FTA oprogramowanie
Transkrypt
FTA oprogramowanie
Systemy Czasu Rzeczywistego Krzysztof Sacha Systemy zabezpieczeń Definicja System zabezpieczeń (safety-related system) jest to system, który implementuje funkcje bezpieczeństwa konieczne do utrzymania bezpiecznego stanu instalacji oraz jest przeznaczony do osiągnięcia koniecznej nienaruszalności bezpieczeństwa (safety integrity) tych funkcji. • Funkcja bezpieczeństwa Funkcja, przeznaczona do utrzymania bezpiecznego stanu instalacji w odniesieniu do konkretnego zdarzenia zagrażającego. • Zdarzenie zagrażające Sytuacja, której wynikiem jest fizyczny uraz lub pogorszenie stanu zdrowia ludzi, tak bezpośrednie jak pośrednie, wynikające ze szkody w majątku lub w środowisku Uwagi - może być integralną częścią systemu sterującego instalacją lub odrębnym systemem - może być zaprojektowany do zapobiegania lub łagodzenia skutków zdarzenia zagrażającego - może być realizowany w różnych technikach Rts6B.doc 1 Systemy Czasu Rzeczywistego Krzysztof Sacha Norma PN-EN 61508, listopad 2004 (IEC 61508) Bezpieczeństwo funkcjonalne elektrycznych / elektronicznych / programowalnych elektronicznych systemów związanych z bezpieczeństwem 1: Wymagania ogólne 2: Wymagania dotyczące elektrycznych/elektronicznych/programowalnych systemów związanych z bezpieczeństwem 3: Wymagania dotyczące oprogramowania 4: Definicje i skrótowce 5: Przykłady metod do określania poziomów nienaruszalności i bezpieczeństwa 6: Wytyczne do stosowania 7: Przegląd technik i miar Rts6B.doc 2 Systemy Czasu Rzeczywistego Krzysztof Sacha Projektowanie bezpieczeństwa systemu C — konsekwencje wystąpienia zdarzenia zagrażającego P — prawdopodobieństwo wystąpienia zdarzenia R — ryzyko związane ze zdarzeniem: R=C×P 1. Obliczyć ryzyko instalacji sterowanej bez zabezpieczeń Rnp 2. Określić ryzyko dopuszczalne Rt 3. Jeśli Rnp > Rt to konieczna redukcja ryzyka w stopniu: PFD = Ft / Fnp 4. Wprowadzić funkcje bezpieczeństwa (zabezpieczenia) o niezawodności PFD Konsekwencje zagrożenia Częstotliwość zagrożenia Ryzyko Rnp Systemy zabezpieczeń Ryzyko Rp Rp < Rt Instalacja + system sterujący Rts6B.doc 3 Systemy Czasu Rzeczywistego Krzysztof Sacha Nienaruszalność bezpieczeństwa Prawdopodobieństwo, że system wykona wymagane funkcje bezpieczeństwa w zadanych warunkach i czasie. • Rodzaje pracy - na rzadkie przywołanie: nie częściej niż raz na rok i nie częściej niż dwukrotność okresów testowych - na częste lub ciągłe przywołanie • Poziomy nienaruszalności bezpieczeństwa (SIL) Poziom 4 3 2 1 Na rzadkie przywołanie Na częste przywołanie (prawdopodobieństwo uszkodzenia) (prawd. uszkodzenia na godzinę) 10-5 ... 10-4 10-4 ... 10-3 10-3 ... 10-2 10-2 ... 10-1 10-9 ... 10-8 10-8 ... 10-7 10-7 ... 10-6 10-6 ... 10-5 Rts6B.doc 4 Systemy Czasu Rzeczywistego Krzysztof Sacha Cykl utrzymania bezpieczeństwa Koncepcja systemu Określenie zakresu Analiza zagrożeń i ryzyka Wymagania bezpieczeństwa Planowanie pracy i obsługi walidacji bez- instalacji pieczeństwa i wdrożenia Realizacja funkcji bezpieczeństwa Instalacja i wdrożenie Walidacja bezpieczeństwa Praca, obsługa, naprawy Wyłączenie z eksploatacji Wymagana dokumentacja wykonania wszystkich faz cyklu Rts6B.doc 5 Systemy Czasu Rzeczywistego Krzysztof Sacha Programowa realizacja funkcji bezpieczeństwa Specyfikacja wymagań bezpieczeństwa funkcje nienaruszalność Planowanie walidacji