Politechnika Gdańska
Politechnika GdaÅska
Politechnika GdaÅska
- No tags were found...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Politechnika</strong> <strong>Gdańska</strong><br />
Wydział Elektrotechniki i Automatyki<br />
Katedra Automatyki<br />
Bezpieczeństwo funkcjonalne<br />
Z3-4: Bezpieczeństwo funkcjonalne – koncepcja,<br />
normy, definicje, wymagania i kryteria<br />
Kazimierz Kosmowski<br />
k.kosmowski@ely.pg.gda.pl<br />
WEiA PG, marzec 2011<br />
Zakres wykładu<br />
• Norma bezpieczeństwa funkcjonalnego PN-EN 61508<br />
• Koncepcja bezpieczeństwa funkcjonalnego<br />
• Cykl życia / trwania bezpieczeństwa<br />
• Graf ryzyka i określanie wymaganego SIL<br />
• Zmniejszanie ryzyka za pomocą rozwiązań<br />
bezpieczeństwa funkcjonalnego<br />
• Rodzaje pracy systemów E/E/PE i kryteria<br />
probabilistyczne<br />
• Sektorowe normy bezpieczeństwa funkcjonalnego<br />
• Modele probabilistyczne podsystemów systemów<br />
• Warstwy zabezpieczeniowo-ochronne w nawiązaniu do<br />
PN-EN 61511<br />
• Przykłady powiązań systemów BPCS i SIS<br />
2<br />
Systemy zarządzania w obiekcie przemysłowym<br />
podwyższonego ryzyka<br />
Cele<br />
System zarządzania<br />
przedsiębiorstwem<br />
System zarządzania<br />
bezpieczeństwem<br />
informacji<br />
System zarządzania<br />
jakością<br />
System zarządzania<br />
środowiskowego<br />
System zarządzania<br />
bezpieczeństwem<br />
technicznym i pracy<br />
Kryteria<br />
Surowce,<br />
półprodukty<br />
Media<br />
robocze<br />
Informacja<br />
Energia<br />
w różnej formie<br />
Zakłócenia<br />
Zautomatyzowana<br />
instalacja procesowa<br />
Zagrożenia<br />
Produkcja -<br />
koszty C<br />
Obciążenie<br />
środowiska<br />
Potencjalne<br />
straty*<br />
Ryzyko R<br />
Ocena ryzyka dla celów<br />
ubezpieczeń<br />
* straty: zdrowotne, środowiskowe lub ekonomiczne<br />
Zarządzanie bezpieczeństwem w cyklu życia: analiza zagrożeń, identyfikacja scenariuszy<br />
awaryjnych, kryteria, ocena ryzyka, ocena opcji sterowania ryzykiem, implementacja opcji.<br />
3<br />
Systemy zarządzania i przykładowe normy dotyczące<br />
jakości, ochrony środowiska i bezpieczeństwa<br />
Systemy zarządzania bezpieczeństwem informacji i normy związane:<br />
PN-ISO/IEC 27001:2007<br />
ISO/IEC 17799:2005<br />
ISO/IEC 15408:2005<br />
ISO/IEC 13335:2004<br />
Systemy zarządzania jakością<br />
PN-EN ISO 9001:2001/ 2008<br />
Systemy zarządzania środowiskowego<br />
PN-EN ISO 14001:2005<br />
Systemy zarządzania bezpieczeństwem technicznym oraz<br />
bezpieczeństwem (i higieną) pracy:<br />
PN-EN 61508:2004<br />
PN-EN 61511:2005 – przemysł procesowy i inne normy sektorowe<br />
PN-N 18001:2004, PN-EN 18002:2000 – systemy zarządzania<br />
bezpieczeństwem (i higieną) pracy.<br />
Potrzeba integrowania systemów zarządzania w praktyce.<br />
4<br />
Systemy warunkujące niezawodność i bezpieczeństwo<br />
obiektu przemysłowego podwyższonego ryzyka<br />
Przykład systemu zabezpieczającego zbiornik<br />
ciśnieniowy od wysokiego poziomu (L) i/lub<br />
wysokiego ciśnienia (P)<br />
8. Obiekty współpracujące,<br />
infrastruktura i środowisko<br />
13. Systemy kontroli dostępu,<br />
ochrona i zabezpieczenia<br />
14. Telekomunikacja i sieć<br />
komputerowa<br />
Automatyczny<br />
obwód<br />
zabezpieczający<br />
HPS<br />
102<br />
12. Nadzór<br />
techniczny<br />
i administracyjny<br />
11. Realizacja<br />
strategii w ramach<br />
SZP<br />
4. Systemy<br />
sterowania<br />
7. Systemy automatyki<br />
zabezpieczeniowej<br />
2. Systemy pomocnicze<br />
i systemy zabezpieczeń<br />
1. Instalacja procesowa<br />
3. Systemy<br />
pomiarowe<br />
9. Systemy<br />
rejestracji danych<br />
eksploatacyjnych<br />
i środowiskowych<br />
oraz zakłóceń<br />
wewnętrznych<br />
i zewnętrznych<br />
IA<br />
Automatyczny<br />
System<br />
Zabezpieczający<br />
HLS<br />
101<br />
LIC-<br />
103<br />
6. Sterownia - nadzór operatorski<br />
i systemy wspomagania decyzji<br />
5.Systemy monitorowania,<br />
diagnostyki i alarmów<br />
10. Wypracowanie strategii eksploatacji w ramach SZP<br />
(jakość produkcji, niezawodność i bezpieczeństwo)<br />
Zabezpieczenie zbiornika od<br />
wysokiego poziomu i/lub ciśnienia<br />
5<br />
6
Przykład układu automatycznej funkcji bezpieczeństwa<br />
z jednym czujnikiem<br />
Przykład układu automatycznej funkcji bezpieczeństwa<br />
z podukładem czujników w konfiguracji 1oo2<br />
Czujnik<br />
Układ<br />
logiczny<br />
Element<br />
wykonawczy<br />
System<br />
logiczny<br />
IPF<br />
HLS<br />
101<br />
Układ<br />
logiczny<br />
(PLC)<br />
SOV<br />
Zawór<br />
elektromagnetyczny<br />
SDV<br />
HLS<br />
101<br />
HLS<br />
107<br />
SOV<br />
SDV<br />
7<br />
8<br />
Rola systemów sterowania i automatyki zabezpieczeniowej<br />
wzłożonych obiektach przemysłowych i instalacjach technicznych<br />
Bazowa norma bezpieczeństwa funkcjonalnego:<br />
IEC 61508:1999 / EN 61508:2001 / PN-EN 61508:2004<br />
Bezpieczeństwo funkcjonalne „systemów elektrycznych /<br />
elektronicznych / programowalnych elektronicznych” związanych<br />
z bezpieczeństwem<br />
W skrócie – „systemy E/E/PE” lub „E/E/PES”<br />
Części normy:<br />
1 Wymagania ogólne<br />
2 Wymagania dotyczące systemów E/E/PE związanych<br />
z bezpieczeństwem<br />
3 Wymagania dotyczące oprogramowania<br />
4 Definicje i skrótowce<br />
5 Przykłady metod określania poziomów nienaruszalności<br />
bezpieczeństwa<br />
6 Wytyczne do stosowania IEC 61508-2 i IEC 61508-3<br />
7 Przegląd technik i miar (w j. angielskim: IEC 61508-7)<br />
(Całość ok. 450 stron)<br />
10<br />
Wymagania<br />
techniczne<br />
CZĘŚĆ 1<br />
Opracowanie ogólnych wymagań<br />
bezpieczeństwa (koncepcja, określenie<br />
zakresu, analiza zagrożeń i ryzyka)<br />
(systemy E/E/PE związane<br />
z bezpieczeństwem, systemy zwiazane<br />
z bezpieczeństwem wykonane w innych<br />
technikach i zewnętrzne urządzenia do<br />
