Politechnika Gdańska

Politechnika Gdańska
Wydział Elektrotechniki i Automatyki
Katedra Automatyki
Bezpieczeństwo funkcjonalne
Z3-4: Bezpieczeństwo funkcjonalne – koncepcja,
normy, definicje, wymagania i kryteria
Kazimierz Kosmowski
k.kosmowski@ely.pg.gda.pl
WEiA PG, marzec 2011
Zakres wykładu
• Norma bezpieczeństwa funkcjonalnego PN-EN 61508
• Koncepcja bezpieczeństwa funkcjonalnego
• Cykl życia / trwania bezpieczeństwa
• Graf ryzyka i określanie wymaganego SIL
• Zmniejszanie ryzyka za pomocą rozwiązań
bezpieczeństwa funkcjonalnego
• Rodzaje pracy systemów E/E/PE i kryteria
probabilistyczne
• Sektorowe normy bezpieczeństwa funkcjonalnego
• Modele probabilistyczne podsystemów systemów
• Warstwy zabezpieczeniowo-ochronne w nawiązaniu do
PN-EN 61511
• Przykłady powiązań systemów BPCS i SIS
2
Systemy zarządzania w obiekcie przemysłowym
podwyższonego ryzyka
Cele
System zarządzania
przedsiębiorstwem
System zarządzania
bezpieczeństwem
informacji
System zarządzania
jakością
System zarządzania
środowiskowego
System zarządzania
bezpieczeństwem
technicznym i pracy
Kryteria
Surowce,
półprodukty
Media
robocze
Informacja
Energia
w różnej formie
Zakłócenia
Zautomatyzowana
instalacja procesowa
Zagrożenia
Produkcja -
koszty C
Obciążenie
środowiska
Potencjalne
straty*
Ryzyko R
Ocena ryzyka dla celów
ubezpieczeń
* straty: zdrowotne, środowiskowe lub ekonomiczne
Zarządzanie bezpieczeństwem w cyklu życia: analiza zagrożeń, identyfikacja scenariuszy
awaryjnych, kryteria, ocena ryzyka, ocena opcji sterowania ryzykiem, implementacja opcji.
3
Systemy zarządzania i przykładowe normy dotyczące
jakości, ochrony środowiska i bezpieczeństwa
Systemy zarządzania bezpieczeństwem informacji i normy związane:
PN-ISO/IEC 27001:2007
ISO/IEC 17799:2005
ISO/IEC 15408:2005
ISO/IEC 13335:2004
Systemy zarządzania jakością
PN-EN ISO 9001:2001/ 2008
Systemy zarządzania środowiskowego
PN-EN ISO 14001:2005
Systemy zarządzania bezpieczeństwem technicznym oraz
bezpieczeństwem (i higieną) pracy:
PN-EN 61508:2004
PN-EN 61511:2005 – przemysł procesowy i inne normy sektorowe
PN-N 18001:2004, PN-EN 18002:2000 – systemy zarządzania
bezpieczeństwem (i higieną) pracy.
Potrzeba integrowania systemów zarządzania w praktyce.
4
Systemy warunkujące niezawodność i bezpieczeństwo
obiektu przemysłowego podwyższonego ryzyka
Przykład systemu zabezpieczającego zbiornik
ciśnieniowy od wysokiego poziomu (L) i/lub
wysokiego ciśnienia (P)
8. Obiekty współpracujące,
infrastruktura i środowisko
13. Systemy kontroli dostępu,
ochrona i zabezpieczenia
14. Telekomunikacja i sieć
komputerowa
Automatyczny
obwód
zabezpieczający
HPS
102
12. Nadzór
techniczny
i administracyjny
11. Realizacja
strategii w ramach
SZP
4. Systemy
sterowania
7. Systemy automatyki
zabezpieczeniowej
2. Systemy pomocnicze
i systemy zabezpieczeń
1. Instalacja procesowa
3. Systemy
pomiarowe
9. Systemy
rejestracji danych
eksploatacyjnych
i środowiskowych
oraz zakłóceń
wewnętrznych
i zewnętrznych
IA
Automatyczny
System
Zabezpieczający
HLS
101
LIC-
103
6. Sterownia - nadzór operatorski
i systemy wspomagania decyzji
5.Systemy monitorowania,
diagnostyki i alarmów
10. Wypracowanie strategii eksploatacji w ramach SZP
(jakość produkcji, niezawodność i bezpieczeństwo)
Zabezpieczenie zbiornika od
wysokiego poziomu i/lub ciśnienia
5
6

Przykład układu automatycznej funkcji bezpieczeństwa
z jednym czujnikiem
Przykład układu automatycznej funkcji bezpieczeństwa
z podukładem czujników w konfiguracji 1oo2
Czujnik
Układ
logiczny
Element
wykonawczy
System
logiczny
IPF
HLS
101
Układ
logiczny
(PLC)
SOV
Zawór
elektromagnetyczny
SDV
HLS
101
HLS
107
SOV
SDV
7
8
Rola systemów sterowania i automatyki zabezpieczeniowej
wzłożonych obiektach przemysłowych i instalacjach technicznych
Bazowa norma bezpieczeństwa funkcjonalnego:
IEC 61508:1999 / EN 61508:2001 / PN-EN 61508:2004
Bezpieczeństwo funkcjonalne „systemów elektrycznych /
elektronicznych / programowalnych elektronicznych” związanych
z bezpieczeństwem
W skrócie – „systemy E/E/PE” lub „E/E/PES”
Części normy:
1 Wymagania ogólne
2 Wymagania dotyczące systemów E/E/PE związanych
z bezpieczeństwem
3 Wymagania dotyczące oprogramowania
4 Definicje i skrótowce
5 Przykłady metod określania poziomów nienaruszalności
bezpieczeństwa
6 Wytyczne do stosowania IEC 61508-2 i IEC 61508-3
