Zarządzanie bezpieczeństwem funkcjonalnym

Politechnika Gdańska
Wydział Elektrotechniki i Automatyki
Katedra Automatyki
Kazimierz Kosmowski
[email protected]
Opracowanie metod analizy i narzędzi do
komputerowo wspomaganego zarządzania
bezpieczeństwem funkcjonalnym w ramach systemu
warstw zabezpieczeniowo-ochronnych obiektów
przemysłowych podwyższonego ryzyka
Seminarium PPT BPP
Priorytety i formy badań naukowych i prac rozwojowych w ramach
Polskiej Platformy Technologicznej Bezpieczeństwo Pracy w Przemyśle
CIOP PIB, Warszawa, 17 maja 2007
Zakres prezentacji
• Koncepcja bezpieczeństwa funkcjonalnego (IEC 61508)
• Określanie wymaganego poziomu nienaruszalności
bezpieczeństwa SIL (safety integrity level) na podstawie
analizy ryzyka
• Weryfikacja poziomu nienaruszalności bezpieczeństwa
systemów E/E/PE i SIS
• Metoda LOPA (Layer of Protection Analysis) w praktyce
w nawiązaniu do IEC 61511
• Kategorie częstości, skutków zdarzeń awaryjnych
i ryzyka oraz określanie SIL
• Projekt w programie wieloletnim koordynacja CIOP PIB
Bezpieczeństwo funkcjonalne (IEC 61508)
Cykl życia / trwania bezpieczeństwa
1
Bezpieczeństwo funkcjonalne
Koncepcja
Określenie całkowite
zakresu
- część bezpieczeństwa, odnosząca się 2
do wyposażenia sterowanego
(EUC - equipment under control)
i systemu sterowania EUC …
3
Analiza zagrożeń
i ryzyka
4
Wymagania całkowite
bezpieczeństwa
5
Alokacja
bezpieczeństwa
9
Planowanie całkowite
6
Planowanie
użytkowania
i obsługi
7
Planowanie
walidacji
bezpieczeństwa
8
Planowanie
instalowania
i wprowadzenia do ruchu
Systemy związane z bezpieczeństwem:
E/E/PE
10
Realizacja
(zob. cykl życia
bezpieczeństw
a E/E/PE)
12
Zainstalowanie
i wprowadz. do ruchu
13
Całkowita walidacja
bezpieczeństwa
14
Użytkowanie, obsługa
i naprawa
16
Wyłączenie z ruchu
lub likwidacja
Systemy związane
z bezpieczeństwem
w innych
technikach
Realizacja
11
Zewnętrzne środki
do zmniejszenia
ryzyka
Realizacja
Powrót do odpowiedniej
fazy cyklu życia
bezpieczeństwa
15
Modyfikacje i odnowa
Redukowanie ryzyka
za pomocą E/E/PE lub SIS
Ryzyko
resztkowe
Ryzyko
tolerowane
Ryzyko
EUC
Rnp = Fnp C
Rt = Ft C
ΔR = Rnp - Rt ; PFDavg < Ft/Fnp
Niezbędna redukcja ryzyka
Możliwa redukcja ryzyka
Częściowe ryzyko
pokryte przez
systemy
bezpieczeństwa
innej technologii
Częściowe ryzyko
pokryte przez
systemy E/E/PE
związane z
bezpieczeństwem
Częściowe
ryzyko pokryte
przez zewnętrzne
środki redukcji
ryzyka
Redukcja ryzyka uzyskana przez wszystkie systemy związane
z bezpieczeństwem i zewnętrzne środki redukcji ryzyka
Ryzyko
wzrasta
Kryteria probabilistyczne dla systemów E/E/PE
i SIS pełniących funkcje bezpieczeństwa
SIL (poziom
Prawdopodobieństwo
