79. Szkoda M., Kaczor G.: Ocena bezpieczeństwa funkcjonalnego

KACZOR Grzegorz1
SZKODA Maciej2
Ocena bezpieczeństwa funkcjonalnego systemów technicznych według
wymagań normy EN 61508
WSTĘP
Ważnym zagadnieniem w rozważaniach związanych z systemami technicznymi jest
bezpieczeństwo. Określenie bezpieczny wskazuje na taki zbiór cech systemu, które sprawiają, że nie
zagraża on życiu i zdrowiu użytkownika, środowisku naturalnemu lub funkcjonowaniu innych
obiektów [5]. Norma EN 61508 jest powszechnie uznaną normą w dziedzinie bezpieczeństwa
funkcjonalnego systemów wykorzystujących złożone układy elektroniczne i programowalne, których
awaria może mieć wpływ na bezpieczeństwo osób i / lub środowiska. Opisuje metody klasyfikowania
ryzyka i określa wymagania, jak uniknąć, wykrywania i kontroli systematycznych błędów
projektowych, szczególnie w przypadku awarii sprzętowych i uszkodzeń spowodowanych wspólną
przyczyną, oraz w mniejszym zakresie obsługi i błędów utrzymania [2]. Programowalne urządzenia
automatyki są odpowiedzialne za wykonywanie coraz większej ilości funkcji związanej
z zapewnieniem wymaganego poziomu bezpieczeństwa. Norma EN 61508 zawiera szczegółowe
wytyczne umożliwiające realizację i ocenę systemu związanego z bezpieczeństwem, który ma
zredukować ryzyko uszkodzeń do minimalnego akceptowalnego poziomu zgodnie z zasadą ALARP
(As Low As Reasonably Practicable). Istotną kwestią dla każdego systemu lub urządzenia jest poziom
pewności, że wymagane ich działania będą mogły być realizowane w chwili, w której jest to
wymagane. Jest to zwykle wyrażone za pomocą prawdopodobieństwa.
1. CYKL ŻYCIA BEZPIECZEŃSTWA
W celu usystematyzowanego prowadzenia wszystkich czynności koniecznych do osiągnięcia
wymaganego poziomu bezpieczeństwa, w normie EN 61508 zdefiniowano cykl życia bezpieczeństwa
(rys. 1). W odniesieniu do wszystkich faz cyklu życia bezpieczeństwa norma precyzuje:
– cele, jakie mają zostać osiągnięte;
– zakres fazy;
– dane wejściowe wymagane do fazy;
– dane wyjściowe wymagane do spełnienia wymagań.
Analizując cele i zakres poszczególnych faz, cykl życia bezpieczeństwa można podzielić na trzy
etapy. Pierwszym z nich jest etap analizy, który związany jest z analizą ryzyka, identyfikacją zagrożeń
np.: zagrożenia wynikające z procesu, zagrożenia związane ze środowiskiem itp., jak również
określeniem prawdopodobieństwa i konsekwencji ich wystąpienia. W ramach pierwszego etapu
dokonywana jest ocena wymagań co do systemu bezpieczeństwa i poziomu nienaruszalności
bezpieczeństwa (SIL). Drugi etap to realizacja, nakierowana na zaprojektowanie przyrządowego
systemu bezpieczeństwa (SIS) zgodnego ze specyfikacją funkcji bezpieczeństwa i wymagań
nienaruszalności bezpieczeństwa. Ostatnim etapem jest eksploatacja, która obejmuje instalację
systemu, utrzymanie, obsługę oraz ewentualną modyfikację. Fazy te obejmują cały proces cyklu życia
systemu bezpieczeństwa od koncepcji do likwidacji [6].
