Управление датчиками тревоги – применение рационализации
Плохо спроектированные системы датчиков тревоги являются причиной игнорирования критических событий, отражаемых датчиками тревоги, или неправильной реакции операторов, что ведет к непредвиденным простоям производства, снижению качества продукции, материальным потерям предприятия и т.д. Однако же главным виновником оказывается внедрение современных технологий в системах управления. В те времена, когда все элементы системы управления и датчики тревоги связывались кабелями, инженерам приходилось в каждом случае обосновывать применение датчика тревоги, который появлялся на пульте управления, учитывая его реальную стоимость порядка 1000 USD. С тех пор, как современные системы управления стали доступны с целой гаммой датчиков тревоги, датчики тревоги стали рассматриваться, без веских оснований для этого, как бесплатные. Поэтому нет особой мотивации для тщательного отбора датчиков тревоги или уменьшения их числа. Никто не хочет быть обвиненным в том, что он не уделил внимания датчику тревоги. Большинство проектировщиков без разбора учитывает и применяет все возможные датчики тревоги, предполагаемые системой управления. Это ведет к избыточному срабатыванию бессмысленных сигналов тревоги при управлении или к неправильной расстановке приоритетов для ситуации тревоги. Все эти ситуации снижают эффективность оператора.
Немного теории
Правильно функционирующая система датчиков тревоги позволяет организатору осуществлять процесс почти в идеальных условиях управления и обеспечивать безопасность. Первым шагом в проектировании такой системы является установление критериев тревоги и фиксация их в соответствующем документе методологии тревоги, ориентируясь на следующие показатели:
Тревога: Акустические и/или визуальные средства, информирующие оператора о неправильной работе устройства, возникшей ошибке в процессе или о неправильном состоянии, требующем определенной реакции. Должно быть задано некоторое время, дающее возможность оператору отреагировать на данное событие. Кроме того, каждая тревога должна предостерегать, информировать и инструктировать; каждая тревога, сигнализируемая оператору, должна быть практична и значима [Ref ISA-18.2, а также EEMUA 191]. Это означает, что если ситуация не требует реакции оператора, то она не должна сигнализироваться как состояние тревоги.
Документ методики тревоги (APD – alarm philosophy document): Этот документ определяет стандарты, связанные со всеми аспектами управления ситуациями тревоги со стороны предприятия, включая проектирование, производство и техническое обслуживание. Он содержит определения/определяющие критерии, в отношении того, чем должна быть тревога, как дополнение принципов рационализации, таких, как установление приоритетов для ситуаций тревоги, определение запрограммированных для них порогов срабатывания, а также их классификации. Документ методологии тревоги должен быть принят до начала рационализации.
Термин «тревога» часто используется как для определения ситуаций, претендующих на внесение в перечень тревог, так и для тех, которые прошли процесс рационализации. Ради прозрачности данного обсуждения следует провести следующее разграничение:
Претендентом будем называть такую тревогу, которая принимается в расчет с целью включения в систему тревог. Она может быть уже задана (brownfield system) или быть тревогой предлагаемой/возможной для системы greenfield или brownfield.
Термин «тревога» будет обозначать рационализированную тревогу, такую, которая прошла оценку на основании критериев APD и им соответствует.
Начало процесса
Рационализация представляет собой процесс, в ходе которого коллектив специалистов разного профиля анализирует каждую оцениваемую тревогу с целью убедиться, что она обоснована и соответствует критериям тревоги, зарегистрированной в APD. Целью является создание системы тревог, в которой адекватный сигнал тревоги доводится до оператора в адекватное время, имеет существенное значение и несет адекватную информацию.
Рационализация является одним из этапов управления эксплуатацией датчиков тревоги, определенной в ISA-18.2. Часто она называется документацией и рационализацией (D&R – documentation and rationalization), поскольку вся информация должна быть должным образом документирована в главной базе данных системы датчиков тревоги (MADB – master alarm database). С целью поддержки этой деятельности имеются инструменты управления системой тревог. Эффективный инструмент может значительно сократить время реализации всего процесса, принося как экономию денег, так и снижение затрат рабочего времени персонала.
Для того чтобы начать работы, следует сформировать группу рационализации. Группа должна состоять из трех-четырех ключевых членов и из перечня членов, занятых не на полную ставку, которые могут быть полезны своим конкретным опытом. Специалист по управлению тревогами должен выступать в роли координатора. Примерный состав группы представлен ниже [Ref ISA-18.2 TR2].
На условиях полной занятости:
- Производственные инженеры и/или технологи, знающие производственный процесс, экономику и систему управления,
- оператор/операторы с глубокими знаниями о производственном процессе и опытом в области систем управления,
- инженер по устройствам и системе управления производственным процессом,
- координатор управления тревогами.
- Один из вышеперечисленных обычно назначается в качестве лица, ведущего документацию.
Частично занятые в случае необходимости:
- инженеры по управлению безопасностью/риском, а также по экологии,
- инженер по обеспечению эксплуатации,
- специалисты по устройствам/анализаторами,
- управление (пуском).
