odpowiedniej fazy cyklu życia bezpieczeństwa 15 Bezpieczeństwo funkcjonalne PN-EN 61508:4 Definicje i skrótowce Ryzyko tolerowane - ryzyko akceptowane w określonym kontekście, opartym na aktualnych wartościach społecznych Ryzyko resztkowe - ryzyko pozostające po zastosowaniu środków bezpieczeństwa Bezpieczeństwo - nie występowanie ryzyka nieakceptowanego Bezpieczeństwo funkcjonalne - część bezpieczeństwa, odnosząca się do wyposażenia sterowanego EUC (equipment under control) i systemu sterowania EUC, która zależy od prawidłowego działania systemów E/E/PE związanych z bezpieczeństwem, systemów związanych z bezpieczeństwem wykonanych w innych technikach i zewnętrznych środków zmniejszenia ryzyka. Modyfikacje i odnowa Nienaruszalność bezpieczeństwa i poziom nienaruszalności bezpieczeństwa SIL Nienaruszalność bezpieczeństwa - prawdopodobieństwo, że system związany z bezpieczeństwem wykona właściwie wymagane funkcje bezpieczeństwa w określonych warunkach i w określonym przedziale czasowym. Poziom nienaruszalności bezpieczeństwa SIL (safety integrity level) poziom dyskretny (1, 2, 3 lub 4) do wyszczególnienia wymagań nienaruszalności bezpieczeństwa funkcji bezpieczeństwa, które mają być alokowane w systemach E/E/PE związanych z bezpieczeństwem. Kryteria probabilistyczne do weryfikacji SIL funkcji związanych z bezpieczeństwem realizowanych przez systemy E/E/PE (PN-EN 61508) Poziom nienaruszalności bezpieczeństwa SIL Prawdopodobieństwo niewypełnienia funkcji na przywołanie PFDavg rodzaj pracy rzadkiego przywołania (LDM) Prawdopodobieństwo uszkodzenia niebezpiecznego na godzinę PFH - rodzaj pracy częstego przywołania lub ciągły (HDM) 4 [ 10-5, 10-4 ) [ 10-9, 10-8 ) 3 [ 10-4, 10-3 ) [ 10-8, 10-7 ) 2 [ 10-3, 10-2 ) [ 10-7, 10-6 ) 1 [ 10-2, 10-1 ) [ 10-6, 10-5 ) PFDavg – probability of failure on demand - average PFH - probability of dangerous failure per hour Zgrubna weryfikacja SIL systemu E/E/PE metodą jakościową Typ B Typ A SIL3 SIL2 Typ A SIL1 Typ B Typ B SIL2 Typ A SIL2 SIL1 Typ B SIL2 Typ B SIL1 Typ A SIL2 Typ B SIL2 Typ B SIL3 Typ B SIL2 Warstwy zabezpieczeniowo-ochronne instalacji podwyższonego ryzyka (PN-EN 61511) 5. Systemy zabezpieczeń inżynieryjnych (zawory, kurtyny, obudowy) 4. Systemy automatyki zabezpieczeniowej SIS 3. System alarmowy AS i interwencje operatorów 2. Podstawowy system sterowania BPCS 1. Instalacja procesowa BPCS – basic process control system AS – alarm system SIS – safety instrumented system Przykładowe warstwy w systemie sterowania i zabezpieczeń Basic Process Control System BPCS Certyfikowane rozwiązania sprzętowe Safety Instrumented System OPERATOR SIS Niezależność warstw ? Stanowisko monitorowania i sterowania z podziałem funkcji i specjalizowaną klawiaturą Przykładowe rozwiązanie sterowni obiektu przemysłowego Umiejscowienie i funkcjonalność konsoli w sterowni po analizie czynników ludzkich Proces projektowania zorientowany na człowieka EN ISO 13407 Ergonomiczne aspekty w projektowaniu sterowni z uwzględnieniem analizy zadań operatorów Identyfikowanie potrzeby projektowania zorientowanego na człowieka Zrozumienie i wyspecyfikowanie kontekstu użytkowania Ocena projektów względem wymagań System spełniający wymagania użytkowanika i organizacji Wyspecyfikowanie wymagań użytkownika i organizacji Zaproponowanie rozwiązań projektowych W sterowni starego typu było trudniej uwzględniać aspekty ergonomiczne. Koncepcja rozwiązania sterowni ułatwiająca komunikowanie się operatorów Projekt ergonomicznej sterowni do pracy operatorów na zmianach 12 godzinnych Ergonomiczne rozwiązanie sterowni dużego obiektu przemysłowego Analiza warstw zabezpieczeń LOPA (Layer of Protection Analysis) IPL2 OPERATOR IPL1 BPCS IPL3 SIS Przykładowe trzy warstwy zabezpieczeń IPL (independent protection layers) mają