Pārliecības arhitektūra: visaptveroša globāla drošības sistēmu projektēšanas rokasgrāmata

Mūsu arvien sarežģītākajā un automatizētākajā pasaulē, sākot no plašām ķīmiskajām rūpnīcām un ātrgaitas ražošanas līnijām līdz modernām automobiļu sistēmām un kritiskai enerģētikas infrastruktūrai, klusie mūsu labklājības sargi ir tajās iestrādātās drošības sistēmas. Tie nav tikai papildinājumi vai pēcpārdomas; tās ir rūpīgi izstrādātas sistēmas, kas projektētas ar vienu, dziļu mērķi: novērst katastrofu. Drošības sistēmu projektēšanas disciplīna ir māksla un zinātne, kā veidot šo pārliecību, pārveidojot abstraktu risku par taustāmu, uzticamu aizsardzību cilvēkiem, aktīviem un videi.

Šī visaptverošā rokasgrāmata ir paredzēta globālai auditorijai – inženieriem, projektu vadītājiem, operāciju vadītājiem un drošības speciālistiem. Tā kalpo kā dziļš ieskats pamatprincipos, procesos un standartos, kas reglamentē mūsdienu drošības sistēmu projektēšanu. Neatkarīgi no tā, vai esat iesaistīts procesu rūpniecībā, ražošanā vai jebkurā jomā, kurā ir jākontrolē bīstamība, šis raksts sniegs jums pamatzināšanas, lai ar pārliecību un kompetenci orientētos šajā kritiskajā jomā.

'Kāpēc': Nepārprotamā nepieciešamība pēc robustas drošības sistēmu projektēšanas

Pirms iedziļināties tehniskajā 'kā', ir būtiski saprast fundamentālo 'kāpēc'. Motivācija izcilībai drošības projektēšanā nav vienpusēja, bet gan daudzšķautņaina, balstoties uz trīs pamatpīlāriem: ētisko atbildību, juridisko atbilstību un finansiālo piesardzību.

Morālais un ētiskais mandāts

Savā būtībā drošības inženierija ir dziļi humānistiska disciplīna. Galvenais virzītājspēks ir morālais pienākums aizsargāt cilvēka dzīvību un labklājību. Katrs rūpnieciskais negadījums, no Bopālas līdz Deepwater Horizon, kalpo kā skarbs atgādinājums par postošajām cilvēciskajām izmaksām, ko rada neveiksmes. Labi izstrādāta drošības sistēma ir apliecinājums organizācijas apņēmībai attiecībā uz tās vērtīgāko aktīvu: tās cilvēkiem un kopienām, kurās tā darbojas. Šī ētiskā apņemšanās pārsniedz robežas, noteikumus un peļņas maržas.

Juridiskais un normatīvais ietvars

Visā pasaulē valdības aģentūras un starptautiskās standartizācijas iestādes ir noteikušas stingras juridiskās prasības attiecībā uz rūpniecisko drošību. Neatbilstība nav risinājums un var novest pie smagiem sodiem, darbības licenču atsaukšanas un pat kriminālapsūdzībām uzņēmuma vadībai. Starptautiskie standarti, piemēram, tie, ko izdevusi Starptautiskā elektrotehnikas komisija (IEC) un Starptautiskā standartizācijas organizācija (ISO), nodrošina globāli atzītu ietvaru, lai sasniegtu un demonstrētu vismodernāko drošības līmeni. Šo standartu ievērošana ir universāla pienācīgas rūpības valoda.

