In una delle maggiori raffinerie italiane la forte sensibilità alle problematiche della sicurezza di esercizio ha indotto il top management a porsi e a raggiungere un importante obiettivo: la prevenzione di incidenti rilevanti nello specifico ambito di un'unità di Reforming Catalitico di tipo ciclico. Un Reforming Catalitico è un'unità di raffineria atta alla conversione di benzine a basso numero di ottano per la produzione di benzine ad alto numero di ottano senza piombo. In un'unità di Reforming Catalitico di tipo ciclico sono previsti cicli di sole 60-80 ore per la rigenerazione del catalizzatore di ciascun reattore di Reforming Catalitico con una sequenza assai complessa di operazioni, sia dal punto di vista delle manovre, sia dei tempi di esecuzione, ma anche ad elevata criticità dal punto di vista della pericolosità dei fluidi e delle condizioni normali operative e di rigenerazione stessa. La priorità dell'obiettivo di 'sicurezza totale', pilastro portante della politica Hse aziendale, ha sin dalle prime battute del progetto orientato le scelte tecniche verso l'adozione di una soluzione mirata alla prevenzione dell'evento incidentale e pertanto alla riduzione del rischio attraverso l'abbattimento delle frequenze di accadimento dell'evento incidentale a valori di non credibilità. Un sistema sequenziale, costituito da un sistema strumentale di sicurezza, gemellato ad un sistema permissivo, anch'esso costituito da un sistema strumentale di sicurezza, entrambi basati su un risolutore logico Tmr (Triple Modular Redundancy) 'fault-tolerant' certificato fino a Sil 3, ha rappresentato la soluzione tecnica più soddisfacente dal punto di vista dei requisiti di esercizio e di sicurezza. Essendo la raffineria operante in Italia, tra i requisiti imposti per l'implementazione dei sistemi sequenziale e permissivo, quali sistemi strumentali di sicurezza (Sis), è stato fissato il pieno rispetto alla normativa Cei En 61511 e Cei En 61508. Quest'ultima è resa cogente anche dai Res fissati dalla Direttiva Ped il cui soddisfacimento impone l'impiego delle norme armonizzate a supporto della direttiva Ped, e tra queste, la norma Uni En 764-7 riguardante i sistemi di sicurezza per attrezzature a pressione non esposte a fiamma, che impone per gli stessi la conformità alla norma Cei En 61508.
Al cuore del sistema
Il cuore del nuovo sistema sequenziale-permissivo gemellato è rappresentato da due plc Tmr di tipo 'fault-tolerant', modello Triconex Tricon della Invensys Process Systems, certificato Tüv per applicazioni fino a Sil 3, in piena conformità alle norme En Iec 61508 ed En Iec 61511.
Alla base del progetto l'obiettivo primario di ridurre il rischio associato alle operazioni di rigenerazione catalizzatore e riattivazione essiccatore dell'unità di Reforming Catalitico, nel pieno rispetto della legislazione vigente sulla salute, la sicurezza e l'ambiente. Dopo una dettagliata valutazione dei requisiti funzionali del sistema sequenziale-permissivo gemellato è stato stabilito un piano di gestione della sicurezza funzionale, al fine di raggiungere la piena conformità del sistema gemellato alle norme Cei En 61508 e Cei En 61511, a partire dalla fase di gestione e implementazione del progetto stesso. In particolare, è stato messo a fuoco quanto stabilito dalle norme a proposito della completa segregazione tra il sistema di controllo (nello specifico, il sistema sequenziale) e il sistema strumentale di sicurezza (nella fattispecie, il sistema permissivo). Altra importante innovazione introdotta è stata la verifica eseguita del sistema sequenziale di tutti i comandi d'apertura e di chiusura delle valvole di blocco motorizzate (Mbv) attuabili dall'operatore da quadro in modalità manuale per ragioni di sicurezza. Nella modalità manuale, solo i comandi d'apertura e di chiusura Mbv ammissibili per il sistema sequenziale sono passati alla verifica del sistema permissivo, per ottenere il consenso all'esecuzione prima