Zarządzanie bezpieczeństwem funkcjonalnym
Transkrypt
Zarządzanie bezpieczeństwem funkcjonalnym
Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Automatyki Kazimierz Kosmowski [email protected] Opracowanie metod analizy i narzędzi do komputerowo wspomaganego zarządzania bezpieczeństwem funkcjonalnym w ramach systemu warstw zabezpieczeniowo-ochronnych obiektów przemysłowych podwyższonego ryzyka Seminarium PPT BPP Priorytety i formy badań naukowych i prac rozwojowych w ramach Polskiej Platformy Technologicznej Bezpieczeństwo Pracy w Przemyśle CIOP PIB, Warszawa, 17 maja 2007 Zakres prezentacji • Koncepcja bezpieczeństwa funkcjonalnego (IEC 61508) • Określanie wymaganego poziomu nienaruszalności bezpieczeństwa SIL (safety integrity level) na podstawie analizy ryzyka • Weryfikacja poziomu nienaruszalności bezpieczeństwa systemów E/E/PE i SIS • Metoda LOPA (Layer of Protection Analysis) w praktyce w nawiązaniu do IEC 61511 • Kategorie częstości, skutków zdarzeń awaryjnych i ryzyka oraz określanie SIL • Projekt w programie wieloletnim koordynacja CIOP PIB Bezpieczeństwo funkcjonalne (IEC 61508) Cykl życia / trwania bezpieczeństwa 1 Bezpieczeństwo funkcjonalne Koncepcja Określenie całkowite zakresu - część bezpieczeństwa, odnosząca się 2 do wyposażenia sterowanego (EUC - equipment under control) i systemu sterowania EUC … 3 Analiza zagrożeń i ryzyka 4 Wymagania całkowite bezpieczeństwa 5 Alokacja bezpieczeństwa 9 Planowanie całkowite 6 Planowanie użytkowania i obsługi 7 Planowanie walidacji bezpieczeństwa 8 Planowanie instalowania i wprowadzenia do ruchu Systemy związane z bezpieczeństwem: E/E/PE 10 Realizacja (zob. cykl życia bezpieczeństw a E/E/PE) 12 Zainstalowanie i wprowadz. do ruchu 13 Całkowita walidacja bezpieczeństwa 14 Użytkowanie, obsługa i naprawa 16 Wyłączenie z ruchu lub likwidacja Systemy związane z bezpieczeństwem w innych technikach Realizacja 11 Zewnętrzne środki do zmniejszenia ryzyka Realizacja Powrót do odpowiedniej fazy cyklu życia bezpieczeństwa 15 Modyfikacje i odnowa Redukowanie ryzyka za pomocą E/E/PE lub SIS Ryzyko resztkowe Ryzyko tolerowane Ryzyko EUC Rnp = Fnp C Rt = Ft C ΔR = Rnp - Rt ; PFDavg < Ft/Fnp Niezbędna redukcja ryzyka Możliwa redukcja ryzyka Częściowe ryzyko pokryte przez systemy bezpieczeństwa innej technologii Częściowe ryzyko pokryte przez systemy E/E/PE związane z bezpieczeństwem Częściowe ryzyko pokryte przez zewnętrzne środki redukcji ryzyka Redukcja ryzyka uzyskana przez wszystkie systemy związane z bezpieczeństwem i zewnętrzne środki redukcji ryzyka Ryzyko wzrasta Kryteria probabilistyczne dla systemów E/E/PE i SIS pełniących funkcje bezpieczeństwa SIL (poziom Prawdopodobieństwo nienaruszal- niewypełnienia funkcji ności bezpie- na przywołanie - rodzaj czeństwa) pracy rzadkiego przywołanie (LDM) Prawdopodobieństwo uszkodzenia niebezpiecznego na godzinę - rodzaj pracy częstego przywołania lub ciągły (HDM) 4 [ 10-5, 10-4 ) [ 10-9, 10-8 ) 3 [ 10-4, 10-3 ) [ 10-8, 10-7 ) 2 [ 10-3, 10-2 ) [ 10-7, 10-6 ) 1 [ 10-2, 10-1 ) [ 10-6, 10-5 ) Graf ryzyka do określania SIL według IEC 61508 W3 CA Punkt wyjściowy oceny ryzyka PA CB CC CD FA FB FA FB FA FB PB PA PB PA PB PA PB W2 W1 a --- --- 1 a --- 2 1 a 3 2 1 4 3 2 b 4 3 C - skutki - parametr ryzyka F - częstość i czas ekspozycji P - możliwość uniknięcia zagrożenia W - prawdopodobieństwo zdarzenia --- Bez wymagań bezpieczeństwa a - Bez specjalnych wymagań b - Pojedynczy E/E/PE nie wystarcza 1, 2, 3, 4 - SIL Wyznaczanie PFD systemu w weryfikowaniu SIL A B C PEDSYS ≅ PFD + PFD + PFD avg avg avg avg A. Podsystem wejściowy (czujniki i przetworniki). B. Podsystem przetwarzania informacji (sterowniki programowalne). C. Podsystem wyjściowy (człony wykonawcze i elementy końcowe). Przykładowa struktura szeregowa: PFD A avg = 2.2 ⋅10 SIL1 -2 PFD B avg = 1.5 ⋅10 −3 SIL2 PFDSavg ≅ 3.75 ⋅10 -2 SIL1 PFD Cavg = 1.4 ⋅10 −2 SIL1 Warstwy zabezpieczeń w obiekcie podwyższonego ryzyka (IEC 61511) 7. System ograniczania skutków awarii w otoczeniu obiektu 6. System ograniczania