Dziś jest poniedziałek, 21 październik 2019 r.
Energoelektronika.pl na stronach Facebook REKLAMA MAPA SERWISU KONTAKT
Strona główna Załóż konto Artykuły branżowe Katalog firm Seminaria FAQ Kalendarium Słownik Oferta
Wyszukaj
1USD 3.8503 -0.35% 1EUR 4.2844 -0.01% 1GBP 4.9671 +0.43%
Zaloguj się
Login (adres e-mail):
Haslo:
  Rejestracja
  Zapomniałem hasła
Reklama

Aktualności
Cykl szkoleń z zakresu programowania sterowników SIMATIC S7-300, S7-1200
więcej
32 edycja targów Energetab 2019 juz za cztery tygodnie
więcej
Przed nami 32. edycja targów ENERGETAB 2019
więcej
Siemensa buduje fabrykę dla Przemysłu 4.0 w Polsce
więcej

Zobacz archiwum

Kalendarium
23 październik 2019
LUMENexpo Targi Techniki Świetlnej  
więcej
29 październik 2019
73. edycja Seminarium dla Służb Utrzymania Ruchu  
więcej
Newsletter
Jeżeli chcesz otrzymywać aktualne informacje o wydarzeniach w branży.
Podaj e-mail do subskrypcji:


Artykuły branżowe
18 grudzień 2012.

ALARM MANAGEMENT SYSTEM - SZANSA DLA CZŁOWIEKA WŚRÓD AUTOMATÓW

ALARM MANAGEMENT SYSTEM - SZANSA DLA CZŁOWIEKA WŚRÓD AUTOMATÓW

Cóż mają ze sobą wspólnego awarie w Seveso, Flixborough, Texaco Pembroke i wiele innych? Czy naprawdę przyczyną była zawodna technika, czy też przede wszystkim człowiek? Analiza każdego z wymienionych wypadków jednoznacznie wskazuje na błąd lub ? jeszcze częściej ? na serię błędów człowieka. Błędy te pojawiały się zarówno w trakcie projektowania systemu zabezpieczeń, jak i w ostatnich chwilach przed katastrofą, kiedy operatorzy nie byli w stanie podjąć właściwych decyzji na podstawie nawału setek alarmów. Dopiero od niedawna pojawiły się standardy i narzędzia umożliwiające logiczne ograniczenie ilości alarmów, zwiększające efektywność pracy operatorów i w ten sposób obniżające liczbę błędnych decyzji, mogących prowadzić do niebezpiecznych awarii. W artykule przedstawiono jedno z takich wyjątkowo użytecznych narzędzi - Alarm Management System.

1. PRZECIĄŻENIE OPERATORÓW PRZYCZYNĄ AWARII W MILFORD HAVEN

Analiza przyczyn eksplozji i pożaru w rafinerii należącej do koncernu Texaco Pembroke w roku 1994 zainicjowała długi proces, który zaowocował nowymi przepisami dotyczącymi zarządzania alarmami w zakładach chemicznych i petrochemicznych - Alarm Management.
Katastrofa w walijskiej rafinerii spowodowała zranienie dwudziestu sześciu pracowników oraz straty materialne w wysokości 48 milionów funtów, nie licząc strat wynikłych ze wstrzymania produkcji. Komisja Health and Safety Executive (HSE) [1], stwierdziła następujące błędy jako główne przyczyny katastrofy:

1. Grafiki systemu sterowania były nieprzejrzyste: związek pomiędzy przepełnieniem zbiornika a przeciążeniem pochodni nie rzucał się w oczy.
2. System automatyki generował zbyt dużo alarmów: w ciągu ostatnich jedenastu minut poprzedzających eksplozję dwaj operatorzy musieli rozpoznać, potwierdzić i zareagować na 275 alarmów.
3. System nie uwzględniał ważności alarmów: decydujący komunikat o przepełnieniu zbiornika zupełnie się nie wyróżniał spośród innych, bo miał ten sam priorytet co większość z nich - najwyższy. W rezultacie alarm ten pozostał niezauważony przez całe dwadzieścia pięć minut!
4. Operatorzy byli niedostatecznie wyszkoleni: program szkolenia operatorów rafinerii nie obejmował treningu w sytuacjach stresowych, kiedy zmiany w systemie wywołują trudne do przewidzenia skutki.

Bazując na tych faktach komisja HSE sformułowała szereg zaleceń dotyczących koncepcji, konfiguracji i roli alarmów w automatyce przemysłowej. Oto najważniejsze z nich [2] :
1. Alarmy sygnalizujące stany krytycznie niebezpieczne (ang. EMERGENCY) muszą być łatwo odróżnialne od innych alarmów procesowych i systemowych.
2. Liczba alarmów musi być ograniczona do takiej, którą operator systemu jest w stanie ogarnąć.
3. Reakcja operatora na alarm nie może być traktowana jako jedyne zabezpieczenie przed katastrofą.
Ostatnie zalecenie najłatwiej zrozumieć patrząc na poniższy rysunek 1.