zapobiec wstąpieniu zdarzeń awaryjnych o poważnych skutkach): • IPL1 – system sterowania BPCS (Basic Proces Control System) • IPL2 – człowiek - OPERATOR (nadzorowanie procesu i interwencje w razie wystąpienia sytuacji nienormalnej lub awaryjnej Na przykład 3 dni w jednym tygodniu i 4 dni w następnym. Typy zachowań człowieka-operatora według Rasmussena CELE Rozwiązywanie problemów Opracowanie strategii/planu Zaplanowanie realizacji Skojarzenie sytuacja-działania Wybór reguły do realizacji WPRAWA Odbiór bodźców (aktywacja) Odruchowe wzorce zachowań Sygnalizacja i monitorowanie Proces Faza kognitywna Realizacja Działanie Wykrycie Reakcja na Wykonanie korekcyjnoi diagnoza czas naprawcze Podejmowanie decyzji Opis sekwencji q3 Sukces B3 Błąd wykonania q2 B2 Błąd czasowy Realizacja zadań Działanie Czynności Bodźce Zdarzenie S REGUŁY Rozpoznanie sytuacji Działania i rodzaje błędów operatorskich Model SRK – skill, rule, knowledge WIEDZA Określenie problemu • IPL3 – system zabezpieczeniowy SIS (Safety Instrumented System). Układy sterowania Błąd reakcji/ q1 B1 diagnozy Problem występowania zależności pomiędzy warstwami zabezpieczeniowymi OPERATOR i interfejsy w warstwach zabezpieczeniowych Przy założeniu niezależności warstw PL2 OPERATOR PL1 BPCS PL3 SIS / ESD ESD (emergency shutdown) – system wyłączania awaryjnego AS Instalacja technologiczna podwyższonego ryzyka B. Programowalne urządzenie elektroniczne KBooNB PFD S avg ≅ PFD C. Wy + PFD B avg S2. Alarm przed wyzwoleniem Możliwe skutki Niskie S3. Ryzyko strat materialnych Wysokie Niskie S4. Ryzyko szkody w środowisku T1 T0 N N C L C C C P C C P A A A Wysokie S5. Ryzyko obrażeń Niskie Wysokie Prowadzi to znacznego wzrostu prawdopodobieństwa (częstości) rozważanego scenariusza awaryjnego + PFD PFDiZ >> PFDi C avg Wpływ parametrów ryzyka na założenia projektowe systemu alarmowego (AS) S1. Tylko informacja HEP (human error probability) – prawdopodobieństwo błędu człowieka Fi Z = Fi I ⋅ P ( X i ; PL1 | I ) ⋅ P ( X i ; PL 2 | I ⋅ X i ; PL1 ) ⋅ P( X i ; PL 3 | I ⋅ X i ; PL1 X i ; PL 2 ) KCooNC Zasilanie A avg PFDi ; IPL 2 = HEPi ; IPL 2 = Fi I ⋅ PFDiZ Komunikacja A. We gdzie: Ogólnie występują zależności i należy uwzględniać prawdopodobieństwa warunkowe odpowiednich zdarzeń Projektowanie architektury systemu SIS (nadmiarowość w podsystemach) do realizacji funkcji bezpieczeństwa (redukcja ryzyka) KAooNA Fi = Fi I ⋅ PFDi ; IPL1 ⋅ PFDi ; IPL 2 ⋅ PFDi ; IPL 3 = Fi I ⋅ PFDi TO – wymagany krótki czas reakcji operatora, < 3 min. T1 – dozwolony dłuższy czas reakcji operatora, ≥ 3 min. Kształtowanie charakterystyki niezawodnościowej systemu alarmowego (AS) i człowieka-operatora Wymagane PFDavg 10-1 [10-2,10-1) N – informacja do przekazywania poza alarmem, L – ograniczona korzyść stosowania alarmu, C – rekomendowany alarm w ramach BPCS, P – oddzielny system alarmowy lub w ramach BPCS, A – rekomendowany odseparowany system alarmowy < 10-2 Rodzaj AS i wymagania niezawodnościowe Wymagania dotyczące AS i niezawodności OPERATORA AS standardowy - może być zintegrowany z BPCS Nie ma specjalnych wymagań – AS powinien być projektowany i użytkowany zgodnie z zasadami podanymi w poradniku EMMUA AS traktowany jako system związany z bezpieczeństwem projektowany na poziomie nienaruszalności bezpieczeństwa SIL1 Operator powinien być szkolony w zarządzaniu sytuacjami awaryjnymi zgodnie z projektem AS; alarmy dotyczące różnych sytuacji powinny być wyraźnie rozróżnialne; operator powinien mieć zapewnione jasne procedury reakcji na sygnały alarmowe oraz łatwy dostęp do niezbędnej informacji; oczekiwane działania operatora powinny być poddane audytowi. AS traktowany jako system związany z bezpieczeństwem projektowany na poziomie nienaruszalności bezpieczeństwa, co najmniej SIL2 Nie