7 Przegląd technik i miar (w j. angielskim: IEC 61508-7)
(Całość ok. 450 stron)
10
Wymagania
techniczne
CZĘŚĆ 1
Opracowanie ogólnych wymagań
bezpieczeństwa (koncepcja, określenie
zakresu, analiza zagrożeń i ryzyka)
(systemy E/E/PE związane
z bezpieczeństwem, systemy zwiazane
z bezpieczeństwem wykonane w innych
technikach i zewnętrzne urządzenia do
zmniejszenia ryzyka)
CZĘŚĆ 5
od 7.1 do 7.5
Podejścia do
opracowania wymagań
bezpieczeństwa oparte
na analizie ryzyka
CZĘŚĆ 1
Przypisanie wymagań bezpieczeństwa
w systemach E/E/PE związanych
z bezpieczeństwem
CZĘŚĆ 7
7.6
Przegląd technik
i sposobów
CZĘŚĆ 6
Wytyczne do
Faza realizacji Faza realizacji
stosowania
systemów E/E/PE oprogramowania
części 2 i 3
związanych z związanego z
bezpieczeństwem bezpieczeństwem
CZĘŚĆ 2
CZĘŚĆ 3
CZĘŚĆ 1
Instalowanie i wprowadzenie do ruchu
oraz walidacja bezpieczeństwa systemów
E/E/PE związanych z bezpieczeństwem
7.13 i 7.14
CZĘŚĆ 1
Eksploatacja i obsługa, modyfikacje
i odnowa, wyłączenie z eksploatacji
i likwidacja systemów E/E/PE związanych
z bezpieczeństwem
od 7.15 do 7.17
Ogólny schemat normy
PN-EN 61508
Struktura normy i prezentacja
treści miejscami złożona
Inne
wymagania
Definicje
i skrótowce
CZĘŚĆ 4
Dokumentacja
Rozdział 5 i
załącznik A
CZĘŚĆ 1
Zarządzanie
bezpieczeństwem
funkcjonalnym
Rozdział 6
CZĘŚĆ 1
Ocena
Bezpieczeństwa
Funkcjonalnego
Rozdział 8
CZĘŚĆ 1
Struktura normy
IEC 61508:2010
zmieniona - mniej
zawiła
11
Określenie wymaganego poziomu SIL funkcji związanej
z bezpieczeństwem na podstawie grafu ryzyka
Punkt
wyjściowy
oceny
ryzyka
CA
CB
CC
CD
FA
FB
FA
FB
FA
FB
PA
PB
PA
PB
PA
PB
PA
PB
W3 W2 W1
a
1
2
3
4
b
---
a
1
2
3
4
---
---
a
1
2
3
W – prawdopodobieństwo
zdarzenia niepożądanego
Parametry ryzyka:
C – dotyczący konsekwencji/
skutków
F - dotyczący częstości i czasu
ekspozycji
P - dotyczący możliwości
uniknięcia sytuacji
zagrożenia
--- brak wymagań
bezpieczeństwa
a - brak specjalnych wymagań
bezpieczeństwa
b - pojedynczy E/E/PE jest
niewystarczający
1, 2, 3, 4 – poziomy
nienaruszalności
bezpieczeństwa (SIL)
Uwaga: Norma PN-EN 61508 traktuje ten graf jako przykładowy. Graf należy zdefiniować
i dostosować do danego przypadku instalacji i odpowiednio skalibrować (dla danego
rodzaju strat: ludzkich, środowiskowych i majątkowych). Zasadne może okazać się
określanie SIL na podstawie zdefiniowanej matrycy ryzyka.
12

Przykładowe wartości parametrów grafu ryzyka
wnawiązaniu do IEC 61511
Przykładowe jakościowe definiowanie parametrów
grafu ryzyka
Parameter Kategoria parametru Zakres i wartość
reprezentatywna
W – prawdopodobieństwo
zdarzenia
niepożądanego
N – liczba
poszkodowanych
(ogólnie C-niekorzystny
skutek)
F – prawdopodobieństwo
ekspozycji
P – prawdopodobieństwo
niepowodzenia
w uniknięciu sytuacji
zagrożenia
( 10 -2 , 10 -1 ] - 3·10 -2
W 1
W 3 ( 10 0 , 10 1 ] - 3·10 0
W 2
( 10 -1 , 10 0 ] - 3·10 -1
C A
C B
C C
C D
Minor injuries
( 10 -2 , 10 -1 ] - 3·10 -2
( 10 -1 , 10 0 ] - 3·10 -1
( 10 0 , 10 1 ] - 3·10 0
F A
( 10 -2 , 10 -1 ] – 3·10 -2 (max 0.1)
F B ( 10 -1 , 10 0 ] - 3·10 -1 (max 1.0)
P A
( 10 -2 , 10 -1 ] – 3·10 -2 (max 0.1)
P B ( 10 -1 , 10 0 ] - 3·10 -1 (max 1.0)
13
Parametr ryzyka
Skutek (C)
Częstość /czas
ekspozycji w strefie
zagrożenia (F)
Możliwość uniknięcia
sytuacji zagrożenia (P)
C A
C B
C C
C D
F A
F B
P A
P B
Prawdopodobieństwo W 1
zdarzenia niepożądanego
(W)
W 2
W 3
Znaczenie
Nieliczne obrażenia
Poważne obrażenia jednej lub więcej osób
Kilka osób poszkodowanych śmiertelnie
Wiele osób poszkodowanych
Rzadka ekspozycja w strefie zagrożenia
Częsta do stałej ekspozycja w strefie
Wokreślonych warunkach
Raczej nie występuje
Bardzo małe prawdopodobieństwo
wystąpienia zdarzenia
Małe prawdopodobieństwo wystąpienia
zdarzenia
Stosunkowo duże prawdopodobieństwo
wystąpienia zdarzenia
14
Kategrie:
Poszkodow. →
Częstość↓
W 3 [a -1 ], F e
(1 , 10]
Częste
W 2 [a -1 ], F d
(10 -1 , 1]
Prawdopod.
W 1 [a -1 ], F c
(10 -2 , 10 -1 ]
Sporadycz.
W 0 [a -1 ], F b
(10 -3 , 10 -2 ]
Rzadkie
W -1 [a -1 ], F a
(10 -4 , 10 -3 ]
B.rzadkie
Przykładowa macierz ryzyka i określanie wymaganego
SIL funkcji systemu SIS dla różnych parametrów ryzyka
N A
(10 -3 ,10 -2 ]
Obrażenia
a
N B
(10 -2 , 10 -1 ]
Więcej obrażeń
SIL3 z
SIL2 y ; ↓10 -3
SIL1 x
SIL2 z
SIL1 y ; ↓10 -2
a x
SIL1 z
a y ; ↓10 -1
N C
(10 -1 , 1]
Pojedyn.poszk.
