1 Védelmi réteg elemzés: Áttekintés –Történeti áttekintés –A biztonsággal kapcsolatos ellenőrző rendszerek új megközelítése –LOPA, SIS, SIL –Hova illik a LOPA?
2 Történeti áttekintés Megjelenő szabványok / Alkalmazások kezdenek felgyorsulni –IEC / –CCPS Biztonságos Folyamat Automatizáció (1993) –ISA SP (1997) ma a SPA 4 –CCPS Védelmi rétegek elemzése (2001) kiadott útmutató
3 Egy új megközelítés... Kombináljuk a hagyományos Védelmi rétegeket a Műszeres biztonsági rendszerekkel egy új elemző rendszerben, hogy meghatározzuk a Biztonsággal kapcsolatos műszeres rendszerek Integrált Biztonsági Szintjének követelményeit Vegyük be a “LOPA Tolerancia Kritériumokat” vagy “Célfaktorokat” amelyek a módszertanba beolvasztják a cél kockázati toleranciát
4 …Amely a következő problémákkal foglalkozik... Meghatároztam a kockázat tolerancia kritériumokat vagy célt? A rendszerem biztosítja, hogy a kritériumaimat teljesítem? Van szükségem Műszeres Biztonsági Rendszerre? Vannak alternatívák ? Tesztelési idők Redundancia Megbízhatóság / Hamis leállítások Szoftver programozás Globális következetesség & Ipari szabványok Kockázat menedzsment belső követelményei Illetékes hatóság/Jogszabályi követelmények
5 …Miközben mindent egyszerűen kezelünk … = 4 vagy 0.1x0.01x0.07= Komplex matematikai fogalmak & rendszerek Egyszerű eszközök
6 A LOPA alkalmazása – összeegyeztethetőség a ‘csokornyakkendővel ’
7 Mindez mit jelent??
8 Általános fogalmak & rövidítések, amelyeket használni fogunk Biztonsági műszeres funkció (SIF) – A SIS-ben megtervezett teljes tevékenység, az érzékeléstől a végső szabályozó elemig Védelmi réteg elemzés (LOPA) - Olyan értékelési folyamat amely azt vizsgálja, hogy a független védelmi rétegek milyen hatékonyságúak a nem-kívánt események valószínűségének vagy esetleges súlyosságának csökkentésében, a szervezet szükségletei kielégítésére. BPCS (Alapvető Folyamat Szabályozó Rendszer) Védelmi funkciója – Bármely tevékenység, amelyet műszer, egy BPCS, berendezés hiba vagy emberi válasz indít be, és amelynek a célja, hogy elérjen vagy fenntartson egy biztos folyamat állapotot egy meghatározott veszélyes esemény vonatkozásában. Ez magában foglal minden műszeres nem- „Biztonsági Műszeres Funkciót" a LOPA meghatározása szerint Biztonsággal kapcsolatos Védelmi Rendszer Funkció – Teljes akció, amelyre a Biztonsággal kapcsolatos védelmi rendszert (SRPS) tervezték az érzékeléstől a végső szabályozó elemig
9 LOPA Célfaktor (TF) = a ‘tűrhető’ esemény gyakoriság jelzőszáma (pl. 1 esemény évenként TF = 5) Indító esemény faktor = indító esemény gyakoriság jelzőszáma (pl. hiba gyakoriság 10 évenként 1, IEF = 1) IPL = Független védelmi réteg IPL Kredit faktor = elvárt hiba valószínűség (PFD) jelzőszáma (0.01 PFD egyenlő 2-es kredit faktor)
10 Egyszerű elemzési folyamat 1Használjuk a LOPA-t annak meghatározására, hogy szükség van-e biztonsági műszeres rendszerre és ha igen, akkor annak meghatározására, hogy melyek a szükséges biztonsági integritás szintek (SIL) (1 - 3) 2Határozd meg a kívánt megbízhatósági szinteket (RL) (Hiba tűrés) & a SIL-ket, hogy határozzuk meg a szükséges érzékelőket, logikai megoldókat és végelem konfigurációkat, és a szükséges tesztelési intervallumokat
11 Üzemi katasztrófa elhárítási terv Fizikai védelem pl. nyomáscsökkentő eszközök Biztonsági műszeres rendszer megelőző működése Kritikus riasztok és operátori beavatkozások Alapvető folyamat szabályozó rendszer, operációs alapelv / felülvizsgálat Tech. Tervezés integritása Lakossági katasztrófa elhárítási terv A LOPA “Hagyma” Hogy működik?