bezpieczeństwa Opracowanie oprogramowania Integracja sprzętu i oprogramowania Walidacja bezpieczeństwa • Cykl wytwarzania Specyfikacja wymagań bezpieczeństwa Testowanie walidacyjne Architektura systemu Testowanie systemowe Projekt oprogramowania Testowanie integracyjne Projekt modułów Testowanie modułów Programowanie Rts6B.doc 6 Systemy Czasu Rzeczywistego Krzysztof Sacha Przykładowe rekomendacje normy • Projektowanie architektury oprogramowania 1 2 3a 3b 3c 4 5 6 7a 7b 7c 8 Technika/metoda Wykrywanie i diagnoza defektów Kody detekcyjne i korekcyjne Blok odzyskiwania Odtwarzanie Powtarzanie próby Płynny upadek Korekcja defektów metodami AI Rekonfiguracja dynamiczna Metody strukturalne Metody półformalne (IEC 61131-3) Metody formalne CASE wspomagające specyfikację SIL1 SIL2 SIL3 SIL4 – R HR HR R R R HR R R R R R R R R R R R HR R R HR HR – NR NR NR – NR NR NR HR HR HR HR R R HR HR – R R HR R R HR HR • Projektowanie szczegółowe i implementacja 1a 1b 1c 2 3 4 5 Technika/metoda Metody strukturalne Metody półformalne (IEC 61131-3) Metody formalne CASE wspomagające projektowanie Podejście modułowe Brak obiektów dynamicznych i skoków, ograniczenie przerwań, wskaźników i rekursji Programowanie strukturalne Rts6B.doc SIL1 SIL2 SIL3 SIL4 HR HR HR HR R R HR HR – R R HR R R HR HR HR HR HR HR R HR HR HR HR HR HR HR 7 Systemy Czasu Rzeczywistego Krzysztof Sacha Analiza bezpieczeństwa – metoda FTA (PN-IEC 1025: Analiza drzewa niezdatności) • Przykład: analiza palnika gazowego Upływ gazu Wypływ gazu Brak płomienia Zawór otwarty Brak iskry Rozkaz OTWÓRZ Awaria zaworu (nie rozwijane) (proste) Rts6B.doc Brak rozkazu ZAPAL Awaria zapalnika 8 Systemy Czasu Rzeczywistego Krzysztof Sacha Opis zdarzenia - kod identyfikacyjny (wiąże z dokumentacją projektową) - nazwa zdarzenia i opis - prawdopodobieństwo, zależności czasowe, itp. Metody analizy - przegląd drzewa - wyznaczenie funkcji boolowskich - wyznaczenie minimalnych przekrojów (zbiorów zdarzeń powodujących wystąpienie zdarzenia szczytowego) Schemat postępowania: 1. Analiza systemu i celów jego działania 2. Identyfikacja zdarzeń zagrażających. 3. Budowa drzewa niezdatności dla każdego zdarzenia. 4. Badanie drzewa w celu określenia: - zdarzeń prostych powodujących uszkodzenie systemu - oszacowanie tolerancji na uszkodzenia - prawdopodobieństwa uszkodzenia systemu - lokalizacji elementów krytycznych → Podczas projektu: - wprowadzenie zabezpieczeń (elementy, funkcje). - określenie planu diagnostyki, spodziewanych napraw. Rts6B.doc 9 Systemy Czasu Rzeczywistego Krzysztof Sacha • Przykład: instalacja chemiczna - reaktor (z dopływami składników) grzejnik reaktora z sterowanym zaworem H czujniki temperatury i pH sterownik z rozproszonym we/wy Zdarzenie zagrażające: przegrzanie (grozi pożarem) Przegrzanie Zbyt silne grzanie Złe sterowanie Błąd algorytmu Awaria czujnika Niewłaściwe pH Awaria zaworu H Awaria łączy Awaria siłownika (analizowane gdzie indziej) Zacięcie zaworu pojedyncze defekty prowadzą do zagrożenia! Rts6B.doc 10 Systemy Czasu Rzeczywistego Krzysztof Sacha T → Zawór zabezpieczający B H Sterownik T>Tmax Drzewo niezdatności Przegrzanie Zbyt silne grzanie Niewłaściwe pH Otwarty zawór H Otwarty zawór B Złe sterowanie Awaria zaworu H Awaria zaworu B Błąd Awaria algorytmu czujnika Awaria łączy Awaria czujnika Awaria Zacięcie siłownika zaworu H Rts6B.doc 11