AZ ÜZEMFENNTARTÁS MÛKÖDÉSI FELTÉTELEI 2.09
Termelőeszközök biztonságosabb működése és a kockázat csökkentése Tárgyszavak: biztonság; üzembiztonság; kockázat; termelőeszköz; meghibásodás.
A német jogszabályok megszabják a műszaki eszközök biztonsági kockázatai szerinti kategóriákat, az eddigiekben a DIN V 19 250 és DIN V 19 251 szabványok alapján. A nemzetközi szabványokban (ilyen az IEC 61 508 és IEC 61 511) ettől eltérő besorolási ismérvek szerepelnek, amelyeket átvesznek a német jogi előírásokhoz is. Az IEC 61 058 szabvány (és ennek megfelelően a VDE 0803) meghatározza a kockázat kategóriáira alkalmazott ismérveket, továbbá az egyes alkalmazási kategóriákra érvényes kockázati osztályokat, amelyek szerint alkalmazhatók a termékben a szerkezeti egységek, valamint azok alkatrészei. Az IEC 61 511 szabványsorozat a fontosabb alkalmazási területekre meghatározza a kiválasztási ismérveket, amelyek alapján az érzékelők, beavatkozószervek és a többi egységek, azok alkatrészei az adott funkcióikra alkalmasnak minősíthetők. (Ennek megfelelő a német VDE 0810 szabvány). Az említett német szabványtervezetek alapján állították öszsze a VDI/VDE 2180 dokumentum 2004. augusztustól hatályba lépő, módosított előírásait.
A károk mértéke és gyakorisága Annál nagyobb a felhasználás biztonsága, minél kisebb a károk mértéke és minél ritkábban fenyeget a kár bekövetkezése, minél hatásosabb intézkedéssel végezhető a kár elhárítása vagy következményeinek enyhítése. A műszaki eszközök biztonságossága 3+1 osztályba sorolható, nemzetközileg egyeztetett, viszonylag objektív meghatározás alapján. Az egyes kategóriákat a „SIL” (safety integrity level) szintek azonosítják (1. ábra). A SIL4 jelű, legbiztonságosabb szintet csak a folyamatirányítás elemei érik el, a SIL1 szint a legkevésbé biztonságos.
C1
C2
C3
F1
F2
P1
P2
P1
P2
C4
F1
F2
W3
—
SIL1
SIL1
SIL2
SIL3
SIL3
SIL41
—
W2
—
—
SIL1
SIL1
SIL2
SIL3
SIL3
SIL41
W1
—
—
—
SIL1
SIL1
SIL2
SIL3
SIL3
1. ábra A kockázat gráfszerkezete, az IEC 61 508 és IEC 61 511 nemzetközi szabványok szerint (a tényezők megnevezése a szövegben) A nemzetközi szabvány a kár mértékét (C1-C4 jelöléssel) a következők szerint csoportosítja: – egy személy könnyű sérülése, illetve a környezet kisebb terhelése: C1, – egy vagy több személy súlyos, nem gyógyítható (irreverzibilis) sérülése, esetleg egy személy halála, illetve a környezet átmeneti, súlyosabb terhelése: C2, – több személy halála, illetve az üzemi környezeti katasztrófa rendeletében és más jogszabályokban meghatározott súlyos környezeti terhelés: C3, – tömeges halálos baleset, más katasztrófahatások: C4. Két gyakorisági fokozatot különböztet meg a nemzetközi szabvány: a ritka és az olykor ismétlődő eseteket (F1), valamint a gyakran bekövetkező és a tartós eseteket (F2 jellel). A harmadik besorolási ismérv, hogy milyen módon háríthatók el a károk: az egyik kategória, hogy meghatározott feltételekkel a kár elhárítható (P1), a másik, hogy nincs lehetőség a kár elhárítására (P2 jellel).
