Bezpieczeństwo funkcjonalne cz. I. Norma Podstawowa i sektorowa do przemysłu procesowego

Techniki bezpieczeństwa funkcjonalnego lub zbliżone są stosowane m.in. w przemyśle procesowym, przemyśle budowy maszyn, w budowie urządzeń sterujących, energetyce jądrowej, kolejnictwie czy medycynie.

W niniejszym artykule skupiamy się na normie podstawowej bezpieczeństwa funkcjonalnego oraz normach sektorowych odnoszących się do przemysłu procesowego.

Pojęcie bezpieczeństwa funkcjonalnego jest ściśle powiązane z procesem zmniejszania ryzyka z poziomu ryzyka procesu do poziomu ryzyka tolerowanego. Konieczne jest więc zacytowanie wybranych terminów:

• szkoda – fizyczny uraz lub pogorszenie stanu zdrowia ludzi, tak bezpośrednie, jak i pośrednie, wynikające ze szkody w majątku lub środowisku,
• zagrożenie – potencjalne źródło szkody,
• sytuacja zagrożenia – sytuacja, w której osoba jest narażona na zagrożenie,
• zdarzenie zagrażające – sytuacja zagrożenia, której wynikiem jest szkoda,
• ryzyko – kombinacja prawdopodobieństwa wystąpienia szkody i ciężkości tej szkody,
• ryzyko tolerowane – ryzyko, które jest akceptowane w określonym kontekście opartym na aktualnych wartościach społecznych,
• ryzyko obiektu – ryzyko pochodzące od obiektu sterowanego lub jego współdziałania z układem sterowania,
• bezpieczeństwo funkcjonalne – część bezpieczeństwa całkowitego odnosząca się do obiektu sterowanego i systemu sterowania obiektem, która zależy od prawidłowego działania systemów elektrycznych/elektronicznych/programowalnych elektronicznych związanych z bezpieczeństwem i zewnętrznych środków zmniejszania ryzyka,
• nienaruszalność bezpieczeństwa – prawdopodobieństwo, że system związany z bezpieczeństwem wykona w sposób zadowalający wymagane funkcje bezpieczeństwa we wszystkich określonych warunkach i w określonym przedziale czasu,
• poziom nienaruszalności bezpieczeństwa – poziom dyskretny (jeden z czterech możliwych) do wyszczególniania wymagań nienaruszalności bezpieczeństwa funkcji bezpieczeństwa, przy czym poziom nienaruszalności bezpieczeństwa 4 jest poziomem najwyższym, a poziom nienaruszalności bezpieczeństwa 1 jest poziomem najniższym.

Poziomy nienaruszalności bezpieczeństwa są zdefiniowane, w zależności od rodzaju pracy urządzeń związanych z bezpieczeństwem, przez parametry zamieszczone w tabelach 2 i 3 normy IEC 61508-1. Przez „całkowite” należy rozumieć dotyczące całego systemu, tj. zintegrowanych sprzętu i oprogramowania.

W związku z takim zakresem stosowania i specyfiką różnych sektorów gospodarki rozróżnia się: normę podstawową, normy sektorowe i normy grup wyrobów.

Norma podstawowa

Norma podstawowa jest pakietem siedmiu norm, które są opisane poniżej.

PN-EN 61508-1:2010P, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 1: Wymagania ogólne.

Niniejsza część serii norm IEC 61508 zawiera ogólne wymagania z zakresu bezpieczeństwa funkcjonalnego. Inne części IEC serii 61508 koncentrują się na bardziej szczegółowych tematach: części 2 i 3 zawierają wymagania szczegółowe i dodatkowe dotyczące systemów E/E/PE związanych z bezpieczeństwem (w zakresie sprzętu i oprogramowania); część 4 podaje definicje i skrótowce stosowane w niniejszej normie; część 5
zawiera wytyczne, przez przedstawienie przykładowych metod, do stosowania części 1 w zakresie określania poziomów nienaruszalności bezpieczeństwa; część 6 zawiera wytyczne do stosowania części 2 i 3; część 7 obejmuje przegląd technik i sposobów. IEC 61508-1, IEC 61508-2, IEC 61508-3 i IEC 61508-4

Norma PN-EN 61508-1 obejmuje następujące zagadnienia:

• określa cykl życia bezpieczeństwa systemu i sformułowanie wymagań dotyczących każdej fazy tego cyklu,
• udostępnia metodę opracowywania specyfikacji wymagań bezpieczeństwa koniecznych do osiągnięcia wymaganego bezpieczeństwa funkcjonalnego systemów E/E/PE związanych z bezpieczeństwem,
• wprowadza podejście opierające się na analizie ryzyka do określania wymagań w zakresie nienaruszalności bezpieczeństwa,
• wprowadza poziomy nienaruszalności bezpieczeństwa do wyszczególniania docelowych poziomów nienaruszalności bezpieczeństwa funkcji bezpieczeństwa, które mają być zaimplementowane przez systemy E/E/PE związane z bezpieczeństwem,
• ustala docelowe miary liczbowe uszkodzeń pojedynczych funkcji bezpieczeństwa wykonywanych przez systemy E/E/PE związane z bezpieczeństwem, sprzężone z poziomami nienaruszalności bezpieczeństwa,
• ustala dolną granicę docelowej miary uszkodzeń funkcji bezpieczeństwa wykonywanej przez pojedynczy system E/E/PE związany z bezpieczeństwem; w przypadku systemów E/E/PE związanych z bezpieczeństwem pracujących w:
  • rodzaju pracy na rzadkie przywołanie; dolna granica jest ustalona jako średnie prawdopodobieństwo uszkodzenia niebezpiecznego wykonania funkcji na przywołanie, wynoszące 10-5,
  • rodzaju pracy na częste przywołanie lub ciągłym; dolna granica została ustalona jako prawdopodobieństwo wystąpienia uszkodzenia niebezpiecznego wynoszące 10-9 [h-1],
• ustala wymagania dotyczące unikania defektów systematycznych i ich kontroli, oparte na doświadczeniu i osądzie z doświadczenia praktycznego uzyskanego w przemyśle; mimo że prawdopodobieństwo wystąpienia uszkodzeń systematycznych nie może na ogół być kwantyfikowane, norma dopuszcza żądanie, aby rozpatrywać osiągnięcie docelowej miary uszkodzeń skojarzonej z funkcją bezpieczeństwa, o ile będą spełnione wszystkie wymagania normy,
• wprowadza zdolność systematyczną, która ma zastosowanie do elementu w odniesieniu do zapewnianego przezeń zaufania, że nienaruszalność bezpieczeństwa systematyczna spełnia wymagania wyszczególnionego poziomu nienaruszalności bezpieczeństwa,
• wprowadza szeroki zakres zasad, technik i sposobów uzyskiwania bezpieczeństwa funkcjonalnego systemów E/E/PE związanych z bezpieczeństwem, lecz nie wykorzystuje wyraźnie koncepcji bezpiecznego uszkodzenia; jednakże koncepcje „bezpiecznego uszkodzenia” i „bezpieczeństwa samego w sobie” mogą mieć zastosowanie i ich wprowadzenie jest akceptowalne, pod warunkiem że są spełnione wymagania odpowiednich rozdziałów normy.

Termin stabilności – 2014 r.

PN-EN 61508-2:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 2: Wymagania dotyczące elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem.

W tej normie, będącej częścią pakietu IEC 61508, wyszczególniono wymagania dotyczące czynności, które mają być wykonane podczas projektowania i wytwarzania systemu elektrycznego, elektronicznego lub programowalnego elektronicznego wiążącego się z bezpieczeństwem sprzętu i integracji systemu, jak też podano informacje konieczne do zainstalowania, przeprowadzenia odbioru komisyjnego i walidacji bezpieczeństwa systemu. W szczególności w normie omówiono zagadnienia:

• projektowania i wytwarzania: syntezę elementów w celu osiągnięcia wymaganej zdolności systemowej, wynikające z architektury ograniczenia w realizacji nienaruszalności bezpieczeństwa sprzętu, wymagania dotyczące kwantyfikowania skutków przypadkowych uszkodzeń sprzętu, wymagania w zakresie uniknięcia defektów systematycznych, wymagania odnośnie kontrolowania defektów systematycznych, wymagania związane z zachowaniem się systemu w przypadku wykrycia defektu, wymagania dotyczące wdrożenia systemu E/E/PE, wymagania dotyczące elementów uznanych za sprawdzone w stosowaniu, wymagania uzupełniające dotyczące komunikacji,
• integracji sprzętowej systemu,
• procedury pracy i serwisu, walidacji bezpieczeństwa, modyfikacji, weryfikacji i oceny bezpieczeństwa funkcjonalnego.

Termin stabilności – 2014 r.

PN-EN 61508-3:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 3: Wymagania dotyczące oprogramowania.

