Doteraz odporúčané veci sa stali v rámci bezpečnosti záväzné

Keď sa povie priemyselná bezpečnosť, funkčná bezpečnosť, HAZOP, LOPA, SEVESO III, hneď spozornejú najmä majitelia podnikov a prevádzkovatelia technologických procesov s potenciálnym ohrozením osôb, majetku, životného prostredia či vlastnej reputácie. O tom, že na túto tému sa nemožno pozerať len ako na „nechcenú a pohlcujúcu náklady“, sme sa porozprávali s Ing. Milošom Pinkom, certifikovaným inžinierom pre priemyselnú bezpečnosť a špecialistom na meranie a reguláciu v spoločnosti ProCS, s. r. o.
Doteraz odporúčané veci sa stali v rámci bezpečnosti záväzné

Priemyselná bezpečnosť je mimoriadne dôležitá z hľadiska legislatívneho aj normalizačného. O čo sa možno aktuálne pri tejto téme oprieť?

Priemyselná bezpečnosť je definovaná dvomi schválenými normami – STN EN 61508, ktorá platí pre výrobcov zariadení a definuje požiadavky na zariadenia, ktoré sú súčasťou riešenia bezpečnosti v rámci SIL (Safety Integrated Level) obvodov. Druhou normou je STN EN 61511, ktorá je zameraná na inžinierske spoločnosti a prevádzkovateľov a slúži na aplikovanie zariadení do praxe. Celý životný cyklus riešenia bezpečnosti vychádza z identifikácie a hodnotenia rizík, definovania ochranných vrstiev, pričom použiť možno metódy HAZOP (Hazard and Operability Study), LOPA (Layers Of Protection Analysis) a pod. Po zhodnotení rizika treba tieto zistenia porovnať s kritériami akceptovateľnosti rizika v danej spoločnosti, podniku. Ak je identifikované riziko vyššie ako akceptovateľné, treba v rámci technológie, prevádzky inštalovať ochrannú vrstvu, ktorá je podľa uvedenej normy definovaná v podobe bezpečnostnej prístrojovej funkcie.

Tu sa dostávame asi k tej známej funkčnej bezpečnosti. Čo si treba pod tým predstaviť?

Ide o technický štandard, ktorý definuje požiadavky na bezpečnostné prístrojové funkcie – pod tým si treba predstaviť celý blokovací obvod od snímača cez hardvérové pripojenie, logický člen, ako napr. ESD, PLC, softvérové vybavenie až po samotný akčný člen – ventil, čerpadlo, kompresor a pod. Po zadefinovaní bezpečnostnej prístrojovej funkcie treba zistiť, o koľko treba znížiť identifikované riziko, aby sme sa dostali na úroveň akceptovateľného rizika. Tu už definujeme jednotlivé úrovne SIL1-4. To, ktorá kategória je požadovaná, závisí práve od presnosti identifikácie a ohodnotenia rizika, ako aj správneho definovania ochrannej funkcie.

Z našich skúseností práve v tejto oblasti vznikajú najväčšie nedostatky. Na prevádzku v rozsahu napr. 500 meracích miest trvá realizácia uvedených činností odhadom šesť týždňov, v rámci ktorých sa stretávajú zástupcovia výrobného podniku spolu s dodávateľom technológie a riešenia bezpečnosti. Celá táto aktivita je náročná z hľadiska koordinácie jednotlivých ľudí, ktorí by mali byť na stretnutiach prítomní. Tím zodpovedný za HAZOP sa štandardne skladá z vedúceho tímu, procesného inžiniera, strojného inžiniera, elektro a MaR inžiniera, bezpečnostného inžiniera. V našej spoločnosti sa snažíme integrovať stretnutia týkajúce sa HAZOP a LOPA tak, aby sa uskutočnili v jednom termíne. Tým sa skráti celý proces zhruba o štvrtinu. Výrazný problém býva pri existujúcich prevádzkach, kde tímy na realizáciu HAZOP a LOPA nie sú vždy totožné a následne vznikajú komplikácie pri definovaní vhodného riešenia bezpečnosti.

Naša spoločnosť v rámci životného cyklu funkčnej bezpečnosti zastrešuje profesiu člena tímu HAZOP, ktorá zodpovedá za bezpečnosť, riadiaci systém, meranie, reguláciu a elektro. Sme schopní kompletne spracovať definovanie požiadaviek na ochranné vrstvy v súlade s metodológiou LOPA, navrhnúť bezpečnostné funkcie, vypracovať špecifikáciu bezpečnostných požiadaviek, kompletný návrh zariadení a sprievodnú projektovú dokumentáciu pre SW aj HW, zabezpečiť procedúry, aplikačné programové vybavenie, inštaláciu, oživenie a uvedenie do prevádzky a následne zaškolenie zákazníka.