SIL4 z
SIL3 y ; ↓10 -4
SIL2 x
SIL3 z
SIL2 y ; ↓10 -3
SIL1 x
SIL2 z
SIL1 y ; ↓10 -2
- x a x
N D
(1 , 10]
Kilku poszkod.
b z
SIL4 y ; ↓10 -5
SIL3 x
SIL4 z
SIL3 y ; ↓10 -4
SIL2 x
SIL3 z
SIL2 y ; ↓10 -3
SIL1 x
SIL1 z
SIL2 z
a y ; ↓10 -1 SIL1 y ; ↓10 -2
a x
N E
(10 , 10 2 ]
Wielu poszkod.
b z
b y
b x
b z
SIL4 y ; ↓10 -5
SIL3 x
SIL4 z
SIL3 y ; ↓10 -4
SIL2 x
SIL3 z
SIL2 y ; ↓10 -3
SIL1 x
SIL1 z
SIL2 z
a y ; ↓10 -1 SIL1 y ; ↓10 -2
a x
Rozszerzona macierz ryzyka z regułami określania wymaganego SIL systemu SIS (IEC 61511)
x SIL (SIS) jeśli F A P A = 10 -2 ; y SIL (SIS) if F A P B = 10 -1 (F B P A = 10 -1 ); z SIL (SIS) jeśli F B P B = 1 15
Zmniejszanie ryzyka w nawiązaniu do koncepcji
bezpieczeństwa funkcjonalnego systemu E/E/PE
Ryzyko
resztkowe
Częściowe ryzyko
pokryte przez
systemy
bezpieczeństwa
innej technologii
Ryzyko
tolerowane
Częściowe ryzyko
pokryte przez
systemy E/E/PE
związane z
bezpieczeństwem
Ryzyko związane
z EUC
Rt = Ft N
Rnp = Fnp N
ΔR = Rnp - Rt
Wymagana redukcja ryzyka
Możliwa redukcja ryzyka
Częściowe ryzyko
pokryte przez
zewnętrzne środki
redukcji ryzyka
Redukcja ryzyka uzyskana przez wszystkie systemy związane
z bezpieczeństwem i zewnętrzne środki redukcji ryzyka
Ryzyko
wzrasta
Współczynnik wymaganego względnego zmniejszenie ryzyka za pomocą
E/E/PES (N=const): R
F
r = Rt
/ Rnp
= Ft
/ Fnp
= r = PFDavg
Krotność wymaganego zmniejszenia częstości PFD – prawdopodobieństwo
F
F
niezadziałania na przywołanie
k = Fnp
/ Fp
= 1/ r = 1/
PFDavg
PFD avg ma związek z poziomem nienaruszalności bezpieczeństwa SIL
16
System elektryczny, elektroniczny, programowalny
elektroniczny (E/E/PES) związany z bezpieczeństwem
Interfejsy wejściowe
(np. przetworniki A-C)
A. We
Urządzenia wejściowe
(np. czujniki)
Komunikacja
B. Programowalne
urządzenie
elektroniczne
Zasilanie
Interfejsy wyjściowe
(np. przetworniki C-A)
C. Wy
Urządzenia wyjściowe
(np. elementy wykonawcze)
‣ System E/E/PE ma realizować funkcje związane z bezpieczeństwem
‣ Podsystemy A, B i C składają się z elementów / modułów uszkadzających się
(może wystąpić niesprawność funkcjonalna niebezpieczna lub bezpieczna)
‣ Aby zmniejszyć niegotowość stosuje się, jeśli to uzasadnione, nadmiarowość
strukturalną w podsystemach A, B, C (np. 1oo2, 2oo3)
‣ Formułuje się wymagania i kryteria probabilistyczne dla systemu E/E/PE.
17
Cykl całkowity życia (trwania) bezpieczeństwa
Według PN-EN 61508
Etap
REALIZACJI
(dostawca /
integrator /
użytkownik)
Planowanie całkowite
Planowanie Planowanie Planowanie
6 użytkowania 7 walidacji 8 instalowania
i obsługi bezpieczeństwnia
do
i wprowadze-
ruchu
1
2
3
4
5
9
Koncepcja
Określenie całkowite
zakresu
Analiza zagrożeń
i ryzyka
Wymagania całkowite
bezpieczeństwa
Alokacja
bezpieczeństwa
Systemy związane
z bezpieczeństwem:
E/E/PE
Realizacja
(zob. cykl życia
bezpieczeństw
a E/E/PE)
Etap
ANALIZY
(projektant /
integrator /
odbiorca)
Systemy związane Zewnętrzne środki
10 11
z bezpieczeństwem
do zmniejszenia
w innych
ryzyka
technikach
Realizacja
Realizacja
Zainstalowanie
12 i wprowadz. do ruchu
Powrót do odpowiedniej
Etap
Całkowita walidacja
fazy cyklu życia
13 bezpieczeństwa
bezpieczeństwa
UŻYTKOWANIA
(użytkownik /
Użytkowanie, obsługa
14 i naprawa 15 Modyfikacje i odnowa
dostawca /
serwisant) 18
Wyłączenie z ruchu
16 lub likwidacja

Podstawowe definicje i skrótowce (PN-EN 61508-4)
Szkoda - fizyczny uraz lub pogorszenie stanu zdrowia ludzi, tak
bezpośrednie jak i pośrednie, wynikające ze szkody w majątku lub
w środowisku [ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]
UWAGA: Ta definicja ma zastosowanie przy wykonywaniu analizy zagrożeń i ryzyka. Jeśli
jej zakres należy rozszerzyć (na przykład w celu włączenia szkód środowiskowych,
które mogą nie wywoływać uszkodzenia fizycznego lub nadwyrężenia zdrowia),
wymagałoby to odpowiedniego uwzględnienia takiego przypadku w fazie Analizy
Całkowitej Bezpieczeństwa (zob. 7.3 w IEC 61508-1).
Zagrożenie - potencjalne źródło szkody [Przewodnik ISO/IEC 51:1990]
UWAGA: Ten termin obejmuje niebezpieczeństwo dla osób, powstające w krótkim czasie
(na przykład pożar lub wybuch), a także niebezpieczeństwo długotrwale oddziałujące na
zdrowie osób (na przykład wskutek wydzielania substancji toksycznych).
Sytuacja zagrożenia - sytuacja, w której osoba jest narażona na
zagrożenie lub zagrożenia.
Zdarzenie zagrażające - sytuacja zagrażająca, której wynikiem jest
szkoda.
Ryzyko - kombinacja prawdopodobieństwa wystąpienia szkody
iciężkości tej szkody [ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]
19
Definicje i skrótowce (PN-EN 61508-4) c.d.