zmniejszenia ryzyka)<br />
CZĘŚĆ 5<br />
od 7.1 do 7.5<br />
Podejścia do<br />
opracowania wymagań<br />
bezpieczeństwa oparte<br />
na analizie ryzyka<br />
CZĘŚĆ 1<br />
Przypisanie wymagań bezpieczeństwa<br />
w systemach E/E/PE związanych<br />
z bezpieczeństwem<br />
CZĘŚĆ 7<br />
7.6<br />
Przegląd technik<br />
i sposobów<br />
CZĘŚĆ 6<br />
Wytyczne do<br />
Faza realizacji Faza realizacji<br />
stosowania<br />
systemów E/E/PE oprogramowania<br />
części 2 i 3<br />
związanych z związanego z<br />
bezpieczeństwem bezpieczeństwem<br />
CZĘŚĆ 2<br />
CZĘŚĆ 3<br />
CZĘŚĆ 1<br />
Instalowanie i wprowadzenie do ruchu<br />
oraz walidacja bezpieczeństwa systemów<br />
E/E/PE związanych z bezpieczeństwem<br />
7.13 i 7.14<br />
CZĘŚĆ 1<br />
Eksploatacja i obsługa, modyfikacje<br />
i odnowa, wyłączenie z eksploatacji<br />
i likwidacja systemów E/E/PE związanych<br />
z bezpieczeństwem<br />
od 7.15 do 7.17<br />
Ogólny schemat normy<br />
PN-EN 61508<br />
Struktura normy i prezentacja<br />
treści miejscami złożona<br />
Inne<br />
wymagania<br />
Definicje<br />
i skrótowce<br />
CZĘŚĆ 4<br />
Dokumentacja<br />
Rozdział 5 i<br />
załącznik A<br />
CZĘŚĆ 1<br />
Zarządzanie<br />
bezpieczeństwem<br />
funkcjonalnym<br />
Rozdział 6<br />
CZĘŚĆ 1<br />
Ocena<br />
Bezpieczeństwa<br />
Funkcjonalnego<br />
Rozdział 8<br />
CZĘŚĆ 1<br />
Struktura normy<br />
IEC 61508:2010<br />
zmieniona - mniej<br />
zawiła<br />
11<br />
Określenie wymaganego poziomu SIL funkcji związanej<br />
z bezpieczeństwem na podstawie grafu ryzyka<br />
Punkt<br />
wyjściowy<br />
oceny<br />
ryzyka<br />
CA<br />
CB<br />
CC<br />
CD<br />
FA<br />
FB<br />
FA<br />
FB<br />
FA<br />
FB<br />
PA<br />
PB<br />
PA<br />
PB<br />
PA<br />
PB<br />
PA<br />
PB<br />
W3 W2 W1<br />
a<br />
1<br />
2<br />
3<br />
4<br />
b<br />
---<br />
a<br />
1<br />
2<br />
3<br />
4<br />
---<br />
---<br />
a<br />
1<br />
2<br />
3<br />
W – prawdopodobieństwo<br />
zdarzenia niepożądanego<br />
Parametry ryzyka:<br />
C – dotyczący konsekwencji/<br />
skutków<br />
F - dotyczący częstości i czasu<br />
ekspozycji<br />
P - dotyczący możliwości<br />
uniknięcia sytuacji<br />
zagrożenia<br />
--- brak wymagań<br />
bezpieczeństwa<br />
a - brak specjalnych wymagań<br />
bezpieczeństwa<br />
b - pojedynczy E/E/PE jest<br />
niewystarczający<br />
1, 2, 3, 4 – poziomy<br />
nienaruszalności<br />
bezpieczeństwa (SIL)<br />
Uwaga: Norma PN-EN 61508 traktuje ten graf jako przykładowy. Graf należy zdefiniować<br />
i dostosować do danego przypadku instalacji i odpowiednio skalibrować (dla danego<br />
rodzaju strat: ludzkich, środowiskowych i majątkowych). Zasadne może okazać się<br />
określanie SIL na podstawie zdefiniowanej matrycy ryzyka.<br />
12
Przykładowe wartości parametrów grafu ryzyka<br />
wnawiązaniu do IEC 61511<br />
Przykładowe jakościowe definiowanie parametrów<br />
grafu ryzyka<br />
Parameter Kategoria parametru Zakres i wartość<br />
reprezentatywna<br />
W – prawdopodobieństwo<br />
zdarzenia<br />
niepożądanego<br />
N – liczba<br />
poszkodowanych<br />
(ogólnie C-niekorzystny<br />
skutek)<br />
F – prawdopodobieństwo<br />
ekspozycji<br />
P – prawdopodobieństwo<br />
niepowodzenia<br />
w uniknięciu sytuacji<br />
zagrożenia<br />
( 10 -2 , 10 -1 ] - 3·10 -2<br />
W 1<br />
W 3 ( 10 0 , 10 1 ] - 3·10 0<br />
W 2<br />
( 10 -1 , 10 0 ] - 3·10 -1<br />
C A<br />
C B<br />
C C<br />
C D<br />
Minor injuries<br />
( 10 -2 , 10 -1 ] - 3·10 -2<br />
( 10 -1 , 10 0 ] - 3·10 -1<br />
( 10 0 , 10 1 ] - 3·10 0<br />
F A<br />
( 10 -2 , 10 -1 ] – 3·10 -2 (max 0.1)<br />
F B ( 10 -1 , 10 0 ] - 3·10 -1 (max 1.0)<br />
P A<br />
( 10 -2 , 10 -1 ] – 3·10 -2 (max 0.1)<br />
P B ( 10 -1 , 10 0 ] - 3·10 -1 (max 1.0)<br />
13<br />
Parametr ryzyka<br />
Skutek (C)<br />
Częstość /czas<br />
ekspozycji w strefie<br />
zagrożenia (F)<br />
Możliwość uniknięcia<br />
sytuacji zagrożenia (P)<br />
C A<br />
C B<br />
C C<br />
C D<br />
F A<br />
F B<br />
P A<br />
P B<br />
Prawdopodobieństwo W 1<br />
zdarzenia niepożądanego<br />
(W)<br />
W 2<br />
W 3<br />
Znaczenie<br />
Nieliczne obrażenia<br />
Poważne obrażenia jednej lub więcej osób<br />
Kilka osób poszkodowanych śmiertelnie<br />
Wiele osób poszkodowanych<br />
Rzadka ekspozycja w strefie zagrożenia<br />
Częsta do stałej ekspozycja w strefie<br />
Wokreślonych warunkach<br />
Raczej nie występuje<br />
Bardzo małe prawdopodobieństwo<br />
wystąpienia zdarzenia<br />
Małe prawdopodobieństwo wystąpienia<br />
zdarzenia<br />
Stosunkowo duże prawdopodobieństwo<br />
wystąpienia zdarzenia<br />
14<br />
Kategrie:<br />
Poszkodow. →<br />
Częstość↓<br />
W 3 [a -1 ], F e<br />
(1 , 10]<br />
Częste<br />
W 2 [a -1 ], F d<br />
(10 -1 , 1]<br />
Prawdopod.<br />
W 1 [a -1 ], F c<br />
(10 -2 , 10 -1 ]<br />
Sporadycz.<br />
W 0 [a -1 ], F b<br />
(10 -3 , 10 -2 ]<br />
Rzadkie<br />
W -1 [a -1 ], F a<br />
(10 -4 , 10 -3 ]<br />
B.rzadkie<br />
Przykładowa macierz ryzyka i określanie wymaganego<br />
SIL funkcji systemu SIS dla różnych parametrów ryzyka<br />
N A<br />
(10 -3 ,10 -2 ]<br />
Obrażenia<br />
a<br />
N B<br />
(10 -2 , 10 -1 ]<br />
Więcej obrażeń<br />
SIL3 z<br />
SIL2 y ; ↓10 -3<br />
SIL1 x<br />
SIL2 z<br />
SIL1 y ; ↓10 -2<br />
a x<br />
SIL1 z<br />
a y ; ↓10 -1<br />
N C<br />
(10 -1 , 1]<br />
Pojedyn.poszk.<br />
SIL4 z<br />
SIL3 y ; ↓10 -4<br />
SIL2 x<br />
SIL3 z<br />
SIL2 y ; ↓10 -3<br />
SIL1 x<br />
SIL2 z<br />
SIL1 y ; ↓10 -2<br />
- x a x<br />
N D<br />
(1 , 10]<br />
Kilku poszkod.<br />
b z<br />
SIL4 y ; ↓10 -5<br />
SIL3 x<br />
SIL4 z<br />
SIL3 y ; ↓10 -4<br />
SIL2 x<br />
SIL3 z<br />
SIL2 y ; ↓10 -3<br />
SIL1 x<br />
SIL1 z<br />
SIL2 z<br />
a y ; ↓10 -1 SIL1 y ; ↓10 -2<br />
a x<br />
N E<br />
(10 , 10 2 ]<br />
Wielu poszkod.<br />
b z<br />
b y<br />
b x<br />
b z<br />
SIL4 y ; ↓10 -5<br />
SIL3 x<br />
SIL4 z<br />
SIL3 y ; ↓10 -4<br />
SIL2 x<br />
SIL3 z<br />