Finansiālais un reputācijas rezultāts

Lai gan drošība prasa ieguldījumus, drošības kļūmes izmaksas gandrīz vienmēr ir eksponenciāli augstākas. Tiešās izmaksas ietver aprīkojuma bojājumus, ražošanas zudumus, naudas sodus un tiesvedību. Tomēr netiešās izmaksas var būt vēl postošākas: sabojāta zīmola reputācija, patērētāju uzticības zaudēšana, krītoša akciju vērtība un grūtības piesaistīt un noturēt talantus. Un otrādi, spēcīgs drošības rādītājs ir konkurences priekšrocība. Tas signalizē uzticamību, kvalitāti un atbildīgu pārvaldību klientiem, investoriem un darbiniekiem. Efektīva drošības sistēmu projektēšana nav izmaksu centrs; tas ir ieguldījums darbības noturībā un ilgtermiņa biznesa ilgtspējā.

Drošības valoda: pamatjēdzienu atšifrēšana

Lai apgūtu drošības sistēmu projektēšanu, vispirms ir brīvi jāpārvalda tās valoda. Šie pamatjēdzieni veido visu ar drošību saistīto diskusiju un lēmumu pamatu.

Bīstamība pret risku: fundamentālā atšķirība

Lai gan sarunvalodā bieži lietoti kā sinonīmi, 'bīstamībai' un 'riskam' drošības inženierijā ir precīzas nozīmes.

• Bīstamība: Potenciāls kaitējuma avots. Tā ir raksturīga īpašība. Piemēram, augstspiediena tvertne, rotējošs asmens vai toksiska ķīmiska viela ir bīstamības.
• Risks: Kaitējuma rašanās varbūtība apvienojumā ar šī kaitējuma smagumu. Risks ņem vērā gan nevēlama notikuma varbūtību, gan tā iespējamās sekas.

Mēs projektējam drošības sistēmas nevis, lai novērstu bīstamību – kas bieži ir neiespējami –, bet lai samazinātu saistīto risku līdz pieņemamam vai pieļaujamam līmenim.

Funkcionālā drošība: aktīva aizsardzība darbībā

Funkcionālā drošība ir daļa no sistēmas kopējās drošības, kas ir atkarīga no tās pareizas darbības, reaģējot uz tās ievaddatiem. Tas ir aktīvs jēdziens. Kamēr pastiprināta betona siena nodrošina pasīvo drošību, funkcionālās drošības sistēma aktīvi nosaka bīstamu stāvokli un veic noteiktu darbību, lai sasniegtu drošu stāvokli. Piemēram, tā nosaka bīstami augstu temperatūru un automātiski atver dzesēšanas vārstu.

Instrumentētās drošības sistēmas (SIS): pēdējā aizsardzības līnija

Instrumentētā drošības sistēma (SIS) ir projektēts aparatūras un programmatūras vadības komplekts, kas īpaši izstrādāts, lai veiktu vienu vai vairākas "Instrumentētās drošības funkcijas" (SIF). SIS ir viena no visbiežāk sastopamajām un jaudīgākajām funkcionālās drošības implementācijām. Tā darbojas kā kritisks aizsardzības slānis, kas paredzēts iejaukties, kad citas procesu vadības un cilvēku iejaukšanās metodes ir neveiksmīgas. Piemēri ietver:

• Avārijas apturēšanas (ESD) sistēmas: Lai droši apturētu visu rūpnīcu vai procesa vienību lielas novirzes gadījumā.
• Augstas integritātes spiediena aizsardzības sistēmas (HIPPS): Lai novērstu cauruļvada vai tvertnes pārspiedienu, ātri noslēdzot spiediena avotu.
• Degļu vadības sistēmas (BMS): Lai novērstu sprādzienus krāsnīs un katlos, nodrošinot drošu palaišanas, darbības un apturēšanas secību.

Veiktspējas mērīšana: SIL un PL izpratne

Ne visas drošības funkcijas ir vienādas. Drošības funkcijas kritiskums nosaka, cik uzticamai tai jābūt. Divas starptautiski atzītas skalas, SIL un PL, tiek izmantotas, lai kvantitatīvi noteiktu šo nepieciešamo uzticamību.

