Az ipari katasztrófák megelőzésének egyre fontosabb eszközévé válik az irányítástechnika, ezen belül is a biztonsági jelző-, reteszelő- és vészleállító rendszerek. Ezen rendszerek jellemzője, hogy a technológiai folyamatok irányításában nem vesznek részt, csak felügyelik azokat és valamilyen kritikus szélsőérték elérésekor elhárító, megelőző beavatkozást végeznek (leállít, leürít, eláraszt, stb.). A katasztrófa megelőzési és elhárítási hierarchiában ez az utolsó szint, amely ellenőrzött és irányított módon fejti ki megelőző tevékenységét, így ezek megbízhatósága egyre fontosabbá válik.

Az elmúlt 20 évben az irányítástechnika fejlődése során az elektronikus és programozható eszközök (DCS-ek és PLC-k) rohamos elterjedése mind több esetben vetette föl azok megbízhatóságának kérdését, az irányítási feladatok osztályozásának szükségességét, így egy külön szakterület alakult ki, amely ezen rendszerek megbízhatóságával foglalkozik. Ennek megfelelően kialakultak a vonatkozó szabványok is, a már EN szabványként is elfogadott IEC 61508, és a közeljövőben elfogadásra kerülő IEC 61511. Ahhoz, hogy a szabvány célját és alkalmazásának lényegét megértsük, meg kell ismerkednünk néhány alapfogalommal: Technológiai kockázat és kockázatcsökkentés

csokkentes

 A szabvány és a mérnöki gyakorlat értelmezése szerint a védelmi rendszerek  feladata a kockázat csökkentése. Az 1. sz. ábra szerint az üzemelő technológiák a normál folyamatirányító rendszer  és a kezelő személyzet által felügyelt normál üzemmenet alatt egy adott -  számszerűsíthető - kockázati tényezővel rendelkeznek. Ezt nevezzük technológiai  kockázatnak, vagy rövidítve EUC-nek (Equipment Under Control). Ez alatt található az ún. elfogadott kockázat. Az elfogadott kockázat az a kockázati  szint, amelyet a társadalom elfogadhatónak tart, és ennek  következtében törvényben vagy szabványban megjelenik. A védelmi rendszerek f  feladata a kettő közötti űr áthidalása, amely jellemzően az alábbi eszközökkel  oldható meg:

  • Külső kockázatcsökkentő eszközökkel (pl. leürítők, tűzfalak, stb.)

  • Reteszelő rendszerek

  • Egyéb eszközök (biztonsági szelepek, hasadó tárcsák, stb.)

Mivel mind a technológiai kockázat, mind az elfogadott kockázat egy számszerűsített érték, így a kettő közötti távolság is számszerűsíthető, amelyet a reteszelő rendszerek esetében kockázatcsökkentési tényezőnek nevezünk, és az angol "Risk Reduction Factor" nyomán RRF-nek rövidítünk.

Biztonsági szint

A jelző-, reteszelőrendszereknek az a jellemzőjük, hogy normál üzemmenet alatt csak felügyelnek, de aktív tevékenységet nem végeznek - sokszor igen hosszú időn keresztül -, így azok üzemképességéről rendkívül nehéz meggyőződni (Pl. egy szabályozókör normál üzemben folyamatosan működik, ha a szelep pl. megszorul, azt rögtön észre lehet venni, míg egy reteszelő szelep esetében nem). Ezért e rendszerek megbízhatóságának biztosítására megfelelő eljárás kidolgozására van szükség. Annak számszerű megállapítása, hogy egy rendszer mennyire megbízható, meglehetősen bonyolult feladat, különböző valószínűségszámításon alapuló modellezéssel határozhatjuk meg. A leggyakoribb modellezési eljárások az alábbiak:

  • Markov modell,
  • hibafa analízis (fault tree analysis),
  • megbízhatóság háló (network modeling).

