Krzysztof Niemiec, FS Eng Control Systems Engineer, Fluor S.A.
Wymagania rynku stawiane przedsiębiorstwom produkcyjnym w przemyśle procesowym wymuszają ciągłe zwiększanie konkurencyjności. Często pociąga to za sobą konieczność pracy instalacji blisko granicy wydajności przy jednoczesnym zmniejszeniu liczby operatorów i pracowników obsługi. Takie działania stawiają nowe wyzwania przed służbami odpowiedzialnymi za bezpieczną pracę instalacji. Konieczna jest maksymalizacja ochrony bezpieczeństwa zapewnianej przez operatorów, tak aby byli w stanie szybko wykryć, zdiagnozować potencjalne zagrożenie i zareagować na nie w odpowiednim czasie. Można to osiągnąć poprzez przyjęcie wymogów i zaleceń dotyczących standardów zarządzania alarmami.
Wprowadzenie
Zarządzanie alarmami jest szybko rozwijającym się zagadnieniem w przemyśle procesowym. Jest przedmiotem licznych publikacji, prezentacji oraz dyskusji na spotkaniach technicznych i sympozjach. Większość przedsiębiorstw produkcyjnych staje się coraz bardziej świadoma potrzeby dokładnego zbadania i zrozumienia wydajności ich systemu alarmowego. Źle funkcjonujący system alarmowy jest często wskazywany jako czynnik przyczyniający się do wystąpienia nieplanowanych przestojów w produkcji, incydentów zagrażających bezpieczeństwu pracy instalacji lub nawet poważnych w skutkach wypadków. Znacząca poprawa działania systemu alarmowego jest potrzebna w większości gałęzi przemysłu, w których wykorzystywane są nowoczesne rozproszone systemy sterowania (DCS) obsługiwane przez systemy SCADA [1].
Tragiczne w skutkach zdarzenia, do których doszło w przemyśle, pokazały związek pomiędzy złym zarządzaniem alarmami i naruszeniami bezpieczeństwa procesowego. W 2005 roku w rafinerii w Texas City doszło do eksplozji, w wyniku której zginęło 15 osób, a 180 zostało rannych. Analiza zdarzenia wykazała, że zawiódł kluczowy alarm poziomu i operator nie został powiadomiony o nieprawidłowych warunkach pracy i wystąpieniu niebezpieczeństwa [2]. Innym przykładem jest przepełnienie zbiornika i w rezultacie pożar w Buncefield Oil Depot, także w 2005 roku, co spowodowało straty w wysokości miliarda funtów. Katastrofalnego w skutkach zdarzenia można by było uniknąć, gdyby sygnalizator wysokiego poziomu powiadomił operatora o przekroczeniu dopuszczalnej wartości lub automatycznie odciął dopływ do zbiornika [2][3].
Takie zdarzenia obrazują, co może nastąpić w przypadku, gdy zawodzi system alarmowy i operator nie podejmuje odpowiedniej akcji. Aby przeciwdziałać niebezpiecznym sytuacjom poprzez skuteczne zaprojektowanie, wdrożenie i użytkowanie systemu alarmowego, w rozproszonych systemach sterowania wprowadzono standard IEC 62682:2014 „Management of alarms systems for the process industries”, który został w 2015 roku przyjęty przez Polski Komitet Normalizacyjny jako PN-EN 62682:2015-03 „Zarządzanie alarmami w przemyśle procesowym”. Standard ten jest rozwinięciem ANSI/ISA 18.2-2009 i zawiera metodologię, która jest rozpoznawalna jako „dobra praktyka inżynierska” w zakresie zarządzania alarmami i poprawy bezpieczeństwa pracy instalacji [1][6].
Istota systemu alarmowego
Ważne jest, aby zrozumieć, czym dokładnie jest alarm według standardu IEC 62682. Zgodnie z definicją zamieszczoną w standardzie alarm to dźwiękowe lub wizualne wskazanie operatorowi nieprawidłowości w działaniu urządzenia, odchylenia procesu od punktu pracy lub wystąpienia innych zakłóceń, które wymagają reakcji operatora w odpowiednim czasie. Kluczowe w określeniu alarmu jest wymaganie reakcji operatora oraz to, że zdarzenie wywołujące alarm jest niespodziewane. W przeciwnym razie nie mamy do czynienia z alarmem tylko na przykład z ostrzeżeniem (ang. alert) lub podpowiedzią (ang. prompt) następnych czynności do wykonania (rys. 1) [4] [5].