Drošības integritātes līmenis (SIL) galvenokārt tiek izmantots procesu nozarēs (ķīmiskā, naftas un gāzes) saskaņā ar IEC 61508 un IEC 61511 standartiem. Tas ir riska samazināšanas mērs, ko nodrošina drošības funkcija. Ir četri atsevišķi līmeņi:

• SIL 1: Nodrošina riska samazināšanas koeficientu (RRF) no 10 līdz 100.
• SIL 2: Nodrošina RRF no 100 līdz 1000.
• SIL 3: Nodrošina RRF no 1000 līdz 10 000.
• SIL 4: Nodrošina RRF no 10 000 līdz 100 000. (Šis līmenis ir ārkārtīgi rets procesu nozarē un prasa īpašu pamatojumu).

Nepieciešamais SIL tiek noteikts riska novērtēšanas fāzē. Augstāks SIL prasa lielāku sistēmas uzticamību, lielāku redundanci un stingrākus testus.

Veiktspējas līmenis (PL) tiek izmantots mašīnu vadības sistēmu ar drošību saistītajām daļām, ko reglamentē standarts ISO 13849-1. Tas arī definē sistēmas spēju veikt drošības funkciju paredzamos apstākļos. Ir pieci līmeņi, no PLa (zemākais) līdz PLe (augstākais).

• PLa
• PLb
• PLc
• PLd
• PLe

PL noteikšana ir sarežģītāka nekā SIL un ir atkarīga no vairākiem faktoriem, tostarp sistēmas arhitektūras (kategorijas), vidējā laika līdz bīstamai kļūmei (MTTFd), diagnostikas pārklājuma (DC) un noturības pret kopēja cēloņa kļūmēm (CCF).

Drošības aprites cikls: sistemātisks ceļojums no koncepcijas līdz ekspluatācijas pārtraukšanai

Mūsdienu drošības projektēšana nav vienreizējs notikums, bet gan nepārtraukts, strukturēts process, kas pazīstams kā drošības aprites cikls. Šis modelis, kas ir centrālais tādiem standartiem kā IEC 61508, nodrošina, ka drošība tiek ņemta vērā katrā posmā, no sākotnējās idejas līdz sistēmas galīgajai ekspluatācijas pārtraukšanai. To bieži vizualizē kā 'V-modeli', uzsverot saikni starp specifikāciju (V kreisā puse) un validāciju (labā puse).

1. fāze: Analīze - drošības projekts

Šī sākotnējā fāze ir, iespējams, vissvarīgākā. Kļūdas vai izlaidumi šeit kaskādveidā ietekmēs visu projektu, novedot pie dārgas pārstrādes vai, vēl sliktāk, pie neefektīvas drošības sistēmas.

Bīstamības un riska novērtēšana (HRA): Process sākas ar sistemātisku visu potenciālo bīstamību identificēšanu un saistīto risku novērtēšanu. Globāli tiek izmantotas vairākas strukturētas metodes:

• HAZOP (Bīstamības un operabilitātes pētījums): Sistemātiska, komandas darba prāta vētras metode, lai identificētu iespējamās novirzes no projektēšanas nolūka.
• LOPA (Aizsardzības slāņu analīze): Daļēji kvantitatīva metode, ko izmanto, lai noteiktu, vai esošie drošības pasākumi ir pietiekami, lai kontrolētu risku, vai ir nepieciešama papildu SIS, un ja tā, tad ar kādu SIL.
• FMEA (Kļūmju veidu un seku analīze): No apakšas uz augšu vērsta analīze, kas apsver, kā atsevišķi komponenti var sabojāties un kāda būtu šīs kļūmes ietekme uz visu sistēmu.

Drošības prasību specifikācija (SRS): Kad riski ir izprasti un ir nolemts, ka ir nepieciešama drošības funkcija, nākamais solis ir precīzi dokumentēt tās prasības. SRS ir galīgais drošības sistēmas projektētāja projekts. Tas ir juridisks un tehnisks dokuments, kuram jābūt skaidram, kodolīgam un nepārprotamam. Robusta SRS nosaka, ko sistēmai jādara, nevis kā tā to dara. Tā ietver funkcionālās prasības (piemēram, "Kad spiediens tvertnē V-101 pārsniedz 10 bārus, aizvērt vārstu XV-101 2 sekunžu laikā") un integritātes prasības (nepieciešamo SIL vai PL).