Az 1. ábrán az alkalmazási körülmények sajátosságai W jelöléssel szerepelnek, ahol W1 a legfelkészültebb, a W3 a teljesen járatlan felhasználók jele. A lehető legkisebb kockázat ott követelmény, ahol felkészületlen (W3 jelű) jellegzetes felhasználó kerülhet kapcsolatba a termékkel. A SIL1 legkockázatosabb kategória itt is csak ott engedélyezhető, ahol nagyon ritkán következhet be a súlyosabb személyi sérülés veszélye, és a kár bizonyos feltételek esetén elhárítható. Ha viszont nincs esély a tartósan fennálló kockázat miatti, említett súlyos károk elhárítására, ott a nemzetközi szabvány alapján akár SIL3 biztonsági fokozat is előírható.
A szabvány alkalmazási területe Az IEC 61 508 szabvány olyan villamos, elektronikai, illetve más programozható rendszerekre vonatkozik, amelyekben valamilyen biztonsági funkciót alkalmaznak. A jogszabályok írják elő azokat a minősítő eljárásokat, amelyek alapján az említett kockázati esetek megállapíthatók, és a termék a SIL megfelelő osztályába sorolható. A szabvány alapkoncepciója úgy foglalható össze, hogy a meghibásodott termék a felhasználóra, illetve a környezetre kockázattal jár, és a biztonsági rendszer feladata ennek a mérséklése. Három jellegzetes elemcsoport összefüggő vizsgálata alapján mérlegelhető a várható kockázat: a felhasznált érzékelők, vezérlések és beavatkozó szervek (pl. a szelepek, állásos elemek) jellemzői szerint. Általános elrendezés szerint – a jeladók érzékelik a felügyelt berendezés üzemi jellemzőit (nyomást, hőmérsékletet, rezgést, erőhatást, tömegáramlást stb.) – a kiértékelő, jelfeldolgozó egység összehasonlítja az észlelt paramétert a határértékkel, és programja szerint „mehet” vagy „rendellenes” diagnózist állít össze; – a beavatkozó szervek (motor, szelep, egyéb mechanikus mozgó elemek stb.) biztonsági kapcsolást végeznek, pl. szabályozzák vagy leállítják a rendellenes paramétert jelző folyamatot. Bármely felhasznált elem jellemezhető a meghibásodás egyedi valószínűségével (PFD), és az egyes kapcsolások vizsgálata megadja, hogy a biztonsági készülékek közötti jeláram bizonyos ágainak működésképtelensége esetén milyen átkapcsolás lehetséges. Legkevésbé biztonságos az „egy utas” kapcsolás, ennél megbízhatóbb, ha pl. 3 beépített elemből működőképes marad 2, és ezek „megszavazzák” (voting) a vezérlő egység helyes válaszát, akkor is, ha a harmadik beépített elem működésképtelen.