Minulý rok bola vydaná revízia normy STN EN 61511. V čom sú hlavné rozdiely oproti pôvodnému vydaniu?

Rozdiely sú najmä v požiadavkách na softvérové aplikácie. V rámci životného cyklu softvérového vybavenia sa mnohé z vecí, ktoré sa doteraz len odporúčali ako dobrá inžinierska prax, stali záväzné. Týka sa to hlavne rôznych foriem testov, napr. FAT, SAT. Musí sa zadefinovať kompletný projekt ASR TP, logika riadenia, blokovania, ochrany a pod.

Funkčná bezpečnosť sa asi netýka len veľkých petrochemických či plynárenských spoločností. Kto všetko by túto oblasť nemal prehliadať?

Ako som spomenul, zastrešujúcou je norma STN EN 61508. Do nej spadá norma STN EN 61511, ktorá sa týka výlučne spojitých technologických procesov. Kandidátmi sú teda najmä chemický, petrochemický či plynárenský priemysel, ktoré pracujú s nebezpečnými látkami. No týka sa to aj niektorých procesov v energetike, ako sú funkcie horákových automatov, merania výšky hladiny v parných bubnoch kotlov a pod. Ďalšia norma zameraná na bezpečnosť sa týka strojných zariadení a samostatnou normou je riešená bezpečnosť v jadrovej energetike. Treba to však vnímať aj z iného pohľadu. V rámci Slovenskej republiky máme platný zákon č. 128/2015 Z. z. o prevencii závažných priemyselných havárií (označovaný aj ako SEVESO III). Na základe tohto zákona sú všetky podniky zaradené do kategórie A, B alebo daný podnik nepatrí do žiadnej z týchto kategórií.

No ak patrí do niektorej z kategórií, musí podnik vykonať veľmi podobný postup, ako je uvedený v STN EN 61508 a STN EN 615111. Veľakrát sa v rámci SEVESO III používajú na elimináciu rizík tiež bezpečnostné prístrojové funkcie. V rámci tohto predpisu sa však často využívajú tzv. generické databázy s generickými spoľahlivostnými údajmi pre zariadenia. Tieto údaje však nehovoria nič o konkrétnych zariadeniach nasadených v konkrétnom podniku. Čiže ak sa inštalácia bezpečnosti robí podľa spomínaných noriem STN EN 61508 a 615111, je výsledok reálny a potom je vyššia spoľahlivosť takéhoto riešenia ako len pri použití generických údajov. Čiže naše odporúčanie je, aby sa všetky bezpečnostné prístrojové funkcie, ktoré vedú k zníženiu rizika na akceptovateľnú mieru, vykonávali v súlade s normami STN EN 61508 a STN EN 61511.

Kto by mal byť iniciátorom spustenia procesu hodnotenia rizík a následného spracovania koncepcie funkčnej bezpečnosti?

Pri nových stavbách priemyselných prevádzok je toto hodnotenie štandardnou súčasťou stavebného povolenia. Ďalšou hybnou silou by mal byť samotný vlastník, resp. manažment podniku. Tejto kategórii ľudí by malo záležať na tom, aby mali bezpečnú a spoľahlivú prevádzku a pred verejnosťou by mali vystupovať ako tí, ktorým záleží na ochrane zdravia ľudí a majetku. Z našej skúsenosti môžeme povedať, že zatiaľ čo v zahraničí je zaradenie podniku do niektorej z kategórií podľa SEVESO III vnímané ako vysoký štandard bezpečnosti a procesov, u nás je to vnímanie také „vlažné“. Jedna vec je vnímanie podniku verejnosťou, ale z inej strany sa na to ešte pozerajú poisťovne. Ak vie podnik v zahraničí dokladovať spracovanie bezpečnosti v súlade so spomenutými normami, tak voči poisťovni je to podstatný benefit. Možno je to paradox, ale v zahraničí patria medzi najväčších odborníkov na normy pre priemyselnú bezpečnosť právnici poisťovacích firiem.

Aké otázky by sa mali v súvislosti s tvorbou koncepcie funkčnej bezpečnosti objaviť na stole realizačných tímov a v ktorej fáze do uvedeného procesu vstupuje externá, napr. inžinierska firma?