Rys. 1. Poziomy zabezpieczeń [2]

W trakcie normalnej produkcji parametry procesu (np. ciśnienie pary w kotle) są regulowane przez system automatyki - ten zakres pracy odpowiada najniższemu poziomowi na rysunku 1.
W przypadku, gdy regulatory systemu automatyki nie są w stanie utrzymać w pożądanym zakresie wspomnianego ciśnienia pary - na przykład ze względu na nagły spadek jej zapotrzebowania - pojawia się alarm wzywający operatora do odpowiedniej interwencji, czyli wprowadzenia ręcznej korekty systemu.
Jeżeli operator nie zareaguje właściwie na alarm - a system automatyki nadal sam nie zdoła sprowadzić parametrów procesu na bezpieczny poziom - wówczas zadziała automatyczny system zabezpieczeń: np. kocioł zostanie automatycznie odstawiony.
Jest to ostatni poziom zabezpieczeń prewencyjnych - nieoddziałujących na środowisko.
Jeżeli ciśnienie pary będzie mimo to nadal wzrastać, to zadziałają zawory bezpieczeństwa, wypuszczające nadmiar pary do otoczenia, obciążając środowisko hałasem, a w przypadku mediów innych niż para wodna - również nimi. Jest to pierwszy krok ograniczający dokuczliwość i zasięg zdarzenia związanego z zanieczyszczeniem środowiska. Nawet zwykły upust pary może być bardzo uciążliwy dla otoczenia; dla ograniczenia emisji hałasu stosuje się tłumiki na wylocie zaworów bezpieczeństwa, a przede wszystkim odpowiednie odstępy zapewniające ograniczenie poziomu hałasu poza terenem zakładu.
Jeżeli również ten poziom zabezpieczeń zawiedzie, to należy liczyć się z przekroczeniem wytrzymałości elementów konstrukcji lub aparatury, co może spowodować np. pęknięcie rur przegrzewaczy w kotle lub zbiornika zawierającego dwadzieścia ton łatwopalnej substancji, jak to miało miejsce w rafinerii Texaco.

2. DEFINICJE

Poniższe definicje są zaczerpnięte z przepisów Instrumentation, Systems, and Automation Society ISA [3] :

  • ALARM
    sygnał optyczny i/lub akustyczny, mający na celu zwrócenie uwagi operatora na zakłócenie bądź nienormalną pracę maszyny lub nienormalny przebieg sterowanego procesu.
  • SYSTEM ALARMOWY
    zespół elementów hardware i software, rozpoznających osiągnięcie stanu alarmowego, przekazujących komunikat dla operatora oraz generujących raport zawierający parametry alarmu.
  • ALARM MANAGEMENT
    System zarządzania alarmami, składający się z definicji i procedur: dokumentacji, planowania, obserwacji i obsługi komunikatów pochodzących z systemu alarmowego.

Definicje te pokrywają się z intuicyjnym rozumieniem alarmu (z włoskiego all'arme - do broni) jako wezwania do postawienia w stan gotowości bojowej bądź do rozpoczęcia walki. Aby w tym boju operator już od początku nie był skazany na klęskę, każdy alarm generowany przez system alarmowy powinien:

1. Zwracać uwagę operatora
2. Informować operatora o naturze zaszłej zmiany
3. Wskazywać operatorowi właściwe działanie korekcyjne
Każdy alarm, który nie spełnia wszystkich wymienionych kryteriów, jest zbędnym balastem obciążającym operatora.

3. ALARM JAKO JEDEN Z POZIOMÓW OCHRONY

Jak wcześniej wyjaśniono, w przypadku normalnie przebiegającego procesu produkcji alarmy w ogóle nie powinny się pojawiać, bo to system automatyki dba o utrzymanie parametrów procesu w pożądanym zakresie. Dopiero przekroczenie tego zakresu, przez decydujące dla danego procesu wartości parametrów, powinno zwracać uwagę operatora alarmem.


Rys. 2. Komunikaty alarmowe: teksty i sygnały (wg VDI/VDE 3699, część 5, rozdział 5 [4])

Wraz z pojawieniem się komunikatu alarmowego wymagane są od operatora następujące czynności [5] :
1. Przyjęcie alarmu - zwrócenie na niego uwagi.
2. Przeczytanie i interpretacja komunikatu alarmowego.
3. Potwierdzenie alarmu - wyłączenie sygnału akustycznego.
4. Określenie przyczyny alarmu.
5. Oszacowanie skutków zaniechania dalszych czynności.
6. Wybór sposobu działania i jego realizacja.
7. Obserwacja wartości mierzonej w trakcie działania korygującego.
8. J ednoczesna obserwacja wielu alarmów.

Jak widać, już pojedynczy alarm wymaga od operatora podjęcia wielu decyzji i wykonania wielu czynności, mających na celu uniknięcie eskalacji problemu - patrz rys. 1. Dlatego przy podejmowaniu decyzji o instalacji alarmu należy odpowiedzieć sobie na następujące pytania:
1. Czy operator może przedsięwziąć jakąkolwiek skuteczną korektę?
2. Czy operator będzie miał wystarczająco dużo czasu na przeprowadzenie korekty?
3. Co się stanie, jeśli korekta nie nastąpi?
Jeżeli nie jesteśmy w stanie sami zadowalająco odpowiedzieć na powyższe pytania, to nie mamy prawa oczekiwać od operatora lepszej odpowiedzi! Stwierdzenie to zostało jeszcze dosadniej sformułowane przez firmę MATRIKON [6], specjalistę w dziedzinie AMS:

"Źle zaprogramowany system alarmów stanowi nieźle zaprogramowaną katastrofę!"