Politechnika Krakowska im. Tadeusza Kościuszki w Krakowie, Wydział Mechaniczny; 31-864 Kraków; al. Jana Pawła II 37. Tel. +48 374 33 14, Fax:
+48 374 33 11, g. [email protected]
2
Politechnika Krakowska im. Tadeusza Kościuszki w Krakowie, Wydział Mechaniczny; 31-864 Kraków; al. Jana Pawła II 37. Tel. +48 374 35 12, Fax:
+48 374 33 11, [email protected]
1
670
Rys. 1. Schemat cyklu życia bezpieczeństwa [1]
2. POZIOMY NIENARUSZALNOŚCI BEZPIECZEŃSTWA
Zgodnie z normą EN 61508 obliczenia dla systemu związanego z bezpieczeństwem zależą od
rodzaju pracy tego systemu [6]. Norma dotyczy systemów bezpieczeństwa pracujących zarówno na
przywołanie rzadkie (np. system awaryjnego wyłączenia), jak i na przywołanie ciągłe (np. system
nadzorujący określony proces):
– rodzaj pracy na rzadkie przywołanie – gdy system związany z bezpieczeństwem jest
przywoływany nie częściej niż raz na rok i nie częściej niż wynosi dwukrotność testów
okresowych,
– rodzaj pracy na częste przywołanie lub ciągłe przywołanie – gdy system związany
z bezpieczeństwem jest przywoływany częściej niż raz na rok i częściej niż wynosi dwukrotność
testów okresowych.
Dla pętli dozorowej, pracującej na przywołanie rzadkie, odpowiednim wskaźnikiem do oceny
bezpieczeństwo funkcjonalnego jest średnie prawdopodobieństwo uszkodzenia PFDavg. W przypadku
przywołania ciągłego, do oceny prawdopodobieństwa wystąpienia uszkodzenia stosowany jest
wskaźnik PFH. Dla każdego zintegrowanego systemu bezpieczeństwa norma wymaga określenia
pewnych kryteriów oceny niezawodności [4]. Kryteria te muszą być przyporządkowane do
zintegrowanych funkcji bezpieczeństwa (SIF). Uproszczony schemat struktury zintegrowanego
systemu bezpieczeństwa przedstawiono na rysunku 2, gdzie zgodnie z normą wyróżniono trzy
podsystemy zapewniające realizację wybranej funkcji bezpieczeństwa:
671
– podsystem czujnikowy (PC) dostarczający informacji o wartościach określonych parametrów
z obszaru, który objęty jest systemem bezpieczeństwa realizującym określone funkcje
bezpieczeństwa,
– podsystem logiczny (PL), który zgodnie z zaprogramowaną logiką wykonuje operacje logiczne
na sygnałach z czujników i w ich wyniku generuje odpowiedni sygnał dla danej funkcji
bezpieczeństwa przesyłając go do układów sterujących elementami wykonawczymi,
– podsystem wykonawczy (PW) realizujący w razie konieczności wymagane czynności dla danej
funkcji bezpieczeństwa.
Rys. 2. Uproszczony schemat systemu bezpieczeństwa [1]
Wyznaczenie prawdopodobieństwa niebezpiecznego uszkodzenia na godzinę (PFH) każdego z
podsystemów i ich zsumowanie daje (zgodnie z EN 61508-6) prawdopodobieństwo niebezpiecznego
uszkodzenia na godzinę (PFHSYS) całego systemu, zgodnie z poniższą zależnością.
PFHSYS  PFHS  PFHPL  PFHFE
(1)
Norma EN 61508 wykorzystuje poziomy nienaruszalności bezpieczeństwa (SIL) jako miarę
niezawodności systemów (tabela 1).
Tab. 1. Poziomy nienaruszalności bezpieczeństwa wg IEC 61508
Poziom nienaruszalności
bezpieczeństwa
SIL 4
Prawdopodobieństwo niebezpiecznego
uszkodzenia na przywołanie rzadkie PFD
od 10-5 do 10-4
Prawdopodobieństwo niebezpiecznego
uszkodzenia na przywołanie ciągłe PFH
od 10-9 do 10-8
SIL 3
od 10-4 do 10-3
od 10-8 do 10-7
SIL 2
od 10-3 do 10-2
od 10-7 do 10-6
SIL 1
od 10-2 do 10-1
od 10-6 do 10-5
Ocena, że niezawodność systemu i prawdopodobieństwo niebezpiecznego uszkodzenia jest
wystarczające dla określonego poziomu SIL, odbywa się poprzez analizę defektów, danych
eksploatacyjnych i niezawodności elementów systemu. Przegląd różnych metod analitycznych można
znaleźć w normie EN 61508-7. Wyróżnia ona między innymi:
– Niezawodnościowy diagram blokowy (RBD)
Cel: przedstawienie modelu obiektu w postaci schematycznej i określenie zbioru zdarzeń,
niezbędnych do jego prawidłowego funkcjonowania.