Ryzyko tolerowane - ryzyko akceptowane w określonym kontekście
opartym na aktualnych wartościach społecznych
Ryzyko resztkowe - ryzyko pozostające po zastosowaniu środków
bezpieczeństwa
Bezpieczeństwo - niewystępowanie ryzyka nieakceptowanego
Bezpieczeństwo funkcjonalne -część bezpieczeństwa, odnosząca się do
wyposażenia sterowanego EUC (equipment under control) i systemu
sterowania EUC, która zależy od prawidłowego działania systemów
E/E/PE związanych z bezpieczeństwem, systemów związanych
z bezpieczeństwem wykonanych w innych technikach i zewnętrznych
środków zmniejszenia ryzyka.
20
System i funkcja bezpieczeństwa (PN-EN 61508-4)
System - zestaw elementów współdziałających zgodnie z projektem,
w którym element systemu może być innym systemem, zwanym
podsystemem; zestaw ten może być systemem sterującym lub
systemem sterowanym i może obejmować sprzęt, oprogramowanie
i współdziałanie człowieka
Uwaga: Człowiek może być częścią systemu związanego z bezpieczeństwem.
Na przykład człowiek może otrzymywać informacje z urządzenia
programowalnego elektronicznego i realizować działania bezpieczeństwa
oparte na tych informacjach lub realizować działania bezpieczeństwa poprzez
urządzenie elektroniczne programowalne.
Funkcja bezpieczeństwa - funkcja do zaimplementowania przez system
E/E/PE związany z bezpieczeństwem, system związany
z bezpieczeństwem wykonany w innej technice lub zewnętrzne
urządzenie do zmniejszenia ryzyka, której przeznaczeniem jest
osiągniecie lub utrzymanie stanu bezpiecznego EUC, w odniesieniu
do konkretnego zdarzenia zagrażającego
Podstawowe wymagania bezpieczeństwa funkcjonalnego
Termin: związany z bezpieczeństwem (safety-related) - do opisu systemu,
który projektuje się do wypełniania danej funkcji lub kilku funkcji w celu
utrzymania ryzyka na akceptowanym poziomie.
Funkcje takie są z definicji funkcjami bezpieczeństwa.
Występują dwa rodzaje podstawowych wymagań związanych z osiąganiem
bezpieczeństwa funkcjonalnego:
• wymagania dotyczące danej funkcji bezpieczeństwa (co ta funkcja
ma realizować w czasie) oraz
• wymagania nienaruszalności bezpieczeństwa –dotyczące pewności
realizacji funkcji wyrażanej za pomocą prawdopodobieństwa
oszacowanego jakościowo lub ilościowo, że dana funkcja będzie
realizowana właściwie w odniesieniu do założeń projektowych
i specyfikacji technicznej.
21
22
Nienaruszalność bezpieczeństwa i poziom
nienaruszalności bezpieczeństwa SIL (PN-EN 61508-4)
Nienaruszalność bezpieczeństwa - prawdopodobieństwo, że system
związany z bezpieczeństwem wykona w sposób zadowalający
wymagane funkcje bezpieczeństwa, w określonych warunkach
i w zadanym czasie.
Zaleca się, aby przy ustalaniu nienaruszalności bezpieczeństwa wziąć pod uwagę wszystkie
przyczyny uszkodzeń (tak przypadkowe uszkodzenia sprzętu, jak i uszkodzenia
systematyczne), które prowadzą do stanu niebezpiecznego, na przykład uszkodzenia
sprzętu, uszkodzenia wprowadzane przez oprogramowanie i uszkodzenia spowodowane
zakłóceniami elektrycznymi. Niektóre z tych rodzajów uszkodzeń, w szczególności
przypadkowe uszkodzenia sprzętu, mogą zostać wyrażone ilościowo przez podanie miar,
np. intensywności uszkodzeń niebezpiecznych lub prawdopodobieństwa, że system
ochronny/zabezpieczający związany z bezpieczeństwem zawiedzie podczas pracy na
przywołanie. Należy jednak pamiętać, że nienaruszalność bezpieczeństwa systemu
zależy także od wielu czynników, które nie mogą być ściśle wyrażone liczbowo i mogą być
rozpatrywane tylko jakościowo.
Poziom nienaruszalności bezpieczeństwa (SIL - safety integrity level)
poziom dyskretny (jeden z czterech możliwych) do wyszczególnienia
wymagań nienaruszalności bezpieczeństwa funkcji bezpieczeństwa,
które powinny być przypisane w systemach E/E/PE związanych
z bezpieczeństwem; poziom nienaruszalności bezpieczeństwa 4 jest
poziomem najwyższym, a poziom nienaruszalności bezpieczeństwa
1 jest poziomem najniższym.
23
Rodzaje pracy systemu E/E/PE według PN-EN 61508
Rodzaj pracy - przewidziany sposób pracy systemu związanego
z bezpieczeństwem, odniesiony do częstości jego przywołań do
działania:
– rzadkiego przywołania: gdy częstość przywołań systemu
związanego z bezpieczeństwem do działania nie przekracza
jednego na rok i nie przekracza dwukrotnej częstości testów
okresowych;
– częstego przywołania do działania lub ciągły: gdy częstość
przywołań do działania systemu związanego z bezpieczeństwem
jest większa od jednego na rok i większa niż dwukrotna częstość
testów okresowych.
