79. Szkoda M., Kaczor G.: Ocena bezpieczeństwa funkcjonalnego
Transkrypt
79. Szkoda M., Kaczor G.: Ocena bezpieczeństwa funkcjonalnego
KACZOR Grzegorz1 SZKODA Maciej2 Ocena bezpieczeństwa funkcjonalnego systemów technicznych według wymagań normy EN 61508 WSTĘP Ważnym zagadnieniem w rozważaniach związanych z systemami technicznymi jest bezpieczeństwo. Określenie bezpieczny wskazuje na taki zbiór cech systemu, które sprawiają, że nie zagraża on życiu i zdrowiu użytkownika, środowisku naturalnemu lub funkcjonowaniu innych obiektów [5]. Norma EN 61508 jest powszechnie uznaną normą w dziedzinie bezpieczeństwa funkcjonalnego systemów wykorzystujących złożone układy elektroniczne i programowalne, których awaria może mieć wpływ na bezpieczeństwo osób i / lub środowiska. Opisuje metody klasyfikowania ryzyka i określa wymagania, jak uniknąć, wykrywania i kontroli systematycznych błędów projektowych, szczególnie w przypadku awarii sprzętowych i uszkodzeń spowodowanych wspólną przyczyną, oraz w mniejszym zakresie obsługi i błędów utrzymania [2]. Programowalne urządzenia automatyki są odpowiedzialne za wykonywanie coraz większej ilości funkcji związanej z zapewnieniem wymaganego poziomu bezpieczeństwa. Norma EN 61508 zawiera szczegółowe wytyczne umożliwiające realizację i ocenę systemu związanego z bezpieczeństwem, który ma zredukować ryzyko uszkodzeń do minimalnego akceptowalnego poziomu zgodnie z zasadą ALARP (As Low As Reasonably Practicable). Istotną kwestią dla każdego systemu lub urządzenia jest poziom pewności, że wymagane ich działania będą mogły być realizowane w chwili, w której jest to wymagane. Jest to zwykle wyrażone za pomocą prawdopodobieństwa. 1. CYKL ŻYCIA BEZPIECZEŃSTWA W celu usystematyzowanego prowadzenia wszystkich czynności koniecznych do osiągnięcia wymaganego poziomu bezpieczeństwa, w normie EN 61508 zdefiniowano cykl życia bezpieczeństwa (rys. 1). W odniesieniu do wszystkich faz cyklu życia bezpieczeństwa norma precyzuje: – cele, jakie mają zostać osiągnięte; – zakres fazy; – dane wejściowe wymagane do fazy; – dane wyjściowe wymagane do spełnienia wymagań. Analizując cele i zakres poszczególnych faz, cykl życia bezpieczeństwa można podzielić na trzy etapy. Pierwszym z nich jest etap analizy, który związany jest z analizą ryzyka, identyfikacją zagrożeń np.: zagrożenia wynikające z procesu, zagrożenia związane ze środowiskiem itp., jak również określeniem prawdopodobieństwa i konsekwencji ich wystąpienia. W ramach pierwszego etapu dokonywana jest ocena wymagań co do systemu bezpieczeństwa i poziomu nienaruszalności bezpieczeństwa (SIL). Drugi etap to realizacja, nakierowana na zaprojektowanie przyrządowego systemu bezpieczeństwa (SIS) zgodnego ze specyfikacją funkcji bezpieczeństwa i wymagań nienaruszalności bezpieczeństwa. Ostatnim etapem jest eksploatacja, która obejmuje instalację systemu, utrzymanie, obsługę oraz ewentualną modyfikację. Fazy te obejmują cały proces cyklu życia systemu bezpieczeństwa od koncepcji do likwidacji [6]. Politechnika Krakowska im. Tadeusza Kościuszki w Krakowie, Wydział Mechaniczny; 31-864 Kraków; al. Jana Pawła II 37. Tel. +48 374 33 14, Fax: +48 374 33 11, g. [email protected] 2 Politechnika Krakowska im. Tadeusza Kościuszki w Krakowie, Wydział Mechaniczny; 31-864 