E cikk terjedelme nem teszi lehetővé, hogy a matematikai részletekbe belemerüjünk, ezért fogadjuk el, hogy a számítások eredményeképpen kapott megbízhatósági szint tulajdonképpen annak a valószínűsége, hogy egy rendszer nem hajtja végre a feladatát egy adott időpontban. Más szavakkal: a rendszer hibás működésének valószínűsége adott időpontban. (Probability of Failure on Demand = PFD.)

A rendszer hibás működési valószínűségének (PFD) adott időtartamra vonatkozó átlaga (PFDavg) adja meg a biztonsági szintet, amelyet a szabvány négy csoportra oszt SIL1-től SIL4-ig, ahol SIL1 a legenyhébb, és a SIL4 a legszigorúbb követelmény. (2. sz. ábra:)

Biztonsági szintA hibás működés átlagos valószínűsége (PFDavg)
SIL 410-4...10-5
SIL 310-3...10-4
SIL 210-2...10-3
SIL 110-1...10-2

A kockázatcsökkentési tényező (RRF) és a hibás működés valószínűsége (PFD) közötti összefüggés pedig:

RRF=1/PFD

A biztonsági szint időfüggése:

felulv

 Mint az előbb említettük, a hibás működés valószínűsége idővel növekszik. Ennek  megértéséhez tekintsük a 3. ábrát! Az üzembehelyezés pillanatában bizonyos, hogy a rendszer teljesen üzemképes.  Ahogy telik az idő, az üzemképesség fokozatosan csökken a következő f  felülvizsgálatig. Ekkor a rendszer ismét teljesen üzemképesnek nyilvánítható.  (Megjegyezzük, hogy ezesetben a felülvizsgálat nem csupán próbát jelent, hanem  átvizsgálást, feljavítást is!) Megállapíthatjuk tehát, hogy a reteszelő rendszerek megbízhatósága a beépített anyagok minőségén túl nagy mértékben függ a két felülvizsgálat közt eltelt időtől, és ezen időtartam alatti PFD átlaga adja meg a SIL osztályt!

Kvantitatív kockázatelemzés és a SIL meghatározása

A biztonsági irányítási rendszer kialakítása során a tevékenységek rendszerezése érdekében vezeti be az IEC61508 - és más szabványok is - a biztonsági életciklus fogalmát. A 4. ábrán ennek egy egyszerűsített változatát láthatjuk. A biztonsági reteszelő rendszerek szempontjából a harmadik, pirossal kiemelt szakasz az, amelyik új, a biztonságtechnikában eddig nem alkalmazott dolgot tartalmaz, ezért cikkünk további részében ezzel foglalkozunk.

eletciklus

A kvantitatív kockázatelemzés során - ahogy neve is mutatja - a kockázat mértékét számszerűsíteni kell. Az ipari katasztrófák elleni védekezés területén a kockázatot alapvetően két jellemző kombinációjával mérhetjük:

  • veszélyes esemény bekövetkezési valószínűsége (esemény/év)
  • következmény (emberi életben, környezetben okozott kár).

Mivel 2002-től kezdődően Magyarországon is kötelező a fenti kockázatelemzés (ld. 2/2001. (I.17.) Korm. rendelet, 5.sz. melléklet), ezt mutatjuk be a továbbiakban egy gyakorlati példával illusztrálva.

SIL besorolás a gyakorlatban
Tételezzünk fel az 5.ábra szerinti köpenyhűtéssel ellátott reatort, amelyben erős hőtermeléssel járó reakció zajlik. A kockázatelemzés megállapította, hogy a köpenyhűtés kimaradása "hőmegfutást" okoz, amely a készülék felrobbanását eredményezheti.

reaktor

Az üzem biztonságtechnikusai által készített következményelemzés szerint a reaktor felrobbanása esetén az alábbi következménnyel kell számolni:

  • halálestek: 5 fő
  • sérültek: 15 fő

A reaktort felrobbanás ellen az alábbi védelmi eszközök védik:

  • magas reaktor hőmérséklet (TSH06) és nyomás (PSH04) esetén jelzés az operátornak,
  • hasadótárcsa (PSE05) a túlnyomás elengedésére.