– Analizę przyczyn i skutków uszkodzeń (FMEA)
672
Cel: Metoda ta ma na celu zapobieganie skutkom wad, które mogą wystąpić w fazie
projektowania oraz w fazie wytwarzania [10].
– Analizę drzewa uszkodzeń (FTA)
Cel: analiza kombinacji zdarzeń prowadzących do wystąpienia zagrożenia i poważnych jego
konsekwencji.
– Analizę drzewa zdarzeń (ETA)
Cel: podobnie jak w przypadku FTA – modelowanie i przedstawianie w postaci schematycznej
sekwencji zdarzeń, które ukazuje konsekwencje ich występowania.
– Modele Markova
Cel: Modelowanie zachowania się systemu w trakcie eksploatacji za pomocą grafów oraz ocena
jego parametrów probabilistycznych. Metoda zalecana w przypadku gdy redundancja systemu
zmienia się w trakcie eksploatacji z uwagi na uszkodzenie elementów i ich odnowę [7].
Wybór z wyżej wymienionych technik analitycznych jest w dużej mierze uzależniony od
konkretnego przypadku.
3. ZWIĄZEK MIĘDZY RYZYKIEM I NIENARUSZALNOŚCIĄ BEZPIECZEŃSTWA
Nienaruszalność bezpieczeństwa jest definiowana jako prawdopodobieństwo satysfakcjonującego
wykonania wymaganej funkcji bezpieczeństwa we wszystkich określonych warunkach
i w określonym przedziale czasu [1]. Nienaruszalność bezpieczeństwa odnosi się do skuteczności,
z jaką systemy związane z bezpieczeństwem wykonują funkcje bezpieczeństwa.
Ryzyko jest miarą prawdopodobieństwa i konsekwencji zaistnienia określonego zdarzenia
zagrażającego. Ocenione może być ono dla różnych sytuacji: ryzyko wyposażenia będącego pod
kontrolą, ryzyko wymagane dla spełnienia ryzyka tolerowalnego, ryzyko rzeczywiste (rysunek 3).
Nienaruszalność bezpieczeństwa ma zastosowanie w odniesieniu do systemów programowalnych
związanych z bezpieczeństwem, systemów wykonanych w innych technikach oraz zewnętrznych
sposobów zmniejszających ryzyko i jest miarą prawdopodobieństwa, że te systemy/sposoby
zadowalająco zapewnią konieczne zmniejszenie ryzyka w odniesieniu do określonych funkcji
bezpieczeństwa. Rolę, jaką systemy związane z bezpieczeństwem odgrywają w osiąganiu
koniecznego zmniejszenia ryzyka, zilustrowano na rysunkach 3 i 4.
Rys. 3. Zmniejszenie ryzyka, ogólna koncepcja [1]
673
Rys. 4. Koncepcja ryzyka i nienaruszalności bezpieczeństwa [1]
Podczas dokonywania weryfikacji poziomów SIL, główna uwaga skupiona jest na bezpieczeństwie
systemu. Istotną cechą, jak i miarą ilościową bezpieczeństwa każdego system jest jego niezawodność
[9]. Jest ona wyznaczana w celu ukazania, że obiekt techniczny jest w stanie wykonywać powierzone
mu zadania w określonym czasie i odpowiednich warunkach eksploatacji. Do określenia
niezawodności obiektu wykorzystywane są wybrane wskaźniki funkcyjne [3].