Kraków; al. Jana Pawła II 37. Tel. +48 374 35 12, Fax: +48 374 33 11, [email protected] 1 670 Rys. 1. Schemat cyklu życia bezpieczeństwa [1] 2. POZIOMY NIENARUSZALNOŚCI BEZPIECZEŃSTWA Zgodnie z normą EN 61508 obliczenia dla systemu związanego z bezpieczeństwem zależą od rodzaju pracy tego systemu [6]. Norma dotyczy systemów bezpieczeństwa pracujących zarówno na przywołanie rzadkie (np. system awaryjnego wyłączenia), jak i na przywołanie ciągłe (np. system nadzorujący określony proces): – rodzaj pracy na rzadkie przywołanie – gdy system związany z bezpieczeństwem jest przywoływany nie częściej niż raz na rok i nie częściej niż wynosi dwukrotność testów okresowych, – rodzaj pracy na częste przywołanie lub ciągłe przywołanie – gdy system związany z bezpieczeństwem jest przywoływany częściej niż raz na rok i częściej niż wynosi dwukrotność testów okresowych. Dla pętli dozorowej, pracującej na przywołanie rzadkie, odpowiednim wskaźnikiem do oceny bezpieczeństwo funkcjonalnego jest średnie prawdopodobieństwo uszkodzenia PFDavg. W przypadku przywołania ciągłego, do oceny prawdopodobieństwa wystąpienia uszkodzenia stosowany jest wskaźnik PFH. Dla każdego zintegrowanego systemu bezpieczeństwa norma wymaga określenia pewnych kryteriów oceny niezawodności [4]. Kryteria te muszą być przyporządkowane do zintegrowanych funkcji bezpieczeństwa (SIF). Uproszczony schemat struktury zintegrowanego systemu bezpieczeństwa przedstawiono na rysunku 2, gdzie zgodnie z normą wyróżniono trzy podsystemy zapewniające realizację wybranej funkcji bezpieczeństwa: 671 – podsystem czujnikowy (PC) dostarczający informacji o wartościach określonych parametrów z obszaru, który objęty jest systemem bezpieczeństwa realizującym określone funkcje bezpieczeństwa, – podsystem logiczny (PL), który zgodnie z zaprogramowaną logiką wykonuje operacje logiczne na sygnałach z czujników i w ich wyniku generuje odpowiedni sygnał dla danej funkcji bezpieczeństwa przesyłając go do układów sterujących elementami wykonawczymi, – podsystem wykonawczy (PW) realizujący w razie konieczności wymagane czynności dla danej funkcji bezpieczeństwa. Rys. 2. Uproszczony schemat systemu bezpieczeństwa [1] Wyznaczenie prawdopodobieństwa niebezpiecznego uszkodzenia na godzinę (PFH) każdego z podsystemów i ich zsumowanie daje (zgodnie z EN 61508-6) prawdopodobieństwo niebezpiecznego uszkodzenia na godzinę (PFHSYS) całego systemu, zgodnie z poniższą zależnością. PFHSYS PFHS PFHPL PFHFE (1) Norma EN 61508 wykorzystuje poziomy nienaruszalności bezpieczeństwa (SIL) jako miarę niezawodności systemów (tabela 1). Tab. 1. Poziomy nienaruszalności bezpieczeństwa wg IEC 61508 Poziom nienaruszalności bezpieczeństwa SIL 4 Prawdopodobieństwo niebezpiecznego uszkodzenia na przywołanie rzadkie PFD od 10-5 do 10-4 Prawdopodobieństwo niebezpiecznego uszkodzenia na przywołanie ciągłe PFH od 10-9 do 10-8 SIL 3 od 10-4 do 10-3 od 10-8 do 10-7 SIL 2 od 10-3 do 10-2 od 10-7 do 10-6 SIL 1 od 10-2 do 10-1 od 10-6 do 10-5 Ocena, że niezawodność systemu i prawdopodobieństwo niebezpiecznego uszkodzenia jest wystarczające dla określonego poziomu SIL, odbywa się poprzez analizę defektów, danych eksploatacyjnych i niezawodności elementów systemu. Przegląd różnych metod analitycznych można znaleźć w normie