Przykład
Transkrypt
Przykład
Instalacja procesowa W9-1 Warstwy zabezpieczeń Kryteria probabilistyczne SIL PFDavg PFH 4 [ 10-5, 10-4 ) [ 10-9, 10-8 ) 3 [ 10-4, 10-3 ) [ 10-8, 10-7 ) 2 [ 10-3, 10-2 ) [ 10-7, 10-6 ) 1 [ 10-2, 10-1 ) [ 10-6, 10-5 ) według: EN 61508, EN 61511 SIL – poziom nienaruszalności bezpieczeństwa (ang. safety integrity level) PFDavg – przeciętne prawdopodobieństwo niewypełnienia funkcji bezpieczeństwa na żądanie PFH – prawdopodobieństwo uszkodzenia niebezpiecznego na godzinę System zabezpieczeniowy E/E/PE czu jn ik i (k z n ) S1 PLC I1 CPU 1 B B B B Sn elem en ty w yk o n aw cze (k z n ) In O1 B B B B CPU n A1 On B B An E/E/PE – Elektryczny/Elektroniczny/Programowalny Elektroniczny Każdy podsystem może mieć architekturę k z n Określenie i weryfikacja SIL A n aliza ry zy k a O k reślen ie fu n k cji b ezp ieczeń stw a O cen a ry zy k a O k reślen ie w y m ag ań S IL P ro jek t sy stem u E /E /P E M o d el p ro b ab ilisty cz n y sy stem u stero w an ia W ery fik acja o trzy m an eg o S IL O cen a ilo ścio w a S p ełn ia w y m ag an ia M o d y fik acja p ro jek tu N ie sp ełn ia w y m ag ań Przykład Zbiornik ciśnieniowy z zabezpieczeniem Warstwa zabezpieczeń (PL) flara Legenda: PL BPCS PAH LT PAH LT LCV BPCS LCV – warstwa zabezpieczeń (protection layer) – czujnik ciśnienia (pressure alarm high) – czujnik poziomu (level transmitter) – zawór (level control valve) – system sterowania (basic process control system) Przykład Zbiornik ciśnieniowy z zabezpieczeniem Analiza ryzyka dla systemu może być przeprowadzona przy pomocy półilościowych metod, z zachowaniem odpowiedniej kolejności wykonywanych czynności: • zidentyfikowanie zagrożeń • zidentyfikowanie warstw zabezpieczeń (jeśli proces już istnieje) • zidentyfikowanie zdarzeń inicjujących • stworzenie scenariuszy awaryjnych dla każdego zagrożenia • stwierdzenie częstości występowania zdarzeń inicjujących i niezawodności istniejącego systemu (z wykorzystaniem danych historycznych lub technik modelowania, np. FTA, grafy Markowa) • określenie ilościowe częstości występowania każdego zagrożenia • określenie konsekwencji dla wszystkich zagrożeń • uzyskanie miary ryzyka, dzięki powiązaniu konsekwencji z częstościami dla każdego zagrożenia Pierwsze cztery kroki mogą być wykonane poprzez analizę HAZOP Przykład Zbiornik ciśnieniowy z zabezpieczeniem 1 krok – zidentyfikowanie zagrożeń występujących w systemie W tym celu można posłużyć się jedną z wielu dostępnych metod, m.in. : • przegląd cech bezpieczeństwa (safety reviews) • analiza list kontrolnych (checklists) • analiza „co-jeżeli” (what-if) • analiza HAZOP (hazard & operability) • Analiza typów i skutków FMEA (failure mode and effects) Przykład Zbiornik ciśnieniowy z zabezpieczeniem Jedną z najczęściej wykorzystywanych technik jest analiza HAZOP, która umożliwia zidentyfikować zagrożenia występujące lub mogące wystąpić w systemie, jak również pewne problemy, które mogą wyniknąć w trakcie użytkowania takiego systemu. Przykład: Analiza HAZOP dla możliwego uwolnienia zawartości zbiornika do atmosfery. Element Odchyłka Przyczyna Skutek Zabezpieczenia Zbiornik Wysoki poziom Uszkodzenie BPCS Wysokie ciśnienie Operator Wysokie ciśnienie Słaby/brak przepływu Przepływ wsteczny 1) Wysoki poziom 2) Pożar Uszkodzenie BPCS Uwolnienie zawartości do atmosfery Brak konsekwencji Brak konsekwencji 1) Alarm, operator, warstwy zabezpieczeń 2) System ppoż. Akcje Identyfikacja warunków uwolnienia zawartości Przykład Zbiornik ciśnieniowy z zabezpieczeniem Przykładowa analiza HAZOP umożliwiła zidentyfikowanie możliwej przyczyny uwolnienia zawartości zbiornika do atmosfery, którą jest wystąpienie nadciśnienia w zbiorniku. Metoda wykorzystywana w tym przykładzie jest kombinacją ilościowego szacowania częstości wystąpienia zagrożenia oraz jakościowego określenia jego konsekwencji. Przykład Zbiornik ciśnieniowy z zabezpieczeniem 2 krok – zidentyfikowanie czynników mogących zainicjować niepożądane zdarzenie Przykład: Identyfikacja zdarzeń inicjujących powstanie nadciśnienia w zbiorniku, za pomocą drzewa uszkodzeń (FTA) Nadciśnienie w zbiorniku (0,1/rok) Czynnik zewnętrzny Awaria funkcji systemu ster. (pożar) Uszkodzenie systemu ster. Awaria czujnika Zacięcie zaworu Przykład