24

Poziomy nienaruszalności bezpieczeństwa: miary
docelowe (kryterialne) uszkodzeń funkcji bezpieczeństwa
Tolerancja uszkodzeń przykładowych architektur
podsystemów i przykładowa realizacja głosowania
Średnie prawdopodobieństwo
niewypełnienia funkcji na
przywołanie PFD avg - rodzaj
pracy rzadkiego przywołania
SIL
(LDM)
4 [ 10 -5 , 10 -4 ) [ 10 -9 , 10 -8 )
3 [ 10 -4 , 10 -3 ) [ 10 -8 , 10 -7 )
2 [ 10 -3 , 10 -2 ) [ 10 -7 , 10 -6 )
1 [ 10 -2 , 10 -1 ) [ 10 -6 , 10 -5 )
Poziom
nienaruszalności
bezpieczeństwa
Prawdopodobieństwo
uszkodzenia niebezpiecznego
na godzinę PFH - rodzaj pracy
częstego przywołania lub
ciągły (HDM)
PFD avg - probability of failure on demand (avg – average)
PFH - probability (frequency of dangerous failure) per hour
LDM - low demand mode
HDM - high demand mode
25
Architektura
1oo1
1oo1D
1oo2
2oo2
2oo3
2oo2D
1oo2D
1oo3
Tolerancja
uszkodzeń
0
0
1
0
1
0
1
2
1oo1
1oo2
1oo2D
2oo2
2oo3
Diag
Diag
26
Nienaruszalność bezpieczeństwa sprzętu: ograniczenia
architektoniczne podsystemów związanych z bezpieczeństwem
typu A i (typu B)
Udział uszkodzeń
bezpiecznych S ff
< 60 %
60 % - < 90 %
90 % - < 99 %
≥ 99 %
Tolerowane uszkodzenia sprzętu N oznacza, że N+1 uszkodzeń
spowoduje utratę funkcji bezpieczeństwa
S
ff
Tolerowane uszkodzenia sprzętu N
podsystemy typu A i (typu B)
0
SIL1 (-)
SIL2 (SIL1)
SIL3 (SIL2)
SIL3 (SIL3)
SIL2 (SIL1)
SIL3 (SIL2)
SIL4 (SIL3)
SIL4 (SIL4)
∑ λS
+ ∑λDD
) ( ∑λS
+ ∑
= λ )
(
D
SIL3 (SIL2)
SIL4 (SIL3)
SIL4 (SIL4)
SIL4 (SIL4)
S – uszkodzenia bezpieczne
D – uszkodzenia niebezpieczne
DD – uszkodzenia niebezpieczne niewykrywalne 27
1
2
Zarządzanie bezpieczeństwem funkcjonalnym:
analiza (1-3), realizacja (4-6) i użytkowanie (7-9)
1. Analiza zagrożeń i ocena ryzyka w złożonym obiekcie technicznym
2. Zdefiniowanie funkcji związanych z bezpieczeństwem
3. Określenie wymaganego poziomu SIL dla poszczególnych funkcji na
podstawie ilościowej lub jakościowej analizy ryzyka
4. Wstępny dobór architektury systemu E/E/PE (lub SIS)
zuwzględnieniem ograniczeń architektonicznych
5. Weryfikacja SIL funkcji realizowanej przez dany system w odniesieniu
do przedziałowych kryteriów probabilistycznych na podstawie wyników
modelowania probabilistycznego (istotne znaczenie mają: pokrycie
diagnostycznego i uszkodzenia zależne w podsystemach)
6. Projektowanie systemu E/E/PE z weryfikacją skuteczności
realizowanych funkcji wraz z projektem oprogramowania i interfejsu
operatorskiego, opracowanie procedur diagnostycznych
7. Instalowanie systemu E/E/PE i jego finalna walidacja
8. Eksploatacja systemu E/E/PE, wypracowanie strategii okresowego
testowania i obsługi profilaktycznej urządzeń/podsystemów
9. Modyfikacja lub modernizacja systemu E/E/PE w czasie z ewentualną
korektą realizowanych funkcji i wymaganego poziomu SIL.
28
Przydzielanie wymagań bezpieczeństwa systemom
związanym z bezpieczeństwem (PN-EN 61508)
Specyfikacja wymagań, projekt, integracja i walidacja
E/E/PES (faza realizacji cyklu życia)
Metoda określania
wymagań
dotyczących
nienaruszalności
bezpieczeństwa
a) konieczne
zmniejszenie
ryzyka
Przypisanie każdej funkcji bezpieczeństwa
i skojarzonych wymagań nienaruszalności
bezpieczeństwa
System E/E/PE związany
Systemy związane z bezpieczeństwem
wykonane
System z bezpieczeństwem
E/E/PE związany
z bezpieczeństwem
#1
Zewnętrzne środki do
w innych technikach
zmniejszenia ryzyka
#2
9.1 Specyfikacja wymagań dla E/E/PES
9.1.1. Specyfikacja 9.1.2. Specyfikacja
wymagań funkcji wymagań poziomu
bezpieczeństwa bezpieczeństwa
b) konieczne
zmniejszenie
ryzyka
System E/E/PE związany
z bezpieczeństwem
#1
E/E/PE związany
z bezpieczeństwem
#2
9.2. Planowanie walidacji
bezpieczeństwa E/E/PES
9.3. Projekt i opracowanie
E/E/PES
c) poziomy
nienaruszalności
bezpieczeństwa
System E/E/PE związany
z bezpieczeństwem
#1
System E/E/PE związany
z bezpieczeństwem
#2
9.4. Integracja E/E/PES
9.5. Procedury użytkowania
i obsługi E/E/PES
Odnośnie do wymagań projektowych dotyczących poszczegolnych
systemów E/E/PE związanych z bezpieczeństwem - zob. IEC 61508-2
Uwaga: Realizacja danej funkcji może być przypisana więcej niż jednemu systemowi
związanemu z bezpieczeństwem. Podsystemy systemu E/E/PE lub SIS mogą
realizować więcej niż jedną funkcję związaną z bezpieczeństwem.
29
9.6. Walidacja
bezpieczeństwa E/E/PES
Cykl życia (bezpieczeństwa)
systemu E/E/PE
Poz. 12 Poz. 14
Cykl całkowity życia systemu związanego
z bezpieczeństwem
30

Specyfikacja wymagań, projekt, integracja i walidacja
oprogramowania E/E/PES (faza realizacji cyklu życia)
9.2. Planowanie walidacji
bezpieczeństwa oprogram.
Cykl życia (bezpieczeństwa)
oprogramowania
9.1 Specyfikacja wymagań
bezpieczeństwa oprogramowania
9.1.1. Specyfikacja 9.1.2. Specyfikacja
wymagań funkcji wymagań poziomu
bezpieczeństwa bezpieczeństwa
9.3. Projekt i opracowanie
oprogramowania
9.4. Integracja sprzętu
i oprogramowania
9.6. Walidacja
bezpieczeństwa oprogr.
9.5. Procedury użytkowania
i modyfikacji oprogram.
