Serviceline
Wsparcie Czujników Przemysłowych
Serviceline Explosion Protection

2. Redukcja ryzyka

Ryzyko redukuje się instalując, obok normalnych obwodów sterowania, obwody bezpieczeństwa, które działają wyłącznie w przypadku awarii urządzeń procesowych. Urządzenia stosowane wyłącznie w celu redukcji zagrożenia są określane jako wyposażenie ochronne.

Stopień redukcji ryzyka uzyskany dzięki zastosowaniu wyposażenia ochronnego zależy od jego prawidłowego działania. Jeżeli sprzęt byłby w 100% niezawodny, możliwe byłoby całkowite wyeliminowanie ryzyka.  Szczątkowe ryzyko wynosiłoby zero. W praktyce nie jest to możliwe i nawet zastosowanie wyposażenia ochronnego nie pozwala na 100% redukcję ryzyka. Ryzyko szczątkowo zawsze pozostaje, jednak jest na tyle małe, że może być tolerowane. Celem projektantów jest takie zastosowanie wyposażenia ochronnego, żeby redukcja ryzyka odpowiadała najbliżej jak to możliwe wymaganemu SIL.

Niedostateczna redukcja ryzyka (SIL wyposażenia ochronnego jest mniejszy od wymaganego) spowoduje pozostanie nieakceptowanego ryzyka resztkowego. Z kolei nadmierna redukcja ryzyka (SIL wyposażenia ochronnego jest większy od wymaganego) niepotrzebnie zwiększa nakłady.

Aby osiągnąć odpowiedni stopień redukcji ryzyka (tzn. odpowiedni SIL), wyposażenia ochronne musi być projektowane zgodnie z EN 61511 i VDI/VDE 2180. Konieczne jest ustalenie przyczyn możliwych usterek wyposażenia ochronnego, ponieważ na tej podstawie można określić dla niego odpowiednie wymagania projektowe. Ustalono, że istnieją dwa rodzaje usterek, wywołujących awarie wyposażenia ochronnego:

  • Usterki systemowe
  • Usterki losowe


Usterki systemowe i losowe

Dla usterek losowych można określić prawdopodobieństwo ich wystąpienia. Nie można tego zrobić dla usterek systemowych.

Teoretycznie, w przeciwieństwie do usterek losowych, usterki systemowe można całkowicie wyeliminować. Doświadczenie pokazuje jednak, że jest to twierdzenie prawdziwe tylko częściowo  (szczególnie jeżeli chodzi o oprogramowanie). To wszystko pozwoliło określić następujące wymagania dla projektowania systemów zabezpieczających:

  • Awariom należy zapobiegać stosując specjalny system zarządzania bezpieczeństwem funkcjonalnym („Functional Safety Management System” - skrót “FSM system”)
  • Awarii należy unikać stosując redundancję i/lub odpowiednie zachowanie układu w przypadku uszkodzenia (fail-safe behavior) oraz wykrywanie usterek (słowa-klucze: tolerancja błędów urządzeń (hardware fault tolerance – HFT), suma bezpiecznych błędów (sum of safe faults), pokrycie diagnostyczne (diagnostic coverage – DC)
  • Należy wykonywać obliczenia w celu określenia prawdopodobieństwa wystąpienia awarii w wyniku usterek losowych (obliczenia PFD/PFH)

Zastosowanie w praktyce powyższych trzech punktów pozwala określić zakres redukcji ryzyka dla wyposażenia ochronnego. Zasadniczo, ilość pracy włożonej w jego projektowanie, wdrożenie i obsługę zależy od tego, który SIL musi ono osiągnąć. Zależność między wykonaniem wyposażenia ochronnego a SIL, który może zostać osiągnięty, określają normy EN 61508, EN 61511 i VDI/VDE 2180.

Po zaprojektowaniu wyposażenia ochronnego, należy rozpatrzyć łącznie ochronę przed wystąpieniem usterki, kontrolę usterek oraz prawdopodobieństwo wystąpienia usterek. Pozwoli to na określenie stopnia redukcji zagrożenia. Aby osiągnąć odpowiedni SIL, nie wystarczy wziąć pod uwagę tylko prawdopodobieństwa wystąpienia awarii. Wyposażenie ochronne może osiągnąć odpowiedni SIL wyłącznie wtedy, kiedy zarówno struktura (redundancja, diagnostyka, projekt zapewniający bezpieczeństwo w przypadku awarii (fail-safe design)) jak i prawdopodobieństwo awarii (PFD/PFH) spełniają wymagania normy dla określonego SIL. Ponadto, w procesie realizacji zadania, musi zostać zastosowany system FSM. Tylko wtedy można założyć, że usterki systemowe zostaną ograniczone do odpowiedniego poziomu.