EN 61508-7. Wyróżnia ona między innymi: – Niezawodnościowy diagram blokowy (RBD) Cel: przedstawienie modelu obiektu w postaci schematycznej i określenie zbioru zdarzeń, niezbędnych do jego prawidłowego funkcjonowania. – Analizę przyczyn i skutków uszkodzeń (FMEA) 672 Cel: Metoda ta ma na celu zapobieganie skutkom wad, które mogą wystąpić w fazie projektowania oraz w fazie wytwarzania [10]. – Analizę drzewa uszkodzeń (FTA) Cel: analiza kombinacji zdarzeń prowadzących do wystąpienia zagrożenia i poważnych jego konsekwencji. – Analizę drzewa zdarzeń (ETA) Cel: podobnie jak w przypadku FTA – modelowanie i przedstawianie w postaci schematycznej sekwencji zdarzeń, które ukazuje konsekwencje ich występowania. – Modele Markova Cel: Modelowanie zachowania się systemu w trakcie eksploatacji za pomocą grafów oraz ocena jego parametrów probabilistycznych. Metoda zalecana w przypadku gdy redundancja systemu zmienia się w trakcie eksploatacji z uwagi na uszkodzenie elementów i ich odnowę [7]. Wybór z wyżej wymienionych technik analitycznych jest w dużej mierze uzależniony od konkretnego przypadku. 3. ZWIĄZEK MIĘDZY RYZYKIEM I NIENARUSZALNOŚCIĄ BEZPIECZEŃSTWA Nienaruszalność bezpieczeństwa jest definiowana jako prawdopodobieństwo satysfakcjonującego wykonania wymaganej funkcji bezpieczeństwa we wszystkich określonych warunkach i w określonym przedziale czasu [1]. Nienaruszalność bezpieczeństwa odnosi się do skuteczności, z jaką systemy związane z bezpieczeństwem wykonują funkcje bezpieczeństwa. Ryzyko jest miarą prawdopodobieństwa i konsekwencji zaistnienia określonego zdarzenia zagrażającego. Ocenione może być ono dla różnych sytuacji: ryzyko wyposażenia będącego pod kontrolą, ryzyko wymagane dla spełnienia ryzyka tolerowalnego, ryzyko rzeczywiste (rysunek 3). Nienaruszalność bezpieczeństwa ma zastosowanie w odniesieniu do systemów programowalnych związanych z bezpieczeństwem, systemów wykonanych w innych technikach oraz zewnętrznych sposobów zmniejszających ryzyko i jest miarą prawdopodobieństwa, że te systemy/sposoby zadowalająco zapewnią konieczne zmniejszenie ryzyka w odniesieniu do określonych funkcji bezpieczeństwa. Rolę, jaką systemy związane z bezpieczeństwem odgrywają w osiąganiu koniecznego zmniejszenia ryzyka, zilustrowano na rysunkach 3 i 4. Rys. 3. Zmniejszenie ryzyka, ogólna koncepcja [1] 673 Rys. 4. Koncepcja ryzyka i nienaruszalności bezpieczeństwa [1] Podczas dokonywania weryfikacji poziomów SIL, główna uwaga skupiona jest na bezpieczeństwie systemu. Istotną cechą, jak i miarą ilościową bezpieczeństwa każdego system jest jego niezawodność [9]. Jest ona wyznaczana w celu ukazania, że obiekt techniczny jest w stanie wykonywać powierzone mu zadania w określonym czasie i odpowiednich warunkach eksploatacji. Do określenia niezawodności obiektu wykorzystywane są wybrane wskaźniki funkcyjne [3]. Wartości tych wskaźników zestawione z podstawowymi wskaźnikami funkcyjnymi prawdopodobieństwa poprawnej pracy determinują udział uszkodzeń bezpiecznych (SSF), które z kolei przyporządkowują system techniczny do określonego poziomu SIL. Poniżej przedstawiono opis wybranych wskaźników, wykorzystywanych do oceny bezpieczeństwa: – MTBF (Mean Time Between Failure - średni czas miedzy uszkodzeniami) jest jedną z podstawowych