A meghibásodás megengedett egyedi valószínűsége (PFD) a SIL1 kategóriára száz esetből legfeljebb egy, a SIL2 kategóriára ezer esetből legfeljebb 1, a SIL 3 kategóriára pedig tízezer esetből legfeljebb 1 (1. táblázat). Az IEC 61 508 szabvány a termék teljes életszakaszára kiterjedően alkalmazható, vagyis a fejlesztésre és az előállításra egyaránt (safety life cycle). 1. táblázat A meghibásodás megengedett átlagos valószínűsége a SIL 1– SIL 4 szintekre (SIL: a biztonsági szint fokozata, PFD: meghibásodás átlagos valószínűsége), a SIL 4 szint csak irányítástechnikai eszköz esetén alkalmazható SIL
PFD
SIL
PFD
SIL 4
≥10–5…<10–4
SIL 2
≥10–3…<10–2
SIL 3
≥10–4…<10–3
SIL 1
≥10–2…<10–1
A kockázat minimumra szorításának feladatai A két említett nemzetközi szabvány több szakaszt határol el a kockázatok lehető legkisebb szintre szorítása érdekében: – A rendszer minden elemére, vagyis az érzékelőre, a vezérlésre és a beavatkozó szervekre meg kell vizsgálni a meghibásodás valószínűségét. Erre alapozva meghatározhatók és értékelhetők a kockázataik a teljes élettartamra. – Össze kell állítani és meg kell valósítani a minimális maradék kockázatot érvényesítő intézkedéseket. – Az intézkedésekre alkalmas felszerelések alkalmazása azt igényli, hogy elvégezzék azok minősítéseit, tanúsítását. – Ismétlődő funkcionális próbára van szükség, annak kimutatásával, hogy a biztonsági előírásokat korrekt módon érvényesítik. Az észlelt meghibásodások okait vizsgálva megállapították, hogy a kárral járó esetek felében a beavatkozó szervek váltak működésképtelenné, csak 15% a vezérlés hibáinak átlagos aránya, az érzékelőkre, és a jeltovábbításra az esetek 35%-a jut. Az említett két nemzetközi szabvány alkalmazásához a biztonsági jellemzőket értékelni kell, a részletes („Safety manual” című) kézikönyv eljárásaival. Bevált eljárás például a FMEDA (failure modes effects and diagnostic analysis), amely a lehetséges hibák fajtáit, hatásait, azok di-
agnosztikai célú elemzéseit tartalmazza. Ilyen eljárással végezhető például a termék szerkezetének részletes vizsgálata. A vizsgálatok kiterjednek mind a villamos és elektronikai, mind a mechanikai és elektromechanikai alkatrészekre. Ezek a vizsgálatok alapozzák meg a termék várható hibaarányának számítását. A hiba bekövetkezésének valószínűsége alapján sorolható a termék a szabvány szerinti (SIL jelű) biztonsági kategóriákba.
Önjavító képesség A vizsgálat további eredménye az eszköz ún. hibatűrő képessége (hardware fault tolerance – HFT). Ez a mutató azt fejezi ki, hogy a rendszernek milyen lehetőségei vannak a biztonsági funkció hibátlan megőrzésére akkor is, ha a működés során hiba következne be. Amennyiben egycsatornás a rendszer, a HFT = 0 érték azt jelzi, hogy elvész a biztonsági funkció, amikor az erre szolgáló elem meghibásodik. Redundáns kialakítás esetén HFT = 1, ami annak felel meg, hogy legalább két hiba esetén vész el a biztonsági funkció. A 3-csatornás rendszerre a HFT = 2 ennél megbízhatóbb terméket minősít, itt legalább 3 hiba fellépése okozhatja a biztonság megszűnését. A 2. táblázat oldalrovata a biztonságra alapozott rendszerek hibaarányát számszerűsíti (safe failure fraction – SFF), annak százalékos mértékeivel, hogy milyen előfordulási arány jellemzi a termék rendellenes, illetve veszélyes állapotait. A hibatűréssel kombinálva ezt az SFF mutatót, következtetni lehet arra, hogy melyik biztonsági (azaz SIL) szintű termék felhasználása engedélyezett. Eltérés van az ún. egyszerű, valamint a bonyolultabb termékek ajánlott biztonsági (SIL) szintjei között. Az előbbi esetén minden lehetséges hiba ismert és leírható, a komplex rendszerek esetén ilyen egyszerű meghatározásokra nincs lehetőség. Az egyszerű termékek közé tartozik pl. az ellenállás, a tranzisztor, a relé és a legtöbb elektronikai elem. A mikroáramköröket felhasználó processzorok és más rendszerek viszont a komplex csoportba tartoznak.