System alarmowy odgrywa krytyczną rolę w pracy instalacji. Stanowi on element rozproszonego systemu sterowania oraz wizualizacji procesu, którego celem jest przyciągnięcie uwagi operatora i zwrócenie jej na warunki wychodzące poza normalne limity pracy wymagające interwencji. Skuteczna odpowiedź na alarm ma zasadnicze znaczenie w zapobieganiu zaburzeniom przebiegu procesu i powstrzymaniu ich przed eskalacją do bardziej poważnych zdarzeń, nierzadko doprowadzających do nieplanowanych przestojów i naruszeń bezpieczeństwa. Operator w sterowni instalacji chemicznej lub rafineryjnej jest zwykle odpowiedzialny za wiele węzłów procesowych, które sumarycznie mogą być wyposażone w setki urządzeń pomiarowych. Potencjalnie każde z tych urządzeń może generować informacje dla operatora o wystąpieniu jakiejś nieprawidłowości, wywoływać alarm wyświetlany na ekranie synoptycznym wizualizującym proces, co wymaga od operatora podjęcia działań, które często nie są dostatecznie sprecyzowane w dokumentacji. W nowoczesnych rozproszonych systemach sterowania dodanie takiej funkcjonalności jest stosunkowo proste i wymaga jedynie ingerencji w oprogramowanie. Powoduje to jednak, że liczba alarmów zdefiniowanych w systemie sterowania jest często zbyt duża i operator może otrzymać jednocześnie wiele informacji o różnym stopniu ważności, zwłaszcza w sytuacji krytycznej. Istotą problemu jest, aby operator mógł wybrać w pierwszej kolejności zdarzenia wymagające natychmiastowej reakcji i podjąć kroki przywracające proces do normalnych warunków pracy.
Standard zarządzania alarmami
Standard IEC 62682 zawiera wytyczne, które pozwalają zaprojektować, wdrożyć oraz utrzymywać optymalny system alarmowy umożliwiający poprawę wydajności i niezawodności pracy operatora. Standard odwołuje się do tak zwanego cyklu życia systemu alarmowego, przedstawionego na rysunku 2. Jest to podejście podobne do zawartego w normie dotyczącej bezpieczeństwa funkcjonalnego IEC 61511, która opisuje cykl życia przyrządowego systemu bezpieczeństwa (SIS). Cechą charakterystyczną takiej struktury jest to, że poszczególne czynności wykonywane są w kolejnych etapach, natomiast rezultaty każdego z etapów stanowią podstawę do wykonania następnego.
Cykl życia systemu alarmowego proponowany przez standard zaczyna się od stworzenia dokumentu określającego podstawowe definicje i wymagania, które będą stanowiły punkt odniesienia w procesie projektowania, implementacji i utrzymania systemu oraz wprowadzania w nim zmian (etap A, rys. 2). Taki dokument, nazywany filozofią systemu alarmowego, jest krytyczny z punktu widzenia systematycznego podejścia do zarządzania alarmami i utrzymania go w dłuższym okresie eksploatacji. Zawiera on opis między innymi wymagań, jakie musi spełnić alarm, określa sposób nadawania priorytetów oraz wytyczne dotyczące konfiguracji systemu i sposobu przetwarzania zdarzeń alarmowych.
Każdy kolejny etap w cyklu życia jest realizacją celów i założeń określonych w filozofii systemu alarmowego, dlatego jest ona podstawowym elementem procesu zarządzania. Należy pamiętać, że cykl życia systemu alarmowego trwa przez cały okres eksploatacji instalacji. W związku z tym możliwy jest powrót do każdego z etapów w celu ulepszenia systemu i dostosowywania go do aktualnych warunków pracy, łącznie ze zmianami w samej filozofii.