A reakció megfutásának megakadályozására automatikus inhibitor-befecskendezőrendszer kiépítése javasolt nagyon magas (TSHH07) hőmérséklet esetén. Kérdés: Milyen SIL osztály szerint kell az inhibitort adagoló rendszert megtervezni? A vállalati szabályozás szerint az elfogadható kockázati tényezők az alábbiak:

  • Egy halálesettel járó esemény max. valószinűsége: 1*10-5
  • Több halálesettel járó esemény max. valószinűsége: 1*10-6

A fenti táblázathoz hasonló értékeket találhatunk a korábban már említett veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezésről szóló 2/2001. (I.17) kormányrendeletben, amely egyúttal kijelöli az az értékek betartását ellenőrző illetékes hatóságot is.

Technológiai információk: ˇ hűtővíz-szivattyú meghibásodás: 1/75 év ˇ hasadótárcsa PFD: 0,0956 ˇ operátori hiba valószinűsége, melyben TSH-06 és PSH-04 hibája is benne van (nemzetközi adat): 0,1 A fenti információk alapján védelmi szint elemzés (LOPA:Layer Of Protection Analisys) segítségével kapjuk meg a várható üzemi kockázatot: F = 1/75 * 0,1 * 0,0956 = 1,275*10-4 esemény/év

A kapott eredmény az inhibítor adagolás nélküli technológiai kockázat mértéke. A szükséges kockázatcsökkentést úgy kapjuk, hogy 1.táblázatból vett elfogadható kockázat mértékével (Ftarget) osztjuk a kapott technológiai kockázatot: RRF=1,275*10-4/1*10-6 = 127,5

Ebből PFD = 1/ RRF = 7,84 * 10-3, ami SIL2 besorolásnak felel meg. Tehát az inhibitor adagoló rendszert a SIL2 követelményeknek megfelelően kell megtervezni és kivitelezni. Természetesen számos más SIL besorolási eljárás létezik, azonban úgy tűnik a jövőben mindinkább a kvantitatív eljárások a preferáltak. Következő cikkünkben a biztonsági életciklus további (4.ábra) részeit mutatjuk be, azonban azok erősen irányítástechnika specifikusak, ezért tömören, a technológusok számára is érdekes elemeket tárgyaljuk: ˇ redundáns eszközök használata; ˇ kulönböző rendszerkonfigurációk; ˇ "fail-safe" és "fail tolerant" egyes kérdései; ˇ gazdasági megfontolások; ˇ Honeywell szolgáltatások a biztonságirányítás terén.

Felhasznált, hivatkozott irodalom:

  1. Seveso II: Európai Tanács 96/82/EK irányelvek a veszélyes anyagokkal együtt járó súlyos baleseti veszélyek ellenőrzéséről.
  2. 1999 évi LXXIV törvény a katasztrófák elleni védekezés irányításáról, szervezetéről és a veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezésről.
  3. 2/2001. (I.17.) Korm. rendelet a veszélyes anyagokkal kapcsolatos súlyos balesetek elleni védekezésről. (E rendelet hatálybaléptetéséről külön jogszabály rendelkezik.)
  4. 12/2001 (V.4.) KöM - EüM együttes rendelet a vegyi anyagok kockázat becsléséről és a kockázat csökkentéséről.
  5. IEC (EN) 61508 - 1 … 7 Functional safety of electrical /electronic/ programmable electronic safety-related systems.
  6. IEC 61511 - 1 … 3 Functional safety: Safety Instrumented Systems for the process industry
  7. Goble, W.: Control Systems Safety Evaluation & Reliability
  8. Exida.com: Safety Engineering I-II Participant's Notebook