Bonyolult rendszerek biztonságának értékelése A gyártócégnek lehetősége van arra, hogy a terméke teljes életciklusára kiterjedő biztonsági vizsgálatot végezzen, mind az eszköz elemeire, mind a működtető programokra. Ennek során dokumentálni lehet a tervezés és a gyártás, vizsgálatok, majd az üzemeltetés során esedékes
összes intézkedést a hibák elkerülésére, az esetenként bekövetkező hibák biztonságos kezelésére. Ilyen kiterjedt vizsgálatokat csak a teljesen újonnan fejlesztett termékekre lehet érvényesíteni. 2. táblázat Egyszerű és komplex termék meghibásodási valószínűségéhez tartozó SIL-szintek, az eszköz 0, 1 és 2 kategóriájú hibatűrése esetén SFF: hibák aránya
<60% 60–<90% 90–<99% ≥90%
A: egyszerű termék (minden hiba ismert, leírható) HFT: az eszköz hibatűrési fokozata (a védőrendszer csatornaszámától függően) 0 1 2 SIL 1 SIL 2 SIL 3 SIL 2 SIL 3 SIL 4 SIL 3 SIL 4 SIL 4 SIL 3 SIL 4 SIL 4
B: komplex termék : (nem minden hiba ismert és írható le) SFF: hibák aránya HFT: az eszköz hibatűrési fokozata (a védőrendszer csatornaszámától függően) 0 1 2 <60%
nem engedélyezett
SIL 1
SIL 2
60–<90%
SIL 1
SIL 2
SIL 3
90–<99%
SIL 2
SIL 3
SIL 4
≥90%
SIL 3
SIL 4
SIL 4
Egy másik, általánosabb vizsgálati lehetőség szerint a két említett IEC szabvány szerint értékelik a forgalomban levő, korábban kialakított termékek biztonsági jellemzőit. Ilyen esetekben adottak pl. a beépített alkatrészek, valamint a működtető szoftvermodulok kockázatai. Ez utóbbi eljárás eredményeiről tanúsítvány készül, amely a SIL szintjei szerinti besorolást állapítja meg. A dokumentum a következő adatokat tartalmazza, az FMEDA elemzés alapján: a nyomástávadó típusváltozatait, biztonsági szintet, a készülék biztonsági fokozatát, a hibatűrést, hibaarányt, hiba bekövetkezésének valószínűségét, két meghibásodás közötti átlagos idő hosszát, minimális és maximális felügyeleti paramétereket a biztonsági funkciókra.
A minőségi tanúsítványt a gyártó állítja össze, és ebben úgy nyilatkozik, hogy a terméke teljesíti az IEC 61 511-1 előírásainak megfelelő védőfunkciókat a biztonságos működtetéshez, feltéve, hogy a felhasználó a termékkel együtt átadott biztonsági utasításokat figyelembe veszi.
A biztonsági szintek (SIL) vegyipari és gyógyszeripari sajátosságai A DIN V 19 250, illetve a VDI/VDE 2180 német szabványok követelményei jól ismertek, ezek helyébe lépnek a két említett nemzetközi szabvány szerinti SIL- szintek, a 3. táblázat szerint. A VDI/VDE szabvány I. és II. kockázati tartománya tartalmazta az első 4, illetve az 5 és a 6 jelű követelményosztályokat, amelyek helyett a jövőben a SIL 1 és SIL 2, illetve a SIL 3 szint lép, összevontabb rendelkezésre állási tartományokkal. 3. táblázat A termék korábbi biztonsági kategóriái és a SIL szintek megfeleltetése, a rendelkezésre állás mértékeivel (az AK1-AK8 kódok a DIN V 19 250, illetve a VDI/VDE 2180 szerint) Kockázat tartománya (VDI/VDE 2180)
I
Korábbi biztonsági kategória („követelményosztály – AK)
SIL
1
–
Veszélyes meghibásodás valószínűsége (U) –
1
≥10–2–<10–1
0,9
2
≥10–3–<10–2
0,99 …0,999
3
≥10–4–<10–3
0,999 …0,9999
7
4
≥10–5–<10–4
0,9999…0,99999
8
–
–
–
2 3 4
II –
5 6
Rendelkezésre állás (V = 1-U) – …0,99