SIL2 y ; ↓10 -3<br />
SIL1 x<br />
SIL1 z<br />
SIL2 z<br />
a y ; ↓10 -1 SIL1 y ; ↓10 -2<br />
a x<br />
Rozszerzona macierz ryzyka z regułami określania wymaganego SIL systemu SIS (IEC 61511)<br />
x SIL (SIS) jeśli F A P A = 10 -2 ; y SIL (SIS) if F A P B = 10 -1 (F B P A = 10 -1 ); z SIL (SIS) jeśli F B P B = 1 15<br />
Zmniejszanie ryzyka w nawiązaniu do koncepcji<br />
bezpieczeństwa funkcjonalnego systemu E/E/PE<br />
Ryzyko<br />
resztkowe<br />
Częściowe ryzyko<br />
pokryte przez<br />
systemy<br />
bezpieczeństwa<br />
innej technologii<br />
Ryzyko<br />
tolerowane<br />
Częściowe ryzyko<br />
pokryte przez<br />
systemy E/E/PE<br />
związane z<br />
bezpieczeństwem<br />
Ryzyko związane<br />
z EUC<br />
Rt = Ft N<br />
Rnp = Fnp N<br />
ΔR = Rnp - Rt<br />
Wymagana redukcja ryzyka<br />
Możliwa redukcja ryzyka<br />
Częściowe ryzyko<br />
pokryte przez<br />
zewnętrzne środki<br />
redukcji ryzyka<br />
Redukcja ryzyka uzyskana przez wszystkie systemy związane<br />
z bezpieczeństwem i zewnętrzne środki redukcji ryzyka<br />
Ryzyko<br />
wzrasta<br />
Współczynnik wymaganego względnego zmniejszenie ryzyka za pomocą<br />
E/E/PES (N=const): R<br />
F<br />
r = Rt<br />
/ Rnp<br />
= Ft<br />
/ Fnp<br />
= r = PFDavg<br />
Krotność wymaganego zmniejszenia częstości PFD – prawdopodobieństwo<br />
F<br />
F<br />
niezadziałania na przywołanie<br />
k = Fnp<br />
/ Fp<br />
= 1/ r = 1/<br />
PFDavg<br />
PFD avg ma związek z poziomem nienaruszalności bezpieczeństwa SIL<br />
16<br />
System elektryczny, elektroniczny, programowalny<br />
elektroniczny (E/E/PES) związany z bezpieczeństwem<br />
Interfejsy wejściowe<br />
(np. przetworniki A-C)<br />
A. We<br />
Urządzenia wejściowe<br />
(np. czujniki)<br />
Komunikacja<br />
B. Programowalne<br />
urządzenie<br />
elektroniczne<br />
Zasilanie<br />
Interfejsy wyjściowe<br />
(np. przetworniki C-A)<br />
C. Wy<br />
Urządzenia wyjściowe<br />
(np. elementy wykonawcze)<br />
‣ System E/E/PE ma realizować funkcje związane z bezpieczeństwem<br />
‣ Podsystemy A, B i C składają się z elementów / modułów uszkadzających się<br />
(może wystąpić niesprawność funkcjonalna niebezpieczna lub bezpieczna)<br />
‣ Aby zmniejszyć niegotowość stosuje się, jeśli to uzasadnione, nadmiarowość<br />
strukturalną w podsystemach A, B, C (np. 1oo2, 2oo3)<br />
‣ Formułuje się wymagania i kryteria probabilistyczne dla systemu E/E/PE.<br />
17<br />
Cykl całkowity życia (trwania) bezpieczeństwa<br />
Według PN-EN 61508<br />
Etap<br />
REALIZACJI<br />
(dostawca /<br />
integrator /<br />
użytkownik)<br />
Planowanie całkowite<br />
Planowanie Planowanie Planowanie<br />
6 użytkowania 7 walidacji 8 instalowania<br />
i obsługi bezpieczeństwnia<br />
do<br />
i wprowadze-<br />
ruchu<br />
1<br />
2<br />
3<br />
4<br />
5<br />
9<br />
Koncepcja<br />
Określenie całkowite<br />
zakresu<br />
Analiza zagrożeń<br />
i ryzyka<br />
Wymagania całkowite<br />
bezpieczeństwa<br />
Alokacja<br />
bezpieczeństwa<br />
Systemy związane<br />
z bezpieczeństwem:<br />
E/E/PE<br />
Realizacja<br />
(zob. cykl życia<br />
bezpieczeństw<br />
a E/E/PE)<br />
Etap<br />
ANALIZY<br />
(projektant /<br />
integrator /<br />
odbiorca)<br />
Systemy związane Zewnętrzne środki<br />
10 11<br />
z bezpieczeństwem<br />
do zmniejszenia<br />
w innych<br />
ryzyka<br />
technikach<br />
Realizacja<br />
Realizacja<br />
Zainstalowanie<br />
12 i wprowadz. do ruchu<br />
Powrót do odpowiedniej<br />
Etap<br />
Całkowita walidacja<br />
fazy cyklu życia<br />
13 bezpieczeństwa<br />
bezpieczeństwa<br />
UŻYTKOWANIA<br />
(użytkownik /<br />
Użytkowanie, obsługa<br />
14 i naprawa 15 Modyfikacje i odnowa<br />
dostawca /<br />
serwisant) 18<br />
Wyłączenie z ruchu<br />
16 lub likwidacja
Podstawowe definicje i skrótowce (PN-EN 61508-4)<br />
Szkoda - fizyczny uraz lub pogorszenie stanu zdrowia ludzi, tak<br />
bezpośrednie jak i pośrednie, wynikające ze szkody w majątku lub<br />
w środowisku [ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]<br />
UWAGA: Ta definicja ma zastosowanie przy wykonywaniu analizy zagrożeń i ryzyka. Jeśli<br />
jej zakres należy rozszerzyć (na przykład w celu włączenia szkód środowiskowych,<br />
które mogą nie wywoływać uszkodzenia fizycznego lub nadwyrężenia zdrowia),<br />
wymagałoby to odpowiedniego uwzględnienia takiego przypadku w fazie Analizy<br />
Całkowitej Bezpieczeństwa (zob. 7.3 w IEC 61508-1).<br />
Zagrożenie - potencjalne źródło szkody [Przewodnik ISO/IEC 51:1990]<br />
UWAGA: Ten termin obejmuje niebezpieczeństwo dla osób, powstające w krótkim czasie<br />
(na przykład pożar lub wybuch), a także niebezpieczeństwo długotrwale oddziałujące na<br />
zdrowie osób (na przykład wskutek wydzielania substancji toksycznych).<br />
Sytuacja zagrożenia - sytuacja, w której osoba jest narażona na<br />
zagrożenie lub zagrożenia.<br />
Zdarzenie zagrażające - sytuacja zagrażająca, której wynikiem jest<br />
szkoda.<br />
Ryzyko - kombinacja prawdopodobieństwa wystąpienia szkody<br />
iciężkości tej szkody [ISO/IEC Przewodnik 51:1990 (zmodyfikowany)]<br />
19<br />
Definicje i skrótowce (PN-EN 61508-4) c.d.<br />
Ryzyko tolerowane - ryzyko akceptowane w określonym kontekście<br />
opartym na aktualnych wartościach społecznych<br />
Ryzyko resztkowe - ryzyko pozostające po zastosowaniu środków<br />
bezpieczeństwa<br />
Bezpieczeństwo - niewystępowanie ryzyka nieakceptowanego<br />
Bezpieczeństwo funkcjonalne -część bezpieczeństwa, odnosząca się do<br />
wyposażenia sterowanego EUC (equipment under control) i systemu<br />
sterowania EUC, która zależy od prawidłowego działania systemów<br />
E/E/PE związanych z bezpieczeństwem, systemów związanych<br />
z bezpieczeństwem wykonanych w innych technikach i zewnętrznych<br />
środków zmniejszenia ryzyka.<br />
20<br />
System i funkcja bezpieczeństwa (PN-EN 61508-4)<br />
System - zestaw elementów współdziałających zgodnie z projektem,<br />
