Awaria systemu detekcji, a wyłączanie procesu
Systemy detekcji nie są doskonałe i jeszcze długo nie będą. Mimo starań inżynierów urządzenia do pomiaru gazów wymagają wielu czynności serwisowych (przeglądów, kalibracji), są wrażliwe na czynniki zewnętrzne i inne związki chemiczne, a do tego ich komponenty się starzeją. To powoduje, że detekcja gazów może zgłaszać różne komunikaty dotyczące awarii lub wymagań serwisowych. Paradoksalnie nowoczesne systemy zgłaszają ich znacznie więcej niż starsze rozwiązania technologiczne. Czy to znaczy, że są gorsze i częściej sie psują? Niekoniecznie. Starsze systemy były oparte o proste rozwiązania, które często ignorowały wiele błędów i nieprawidłowości w działaniu systemu ponieważ nie było możliwości ich poprawnej diagnostyki.
Przykładowo stare systemy progowe (czyli sygnalizujące jedynie przekroczenie progu alarmowego) nie wskazywały czy detektor poprawnie mierzy poziom zero (czyste powietrze). Wydawałoby się to niepotrzebne, ale jeżeli poziom zerowy detektora się przesunął (np. o 5% zakresu) to próg alarmowy także się przesunął (często o podobną wartość). To tak zwany dryft zera (ang. zero drift). Czy to dużo? Jeżeli nasz zakres pomiarowy wynosi 100% DGW, a pierwszy próg 10% DGW, to zamiast 10% DGW detektor zaalarmuje dopiero przy 15% DGW. Tak to dużo bo aż o 50% więcej niż wynosi zaprojektowany próg alarmowy. W starej technologii użytkownik nie wiedział tego, aż do czasu kolejnej kalibracji czyli przez wiele miesięcy system detekcji mógł działać nieprawidłowo. Nowoczesny cyfrowy system pomiarowy wskazuje poziom i użytkownik od razu widzi, że poziom zera przesunął się. Jeżeli osiągął wartość ujemną poniżej pewnej wartości system wskaże komunikat awaryjny "poniżej zakresu" (ang. under range). To pokazuje, że lepiej jednak wiedzieć i skorygować błąd niż nieświadomie cieszyć się, że system "nic nie pokazuje".
Możliwość identyfikacji rodzaju sensora przez detektor (czy podczas wymiany nie doszło do pomyłki), możliwość identyfikacji typu detektora w centrali czy sygnalizacja przekroczenia zakresu pomiarowego (ang. over range) prowadzącego do rozkalibrowania detektora to tylko niektóre zabezpieczenia nowych systemów, które coraz częściej są budowane zgodnie ze standardami SIL (ang. Safety Integrity Level – poziom bezpieczeństwa integralnego). Dzieki takim rozwiązaniom i certyfikacji SIL eliminowane są "niewidoczne" błędy, które w sytuacji wymagającej zadziałania systemu uniemożliwiłyby prawidłowe zabezpieczenie ludzi lub obiektu.
Eliminowane są także nieprawidłowe konstrukcje funkcjonalne starych systemów jak np. uruchomienie alarmu w przypadku przerwania obwodu detektora (taka sytuacja nie powinna uruchamiać sygnalizacji alarmowej tylko awaryjną), uruchomienie alarmu w przypadku wydłużonego okresu wygrzewania sensora lub wygrzewania po utracie zasilania (takie zdarzenie także nie powinno powodować alarmu systemu detekcji) czy możliwość łatwego odłączenia detektora bez informacji w systemie o jego braku. Do tego dochodzi oczywiście cały zestaw "przypominajek" dla użytkownika o różnych czynnościach serwisowych.
Ewolucję autodiagnostyki systemów detekcji można trochę przyrównać do smartfonów, które potrafią irytować użytkownika "bo znowu wyświetla jakiś komunikat", ale nikt na poważnie nie rozważa powrotu do starych telefonów komórkowych lub telefonii analogowej.