del comando stesso, del tutto indipendentemente dal sistema sequenziale. Al fine di migliorare la sicurezza complessiva del sistema è stato aggiunto un triplo consenso per energizzare le Mbv, il cui segnale di comando di apertura e/o di chiusura è tagliato, rispettivamente, in caso di mancato consenso del sistema sequenziale e/o in caso di mancato consenso del sistema permissivo e/o in caso di mancato consenso da parte dell'operatore (selettore a chiave a quadro). La funzione d'inibizione del sistema sequenziale da parte del sistema permissivo in caso d'attivazione di una logica di blocco è stata resa bilaterale tramite una funzione indipendente d'inibizione del sistema permissivo da parte del sistema sequenziale, nel caso di rilevazione da parte di quest'ultimo di anomalie, discrepanze e deviazioni. Sono stati introdotti selettori a chiave fisici dei Mos e un selettore a chiave generale dei Mos (Mka) per effettuare la manutenzione delle Mbv in sicurezza. È stata definita a livello software la matrice di tutte le configurazioni Mos ammissibili (tipicamente una sola Mbv su due Mbv in configurazione double block, non più di due Mbv sulla stessa sezione), ma anche prevedendo l'interdizione di un comando d'apertura o di chiusura di una Mbv in accordo al tipo di Mos attivato (ad esempio, sui fine corsa di chiusura o di apertura), fissando altresì i tempi massimi d'inserimento Mos (un turno) e verificando la congruità con i requisiti Mos del Tüv.
L'intervallo dei test di prova fuori-linea è stato fissato in relazione a tutti i componenti delle funzioni strumentali di sicurezza (Sif), sulla base dei requisiti operativi e manutentivi in essere, e pertanto contribuendo in partenza a mantenere la conformità alle norme Cei En 61508 e Cei En 61511 durante tutto il ciclo di vita del sistema (esercizio, manutenzione e testing).
Si è esaminato in dettaglio, dal punto di vista della sicurezza funzionale, il sistema d'alimentazione e distribuzione elettrica, incluso ups e Mcc, come pure il sistema di messa a terra, allo scopo di definire completamente le modalità dei guasti interessanti componenti e sotto-sistemi, e di valutare le conseguenze e il livello di diagnostica.
È stata definita l'architettura di comunicazione sia tra i due plc Tmr Triconex Tricon, basata sul modulo ridondato di comunicazione intelligente avanzata con protocollo di comunicazione certificato Tüv sino a Sil 3, sia tra entrambi i plc Tmr con il Dcs esistente, anche in tal caso con modulo ridondato. È stata definita in dettaglio l'interfaccia uomo-macchina allo scopo di minimizzare il rischio di errori di manovra causati da problemi di ergonomicità e migliorare i tempi di risposta dell'operatore dal punto di vista della sicurezza, sia in operazione normale, che in emergenza. La segregazione dei due sistemi in piena conformità con le norme Cei En 61508 e Cei En 61511 è stata concepita e adottata per raggiungere l'obiettivo del fattore di riduzione del rischio (Rrf) richiesto per ciascuna funzione strumentale di sicurezza (Sif) attuata dal sistema permissivo in accordo alla specifica dei requisiti di sicurezza (Srs). A seguito di una prima valutazione preliminare della sicurezza funzionale (Fsa), è stato introdotto un ulteriore miglioramento, dal punto di vista della sicurezza, nel caso di operazioni di apertura e chiusura Mbv condotte in modalità manuale dall'operatore. È stata infatti introdotta la modalità operativa definita come manuale 'assistita': quando si attiva tale modalità, il sistema sequenziale valuta automaticamente la consistenza di tutti i comandi multipli (due o più) di apertura e di chiusura Mbv lanciati da quadro dall'operatore. Ogni comando d'apertura o di chiusura Mbv in modalità manuale, manuale 'assistita' oppure semiautomatica è prima processato dal sistema sequenziale e poi verificato dal sistema permissivo. Solo previo consenso di entrambi i sistemi viene eseguito un comando lanciato di apertura o chiusura Rbv.