wielkości statystycznych, określających prawdopodobieństwo wystąpienia uszkodzenia obiektu. Wyrażana w jednostkach ilości wykonanej pracy (najczęściej w czasie). Wyznacza się ją w oparciu o dane, które mogą być wynikiem pewnych obserwacji w trakcie eksploatacji, wynikiem badań przyspieszonych lub zbiorem informacji dotyczących ilości zgłaszanych awarii. Różnica między tymi danymi mogą prowadzić do powstania nieścisłości. W związku z tym uznawanie wartości MTBF za wiarygodną w każdym przypadku nie wydaje się racjonalnym podejściem. W przypadku oceny bezpieczeństwa systemów technicznych wartość ta może być brana pod uwagę jako jeden ze składników do wyznaczania prawdopodobieństwa uszkodzenia niebezpiecznego. – MTTR (Mean Time To Repair - średni czas do wykonania odnowy) jest to średnia wartość czasu pracy liczona do chwili przywrócenia uszkodzonemu obiektowi stanu zdatności. Wartość ta jest ściśle uzależniona od warunków, w jakich eksploatowany jest obiekt oraz czasu dostępu do części zamiennych. Przykładowo, obiekt eksploatowany w pobliżu fabryki producenta lub magazynu z częściami zamiennymi może mieć wyższą wartość wskaźnika MTTR niż obiekt pracujący w trudno dostępnej lokalizacji. – PFH (Probability of Failure per Hour - prawdopodobieństwo niewypełnienia funkcji na godzinę lub prawdopodobieństwo uszkodzenia niebezpiecznego) jest miarą statystyczną, mówiąca o zdolności obiektu do spełniania swoich funkcji użytkowych. Wartość ta zależy od niezawodności, okresu eksploatacji jak również częstości przywołań. Do wyznaczenia prawdopodobieństwa PFD niezbędne jest określenie wskaźnika intensywności uszkodzeń systemu. Zgodnie z normą intensywność uszkodzeń systemu λ może być wyrażona jako [2]: S D gdzie: – λS – intensywność uszkodzeń bezpiecznych (failure rate for all dangerous failures); – λD – intensywność uszkodzeń niebezpiecznych (failure rate for all safe failures). 674 (2) Wielkości te są dalej kategoryzowane na wykrywalne i niewykrywalne w celu odzwierciedlenia zdolności diagnostycznych systemu: S SD SU oraz D DU DD (3) 2 (4) gdzie: – λSD – intensywność uszkodzeń bezpiecznych wykrywalnych; – λSU – intensywność uszkodzeń bezpiecznych niewykrywalnych; – λDD – intensywność uszkodzeń niebezpiecznych wykrywalnych; – λDU – intensywność uszkodzeń niebezpiecznych niewykrywalnych. Zawarte w normie EN 61508 procedury obliczeniowe dotyczące oceny bezpieczeństwa funkcjonalnego odnoszą się głównie do trzech podsystemów: – podsystemu czujnikowego, – podsystemu logicznego, – podsystemu wykonawczego. Podsystem czujnikowy może zawierać takie elementy, jak np.: czujniki, bariery, obwody dopasowujące sygnały wejściowe. Do podsystemu logicznego należą układy procesorowe i urządzenia wybierające, natomiast w skład podsystemu wykonawczego wchodzą obwody dopasowujące wyjścia, bariery i siłowniki. Każdy z wymienionych podsystemów można przedstawić w postaci z jednej grupy głosowania: 1oo2, 1oo2, 1oo2D, 2oo3. Poniżej przedstawiono uproszczony opis dla dwóch wybranych grup głosowania – 1oo2 (najprostsza) oraz 2oo3 (najbardziej złożona) dla przywołania ciągłego. 