4. RODZAJE ALARMÓW

Może się wydawać, że spełnienie wszystkich powyższych wymagań nie powinno stanowić żadnego problemu dla projektanta nowoczesnego systemu automatyki i wizualizacji. Dla weryfikacji tej opinii najłatwiej będzie się posłużyć następującym przykładem pomiaru ciśnienia pary na wylocie z kotła:


Rys. 3. Typowe alarmy przy instalacji przetworników w układzie "wybór dwa z trzech"

Na rurociągu zainstalowano trzy przetworniki, które pracują w typowym dla instalacji bezpieczeństwa układzie "wybór dwa z trzech". Automatyczne odstawienie instalacji następuje dopiero wówczas, gdy sygnały pochodzące z przynajmniej dwóch przetworników będą tego wymagać. Będzie wtedy wygenerowany komunikat alarmowy o zadziałaniu systemu bezpieczeństwa PSAHH1M. Nie jest to jednak jedyny alarm, z którym będzie skonfrontowany operator:

1. Każdy z przetworników zgłosi oddzielny alarm PIAH1A/B/C - trzy alarmy.
2. Moduł wyboru "dwa z trzech" zgłosi alarm PIAH1M - jeden alarm.
3. Każdy z przetworników zgłosi oddzielny alarm PIAHH1A/B/C - trzy alarmy.
4. Moduł wyboru "dwa z trzech" zgłosi alarm PIAHH1M - jeden alarm.

Jak widać, zupełnie sprawny system alarmowy zgłosi co najmniej osiem dodatkowych komunikatów, które w rozpatrywanej sytuacji są zbędne dla operatora!
Jeszcze gorzej przedstawia się sytuacja, kiedy nie wszystkie przetworniki są w pełni sprawne; wówczas do potoku wspomnianych alarmów dołączą następujące alarmy diagnozy systemu:
5. Przy złym sygnale wejściowym system wygeneruje alarm "BAD SIGNAL", jeden dla każdego przetwornika.
6. Niektóre systemy sterownicze - w zależności od konfiguracji - generują również sygnał "BAD I/O", jeden dla każdego kanału wejścia/wyjścia.
7. W przypadku, gdy wartość sygnału jednego z przetworników odbiega o więcej niż np. 5% od sygnału pozostałych przetworników, system poda komunikat "DEVIATION" dla tego przetwornika.

W ten sposób liczba użytecznych komunikatów spada poniżej poziomu 10% w strumieniu informacji, które otrzyma operator w ostatnich chwilach przed zadziałaniem systemu zabezpieczeń. Nie wszystkie alarmy są w danej chwili jednakowo ważne, nie wszystkie są interesujące dla operatora instalacji; niektóre, jak "BAD SIGNAL", "BAD I/O" lub "DEVIATION" są przeznaczone dla warsztatu naprawczego. Pomimo to operator procesu musi każdy pojawiający się alarm przyjąć, przeczytać, określić jego przyczynę, oszacować jego ważność itd. Dla odciążenia operatora wydaje się w tym miejscu stosowne wprowadzenie klasyfikacji alarmów.

4.1. Alarmy procesowe i alarmy systemowe

W omówionym przykładzie trzech przetworników jedynie alarmy wymienione w punkcie 2 i 4 są alarmami procesowymi; operator procesu nie powinien martwić się o to, czy jeden z trzech przetworników jest sprawny czy też nie. Obchodzi go wyłącznie ciśnienie w rurociągu: czy jest w normie, czy też przekroczyło dopuszczalną granicę.
Wszystkie pozostałe komunikaty są alarmami diagnostycznymi systemu, które powinny lądować najlepiej bezpośrednio na biurku szefa warsztatu naprawczego, nie obciążając operatora procesu.

4.2. Podział alarmów pod względem skutków zaniechania

Niewykonanie odpowiedniej korekty przez operatora może mieć wpływ:
1. na bezpieczeństwo: np. zignorowanie komunikatu alarmowego o niskim ciśnieniu wody w natrysku bezpieczeństwa ma bezpośredni wpływ na bezpieczeństwo robotników;
2. na środowisko: np. zbyt wysokie ciśnienie gazu w zbiorniku spowoduje zadziałanie zaworów bezpieczeństwa i upust nadmiaru gazu do otoczenia, bezpośrednio lub przez pochodnię;
3. na ciągłość produkcji: np. wysoki poziom wibracji łożyska spowoduje zadziałanie zabezpieczeń turbiny i jej automatyczne odstawienie;
4. na wyposażenie: np. zignorowanie komunikatu alarmowego o niskim ciśnienu wody na wylocie pompy może spowodować jej suchobieg i zniszczenie;
5. na efektywność lub jakość produkcji: np. niedostateczne schłodzenie gazu pomiędzy poszczególnymi stopniami sprężania obniży wydajność stacji sprężarek.
Biorąc pod uwagę wpływ zignorowania alarmu na wymienione zakresy, można określić poziomy konsekwencji niewłaściwej reakcji operatora na alarm:
1. Niski poziom ważności, (ang. MINOR CONSEQUENCE) niedopuszczalny dla zdarzeń mających wpływ na bezpieczeństwo lub na środowisko: np. awaria zduplikowanej standardowej pompy, której zapasowa sztuka znajduje się na terenie zakładu.
2. Średni poziom ważności, (ang. MODERATE CONSEQUENCE) niedopuszczalny dla zdarzeń mających wpływ na bezpieczeństwo: np. awaria niezduplikowanej pompy, mająca wpływ na obniżenie produkcji.
3. Wysoki poziom ważności (ang. SERIOUS CONSEQUENCE): np. awaria jedynej pompy w stacji pomp ? przerwa w produkcji.