w którym element systemu może być innym systemem, zwanym<br />
podsystemem; zestaw ten może być systemem sterującym lub<br />
systemem sterowanym i może obejmować sprzęt, oprogramowanie<br />
i współdziałanie człowieka<br />
Uwaga: Człowiek może być częścią systemu związanego z bezpieczeństwem.<br />
Na przykład człowiek może otrzymywać informacje z urządzenia<br />
programowalnego elektronicznego i realizować działania bezpieczeństwa<br />
oparte na tych informacjach lub realizować działania bezpieczeństwa poprzez<br />
urządzenie elektroniczne programowalne.<br />
Funkcja bezpieczeństwa - funkcja do zaimplementowania przez system<br />
E/E/PE związany z bezpieczeństwem, system związany<br />
z bezpieczeństwem wykonany w innej technice lub zewnętrzne<br />
urządzenie do zmniejszenia ryzyka, której przeznaczeniem jest<br />
osiągniecie lub utrzymanie stanu bezpiecznego EUC, w odniesieniu<br />
do konkretnego zdarzenia zagrażającego<br />
Podstawowe wymagania bezpieczeństwa funkcjonalnego<br />
Termin: związany z bezpieczeństwem (safety-related) - do opisu systemu,<br />
który projektuje się do wypełniania danej funkcji lub kilku funkcji w celu<br />
utrzymania ryzyka na akceptowanym poziomie.<br />
Funkcje takie są z definicji funkcjami bezpieczeństwa.<br />
Występują dwa rodzaje podstawowych wymagań związanych z osiąganiem<br />
bezpieczeństwa funkcjonalnego:<br />
• wymagania dotyczące danej funkcji bezpieczeństwa (co ta funkcja<br />
ma realizować w czasie) oraz<br />
• wymagania nienaruszalności bezpieczeństwa –dotyczące pewności<br />
realizacji funkcji wyrażanej za pomocą prawdopodobieństwa<br />
oszacowanego jakościowo lub ilościowo, że dana funkcja będzie<br />
realizowana właściwie w odniesieniu do założeń projektowych<br />
i specyfikacji technicznej.<br />
21<br />
22<br />
Nienaruszalność bezpieczeństwa i poziom<br />
nienaruszalności bezpieczeństwa SIL (PN-EN 61508-4)<br />
Nienaruszalność bezpieczeństwa - prawdopodobieństwo, że system<br />
związany z bezpieczeństwem wykona w sposób zadowalający<br />
wymagane funkcje bezpieczeństwa, w określonych warunkach<br />
i w zadanym czasie.<br />
Zaleca się, aby przy ustalaniu nienaruszalności bezpieczeństwa wziąć pod uwagę wszystkie<br />
przyczyny uszkodzeń (tak przypadkowe uszkodzenia sprzętu, jak i uszkodzenia<br />
systematyczne), które prowadzą do stanu niebezpiecznego, na przykład uszkodzenia<br />
sprzętu, uszkodzenia wprowadzane przez oprogramowanie i uszkodzenia spowodowane<br />
zakłóceniami elektrycznymi. Niektóre z tych rodzajów uszkodzeń, w szczególności<br />
przypadkowe uszkodzenia sprzętu, mogą zostać wyrażone ilościowo przez podanie miar,<br />
np. intensywności uszkodzeń niebezpiecznych lub prawdopodobieństwa, że system<br />
ochronny/zabezpieczający związany z bezpieczeństwem zawiedzie podczas pracy na<br />
przywołanie. Należy jednak pamiętać, że nienaruszalność bezpieczeństwa systemu<br />
zależy także od wielu czynników, które nie mogą być ściśle wyrażone liczbowo i mogą być<br />
rozpatrywane tylko jakościowo.<br />
Poziom nienaruszalności bezpieczeństwa (SIL - safety integrity level)<br />
poziom dyskretny (jeden z czterech możliwych) do wyszczególnienia<br />
wymagań nienaruszalności bezpieczeństwa funkcji bezpieczeństwa,<br />
które powinny być przypisane w systemach E/E/PE związanych<br />
z bezpieczeństwem; poziom nienaruszalności bezpieczeństwa 4 jest<br />
poziomem najwyższym, a poziom nienaruszalności bezpieczeństwa<br />
1 jest poziomem najniższym.<br />
23<br />
Rodzaje pracy systemu E/E/PE według PN-EN 61508<br />
Rodzaj pracy - przewidziany sposób pracy systemu związanego<br />
z bezpieczeństwem, odniesiony do częstości jego przywołań do<br />
działania:<br />
– rzadkiego przywołania: gdy częstość przywołań systemu<br />
związanego z bezpieczeństwem do działania nie przekracza<br />
jednego na rok i nie przekracza dwukrotnej częstości testów<br />
okresowych;<br />
– częstego przywołania do działania lub ciągły: gdy częstość<br />
przywołań do działania systemu związanego z bezpieczeństwem<br />
jest większa od jednego na rok i większa niż dwukrotna częstość<br />
testów okresowych.<br />
24
Poziomy nienaruszalności bezpieczeństwa: miary<br />
docelowe (kryterialne) uszkodzeń funkcji bezpieczeństwa<br />
Tolerancja uszkodzeń przykładowych architektur<br />
podsystemów i przykładowa realizacja głosowania<br />
Średnie prawdopodobieństwo<br />
niewypełnienia funkcji na<br />
przywołanie PFD avg - rodzaj<br />
pracy rzadkiego przywołania<br />
SIL<br />
(LDM)<br />
4 [ 10 -5 , 10 -4 ) [ 10 -9 , 10 -8 )<br />
3 [ 10 -4 , 10 -3 ) [ 10 -8 , 10 -7 )<br />
2 [ 10 -3 , 10 -2 ) [ 10 -7 , 10 -6 )<br />
1 [ 10 -2 , 10 -1 ) [ 10 -6 , 10 -5 )<br />
Poziom<br />
nienaruszalności<br />
bezpieczeństwa<br />
Prawdopodobieństwo<br />
uszkodzenia niebezpiecznego<br />
na godzinę PFH - rodzaj pracy<br />
częstego przywołania lub<br />
ciągły (HDM)<br />
PFD avg - probability of failure on demand (avg – average)<br />
PFH - probability (frequency of dangerous failure) per hour<br />
LDM - low demand mode<br />
HDM - high demand mode<br />
25<br />
Architektura<br />
1oo1<br />
1oo1D<br />
1oo2<br />
2oo2<br />
2oo3<br />
2oo2D<br />
1oo2D<br />
1oo3<br />
Tolerancja<br />
uszkodzeń<br />
0<br />
0<br />
1<br />
0<br />
1<br />
0<br />
1<br />
2<br />
1oo1<br />
1oo2<br />
1oo2D<br />
2oo2<br />
2oo3<br />
Diag<br />
Diag<br />
26<br />
Nienaruszalność bezpieczeństwa sprzętu: ograniczenia<br />
architektoniczne podsystemów związanych z bezpieczeństwem<br />
typu A i (typu B)<br />
Udział uszkodzeń<br />
bezpiecznych S ff<br />
< 60 %<br />
60 % - < 90 %<br />
90 % - < 99 %<br />
≥ 99 %<br />
Tolerowane uszkodzenia sprzętu N oznacza, że N+1 uszkodzeń<br />
spowoduje utratę funkcji bezpieczeństwa<br />
S<br />
ff<br />
Tolerowane uszkodzenia sprzętu N<br />
podsystemy typu A i (typu B)<br />
0<br />
SIL1 (-)<br />
SIL2 (SIL1)<br />
SIL3 (SIL2)<br />
SIL3 (SIL3)<br />
SIL2 (SIL1)<br />