12 Technológiai tervezés integritása A LOPA “Hagyma”
13 Alapvető folyamat szabályozó rendszer, operációs alapelv / felülvizsgálat Technológiai tervezés integritása A LOPA “Hagyma”
14 Kritikus riasztók és operátori beavatkozások Alapvető folyamat szabályozó rendszer, operációs alapelv / felülvizsgálat Technológiai tervezés integritása A LOPA “Hagyma”
15 Biztonsági műszeres rendszer megelőző működése Kritikus riasztók és operátori beavatkozások Alapvető folyamat szabályozó rendszer, operációs alapelv / felülvizsgálat Technológiai tervezés integritása A LOPA “Hagyma”
16 A LOPA “Hagyma” Fizikai védelem pl. nyomáscsökkentő eszközök Biztonsági műszeres rendszer megelőző működése Kritikus riasztók és operátori beavatkozások Alapvető folyamat szabályozó rendszer, operációs alapelv / felülvizsgálat Technológiai tervezés integritása
17 A LOPA “Hagyma” Fizikai védelem pl. nyomáscsökkentő eszközök Biztonsági műszeres rendszer megelőző működése Kritikus riasztók és operátori beavatkozások Alapvető folyamat szabályozó rendszer, operációs alapelv / felülvizsgálat Technológiai tervezés integritása Üzemi katasztrófa elhárítási terv
18 Üzemi katasztrófa elhárítási terv Fizikai védelem pl. nyomáscsökkentő eszközök Biztonsági műszeres rendszer megelőző működése Kritikus riasztók és operátori beavatkozások Alapvető folyamat szabályozó rendszer, operációs alapelv / felülvizsgálat Technológiai tervezés integritása Lakossági katasztrófa elhárítási terv A LOPA “Hagyma”
19 A LOPA “Hagyma” Független védelmi rétegek LAKOSSÁGI KATASZTRÓFA ELHÁRÍTÁSI TERV ÜZEMI KATASZTRÓFA ELHÁRÍTÁSI TERV Technológia tervezés FIZIKAI VÉDELEM (GÁTAK) FIZIKAI VÉDELEM (ENYHÍTŐ ESZKÖZÖK) AUTOMATIKUS MŰVELET SIS vagy ESD KRITIKUS RIASZTÓK, OPERÁTOR FELÜGYELET és KÉZI BEAVATKOZÁS Alapvető szabályozás, Folyamati riasztók és Operátor felügyelet,
20 Független védelmi réteg (IPL) Olyan védelmi réteg, amely megakadályozza a nem biztonságos forgatókönyv kifejlődését, függetlenül az indító eseménytől vagy bármely más védelmi réteg teljesítményétől. Függetlenség A tesztelés is alapvető
21 Veszélyes esemény következményei Veszélyes esemény gyakorisága Kockázat szintje Külső kockázat csökkentő berendezések E/E/PES SRS-k Más techno- lógiai SRS-k A berendezés biztonságos Kockázat feleljen meg a biztonsági szintnek Szükséges minimális kockázat csökkentés Az eredeti fogalom Ron Bell
22 Védelmi réteg koncepció Kulcs: A nyíl a nem-kívánt esemény súlyosságát és gyakoriságát ábrázolja, ha a tovább IPL-k nem lennének sikeresek Nem-kívánt esemény - Független védelmi réteg - Elvárt hiba valószínűsége - gyakoriság / év Gyakoriság Súlyosság Biztonságos kimenet siker Nem-kívánt esemény történik Nem-kívánt esemény gyakorisága Indító esemény Becsült gyakoriság
23 Amit a LOPA az eseményfával tesz Indító esemény gyakoriság Kockázat tolerancia kritériumok ( gyakoriság ) az 1. IPL PFD-je (BPCS) a 2. IPL PFD-je (riasztók + Operátor) SIL (1-3) a SIS 1 -re ? Példa A SIS szükséges. SIL = /(10 -1 *10 -2 *10 -1 *10 -1 ) = Feltételes módosító