Poz. 12 Poz. 14
Cykl całkowity życia systemu związanego
z bezpieczeństwem
31
Parametry modeli probabilistycznych elementów
w systemie zabezpieczeń
λ -intensywność uszkodzeń podsystemu [h -1 ]
λ = λ S
+ λ D
λ S - intensywność uszkodzeń bezpiecznych (S) [h -1 ] λS
= FS ⋅λ
λ D - intensywność uszkodzeń niebezpiecznych (D)[h -1 ] λD
= ( 1−
FS)
⋅λ
FS -udział uszkodzeń bezpiecznych
λ
D
= λDD
+ λDU
λ
DC - pokrycie diagnostyczne
DD
DC =
λD
λ DD - intensywność uszkodzeń D wykrywalnych (D) przez
automatyczne testy diagnostyczne [h -1 ] λ DD
= DC ⋅λ
D
= DC( 1−
FS)
⋅λ
λ DU - intensywność uszkodzeń D niewykrywalnych (U) przez
automatyczne testy diagnostyczne [h -1 ] λDU
= ( 1−
DC)
⋅λD
= (1 − DC)(1
− FS)
⋅λ
λ SD -intensywność uszkodzeń S wykrywalnych (D) [h -1 ] λ = DC ⋅λ
= DC ⋅ FS ⋅λ
λ SU -intensywność uszkodzeń S
niewykrywalnych (U) [h -1 ]
SD
SD
λ = (1 − DC ) ⋅λ
= (1 − DC ⋅ FS ⋅λ
S
SD
SU SD S
SD
)
32
Wyznaczanie PFD avq podsystemu
Funkcja niegotowości podsystemu, którego stan uszkodzenia
niebezpiecznego może być wykryty tylko podczas okresowego testu
Przyjmując
PFD
avg
PFD( t)
= 1 − exp[ −λ
⋅ DU
t]
λ ⋅ t ≤ 0.1 PFD ( t ) ≅ λ ⋅
DU
DU
t
TI
1 TI
= ∫ PFD(
t)
dt ≅ λDU
t dt 0. 5λDUT
0
I
T
∫ ⋅ =
0
Interwały testu kontrolnego T I przyjmuje się o wartościach (PN-EN 61508): 168 h (jeden tydzień); 730 h
(jeden miesiąc), 2190 h (trzy miesiące), 4380 h (sześć miesięcy), 8760 h (jeden rok), 17520 h (dwa
lata), 43800 h (pięć lat) lub 87600 h (dziesięć lat).
Forma rozszerzona wzoru z uwzględnieniem trzech składowych PFD avg
PFD ≅ PFD + PFD + PFD
avg
FT
avg
gdzie składowe PFD są związane z ograniczoną skutecznością: testu funkcjonalnego (FT – functional
test), testu automatycznego (AT – automatic test) oraz błędem człowieka (HE – human error).
33
I
AT
avg
HE
Modelowanie probabilistyczne systemu E/E/PE -
podsystem o strukturze 1oo1 (PN-EN 61508)
λDU
tc1 = T1/2 + MTTR
Kanał
(podsystem)
Diagnostyka
Przy założeniu, że intensywność uszkodzeń niebezpiecznych stanowi 50%
intensywności uszkodzeń całkowitej λ
D
= λDU
+ λDD
= λ / 2
λDU
= λD ( 1−
DC)
λD
tCE
λDD
tc2 = MTTR
t
λDU
= t
λDD
+ t
λDU
=
T1
λDD
( + MTTR) + MTTR
λD
λD
λD
2
λD
CE
c1
c2
T 1 –czas między testami;
MTTR – średni czas naprawy.
T1
PFD G , 1oo1
≅ λ
DtCE
≅ λDU
( + MTTR) + λDDMTTR
2
PFH
G,1oo1
= λ
DU
34
Kanał
Diagnostyka
Kanał
Modelowanie probabilistyczne systemu E/E/PE -
podsystem o strukturze 1oo2 (PN-EN 61508)
1oo2
λ DU
λDU
λDU
T1
λDD
tGE
= ( + MTTR) + MTTR
λ 3
λ
D
D
λD
tCE
λD
tGE
λ DD
λ DD
Wspólna przyczyna
uszkodzenia CCF
2
T1
PFDG, 1oo2
≅ 2 [(1 − β
D
) λDD
+ (1 − β ) λDU
] tCEtGE
+ β
DλDDMTTR
+ βλDU
( + MTTR)
2
PFH G
2 β t + β λ + β λ
2
, 1oo2
≅ [(1 −
D
) λDD
+ (1 − β ) λDU
]
CE
D
T 1 –czas między testami;
MTTR – średni czas naprawy;
β -współczynniki uszkodzeń
zależnych od wspólnej przyczyny
(CCF – common cause failure).
DD
DU
35
Modelowanie probabilistyczne przykładowej struktury systemów SIS
Przeciętne prawdopodobieństwo
niewypełnienia funkcji bezpieczeństwa na
przywołanie dla struktury 2 z 3:
Kanał
IEC 61508-6 (graf Markowa):
2
TI
PFDavg
2z3
≈ 6[(1 − β
D
) λDD
+ (1 − β ) λDU
] tCEtGE
+ β
DλDDMTTR
+ βλDU
( + MTTR)
2
λDU
TI
λDD
λDU
TI
λDD
tCE
≈ ( + MTTR)
+ MTTR;
tGE
≈ ( + MTTR)
+ MTTR;
β = 2β
D
λD
2
λD
λD
3
λD
Cięcia minimalne MC (metoda I):
λ SD
2
2 TI
2 TI
PFDavg 2z3
≅ 3((1 − β ) λD)
( + TI
MTTR + MTTR ) + βλDU
( + MTTR)
λ S
3
2
S – safe
λ SU
FTA (metoda II):
λ
D - danger
2
2 T
λ
I
2 TI
DD
PFDavg 2z3
≈ 3λD
( + TI
MTTR + MTTR ) + βλDU
( + MTTR)
λ D
3
2
T I –czas między testami;
Pokrycie diagnostyczne DC [%]: SD – safe detected λ DU
MTTR – średni czas naprawy;
SU – safe undetected
λDD
DC = ⇒ λDD
= DC ⋅ λ DD – danger detected
D
β - współczynnik uszkodzeń
λD
DU – danger undetected
zależnych.
36
Kanał
Kanał
Diagnostyka
2oo3

1
SIL1
Przykłady obliczeniowe
2
SIL2
5
SIL3
1-2-5
SIL?
1. Wyznaczyć poziom SIL struktury szeregowej
systemu E/E/PE (elektrycznego/ elektronicznego/
programowalnego elektronicznego) metodą
jakościową i zweryfikować ten poziom metodą
ilościową, przyjmując przeciętne wartości
prawdopodobieństwa na przywołanie PFDavg
(probability of failure on demand – average) równe
średniej geometrycznej przedziałowych wartości
kryterialnych według PN-EN 61508.