SIL3 (SIL2)<br />
SIL4 (SIL3)<br />
SIL4 (SIL4)<br />
∑ λS<br />
+ ∑λDD<br />
) ( ∑λS<br />
+ ∑<br />
= λ )<br />
(<br />
D<br />
SIL3 (SIL2)<br />
SIL4 (SIL3)<br />
SIL4 (SIL4)<br />
SIL4 (SIL4)<br />
S – uszkodzenia bezpieczne<br />
D – uszkodzenia niebezpieczne<br />
DD – uszkodzenia niebezpieczne niewykrywalne 27<br />
1<br />
2<br />
Zarządzanie bezpieczeństwem funkcjonalnym:<br />
analiza (1-3), realizacja (4-6) i użytkowanie (7-9)<br />
1. Analiza zagrożeń i ocena ryzyka w złożonym obiekcie technicznym<br />
2. Zdefiniowanie funkcji związanych z bezpieczeństwem<br />
3. Określenie wymaganego poziomu SIL dla poszczególnych funkcji na<br />
podstawie ilościowej lub jakościowej analizy ryzyka<br />
4. Wstępny dobór architektury systemu E/E/PE (lub SIS)<br />
zuwzględnieniem ograniczeń architektonicznych<br />
5. Weryfikacja SIL funkcji realizowanej przez dany system w odniesieniu<br />
do przedziałowych kryteriów probabilistycznych na podstawie wyników<br />
modelowania probabilistycznego (istotne znaczenie mają: pokrycie<br />
diagnostycznego i uszkodzenia zależne w podsystemach)<br />
6. Projektowanie systemu E/E/PE z weryfikacją skuteczności<br />
realizowanych funkcji wraz z projektem oprogramowania i interfejsu<br />
operatorskiego, opracowanie procedur diagnostycznych<br />
7. Instalowanie systemu E/E/PE i jego finalna walidacja<br />
8. Eksploatacja systemu E/E/PE, wypracowanie strategii okresowego<br />
testowania i obsługi profilaktycznej urządzeń/podsystemów<br />
9. Modyfikacja lub modernizacja systemu E/E/PE w czasie z ewentualną<br />
korektą realizowanych funkcji i wymaganego poziomu SIL.<br />
28<br />
Przydzielanie wymagań bezpieczeństwa systemom<br />
związanym z bezpieczeństwem (PN-EN 61508)<br />
Specyfikacja wymagań, projekt, integracja i walidacja<br />
E/E/PES (faza realizacji cyklu życia)<br />
Metoda określania<br />
wymagań<br />
dotyczących<br />
nienaruszalności<br />
bezpieczeństwa<br />
a) konieczne<br />
zmniejszenie<br />
ryzyka<br />
Przypisanie każdej funkcji bezpieczeństwa<br />
i skojarzonych wymagań nienaruszalności<br />
bezpieczeństwa<br />
System E/E/PE związany<br />
Systemy związane z bezpieczeństwem<br />
wykonane<br />
System z bezpieczeństwem<br />
E/E/PE związany<br />
z bezpieczeństwem<br />
#1<br />
Zewnętrzne środki do<br />
w innych technikach<br />
zmniejszenia ryzyka<br />
#2<br />
9.1 Specyfikacja wymagań dla E/E/PES<br />
9.1.1. Specyfikacja 9.1.2. Specyfikacja<br />
wymagań funkcji wymagań poziomu<br />
bezpieczeństwa bezpieczeństwa<br />
b) konieczne<br />
zmniejszenie<br />
ryzyka<br />
System E/E/PE związany<br />
z bezpieczeństwem<br />
#1<br />
E/E/PE związany<br />
z bezpieczeństwem<br />
#2<br />
9.2. Planowanie walidacji<br />
bezpieczeństwa E/E/PES<br />
9.3. Projekt i opracowanie<br />
E/E/PES<br />
c) poziomy<br />
nienaruszalności<br />
bezpieczeństwa<br />
System E/E/PE związany<br />
z bezpieczeństwem<br />
#1<br />
System E/E/PE związany<br />
z bezpieczeństwem<br />
#2<br />
9.4. Integracja E/E/PES<br />
9.5. Procedury użytkowania<br />
i obsługi E/E/PES<br />
Odnośnie do wymagań projektowych dotyczących poszczegolnych<br />
systemów E/E/PE związanych z bezpieczeństwem - zob. IEC 61508-2<br />
Uwaga: Realizacja danej funkcji może być przypisana więcej niż jednemu systemowi<br />
związanemu z bezpieczeństwem. Podsystemy systemu E/E/PE lub SIS mogą<br />
realizować więcej niż jedną funkcję związaną z bezpieczeństwem.<br />
29<br />
9.6. Walidacja<br />
bezpieczeństwa E/E/PES<br />
Cykl życia (bezpieczeństwa)<br />
systemu E/E/PE<br />
Poz. 12 Poz. 14<br />
Cykl całkowity życia systemu związanego<br />
z bezpieczeństwem<br />
30
Specyfikacja wymagań, projekt, integracja i walidacja<br />
oprogramowania E/E/PES (faza realizacji cyklu życia)<br />
9.2. Planowanie walidacji<br />
bezpieczeństwa oprogram.<br />
Cykl życia (bezpieczeństwa)<br />
oprogramowania<br />
9.1 Specyfikacja wymagań<br />
bezpieczeństwa oprogramowania<br />
9.1.1. Specyfikacja 9.1.2. Specyfikacja<br />
wymagań funkcji wymagań poziomu<br />
bezpieczeństwa bezpieczeństwa<br />
9.3. Projekt i opracowanie<br />
oprogramowania<br />
9.4. Integracja sprzętu<br />
i oprogramowania<br />
9.6. Walidacja<br />
bezpieczeństwa oprogr.<br />
9.5. Procedury użytkowania<br />
i modyfikacji oprogram.<br />
Poz. 12 Poz. 14<br />
Cykl całkowity życia systemu związanego<br />
z bezpieczeństwem<br />
31<br />
Parametry modeli probabilistycznych elementów<br />
w systemie zabezpieczeń<br />
λ -intensywność uszkodzeń podsystemu [h -1 ]<br />
λ = λ S<br />
+ λ D<br />
λ S - intensywność uszkodzeń bezpiecznych (S) [h -1 ] λS<br />
= FS ⋅λ<br />
λ D - intensywność uszkodzeń niebezpiecznych (D)[h -1 ] λD<br />
= ( 1−<br />
FS)<br />
⋅λ<br />
FS -udział uszkodzeń bezpiecznych<br />
λ<br />
D<br />
= λDD<br />
+ λDU<br />
λ<br />
DC - pokrycie diagnostyczne<br />
DD<br />
DC =<br />
λD<br />
λ DD - intensywność uszkodzeń D wykrywalnych (D) przez<br />
automatyczne testy diagnostyczne [h -1 ] λ DD<br />
= DC ⋅λ<br />
D<br />
= DC( 1−<br />
FS)<br />
⋅λ<br />
λ DU - intensywność uszkodzeń D niewykrywalnych (U) przez<br />
automatyczne testy diagnostyczne [h -1 ] λDU<br />
= ( 1−<br />
DC)<br />
⋅λD<br />
= (1 − DC)(1<br />
− FS)<br />
⋅λ<br />
λ SD -intensywność uszkodzeń S wykrywalnych (D) [h -1 ] λ = DC ⋅λ<br />
= DC ⋅ FS ⋅λ<br />
λ SU -intensywność uszkodzeń S<br />
niewykrywalnych (U) [h -1 ]<br />
SD<br />
SD<br />
λ = (1 − DC ) ⋅λ<br />
= (1 − DC ⋅ FS ⋅λ<br />
S<br />
SD<br />
SU SD S<br />
SD<br />
)<br />
32<br />
Wyznaczanie PFD avq podsystemu<br />
Funkcja niegotowości podsystemu, którego stan uszkodzenia<br />
niebezpiecznego może być wykryty tylko podczas okresowego testu<br />
Przyjmując<br />
PFD<br />
avg<br />
PFD( t)<br />
= 1 − exp[ −λ<br />
⋅ DU<br />
t]<br />
λ ⋅ t ≤ 0.1 PFD ( t ) ≅ λ ⋅<br />
DU<br />
DU<br />
t<br />
TI<br />
1 TI<br />
= ∫ PFD(<br />
t)<br />
dt ≅ λDU<br />
t dt 0. 5λDUT<br />
0<br />
