Zgodnie z obowiązującymi przepisami krajowymi i unijnymi, w zakładach dużego ryzyka musi być wdrożony szeroko rozumiany system bezpieczeństwa. Jednym z ważnych elementów zapewnienia bezpieczeństwa jest macierz CEM (macierz przyczyna-skutek ang. Cause & Effect Matrix). Powyższy wykład ma na celu przedstawienie zasad budowy macierzy CEM oraz przykładów zapisu informacji ze wskazaniem ich przydatności na różnych etapach cyklu trwania bezpieczeństwa.
Elementem systemu bezpieczeństwa jest
ocena jego aktualności i skuteczności, z którą wiąże się odpowiednie zarządzanie zmianami. Zakład o dużym ryzyku winien mieć możliwość udowodnienia w każdej chwili, że dokumentacja dotycząca systemu bezpieczeństwa jest aktualna. Zwykle jedną z podstawowych warstw zabezpieczeń jest system SIS (blokadowy system automatyki ang. Safety Interlock/Instrumented/System). Modyfikacje stanu istniejącego lub projektowanie nowych zabezpieczeń często dotyczą systemu automatyki zabezpieczeniowej. System automatyki zabezpieczeniowej często pełni rolę najważniejszego systemu zapobiegającego powstaniu awarii. Przedstawienie zapisu zależności w postaci macierzy przyczyna-skutek (CEM) pozwala zobrazować zdarzenia inicjujące i determinujące wymagane zachowanie się systemu zabezpieczeń.
Macierz przyczyna–skutek często bywa nazywana macierzą bezpieczeństwa (Safety Matrix), a korzystanie z niej pozwala osiągnąć kilka celów jednocześnie:
- posiadamy w zwartej formie udokumentowany zapis podstawowych funkcji systemu automatyki zabezpieczających przed awarią,
- złożone zależności pomiędzy czynnikami inicjującymi i elementami wykonawczymi są proste do zrozumienia, sprawdzenia, przetestowania oraz wprowadzenia zmian.
Budując macierze przyczyna-skutek możemy syntetycznie, w jednej tabeli zawrzeć podstawowe informacje mające bezpośredni związek z bezpieczeństwem instalacji. Przedstawiając rozbudowaną macierz CEM tworzymy narzędzie, które jest wielokrotnie używane w całym cyklu realizacji systemu bezpieczeństwa. Norma IEC 61508 narzuca konieczność analizowania całego cyklu życia bezpieczeństwa (ang. Safety Life Cycle) począwszy od koncepcji systemu bezpieczeństwa aż po jego likwidację; wymusza zarówno dokładne zdefiniowanie i udokumentowanie wymogów bezpieczeństwa jak i dokumentowanie wprowadzanych zmian w czasie projektowania, uruchamiania i eksploatacji systemu SIS. Macierz CEM stanowi niezbędne narzędzie począwszy od zapisu warunków prawidłowego zadziałania blokad i wymagań stawianych systemom bezpieczeństwa przez technologów, a kończąc na wytycznych dla zaprogramowania systemu bezpieczeństwa.
Budowa macierzy
Początkowo macierze przyczyna-skutek używano wyłącznie do definiowania wymagań technologów stawianym automatykom. Konstrukcja najprostszej macierzy pokazana jest poniżej w Tabeli 1.
Najprostsza macierz CEM jest zapisem wymagań stawianych przez technologów układom zapewnienia bezpieczeństwa SIS. Konstrukcja macierzy opiera się na wierszach, w których zapisane są przyczyny i kolumnach, w których zapisane są skutki. Jeśli dana przyczyna wywołuje określony skutek, to w miejscu przecięcia jest zaznaczenie. Przyczynami są wejścia, czyli stany procesu inicjowane np. przez czujniki, sygnalizatory czy przetworniki, a skutkami są wyjścia, czyli wymagane działania organów wykonawczych napędów, zaworów, czy innych zabezpieczeń.
Macierz taka pokazuje jak przyczyna oddziałuje na skutek w czasie awarii. Podstawową wersję macierzy CEM można rozbudować o szczegółowe opisy umożliwiające zdefiniowanie dodatkowych parametrów stanu wejść i wyjść. Przykład macierzy rozbudowanej o wartości blokad i stany elementów wykonawczych pokazano w Tabeli 2.
