Řešení nedokumentovaných změn provozních zařízení

-- 25.04.10 21:06

Nejpopulárnější předmět diskuse v roce 2009 ve skupinách společnosti Control Engineering na sociálních sítích Facebook a LinkedIn vyplynul z následujícího diskusního příspěvku: „Měli by operátoři mít volnou ruku k provádění vlastních změn nastavení přístrojové techniky, nebo by to mělo být předmětem formálnějšího změnového managementu?“ Jen v naší diskusní skupině na síti LinkedIn toto téma vyvolalo přes 100 komentářů. Tato diskuse se rozvinula poté, co jsme slyšeli o rostoucím počtu případů, kdy operátoři nastavovali přístroje v provozu – obvykle proto, aby omezili obtěžující alarmy, ale bez toho, aby provedli odpovídající změnu v databázi.

Když k tomu dojde, nikdo jiný o změně neví, a pokud se proces navázaný na některý z těchto přístrojů kvůli této změně dostane mimo své předepsané parametry, jeho náprava může být velmi složitá, protože v databázi není o této změně žádná zmínka. Abychom tuto širokou diskusi shrnuli, shromáždil jsem některé z význačných argumentů a seskupil je do čtyř oblastí, kam spadala většina komentářů – dopad na řídicí prvky, přístrojová technika a programové nástroje, postupy a konečná odpovědnost.

Dopad na řídicí prvky

Skutečnost, že tolik otázek zabudovaného řízení lze ovlivnit nepromyšlenými a nezdokumentovanými změnami přístrojové techniky, vedla Allana Gibsona, hlavního poradce a technika pro funkční bezpečnost společnosti Invensys, k vyjádření, že provádění změn vyladění a evidování těchto změn je „jedním z kritických úkolů“ operátora. „Bez důkladné analýzy by se neměly provádět žádné změny nastavení alarmů,“ uvedl Gibson. „Pokud alarm je tak nevýznamný a tolik obtěžující, že operátoři dostanou zelenou k jeho změně, pak bychom se na prvním místě měli zeptat: Proč tady vůbec tento alarm existuje? Alarmy by vždy měly ukazovat na ztrátu kontroly a žádný alarm by neměl být nainstalován bez automatizované vrstvy řízení bránící jeho spuštění za normálních provozních podmínek.

Časté alarmy jsou známkou buď chybného řídicího systému, nebo chybné strategie přístrojové techniky, a v obou případech by náprava takové situace měla být prvořadou prioritou pro přístrojového technika nebo technika distribuovaných řídicích systémů (DCS engineer).“ Tony Atkinson, hlavní bezpečnostní poradce společnosti ABB, poznamenal, že alarmy související s žádanými hodnotami procesu nebo parametry jiné proměnné, jsou často kandidáty na to, aby operátoři přímo manipulovali s prahovými hodnotami alarmů, a to z důvodu nedostatečné diferenciace úrovně přístupu v alarmových systémech. Pokud se například změní specifikace suroviny nebo produktu, může se změnit také práh alarmu v souladu s novými procesními podmínkami,“ uvedl Atkinson.

U takových případů chápe důvod pro jejich nastavování operačním týmem v rámci určité „odlehčené verze“ změn nastavení, kdy by nová nastavení alarmu byla definována zároveň s plánovanými změnami procesních podmínek, jsou definována formálním postupem nebo specifikací a jsou implementována formou kontrolního seznamu. „Tento problém vzniká tím, že mnoho alarmových systémů nerozlišuje úrovně povoleného přístupu k prahům alarmů podle kritičnosti,“ říká Atkinson. „Umožníte-li přístup k jednomu alarmu, často umožňujete přístup ke všem alarmům a jakákoli diferenciace musí být čistě procedurální. Vzhledem k tomu bych se přikláněl k větší opatrnosti a neumožňoval bych operátorům přístup k alarmovým prahům, dokud nebude zaveden fungující systém údržby a změnového managementu.“