3.1. Architektura 1oo1 Architektura 1oo1 dotyczy przypadku, w którym wystąpienie uszkodzenia co najmniej jednego dowolnego kanału uniemożliwia dalszą realizację funkcji bezpieczeństwa. λDU tc1 λD tCE λDD tc2 Rys. 5. Schemat blokowy niezawodnościowy 1oo1 Zależności służące do wyznaczenia prawdopodobieństwa niewypełnienia funkcji bezpieczeństwa systemu dla architektury 1oo1 wg EN 61508-6 wynoszą: tCE DU T1 MTTR DD MTTR D 2 D DU 2 1 DC ; DD DC 2 (5) (6) gdzie: – tCE – średni czas przestoju odnoszący się do wszystkich elementów w danym kanale (w godzinach); – T1 – odstęp testu okresowego; – MTTR – średni czas do wykonania odnowy (w godzinach); – DC – pokrycie diagnostyczne; – λD – intensywność uszkodzeń niebezpiecznych; – λ, λDU, λDD – j.w. 675 Średnie prawdopodobieństwo niewypełnienia funkcji bezpieczeństwa, realizowanej na przywołanie ciągłe jest równe: PFHG DU (7) 3.2. Architektura 2oo3 Architektura 2oo3 zawiera 3 kanały połączone w strukturę równoległą z głosowaniem większościowym. Uszkodzenie niebezpieczne w dwóch dowolnych kanałach prowadzi do niewypełnienia funkcji bezpieczeństwa przez system. λDU tc1 λD tCE λDD tc2 2oo3 Uszkodzenia o wspólnej przyczynie Rys. 6. Schemat blokowy niezawodnościowy 2oo3 Zależność służąca do wyznaczenia prawdopodobieństwa niewypełnienia funkcji bezpieczeństwa systemu dla architektury 2oo3 wg EN 61508-6: PFHG 6 1 D DD 1 DU tCE DDD DU 2 (8) gdzie: – βD – udział uszkodzeń o wspólnej przyczynie wykrytych przez testy diagnostyczne, – β – udział uszkodzeń o wspólnej przyczynie nie wykrytych przez testy diagnostyczne, – pozostałe oznaczenia j.w. Przedstawione rodzaje architektury systemu bezpieczeństwa odnoszą się do progowych struktur niezawodności. W przypadku architektury 1oo1 mamy do czynienia ze strukturą progową typu 1 z n, która jest powszechnie znana jako struktura szeregowa. Natomiast architektura 2oo3 nawiązuje do struktury progowej typu k z n, w której istnieje minimalna liczba ścieżek zdatności, które są wymagane do poprawnego działania systemu [3]. 4. PODSUMOWANIE Spełnienie wymagań bezpieczeństwa systemów technicznych w świetle normy PN 61508 jest związane z wykryciem pojedynczego zagrożenia, którego wystąpienie prowadzi do nie wykonania określonej funkcji bezpieczeństwa. W przypadku, gdy system bezpieczeństwa składa się z bardzo dużej liczby elementów, posiada zwykle złożoną strukturę niezawodnościową, jak np.: struktura progowa typu k z n, czy z rezerwą przesuwającą się. Z praktycznego punktu widzenia komplikuje to dokładne określenie potencjalnych zagrożeń i ich wczesne wykrycie przez urządzenia elektroniczne oraz przeprowadzenie analizy poprawności działania w różnych warunkach eksploatacji. W celu zabezpieczenia urządzeń nadzorujących przed utratą funkcji bezpieczeństwa wprowadza się ich tzw. okresową kontrolę (diagnostykę techniczną). W dodatku, norma nie zawiera wystarczającego opisu, dotyczącego postępowania w przypadku tak złożonych systemów. Dlatego też powstają liczne opracowania pomocnicze, które oprócz wytycznych znajdujących się w normie PN 61508 są rozbudowane o praktyczne przykłady zastosowania standardów bezpieczeństwa w zależności od danej branży przemysłu [8]. 