Wartości tych wskaźników zestawione z podstawowymi wskaźnikami funkcyjnymi
prawdopodobieństwa poprawnej pracy determinują udział uszkodzeń bezpiecznych (SSF), które
z kolei przyporządkowują system techniczny do określonego poziomu SIL. Poniżej przedstawiono
opis wybranych wskaźników, wykorzystywanych do oceny bezpieczeństwa:
– MTBF (Mean Time Between Failure - średni czas miedzy uszkodzeniami) jest jedną
z podstawowych wielkości statystycznych, określających prawdopodobieństwo wystąpienia
uszkodzenia obiektu. Wyrażana w jednostkach ilości wykonanej pracy (najczęściej w czasie).
Wyznacza się ją w oparciu o dane, które mogą być wynikiem pewnych obserwacji w trakcie
eksploatacji, wynikiem badań przyspieszonych lub zbiorem informacji dotyczących ilości
zgłaszanych awarii. Różnica między tymi danymi mogą prowadzić do powstania nieścisłości.
W związku z tym uznawanie wartości MTBF za wiarygodną w każdym przypadku nie wydaje się
racjonalnym podejściem. W przypadku oceny bezpieczeństwa systemów technicznych wartość ta
może być brana pod uwagę jako jeden ze składników do wyznaczania prawdopodobieństwa
uszkodzenia niebezpiecznego.
– MTTR (Mean Time To Repair - średni czas do wykonania odnowy) jest to średnia wartość czasu
pracy liczona do chwili przywrócenia uszkodzonemu obiektowi stanu zdatności. Wartość ta jest
ściśle uzależniona od warunków, w jakich eksploatowany jest obiekt oraz czasu dostępu do części
zamiennych. Przykładowo, obiekt eksploatowany w pobliżu fabryki producenta lub magazynu
z częściami zamiennymi może mieć wyższą wartość wskaźnika MTTR niż obiekt pracujący
w trudno dostępnej lokalizacji.
– PFH (Probability of Failure per Hour - prawdopodobieństwo niewypełnienia funkcji na godzinę lub
prawdopodobieństwo uszkodzenia niebezpiecznego) jest miarą statystyczną, mówiąca o zdolności
obiektu do spełniania swoich funkcji użytkowych. Wartość ta zależy od niezawodności, okresu
eksploatacji jak również częstości przywołań. Do wyznaczenia prawdopodobieństwa PFD
niezbędne jest określenie wskaźnika intensywności uszkodzeń systemu. Zgodnie z normą
intensywność uszkodzeń systemu λ może być wyrażona jako [2]:
  S  D
gdzie:
– λS – intensywność uszkodzeń bezpiecznych (failure rate for all dangerous failures);
– λD – intensywność uszkodzeń niebezpiecznych (failure rate for all safe failures).
674
(2)
Wielkości te są dalej kategoryzowane na wykrywalne i niewykrywalne w celu odzwierciedlenia
zdolności diagnostycznych systemu:
S  SD  SU
oraz
D  DU  DD 
(3)

2
(4)
gdzie:
– λSD – intensywność uszkodzeń bezpiecznych wykrywalnych;
– λSU – intensywność uszkodzeń bezpiecznych niewykrywalnych;
– λDD – intensywność uszkodzeń niebezpiecznych wykrywalnych;
– λDU – intensywność uszkodzeń niebezpiecznych niewykrywalnych.
Zawarte w normie EN 61508 procedury obliczeniowe dotyczące oceny bezpieczeństwa
funkcjonalnego odnoszą się głównie do trzech podsystemów:
– podsystemu czujnikowego,
– podsystemu logicznego,
– podsystemu wykonawczego.
Podsystem czujnikowy może zawierać takie elementy, jak np.: czujniki, bariery, obwody
dopasowujące sygnały wejściowe. Do podsystemu logicznego należą układy procesorowe
i urządzenia wybierające, natomiast w skład podsystemu wykonawczego wchodzą obwody
dopasowujące wyjścia, bariery i siłowniki. Każdy z wymienionych podsystemów można przedstawić
w postaci z jednej grupy głosowania: 1oo2, 1oo2, 1oo2D, 2oo3. Poniżej przedstawiono uproszczony
opis dla dwóch wybranych grup głosowania – 1oo2 (najprostsza) oraz 2oo3 (najbardziej złożona) dla
przywołania ciągłego.
