SIL czy PL? Jak ocenić, czy Twój system bezpieczeństwa naprawdę zadziała w krytycznym momencie?

W wielu zakładach przemysłowych zakłada się, że system bezpieczeństwa po prostu zadziała, gdy pojawi się zagrożenie. W praktyce jednak pytanie brzmi inaczej: z jakim prawdopodobieństwem zadziała dokładnie wtedy, gdy będzie potrzebny? Właśnie na to odpowiadają koncepcje SIL (Safety Integrity Level) i PL (Performance Level). To dwa różne języki bezpieczeństwa technicznego, które pozwalają zmierzyć coś bardzo konkretnego – czy funkcja bezpieczeństwa naprawdę zredukuje ryzyko w krytycznym momencie.

Dlaczego system bezpieczeństwa musi zadziałać dokładnie wtedy, gdy jest potrzebny?

System bezpieczeństwa istnieje tylko po to, aby zadziałać w momencie awarii procesu lub maszyny. Nie wcześniej, nie później – dokładnie wtedy, gdy pojawia się zagrożenie.

Wyobraźmy sobie prostą sytuację z przemysłu procesowego. W zbiorniku rośnie ciśnienie, bo zawór regulacyjny się zablokował. W pewnym momencie system powinien zareagować: odciąć dopływ medium, otworzyć zawór upustowy lub zatrzymać instalację. Jeśli ta funkcja bezpieczeństwa nie zadziała, konsekwencją może być rozszczelnienie instalacji, pożar albo eksplozja.

Problem polega na tym, że systemy bezpieczeństwa… też się psują. Czujnik może się zablokować. Zawór bezpieczeństwa może się nie domknąć. Sterownik może nie rozpoznać sygnału.

I właśnie dlatego w inżynierii bezpieczeństwa nie zadaje się pytania: „Czy system zadziała?” Zadaje się inne, znacznie bardziej techniczne: „Jakie jest prawdopodobieństwo, że funkcja bezpieczeństwa zawiedzie, gdy będzie potrzebna?”

To pytanie prowadzi bezpośrednio do dwóch pojęć, które często pojawiają się w dokumentacji technicznej, audytach i analizach ryzyka: SIL oraz PL.

W wielu zakładach pierwszym sygnałem, że system bezpieczeństwa nie działa tak, jak zakładano, są zdarzenia typu near miss, czyli sytuacje, w których niewiele zabrakło do poważnego incydentu. Więcej o nich, przeczytasz na naszym blogu.

SIL – jak przemysł procesowy mierzy niezawodność funkcji bezpieczeństwa?

SIL (Safety Integrity Level) to miara niezawodności funkcji bezpieczeństwa stosowana w przemyśle procesowym.

Mówiąc prościej – SIL określa, jak bardzo dana funkcja bezpieczeństwa redukuje ryzyko awarii.

Nie dotyczy on całej instalacji ani urządzenia jako takiego. Wbrew marketingowym skrótom typu „zawór SIL3”, SIL przypisuje się konkretnej funkcji bezpieczeństwa, czyli tzw. SIF – Safety Instrumented Function.

Przykład z instalacji chemicznej:

SIF-01:
„Jeżeli ciśnienie w reaktorze przekroczy 8 bar → zamknij zawór zasilający i otwórz zawór upustowy w czasie <2 s.”

To jest właśnie funkcja bezpieczeństwa. I to dla niej określa się wymagany poziom SIL.

W normach IEC 61508 oraz IEC 61511 poziomy SIL opisują zdolność funkcji do redukcji ryzyka. Im wyższy poziom SIL, tym mniejsze dopuszczalne prawdopodobieństwo awarii funkcji bezpieczeństwa.

Typowe poziomy to:

• SIL 1 – podstawowa redukcja ryzyka,
  
• SIL 2 – znacząca redukcja ryzyka,
  
• SIL 3 – bardzo wysoka niezawodność funkcji bezpieczeństwa.
  

W praktyce przemysłowej poziom SIL 3 oznacza system, który musi działać prawidłowo niemal zawsze, gdy zostanie wywołany.

Ale uwaga – SIL nie wynika z ambicji projektanta. On zawsze wynika z analizy ryzyka procesu.

PFD i PFDavg – liczby, które stoją za poziomem SIL

Za każdym poziomem SIL stoi konkretna liczba opisująca prawdopodobieństwo awarii funkcji bezpieczeństwa.

Ta liczba nazywa się PFD (Probability of Failure on Demand).