2. fāze: Realizācija - projekta iedzīvināšana

Ar SRS kā vadlīniju inženieri sāk drošības sistēmas projektēšanu un ieviešanu.

Arhitektūras dizaina izvēles: Lai sasniegtu mērķa SIL vai PL, projektētāji izmanto vairākus galvenos principus:

• Redundance: Vairāku komponentu izmantošana vienas un tās pašas funkcijas veikšanai. Piemēram, divu spiediena raidītāju izmantošana viena vietā (1-no-2 jeb '1oo2' arhitektūra). Ja viens sabojājas, otrs joprojām var veikt drošības funkciju. Kritiskākās sistēmās var izmantot 2oo3 arhitektūru.
• Daudzveidība: Dažādu tehnoloģiju vai ražotāju izmantošana redundantajiem komponentiem, lai aizsargātos pret kopīgu dizaina defektu, kas ietekmētu tos visus. Piemēram, izmantojot viena ražotāja spiediena raidītāju un cita ražotāja spiediena slēdzi.
• Diagnostika: Iebūvēti automātiski paštesti, kas var atklāt kļūmes pašā drošības sistēmā un ziņot par tām, pirms rodas pieprasījums.

Instrumentētās drošības funkcijas (SIF) anatomija: SIF parasti sastāv no trīs daļām:

1. Sensors(-i): Elements, kas mēra procesa mainīgo (piemēram, spiedienu, temperatūru, līmeni, plūsmu) vai nosaka stāvokli (piemēram, gaismas aizkara pārrāvumu).
2. Loģiskais risinātājs: Sistēmas 'smadzenes', parasti sertificēts drošības PLC (programmējams loģiskais kontrolieris), kas nolasa sensoru ievaddatus, izpilda iepriekš ieprogrammētu drošības loģiku un nosūta komandas gala elementam.
3. Gala elements(-i): 'Muskulis', kas izpilda drošības darbību fiziskajā pasaulē. Bieži vien tā ir solenoīda vārsta, izpildmehānisma un gala vadības elementa, piemēram, slēgvārsta vai motora kontaktora, kombinācija.

Piemēram, augstspiediena aizsardzības SIF (SIL 2): sensors varētu būt SIL 2 sertificēts spiediena raidītājs. Loģiskais risinātājs būtu SIL 2 sertificēts drošības PLC. Gala elementa komplekts būtu SIL 2 sertificēts vārsts, izpildmehānisms un solenoīda kombinācija. Projektētājam jāpārbauda, vai šo trīs daļu apvienotā uzticamība atbilst kopējai SIL 2 prasībai.

Aparatūras un programmatūras izvēle: Drošības sistēmā izmantotajiem komponentiem jābūt piemērotiem mērķim. Tas nozīmē izvēlēties ierīces, kuras ir sertificējusi akreditēta iestāde (piemēram, TÜV vai Exida) atbilstoši konkrētam SIL/PL novērtējumam, vai kurām ir stabils pamatojums, balstoties uz "pierādīts lietošanā" vai "iepriekšējā lietošana" datiem, kas apliecina augstu uzticamību līdzīgā pielietojumā.

3. fāze: Darbība - vairoga uzturēšana

Perfekti izstrādāta sistēma ir bezjēdzīga, ja tā nav pareizi uzstādīta, darbināta un uzturēta.

Instalēšana, nodošana ekspluatācijā un validācija: Šī ir verifikācijas fāze, kurā tiek pierādīts, ka izstrādātā sistēma atbilst katrai SRS prasībai. Tā ietver rūpnīcas pieņemšanas testus (FAT) pirms nosūtīšanas un objektu pieņemšanas testus (SAT) pēc instalēšanas. Drošības validācija ir galīgais apstiprinājums, ka sistēma ir pareiza, pilnīga un gatava aizsargāt procesu. Neviena sistēma nedrīkst sākt darboties, kamēr tā nav pilnībā validēta.