Jedną z najważniejszych, przynoszącą najbardziej wymierne korzyści z proponowanych przez standard IEC 62682, czynności jest proces racjonalizacji (etap C, rys. 2). Polega on na przeglądzie i uzasadnieniu potencjalnych, wcześniej zidentyfikowanych (etap B, rys. 2) alarmów na podstawie kryteriów zawartych w dokumencie określającym filozofię systemu. Obejmuje on zdefiniowanie atrybutów każdego alarmu (takich jak nastawy, priorytet, klasyfikacja typu), jak również dokumentowanie konsekwencji, wymaganego czasu reakcji i koniecznych działań operatora. Proces racjonalizacji jest opracowywany przez wielofunkcyjny zespół, który zwykle obejmuje technologów, automatyków, operatorów i osoby odpowiedzialne za bezpieczeństwo. Wyniki dokumentuje się często w formie elektronicznej, zawierając wszystkie informacje uzyskane w procesie racjonalizacji i tworząc tzw. master alarm database. Baza ta jest utrzymywana przez cały okres istnienia systemu alarmowego [3][4]. Otrzymuje się w ten sposób udokumentowany zakres działań koniecznych do podjęcia przez operatora w przypadku wykrycia zakłóceń lub naruszenia bezpiecznych warunków pracy procesu.
Kolejne etapy cyklu życia (D, E, rys. 2) nakładają wymagania na sposób implementacji systemu alarmowego, zawierają również wytyczne dotyczące interfejsu operatora oraz sposobu sygnalizacji zdarzeń alarmowych. Faza operacyjna (etap F, rys. 2) to czas, kiedy system alarmowy działa i spełnia swoją funkcję, natomiast wymagania dla testów sprawdzających prawidłową pracę opisuje etap utrzymania systemu (G, rys. 2).
Zgodnie z IEC 62682 system alarmowy powinien być poddawany ciągłemu monitoringowi jego wydajności (etap H, rys. 2), aby kontrolować czy spełnia postawione mu wymagania określone w filozofii systemu. Należy również sprawdzać, czy spełnione są wytyczne zalecane przez standard dotyczące przykładowo faktycznej liczby alarmów otrzymywanych przez operatora w ciągu doby oraz dystrybucji ich priorytetów. Bez takiej kontroli jest wysoce prawdopodobne, że jakość działania systemu ulegnie pogorszeniu [4]. Wszelkie modyfikacje wnoszone do systemu, również te będące następstwem monitoringu wydajności, muszą podlegać zarządzaniu zmianami (etap I, rys. 2).
Dodatkowym wymaganiem dla systemu alarmowego poza jego ciągłym monitoringiem jest konieczność przeprowadzania cyklicznych audytów (etap J, rys. 2). Ich celem jest ujawnienie luk w systemie i zidentyfikowanie obszarów wymagających ulepszenia, łącznie ze zmianą filozofii całego systemu, gdy z doświadczeń w użytkowaniu wyniknie taka konieczność.
Wdrażanie systemu zarządzania alarmami
Dużą zaletą standardu IEC 62682 jest możliwość zastosowania go zarówno do nowo budowanych jak i istniejących instalacji procesowych. W przypadku nowych obiektów punktem startowym jest stworzenie lub adaptacja istniejącej filozofii systemu alarmowego. Powinna ona być opracowywana już w początkowej fazie projektu, nawet na etapie planowania, tak aby kompletny dokument był przygotowany jako odniesienie dla etapu racjonalizacji [4]. Częścią filozofii jest specyfikacja wymagań dla systemu alarmowego, która bardziej szczegółowo opisuje wymagania funkcjonalne specyficzne dla wybranej infrastruktury i jest używana w procesie projektowania, implementacji oraz testów systemu alarmowego. Specyfikacja jest również dostosowywana do funkcjonalności wybranego systemu sterowania.
Identyfikacja alarmów następuje w procesie projektowania. Ich źródłem są między innymi wymagania technologiczne, różnego rodzaju przeglądy bezpieczeństwa oraz wymogi innych standardów i regulacji. Ważne jest, aby w odpowiedniej fazie projektu dokonać ich przeglądu i racjonalizacji przed zaimplementowaniem do systemu.
Szczegółowym projektem całego systemu alarmowego wraz z interfejsem oraz implementacją poszczególnych alarmów bardzo często zajmuje się integrator systemu sterowania. Odpowiada on za zgodność z wymaganiami filozofii oraz wytycznymi standardu w zakresie przetwarzania alarmów. Nieodzownym elementem wdrożenia jest szkolenie operatorów, które także powinno być udokumentowane.