Bill Hollifield, hlavní konzultant společnosti PAS pro správy alarmů a HMI, argumentuje proti jakýmkoli takovým změnám, protože správného vyladění je dosahováno inženýrskou metodikou, nikoli intuicí. „Povolit operátorům měnit nastavení znamená, že operátor přicházející na směnu nemá nejmenší tušení, jak jsou stovky alarmů nastaveny,“ uvedl Hollifield. „Nastavení individuálních preferencí pro alarmové limity vede ke zhoršení optimalizace procesu, způsobuje procesní variacezávislé na směnách, zavádí neodůvodněné alarmy, přispívá ke vzniku lavin alarmů, a proto není v souladu se zásadami nejlepší praxe. A protože nastavení zabezpečení pro změny prahu alarmů není vždy účinné, je to důvod, proč se stalo běžným využívání automatizovaných auditových  a vymáhacích mechanismů pro zajištění náležitých prahů alarmů.“

Přístrojová technika a programové nástroje

Zvýšení variability výsledku operací je další příčinou obav v případě, že operátoři nastavují provozní zařízení, aniž by zanesli změny do databáze. Charles Cohon, prezident a zakladatel společnosti Prime Devices, nabízí tento příklad: „Operátor montážní linky je odpovědný za vyvrtání otvoru do kruhového prostoru o poloměru půl palce. Jestliže operátor vyvrtá otvor na extrémním levém okraji tolerance, instinkt mu říká, že by se měla vrtačka přestavit o půl palce doprava,  protože „díra se zdála tak daleko od středu.“ Tím, že se bude vrtačka přestavovat pokaždé, když se otvor dostane na extrémní okraj tolerančního rozmezí, tolerance se změní z kruhu o poloměru půl palce na kruh o poloměru jeden palec.

Jinak řečeno, operátor, který se honí za optimálním výsledkem, ve skutečnosti zvyšuje rozsah potenciálních výsledků (variabilitu) čtyřnásobně.“ I když skoro všichni souhlasí s tím, že specifické procesy a postupy by měly mít přednost před jakýmikoli změnami provozních zařízení, většina se shodne na tom, že určitá schopnost měnit parametry je nutným zlem. „Ze svého působení v chemické továrně ve velmi vlhkém a proměnlivém klimatu vím, že pokud by operátoři neměli určitou kontrolu nad procesním průtokem a teplotou, proces by se často zastavoval,“ uvedl Glenn Hutson, koordinátor zajištění shody s předpisy společnosti BP Exploration. „Viděl jsem řídicí pulty, kde ke kritickým procesním ovládacím prvkům měl přístup pouze procesní technik s klíčem (ano,  skutečným fyzickým klíčem). Podobný bizarní, ale účinný příklad byla situace, kdy přístrojový technik odpojil číselník přístroje úplně.

Operátoři jej však nadále vesele nastavovali s přesvědčením, že to způsobuje změny.“ Jon McClain, vedoucí projektant elektrických zařízení a softwaru společnosti ATI, uvedl, že „tento problém operátorského oprávnění byl otázkou u uživatelského softwaru po dlouhou dobu – již od doby, kdy produkty na bázi mikrořadičů začaly nahrazovat starší analogové produkty. Starší analogové produkty jste často viděli uzamčené ve větší skříni. Pro zachování kontrolní pravomoci nad změnami nastavení a kalibrací u produktů na bázi mikrosoučástek většina přístrojů v našem oboru využívá určitý druh několikaúrovňové kontroly heslem a přihlašovací postupy, které evidují provádění jakýchkoli změn systému.“

McClain připomíná, že tato metoda „v žádném případě není neprůstřelná, ale zastaví běžného uživatele. Může vám rovněž pomoci zjistit, která osoba provádí změny. Ovšem hesla nakonec někdo může odhalit. A narušení zahrnující obejití hesel a podobně, lze účinně řešit jen na osobní úrovni.“ Skutečnost, že specifikace HART (komunikační rozhraní Highway Addressable Remote Transducer) zahrnují ochranu zápisu pro inteligentní zařízení, připomněl Mike Boudreaux, produktový manažer společnosti Emerson Process Management.

„Zařízení HART můžete ochránit před zápisem, a tento stav zařízení lze sledovat prostřednictvím systému správy výrobních prostředků. V režimu ochrany proti zápisu není možné provádět změny kalibrace pomocí ručního komunikátoru.“ Boudreaux rovněž poznamenal, že softwarové produkty, jako je QuickCheck Snap-On společnosti Emerson, mohou generovat zprávu ukazující, která zařízení jsou momentálně v režimu ochrany proti zápisu „a tím usnadňovat kontrolu zařízení HART pro nalezení nechráněných zařízení“.