Oznacza ona dokładnie jedno: jakie jest prawdopodobieństwo, że funkcja bezpieczeństwa nie zadziała wtedy, gdy zostanie wywołana.

W praktyce analizuje się jednak nie pojedynczy moment, lecz średnią wartość w czasie – szczególnie między testami okresowymi systemu. Dlatego używa się parametru:

PFDavg – średnie prawdopodobieństwo niewykonania funkcji na żądanie.

To właśnie PFDavg decyduje o poziomie SIL.

Typowe zakresy wyglądają tak:

• SIL 1: około 10⁻² – 10⁻¹,
  
• SIL 2: około 10⁻³ – 10⁻²,
  
• SIL 3: około 10⁻⁴ – 10⁻³.
  

Innymi słowy – dla SIL 3 funkcja bezpieczeństwa może zawieść średnio raz na tysiąc do dziesięciu tysięcy żądań.

Dlatego w analizach ryzyka często mówi się też o RRF – Risk Reduction Factor, czyli współczynniku redukcji ryzyka.

Przykładowo:

• SIL 1 redukuje ryzyko około 10–100 razy,
  
• SIL 2 około 100–1000 razy,
  
• SIL 3 nawet 1000–10000 razy.
  

Te liczby pokazują coś bardzo ważnego: SIL to nie jest etykieta – to matematyczny opis tego, jak bardzo funkcja bezpieczeństwa zmniejsza ryzyko awarii.

PL w systemach bezpieczeństwa maszyn – czym jest Performance Level?

Podczas gdy SIL dominuje w przemyśle procesowym, w świecie maszyn stosuje się inne podejście do oceny bezpieczeństwa.

Nazywa się ono PL – Performance Level i zostało opisane w normie ISO 13849-1.

PL dotyczy części układu sterowania odpowiedzialnych za bezpieczeństwo, czyli SRP/CS (Safety Related Parts of Control Systems).

Typowe przykłady takich funkcji to:

• zatrzymanie napędu po otwarciu osłony,
  
• reakcja kurtyny świetlnej,
  
• przycisk STOP bezpieczeństwa,
  
• blokada dostępu do strefy niebezpiecznej.
  

PL opisuje prawdopodobieństwo niebezpiecznej awarii na godzinę pracy, czyli parametr PFHd.

Poziomy Performance Level oznacza się literami:

• PL a – najniższy poziom bezpieczeństwa,
  
• PL b,
  
• PL c,
  
• PL d,
  
• PL e – najwyższy poziom niezawodności funkcji bezpieczeństwa.
  

W praktyce większość funkcji zatrzymania maszyn o wysokim ryzyku kończy na poziomie PL d lub PL e.

Co ciekawe, PL nie zależy tylko od jednego urządzenia. Na wynik wpływa cała architektura układu sterowania, m.in.:

• MTTFd – średni czas do niebezpiecznej awarii,
  
• DC – pokrycie diagnostyczne,
  
• CCF – wspólna przyczyna uszkodzeń,
  
• struktura systemu (kategorie B–4).
  

Dlatego w audytach maszyn bardzo często okazuje się, że: komponent ma deklarację PL e… ale cały układ sterowania osiąga jedynie PL c lub PL d.

I właśnie dlatego analiza SIL lub PL nigdy nie powinna kończyć się na sprawdzeniu jednego komponentu.

SIL vs PL – najważniejsze różnice i kiedy stosuje się każdy z tych standardów

SIL i PL opisują ten sam problem – niezawodność funkcji bezpieczeństwa – ale powstały dla zupełnie innych środowisk technicznych.

Najprościej mówiąc:

• SIL dominuje w przemyśle procesowym,
  
• PL w świecie maszyn i automatyki produkcyjnej.
  

W instalacjach procesowych mamy do czynienia z systemami SIS (Safety Instrumented Systems) – czujniki, logika bezpieczeństwa i element wykonawczy tworzą funkcję SIF, która reaguje na zdarzenie procesowe.

Typowe przykłady:

• wysokie ciśnienie w reaktorze → zamknij zawór odcinający,
  
• wysoki poziom w zbiorniku → zatrzymaj pompę,
  
• wyciek gazu → odetnij dopływ medium.
  

Tutaj językiem bezpieczeństwa jest SIL.

Natomiast w świecie maszyn bezpieczeństwo najczęściej dotyczy interakcji człowieka z ruchem mechanicznym.

Operator otwiera osłonę. Robot pracuje w strefie roboczej. Przenośnik może wciągnąć rękę.