Затем группа собирает документацию, необходимую для проведения анализа/оценки тревог, таких, как P&IDs, HAZOPs, оценки SIL, процедуры обслуживания и самое существенное, документ методологии тревоги APD. Далее мы переходим к сути процесса рационализации, систематическому рассмотрению, шаг за шагом, каждой оцениваемой тревоги.
Выбор и просмотр претендентов
Тревоги-претенденты могут выбираться для анализа по очереди или группами в случае сходства. Порядок выбора определяется логической последовательностью, диктуемой размещением оборудования в производственном процессе. Это позволяет повторно применить результаты предыдущего проекта.
Первый шаг анализа призван определить, соответствует ли претендент фундаментальным критериям, заложенным в документе методологии тревоги, таким, как:
- отражает ли неправильную работу, ошибку или нежелательное состояние,
- требует ли ограниченной по времени определенной реакции со стороны оператора с целью избежать определенных последствий,
- является ли он исключительным или же имеются другие датчики тревоги, которые указывают на то же состояние,
- является ли этот сигнал наилучшим показателем первопричины нежелательной ситуации.
О действиях оператора: Обоснованные действия оператора, такие, как включение резервного насоса или открытие клапана, проектируются таким образом, чтобы изменять состояние производственного процесса, тогда как простое подтверждение тревоги или отражение ее в журнале таковыми не являются. Если действие оператора не может быть однозначно определено (обосновано), то условие тревоги-претендента не соблюдено.
Об исключительности: Если срабатывания тревог-претендентов вызывают одну и ту же реакцию (действия) оператора, это может указывать на то, что тревоги дублируются. Одним из методов, определяющим, совпадают ли обе ситуации при уровнях «высокий» и «высокий-высокий» резервуара, является анализ действий оператора для каждого из перечисленных случаев. Если реакция оператора на уровень «высокий» (уменьшить приток) полностью или только в некоторой степени отличается от уровня «высокий-высокий» (остановить приток), то в этом случае обе ситуации могут быть соответствующими.
Претенденты, не соответствующие критериям, отмечаются как предназначенные к устранению из системы датчиков тревоги. Таким образом удаляются излишние претенденты. Претенденты, соответствующие критериям, проходят дальше, в следующий этап, который призван определить их приоритетность.
Определение приоритета
Приоритет тревоги помогает оператору принять решение, на какую из тревожных ситуаций следует реагировать в первую очередь, поэтому он является ключевым для безопасного и эффективного управления процессом. Традиционно приоритетность делят на три или четыре уровня с определениями, такими, как критическое состояние или угроза — высокая, средняя, низкая, с тем, чтобы облегчить оператору принятие решения и реакцию на ситуацию. Приоритет определяется на основании анализа двух факторов: степени последствий в случае бездействия и безотлагательности действия. Они соединены в матрице, устанавливающей приоритетность тревог, которая зарегистрирована в APD. Таблица 1 дает упрощенную иллюстрацию. В процессе рационализации каждая тревога-претендент оценивается при помощи матрицы APD с целью определения ее приоритетности. Современные устройства, управляющие датчиками тревоги, делают этот процесс достаточно простым.
Сначала важно определить непосредственные (приблизительные) последствия в случае отсутствия реакции на тревогу-претендента. Важно оценить только непосредственные последствия, а не то, что могло бы произойти в случае целой серии бездействий. Например, возможными последствиями сигнала тревоги, предупреждающего о критическом состоянии безопасности, может быть самопроизвольное отключение системы безопасности.
Если последствия бездействия не могут быть идентифицированы, то в этом случае тревога-претендент должна быть отклонена. Например, если единственным непосредственным последствием тревоги высокого уровня является включение тревоги высокого-высокого уровня, то в этом случае тревога высокого уровня может быть не нужна.
Затем следует оценить степень неотложности действий, представив ее как время, за которое оператор должен отреагировать. Быстрота реагирования определяется временем до момента начала действий оператора или допустимое время от момента активирования датчика тревоги до последнего момента, когда действие оператора предотвращает последствия.
Если промежуток времени слишком большой или недопустимо малый, претендент должен быть перепроектирован или ситуация должна решаться вне системы датчиков тревоги.
Матрицы из разных источников будут различаться, поэтому таблица 1 представляет лишь концепцию. Приоритет определяется на пересечении колонки с наиболее серьезными последствиями и строки с предполагаемой для этого случая приблизительной неотложностью действия. Группа по рационализации может принять или отвергнуть приоритет, предлагаемый матрицей. Приоритетность и рациональность выбора регистрируются в Базе данных датчиков тревоги (MADB).
Определение порога срабатывания
Порог срабатывания представляет собой значение или ситуацию, при которых датчик тревоги активируется, а затем информирует оператора. Он должен быть задан с большим удалением от границы последствий, чтобы дать оператору время для осуществления корректирующих действий, а производственному процессу — на ответную реакцию, включая допустимое поле безопасности. Подход должен также предполагать достаточный резерв, чтобы не активировать датчик тревоги в результате нормального производственного процесса.
