2. Wdrażanie środków ograniczania ryzyka

Zagrażające ryzyko można zwykle ograniczyć poprzez instalację innychobwodów PLT, które spełniają funkcję zabezpieczającą razem ze środkami PLT wymaganymi w związku z działaniem. Oznacza to, że obwody są stosowane tylko wtedy, gdy wystąpi wadliwe działanie urządzeń operacyjnych. Urządzenia stosowane wyłącznie w celu ograniczenia ryzyka są określane jako środki ochrony lub funkcje Z.

Zakres ograniczenia ryzyka osiągany poprzez stosowanie środków ochrony zależy od właściwego funkcjonowania urządzeń. Jeśli awaria jest niemożliwa, można osiągnąć całkowitą eliminację określonego ryzyka. Pozostałe ryzyko w takim przypadku wynosi zero. Ponieważ w praktyce jest to nierealne, ryzyko można ograniczyć tylko w określonym stopniu, mając do dyspozycji środki ochrony. Chociaż pozostałe ryzyko zawsze pozostaje, jest ono tak niewielkie, że można je tolerować. Celem procesu projektowania jest wdrożenie środków ochrony, aby osiągany stopień ograniczenia ryzyka odpowiadał w jak największym stopniu wymaganemu poziomowi SIL.

Ograniczenie ryzyka w niewystarczającym stopniu (poziom SIL środka ochrony jest niższy od wymaganego poziomu SIL) skutkuje powstaniem niedopuszczalnego pozostałego ryzyka. Z kolei nadmierne ograniczenie ryzyka (poziom SIL środka ochrony wyższy od wymaganego) prowadzi do nieuzasadnionych, zbyt wysokich nakładów pracy.

Informację na temat projektowania środków ochrony w sposób zapewniający zgodność z określonym poziomem ograniczenia ryzyka (danym poziomem SIL) zawierają normy EN 61511 i VDI/VDE 2180. Niezwykle ważne jest zadanie sobie pytania, dlaczego środki ochrony zawodzą, ponieważ wynikają z tego wytyczne dotyczące ich projektowania. Bliższa analiza wskazuje, że istnieją dwa różne rodzaje usterek, które mogą spowodować awarię środków ochrony:

• Usterka systemowa
• Usterka przypadkowa

Prawdopodobieństwo wystąpienia usterek losowych można w pewnym stopniu przewidzieć, lecz to nie dotyczy to usterek systemowych.

W przeciwieństwie do usterek losowych usterkom systemowym można przeważnie całkowicie zapobiegać. Z doświadczenia wynika jednak, że jest to tylko częściowo możliwe, szczególnie jeśli chodzi o oprogramowanie. W oparciu o tę wiedzę określono następujące wymogi dotyczące projektowania środków ochrony:

• Zapobieganie awariom dzięki wprowadzeniu specjalnego systemu zarządzania jakością (słowa kluczowe: „System zarządzania bezpieczeństwem funkcjonalnym” (Functional Safety Management System — FSM)
• Unikanie awarii dzięki zastosowaniu procedur nadmiarowości i/lub działań zabezpieczających oraz wykrywania usterek (słowa kluczowe: Tolerancja usterek sprzętowych, suma bezpiecznych usterek, pokrycie diagnostyczne)
• Wykonywanie obliczeń w celu określenia w sposób wymierny prawdopodobieństwa wystąpienia awarii z powodu usterek losowych (słowa kluczowe: Obliczenie PFD/PFH)

Wdrożenie w praktyce trzech punktów wymienionych powyżej określa zakres ograniczenia ryzyka w wyniku stosowania środków ochrony. Ogólnie rzecz biorąc, zakres prac związanych z planowaniem, wdrożeniem i eksploatacją środków ochrony zależy od określonego dla nich poziomu SIL. Normy EN 61508, EN 61511 oraz VDI/VDE 2180 opisują dokładną korelację pomiędzy projektem środka ochrony a poziomem SIL, który można osiągnąć.

Podczas projektowania środków ochrony należy właściwie ocenić zapobieganie usterkom, kontrolę na usterkami oraz prawdopodobieństwo wystąpienia awarii, aby uzyskać określony poziom ograniczenia ryzyka. Uwzględnienie samego prawdopodobieństwa wystąpienia awarii nie wystarcza, aby spełnić wymagania związane z SIL. Środki ochrony są zgodne z określonym poziomem SIL, gdy zarówno ich struktura (nadmiarowość, diagnostyka, bezpieczny projekt), jak i prawdopodobieństwo wystąpienia awarii (PFD/PFH) spełniają wymaganie określone w normie dotyczącej danego poziomu SIL. Ponadto podczas wdrożenia należy zastosować system FSM. Tylko w takim przypadku można przyjąć, że usterkom systemowym da się zapobiec w niezbędnym wymaganym stopniu.