Un po' di sicurezza in più non guasta
Un'ulteriore misura di miglioramento della sicurezza di esercizio è stata l'introduzione di un pulsante di conferma operatore per tutti i comandi di apertura e chiusura Mbv lanciati in semiautomatico dal sistema sequenziale per ogni reattore, come pure l'introduzione di un selettore a chiave installato a quadro e attuato dall'operatore per togliere o per dare alimentazione da Mcc agli attuatori motorizzati delle Mbv. In tal caso, nessuna Mbv potrà essere azionata dal sistema sequenziale, anche in presenza di consenso all'operazione da parte del sistema permissivo, senza il consenso (monitorato e registrato a Dcs) dell'operatore.
L'impiego di relé certificati Tüv per applicazioni sino a Sil 3 ha comportato una significativa riduzione del rateo di guasto attribuibile ad ogni funzione strumentale di sicurezza in cui tali dispositivi hanno trovato impiego (taglio alimentazione da Mcc agli attuatori motorizzati Mbv). Analogamente, il feedback del lancio dei comandi d'apertura e di chiusura delle Mbv è stato realizzato con la rilettura da parte del sistema sequenziale dello stato di ciascun relé di comando d'apertura e di chiusura Mbv. In tal modo lo stato d'eccitazione di ogni relé di comando dovrà corrispondere al rispettivo comando lanciato dal sistema sequenziale in semiautomatico o dall'operatore in manuale, attraverso il sistema sequenziale stesso, ottenendo come risultato l'aumento della capacità diagnostica dei guasti in tempo reale e l'azzeramento del tempo di ricerca guasti (riduzione Mttr effettivo). Per ritorno informativo inconsistente, quale ad esempio un relé che cambia di stato in assenza di comando, il sistema sequenziale taglia automaticamente (in logica 2oo3D) l'alimentazione da Mcc a tutti gli attuatori motorizzati delle Mbv.
Le logiche di cui sopra prevengono qualsiasi operazione non consentita in modalità semiautomatica, manuale e manuale assistita. In tal modo, nessun comando d'apertura o di chiusura Mbv potrà essere eseguito senza un triplo consenso (operatore, sistema sequenziale, sistema permissivo). Le posizioni d'apertura e di chiusura Mbv in ingresso al sistema permissivo sono state configurate in logica 2oo3D comportando così la riduzione d'interblocchi causati da guasti spuri e l'aumento della copertura diagnostica dei guasti dei fine corsa, abbassando drasticamente il tempo di rilevazione del guasto (riduzione Mttr effettivo).
L'adozione esclusiva di moduli I/O a tripla ridondanza modulare del sistema permissivo e del sistema sequenziale ha ulteriormente innalzato il livello d'affidabilità di ciascun risolutore logico, così come confermato dal calcolo secondo Markov condotto per verificare il Pfh di entrambi i plc Tmr Triconex Tricon.
Un passaggio importante
Un altro passo fondamentale in merito alla sicurezza funzionale ai fini della riduzione degli errori sistematici è stato il criterio d'assegnazione degli I/O ai moduli d'ingresso e uscita di entrambi i plc Tmr Triconex Tricon affrontato con approccio multidisciplinare, sulla base di fattori a volte sottesi quali la segregazione dei segnali critici, la minimizzazione dei ratei di guasto comune, la manutenzione facilitata e a prova di errore. Le comunicazioni tra il sistema sequenziale-permissivo e il Dcs, di tipo esclusivamente 'read-out', sono state implementate con l'obiettivo di migliorare la disponibilità e la leggibilità delle informazioni rese agli operatori. Esse includono in particolare lo stato d'apertura e di chiusura Mbv, lo stato d'attivazione dei Mos, lo stato d'attivazione di inibizione del sistema, lo stato di attivazione degli interblocchi, lo stato di avanzamento di fase delle sequenze, lo stato di esecuzione delle sequenze, gli allarmi di processo, gli allarmi di sistema, gli allarmi di alimentazione, gli allarmi di incongruenza dello stato dei fine corsa Mbv, la diagnostica di sistema e delle Mbv. L'implementazione del software applicativo tramite il tool Triconex TriStation 1131 è stata eseguita, verificata e validata in conformità alla norma Cei En 61511. Per tutte le sequenze si è fatto ricorso solo ad un linguaggio di tipo Lvl, implementato tramite librerie Fbd certificate Tüv. L'autodocumentazione, l'emulazione e i livelli di accesso di security completano le caratteristiche più salienti dell'implementazione software. La validazione del software applicativo è stata condotta eseguendo il test completo di tutte le sequenze e di tutte le logiche permissive simulando il 100% dei segnali digitali e analogici.