Či už ide o SEVESO III, alebo návrh realizácie podľa noriem STN EN 61508 a 61511, v drvivej väčšine prípadov sa tento proces začína vypracovaním štúdie HAZOP – identifikácia a hodnotenie rizika. Každé priemyselné odvetvie, prevádzka, podnik by mali mať svoju hodnotiacu maticu, kde sa hodnotí napr. dosah na osoby, životné prostredie, majetok a reputáciu. HAZOP hodnotí vplyv nežiaducich odchýlok v správnej činnosti procesov na tieto štyri oblasti. V rámci metodológie LOPA sa následne zadefinujú opatrenia týkajúce sa toho, aby nedochádzalo k situácii s rizikom vyšším, ako je akceptovateľné.

V tejto časti sa zaradia jednotlivé prístrojové ochranné funkcie do príslušných SIL kategórií a definuje sa príslušná architektúra riešenia. Hodnotenie závisí od rôznych okolností. Ak máme prevádzku, ktorá je umiestnená „na zelenej lúke“, kde niekoľko kilometrov okolo nie je zástavba, bude sa posudzovať inak ako prevádzka v mestskej zástavbe. Riziko úniku nejakej nebezpečnej látky a jeho vplyv na štyri uvedené oblasti bude mať vyššiu váhu v meste ako mimo neho. Podobne aj kritériá na majetok a reputáciu môžu byť od podniku k podniku iné. Čiže rovnaké riziká budú u rôznych prevádzkovateľov znamenať iné opatrenia.

Ako vyzerá životný cyklus funkčnej bezpečnosti v praxi?

Na začiatku cyklu sa nachádza HAZOP a LOPA. Spracujú sa bezpečnostné požiadavky pre jednotlivé bezpečnostné funkcie. Nasleduje inžiniering, ktorý okrem vyriešenia SIL zariadení musí navrhnúť aj zvyšné zariadenie, ktoré nie sú zaradené do koncepcie bezpečnosti. Požiadavka na SIL úrovne zároveň definuje aj výber jednotlivých meracích, riadiacich a akčných prvkov. Činnosť inžinierskej spoločnosti sa končí tým, že musí spraviť verifikáciu svojho návrhu v každom jednom kroku, t. j. či v rámci svojho riešenia dosahuje požadovanú úroveň bezpečnosti.

Doteraz sme hovorili o hardvérovej stránke, nemenej podstatná je softvérová stránka riešenia. Pre ňu platia rovnako komplexné procesy tvorby a verifikácie ako pre hardvérovú časť. Štandardné programové vybavenie bezpečnostného systému môže byť poskladané len z blokov určených pre bezpečnostné aplikácie. Výhodou je to, že samotný výrobca zariadenia kontroluje použitie ním certifikovaných bezpečnostných blokov a neumožňuje používať nič iné. Programátor má síce možnosť vyrobiť si vlastný blok, ale aj ten musí byť poskladaný len z certifikovaných blokov pre bezpečnostné aplikácie. Následne aj takto vytvorený blok musí byť opäť verifikovaný a otestovaný.

Dôležitými parametrami dosiahnutia spoľahlivosti SIL v rámci procesu verifikácie sú: 1. životnosť prevádzky, po ktorej sa udeje predpokladaná modernizácia, 2. testovací interval, ktorý hovorí o tom, ako často treba testovať bezpečnostné zariadenia, aby spĺňali SIL; tento údaj sa uvádza v SIL špecifikácii jednotlivých zariadení, 3. stredný čas potrebný na opravu zariadenia. Všetky tri časové údaje vstupujú do procesu verifikácie bezpečnostného obvodu. Snímacia a logická časť je z hľadiska splnenia požiadaviek bezpečnostných aplikácií na tom lepšie ako časť akčných členov. Ak sa nepodarí splniť podmienky akceptovateľného rizika, musíme hľadať iného výrobcu alebo iné technické riešenie, napr. vybaviť akčný člen, ventil testovacím zariadením na testovanie funkčnosti, čiastočnou zmenou zdvihu (PST – Partial Stroke Test).

Možno hodnotenie rizík a následný návrh funkčnej bezpečnosti realizovať aj v existujúcich a zabehnutých prevádzkach?