A nemzetközi szabvány lényegében a rendelkezésre állás mértéke szerint sorolja be a termékek elvárt biztonsági szintjeit, azonban ilyen megbízható adatok egyes fontos alkalmazási területekről nem szerezhetők meg, pl. a vegyiparban alkalmazott irányítástechnika fontosabb egységeire. Vannak olyan technológiai paraméterek, amelyek megszabják
az üzemben alkalmazott védőkapcsolások megbízhatóságát, ide értve pl. a készülékekre ható rezgést, ütést, korróziós és szennyező hatásokat, a páratartalmat és környezeti hőmérsékletet, elektromágneses tereket, nyomásingadozást, turbulenciát, kavitációt, kondenzálást, kristályosodást és polimerizációt. Erős mechanikai hatást fejthet ki a zárt térben ható nyomás, pl. a csővezetékekben és a tartályokban alkalmazott irányítástechnikai elemekre. Több nagyságrenddel eltérhet a várható élettartam alsó és felső határa, és az is nehezíti a SIL-szinteknek megfelelő besorolást, hogy az itt említett, egymástól nagymértékben eltérő üzemi paraméterek minden alkalmazást egyedivé tesznek. Nem lehet ezért megalapozott statisztikai értékelést adni a különböző üzemi alkalmazások adatai alapján. A nemzetközi szabványnak a vegyipari és gyógyszeripari üzemekben való alkalmazásához az a kiinduló feltételezés, hogy az irányítástechnika összes védőkészüléke hiánytalanul érvényesíti a hatályos német szabványokban előírt követelményeket, a tervezés és a gyártás során minden szabályszerűen történt. A SIL követelményeit a jövőben a készülékekre együttesen lehet teljesíteni, és erre tekintettel ajánlatos megfelelő intézkedésekkel felkészülni a biztonsági jellemzők tételes meghatározására. Ennek a vizsgálatnak sok előzménye van, pl. a közelmúltban már lefolytatott minősítési eljárások a vegyipari üzemek biztonsági feltételeinek teljesítéséről. A hatóság számára nyilatkozatot adtak a németországi üzemek a jogszabályban meghatározott alábbi szempontok szerint: – A folyamatirányítás védőkészülékeit az üzemeltető a hatályos szabályokat betartva tervezte, létesítette, üzemelteti? – Ezeknek a védőkészülékeknek az adatgyűjtése rendszerezetten megoldott, hiánytalanul dokumentált? – Elkészült ezeknek a védőkészülékeknek az osztályozása a korábbi német szabvány, majd az IEC 61 508/11 nemzetközi szabvány biztonsági szintjei szerint? Miután mind a három kérdésre pozitív volt a válasz, olyan kimutatás készült, amely minden működő védőkészüléket tartalmaz. Ennek egy konkrét példáját mutatja a 4. táblázat, összesen mintegy 2700 eszközre, amelyből a SIL 1 szintnek 840, a SIL 2 szintnek 762, a SIL 3 szintnek 870 darab felelt meg. A 2004-től érvényes új követelmények alkalmazása annyiban igényel a vegyipari üzemekben többletráfordításokat, hogy a biztonságtechnikai jellemzőket igazolniuk kell. Sok egyéb, kellemetlen következménnyel is jár a SIL szintek alapján elvégzendő újabb tanúsítás. Egyes jól bevált, a nor-
mál követelményeket teljesítő készülékek helyett a megfelelő szintekkel tanúsított újakat kell beszerezni. A kialakult, egységesített eszközválaszték átalakul, a korábbiaknál szélesebb választék alakul ki. 4. táblázat Folyamatirányító védőkészülékek száma a korábbi és a SIL biztonsági szintek szerint (Lonza AG) A korábbi német szabvány (VDI/VDE 2180) szerint AK 1