Piena conformità alle norme
Le sequenze di shutdown del sistema sequenziale e del sistema permissivo sono state implementate in conformità al manuale di sicurezza del risolutore logico Triconex Tricon al fine di verificare il pieno accordo ai requisiti della degradazione tollerabile imposti dall'ente notificato Tüv in relazione alla classe di riferimento Sil 3 dei risolutori logici. In accordo alla normativa italiana in materia è stata condotta un'attività di formazione e informazione del personale di esercizio molto completa, con l'ausilio di un simulatore coprente il 100% dei segnali di ingresso e uscita, utilizzando anche tutte le Hmi realmente impiegate, quali pannelli, sinottici, comandi Mbv, quadri di segnalazione, quadri Mos, video-pagine a Dcs sequenze, stato Mbv e Mos, allarmi e diagnostica. Gli specialisti di manutenzione sono stati sottoposti ad addestramento sui componenti dei sistemi, sulla diagnostica del plc Tmr Triconex Tricon e dei componenti delle funzioni strumentali di sicurezza, della rilevazione guasti e delle procedure di test fuori linea. È stata condotta prima dell'avviamento dallo scrivente, in qualità di esperto accreditato Tüv di sicurezza funzionale indipendente dal team di implementazione del progetto, la valutazione della sicurezza funzionale (Fsa) di tutte le funzioni strumentali di sicurezza (Sif), inclusi i sensori e gli elementi finali, così come stabilito dalle norme Cei En 61508 e Cei En 61511 per poter dichiarare la piena conformità del sistema strumentale di sicurezza alle norme stesse. Il risultato finale della valutazione della sicurezza funzionale può essere sintetizzato nell'aver stabilito con evidenza documentale che “tutte le Sif risultano conformi alle norme Cei En 61508 e Cei En 61511, e che ognuna di esse raggiunge il livello d'integrità della sicurezza fissato nella specifica dei requisiti di sicurezza (Srs) come obiettivo (Sil 3 classe alta)”. In accordo alla norma Cei En 61511, è stata infine prevista l'esecuzione di una valutazione della sicurezza funzionale periodica, con una cadenza che sarà fissata non appena sarà stata accumulata sufficiente esperienza operativa e manutentiva sui sistemi implementati.
Ridurre il rischio
Per tutte le modalità operative (semiautomatica, manuale, manuale assistita) è stato innalzato il livello di sicurezza globale effettivo dell'unità di Reforming Catalitico riducendo il rischio d'incidente rilevante tramite l'impiego di due sistemi strumentali di sicurezza indipendenti, agenti il primo sulla riduzione della frequenza dell'evento iniziatore, il secondo sulla riduzione della frequenza dell'evento incidentale stesso. Concludendo, è necessario tenere ben presente che, essendoci una rigenerazione ogni 60-80 ore, la domanda d'intervento del sistema permissivo per errori di manovra può potenzialmente portarsi a valori teoricamente prossimi ad una domanda per anno (alta domanda), rendendo in tal modo l'impiego di un solo sistema strumentale di sicurezza non sufficiente a ridurre il rischio a livelli di non credibilità.