676 Streszczenie Współczesne systemy techniczne charakteryzują się wysokim stopniem złożoności i odpowiedzialności za realizację określonych funkcji użytkowych. W związku z tym skutki niewłaściwego działania i uszkodzenia tych systemów stają się coraz poważniejsze. Konieczna jest zatem ciągła kontrola wybranych wskaźników eksploatacyjnych wszystkich elementów złożonych systemów, w celu wczesnego wykrycia zagrożenia. Kontrola ta odbywa się dzięki pracy urządzeń elektroniki i automatyki, które również posiadają ograniczoną niezawodność. Powszechny problem zapewnienia wymaganego poziomu bezpieczeństwa zmusił to Międzynarodową Komisję Elektrotechniczną (IEC) do ustalenie pewnych standardów dotyczących bezpieczeństwa urządzeń elektroniki i automatyki (EN 61508). Standardy te dotyczą tzw. poziomów nienaruszalności bezpieczeństwa (SIL) i są obecnie wiodącymi zasadami normatywnymi, respektowanymi przez dominujących producentów systemów bezpieczeństw na całym świecie. Przedstawiona praca porusza wybrane zagadnienia związane z zapewnieniem wymaganego poziomu bezpieczeństwa, zawarte w normie EN 61508. Functional safety assessment of technical systems in accordance with EN 61508 Abstract Modern technical systems are characterized by a high degree of complexity and responsibility for implementation of specific utility functions. Therefore, the effects of improper operation and damage of such systems become more serious. It requires a continuous monitoring of selected indicators of all operating system elements for early detection of hazards. It is possible due to operation of electronic and automation devices, which also have a limited reliability. A common problem to ensure the required level of safety forced the International Electrotechnical Commission (IEC) to set certain standards for the safety of electronics and automation devices (EN 61508). These standards relate do safety integrity levels (SIL) and they are now the leading normative principles, respected by the dominant manufactures of safety systems around the world. This paper concerns the selected issues related to ensuring the required level of safety, described in EN 61508 standard. BIBLIOGRAFIA 1. EN 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems. 2. Faller R., Project experience with IEC 61508 and its consequences. Computer Safety, Reliability and Security. Springer, Berlin Heidelberg 2001. 3. Manzini R., Regattieri A., Pham H., Ferrari E., Maintenance for Industrial Systems. SpringerVerlag, London 2010. 4. O’Conor P.D.T., Newton D., Bromley R., Practical Reliability Engineering. Wiley-IEEE, West Sussex 2000. 5. Pamuła W., Niezawodność i bezpieczeństwo. Wydawnictwo Politechniki Śląskiej, Gliwice 2011. 6. Riyaz A., How to Implement a Safety Life-Cycle. Valve Magazine 2007, 19(3): 1-6. 7. Rouvroye J.L., Wiegerinck J.A.M. Minimizing costs while meeting safety requirements: Modeling deterministic (imperfect) staggered tests using standard Markov models for SIL calculations. ISA Transactions 2006; 45(4): 611-621. 8. Smith D.J., Kenneth G., Simpson K.G.L., Safety Critical Systems Handbook. A Straightforward Guide to Functional Safety, IEC 61508 and Related Standards. Elsevier, Oxford 2010. 9. Szkoda M., Assessment of reliability, availability and maintainability of rail gauge change systems. Eksploatacja i Niezawodnosc – Maintenance and Reliability 2014; 16 (3): 422–432. 10. Szkoda M., Kaczor G., Analiza przyczyn i skutków uszkodzeń (FMEA) w zastosowaniu do pojazdów szynowych. Pojazdy Szynowe 2/2014. 677