В системе brownfield для оценки, обеспечивает ли существующий порог срабатывания допустимое количество времени, зачастую может быть использован опыт оперирования. Если да, то определенный порог срабатывания приемлем. Если дается оценка, что порог срабатывания недопустим или если речь идет о системе greenfield, то тогда он определяется на основе оценки динамики процесса. Информация на эту тему должна находиться в APD. Порог срабатывания, а также предпосылки для его выбора должны быть зарегистрированы в MADB.
Массовой ошибкой при проектировании датчиков тревоги является конфигурация порога срабатывания датчика, основывающаяся на обобщенных представлениях о диапазонах инженерных значений. Примером может быть конфигурация порога срабатывания для высокого-высокого, высокого, низкого и низкого-низкого как 90%, 80%, 20% и 10% диапазона. Это может привести к заданию порога срабатывания датчика тревоги, который фактически не принимает во внимание время, за которое оператор должен предпринять действия, скорость изменения фактора процесса, последствия граничного значения или времени холостого процесса.
Прочие документы
Проект: Кроме приоритетности и порога срабатывания рационализация содержит документацию параметров датчика тревоги. Внимательный анализ этих параметров может принести значительное улучшение эффективности системы тревог. Например, правильное задание диапазона несрабатывания, а также запаздываний сигнала тревоги может минимизировать появление назойливых самовозбуждающихся тревог, а также предотвращать проблемы во время установки и передачи в эксплуатацию. Диапазон несрабатывания датчика тревоги является функцией, применяемой с целью уменьшения числа активаций датчика тревоги для данного неправильного состояния, которая должна произойти только раз. Эта функция защищает от возврата датчика тревоги в нормальное состояние до того, как состояние тревоги не будет устранено за счет заданного диапазона несрабатывания.
Другим примером является применение сигналов тревоги с усложнениями, такими, как подавление сигнала тревоги с тем, чтобы убедиться, что данная тревога существенна. Техники подавления сигнала тревоги предотвращают передачу сигнала оператору, когда датчик тревоги активирован, но оказывается, что тревога несущественна. Например, сигнал тревоги указывает на низкое давление на всасывании насоса, который в данный момент не работает, и такой сигнал может быть подавлен. Другим примером техники подавления может быть подавление лавины сигналов тревоги, когда сигналы тревоги подавляются во время некоторых незапланированных ситуаций, а также с опорой на состояние эксплуатационных процессов на предприятии. В некоторых случаях состояний тревоги в ходе процессов пороги срабатывания датчиков тревоги должны устанавливаться дифференцировано, в зависимости от состояния процесса.
Реакция оператора: Как показано на рисунке 2, рационализация охватывает также документацию, выработанную с целью улучшения реакции оператора, включая вероятные причины сигнализирования тревоги, процедуры корректирующих действий (реакция оператора), а также верификацию процедур для подтверждения, что состояние тревоги является реальным (а не ложным). Вся зарегистрированная информация должна быть доступна оператору с целью диагностики и реагирования на сигналы тревоги. Процедуры реакции на тревогу могут использоваться при обучении операторов и могут быть интегрированы в HMI (human-machine interface) с целью обеспечения операторам доступа к информации online.
Практика управления: Наконец, рационализация предполагает классификацию с целью идентификации групп тревог, имеющих схожие характеристики и общие требования в отношении обучения, испытаний, документации, управления изменениями или хранения данных. Это упрощает управление и администрирование, а также обеспечивает идеальную прозрачность тем сигналам тревоги, которые требуют особого внимания, например, существенных с точки зрения экологии, обеспечивающих снижение риска или существенных с точки зрения норм OSHA PSM.
Выгоды от рационализации тревог
Если речь идет о датчиках тревоги, то больше не значит лучше. Эффективная работа по рационализации обеспечит оптимальный состав датчиков тревоги, необходимых для поддержания безопасного процесса в нормальном эксплуатационном диапазоне. При правильном осуществлении рационализация:
- уменьшит избыток сигналов тревоги, поступающих оператору,
- уменьшит вероятность пропуска значимой тревоги,
- удалит сомнительные тревоги (например, самовозбуждающиеся, преходящие или запаздывающие),
- исключит лишние датчики тревоги,
- обеспечит и установит приоритеты для корректирующих действий при ситуациях тревоги,
- усовершенствует реакцию оператора, которая станет более быстрой, более комплексной и эффективной,
- повысит интегрированность системы – повысит доверие оператора к системе датчиков тревоги,
- оптимизирует снижение риска использования датчика тревоги,
- создаст основы для постоянного совершенствования процесса.
Результатом будет не только то, что адекватный сигнал тревоги будет передан оператору в адекватное время с адекватной значимостью и с адекватной информацией, но эффективная рационализация поможет также достичь соответствия промышленным нормам, таким, как ISA-18.2, которую в недалеком будущем страховые компании и контролирующие агентства будут считать «правильной инженерной практикой».
Тодд Стоффер является консультантом по управлению системами тревог для exida.
Джон Богдан является главным консультантом в J Bogdan Consulting.
Сьюзан Бус разрабатывает техническую документацию в J Bogdan Consulting.