3.1. Architektura 1oo1
Architektura 1oo1 dotyczy przypadku, w którym wystąpienie uszkodzenia co najmniej jednego
dowolnego kanału uniemożliwia dalszą realizację funkcji bezpieczeństwa.
λDU
tc1
λD
tCE
λDD
tc2
Rys. 5. Schemat blokowy niezawodnościowy 1oo1
Zależności służące do wyznaczenia prawdopodobieństwa niewypełnienia funkcji bezpieczeństwa
systemu dla architektury 1oo1 wg EN 61508-6 wynoszą:
tCE 
DU  T1
 
  MTTR   DD MTTR
D  2
 D
DU 

2
1  DC ; DD   DC
2
(5)
(6)
gdzie:
– tCE – średni czas przestoju odnoszący się do wszystkich elementów w danym kanale
(w godzinach);
– T1 – odstęp testu okresowego;
– MTTR – średni czas do wykonania odnowy (w godzinach);
– DC – pokrycie diagnostyczne;
– λD – intensywność uszkodzeń niebezpiecznych;
– λ, λDU, λDD – j.w.
675
Średnie prawdopodobieństwo niewypełnienia funkcji bezpieczeństwa, realizowanej na przywołanie
ciągłe jest równe:
PFHG  DU
(7)
3.2. Architektura 2oo3
Architektura 2oo3 zawiera 3 kanały połączone w strukturę równoległą z głosowaniem
większościowym. Uszkodzenie niebezpieczne w dwóch dowolnych kanałach prowadzi do
niewypełnienia funkcji bezpieczeństwa przez system.
λDU
tc1
λD
tCE
λDD
tc2
2oo3
Uszkodzenia
o wspólnej
przyczynie
Rys. 6. Schemat blokowy niezawodnościowy 2oo3
Zależność służąca do wyznaczenia prawdopodobieństwa niewypełnienia funkcji bezpieczeństwa
systemu dla architektury 2oo3 wg EN 61508-6:
PFHG  6 1   D DD  1   DU  tCE   DDD  DU
2
(8)
gdzie:
– βD – udział uszkodzeń o wspólnej przyczynie wykrytych przez testy diagnostyczne,
– β – udział uszkodzeń o wspólnej przyczynie nie wykrytych przez testy diagnostyczne,
– pozostałe oznaczenia j.w.
Przedstawione rodzaje architektury systemu bezpieczeństwa odnoszą się do progowych struktur
niezawodności. W przypadku architektury 1oo1 mamy do czynienia ze strukturą progową typu 1 z n,
która jest powszechnie znana jako struktura szeregowa. Natomiast architektura 2oo3 nawiązuje do
struktury progowej typu k z n, w której istnieje minimalna liczba ścieżek zdatności, które są
wymagane do poprawnego działania systemu [3].
4. PODSUMOWANIE
Spełnienie wymagań bezpieczeństwa systemów technicznych w świetle normy PN 61508 jest
związane z wykryciem pojedynczego zagrożenia, którego wystąpienie prowadzi do nie wykonania
określonej funkcji bezpieczeństwa. W przypadku, gdy system bezpieczeństwa składa się z bardzo
dużej liczby elementów, posiada zwykle złożoną strukturę niezawodnościową, jak np.: struktura
progowa typu k z n, czy z rezerwą przesuwającą się. Z praktycznego punktu widzenia komplikuje to
dokładne określenie potencjalnych zagrożeń i ich wczesne wykrycie przez urządzenia elektroniczne
oraz przeprowadzenie analizy poprawności działania w różnych warunkach eksploatacji. W celu
zabezpieczenia urządzeń nadzorujących przed utratą funkcji bezpieczeństwa wprowadza się ich tzw.
okresową kontrolę (diagnostykę techniczną). W dodatku, norma nie zawiera wystarczającego opisu,
dotyczącego postępowania w przypadku tak złożonych systemów. Dlatego też powstają liczne
opracowania pomocnicze, które oprócz wytycznych znajdujących się w normie PN 61508 są
rozbudowane o praktyczne przykłady zastosowania standardów bezpieczeństwa w zależności od danej
branży przemysłu [8].