4.3. Ważność alarmu - priorytet

W literaturze [7, 8], można spotkać różne sposoby określania priorytetu danego alarmu. Najczęściej sprowadzają się one do metody zaproponowanej przez EEMUA [7], polegającej na stosowaniu tablicy decyzyjnej. Zawartość komórek tej tablicy zależy:
1. Od pilności korekty, czyli czasu, w którym operator powinien przeprowadzić odpowiednie czynności - EEMUA zaleca przedziały czasowe: poniżej 15 minut - 15...45 minut - powyżej 45 minut.
Spotkać można też inne zalecenia (np. "poniżej 5 minut - 5...15 minut - powyżej 15 minut"), przy czym najbardziej rozsądny wydaje się podział uwzględniający prędkość zmian danego procesu produkcyjnego:
- "teraz" (ang. NOW): czyli parę sekund dla np. reakcji egzotermicznych lub kilkadziesiąt minut dla np. gazociągów.
- "w najbliższej kolejności" (ang. NEXT): w zależności od procesu od kilku do kilkudziesięciu minut.
- "później" (ang. LATER): w zależności od procesu od kilkunastu minut do kilku godzin, ale na pewno nie kilku dni, jak to ma miejsce w przypadku tzw. ciągłych alarmów (ang. STANDING ALARMS), które najczęściej są rezultatem błędnej konfiguracji alarmów.

2. Od skutków zaniechania czynności korekcyjnych przez operatora - patrz rozdział 4.2. powyżej

Tablica 1. Tabela decyzyjna służąca przyporządkowaniu priorytetu dla alarmów procesowych [7]

Powyższa tabela decyzyjna zaczerpnięta jest z EEMUA 191 [7], przy czym każdy projektant i użytkownik systemu alarmowego powinien sam zdecydować, co oznacza dla jego procesu NOW/NEXT/LATER czy też MINOR/MODERATE/SERIOUS CONSEQUENCE.

4.4. Alarmy rozruchu i odstawienia

Bardzo często instaluje się dodatkowe alarmy ułatwiające pierwszy rozruch instalacji. Równie często zapomina się o wykasowaniu tych alarmów z systemu po zakończonym rozruchu. Z tego powodu nawet w starszych instalacjach pojawiają się alarmy, których znaczenia nie rozumie nikt z wyjątkiem inżyniera, który przed laty je "prowizorycznie" skonfigurował.
Zdecydowanie łatwiejsze jest zrozumienie znaczenia na przykład następujących alarmów:
- komunikat "uwaga - przeciążenie instalacji!" przy każdym rozruchu pompy przez operatora,
- komunikat "uwaga - niskie ciśnienie na wylocie pompy!" przy każdym ręcznym odstawieniu pompy.
Te alarmy jednak są zbyteczne i tylko rozpraszają uwagę operatora, który dobrze wie, a przynajmniej powinien dobrze wiedzieć, co się dzieje z prądem i z ciśnieniem w chwili, kiedy on sam załącza lub wyłącza pompę.

5. BŁĘDY I ZAKŁÓCENIA W SYSTEMACH ALARMOWYCH

Typowe objawy źle skonfigurowanego systemu alarmowego można łatwo rozpoznać:

  • Listy alarmów są pełne, wciąż nadchodzą nowe raporty niezależnie od tego, czy proces znajduje się w normalnym czy też w wyjątkowym stanie.
  • Obsługa ignoruje, całymi dniami a nawet tygodniami, wiele alarmów, które są alarmami ciągłymi.
  • Pojawiające się alarmy są na ślepo - bez głębszego zastanowienia - potwierdzane.
  • Operatorzy w nastawni nie odnoszą wrażenia, by system alarmowy wspomagał ich pracę.
  • Sygnalizatory akustyczne są - czasami w drastyczny sposób - "unieszkodliwione", bo w przeciwnym razie ich ciągły sygnał dręczyłby operatorów.
Bez wątpienia największym problemem związanym z alarmami - obok nie zawsze łatwej ich interpretacji - jest ich ilość. Dzięki wszechstronności obecnych układów automatyki skonfigurowanie nowego alarmu jest zdecydowanie tańsze niż dyskusja na temat, czy jest on w ogóle potrzebny czy też nie. Wystarczy spojrzeć na przykładowe wyposażenie nastawni sprzed dwudziestu lat i dzisiejsze, by zrozumieć ten problem (rys. 4)