skutków awarii w obrębie obiektu 5. System zabezpieczeń inżynieryjnych (kurtyny, obudowy) 4. System automatyki zabezpieczeniowej SIS 3. Alarmy krytyczne i interwencje operatorów 2. System monitorowania i sterowania (BPCS) 1. PROCES / INSTALACJA Filozofia „obrony w głąb” – warstwy powinny spełniać warunek niezależności funkcjonalnej i strukturalnej Systemy E/E/PE – sterowania i automatyki zabezpieczeniowej INSTALACJA / PROCESY Urządzenia sterowane (wykonawcze) EUC (SZ) UP (SZ) System związany SZ - System z bezpieczeństwem zabezpieczeń SIS Kontrola stanu, testowanie i nadzór Informacja / wskaźniki / alarmy EUC (SS) UP (SS) SS - System sterowania BPCS Decyzje / Sterowania System związany z bezpieczeństwem Informacja / wskaźniki INFORMACJA > OPERATORZY > DECYZJE System sterowania i system automatyki zabezpieczeniowej - wymaganie niezależności funkcjonalnej Urządzenia pomiarowe Analiza warstw zabezpieczeń LOPA (Layer of Protection Analysis) PL1 BPCS PL2 OPERATOR PL3 SIS Trzy przykładowe warstwy PL (mają zapobiec wstąpieniu zdarzeń awaryjnych o poważnych konsekwencjach): • PL1 – System sterowania BPCS (Basic Proces Control System) • PL2 – Człowiek-operator (nadzoruje proces i interweniuje w razie wystąpienia sytuacji nienormalnej lub awaryjnej, • PL3 – System zabezpieczeń SIS (Safety Instrumented System). Fi PLs = Fi I ⋅ PFDiPL1 PFDiPL 2 PFDiPL 3 = d ⋅ Fi IPLs Wyniki analizy scenariuszy awaryjnych przykładowa matryca ryzyka N [j. strat] F [a-1] F0 F-1 F-2 NA III III IV NB NC ND NE II I I I III III a II III Kategorie ryzyka: b I II I c I – niedopuszczalne d I II - niepożądane III - tolerowane -3 F IV IV III III II F-4 IV IV IV III III IV - akceptowane Przykładowe kategorie częstości i skutków zdarzeń do definiowania matrycy ryzyka Kategorie częstości zdarzenia F-4 F-3 F-2 F-1 F0 Określenie słowne kategorii częstości Rzadkie Mało prawdopodobne Sporadyczne Prawdopodobne Częste Przedziały wartości [a-1] (10-5, 10-4] (10-4, 10-3] (10-3, 10-2] (10-2, 10-1] (10-1, 100] Kategorie skutku zdarzenia NA NB NC ND NE Małe Duże Krytyczne Katastroficzne Liczne obrażenia Pojedyncze zejścia Kilka zejść Więcej niż kilka zejść Określenie słowne kategorii Marginalne skutku Orientacyjna liczba poszkodowanych Pojedyncze obrażenia PPT BPP – projekt w programie wieloletnim – koordynacja CIOP PIB Opracowanie metod analizy i narzędzi do komputerowo wspomaganego zarządzania bezpieczeństwem funkcjonalnym w ramach systemu warstw zabezpieczeniowo-ochronnych obiektów przemysłowych podwyższonego ryzyka Zadania projektu obejmują: 1. Opracowanie metodyki analizy bezpieczeństwa funkcjonalnego w projektowaniu i użytkowania systemów SIS (safety instrumented systems) zgodnie wymaganiami z EN 61508 i EN 61511; 2. Opracowanie metody kalibrowanego grafu ryzyka do określania wymaganego poziomu nienaruszalności bezpieczeństwa SIL (safety integrity level) dla zdefiniowanych funkcji bezpieczeństwa; 3. Opracowanie metod weryfikacji SIL systemów SIS i BPCS (basic process control system); 4. Opracowanie metody analizy warstw zabezpieczeń LOPA (layer of protection analysis) uwzględniającej analizę niezawodności człowieka i uszkodzeń zależnych; PPT BPP – projekt w programie wieloletnim – koordynacja CIOP PIB (c.d.) Opracowanie metod analizy i narzędzi do komputerowo wspomaganego zarządzania bezpieczeństwem funkcjonalnym w ramach systemu warstw zabezpieczeniowo-ochronnych obiektów przemysłowych podwyższonego ryzyka 5. Opracowanie koncepcji funkcjonalnej i strukturalnej oprogramowania komputerowego wspomagającego zarządzanie bezpieczeństwem funkcjonalnym w cyklu życia systemu; 6. Projekt i oprogramowanie modułu wspomagającego wyznaczanie wymaganego poziomu nienaruszalności bezpieczeństwa SIL; 7. Projekt i oprogramowanie modułu wspomagającego weryfikację SIL systemów SIS; 8. Projekt i oprogramowanie modułów graficznych oraz baza danych niezawodnościowych do wspomaganej komputerowo analizy bezpieczeństwa funkcjonalnego; 9. Testowanie prototypowego oprogramowania dla przykładowych rozwiązań BPCS i SIS.