Niezawodność oprogramowania - rozszerzony model V
cyklu życia oprogramowania
System
Wymagania
zaakceptowan
y
Analiza
Specyfikacja
Walidacja
wymagań
Testów
systemu
Specyfikacja
System
Protokół
Inspekcja
wymagań
zintegrowany testów
1
SIL1
3
SIL2
2
SIL2
4
SIL2
1-2
SIL?
3-4
SIL?
5
SIL3
5
SIL3
6
SIL2
8
SIL3
6-7
SIL?
8-9
SIL?
7
SIL1
9
SIL1
1-9
SIL?
2. Wyznaczyć wynikową wartość prawdopobieństwa
niewypełnienia funkcji przez ten system na
przywołanie PFD avg :
(a) metodą jakościową,
(b) metodą ilościową schematów blokowych RBD,
(c) metodą ilościową na podstawie MCS.
Jaki poziom nienaruszalności bezpieczeństwa SIL
odpowiada uzyskanej wynikowej wartości PFD avg ?
Porównać uzyskany poziom SIL z wyznaczonym
metodą jakościową (zwijanie schematu blokowego
jak na rysunku z zastosowaniem odpowiednich
reguł).
Przyjąć wartości PDFavg poszczególnych elementów
odpowiadające poziomom SIL:
3·10 -2 (SIL1), 3·10 -3 (SIL2), 3·10 -4 (SIL3).
Protokół
Projektowanie
Specyfikacja
inspekcji
architektury
Testów
Specyfikacja
Inspekcja
architektury
Protokół
Projektowani Specyfikacja
inspekcji
e modułów
Testów
Projekt
Inspekcja
modułów
Protokół
Kodowanie
inspekcji
Testowanie
integracyjne
Zweryfikowane
moduły
Testowanie
modułów
Moduły
Protokół
testów
Protokół
testów
37
Źródło: Validation of communication in safety-critical controls system. Nordtest Tekniikantie 2003
38
Wymagania dotyczące niezawodności kanałów
komunikacyjnych w programowalnym systemie zabezpieczeń
Normy bezpieczeństwa funkcjonalnego:
ogólna (PN-EN 61508) i sektorowe
PN-EN 61508
Kanał
komunikacyjny
Kanał
komunikacyjny
Normy dla
wytwórców
PN-EN 50402, 50271
Norma ogólna
Normy dla
użytkowników
PN-EN 61511
Detektory gazu
Przemysł procesowy
Czujnik
1%
PFD,
PFH
Sterownik
programowalny
1%
PFD,
PFH
Element
wykonawczy
PN-EN 15233
Zabezpieczenia (atmosfera
wybuchowa)
PN-EN 13849
IEC 61513
Energetyka jądrowa
PN-EN 62061
Maszyny
Maszyny
Funkcja bezpieczeństwa (PFD, PFH)
IEC 61800
PN-EN 50126, 128, 129
Źródło: PN-EN 61784-3:2008
39
Układy napędowe
Transport kolejowy
40
Norma sektorowa do stosowania w przemyśle procesowym
PN-EN 61511:2005
Bezpieczeństwo funkcjonalne. Przyrządowe systemy bezpieczeństwa do
sektora przemysłu procesowego
Części:
1. Schemat, definicje, wymagania dotyczące systemu, sprzętu
i oprogramowania
2. Wytyczne do stosowania IEC 61511-1
3. Wytyczne do określania poziomów wymaganych nienaruszalności
bezpieczeństwa
Wytwórcy i dostawcy
urządzeń
IEC 61508
Normy dotyczące
przyrządowych systemów
bezpieczeństwa (SIS)
sektora procesowego
Integratorzy i użytkownicy
przyrządowych systemów
bezpieczeństwa SIS
IEC 61511
41
Opracowanie
nowych
urządzeń części
sprzętowej
Według
IEC 61508
IEC 61508 i IEC 61511 w projektowaniu przyrządowych
systemów bezpieczeństwa SIS (safety instrumented system)
Sprzęt do sektora
procesowego
Stosowanie
wypróbowanych
urządzeń
sprzętu
Według
IEC 61511
Normy przyrządowych
systemów bezpieczeństwa
sektora procesowego
Stosowanie
sprzętu
opracowanego
i ocenionego
według
IEC 61508
Według
IEC 61511
Wytworzenie
oprogramowania
posadowionego
(systemowego)
Według
IEC 61508-3
Oprogramowanie do
sektora procesowego
Wytworzenie
oprogramowania
aplikacyjnego
przy użyciu
języków o pełnej
zmienności
Według
IEC 61508-3
Wytworzenie
oprogramowania
aplikacyjnego przy
użyciu języków
o ograniczonej
zmienności lub
stałych programów
Według
IEC 61511
42

Warstwy zabezpieczeniowo-ochronne instalacji podwyższonego
ryzyka w nawiązaniu do PN-EN 61511
Przykładowe warstwy zabezpieczeń instalacji przemysłowej
5. Systemy zabezpieczeń inżynieryjnych (zawory, kurtyny, obudowy)
4. Systemy automatyki zabezpieczeniowej SIS
3. System alarmowy AS i interwencje operatorów
2. Podstawowy system sterowania
BPCS
1. Instalacja
procesowa
BPCS – basic process control system (podstawowy system sterowania)
AS – alarm system (system alarmowy)
SIS – safety instrumented system (przyrządowy system bezpieczeństwa)
43
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions
44
in BPCS and combined systems. Kenexis Consulting Corporation. Internet, March 2011.
Przykładowe warstwy w systemie sterowania
i zabezpieczeń
Przykładowa struktura systemu BPCS i SIS
Basic Process Control System
Safety Instrumented System
BPCS
OPERATOR
Niezależność
warstw ?
SIS
Przykładowe powiązanie funkcji
realizowanych przez BPCS (kolor niebieski)
i SIS (kolor czerwony).
45
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions
in BPCS and combined systems. Kenexis Consulting Corporation. Internet: March 2011. 46
Działania systemów BPCS i SIS typu „mimic”
Przykład funkcji zabezpieczającej realizowanej tylko przez BPCS
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions in BPCS
and combined systems. Kenexis Consulting Corporation. Internet: March 2011. 47
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions in BPCS
and combined systems. Kenexis Consulting Corporation. Internet: March 2011. 48

Wyprzedzające działanie
BPCS jeśli 5 z 50 czujników
temperatury zarejestruje
wartość przekraczającą
ustalone progi.