676
Streszczenie
Współczesne systemy techniczne charakteryzują się wysokim stopniem złożoności i odpowiedzialności za
realizację określonych funkcji użytkowych. W związku z tym skutki niewłaściwego działania i uszkodzenia tych
systemów stają się coraz poważniejsze. Konieczna jest zatem ciągła kontrola wybranych wskaźników
eksploatacyjnych wszystkich elementów złożonych systemów, w celu wczesnego wykrycia zagrożenia. Kontrola
ta odbywa się dzięki pracy urządzeń elektroniki i automatyki, które również posiadają ograniczoną
niezawodność. Powszechny problem zapewnienia wymaganego poziomu bezpieczeństwa zmusił to
Międzynarodową Komisję Elektrotechniczną (IEC) do ustalenie pewnych standardów dotyczących
bezpieczeństwa urządzeń elektroniki i automatyki (EN 61508). Standardy te dotyczą tzw. poziomów
nienaruszalności bezpieczeństwa (SIL) i są obecnie wiodącymi zasadami normatywnymi, respektowanymi przez
dominujących producentów systemów bezpieczeństw na całym świecie. Przedstawiona praca porusza wybrane
zagadnienia związane z zapewnieniem wymaganego poziomu bezpieczeństwa, zawarte w normie EN 61508.
Functional safety assessment of technical systems in accordance with EN
61508
Abstract
Modern technical systems are characterized by a high degree of complexity and responsibility for
implementation of specific utility functions. Therefore, the effects of improper operation and damage of such
systems become more serious. It requires a continuous monitoring of selected indicators of all operating system
elements for early detection of hazards. It is possible due to operation of electronic and automation devices,
which also have a limited reliability. A common problem to ensure the required level of safety forced the
International Electrotechnical Commission (IEC) to set certain standards for the safety of electronics and
automation devices (EN 61508). These standards relate do safety integrity levels (SIL) and they are now the
leading normative principles, respected by the dominant manufactures of safety systems around the world. This
paper concerns the selected issues related to ensuring the required level of safety, described in EN 61508
standard.
BIBLIOGRAFIA
1. EN 61508 Functional safety of electrical/electronic/programmable electronic safety-related
systems.
2. Faller R., Project experience with IEC 61508 and its consequences. Computer Safety, Reliability
and Security. Springer, Berlin Heidelberg 2001.
3. Manzini R., Regattieri A., Pham H., Ferrari E., Maintenance for Industrial Systems. SpringerVerlag, London 2010.
4. O’Conor P.D.T., Newton D., Bromley R., Practical Reliability Engineering. Wiley-IEEE, West
Sussex 2000.
5. Pamuła W., Niezawodność i bezpieczeństwo. Wydawnictwo Politechniki Śląskiej, Gliwice 2011.
6. Riyaz A., How to Implement a Safety Life-Cycle. Valve Magazine 2007, 19(3): 1-6.
7. Rouvroye J.L., Wiegerinck J.A.M. Minimizing costs while meeting safety requirements: Modeling
deterministic (imperfect) staggered tests using standard Markov models for SIL calculations. ISA
Transactions 2006; 45(4): 611-621.
8. Smith D.J., Kenneth G., Simpson K.G.L., Safety Critical Systems Handbook. A Straightforward
Guide to Functional Safety, IEC 61508 and Related Standards. Elsevier, Oxford 2010.
9. Szkoda M., Assessment of reliability, availability and maintainability of rail gauge change
systems. Eksploatacja i Niezawodnosc – Maintenance and Reliability 2014; 16 (3): 422–432.
10. Szkoda M., Kaczor G., Analiza przyczyn i skutków uszkodzeń (FMEA) w zastosowaniu do
pojazdów szynowych. Pojazdy Szynowe 2/2014.
677