Darbība, uzturēšana un pārbaudes testi: Drošības sistēmas tiek projektētas ar aprēķinātu kļūmes varbūtību pēc pieprasījuma (PFD). Lai nodrošinātu šīs uzticamības saglabāšanu, obligāti ir jāveic regulāri pārbaudes testi. Pārbaudes tests ir dokumentēts tests, kas paredzēts, lai atklātu neatklātas kļūmes, kas varētu būt radušās kopš pēdējā testa. Šo testu biežumu un pamatīgumu nosaka SIL/PL līmenis un komponentu uzticamības dati.

Pārmaiņu vadība (MOC) un ekspluatācijas pārtraukšana: Jebkuras izmaiņas drošības sistēmā, tās programmatūrā vai procesā, ko tā aizsargā, ir jāpārvalda, izmantojot formālu MOC procedūru. Tas nodrošina, ka izmaiņu ietekme tiek novērtēta un drošības sistēmas integritāte netiek apdraudēta. Līdzīgi, ekspluatācijas pārtraukšana rūpnīcas dzīves cikla beigās ir rūpīgi jāplāno, lai nodrošinātu drošības uzturēšanu visā procesā.

Navigācija globālo standartu labirintā

Standarti nodrošina kopīgu valodu un kompetences etalonu, nodrošinot, ka vienā valstī projektēta drošības sistēma var tikt saprasta, darbināta un uzticama citā valstī. Tie pārstāv globālu vienprātību par labāko praksi.

Pamatstandarti (jumta standarti)

• IEC 61508: "Elektrisko/elektronisko/programmējamo elektronisko ar drošību saistīto sistēmu funkcionālā drošība". Šis ir stūrakmens jeb 'mātes' standarts funkcionālajai drošībai. Tas nosaka prasības visam drošības aprites ciklam un nav specifisks nevienai nozarei. Daudzi citi nozaru standarti ir balstīti uz IEC 61508 principiem.
• ISO 13849-1: "Mašīnu drošība — Vadības sistēmu ar drošību saistītās daļas". Šis ir dominējošais standarts mašīnu drošības vadības sistēmu projektēšanai visā pasaulē. Tas nodrošina skaidru metodoloģiju drošības funkcijas veiktspējas līmeņa (PL) aprēķināšanai.

Galvenie nozaru standarti

Šie standarti pielāgo pamatstandartu principus specifiskajām nozaru problēmām:

• IEC 61511 (Procesu nozare): Piemēro IEC 61508 aprites ciklu procesa nozares specifiskajām vajadzībām (piemēram, ķīmiskā, naftas un gāzes, farmācijas).
• IEC 62061 (Mašīnbūve): Alternatīva ISO 13849-1 mašīnu drošībai, tā ir tieši balstīta uz IEC 61508 koncepcijām.
• ISO 26262 (Automobiļu nozare): Detalizēta IEC 61508 adaptācija elektrisko un elektronisko sistēmu drošībai autotransportā.
• EN 50126/50128/50129 (Dzelzceļš): Standartu komplekts, kas reglamentē drošību un uzticamību dzelzceļa lietojumprogrammām.

Izpratne par to, kuri standarti attiecas uz jūsu konkrēto pielietojumu un reģionu, ir jebkura drošības projektēšanas projekta pamatatbildība.

Biežākās kļūdas un pārbaudīta labākā prakse

Tikai ar tehniskām zināšanām nepietiek. Drošības programmas panākumi lielā mērā ir atkarīgi no organizatoriskiem faktoriem un apņemšanās sasniegt izcilību.