Projektowanie sygnalizacji awarii systemu detekcji
Skoro więc jest tak dobrze to po co w ogóle o tym pisać? Ponieważ powyższe zmiany oznaczają znacznie więcej komunikatów techniczno-serwisowych systemów detekcji, które najczęściej widziane są jako zapalenie diody awarii (ang. FAULT) i wyjścia sterującego awarii, które często jest tylko jedno dla wszystkich rodzajów komunikatów awaryjnych i serwisowych. Tym samym projektując systemy detekcji (szczególnie dla infrastruktury krytycznej) należy dobrze przemyśleć schemat sterowania. Jeżeli zabezpieczenie obiektu wymaga przerwania procesu to oczywiście powinno to być realizowane w najwyżsym 3-cim lub 4-tym poziomie alarmowym po wyczerpaniu poziomów ostrzegawczych lub wstępnie zabezpieczających (np. wentylacji). Natomiast sygnalizację awarii należy traktować jako funkcję informacyjną dla obsługi. Przykładowo wyłączanie agregatu, czy zatrzymywanie procesu produkcyjnego z powodu awarii systemu detekcji nie ma uzasadnienia ani w regulacjach prawnych, normach czy praktyce inżynierskiej dlatego, że usterka systemu detekcji nie wpływa na poprawną pracę tych instalacji, a jedynie eliminuje jedno z zabezpieczeń jakim jest system detekcji. To obsługa powinna podjąć decyzję o ewentualnym zastosowaniu innego rodzaju zabezpieczenia (np. detekcji przenośnej) i dalszej eksploatacji lub prowadzenia procesu.
Jeżeli jakiś rodzaj infrastruktury wymaga niezawodności wszystkich elementów do swojej pracy to stosuje się najczęściej redundatne układy (np. drugi generator jeżeli pierwszy zawiedzie). I tak samo w przypadku systemu detekcji jeżeli wymagana jest jego najwyższa niezawodność to oprócz wymogu poziomu bezpieczeństwa SIL warto rozważyć zapewnienie dodatkowej ochrony (np. podwójne detektory, wymienne sensory czy możliwość kalibracji na obiekcie). W innym przypadku proste komunikaty techniczne lub serwisowe mogą znacznie utrudnić funkcjonowanie obiektu.
Współczesne systemy raczej posiadają jedną zbiorczą sygnalizację komunikatów awaryjnych, serwisowych i technicznych oraz jedno wyjście sterujące co nie daje możliwości rozdzielenia sterowania w zależności od typu komunikatu. W przypadku systemów MSR PolyGard2 jest jednak jeszcze dostępne wyjście RS485 Modbus RTU, które umożliwia przesyłanie pełnych danych do systemu nadzorującego obiekt BMS (ang. Building Management System) wykorzystujące oprogramowanie typu SCADA (ang. Supervisory Control And Data Acquisition). Następnie system zarządzania może rozdzielić np. komunikaty serwisowe od awaryjnych i zdecydować jaki rodzaj awarii będzie skutkował jedynie powiadomieniem obsługi, a jaki zatrzymaniem pracy danej instalacji czy obiektu.
Cyfrowe rozwiązania technologiczne kolejny raz otwierają nowe możliwości i zapewniają lepszą ochronę użytkowników i obiektów, a przecież o bezpieczeństwo właśnie chodzi.
Informacje podane w artykule mają charakter poglądowy. P.T.SIGNAL oraz autor nie biorą odpowiedzialności za ich wykorzystywanie w jakikolwiek sposób w jakimkolwiek celu.
© Copyright Michał Domin P.T.SIGNAL 2023 Niniejszy artykuł objęty jest prawem autorskim. Kopiowanie, udostępnianie lub wykorzystywanie całości lub fragmentów bez zgody autora jest zabronione. Znaki towarowe, nazwy i loga użyte w artykule są własnością odpowiednich podmiotów i mogą być objęte stosowną ochroną prawną.
Ilustracje: Michał Domin
Zdjęcia z archiwum P.T.SIGNAL
Aktualizacja: 09.2023