24 Amit a LOPA az eseményfával tesz - alternatív - Indító esemény gyakoriság Kockázat Tolerancia kritériumok ( gyakoriság ) az 1. IPL PFD-je (BPCS) a 2. IPL PFD-je (riasztók + Operátor) SIL (1-3) a SIS 1 -re ? Example A SIS szükséges. SIL = = 2 Feltételes módosító A védelmi rés bezárásának koncepciója
25 Eszközök Papír alapú munkalapok Excel munkafüzetek Példák alább:
26 A LOPA Workbook
27 LOPA munkafüzetek Vagy lehet vízszintesen elhelyezni minta Excel munkafüzet
28 Forgatókönyv meghatározás Feltételes módosítók Vé del mi rés Forgatókönyv leírás Cél: elviselhető esemény gyakoriság (Okozó) Indító esemény Indító esemény gyakoriság Begyulladás (csak a tűz és robbanás forgatókönyv ekre érvényes) Kitettsé g valószín űsége/ki tettség idő A független műszeres rétegeknek elkülönített érzékelőkkel, logikai megoldókkal és végelemekkel kell rendelkezniük. Egyéb biztonság gal kapcsolat os védelmi rendszere k A cél 0 vag y kev ese bb Ref No Adjon teljes leírást a nem- kívánt következményről Írja le a forgatókönyv következményei t, ezután használja a kék sor legördülő sávjait Írja le az indító esemény teljes leírását Írja le az indító eseményt Jegyezze fel a begyulladás valószínűség ét. (POI) a fehér sorban, amennyiben releváns Igazolja a kitettség valószín űsége/ki tettségi időt a fehér sorban BPCS Kontroll szabályozó tevékenység- Írja le a fehér sorban Operátor választ a riasztásokra és az eljárások leírását írja le a fehér sorban 1-es Biztons ági műszere s rendsze r 2-es bizton ságis műsze res rendsz er Nyomáscsö kkentő rendszer – túlnyomáso s rendszer SRPS Blokkoló túlfolyik – ez tűzet okoz, egy haláleset A szint kontroll meghibáso dik A művelet < az idő 10%-a Elvesztett BPCS funkció SIL 3 szintű leállító rendsze r Bi zto ns ági ta nu lm án y Haláleset az üzem területén BPCS műszeres kör hiba POI > 500kg kibocsátott M.B.E. <0.3 mJ 0.1 Kitettsé g valószín űsége Nincs BPCS leállító a biztonságos leállításhoz A riasztás a BPCS-ből jön – nem független SIS - SIL A túltöltés miatt kibocsátás az enyhítő rendszerből – robbanás vagy tűz Több mint 1 haláleset Szint hibásodás és a gőz vezeték elzáródásá nak kombináció ja Nincs súlyozás Keveseb b mint az idő 10%-a Bi zto ns ági ta nu lm án y 1-nél több haláleset az üzem területén kívül BPCS műszeres kör hiba POI > 500kg kibocsátott M.I.E. <0.3 mJ 0.1 Probabil ity of Exposur e Nincs BPCS leállító a biztonságos leállításhoz A riasztás a BPCS-ből jön – nem független Tömlő meghibásodik, nagy szivárgás Operátor fedezi fel- az operátor képzett és ESD-je van Túláramlá s szelep Bi zto ns ági ta nu lm án y Gyakoriság 1 / 1000 évente Vezeték szivárgás < 100m 0.1 Probabil ity of Exposur e Alacsony stressz szintű operátor észlelte az eseményt > 10 perc a válaszadásra 1 – Egyéb biztonság gal kapcsolat os védelmi rendszere k (PFD=0.1)
29 Kezdés Készítsen forgatókönyvet (pl. Következmények a HAZOP-ban – részletek később) Határozza meg a kockázati Tolerancia Kritériumokat (Cél) – gyakorisági mutató Azonosítsa az Ok-Okozati párokat Jegyezze fel az Ön által választott rendszerbe
30 Kockázat Tolerancia kritériumok