AK 2
AK 3
AK 4
AK 5
AK 6
Összesen
218
6
834
762
828
42
2690
I. kockázati tartomány
II. kockázati tartomány
Összesen
1820
870
2690
Az új (IEC 61508/ 61 511) szabvány szerinti szintek SIL 1
SIL 2
SIL 3
Összesen
840
762
870
2472
Emiatt többféle tartalék alkatrészt és cserélhető részegységet kell készletezni. Nagyobb költséggel jár a dokumentálás és a munkatársak szakmai képzése. A hatósági eljárás illetékeit, többletráfordításait annyiszor kell megfizetni, ahányszor a korábban engedélyezett gyártóberendezéseket a drágább, tanúsított készülékekkel kicserélik, a SIL-szintek érvényesítése érdekében. A vegyipari vállalat úgy készülhet fel a SIL adatbázisának kiépítésére, hogy üzemi adatgyűjtést szervez a fellépett üzemzavarokról. Ahol pl. közel 2700 irányítástechnikai védőkészüléket alkalmaznak, ott évente legfeljebb 50 meghibásodás várható. A vizsgált Lonza vegyipari cég 2002. évi statisztikájában összesen 42 tényleges üzemzavar szerepel. Az egy üzemzavarhoz tartozó információk rögzítése átlagosan 30 percet vesz igénybe. Németországban összesen 24 vállalat vesz részt ilyen adatgyűjtésben, ezek közül az ismertebbek: BASF, Bayer, Degussa, Merck, Roche, Siemens Axiva.
Az adatgyűjtés információtartalma Egy vegyipari üzem 2003 tavaszán végzett hibafelméréseinek adatlapja tartalmazza az üzemzavar azonosítóját (pl. 2003-xxx), az adatrögzítés időpontját (pl. 2003. 05. 21.), a készülék működési helyét (pl. salétromsav-reakciók), az érintett üzemi berendezés azonosítóját (F02), a felállítás térbeli helyzetét (épület, szint, helyiség), a hibatűrés követelményeit rövid jellel (pl. Z3). A feljegyzett üzemzavar négy jellemzőjét állapítják meg: – egy vagy kétcsatornás a védőkészülék (az előbbi példa esetében „egycsatornás”), – a készülék leállásának alapja (a példában „hibajelentés”), esetleg az időszakosan végzendő ellenőrzések is történhetnek leállított berendezésen, – a hiba helye a 3 főegység közül (a példában: a „jeladó, érzékelő”), sokkal ritkább a vezérlőegység hibája, és előfordultak hibák a beavatkozóegységekben is, – az észlelt hiba oka (a példában: a „folyamatból eredt”), ezen kívül lehet pl. a biztonsági készülék hibája, a gyártófelszerelés és más eszköz hibája, emberi mulasztás stb. Az előbbi kódolt válaszok kiegészíthetők szöveges megjegyzéssel, valamint annak a minősítésével, hogy a biztonságot tekintve mennyire „kritikus” az észlelt hiba. A salétromsavas eljárás esetén például a hermetikus záráshoz szükséges kötőelem tömítése áteresztett, és a közegre tekintettel „kritikus” az agresszív közeg környezetbe kijutása. Összeállította: Gittlár Ferencné Gutmann, J. H.: Risikoreduzierung durch Funktionale Sicherheit. = Technische Überwachung, 45. k. 5. sz. 2004. p. 19–21. Netter, P.; Bruse, P.: Erste Anwendungserfahrungen mit probabilistischen Methoden in der Anlagensicherung. = Technische Überwachung, 45. k. 5. sz. 2004. p. 22–26. Gill, Ch.; Bauer, B.: Risikoorientierte Ersatzteildisposition. Die richtige Balance zwischen der Ausfallwahrscheinlichkeit und Anlagen und der Ersatzteilverfügbarkeit finden. = VDI-Berichte, 2004. 1826. sz. p. 287–300.