W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono zasady mające zastosowanie do dowolnego oprogramowania stanowiącego część systemu związanego z bezpieczeństwem lub stosowanego do opracowania systemu wiążącego się z bezpieczeństwem (oprogramowania wiążącego się z bezpieczeństwem). W szczególności w normie omówiono następujące zagadnienia:

• specyfikację wymagań bezpieczeństwa oprogramowania,
• plan walidacji aspektów programowych bezpieczeństwa systemu,
• opracowanie i wytwarzanie oprogramowania: wymagania w zakresie projektu architektury oprogramowania, wymagania dotyczące narzędzi wspomagających, w tym języków programowania, wymagania szczegółowe dotyczące projektu i wytwarzania, wymagania odnośnie implementacji kodów, wymagania dotyczące testowania modułów oprogramowania i jego integracji,
• wymagania dotyczące integracji elektroniki programowalnej – sprzętu i oprogramowania,
• procedury pracy, modyfikacji, walidacji i oceny bezpieczeństwa funkcjonalnego oprogramowania.

Termin stabilności – 2014 r.

PN-EN 61508-4:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 4: Definicje i skrótowce.

W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono definicje oraz wyjaśnienie terminów i skrótowców stosowanych w przypadku elektronicznych systemów związanych z bezpieczeństwem. Podano definicje 78 terminów: 11 dotyczących bezpieczeństwa, 7 dotyczących wyposażenia i urządzeń, 10 dotyczących aspektów ogólnych, 5 dotyczących aspektów związanych z bezpieczeństwem, 14 dotyczących funkcji bezpieczeństwa i nienaruszalności bezpieczeństwa, 12 dotyczących defektu, uszkodzenia i błędu, 4 dotyczące czynności wynikających z cyklu życia, 15 dotyczących potwierdzenia środków bezpieczeństwa. Zamieszczono wykaz terminów w języku polskim i angielskim.

Termin stabilności – 2014 r.

PN-EN 61508-5:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 5: Przykłady metod określania poziomów nienaruszalności bezpieczeństwa.

W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono ogólne informacje o ryzyku i relacji ryzyka do poziomu nienaruszalności bezpieczeństwa, m.in. pojęcie koniecznego zmniejszenia ryzyka ze względu na przepisy prawne i odczucia społeczne, pojęcia ryzyka indywidualnego i społecznego, rolę systemów E/E/PE związanych z bezpieczeństwem w procesie zmniejszania ryzyka i osiągania wymaganego poziomu akceptowanego społecznie oraz pewną liczbę metod umożliwiających określenie potrzebnego poziomu nienaruszalności bezpieczeństwa systemów wiążących się z bezpieczeństwem, a mianowicie:

• metodę ALARP (As Low As Reasonably Practical – tak niskie, jak rozsądnie osiągalne) i koncepcję ryzyka tolerowalnego,
• metodę jakościową określenia wymaganego poziomu nienaruszalności bezpieczeństwa,
• metodę grafu ryzyka,
• półilościową metodę stosującą analizę warstw ochrony (LOPA),
• metodę ilościową – macierz ostrości zdarzeń zagrażających.

Termin stabilności – 2014 r.

PN-EN 61508-6:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 6: Wytyczne do stosowania IEC 61508-2 i IEC 61508-3.

W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono informacje i wytyczne na temat:

• kroków funkcjonalnych przy stosowaniu IEC 61508-2 i IEC 61508-3 wraz ze schematami odpowiednich ścieżek postępowania,
• przykładowych technik obliczania prawdopodobieństwa uszkodzenia sprzętu: przedstawiono zasady ogólne obliczenia prawdopodobieństwa wystąpienia uszkodzenia niebezpiecznego, metodę schematu blokowego niezawodności z założonym stałym strumieniem uszkodzeń, w ramach której zawarto bogaty materiał źródłowy umożliwiający przeprowadzenie obliczeń, metodę boolowską, metodę szeregów Markowa, metodę symulacji siecią Petriego i Monte Carlo,
• przykładów obliczenia pokrycia diagnostycznego,
• metodologii liczbowego wyznaczenia wpływu uszkodzeń wspólnej przyczyny, wiążących się ze sprzętem, na prawdopodobieństwo uszkodzenia,
• przykładów zastosowania tablic nienaruszalności bezpieczeństwa oprogramowania zawartych w IEC 61508-3.

Termin stabilności – 2014 r.

PN-EN 61508-7:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 7: Przegląd technik i miar.

W tej normie, będącej kolejną częścią pakietu IEC 61508, zawarto przegląd technik i miar bezpieczeństwa odnoszących się do IEC 61508-2 i IEC 61508-3.

Termin stabilności – 2014 r.