I<br />
T<br />
∫ ⋅ =<br />
0<br />
Interwały testu kontrolnego T I przyjmuje się o wartościach (PN-EN 61508): 168 h (jeden tydzień); 730 h<br />
(jeden miesiąc), 2190 h (trzy miesiące), 4380 h (sześć miesięcy), 8760 h (jeden rok), 17520 h (dwa<br />
lata), 43800 h (pięć lat) lub 87600 h (dziesięć lat).<br />
Forma rozszerzona wzoru z uwzględnieniem trzech składowych PFD avg<br />
PFD ≅ PFD + PFD + PFD<br />
avg<br />
FT<br />
avg<br />
gdzie składowe PFD są związane z ograniczoną skutecznością: testu funkcjonalnego (FT – functional<br />
test), testu automatycznego (AT – automatic test) oraz błędem człowieka (HE – human error).<br />
33<br />
I<br />
AT<br />
avg<br />
HE<br />
Modelowanie probabilistyczne systemu E/E/PE -<br />
podsystem o strukturze 1oo1 (PN-EN 61508)<br />
λDU<br />
tc1 = T1/2 + MTTR<br />
Kanał<br />
(podsystem)<br />
Diagnostyka<br />
Przy założeniu, że intensywność uszkodzeń niebezpiecznych stanowi 50%<br />
intensywności uszkodzeń całkowitej λ<br />
D<br />
= λDU<br />
+ λDD<br />
= λ / 2<br />
λDU<br />
= λD ( 1−<br />
DC)<br />
λD<br />
tCE<br />
λDD<br />
tc2 = MTTR<br />
t<br />
λDU<br />
= t<br />
λDD<br />
+ t<br />
λDU<br />
=<br />
T1<br />
λDD<br />
( + MTTR) + MTTR<br />
λD<br />
λD<br />
λD<br />
2<br />
λD<br />
CE<br />
c1<br />
c2<br />
T 1 –czas między testami;<br />
MTTR – średni czas naprawy.<br />
T1<br />
PFD G , 1oo1<br />
≅ λ<br />
DtCE<br />
≅ λDU<br />
( + MTTR) + λDDMTTR<br />
2<br />
PFH<br />
G,1oo1<br />
= λ<br />
DU<br />
34<br />
Kanał<br />
Diagnostyka<br />
Kanał<br />
Modelowanie probabilistyczne systemu E/E/PE -<br />
podsystem o strukturze 1oo2 (PN-EN 61508)<br />
1oo2<br />
λ DU<br />
λDU<br />
λDU<br />
T1<br />
λDD<br />
tGE<br />
= ( + MTTR) + MTTR<br />
λ 3<br />
λ<br />
D<br />
D<br />
λD<br />
tCE<br />
λD<br />
tGE<br />
λ DD<br />
λ DD<br />
Wspólna przyczyna<br />
uszkodzenia CCF<br />
2<br />
T1<br />
PFDG, 1oo2<br />
≅ 2 [(1 − β<br />
D<br />
) λDD<br />
+ (1 − β ) λDU<br />
] tCEtGE<br />
+ β<br />
DλDDMTTR<br />
+ βλDU<br />
( + MTTR)<br />
2<br />
PFH G<br />
2 β t + β λ + β λ<br />
2<br />
, 1oo2<br />
≅ [(1 −<br />
D<br />
) λDD<br />
+ (1 − β ) λDU<br />
]<br />
CE<br />
D<br />
T 1 –czas między testami;<br />
MTTR – średni czas naprawy;<br />
β -współczynniki uszkodzeń<br />
zależnych od wspólnej przyczyny<br />
(CCF – common cause failure).<br />
DD<br />
DU<br />
35<br />
Modelowanie probabilistyczne przykładowej struktury systemów SIS<br />
Przeciętne prawdopodobieństwo<br />
niewypełnienia funkcji bezpieczeństwa na<br />
przywołanie dla struktury 2 z 3:<br />
Kanał<br />
IEC 61508-6 (graf Markowa):<br />
2<br />
TI<br />
PFDavg<br />
2z3<br />
≈ 6[(1 − β<br />
D<br />
) λDD<br />
+ (1 − β ) λDU<br />
] tCEtGE<br />
+ β<br />
DλDDMTTR<br />
+ βλDU<br />
( + MTTR)<br />
2<br />
λDU<br />
TI<br />
λDD<br />
λDU<br />
TI<br />
λDD<br />
tCE<br />
≈ ( + MTTR)<br />
+ MTTR;<br />
tGE<br />
≈ ( + MTTR)<br />
+ MTTR;<br />
β = 2β<br />
D<br />
λD<br />
2<br />
λD<br />
λD<br />
3<br />
λD<br />
Cięcia minimalne MC (metoda I):<br />
λ SD<br />
2<br />
2 TI<br />
2 TI<br />
PFDavg 2z3<br />
≅ 3((1 − β ) λD)<br />
( + TI<br />
MTTR + MTTR ) + βλDU<br />
( + MTTR)<br />
λ S<br />
3<br />
2<br />
S – safe<br />
λ SU<br />
FTA (metoda II):<br />
λ<br />
D - danger<br />
2<br />
2 T<br />
λ<br />
I<br />
2 TI<br />
DD<br />
PFDavg 2z3<br />
≈ 3λD<br />
( + TI<br />
MTTR + MTTR ) + βλDU<br />
( + MTTR)<br />
λ D<br />
3<br />
2<br />
T I –czas między testami;<br />
Pokrycie diagnostyczne DC [%]: SD – safe detected λ DU<br />
MTTR – średni czas naprawy;<br />
SU – safe undetected<br />
λDD<br />
DC = ⇒ λDD<br />
= DC ⋅ λ DD – danger detected<br />
D<br />
β - współczynnik uszkodzeń<br />
λD<br />
DU – danger undetected<br />
zależnych.<br />
36<br />
Kanał<br />
Kanał<br />
Diagnostyka<br />
2oo3
1<br />
SIL1<br />
Przykłady obliczeniowe<br />
2<br />
SIL2<br />
5<br />
SIL3<br />
1-2-5<br />
SIL?<br />
1. Wyznaczyć poziom SIL struktury szeregowej<br />
systemu E/E/PE (elektrycznego/ elektronicznego/<br />
programowalnego elektronicznego) metodą<br />
jakościową i zweryfikować ten poziom metodą<br />
ilościową, przyjmując przeciętne wartości<br />
prawdopodobieństwa na przywołanie PFDavg<br />
(probability of failure on demand – average) równe<br />
średniej geometrycznej przedziałowych wartości<br />
kryterialnych według PN-EN 61508.<br />
Niezawodność oprogramowania - rozszerzony model V<br />
cyklu życia oprogramowania<br />
System<br />
Wymagania<br />
zaakceptowan<br />
y<br />
Analiza<br />
Specyfikacja<br />
Walidacja<br />
wymagań<br />
Testów<br />
systemu<br />
Specyfikacja<br />
System<br />
Protokół<br />
Inspekcja<br />
wymagań<br />
zintegrowany testów<br />
1<br />
SIL1<br />
3<br />
SIL2<br />
2<br />
SIL2<br />
4<br />
SIL2<br />
1-2<br />
SIL?<br />
3-4<br />
SIL?<br />
5<br />
SIL3<br />
5<br />
SIL3<br />
6<br />
SIL2<br />
8<br />
SIL3<br />
6-7<br />
SIL?<br />
8-9<br />
SIL?<br />
7<br />
SIL1<br />
9<br />
SIL1<br />
1-9<br />
SIL?<br />
2. Wyznaczyć wynikową wartość prawdopobieństwa<br />
niewypełnienia funkcji przez ten system na<br />
przywołanie PFD avg :<br />
(a) metodą jakościową,<br />
(b) metodą ilościową schematów blokowych RBD,<br />
(c) metodą ilościową na podstawie MCS.<br />
Jaki poziom nienaruszalności bezpieczeństwa SIL<br />
odpowiada uzyskanej wynikowej wartości PFD avg ?<br />
Porównać uzyskany poziom SIL z wyznaczonym<br />
metodą jakościową (zwijanie schematu blokowego<br />
jak na rysunku z zastosowaniem odpowiednich<br />
reguł).<br />
Przyjąć wartości PDFavg poszczególnych elementów<br />
odpowiadające poziomom SIL:<br />
3·10 -2 (SIL1), 3·10 -3 (SIL2), 3·10 -4 (SIL3).<br />
Protokół<br />
Projektowanie<br />
Specyfikacja<br />
inspekcji<br />
architektury<br />
Testów<br />
Specyfikacja<br />
Inspekcja<br />
architektury<br />
Protokół<br />
Projektowani Specyfikacja<br />
inspekcji<br />
e modułów<br />
Testów<br />
Projekt<br />