W takich sytuacjach funkcje bezpieczeństwa realizują elementy sterowania:

• kurtyny świetlne,
  
• wyłączniki krańcowe osłon,
  
• przyciski STOP bezpieczeństwa,
  
• sterowniki safety PLC.
  

I tutaj stosuje się Performance Level – PL. W praktyce inżynierskiej istnieją przybliżone mapowania PL ↔ SIL, ponieważ oba podejścia bazują na prawdopodobieństwie awarii funkcji bezpieczeństwa.

Ale trzeba uważać. Nie jest to konwersja jeden do jednego.

Różnią się:

• metodyką obliczeń,
  
• strukturą norm,
  
• zakresem zastosowania.
  

Dlatego w projektach bezpieczeństwa ważniejsze jest konsekwentne stosowanie właściwego standardu, a nie próba ich sztucznego „przeliczania”.

Jak ocenić, czy funkcja bezpieczeństwa spełnia wymagany SIL lub PL?

Ocena funkcji bezpieczeństwa zawsze zaczyna się od jednego kroku: zdefiniowania, co dokładnie ma zrobić system.

Brzmi banalnie, ale w wielu instalacjach funkcje bezpieczeństwa są opisane bardzo ogólnie – np. „system zabezpieczenia zbiornika”.

Tymczasem analiza bezpieczeństwa wymaga konkretu.

Funkcja bezpieczeństwa powinna być opisana w sposób jednoznaczny:

co wykrywa → co robi → w jakim czasie → w jakich warunkach.

Przykład dobrze zdefiniowanej funkcji:

SIF-02:
„Jeżeli poziom w zbiorniku przekroczy 95% → zamknij zawór zasilający i zatrzymaj pompę w czasie <1 s.”

Dopiero wtedy można przejść do kolejnych etapów.

Typowy proces wygląda tak:

1. Analiza ryzyka
   
   • w procesach często metoda LOPA lub HAZOP,
     
   • w maszynach graf ryzyka ISO 13849-1.
     
2. Określenie wymaganej redukcji ryzyka
   
   • wynik: SIL 1 / SIL 2 / SIL 3 lub PL a–e.
     
3. Analiza architektury systemu bezpieczeństwa
   

Tutaj pojawiają się pojęcia takie jak:

• 1oo1 – jeden czujnik, jeden kanał,
  
• 1oo2 – redundancja czujników,
  
• 2oo3 – głosowanie dwóch z trzech kanałów.
  

1. Obliczenia probabilistyczne
   

W zależności od standardu liczy się:

• PFDavg lub PFH dla SIL,
  
• PFHd dla PL.
  

Jeśli wynik nie spełnia wymagań, projekt trzeba poprawić.

Najczęściej poprzez:

• redundancję czujników,
  
• skrócenie interwału testów,
  
• zwiększenie diagnostyki,
  
• zastosowanie komponentów o lepszej niezawodności.
  

To właśnie tutaj powstaje realne bezpieczeństwo instalacji – na etapie projektowania architektury systemu. 

W praktyce określenie wymaganego poziomu SIL lub PL zawsze wynika z analizy ryzyka instalacji i identyfikacji potencjalnych źródeł zapłonu, które mogą doprowadzić do zdarzenia niebezpiecznego.

Wsparcie eksperckie – kiedy warto przeprowadzić analizę SIL lub PL?

W wielu zakładach systemy bezpieczeństwa powstawały w różnych etapach rozwoju instalacji. Część zabezpieczeń została zaprojektowana wiele lat temu, inne dodawano podczas modernizacji lub rozbudowy linii technologicznej.

W efekcie często okazuje się, że:

• funkcje bezpieczeństwa nie są jasno zdefiniowane,
  
• nie ma aktualnych obliczeń PFDavg lub PFHd,
  
• architektura systemu nie odpowiada aktualnemu poziomowi ryzyka.
  

W takich sytuacjach warto przeprowadzić niezależną analizę funkcjonalnego bezpieczeństwa. I w tym właśnie możemy pomóc.

W ATEX Doradztwo wspieramy zakłady przemysłowe m.in. w:

• analizach SIL i PL,
  
• identyfikacji funkcji bezpieczeństwa (SIF / SRP/CS),
  
• obliczeniach PFDavg, PFH i PFHd,
  
• analizach HAZOP i LOPA,
  
• audytach zgodności z wymaganiami ATEX i dyrektywy maszynowej.
  

Celem takich analiz nie jest „podniesienie poziomu SIL”, lecz upewnienie się, że funkcja bezpieczeństwa rzeczywiście zadziała w krytycznym momencie.