Norma do przemysłu procesowego

Ze względu na złożoność zagadnienia i różnorodność zastosowań zostały opracowane normy sektorowe, przybliżające wymagania normy ogólnej do wymagań i zwyczajów poszczególnych sektorów zastosowań przemysłowych. Norma sektorowa do przemysłu procesowego jest pakietem trzech norm opisanych poniżej.

PN-EN 61511-1:2007P, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego – Część 1: Schemat, definicje, wymagania dotyczące systemu, sprzętu i oprogramowania.

W niniejszej normie podano wymagania dotyczące specyfikacji, projektu, instalowania, pracy i obsługi przyrządowych systemów bezpieczeństwa, tak aby można było powierzyć im z zaufaniem wprowadzenie procesu w stan bezpieczny i/lub utrzymanie go w tym stanie. Niniejsza norma została opracowana jako implementacja IEC 61508 do sektora procesowego.

W szczególności w niniejszej normie:

• wyszczególniono wymagania dotyczące osiągnięcia bezpieczeństwa funkcjonalnego,
• określono zakres zastosowania w przypadku, gdy wyposażenie spełniające wymagania IEC 61508 lub punktu 11.5, IEC 61511-1 jest integrowane w system całościowy, który ma być użyty do zastosowania w sektorze procesowym,
• zdefiniowano relacje między IEC 61511 i IEC 61508,
• omówiono zastosowanie się, gdy oprogramowanie aplikacyjne jest wytworzone, do systemu mającego programy o ograniczonej zmienności lub ustalone, lecz nie dotyczy wytwórców, projektantów, integratorów i użytkowników przyrządowych systemów bezpieczeństwa, wytwarzających oprogramowanie posadowione (oprogramowanie systemowe) bądź używających języków o pełnej zmienności (patrz IEC 61508-3),
• zwrócono uwagę, że w ramach sektora procesowego niektóre zastosowania (np. przybrzeżne) mogą mieć dodatkowe wymagania do spełnienia,
• przedstawiono w zarysie relacje między przyrządowymi funkcjami bezpieczeństwa i innymi funkcjami,
• wyszczególniono wymagania na architekturę systemu, konfigurację sprzętu, oprogramowanie aplikacyjne i integrację systemu,
• wyszczególniono wymagania na oprogramowanie aplikacyjne dla użytkowników i integratorów przyrządowych systemów bezpieczeństwa, w tym wymagania dotyczące następujących spraw:
  • faz cyklu życia bezpieczeństwa i czynności, jakie należy wykonać podczas projektowania i wytwarzania oprogramowania aplikacyjnego (model cyklu życia bezpieczeństwa oprogramowania),
  • informacji odnoszącej się do przeprowadzonej walidacji bezpieczeństwa oprogramowania, na użytek organizacji wykonującej integrację SIS,
  • przygotowania informacji i procedur dotyczących oprogramowania koniecznego dla użytkowników do pracy i obsługi SIS,
  • procedur i specyfikacji, które mają spełniać organizacje wykonujące modyfikacje oprogramowania bezpieczeństwa,
• zdefiniowano wymagania dotyczące implementacji przyrządowych funkcji bezpieczeństwa jako części całościowego przedsięwzięcia do osiągnięcia bezpieczeństwa funkcjonalnego,
• przyjęto jako podstawę cykl życia bezpieczeństwa i zdefiniowano wykaz czynności koniecznych do ustalenia wymagań bezpieczeństwa funkcjonalnego i wymagań nienaruszalności bezpieczeństwa dotyczących przyrządowego systemu bezpieczeństwa,
• zamieszczono wymaganie, aby była wykonana ocena zagrożeń i ryzyka w celu zdefiniowania wymagań funkcjonalnych bezpieczeństwa i poziomów nienaruszalności bezpieczeństwa każdej przyrządowej funkcji bezpieczeństwa,
• wyszczególniono techniki/sposoby wymagane do osiągnięcia wymaganego poziomu nienaruszalności bezpieczeństwa i podano schemat postępowania,
• dostarczono schemat ustalenia poziomów nienaruszalności bezpieczeństwa, lecz nie wyszczególniono poziomów nienaruszalności bezpieczeństwa wymaganych w konkretnych zastosowaniach (zaleca się, aby było to ustalane na podstawie wiedzy o szczególnym zastosowaniu),
• zamieszczono wymaganie, aby projekt przyrządowej funkcji bezpieczeństwa brał pod uwagę czynniki ludzkie.

Termin stabilności – 2015 r.

PN-EN 61511-2:2008P, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego – Część 2: Wytyczne do stosowania IEC 61511-1.