Inspekcja<br />
modułów<br />
Protokół<br />
Kodowanie<br />
inspekcji<br />
Testowanie<br />
integracyjne<br />
Zweryfikowane<br />
moduły<br />
Testowanie<br />
modułów<br />
Moduły<br />
Protokół<br />
testów<br />
Protokół<br />
testów<br />
37<br />
Źródło: Validation of communication in safety-critical controls system. Nordtest Tekniikantie 2003<br />
38<br />
Wymagania dotyczące niezawodności kanałów<br />
komunikacyjnych w programowalnym systemie zabezpieczeń<br />
Normy bezpieczeństwa funkcjonalnego:<br />
ogólna (PN-EN 61508) i sektorowe<br />
PN-EN 61508<br />
Kanał<br />
komunikacyjny<br />
Kanał<br />
komunikacyjny<br />
Normy dla<br />
wytwórców<br />
PN-EN 50402, 50271<br />
Norma ogólna<br />
Normy dla<br />
użytkowników<br />
PN-EN 61511<br />
Detektory gazu<br />
Przemysł procesowy<br />
Czujnik<br />
1%<br />
PFD,<br />
PFH<br />
Sterownik<br />
programowalny<br />
1%<br />
PFD,<br />
PFH<br />
Element<br />
wykonawczy<br />
PN-EN 15233<br />
Zabezpieczenia (atmosfera<br />
wybuchowa)<br />
PN-EN 13849<br />
IEC 61513<br />
Energetyka jądrowa<br />
PN-EN 62061<br />
Maszyny<br />
Maszyny<br />
Funkcja bezpieczeństwa (PFD, PFH)<br />
IEC 61800<br />
PN-EN 50126, 128, 129<br />
Źródło: PN-EN 61784-3:2008<br />
39<br />
Układy napędowe<br />
Transport kolejowy<br />
40<br />
Norma sektorowa do stosowania w przemyśle procesowym<br />
PN-EN 61511:2005<br />
Bezpieczeństwo funkcjonalne. Przyrządowe systemy bezpieczeństwa do<br />
sektora przemysłu procesowego<br />
Części:<br />
1. Schemat, definicje, wymagania dotyczące systemu, sprzętu<br />
i oprogramowania<br />
2. Wytyczne do stosowania IEC 61511-1<br />
3. Wytyczne do określania poziomów wymaganych nienaruszalności<br />
bezpieczeństwa<br />
Wytwórcy i dostawcy<br />
urządzeń<br />
IEC 61508<br />
Normy dotyczące<br />
przyrządowych systemów<br />
bezpieczeństwa (SIS)<br />
sektora procesowego<br />
Integratorzy i użytkownicy<br />
przyrządowych systemów<br />
bezpieczeństwa SIS<br />
IEC 61511<br />
41<br />
Opracowanie<br />
nowych<br />
urządzeń części<br />
sprzętowej<br />
Według<br />
IEC 61508<br />
IEC 61508 i IEC 61511 w projektowaniu przyrządowych<br />
systemów bezpieczeństwa SIS (safety instrumented system)<br />
Sprzęt do sektora<br />
procesowego<br />
Stosowanie<br />
wypróbowanych<br />
urządzeń<br />
sprzętu<br />
Według<br />
IEC 61511<br />
Normy przyrządowych<br />
systemów bezpieczeństwa<br />
sektora procesowego<br />
Stosowanie<br />
sprzętu<br />
opracowanego<br />
i ocenionego<br />
według<br />
IEC 61508<br />
Według<br />
IEC 61511<br />
Wytworzenie<br />
oprogramowania<br />
posadowionego<br />
(systemowego)<br />
Według<br />
IEC 61508-3<br />
Oprogramowanie do<br />
sektora procesowego<br />
Wytworzenie<br />
oprogramowania<br />
aplikacyjnego<br />
przy użyciu<br />
języków o pełnej<br />
zmienności<br />
Według<br />
IEC 61508-3<br />
Wytworzenie<br />
oprogramowania<br />
aplikacyjnego przy<br />
użyciu języków<br />
o ograniczonej<br />
zmienności lub<br />
stałych programów<br />
Według<br />
IEC 61511<br />
42
Warstwy zabezpieczeniowo-ochronne instalacji podwyższonego<br />
ryzyka w nawiązaniu do PN-EN 61511<br />
Przykładowe warstwy zabezpieczeń instalacji przemysłowej<br />
5. Systemy zabezpieczeń inżynieryjnych (zawory, kurtyny, obudowy)<br />
4. Systemy automatyki zabezpieczeniowej SIS<br />
3. System alarmowy AS i interwencje operatorów<br />
2. Podstawowy system sterowania<br />
BPCS<br />
1. Instalacja<br />
procesowa<br />
BPCS – basic process control system (podstawowy system sterowania)<br />
AS – alarm system (system alarmowy)<br />
SIS – safety instrumented system (przyrządowy system bezpieczeństwa)<br />
43<br />
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions<br />
44<br />
in BPCS and combined systems. Kenexis Consulting Corporation. Internet, March 2011.<br />
Przykładowe warstwy w systemie sterowania<br />
i zabezpieczeń<br />
Przykładowa struktura systemu BPCS i SIS<br />
Basic Process Control System<br />
Safety Instrumented System<br />
BPCS<br />
OPERATOR<br />
Niezależność<br />
warstw ?<br />
SIS<br />
Przykładowe powiązanie funkcji<br />
realizowanych przez BPCS (kolor niebieski)<br />
i SIS (kolor czerwony).<br />
45<br />
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions<br />
in BPCS and combined systems. Kenexis Consulting Corporation. Internet: March 2011. 46<br />
Działania systemów BPCS i SIS typu „mimic”<br />
Przykład funkcji zabezpieczającej realizowanej tylko przez BPCS<br />
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions in BPCS<br />
and combined systems. Kenexis Consulting Corporation. Internet: March 2011. 47<br />
Źródło: E.M.Marszal, C.P.Weil: Implementing protective functions in BPCS<br />
and combined systems. Kenexis Consulting Corporation. Internet: March 2011. 48
Wyprzedzające działanie<br />
BPCS jeśli 5 z 50 czujników<br />
temperatury zarejestruje<br />
wartość przekraczającą<br />
ustalone progi.<br />
Przykład inicjowania przez BPCS działania SIS wyłączającego<br />
reaktor, niekrytycznego ze względu na bezpieczeństwo<br />
Na przykładzie produkcji<br />
tlenku etylenu (ethylene oxide).<br />
Jeśli działanie BPCS okaże się<br />
nieskuteczne następuje działanie<br />
SIS.<br />
49<br />
50<br />
BPCS i SIS w systemie sterowania<br />
obiektem/procesem podwyższonego ryzyka<br />
Warstwy zabezpieczeń PL (protection layers), które mogą być<br />
strukturalnie i funkcjonalnie zależne<br />
PLANT / PROCESSES<br />
PL1<br />
BPCS<br />
PL2<br />
OPERATOR<br />
PL3<br />
SIS / ESD<br />
Equiment under<br />
control (EUC)<br />
EUC (SIS)<br />
STC (SIS)<br />
EUC<br />
STC<br />
AS / DSS<br />
Safety-related<br />
system (SRS)<br />
Safety<br />
Instrumented<br />
System (SIS)<br />
State control,<br />
Testing, Supervision<br />
Information /<br />
Interface<br />
Basic Process<br />
Control System<br />
(BPCS)<br />
Decisons /<br />
Control<br />
SRS<br />