Dobrá otázka. Posudzovanie a realizácia bezpečnosti prebieha v novostavbách aj v existujúcich prevádzkach. Uvedené normy vstúpili do platnosti len pred pár rokmi a mnohé z prevádzok na Slovensku sú oveľa staršieho dátumu, aj keď mnohé z nich boli tiež navrhované v súlade s nemeckými DIN alebo americkými ISA normami. V rámci novostavby sa riešenie funkčnej bezpečnosti realizuje už v začiatočnej fáze inžinieringu, kde sa musia veci pripraviť do detailov. Pri väčšine bezpečnostných funkcií treba uvažovať o samostatných meracích miestach a pod.

Ak budeme robiť redundanciu merania, napr. spôsobom dva z troch, tak to neznamená, že všetky tri napr. tlakomery dáme na to isté odberné miesto, lebo tak tú zamýšľanú redundanciu strácame. Podstatou zariadení vstupujúcich do konceptu bezpečnosti je, aby podávali pravdivé informácie o procesoch. Preto by mal byť ich návrh úzko spojený s daným procesom. Snahou je, aby sa redundancia týkala celého meracieho reťazca – t. j. potrebujeme umiestniť na troch rôznych miestach meranie procesnej veličiny, natiahnuť tri nezávislé káblové rozvody pripojené na tri nezávislé karty a zabezpečiť redundantné napájanie s využitím zdroja neprerušovaného napájania. Z tohto hľadiska sa podstatne jednoduchšie navrhuje koncepcia funkčnej bezpečnosti pre prevádzku na „zelenej lúke“, kde možno zohľadniť potrebné požiadavky v prvotnej fáze návrhu.

Pri existujúcej prevádzke je to oveľa náročnejšie. V rámci nej sa nachádzajú určité zariadenia s okolitou strojno-stavebnou infraštruktúrou. Ak potrebujeme pridať meranie napr. na nejaké vyhradené technické zariadenie, tak tu narazíme na výrazné obmedzenia z hľadiska zasahovania do konštrukcie. To by sa možno ešte dalo vyriešiť. Problém skôr nastáva priestorový, keď by si úpravy súvisiace s pridaním merania vyžadovali zmeny okolitých zariadení, kabeláže, stavebných konštrukcií a pod. V princípe postup pri hodnotení rizík, návrh funkčnej bezpečnosti, a teda celý inžiniering je rovnaký ako v prípade prevádzky na „zelenej lúke“, ale realizačná časť je podstatne väčšia výzva.

Nie je toto jeden z dôvodov, prečo sa staršie podniky témou funkčnej bezpečnosti nechcú zaoberať?

Ak nevzniká tlak zo strany manažmentu a u nás na to netlačia ani príslušné odborné a legislatívne orgány, napr. technická inšpekcia, štátna správa či poisťovne, tak sa táto téma môže odsúvať. Prístup ľudí dobre poznáme, ich najčastejším argumentom je, že „tridsať rokov to prevádzkujeme a nemali sme žiaden vážny problém či incident“. Spomínané normy napr. hovoria o pravidelnej kontrole vlastností zariadení. Ak máme mať podľa návrhu funkčnej bezpečnosti meranie s presnosťou merania 0,5 %, treba skontrolovať nielen samotný tlakomer, ale celú cestu od miesta odberu až po akčný člen. To je benefit pre prevádzkovateľov, že môžu veriť údajom, ktoré z prevádzky získavajú. No ako ste spomenuli, náklady a čas spojené so zavedením funkčnej bezpečnosti v existujúcich prevádzkach sú jednými z dôvodov, prečo sa v mnohých podnikoch touto témou doteraz nikto nezaoberá.

Je dobré, aby mal podnik, keď už rieši funkčnú bezpečnosť, na to v rámci svojich zamestnancov delegovaného odborníka na túto oblasť?

Norma STN EN 61511 predpisuje, že v konečnom dôsledku za celú implementáciu a inštaláciu je zodpovedný prevádzkovateľ. Takže odpoveď je jasná – áno, mal by v podniku byť na to delegovaný odborník. Sú podniky, ktoré to takto majú, ale opäť hovoríme najmä o väčších spoločnostiach petrochemického či chemického priemyslu.

Je podnik schopný prostredníctvom svojho certifikovaného bezpečnostného odborníka vykonať verifikáciu sám, alebo je potrebný externý subjekt?