Rys. 4. Nastawnia wczoraj i dziś [9]. Pośrodku: liczba skonfigurowanych alarmów przypadających na operatora [10]

W widocznej z lewej strony konwencjonalnej nastawni każdy alarm wymagał oddzielnego okienka w tablicy synoptycznej. Oznaczało to dodatkową dokumentację, okablowanie, opis okienka alarmu - którego zmiana była kosztowna - przekaźniki wartości granicznych itd. Jednak dzięki temu każdy alarm był wykazywany na liście aparatury kontrolnej i pomiarowej zakładu jako oddzielny instrument, wymagał własnego "Data Sheet", "Loop Drawing" i przede wszystkim sporo rozważań projektantów, czy na pewno jest potrzebny, czy można jego funkcję połączyć z innym alarmem.
W nowoczesnej nastawni wszystkie wskaźniki i regulatory widoczne na grafikach komputerowych DCS mają już przez dostawcę systemu zaprogramowane funkcje alarmów, standardowo od 6 do 8 poziomów na każdy wskaźnik i regulator. Do uaktywnienia ich wystarczy zmienić jeden bit - dość, by uzyskać funkcję odpowiadającą okienku alarmowemu w starej nastawni. Jest to ogromny postęp, jeśli chodzi o zaoszczędzenie nakładu pracy fizycznej i materiałów, niestety przy okazji eliminacji "Loop Drawing" zrezygnowano również z "Data Sheet" i całej reszty pracy koncepcyjnej w fazie projektowania. Gorzej jeszcze: w trakcie każdej dyskusji nad projektowanym procesem dodawane są kolejne alarmy, również w trakcie HAZOP. Projektanci mają nadzieję w ten sposób zwiększyć bezpieczeństwo procesu, ale w rzeczywistości jest na odwrót! Wystarczy popatrzeć na poniższe wykresy (rys. 5).


Rys. 5. Wpływ liczby alarmów na reakcje operatora oraz na bezpieczeństwo zakładu [11]

Szansa właściwej reakcji operatora na alarm zaczyna dramatycznie maleć, jeśli liczba pojawiających się komunikatów przekracza jeden na minutę. Przy strumieniu komunikatów powyżej jednego na sekundę, rzucanie co sekundę "szóstki" kostką do gry jest bardziej prawdopodobne niż właściwa reakcja operatora. Wykres po prawej stronie dokładnie to uzmysławia: im więcej alarmów jest skonfigurowanych, tym więcej sygnałów pojawi się w ciągu krytycznych minut pracy operatora. Powyżej pewnego progu dodatkowe alarmy NIE poprawiają bezpieczeństwa!
Niestety, eliminacja zbędnych alarmów jest zadaniem bardzo odpowiedzialnym i pracochłonnym, zarówno w trakcie projektowania, jak i przez cały czas eksploatacji instalacji. Na ile to zadanie pozostaje rozwiązane, przedstawiono w tabeli 2.

Tablica. 2. Średnie wartości KPI systemów alarmowych w przemyśle względem zaleceń EEMUA [12]

Jak widać, wszystkie wymienione branże wymagają od operatorów co najmniej dziesięciokrotnie większej sprawności niż przewidują to zalecenia EEMUA 191. Na pytanie, czy jest to konieczne, będzie można odpowiedzieć po dokładniejszym zapoznaniu się z typowymi przyczynami tak wielkiej liczby alarmów [13].

5.1. Alarmy ciągłe

Alarmy ciągłe są aktywne nawet wtedy, kiedy proces znajduje się w stanie najzupełniej normalnym. Alarm, który jest ciągle aktywny, uniemożliwia operatorowi zwrócenie uwagi na zmianę procesu, bo alarm raz zgłoszony, ciągle aktywny, nie może zostać zgłoszony ponownie - patrz rysunek 2.
Oto najczęstsze przyczyny występowania alarmów ciągłych i przykładowe sposoby ich uniknięcia:

  • Błędy lub uszkodzenia przetworników pomiarowych: problemy tego typu powinny być na bieżąco rozwiązywane przez warsztat naprawczy zakładu.
  • Niewłaściwe granice alarmów: granice należy na nowo skonfigurować, czasami w sposób dynamiczny, adaptywny do poziomu produkcji.
  • Nieczynne części procesu: logika wyzwalająca alarmy powinna maskować alarmy pochodzące z odstawionych części zakładu.
Wszystkie działania zmierzające do wykluczenia alarmów ciągłych powinny być ze sobą skoordynowane i prowadzone nieprzerwanie przez zaangażowanych pracowników zakładu, bo optymalizacja systemu alarmowego nie jest wydarzeniem jednorazowym. Ważne jest wyposażenie zespołu w odpowiednie narzędzia - programy komputerowe AMS. Umożliwiają one śledzenie alarmów na bieżąco, przedstawianie ich charakteru w postaci statystyk, oraz wydawanie zaleceń ułatwiających ciągłe ulepszanie systemu alarmowego.