31 Figyelembe veheti a pénzügyi veszteségeket, amennyiben kívánja Ezután mérje fel sorban az összes indító eseményt és tegye közzé a dokumentációját Az U.S. Dupont ezt a módszert követi
32 LOPA minta munkafüzet
33 Minta meghibásodási rátákat a korábbi munkaadóm használta - Használja a saját, vagy illetékes hatóságoktól származó rátákat 2. lépés – Indító események – (pl. ok a HAZOP-ból)
34 Az indító eseményekre vonatkozó alapvető szabályok 1A folyamat ellenőrző szoftver nem lehet indító esemény. A forrásként való kizáráshoz tesztelést és szimulációt kell alkalmazni. Változás menedzsmentnek elég erősnek kell lennie, hogy elkerülhető legyen az operációs program meghibásodása. 2Az IPL-k nem lehetnek indító események. Az egyetlen kivétel a BPCS és Riasztók elem meghibásodása – amennyiben ez forgatókönyvet eredményezhet. 3Az indító események egyedi események, azonban módosulhatnak a bekövetkező Feltételes Módosítók valószínűsége következtében (pl., begyulladás megjelenése).
35 Most jön a 3. lépés – Feltételes módosítók Egyéb feltételek, amelyeknek meg kell valósulnia, hogy a forgatókönyv teljes mértékben kialakuljon pl. –Begyulladás valószínűsége –Kitettség valószínűsége Sok forgatókönyvre nem alkalmazható És amikor megbizonyosódott – lépjen tovább a Független Védelmi Rétegekhez
36 Feltételes Módosítók- Alapvető szabályok a valószínűséget okozó begyulladásra 1Tűzesetekre. Más eseményekre (pl. mérgező anyagoknak való kitettség) az érték 0. 2Vezessen be 1-es vagy 2-es értéket a vegyszer gyúlékonysága alapján. Pl. –Súlyozás = 1 a hidrogénre, acetylenre, EO-ra, PO-ra, etilénre, butadiénre –Súlyozás = 2 egyéb szénhidrogénekre 50 és 501 kg tömeg között 3Vezessen be 3-as értéket, amennyiben villámlás a gyújtóforrás.
37 Példák
38 Most annak valószínűsége, hogy valaki a kitettségi idő következtében károsodhat.
39 Kitettség valószínűsége példák Feltételes módosítók Kitettség valószínűsége Feltételes módosító valószínűsége Feltételes módosító LOPA tényező Kitettség engedélyezett valószínűsége, olyan folyamatokban, amelyek 5 hétnél rövidebb ideig zajlanak egy évben 1x Kitettség engedélyezett valószínűsége, olyan folyamatokban, amelyek 3 napnál rövidebb ideig zajlanak egy évben 1x Annak valószínűsége, hogy a katasztrófa területen személyek tartózkodhatnak, akik a szennyezésnek kitettek. (pl. ritkán látogatott vagy használt területek, mint például távoli raktárak). 1x10 -1 vagy 1X vagy 2
40 4. lépés IPL-k (független védelmi rétegek) Azonosítsa a BPCS védelmi funkciót, ha van ilyen Sorolja fel valamennyi riasztást és az adott operátor válaszokat (írásbeli eljárás szükséges) Jegyezze fel a nyomáscsökkentő eszközök minősítéseit Dokumentálja az Egyéb biztonsággal kapcsolatos rendszereket –Menedzsment gyakorlatokat –Emberi tevékenységeket –Gépi védelmi rendszereket
41 Általános függetlenségi szabály Ahhoz, hogy független legyen, a védelmi rétegnek meg kell akadályozni a nem- biztonságos forgatókönyv kifejlődését, független az indító eseménytől vagy bármely más védelmi réteg teljesítményétől.