Bezpečnostný technik z inžinierskej spoločnosti odovzdáva v rámci projektovej dokumentácie aj dokument, v ktorom predpisuje (Proof Test Procedures), čo treba vykonať, aby boli splnené podmienky príslušnej kategórie SIL pre dané zariadenie alebo slučku. Dokument je spracovaný na základe odporúčaní (Safety Manual) samotného výrobcu daného prístroja a certifikátu nezávislej spoločnosti, ktoré stanovujú podmienky testovania. Bezpečnostný inžinier vytvára postupnosť krokov na otestovanie funkčnej bezpečnosti každého komponentu v danej prevádzke. A to, ako často sa takáto kontrola má vykonať, hovorí už spomínaný testovací interval. Pod dohľadom bezpečnostných inžinierov by mali byť vyškolení interní pracovníci podniku, ktorí prevezmú ďalšiu aktivitu pri udržiavaní bezpečnosti prevádzky. Dôležité je v tomto smere viesť podrobnú evidenciu vykonaných činností a opatrení.

Často sa takéto aktivity hodnotia v rámci firiem ako nutné zlo a sú vnímané len ako ďalšie náklady. Je to tak? Aké veľké sú náklady spojené so zavádzaním funkčnej bezpečnosti?

Áno aj nie. Áno preto, lebo ide naozaj o relatívne vyššie investície. No na druhej strane budú môcť zodpovední ľudia pokojnejšie spávať. Dôležité zariadenia a obvody, ktoré vplývajú na bezpečné odstavenie či bezpečné prevádzkovanie, budú jednoznačne monitorované. Odpoveď nie môže zaznieť podľa toho, ako dobre a presne sa urobí hodnotenie HAZOP a LOPA, ako dobre a presne sa ohodnotí riziko, aké sa použijú ochranné vrstvy a pod. Riešiteľský tím preto musí byť zdatný, aby vedel posúdiť, čo sa v prípade neštandardnej situácie stane, čo všetko v danej prevádzke či technológii už nainštalované máme a čo ešte treba doinštalovať. A môže sa stať, že opatrenie, ktoré stanovíme ako potrebné z hľadiska zníženia veľkosti rizika, nám dokonca predpísal iný zákon ako norma STN EN 61511. Podľa našich skúseností v porovnaní s inštaláciou pre štandardnú prevádzku sa inštalácia zameraná na bezpečnosť líši z hľadiska nákladov asi o 15 – 30 % pre úroveň SIL1. Inžinierska spoločnosť nášho tipu dokáže za relatívne rovnaké náklady navrhnúť obvod podľa STN EN 61511 alebo len „normálny“ obvod. V súčasnosti dodávatelia prevádzkových meracích prístrojov, ventilov majú tieto bezpečnostné varianty zariadení dostupné v cene ako štandardné zariadenia.

Dá sa realizovať zavedenie funkčnej bezpečnosti za chodu prevádzky, alebo je potrebná odstávka?

Samotná realizačná činnosť musí prebiehať pri odstavenom zariadení. Meníme zariadenie, impulzné vedenie, treba skontrolovať káblové trasy, prehodnotiť či prerobiť napájaciu časť.

Sú existujúce prevádzky vybavené modernými prístrojmi merania a regulácie, na ktorých sa dá postaviť koncepcia funkčnej bezpečnosti?

Existujúce prevádzky sú často z hľadiska merania procesných veličín vybavené meracími prístrojmi, ktoré sú použité do bezpečnostných obvodov iba s kontaktným výstupom (spínače) – tlakový, teplotný, hladinový... V tomto prípade nevieme určiť, diagnostikovať, či sa takýto spínač správa „dobre“. Moderné snímače vybavené autodiagnostikou sú schopné hlásiť svoje neštandardné stavy vyslaním signálu s úrovňou pod 4 alebo nad 21 mA. Bezpečnostný systém vie takúto informáciu vyhodnotiť ako chybu meracieho člena a nie alarm procesnej veličiny.

Ako vyzerá najbližšia budúcnosť v oblasti priemyselnej bezpečnosti?

Momentálne je veľkým trendom dávať veci na web alebo do cloudu, mať internetové pripojenie z každého miesta. Už v revízii druhej normy STN EN 61511 sa hovorí o kybernetickej bezpečnosti. Ide pritom o striktné a bezpečné oddelenie priemyselnej komunikačnej infraštruktúry od internetu. Je to problematika, ktorá je aktuálne vyžadovaná aj na úrovni slovenskej legislatívy, konkrétne v zákone č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorý strategickým podnikom predpisuje povinnosť riešiť túto problematiku. Napriek tomu, že sa táto problematika len postupne udomácňuje v praxi, máme ako firma za sebou už prvé projekty.