nienaruszal- niewypełnienia funkcji
ności bezpie- na przywołanie - rodzaj
czeństwa)
pracy rzadkiego
przywołanie (LDM)
Prawdopodobieństwo
uszkodzenia
niebezpiecznego na
godzinę - rodzaj pracy
częstego przywołania lub
ciągły (HDM)
4
[ 10-5, 10-4 )
[ 10-9, 10-8 )
3
[ 10-4, 10-3 )
[ 10-8, 10-7 )
2
[ 10-3, 10-2 )
[ 10-7, 10-6 )
1
[ 10-2, 10-1 )
[ 10-6, 10-5 )
Graf ryzyka do określania SIL
według IEC 61508
W3
CA
Punkt
wyjściowy
oceny
ryzyka
PA
CB
CC
CD
FA
FB
FA
FB
FA
FB
PB
PA
PB
PA
PB
PA
PB
W2
W1
a
---
---
1
a
---
2
1
a
3
2
1
4
3
2
b
4
3
C - skutki - parametr
ryzyka
F - częstość i czas
ekspozycji
P - możliwość uniknięcia
zagrożenia
W - prawdopodobieństwo
zdarzenia
--- Bez wymagań
bezpieczeństwa
a - Bez specjalnych
wymagań
b - Pojedynczy E/E/PE
nie wystarcza
1, 2, 3, 4 - SIL
Wyznaczanie PFD systemu
w weryfikowaniu SIL
A
B
C
PEDSYS
≅
PFD
+
PFD
+
PFD
avg
avg
avg
avg
A. Podsystem wejściowy (czujniki i przetworniki).
B. Podsystem przetwarzania informacji (sterowniki
programowalne).
C. Podsystem wyjściowy (człony wykonawcze i elementy
końcowe).
Przykładowa struktura szeregowa:
PFD
A
avg
= 2.2 ⋅10
SIL1
-2
PFD
B
avg
= 1.5 ⋅10
−3
SIL2
PFDSavg ≅ 3.75 ⋅10 -2
SIL1
PFD Cavg = 1.4 ⋅10 −2
SIL1
Warstwy zabezpieczeń w obiekcie
podwyższonego ryzyka (IEC 61511)
7. System ograniczania skutków awarii w otoczeniu obiektu
6. System ograniczania skutków awarii w obrębie obiektu
5. System zabezpieczeń inżynieryjnych (kurtyny, obudowy)
4. System automatyki zabezpieczeniowej SIS
3. Alarmy krytyczne i interwencje operatorów
2. System monitorowania
i sterowania (BPCS)
1. PROCES /
INSTALACJA
Filozofia „obrony w głąb” – warstwy powinny spełniać
warunek niezależności funkcjonalnej i strukturalnej
Systemy E/E/PE – sterowania
i automatyki zabezpieczeniowej
INSTALACJA / PROCESY
Urządzenia
sterowane
(wykonawcze)
EUC (SZ)
UP (SZ)
System związany
SZ - System
z bezpieczeństwem zabezpieczeń
SIS
Kontrola stanu,
testowanie i nadzór
Informacja /
wskaźniki /
alarmy
EUC (SS)
UP (SS)
SS - System
sterowania
BPCS
Decyzje /
Sterowania
System związany
z bezpieczeństwem
Informacja /
wskaźniki
INFORMACJA > OPERATORZY > DECYZJE
System sterowania i system automatyki zabezpieczeniowej
- wymaganie niezależności funkcjonalnej
Urządzenia
pomiarowe
Analiza warstw zabezpieczeń
LOPA (Layer of Protection Analysis)
PL1
BPCS
PL2
OPERATOR
PL3
SIS
Trzy przykładowe warstwy PL (mają zapobiec wstąpieniu
zdarzeń awaryjnych o poważnych konsekwencjach):
• PL1 – System sterowania BPCS (Basic Proces Control
System)
• PL2 – Człowiek-operator (nadzoruje proces
i interweniuje w razie wystąpienia sytuacji nienormalnej
lub awaryjnej,
• PL3 – System zabezpieczeń SIS (Safety Instrumented
System).