Zbiornik ciśnieniowy z zabezpieczeniem 3 krok – po ustaleniu częstości zdarzenia inicjującego, uszkodzenie systemu na skutek tego zdarzenia można zamodelować wykorzystując drzewo zdarzeń (ETA) Alarm wysokiego ciśnienia Działanie operatora Warstwa zabezpieczeń 1. Brak uwolnienia zawartości do flary 8x10-2/rok sukces nadciśnienie w zbiorniku 0.9 0.9 0.9 2. Uwolnienie zawartości do flary przez PL 8x10-3/rok 0.1 10-1/rok 0.1 awaria 0.1 3. Uwolnienie zawartości do atmosfery 9x10-4/rok 4. Uwolnienie zawartości do flary przez PL 9x10-3/rok 0.9 5. Uwolnienie zawartości do atmosfery 1x10-3/rok 0.1 Przykład Zbiornik ciśnieniowy z zabezpieczeniem 4 krok – porównanie uzyskanych wyników z wcześniej ustaloną wartością ryzyka tolerowanego W przykładzie częstość uwolnienia zawartości zbiornika do atmosfery ustalono jako nie większą niż 10-4/rok, dlatego należy wprowadzić dodatkowe zabezpieczenia w celu redukcji ryzyka do poziomu tolerowanego Przykład Zbiornik ciśnieniowy z zabezpieczeniem 5 krok – wprowadzenie nowej niezależnej warstwy zabezpieczeń PL1 BPCS PAH LT LCV PL2 Przykład Zbiornik ciśnieniowy z zabezpieczeniem 6 krok – analiza ETA systemu z nową warstwą zabezpieczeń Alarm wysokiego ciśnienia Działanie operatora Warstwa zabezpieczeń 1 Warstwa zabezpieczeń 2 1. Brak uwolnienia zawartości do flary 8x10-2/rok sukces nadciśnienie w zbiorniku 0.9 2. Uwolnienie zawartości do flary 8x10-3/rok 0.9 0.9 0.9 0.1 10-1/rok 3. Uwolnienie zawartości do flary 8x10-4/rok 0.1 0.1 4. Uwolnienie zawartości do atmosfery 9x10-5/rok awaria 0.1 5. Uwolnienie zawartości do flary 9x10-3/rok 0.9 0.9 0.1 6. Uwolnienie zawartości do flary 9x10-4/rok 7. Uwolnienie zawartości do atmosfery 1x10-4/rok 0.1 Przykład Zbiornik ciśnieniowy z zabezpieczeniem 7 krok – porównanie uzyskanych wyników z wcześniej ustaloną wartością ryzyka tolerowanego W przykładzie częstość uwolnienia zawartości zbiornika do atmosfery ustalono jako nie większą niż 10-4/rok. Wg analizy scenariusz zdarzeń nr 7 nadal nie spełnia wymagań, stąd wniosek, że nie można zredukować ryzyka do poziomu tolerowanego za pomocą wprowadzenia zewnętrznych warstw zabezpieczeń. Całkowita częstość uwolnienia zawartości zbiornika do środowiska wynosi 1,9x10-4/rok (suma wartości dla scenariusza 4 i 7) W celu zredukowania tej wartości do wartości tolerowanej należy wprowadzić system bezpieczeństwa SIS o poziomie nienaruszalności bezpieczeństwa SIL2 Przykład Zbiornik ciśnieniowy z zabezpieczeniem 8 krok – wprowadzenie systemu SIS Warstwa zabezpieczeń PS1 Układ logiczny PS2 PAH LT SV LCV flara Przykład Zbiornik ciśnieniowy z zabezpieczeniem 9 krok – analiza ETA systemu z SIS Alarm wysokiego ciśnienia Działanie operatora Funkcja bezpieczeństwa Warstwa zabezpieczeń 1. Brak uwolnienia zawartości do flary 8x10-2/rok sukces nadciśnienie w zbiorniku 0.9 2. Brak uwolnienia zawartości do flary 9x10-3/rok 0.99 0.9 0.9 0.1 10-1/rok 3. Uwolnienie zawartości do flary 8x10-5/rok 0.01 0.1 4. Uwolnienie zawartości do atmosfery 9x10-6/rok awaria 0.1 5. Brak uwolnienia zawartości do flary 1x10-2/rok 0.99 0.9 0.01 6. Uwolnienie zawartości do flary 9x10-5/rok 7. Uwolnienie zawartości do atmosfery 1x10-5/rok 0.1 Przykład Zbiornik ciśnieniowy z zabezpieczeniem 10 krok – porównanie uzyskanych wyników z wcześniej ustaloną wartością ryzyka tolerowanego W przykładzie częstość uwolnienia zawartości zbiornika do atmosfery ustalono jako nie większą niż 10-4/rok. Wg analizy wszystkie scenariusze mają wartość poniżej wartości tolerowanej. Całkowita częstość uwolnienia zawartości zbiornika do środowiska wynosi 1,9x10-5/rok i jest niższa niż zakładane 10-4/rok Zatem możemy określić wymagania SIL dla systemu E/E/PE na poziomie SIL2. System ten powinien być zaprojektowany w taki sposób, aby spełnić te wymagania. Jakościowa weryfikacja poziomu SIL Do weryfikacji poziomu SIL systemów E/E/PE można stosować metody jakościowe, bądź ilościowe, z tym że metody jakościowe mogą być stosowane jedynie w zgrubnej ocenie systemu, w przypadku braku danych niezawodnościowych. Metodą jakościową jest zwijanie schematu blokowego systemu: Typ A SIL2 Typ B SIL3 Typ B SIL2 Typ B SIL1 Typ B SIL2 Typ A SIL1 Typ B SIL2 Typ B SIL2 Typ B SIL1 Typ B SIL2 Typ B SIL3 Typ B SIL2 Typ B SIL3 Typ B SIL2 Typ B SIL3