5.2. Alarmy fałszywe i powtarzające się

Samoczynnie pojawiające się i znikające alarmy mogą być prawdziwym utrapieniem operatora. Ze względu na swoją naturę alarmy te nie wymagają żadnej reakcji ze strony operatora, powodując niebezpieczne obniżenie jego czujności. Alarmy te pojawiają się i znikają z powodu:

  • Błędów lub uszkodzeń przetworników pomiarowych.
  • Granic alarmów leżących zbyt blisko normalnych parametrów procesu.
  • Zbyt wąskich pętli histerezy.
  • Nakładania się funkcji różnych alarmów.
  • Niewłaściwie przyporządkowanych priorytetów alarmów.
  • Niewłaściwie zastosowanych filtrów i algorytmów mających na celu obniżenie liczby alarmów.
Działania redukujące tego rodzaju alarmy są podobne jak w przypadku alarmów ciągłych.

5.3. Potok alarmów

Potok alarmów spowodowany pojedynczym zdarzeniem jest najbardziej niebezpiecznym i jednocześnie najtrudniejszym do rozwiązania zagadnieniem optymalizacji systemu alarmów. Operator instalacji zalany potokiem alarmów (czasami w postaci setek komunikatów w ciągu dziesięciu minut) ma do dyspozycji wyjątkowo krótki czas reakcji (nierzadko poniżej jednej sekundy), a dodatkowo musi znaleźć pierwotną przyczynę danego zdarzenia. Skutkuje to ślepym potwierdzaniem napływających komunikatów oraz błędnymi decyzjami.
Zasadniczą przyczyną potoku alarmów jest ich wielka liczba, zaprogramowana w systemie DCS (patrz rozdział 5). Systemy zawierające ponad 10 000 skonfigurowanych alarmów, niestety, nie należą do rzadkości.

6. SPOSOBY REDUKCJI LICZBY ALARMÓW

Absurdalność konfigurowania wielu tysięcy alarmów staje się oczywista, kiedy wyobrazimy sobie ścianę ze wszystkimi alarmami w postaci konwencjonalnych lampek sygnalizacyjnych. Równie absurdalne jest wymaganie od operatorów, by w ułamku sekundy byli w stanie odpowiednio zareagować na błysk dowolnej z tych lampek.
Konieczność utrzymania liczby alarmów na poziomie poniżej 1000 na operatora staje się zrozumiała. Należy mieć to na uwadze w każdej chwili projektowania, eksploatacji i przebudowy instalacji.

6.1. Redukcja liczby alarmów w fazie projektowania

Wiadomo, że lepiej zapobiegać niż leczyć. Od samego początku planowania instalacji należy dbać o jak najmniejszą liczbę komunikatów alarmowych oraz o ich jednoznaczność. Każdy alarm powinien mieć własny "Data Sheet" zawierający następujące informacje:

  • Nazwa punktu pomiarowego.
  • Zakres pomiarowy.
  • Wartości graniczne.
  • Szerokość pętli histerezy.
  • Przyczyna alarmu.
  • Tekst komunikatu alarmowego.
  • Adresat komunikatu alarmowego: operator, warsztat, zarząd zakładu...
  • Priorytet alarmu.
  • Maskowanie alarmu przez inne alarmy i zdarzenia.
  • Wpływ alarmu na maskowanie innych komunikatów.
  • Zalecana akcja korekcyjna dla operatora.
  • Ewentualne skutki wynikające z niewłaściwej reakcji operatora.
  • Sposób sygnalizacji alarmu na grafikach DCS.
  • Wpływ danego alarmu na system regulacji automatycznej.
  • Wpływ danego alarmu na system zabezpieczeń.

Niestety, praktyczne doświadczenie wskazuje na niewielkie szanse uzyskania pełnej dokumentacji wszystkich alarmów skonfigurowanych w trakcie trwania projektu. W zbyt krótkim czasie wymagana jest zbyt duża liczba modyfikacji, dodanych w ostatniej chwili alarmów czy wymagań HAZOP.
W ten sposób finalny użytkownik otrzymuje system zawierający tysiące alarmów, z których wiele zostało dodatkowo skonfigurowanych w trakcie rozruchu, sporo innych ma zmienione wartości lub też znaczenie, a dla całości systemu nie ma jednolitej dokumentacji. Konieczna staje się....

6.2. Redukcja liczby alarmów w fazie użytkowania

W chwili przejęcia instalacji użytkownik płynnie przejmuje dodatkowe role projektanta i zarządcy systemu. Udoskonalenia, które są możliwe do wprowadzenia przez użytkownika to:

  • Wprowadzenie w życie własnej filozofii ciągłego ulepszania systemu alarmowego, której zachowanie będzie podstawą uniknięcia degradacji systemu w trakcie użytkowania. Składają się na nią:
    • Procedury wprowadzania zmian w systemie
    • Dokumentacja zmian
    • Ustalenie adresatów otrzymujących komunikaty alarmowe
    • Jednolita forma komunikatów alarmowych
    • Przechowywanie danych
  • Weryfikacja prawidłowości przypisania komunikatów alarmowych do adresatów. W przykładzie z rozdziału 4 tylko dwa z piętnastu alarmów były interesujące dla operatora procesu, pozostałe alarmy były przeznaczone dla warsztatu przyzakładowego lub dla administratora systemu automatyki. Niektóre alarmy - szczególnie dotyczące ilości i jakości produktu - są również bezpośrednio interesujące dla zarządu zakładu.
  • Polepszenie parametrów systemu alarmowego na podstawie bieżących doświadczeń:
    • Dostrojenie regulatorów.
    • Poprawienie granic alarmów.
    • Korelacja alarmów: np. w miejsce dwóch oddzielnych alarmów P,T opisujących stan pary, można wprowadzić jeden alarm dopuszczalnego obszaru na płaszczyźnie P,T.
    • Redukcja liczby fałszywych alarmów przez filtrowanie, stosowanie histerez i opóźnień oraz przez analizę statystyczną sygnałów wejściowych.
    • Przetwarzanie danych, mające na celu lepsze maskowanie komunikatów nieniosących dodatkowych informacji.
    • Modelowanie procesu i kontrola odchyłek pomiędzy parametrami modelu i bieżącego procesu.
    Realizacja ostatniej grupy zadań wymaga skomplikowanych analiz statystycznych i obliczeń modelowych. Dlatego też większość użytkowników posiłkuje się wyspecjalizowanymi programami komputerowymi AMS, które są oferowane wraz z nowoczesnymi systemami DCS (Honeywell, Yokogawa, Invensys, Emerson...). Wadą tych programów jest ich kompatybilność jedynie z systemem konkretnego dostawcy.
    W zakładach, w których zainstalowano systemy DCS pochodzące od różnych dostawców, najlepszym wyjściem jest stosowanie systemów AMS oferowanych przez wyspecjalizowanych dostawców. Na przykład firma MATRIKON oferuje szeroką paletę programów AMS kompatybilnych ze wszystkimi wyżej wymienionymi systemami DCS, również starszej generacji.

    6.3. Instalacja AMS na przykładzie rafinerii MIRO [18]

    Rafineria MIRO w Karlsruhe jest największą rafinerią paliw w Niemczech. Roczna produkcja przekracza 15 milionów ton. System automatyki ma 62 000 punktów pomiarowych przyłączonych do różnych systemów DCS. Zarząd rafinerii poszukiwał rozwiązania następujących problemów:
    1. Eliminacja alarmów zakłócających na poziomie DCS.
    2. Integracja sygnałów pochodzących z różnych systemów DCS w jednym niezależnym systemie alarmowym, umożliwiająca nadrzędne monitorowanie, analizę, dokumentację, archiwizację i modernizację alarmów.
    3. Niezależne systemy DCS nie umożliwiały przeprowadzenia nadrzędnych badań statystycznych nad najczęstszymi przyczynami alarmów. Brak tych danych uniemożliwiał optymalizację systemu.
    Zarząd rafinerii zdecydował się na system doradczy AMS Processguard firmy MATRIKON, którego architektura wyróżniała się otwartością na komunikację ze wszystkimi zainstalowanymi systemami DCS. Pierwszym efektem zastosowania AMS była statystyka obciążenia operatorów alarmami, przedstawiajaca ich stan emocjonalny (rys. 6).


    Rys. 6. Alarm Performance Indicator (API) przedstawiony na płaszczyźnie opisanej maksymalną liczbą alarmów na godzinę (oś pozioma) i średnią liczbą alarmów na godzinę (oś pionowa) [13]

    Dzięki powyższej statystyce zarząd rafinerii mógł natychmiast rozpoznać, w których wydziałach produkcyjnych stan systemu alarmowego najbardziej odbiega od wymagań EEMUA (ang.predictive czyli przwidywalny- porównaj z zaleceniami EEMUA z tablicy 2), stanowiąc największe zagrożenie dla bezpieczeństwa i ciągłości produkcji.
    Zarząd powołał - składający się z pracowników rafinerii - zespół fachowców, którego zadaniem było jak najszybsze polepszenie kondycji systemu alarmowego. Skuteczność pracy zespołu mogła być na bieżąco mierzona przez AMS. Najskuteczniejszą metodą polepszania wskaźnika API okazało się systematyczne, cotygodniowe rozwiązywanie problemów związanych z "top 20 bad alarms" wyznaczonymi przez AMS Processguard dla każdego wydziału produkcyjnego.
    W obecnej fazie projektu trwającego od grudnia 2006 szef projektu zamierza wykorzystać AMS nie tylko do dalszego systematycznego ulepszania systemu alarmowego, ale również do wydawania prewencyjnych zaleceń dotyczących zakupu części zamiennych, których zużycie było rejestrowane w postaci alarmów. Jest to najlepszy dowód na to, że skutecznie stosowany AMS ułatwia pracę nie tylko operatorów procesu, ale całego zakładu.