Fi PLs = Fi I ⋅ PFDiPL1 PFDiPL 2 PFDiPL 3 = d ⋅ Fi IPLs
Wyniki analizy scenariuszy awaryjnych przykładowa matryca ryzyka
N [j. strat]
F [a-1]
F0
F-1
F-2
NA
III
III
IV
NB
NC
ND
NE
II
I
I
I
III
III
a
II
III
Kategorie
ryzyka:
b
I
II
I
c
I – niedopuszczalne
d
I
II - niepożądane
III - tolerowane
-3
F
IV
IV
III
III
II
F-4
IV
IV
IV
III
III
IV - akceptowane
Przykładowe kategorie częstości i skutków
zdarzeń do definiowania matrycy ryzyka
Kategorie
częstości
zdarzenia
F-4
F-3
F-2
F-1
F0
Określenie
słowne kategorii
częstości
Rzadkie
Mało
prawdopodobne
Sporadyczne
Prawdopodobne
Częste
Przedziały
wartości [a-1]
(10-5, 10-4]
(10-4, 10-3]
(10-3, 10-2]
(10-2, 10-1]
(10-1, 100]
Kategorie
skutku
zdarzenia
NA
NB
NC
ND
NE
Małe
Duże
Krytyczne
Katastroficzne
Liczne
obrażenia
Pojedyncze
zejścia
Kilka zejść
Więcej niż
kilka zejść
Określenie
słowne kategorii Marginalne
skutku
Orientacyjna
liczba poszkodowanych
Pojedyncze
obrażenia
PPT BPP – projekt w programie wieloletnim –
koordynacja CIOP PIB
Opracowanie metod analizy i narzędzi do komputerowo
wspomaganego zarządzania bezpieczeństwem
funkcjonalnym w ramach systemu warstw
zabezpieczeniowo-ochronnych obiektów przemysłowych
podwyższonego ryzyka
Zadania projektu obejmują:
1. Opracowanie metodyki analizy bezpieczeństwa funkcjonalnego
w projektowaniu i użytkowania systemów SIS (safety instrumented
systems) zgodnie wymaganiami z EN 61508 i EN 61511;
2. Opracowanie metody kalibrowanego grafu ryzyka do określania
wymaganego poziomu nienaruszalności bezpieczeństwa SIL (safety
integrity level) dla zdefiniowanych funkcji bezpieczeństwa;
3. Opracowanie metod weryfikacji SIL systemów SIS i BPCS (basic
process control system);
4. Opracowanie metody analizy warstw zabezpieczeń LOPA (layer of
protection analysis) uwzględniającej analizę niezawodności
człowieka i uszkodzeń zależnych;
PPT BPP – projekt w programie wieloletnim –
koordynacja CIOP PIB (c.d.)
Opracowanie metod analizy i narzędzi do komputerowo
wspomaganego zarządzania bezpieczeństwem
funkcjonalnym w ramach systemu warstw
zabezpieczeniowo-ochronnych obiektów przemysłowych
podwyższonego ryzyka
5. Opracowanie koncepcji funkcjonalnej i strukturalnej
oprogramowania komputerowego wspomagającego zarządzanie
bezpieczeństwem funkcjonalnym w cyklu życia systemu;
6. Projekt i oprogramowanie modułu wspomagającego wyznaczanie
wymaganego poziomu nienaruszalności bezpieczeństwa SIL;
7. Projekt i oprogramowanie modułu wspomagającego weryfikację SIL
systemów SIS;
8. Projekt i oprogramowanie modułów graficznych oraz baza danych
niezawodnościowych do wspomaganej komputerowo analizy
bezpieczeństwa funkcjonalnego;
9. Testowanie prototypowego oprogramowania dla przykładowych
rozwiązań BPCS i SIS.