Information /<br />
Interface<br />
INFORMATION / ALARMS > HUMAN OPERATORS > DECISIONS<br />
Sensors /<br />
Transducers /<br />
Converters<br />
(STC)<br />
51<br />
Z<br />
i<br />
I<br />
i<br />
F<br />
Hazardous industrial installation<br />
W przypadku założenia niezależności warstw<br />
I<br />
i<br />
= Fi<br />
⋅ PFDi<br />
; PL1<br />
⋅ PFDi<br />
; PL2<br />
⋅ PFDi<br />
; PL3<br />
= F ⋅ PFD<br />
Ogólnie mogą występować zależności i dlatego należy uwzględniać<br />
prawdopobieństwa warunkowe<br />
F = F ⋅ P<br />
) = F ⋅ PFD<br />
( X<br />
i;<br />
PL1<br />
| I)<br />
⋅ P(<br />
X<br />
i;<br />
PL2<br />
| I ⋅ X<br />
i;<br />
PL1)<br />
⋅ P(<br />
X<br />
i;<br />
PL3<br />
| I ⋅ X<br />
i;<br />
PL1X<br />
i;<br />
PL2<br />
I<br />
i<br />
i<br />
I<br />
i<br />
52<br />
Z<br />
i<br />
Projektowanie systemu<br />
sterowania i zabezpieczeń<br />
Process definition<br />
and hazard identification<br />
Przykład matrycy warstw bezpieczeństwa<br />
(safety layer matrix – EN 61511)<br />
The protection layers include:<br />
PL1 – basic process control system<br />
(BPCS),<br />
PL2 – human-operator (OPERATOR),<br />
who supervises the process and<br />
intervenes in cases of abnormal<br />
situations and during<br />
emergencies that are indicated<br />
by the alarm system,<br />
PL3 – safety instrumented system<br />
(SIS), which can perform<br />
a function of emergency<br />
shutdown (ESD).<br />
Preliminary risk analysis and<br />
defining safety related functions<br />
Risk mitigation and control strategy<br />
BPCS design including DSS,<br />
HMI and AS<br />
SIS design<br />
Risk assessment and control system<br />
integrity validation<br />
Number of PLs<br />
3<br />
2<br />
1<br />
Hazardous<br />
event<br />
likelihood<br />
C<br />
C<br />
SIL1<br />
Low<br />
C<br />
C<br />
SIL1<br />
Medium<br />
Minor<br />
Safety integrity level (SIL) required<br />
C C C C C<br />
SIL1 C SIL1 SIL2 SIL1<br />
SIL2<br />
High<br />
SIL1<br />
Low<br />
SIL2<br />
Medium<br />
Serious<br />
SIL3<br />
B<br />
High<br />
Hazardous event severity rating<br />
SIL3<br />
B<br />
Low<br />
SIL1<br />
SIL2<br />
SIL3<br />
B<br />
Medium<br />
Extensive<br />
SIL1<br />
SIL3<br />
B<br />
SIL3<br />
A<br />
High<br />
PL1 and PL2 general structure:<br />
A. Sensors<br />
KAooNA<br />
B. Logic<br />
KBooNB<br />
C. Actuators<br />
KCooNC<br />
No<br />
Criteria<br />
met?<br />
Yes<br />
53<br />
A. One level SIL3 safety instrumented function does not provide sufficient risk reduction at this<br />
risk level. Additional modifications are required in order to reduce risk (this approach is not<br />
considered suitable for SIL4).<br />
B. One level SIL3 safety instrumented function does not provide sufficient risk reduction at this<br />
risk level. Additional review is required (this approach is not considered suitable for SIL4).<br />
54<br />
C. SIS independent protection layer is probably not needed.
Example of IPL credit requirements<br />
Levels of safety instrumented system (SIS) integration<br />
with basic process control system (BPCS)<br />
Adjusted<br />
initiating event frequency **<br />
f [a -1 ]<br />
10 -2 ≤ f<br />
10 -3 ≤ f < 10 -2<br />
10 -4 ≤ f < 10 -3<br />
10 -6 ≤ f < 10 -4<br />
f < 10 -6<br />
Number of IPL Credits Required *<br />
Consequence<br />
Category IV<br />
One fatality<br />
2<br />
1,5<br />
1<br />
0,5<br />
0<br />
Consequence<br />
Category V<br />
Multiple fatalities<br />
2,5<br />
2<br />
1,5<br />
1<br />
0,5<br />
B<br />
A<br />
ENG.<br />
HMI<br />
ENG.<br />
W/S<br />
W/S<br />
BPCS Gateway SIS<br />
ENG.<br />
HMI<br />
W/S<br />
C<br />
ENG.<br />
W/S<br />
HMI<br />
* Includes adjustments to the initiating event frequency for probabilities<br />
of ignition, person present and fatality<br />
** IPL credit is defined as a reduction in event frequency of 10 -2 .<br />
55<br />
BPCS<br />
SIS<br />
BPCS<br />
A - Interfaced, B - Integrated, and C – Common<br />
According to a white paper of Siemens<br />
SIS<br />
56<br />
Consultic Market Survey: Greatest Dangers<br />
With Respect to Network Security<br />
PROFIsafe Island within Security Zone<br />
Źródło: Materiały firmy Siemens dostępne w Internecie, marzec 2011. 57<br />
Źródło: Materiały firmy Siemens dostępne w Internecie, marzec 2011.<br />
58<br />
Cell protection concept and secure communications<br />
using security modules<br />
Uwagi końcowe<br />
Problematyka projektowania i użytkowania systemów sterowania i zabezpieczeń<br />
w przemyśle (rozpatrywana w cyklu życia) zyskuje na znaczeniu, szczególnie<br />
wzłożonych obiektach / instalacjach podwyższonego ryzyka.<br />
Źródło: Materiały firmy Siemens dostępne w Internecie, marzec 2011.<br />
59<br />
Rozwiązania bezpieczeństwa funkcjonalnego właściwie wprowadzane do praktyki<br />
przemysłowej przyczyniają się do racjonalnego zmniejszenia ryzyka związanego<br />
z eksploatacją złożonego obiektu, a tym samym szeroko rozumianych strat.<br />
Określanie wymaganego poziomu nienaruszalności bezpieczeństwa SIL funkcji<br />
związanych z bezpieczeństwem na podstawie analizy zagrożeń i ryzyka,<br />
a następnie weryfikacja SIL systemów E/E/PE, BPCS lub SIS realizujących te<br />
funkcje w procesie modelowania probabilistycznego są niekiedy wyzwaniem ze<br />
względu na wpływ różnych czynników ryzyka i występujące niepewności, co<br />
wpływa na konieczność korzystania z metod bazujących na informacji jakościowej.<br />
Normy bezpieczeństwa funkcjonalnego - PN-EN 61508) i normy sektorowe (np.<br />
PN-EN 61511) wymagają starannego przestudiowania w celu stosowania<br />
w analizach wymagań metodycznych i odpowiednich kryteriów.<br />
Normy bezpieczeństwa funkcjonalnego są uaktualniane w czasie. Na przykład<br />
opracowano niedawno uaktualnioną wersję normy IEC 61508 (2010). Nowym<br />
zagadnieniem jest problem ochrony informacji w przemysłowych sieciach<br />
komputerowych.<br />
60