Przykład inicjowania przez BPCS działania SIS wyłączającego
reaktor, niekrytycznego ze względu na bezpieczeństwo
Na przykładzie produkcji
tlenku etylenu (ethylene oxide).
Jeśli działanie BPCS okaże się
nieskuteczne następuje działanie
SIS.
49
50
BPCS i SIS w systemie sterowania
obiektem/procesem podwyższonego ryzyka
Warstwy zabezpieczeń PL (protection layers), które mogą być
strukturalnie i funkcjonalnie zależne
PLANT / PROCESSES
PL1
BPCS
PL2
OPERATOR
PL3
SIS / ESD
Equiment under
control (EUC)
EUC (SIS)
STC (SIS)
EUC
STC
AS / DSS
Safety-related
system (SRS)
Safety
Instrumented
System (SIS)
State control,
Testing, Supervision
Information /
Interface
Basic Process
Control System
(BPCS)
Decisons /
Control
SRS
Information /
Interface
INFORMATION / ALARMS > HUMAN OPERATORS > DECISIONS
Sensors /
Transducers /
Converters
(STC)
51
Z
i
I
i
F
Hazardous industrial installation
W przypadku założenia niezależności warstw
I
i
= Fi
⋅ PFDi
; PL1
⋅ PFDi
; PL2
⋅ PFDi
; PL3
= F ⋅ PFD
Ogólnie mogą występować zależności i dlatego należy uwzględniać
prawdopobieństwa warunkowe
F = F ⋅ P
) = F ⋅ PFD
( X
i;
PL1
| I)
⋅ P(
X
i;
PL2
| I ⋅ X
i;
PL1)
⋅ P(
X
i;
PL3
| I ⋅ X
i;
PL1X
i;
PL2
I
i
i
I
i
52
Z
i
Projektowanie systemu
sterowania i zabezpieczeń
Process definition
and hazard identification
Przykład matrycy warstw bezpieczeństwa
(safety layer matrix – EN 61511)
The protection layers include:
PL1 – basic process control system
(BPCS),
PL2 – human-operator (OPERATOR),
who supervises the process and
intervenes in cases of abnormal
situations and during
emergencies that are indicated
by the alarm system,
PL3 – safety instrumented system
(SIS), which can perform
a function of emergency
shutdown (ESD).
Preliminary risk analysis and
defining safety related functions
Risk mitigation and control strategy
BPCS design including DSS,
HMI and AS
SIS design
Risk assessment and control system
integrity validation
Number of PLs
3
2
1
Hazardous
event
likelihood
C
C
SIL1
Low
C
C
SIL1
Medium
Minor
Safety integrity level (SIL) required
C C C C C
SIL1 C SIL1 SIL2 SIL1
SIL2
High
SIL1
Low
SIL2
Medium
Serious
SIL3
B
High
Hazardous event severity rating
SIL3
B
Low
SIL1
SIL2
SIL3
B
Medium
Extensive
SIL1
SIL3
B
SIL3
A
High
PL1 and PL2 general structure:
A. Sensors
KAooNA
B. Logic
KBooNB
C. Actuators
KCooNC
No
Criteria
met?
Yes
53
A. One level SIL3 safety instrumented function does not provide sufficient risk reduction at this
risk level. Additional modifications are required in order to reduce risk (this approach is not
considered suitable for SIL4).
B. One level SIL3 safety instrumented function does not provide sufficient risk reduction at this
risk level. Additional review is required (this approach is not considered suitable for SIL4).
54
C. SIS independent protection layer is probably not needed.

Example of IPL credit requirements
Levels of safety instrumented system (SIS) integration
with basic process control system (BPCS)
Adjusted
initiating event frequency **
f [a -1 ]
10 -2 ≤ f
10 -3 ≤ f < 10 -2
10 -4 ≤ f < 10 -3
10 -6 ≤ f < 10 -4
f < 10 -6
Number of IPL Credits Required *
Consequence
Category IV
One fatality
2
1,5
1
0,5
0
Consequence
Category V
Multiple fatalities
2,5
2
1,5
1
0,5
B
A
ENG.
HMI
ENG.
W/S
W/S
BPCS Gateway SIS
ENG.
HMI
W/S
C
ENG.
W/S
HMI
* Includes adjustments to the initiating event frequency for probabilities
of ignition, person present and fatality
** IPL credit is defined as a reduction in event frequency of 10 -2 .
55
BPCS
SIS
BPCS
A - Interfaced, B - Integrated, and C – Common
According to a white paper of Siemens
SIS
56
Consultic Market Survey: Greatest Dangers
With Respect to Network Security
PROFIsafe Island within Security Zone
Źródło: Materiały firmy Siemens dostępne w Internecie, marzec 2011. 57
Źródło: Materiały firmy Siemens dostępne w Internecie, marzec 2011.
58
Cell protection concept and secure communications
using security modules
Uwagi końcowe
Problematyka projektowania i użytkowania systemów sterowania i zabezpieczeń
w przemyśle (rozpatrywana w cyklu życia) zyskuje na znaczeniu, szczególnie
wzłożonych obiektach / instalacjach podwyższonego ryzyka.
Źródło: Materiały firmy Siemens dostępne w Internecie, marzec 2011.
59
Rozwiązania bezpieczeństwa funkcjonalnego właściwie wprowadzane do praktyki
przemysłowej przyczyniają się do racjonalnego zmniejszenia ryzyka związanego
z eksploatacją złożonego obiektu, a tym samym szeroko rozumianych strat.
Określanie wymaganego poziomu nienaruszalności bezpieczeństwa SIL funkcji
związanych z bezpieczeństwem na podstawie analizy zagrożeń i ryzyka,
a następnie weryfikacja SIL systemów E/E/PE, BPCS lub SIS realizujących te
funkcje w procesie modelowania probabilistycznego są niekiedy wyzwaniem ze
względu na wpływ różnych czynników ryzyka i występujące niepewności, co
wpływa na konieczność korzystania z metod bazujących na informacji jakościowej.
Normy bezpieczeństwa funkcjonalnego - PN-EN 61508) i normy sektorowe (np.
PN-EN 61511) wymagają starannego przestudiowania w celu stosowania
w analizach wymagań metodycznych i odpowiednich kryteriów.
Normy bezpieczeństwa funkcjonalnego są uaktualniane w czasie. Na przykład
opracowano niedawno uaktualnioną wersję normy IEC 61508 (2010). Nowym
zagadnieniem jest problem ochrony informacji w przemysłowych sieciach
komputerowych.
60