Po uruchomieniu instalacji utrzymanie systemu alarmowego przechodzi na użytkownika instalacji. Istotne jest, aby kontrolować wydajność i skuteczność zaimplementowanych alarmów, konserwować system i urządzenia zgodnie z ich wymaganiami oraz dokumentować wszystkie zmiany zgodnie z przyjętą procedurą.
Dostępne są specjalistyczne programy umożliwiające wsparcie większości etapów cyklu życia systemu alarmowego. Niektóre pozwalają na bezpośrednią wymianę informacji z oprogramowaniem systemu sterowania, ułatwiając w ten sposób implementację alarmów oraz ich analizę i monitoring.
Dla użytkowanych instalacji procesowych, w zależności od wybranego podejścia, standard IEC 62682 przewiduje trzy punkty wejścia do cyklu życia systemu alarmowego. Można rozpocząć od stworzenia filozofii systemu, ale także od fazy monitoringu (etap H, rys. 2) lub audytu istniejącego systemu (etap J, rys. 2)[4]. Niezależnie jednak od punktu początkowego wszystkie etapy cyklu są konieczne do wprowadzenia kompleksowego zarządzania systemem alarmowym.
Korzyści z zastosowania zarządzania systemem alarmowym
Niezależnie od tego, czy ustandaryzowane zarządzanie alarmami zostanie wdrożone dla nowej instalacji czy dla już pracującej, ma ono na celu poprawę bezpieczeństwa, niezawodności i wydajności poprzez stworzenie operatorowi możliwości wykrycia zdarzeń naruszających warunki procesu i reakcji na nie. Jest to również istotne z punktu widzenia tendencji do ograniczania kosztów operacyjnych skutkujących także redukcją liczebności obsługi.
Inne korzyści, które można wskazać, to między innymi:
- zwiększenie zdolności operatora do ograniczenia konsekwencji nieprawidłowej sytuacji powstającej w procesie [1],
- optymalizacja liczby alarmów w systemie sterowania,
- uznanie reakcji operatora za niezależną warstwę zabezpieczeń procesu, prowadzącą do redukcji wymagań nienaruszalności bezpieczeństwa (SIL) dla przyrządowych systemów bezpieczeństwa (SIS), a w konsekwencji przyczyniającą się do redukcji kosztów zakupu i użytkowania takiego systemu (jeżeli taki jest sens zdania),
- zachowanie i przekazanie wiedzy o procesie pochodzącej od bardziej doświadczonych operatorów dzięki dokumentacji systemu alarmowego,
- przyjęcie (lub oczekiwanie przyjęcia) standardów dotyczących zarządzania alarmami jako „dobrej praktyki inżynierskiej” przez organy nadzoru oraz firmy ubezpieczeniowe [1][6].
Podsumowanie
Standard IEC 62682 stanowi ramy dla skutecznego projektowania, wdrażania, obsługi systemów alarmowych w instalacjach procesowych i zarządzania nimi. Wykorzystuje podejście oparte na cyklu życia składającego się z różnych etapów, którego celem jest utrzymanie systemu alarmowego przez cały okres użytkowania instalacji. Biorąc pod uwagę wymagania stawiane bezpieczeństwu i wydajności pracy instalacji oraz możliwości współczesnych systemów sterowania, właściwa konfiguracja i zarządzanie systemem alarmowym przestają być opcją, a stają się wymaganiem [1].
Literatura
[1] Bill R. Hollifield and Eddie Habibi, „Alarm Management: A Comprehensive Guide Second Edition”, International Society of Automation, 2011.
[2] Todd Stauffer and David Hatch, „Saved by the Bell: Using Alarm Management to make Your Plant Safer”, exida, 2009.
[3] Todd Stauffer and Dr. Peter Clarke, „Using Alarms as a Layer of Protection”, 8th Global Congress on Process Safety, Houston, April 1–4, 2012.
[4] IEC 62682:2014 „Management of alarms systems for the process industries”.
[5] Todd Stauffer, „Alarm Management 101: Everything you want to know but were afraid to ask”, exida Webinar, 22 June 2016.
[6] Todd Stauffer, Nicholas P. Sands, and Donald G. Dunn, “Alarm Management and ISA-18 – A Journey, Not a Destination”, Texas A&M Instrumentation Symposium, 2010.