    7. NORMY I ZALECENIA

    Niepewność i niska efektywność pracy operatorów w nastawniach zwróciły uwagę organizacji normatywnych i doradczych. Konieczne stało się wprowadzenie norm i zaleceń regulujących koncepcję, implementację i długofalową organizację systemów zarządzania alarmami. Dzięki temu powstało do dziś szereg przepisów, które - w zależności od zasadniczych celów danego gremium - różnią się pomiędzy sobą rozłożeniem akcentów na poszczególne zakresy problematyki AMS.
    Dla projektantów i użytkowników instalacji chemicznych, rafinerii i elektrowni przepisy te nie mają charakteru wiążącego, stanowią jednak podstawę wielu specyfikacji (np. ITB's) oraz wyróżników produktywności KPI's (np. Solomon Performance Indicators dla rafinerii). W ten sposób poniżej wymienione zalecenia pozwalają nie tylko polepszyć jakość systemów alarmowych, lecz również zasadniczo podwyższyć bezpieczeństwo i sprawność produkcji.

    7.1. EEMUA 191: Alarm Systems. A Guide to Design, Management and Procurement

    Zalecenia - wydane przez Engineering Equipment and Materials Users Association po raz pierwszy w 1999 roku (drugie wydanie w roku 2007) w Wielkiej Brytanii - przedstawiają praktycznie zorientowane wytyczne dla Alarm Management, bazujące na wieloletnim doświadczeniu użytkowników systemów automatyki, jak i na studiach ergonomicznych. Celem zalecenia jest ograniczenie liczby alarmów do niezbędnego minimum.

    7.2. NAMUR-Arbeitsblatt NA 102: Alarm Management

    Zalecenia przeznaczone dla przemysłu chemicznego, poruszające temat Alarm Management z dwóch różnych stron: koncepcje, metody i sposoby rozwoju AMS dla użytkowników istniejących systemów oraz jako ITB dla projektantów i dostawców nowych systemów automatyki. Wydane po raz pierwszy w 2003 roku, aktualnie obowiązująca wersja pochodzi z 2008 roku.

    7.3. NPD YA 711: Principles for Alarm System Design

    Przepisy wydane w roku 2001 przez Norwegian Petroleum Directorate stanowi podstawę do planowania systemów alarmów w (nie tylko) norweskim przemyśle petrochemicznym.

    7.4. Richtlinie VDI/VDE 3699: Prozessführung mit Bildschirmen

    Dyrektywa VDI/VDE 3699 jest zbiorem zaleceń dotyczących systemów wizualizacji nastawniach zakładów chemicznych i petrochemicznych.

    7.5. ISA S18.02: Management of Alarm Systems for the Process Industries

    Północnoamerykańska norma ISA, biorąca pod uwagę wszystkie powyżej wymienione zalecenia oraz obecnie dostępne środki techniczne. ISA szczególnie wyraźnie uwzględnia komputerowe systemy AMS. Przepisy wydane po raz pierwszy w 2008 roku.

    8. OBJAŚNIENIE SKRÓTÓW WYSTĘPUJĄCYCH W TEKŚCIE

    AMS Alarm Management System
    API Alarm Perfomance Indicator (specjalny przypadek KPI)
    DCS Distributed Control System
    DIN Deutsche Industrie Norm, również Deutsches Institut für Normung
    EEMUA Engineering Equipment and Materials Users Association
    HAZOP Hazard and Operability Study
    ISA Instrumentation Systems and Automation Society; w październiku 2008
    roku stowarzyszenie zmieniło nazwę na International Society of Automation
    ITB Instructions to Bidders
    KPI Key Performance Indicator
    NAMUR Normenarbeitsgemeinschaft für Meß- und Regeltechnik in der Chemischen Industrie
    VDE Verband Deutscher Elektrotechniker

    BIBLIOGRAFIA
    [1] HSE Information Sheet; Chemicals sheet No 6
    [2] David Hatch.: Alarms: Prevention is better than cure, tce Magazine 7/2005
    [3] Alarm Management; Current State and Direction for Alarm Management Guidelines; Publikacja ISA na EXPO 2007
    [4] VDI/VDE 3699 Process Control with Screens - Messages; 1998
    [5] Mark McTavish.: Publikacja MATRIKON; Alarm Management for Pipelinens - Part 2. Matrikon Inc. Canada
    [6] D. Shook.: Publikacja MATRIKON; Alarm Management What, Why, Who and How- Matrikon Inc. Canada
    [7] EEMUA 191: Alarm Systems. A Guide to Design, Management and Procurement. 2nd Edition 2007
    [8] Peter Andow: Publikacja HONEYWELL; Alarm Management: Experience, Techniques and Tools; 2004
    [9] Publikacja MATRIKON; An Introduction to Alarm Management for Process Industries; Matrikon Inc. Canada. 2006
    [10] Hollifield, Bill & Habibi, Eddie.: The Alarm Management Handbook. A comperehensive Guide, PAS 2006
    [11] Neil Brown.: Measurement+Control Vol.36/4.5.2003; Alarm Management - The EEMUA Guidelines in Practice
    [12] Publikacja MATRIKON; Alarm Management; Matrikon Inc. Canada. 2006
    [13] Manuel Göpelt.: Automatisierungstechnische Praxis; Störfaktoren Angekreist 5/2007

Źródło: INFOTECH
O nas  ::  Regulamin  ::  Polityka prywatności (Cookies)  ::  Reklama  ::  Mapa stron  ::  FAQ  ::  Kontakt
Ciekawe linki: www.klimatyzacja.pl  |  www.strony.energoelektronika.pl  |  promienniki podczerwieni
Copyright © Energoelektronika.pl