Piecas kritiskas kļūdas, no kurām jāizvairās

1. Drošība kā pēcpārdoma: Attieksme pret drošības sistēmu kā "pieskrūvējamu" papildinājumu vēlīnā projektēšanas procesa posmā. Tas ir dārgi, neefektīvi un bieži vien rada neoptimālu un mazāk integrētu risinājumu.
2. Neskaidra vai nepilnīga SRS: Ja prasības nav skaidri definētas, dizains nevar būt pareizs. SRS ir līgums; neskaidrība ved uz neveiksmi.
3. Slikta pārmaiņu vadība (MOC): Drošības ierīces apiešana vai "nevainīgu" izmaiņu veikšana vadības loģikā bez formāla riska novērtējuma var radīt katastrofālas sekas.
4. Pārmērīga paļaušanās uz tehnoloģiju: Ticība, ka augsts SIL vai PL novērtējums vien garantē drošību. Cilvēciskie faktori, procedūras un apmācība ir vienlīdz svarīgas daļas kopējā riska samazināšanas ainā.
5. Apkopes un testēšanas novārtā pamešana: Drošības sistēma ir tik laba, cik labs ir tās pēdējais pārbaudes tests. "Projektē un aizmirsti" mentalitāte ir viena no bīstamākajām attieksmēm rūpniecībā.

Pieci veiksmīgas drošības programmas pīlāri

1. Veicināt proaktīvu drošības kultūru: Drošībai jābūt pamatvērtībai, ko atbalsta vadība un pieņem katrs darbinieks. Runa ir par to, ko cilvēki dara, kad neviens neskatās.
2. Investēt kompetencē: Visam personālam, kas iesaistīts drošības aprites ciklā — no inženieriem līdz tehniķiem — jābūt atbilstošai apmācībai, pieredzei un kvalifikācijai saviem amatiem. Kompetencei jābūt pierādāmai un dokumentētai.
3. Uzturēt rūpīgu dokumentāciju: Drošības pasaulē, ja tas nav dokumentēts, tas nav noticis. No sākotnējā riska novērtējuma līdz jaunākajiem pārbaudes testu rezultātiem, skaidra, pieejama un precīza dokumentācija ir vissvarīgākā.
4. Pieņemt holistisku, sistēmisku domāšanas pieeju: Skatieties tālāk par atsevišķiem komponentiem. Apsveriet, kā drošības sistēma mijiedarbojas ar pamata procesu vadības sistēmu, ar cilvēkiem-operatoriem un ar rūpnīcas procedūrām.
5. Pieprasīt neatkarīgu novērtējumu: Izmantojiet komandu vai personu, kas nav atkarīga no galvenā projektēšanas projekta, lai veiktu funkcionālās drošības novērtējumus (FSA) galvenajos aprites cikla posmos. Tas nodrošina kritisku, objektīvu pārbaudi un līdzsvaru.

Nobeigums: drošākas rītdienas projektēšana

Drošības sistēmu projektēšana ir stingra, prasīga un dziļi gandarījumu sniedzoša joma. Tā pārsniedz vienkāršu atbilstību, sasniedzot proaktīvu inženieriski nodrošinātas pārliecības stāvokli. Pieņemot aprites cikla pieeju, ievērojot globālos standartus, izprotot galvenos tehniskos principus un veicinot spēcīgu organizatorisko drošības kultūru, mēs varam būvēt un ekspluatēt iekārtas, kas ir ne tikai produktīvas un efektīvas, bet arī fundamentāli drošas.

Ceļojums no bīstamības līdz kontrolētam riskam ir sistemātisks, balstīts uz diviem pamatiem: tehnisko kompetenci un nelokāmu apņemšanos. Tā kā tehnoloģijas turpina attīstīties līdz ar 4.0 industriju, mākslīgo intelektu un pieaugošo autonomiju, robustas drošības projektēšanas principi kļūs vēl kritiskāki. Tā ir nepārtraukta atbildība un kolektīvs sasniegums — mūsu spējas projektēt drošāku, aizsargātāku nākotni visiem galvenā izpausme.