42
43 A BPCS és a Riasztások alapvető szabályai Ha a BPCS (teljes kör) az indító esemény, sem a BPCS-t sem a riasztó IPL-t nem lehet súlyozni, kivéve ha teljesen különálló rendszerek. Ha a BPCS és a riasztó IPL-k ugyanazt az érzékelőt használják, akkor csak egy IPL-nek számítanak. A riasztó IPL-hez formálisan rögzített és ellenőrizhető operátor működés szükséges, a forgatókönyv megakadályozása céljából. Ha egy érzékelő meghibásodása az Indító Esemény, akkor a BPCS és a Riasztó IPL nem vehetőek figyelembe abban az esetben, ha a hibás érzékelő működésén alapulnak. Ha egy végelem meghibásodása az Indító Esemény, akkor a BPCS és a Riasztó IPL operátori beavatkozása nem súlyozható, amennyiben a meghibásodott végelem működését igénylik. (ez leggyakrabban szabályozó szelep lehet.) Ha a BPCS logikai megoldója az Indító Esemény, akkor nem súlyozható a BPCS vagy a Riasztó IPL, hacsak a Riasztó IPL nem teljesen különálló rendszer. Ha egy Riasztó az egy IPL, az operátornak időre van szükséges a forgatókönyv megakadályozásához. Nem súlyozható az, ha az operátornak kevesebb, mint 15 perc áll rendelkezésre reagálnia. Akkor lehet számításba venni ezt a választ, ha része a Katasztrófa Elhárítási Tervnek. Egy esetre maximum egy (1) BPCS és egy (1) Riasztó IPL súlyozás ismerhető el. A BPCS és SIS elemek megosztása akkor engedhető meg, ha elegendő bizonyíték áll rendelkezésre a megfelelő függetlenségre. (Lásd a SIS elemek megosztási szabályait a BPCS által) A mechanikus biztonsági eszközök, mint például a túlzott sebesség leállítók nem tekinthetők műszeres IPL-nek. Ugyanakkor ezek független biztonsággal kapcsolatos védelmi rendszereknek számíthatnak az egyéb biztonsággal kapcsolatos védelmi rendszerek oszlopban.
44 5. lépés – Egyéb nem-SIS (nem- biztonsági műszeres rendszer) IPL-k Enyhítő eszközök Fáklyák Leválasztók Egyéb biztonsággal kapcsolatos védelmi rendszerek (SRPS – lásd később) Ezután lépjen tovább a Biztonsági műszeres rendszerek amennyiben van még védelmi rés
45 Nyomáscsökkentő berendezések szabályai 1 A Nyomáscsökkentő eszköz vagy megvéd vagy nem. Tört súlyozás nem megengedett. 2Ha a Nyomáscsökkentő eszköz az atmoszférába bocsát ki, ezáltal másodlagos kockázatot okozva (emberekre, környezetre, berendezésre), akkor nem súlyozható. Ha az atmoszférába való kibocsátás elfogadható kockázattal jár, akkor lehetséges a súlyozás. 3Ha a Nyomáscsökkentő eszköz egy tartályba, vagy gáztisztítóba bocsátja ki az anyagot, akkor súlyozható. 4Ez nem arra szolgáló eszköz, hogy elhatározzuk “Nincs szükség túlnyomás védelmi eszközre”.