Zamieszczono wytyczne do sporządzania specyfikacji, projektowania, instalowania, pracy i obsługi Przyrządowych Funkcji Bezpieczeństwa i związanego z nimi przyrządowego systemu bezpieczeństwa, zdefiniowanych

Termin stabilności – 2015 r.

PN-EN 61511-3:2009P, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego – Część 3: Wytyczne do określania poziomów wymaganych nienaruszalności bezpieczeństwa.

Norma dotyczy zastosowania przyrządowych systemów bezpieczeństwa w przemyśle procesowym. Zamieszczono wymaganie wykonania oceny zagrożeń i ryzyka procesu w celu umożliwienia uzyskania specyfikacji na przyrządowe systemy bezpieczeństwa. Inne systemy bezpieczeństwa są rozpatrywane tylko w takim zakresie, aby ich udział mógł być wzięty pod uwagę przy rozpatrywaniu wymaganych właściwości przyrządowego systemu bezpieczeństwa. Przyrządowy system bezpieczeństwa zawiera wszystkie komponenty i podsystemy konieczne do zrealizowania przyrządowych funkcji bezpieczeństwa od czujnika(-ów) do elementu(-ów) końcowego(-ych).

Norma zawiera dwa pojęcia podstawowe do jej stosowania: cykl życia bezpieczeństwa oraz poziomy nienaruszalności bezpieczeństwa i dotyczy przyrządowych systemów bezpieczeństwa wykorzystujących technikę elektryczną (E)/elektroniczną (E)/programowalną elektroniczną (PE). Jeśli są użyte inne techniki w jednostkach logicznych, to zaleca się stosowanie podstawowych zasad niniejszej normy. Niniejsza norma także dotyczy czujników i elementów końcowych przyrządowych systemów bezpieczeństwa, bez względu na zastosowane techniki. Jest szczególną normą przemysłu procesowego w ramach schematu IEC 61508 i wytycza podejście do czynności cyklu życia bezpieczeństwa w celu uzyskania minimalnych standardów tych czynności. To podejście zostało przyjęte przy założeniu, że jest stosowana racjonalna i konsekwentna polityka techniczna.

W większości sytuacji bezpieczeństwo jest najlepiej osiągane przez proces projektowania nieodłącznie nastawiony na bezpieczeństwo. Jeśli jest konieczne, może to być połączone z systemem lub systemami zabezpieczającymi w celu osiągnięcia zidentyfikowanego ryzyka resztkowego. Systemy zabezpieczające mogą wykorzystywać różne techniki (chemiczną, mechaniczną, hydrauliczną, elektryczną, elektroniczną, elektroniczną programowalną). Zaleca się, aby każda strategia bezpieczeństwa rozpatrywała swój indywidualny przyrządowy system bezpieczeństwa w kontekście innych systemów zabezpieczeń. Aby ułatwić takie podejście, w normie sformułowano wymagania, aby:

• została wykonana ocena zagrożeń i ryzyka w celu zidentyfikowania całkowitych wymagań bezpieczeństwa,
• zostało wykonane przypisanie wymagań bezpieczeństwa do przyrządowego(-ych) systemu(-ów) bezpieczeństwa,
• działano w ramach schematu, który może być stosowany do wszystkich metod przyrządowych uzyskiwania bezpieczeństwa funkcjonalnego,
• uszczegółowiono zastosowanie określonych czynności, np. zarządzanie bezpieczeństwem, które mogą być zastosowane do wszystkich metod osiągania bezpieczeństwa funkcjonalnego.

W normie podano wytyczne do określania wymaganego poziomu nienaruszalności bezpieczeństwa SIL w ramach analizy zagrożeń i ryzyka. Zamieszczono informacje ogólne o metodach stosowanych w tym zakresie, jednak dostarczone informacje nie są wystarczająco szczegółowe, aby wdrożyć jakiekolwiek z tych podejść.

Załączniki do niniejszej normy dotyczą następujących spraw:

• koncepcji ryzyka tolerowanego i ALARP,
• metody półilościowej stosowanej do określenia wymaganego SIL,
• metody macierzy bezpieczeństwa do określenia wymaganego SIL,
• metody stosującej podejście półjakościowego grafu ryzyka do określenia wymaganego SIL,
• metody stosującej podejście jakościowego grafu do określenia wymaganego SIL,
• metody stosującej podejście analizy warstwy zabezpieczenia (LOPA) do określenia wymaganego SIL.

Termin stabilności – 2015 r.

Należy zaznaczyć, że pakiet norm IEC 61511 jest już znowelizowany i nowe wydanie oczekuje na edycję.

źródło: "Automatyka" 7-8/2015