Dalsza rozbudowa macierzy przyczyna–skutek może polegać na dodaniu do macierzy wymagań dla systemu automatyki zabezpieczeniowej. Macierz możemy uzupełnić o kategorię wymagań nienaruszalności bezpieczeństwa związaną z realizacją konkretnej funkcji blokadowej (SIL-poziom pewności bezpieczeństwa ang. Safety Integrity Level) i opisać sposób reakcji wejścia (inicjatora) na wyjście (skutek). Reakcja ta może być związana z opóźnieniem czasowym skutku w stosunku do przyczyny, może też definiować sposób zaniku skutku w stosunku do przyczyny.
W powiązaniach przyczyny i skutku można zaznaczyć sposób oddziaływania inicjatora na skutek, co może być przydatne w założeniach szczegółowych przy realizacji oprogramowania.
Rozróżniamy następujące typy oddziaływania:
N – działanie proste – skutek zanika z chwilą ustania przyczyny;
R – działanie z resetowaniem – skutek zanika po sygnale „zresetowano”,
O – działanie nadrzędne – skutek zanika w wyniku pojawienia się nadpisania mimo trwania przyczyny
Konstrukcja takiej macierzy pokazana jest poniżej w Tabeli 3.
W Tabeli 4 przedstawiono macierz CEM uzupełnioną o dodatkowe informacje odnoszące się do możliwości zdeblokowania inicjatora do celów rozruchowych lub obsługowych. Można wskazać, dla których obwodów istnieje możliwość blokowania sygnałów inicjujących lub wykonawczych dla celów rozruchu lub obsługi serwisowej; są to zwykle mostki bypassujące (POS – Process Override Service; MOS – Maintenance Override Service). W uwagach mogą być także zamieszczone inne zapisy identyfikujące realizowane funkcje lub stany. Rozbudowując taką macierz o rubrykę rewizji możemy precyzyjnie aktualizować zmiany odnosząc je do określonych momentów czasowych.
Rozbudowana macierz przyczyna-skutek może służyć kilku celom jednocześnie. Jedną z możliwości jest wykorzystanie macierzy CEM do projektowania oprogramowania systemów blokadowych. Wiele firm posiada programy narzędziowe wykorzystujące automatyczne przetworzenie zapisu macierzy CEM na kod programu sterownika. Podejście to jest często rozszerzone na wykorzystanie macierzy CEM do zarządzania bezpieczeństwem instalacji. Istnieją programy narzędziowe umożliwiające zarządzanie każdą fazą cyklu życia bezpieczeństwa.
Narzędzia wspomagają nie tylko tworzenie zapisu wejść/wyjść układów zabezpieczających, ale pozwalają automatycznie przekształcać zapis z formy macierzy na program komputerowy. Taki sposób przetwarzania informacji eliminuje możliwość powstania dodatkowych błędów popełnianych w czasie tworzenia oprogramowania. W oparciu o macierz CEM przeprowadzane są testy sprawdzające zachowanie się układu w warunkach rzeczywistych.
CEM w praktyce
Fundamentalny wymóg normy IEC 61508, związany z zarządzaniem zmianami jest łatwo realizowany ze względu na możliwość przetestowania całego systemu w oparciu o macierz CEM. Wiemy, że każda, nawet najmniejsza zmiana w systemie SIS wymaga przetestowania na nowo całego systemu zabezpieczeń, a nie tylko zmienionego elementu. Macierze CEM rozbudowane o funkcję stanów elementów wejść / wyjść mogą stanowić podstawę interfejsu operatora, zastępując złożone schematy wizualizacji. Tak więc macierz CEM umożliwia przedstawienie wymagań względem systemu SIS, stając się jednocześnie narzędziem do tworzenia oprogramowania, do testowania w czasie prób systemu i do serwisowania systemu. Posługując się macierzą CEM ułatwiamy aktualizację zapisu stanu systemu bezpieczeństwa.
Na zakończenie warto przytoczyć kilka słów na temat realnych korzyści posługiwania się macierzami CEM. Macierze przyczyna-skutek umożliwiają bowiem łatwą aktualizację zmian mających wpływ na bezpieczeństwo oraz ułatwiają dokumentowanie zmian. Redukują przy tym koszty dokumentowania bezpieczeństwa, gdyż zmniejszają wysiłek tworzenia zapisu warunków działania układów blokadowych, testowania, sprawdzania czy przetwarzania danych dla celów sterowania. Wdrażaniem i rozwojem macierzy CEM powinni być więc zainteresowani wszyscy, których interesuje optymalizacja procesów związanych z zachowaniem i poprawą bezpieczeństwa na instalacjach o dużym ryzyku.