46 Szabályok egyéb biztonsággal kapcsolatos védelmi eszközökre 1 Azok a rendszerek tartoznak ebbe az oszlopba, amelyek nem nyomáscsökkentő rendszerek és nem műszeres rendszerek. 2 A gátak a biztonságvédelem szempontjából nem IPL-k – azokat nem súlyozzuk, mivel csupán enyhíteni képesek a következményeket (és ezért már beszámítódtak a forgatókönyvek készítésekor). A környezetvédelmi forgatókönyvet tartalmazó üzleti ügyben, a gátak csökkenthetik a környezeti károsodás gyakoriságát – ilyenkor súlyozhatóak. 3 Zárt építményeket vagy területeket tartalmaz, amennyiben ilyenek vannak. 4 A fel nem sorolt rendszerek sok figyelmet és engedélyezéseket kívánnak. Ezek a szabályok egy cégtől származnak – esetleg vitathatóak
47 Műszaki problémák A többszörös érzékelők a BPCS-ben segítik a tesztelést de a kockázati szinteket nem csökkentik jelentősen A BPCS-el közösen használt SIS érzékelők esetében - külön szabályokra van szükség
48 Amit a LOPA tesz az esemény fával (ismétlés) Indító esemény gyakoriság Kockázat tolerancia kritériumok(gyakoriság) 1. IPL PFD-je (BPCS) 2. IPL PFD-je (Riasztók+ Operátor) SIL (1-3) a SIS 1 -re ? Példa A SIS szükséges. SIL = /(10 -1 *10 -2 *10 -1 *10 -1 ) = Feltételes módosító
49 Idézzünk fel néhány új fogalmat Biztonsági műszeres rendszer (SIS) Érzékelők, logikai megoldók és végelemek olyan kombinációja, amely felfedezi a határtartományon kívüli (abnormális) feltételt és azt biztonságos állapotba hozza, emberi beavatkozás nélkül. Meghatározott kockázatok ellen véd. Kívánt biztonsági funkciót lát el. Meghatározott a megbízhatósága. Független más védelmi vagy enyhítő rendszerektől.
50 Újabb új fogalmak A SIS megbízhatósági kritériuma, amely meghatározza a valószínűségét annak, hogy a rendszer működési hibája miatt ne legyen képes a kívánt funkció ellátására. Biztonsági Integritás Szintek (SIL)
51. BPCS és SIS KÜLÖNBÖZNEK A BPCS az üzemet meghatározott működési paraméterek között tartja Mind a BPCS mind a SIS-k működhetnek IPL-ként A BPCS nagy valószínűség szerint nem éri el a > SIL1 PFD-t vagy Hiba követelményeket (Esetleg el is kerülhető, hacsak nincs tanúsítva) A tanúsítási követelmények különbözőek A dokumentációs követelmények különbözőek A tesztelési követelmények különbözőek
52 6-os lépés: SIS szükségletek Sorolja fel a Biztonsági műszeres funkciókat, amennyiben szükségesek. A SIF SIL-je az a számértéke, amely szükséges a “Védelmi rés bezárására”.
53 A SIS alapvető szabályai 1A SIS értékeket kell utoljára átgondolni és csak akkor ha a védelmi rést szükséges lezárni 2Egy nullánál nagyobb, pozitív érték a Védelmi rés oszlopban jelzi, hogy SIS-re van szükség. 3A SIS elvárt SIL-je az az érték, amely bezárja a Védelmi rést 43-nál nagyobb SIL érték nem megengedhető. További nem-SIS IPL-k szükségesek. – vagy valami baj van a folyamattal 5A nulla vagy negatív érték a Védelmi rés oszlopban jelzi, hogy SIS-re nincs szükség. 6A 2-es vagy 3-as SIL értékű SIS-t helyettesíteni lehet alacsonyabb SIL kombinációval, amennyiben ezek egymástól függetlenek. SIL 1 + SIL 1 = SIL 2 ; SIL 1 + SIL 2 = SIL 3 7Kettő (2) ugyanolyan funkcióban használt SIS IPL-nek külön érzékelővel, logikai megoldóval és végelemmel kell rendelkeznie. Ugyanazon SIS logikai megoldón keresztül egymástól független elérési utakat kell használni.
54 Most befejeztük az elemzésünket
55 7. lépés Teljességgel dokumentálja a forgatókönyvet, az indító eseményt, a feltételes módosítókat és az IPL-ket. Igazolja és mutassa be a Bizonytalanságokat és Érzékenységeket. Dokumentálja a SIS követelményeket ÉS az Egyéb biztonsággal kapcsolatos védelmi rendszerek követelményeit Biztosítja, hogy valamennyi követelmény átkerüljön a műszeres tervezés és fenntartási funkcióba