rekomenduje się wymagań na prawdopodobieństwo błędu człowieka-operatora HEP poniżej 0.01, nawet jeśli działanie jest nieskomplikowane, a informacja wspomagająca diagnozowanie pochodzi z różnych źródeł. Adaptacja rekomendacji z poradnika EEMUA Przypisanie wymagań bezpieczeństwa do systemów związanych z bezpieczeństwem Metoda specyfikacji wymagań nienaruszalności bezpieczeństwa a) konieczne zmniejszenie ryzyka IEC / EN 61508 Przypisanie każdej funkcji bezpieczeństwa i skojarzonych wymagań nienaruszalności bezpieczeństwa Systemy związane z bezpieczeństwem wykonane w innych technikach System E/E/PE związany z bezpieczeństwem System E/E/PE związany #1 z bezpieczeństwem #2 Norma ogólna bezpieczeństwa funkcjonalnego i normy sektorowe Normy dla wytwórców Zewnętrzne środki do zmniejszenia ryzyka b) konieczne zmniejszenie ryzyka System E/E/PE związany z bezpieczeństwem #1 E/E/PE związany z bezpieczeństwem #2 c) poziomy nienaruszalności bezpieczeństwa System E/E/PE związany z bezpieczeństwem #1 System E/E/PE związany z bezpieczeństwem #2 W sprawie wymagań projektowych do indywidualnych systemów E/E/PE związanych z bezpieczeństwem - zob. IEC 61508-2 Norma ogólna Normy dla użytkowników EN 50402, 50271 IEC / EN 61511 Detektory gazu Przemysł procesowy EN 15233 Zabezpieczenia (atmosfera wybuchowa) Energetyka jądrowa EN ISO 13849 IEC / EN 62061 IEC / EN 61513 Sterowanie maszyn Maszyny IEC 61800 EN 50126, 128, 129 Sterowania napędami Transport kolejowy Projektowanie sterowni zorientowane na człowieka i funkcje systemów sterowania / automatyki Integrowanie przemysłowych systemów zarządzania produkcją, eksploatacją, niezawodnością i bezpieczeństwem Rozwiązania sterowni zorientowane na człowieka – wyzwania dotyczące przemysłu/ energetyki System zarządzania procesem eksploatacji wyposażenia System zarządzania alarmami Centrum zarządzania produkcją Oprogramowanie CARE ® BQR i przykładowy obiekt do Uwagi końcowe przeprowadzenia analizy niezawodnościowej • W analizach należy uwzględniać możliwe zależności w warstwach zabezpieczeniowych (BPCS, OPERATOR, SIS) • Istotne znaczenie ma właściwy projekt systemu alarmowego (AS), który w przypadku obiektów zwiększonego ryzyka powinien być zaprojektowany jako odseparowany i możliwie niezależny funkcjonalnie od BPCS. • Dobrze zaprojektowany AS o funkcjach wspomagających diagnozowanie i podejmowanie decyzji sprzyja redukcji prawdopodobieństwa błędów operatora (HEP). Wymaga to projektowania sterowni z uwzględnieniem czynników ludzkich i zasad ergonomii. • W analizie niezawodności człowieka-operatora korzysta się z odpowiedniej metody analizy niezawodności człowieka (HRA), na przykład THERP i HEART. • Występują problemy w analizie aspektów kognitywnych działań operatora, na przykład wówczas, kiedy przyczyną alarmu są błędy utajone w systemie lub uszkodzenia wielokrotne. • Celowe są badania zorientowane na opracowanie zintegrowanego systemu zarządzania eksploatacją w cyklu życia z uwzględnieniem szeroko rozumianych zagadnień niezawodności i bezpieczeństwa funkcjonalnego. CARE ® BQR – Model Boeinga 747 analiza SDTA (Stress Derating and Thermal Analysis) Requirements CAD/CAE BOM Net-List CARE ® Maximizing Product Reliability CAME ® ERP Minimizing Maintenance Cost HTML Reports + Allocation CAfdE ® Core Database Components Field Statistical Data Analyser Project Powiązanie systemu z bazą danych zawierającą dane elementów i składowe dotyczące projektów z analiz FMECA, RBD, FTA, MTTR itd. BOEING 747 CARE ® BQR – model Boeinga 747 ustawienia bazy danych Model Boeinga 747 system sterowania dostarczania tlenu (MIL HDBK 217) Analiza FMECA systemu E/E/PE Macierz krytyczności dla liczby krytyczności jednostki Cr Rodzaje uszkodzeń z przypisanymi im liczbami krytyczności jednostki Cr Raport FMECA Boeinga 747