Procesy a postupy

Většina komentářů v této diskusi se soustředila na řešení této otázky prostřednictvím dobře promyšlených a povinných procedurálních požadavků. Někteří členové skupiny šli dokonce tak daleko, že sdíleli své pokyny, aby pomohli ostatním přezkoumat nebo vypracovat jejich vlastní požadavky. Další navrhovali blíže se podívat na schopnosti vlastní některým technologiím řízení, které již mohou být zavedeny v provozu uživatele. Jeden z příspěvků přidal Arif Mustafa, ředitel Yokogawa Middle East pro Kuvajt. Mustafa uvedl, že některé technologie řízení pomáhají řešit operátorské změny v provozu na operátorské stanici prostřednictvím následujících opatření:

1. Jasné definování kritických a nekritických smyček, zámků apod., na základě úrovní závažnosti.

2. Použití softwaru pro správu výrobních prostředků k interakci s inteligentní provozní přístrojovou technikou pomocí protokolů HART, Foundation Fieldbus nebo Profibus.

3. Určité změny v provozu na úrovni přístrojů lze šířit prostřednictvím „naváděcích zpráv operátora“ nebo upozornění na události DCS (Distributed Control Systems – distribuované řídicí systémy). Operátoři mají přehled o těchto změnách a integrované programové vybavení pro správu výrobních prostředků a operátorské programové vybavení DCS lze použít pro synchronizaci všech změn provedených v provozu jakožto dat událostí.

4. Také inteligentní provozní přístrojovou techniku lze použít pro „uzamknutí“ určitých parametrů nebo nastavení „prahu“ povolení pro definované změny (tj. systém může zablokovat přístup někomu, kdo provádí změnu v provozu, která by mohla mít nepříznivý dopad na předchozí nebo následný proces).

5. Také protokoly operátorských stanic poskytují přehled o datech alarmů a událostí se souvisejícími značkami o tom, co, kde, kdy a kým bylo provedeno.

Leslie Parchomchuk, prezident společnosti ClearSky Risk Management, poskytl pragmatický soubor pokynů. „Začněte s prioritizací alarmů a přezkoumáním zdůvodnění alarmů, abyste zjistili, které alarmy jsou kriticky významné pro bezpečnost a integritu procesu (bezpečnostní limity) a které jsou alarmy regulované veličiny přispívající k vyšší efektivitě procesu,“ uvedl Parchomchuk. „Při možnostech vydávat alarm pro každý bod DCS je mnoho závodů zahlceno vysokým počtem alarmů a mnoho z nich jen zbytečně obtěžuje. Kritické, havarijní a prioritní alarmy bezesporu musí být předmětem postupů změnového managementu, a měly by být uzamčeny pro změny ze strany operátorů.

Jiné ukazatele DCS mohou mít flexibilní alarmové meze nastavované samotnými operátory. Tím získáváte výhodu zabezpečení provozních limitů fixními alarmovými mezemi, ale zároveň možnost pro operátory provozovat své procesy efektivně.“ Někteří vidí těžiště diskuse spíše v tom, kde lze změny povolit a kde by rozhodně nesměly být přípustné. „Podle mých zkušeností operátoři dostávají oprávnění/možnost měnit parametry řízení, pouze pokud jde o procesy, a v žádném případě a žádným způsobem by neměli mít přístup ke kalibraci nebo bezpečnostním parametrům,“ uvedl Scott Mahler, odborník v oblasti výroby elektrických a elektronických zařízení. „Operátoři budou hledat a nacházet cesty jak obejít nepohodlná omezení. Ale jakékoli změny v kalibraci nebo bezpečnostních parametrech by měly být řešeny prostřednictvím náležitých kanálů a zdokumentovány.“

Herman Storey, technologický ředitel společnosti Herman Storey Consulting, považuje otázku neoprávněných a neevidovaných změn provozních zařízení za problém na úrovni systému i na úrovni zařízení a říká, že oba případy spadají do kategorie neřízených nebo nekontrolovaných pracovních procesů. Storey dodává, že za svého působení viděl mnoho projektů, kde byly alarmy nastaveny v posledních okamžicích (během zprovozňování) bez náležitého technického přezkoumání. „Poté již nebyl zaveden žádný další systém pro ověření, zda jsou alarmy nastaveny správně,“ dodává. „Někdy jsou změny rozsahu přístrojů prováděny stejným způsobem.

V konečném důsledku jde o selhání managementu, ale obecně jsou v DCS zahrnuty databázové nástroje pro uchovávání zálohy a obnovení nastavení, která jsou uvnitř systému. Často však není implementován komplexní způsob uchovávání všech metadat souvisejících s nastavením alarmu, jako je důvod, proč je zde alarm zaveden, co chrání a jaký jedinečný zásah má operátor provést, pokud alarm bude aktivní. Při absenci komplexního nástroje a systému správy je oprávnění podružnou otázkou.“ Otázku náležitého oprávnění Storey dále rozvádí a píše, že povolené změny mohou být stejně problematické jako nepovolené změny. Mnoho firem „dá technikům ruční komunikátor a řekne jim, aby ‚dali do pořádku‘ provozní zařízení,“ uvádí Storey.

„Tento komunikátor se používá pro odstraňování problémů a správu konfigurace obvykle prováděné v provozu na základě informací, které má příslušný technik v hlavě. Často zde není žádný připojený systém pro řízení konfigurace zařízení nebo získávání diagnostických hlášení. Přesnost konfigurace pomocí ručních konfigurátorů je velmi nízká a ovlivňuje provozní přesnost a režimy selhání. Tento problém s oprávněnými pracovníky provádějícími povolené úkoly s pomocí neadekvátních nástrojů může vést k výsledkům, které jsou stejně špatné jako neoprávněné zásahy.“

Storey uvedl, že zaznamenal, že „většina vlastníků/operátorů má rozsáhlou instalovanou základnu systémů, které nemají dobré podpůrné nástroje pro správu selhání výrobních prostředků, pracovníků nebo pracovních procesů tam, kde jsou nástroje nainstalovány.“Co tedy tito vlastníci/provozovatelé pro řešení tohoto problému dělají? Storey říká, že s ohledem na tento problém nadále snižují náklady.

Konečná odpovědnost

S názory na toto téma, sahajícími od nepřípustnosti takových změn až po zplnomocnění operátorů provádět náležitá rozhodnutí díky školení, komunikaci a lepším systémům a postupům, přichází otázka: Kdo má konečnou odpovědnost za nápravu problému s nedokumentovanými změnami provozních zařízení? „Je odpovědností řídicího technika naprogramovat systém tak, aby umožňoval bezpečný provoz a zároveň maximalizoval volnost uchovávat systém v chodu… tečka!“ řekl Jerold Aulph, programový manažer společnosti Battery Management Systems & Automation. „Vyvolávání ducha bezpečnosti a citování čísla OSHA (Occupational Safety and Health Administration – agentura pro bezpečnost a ochranu zdraví) systém nezastaví před rozpuštěním.

Nastavte režimy pro selhání procesu a proveďte analýzu na začátku návrhové fáze projektu, abyste mohli navrhnout systém, který je odolný vůči selhání, omezí přístup operátorů na bezpečnou úroveň, a tím jim umožní být bezpečnými operátory.“ Marc Houwelijckx, vedoucí technik řízení procesů společnosti Total, má rozhodně jiný názor. „Jakožto řídicí technik nejsem odpovědný za vnější přístrojovou techniku,“ říká. „Jsem však výrazně závislý na tom, zda ostatní odvedou dobrou práci, jinak je veškeré mé vylaďování ztrátou času.“ Duane Mahnke, prezident společnosti DBMahnke Consulting, říká, že operátoři jsou více ochotni spolupracovat, pokud znají důsledky svých zásahů a jsou součástí procesu nápravy daného problému.

„Prostřednictvím finančních či jiných motivačních opatření lze dosáhnout toho, že předstoupí a ohlásí změny nebo nesnáze, kterým musí čelit při výkonu své práce,“ uvedl Mahnke. „Bez motivačních opatření a při nutnosti chodu bez odstávek mají tendenci provádět zásahy, které jim to usnadňují a neohlašují je, protože nechtějí, aby nikdo věděl, že (v zájmu efektivity) dělají něco, co by dělat neměli. Má-li projektant systému a vedoucí pracovníci dobrou komunikaci s operátory a povzbuzují je k tomu, aby byli součástí „týmu“ a získali za to uznání, bude k těmto věcem docházet méně často.

Ce

David Greenfield je vedoucí redakce časopisu Control Engineering; david.greenfield@reedbusiness.com