Bezpieczeństwo funkcjonalne cz. I. Norma Podstawowa i sektorowa do przemysłu procesowego
Tadeusz Missala print
Pojęcie bezpieczeństwa funkcjonalnego pojawiło się w pracach normalizacyjnych Podkomitetu 65A IEC w 1985 r. w Montrealu. Było to związane z potrzebą znormalizowania wymagań dotyczących programowalnego sprzętu i jego oprogramowania stosowanego w technice zapewnienia bezpieczeństwa ludzi i zabezpieczania obiektów. Techniki bezpieczeństwa funkcjonalnego są nierozerwalnie związane ze stosowaniem elektroniki programowalnej, której nie daje się w pełni sprawdzić tradycyjnymi technikami pomiarowymi i badawczymi ze względu na zbyt wielką mnogość stanów, które mogą przyjmować.
Techniki bezpieczeństwa funkcjonalnego lub zbliżone są stosowane m.in. w przemyśle procesowym, przemyśle budowy maszyn, w budowie urządzeń sterujących, energetyce jądrowej, kolejnictwie czy medycynie.
W niniejszym artykule skupiamy się na normie podstawowej bezpieczeństwa funkcjonalnego oraz normach sektorowych odnoszących się do przemysłu procesowego.
Pojęcie bezpieczeństwa funkcjonalnego jest ściśle powiązane z procesem zmniejszania ryzyka z poziomu ryzyka procesu do poziomu ryzyka tolerowanego. Konieczne jest więc zacytowanie wybranych terminów:
- szkoda – fizyczny uraz lub pogorszenie stanu zdrowia ludzi, tak bezpośrednie, jak i pośrednie, wynikające ze szkody w majątku lub środowisku,
- zagrożenie – potencjalne źródło szkody,
- sytuacja zagrożenia – sytuacja, w której osoba jest narażona na zagrożenie,
- zdarzenie zagrażające – sytuacja zagrożenia, której wynikiem jest szkoda,
- ryzyko – kombinacja prawdopodobieństwa wystąpienia szkody i ciężkości tej szkody,
- ryzyko tolerowane – ryzyko, które jest akceptowane w określonym kontekście opartym na aktualnych wartościach społecznych,
- ryzyko obiektu – ryzyko pochodzące od obiektu sterowanego lub jego współdziałania z układem sterowania,
- bezpieczeństwo funkcjonalne – część bezpieczeństwa całkowitego odnosząca się do obiektu sterowanego i systemu sterowania obiektem, która zależy od prawidłowego działania systemów elektrycznych/elektronicznych/programowalnych elektronicznych związanych z bezpieczeństwem i zewnętrznych środków zmniejszania ryzyka,
- nienaruszalność bezpieczeństwa – prawdopodobieństwo, że system związany z bezpieczeństwem wykona w sposób zadowalający wymagane funkcje bezpieczeństwa we wszystkich określonych warunkach i w określonym przedziale czasu,
- poziom nienaruszalności bezpieczeństwa – poziom dyskretny (jeden z czterech możliwych) do wyszczególniania wymagań nienaruszalności bezpieczeństwa funkcji bezpieczeństwa, przy czym poziom nienaruszalności bezpieczeństwa 4 jest poziomem najwyższym, a poziom nienaruszalności bezpieczeństwa 1 jest poziomem najniższym.
Poziomy nienaruszalności bezpieczeństwa są zdefiniowane, w zależności od rodzaju pracy urządzeń związanych z bezpieczeństwem, przez parametry zamieszczone w tabelach 2 i 3 normy IEC 61508-1. Przez „całkowite” należy rozumieć dotyczące całego systemu, tj. zintegrowanych sprzętu i oprogramowania.
W związku z takim zakresem stosowania i specyfiką różnych sektorów gospodarki rozróżnia się: normę podstawową, normy sektorowe i normy grup wyrobów.
Norma podstawowa
Norma podstawowa jest pakietem siedmiu norm, które są opisane poniżej.
PN-EN 61508-1:2010P, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 1: Wymagania ogólne.
Niniejsza część serii norm IEC 61508 zawiera ogólne wymagania z zakresu bezpieczeństwa funkcjonalnego. Inne części IEC serii 61508 koncentrują się na bardziej szczegółowych tematach: części 2 i 3 zawierają wymagania szczegółowe i dodatkowe dotyczące systemów E/E/PE związanych z bezpieczeństwem (w zakresie sprzętu i oprogramowania); część 4 podaje definicje i skrótowce stosowane w niniejszej normie; część 5
zawiera wytyczne, przez przedstawienie przykładowych metod, do stosowania części 1 w zakresie określania poziomów nienaruszalności bezpieczeństwa; część 6 zawiera wytyczne do stosowania części 2 i 3; część 7 obejmuje przegląd technik i sposobów. IEC 61508-1, IEC 61508-2, IEC 61508-3 i IEC 61508-4
Norma PN-EN 61508-1 obejmuje następujące zagadnienia:
- określa cykl życia bezpieczeństwa systemu i sformułowanie wymagań dotyczących każdej fazy tego cyklu,
- udostępnia metodę opracowywania specyfikacji wymagań bezpieczeństwa koniecznych do osiągnięcia wymaganego bezpieczeństwa funkcjonalnego systemów E/E/PE związanych z bezpieczeństwem,
- wprowadza podejście opierające się na analizie ryzyka do określania wymagań w zakresie nienaruszalności bezpieczeństwa,
- wprowadza poziomy nienaruszalności bezpieczeństwa do wyszczególniania docelowych poziomów nienaruszalności bezpieczeństwa funkcji bezpieczeństwa, które mają być zaimplementowane przez systemy E/E/PE związane z bezpieczeństwem,
- ustala docelowe miary liczbowe uszkodzeń pojedynczych funkcji bezpieczeństwa wykonywanych przez systemy E/E/PE związane z bezpieczeństwem, sprzężone z poziomami nienaruszalności bezpieczeństwa,
- ustala dolną granicę docelowej miary uszkodzeń funkcji bezpieczeństwa wykonywanej przez pojedynczy system E/E/PE związany z bezpieczeństwem; w przypadku systemów E/E/PE związanych z bezpieczeństwem pracujących w:
- rodzaju pracy na rzadkie przywołanie; dolna granica jest ustalona jako średnie prawdopodobieństwo uszkodzenia niebezpiecznego wykonania funkcji na przywołanie, wynoszące 10-5,
- rodzaju pracy na częste przywołanie lub ciągłym; dolna granica została ustalona jako prawdopodobieństwo wystąpienia uszkodzenia niebezpiecznego wynoszące 10-9 [h-1],
- ustala wymagania dotyczące unikania defektów systematycznych i ich kontroli, oparte na doświadczeniu i osądzie z doświadczenia praktycznego uzyskanego w przemyśle; mimo że prawdopodobieństwo wystąpienia uszkodzeń systematycznych nie może na ogół być kwantyfikowane, norma dopuszcza żądanie, aby rozpatrywać osiągnięcie docelowej miary uszkodzeń skojarzonej z funkcją bezpieczeństwa, o ile będą spełnione wszystkie wymagania normy,
- wprowadza zdolność systematyczną, która ma zastosowanie do elementu w odniesieniu do zapewnianego przezeń zaufania, że nienaruszalność bezpieczeństwa systematyczna spełnia wymagania wyszczególnionego poziomu nienaruszalności bezpieczeństwa,
- wprowadza szeroki zakres zasad, technik i sposobów uzyskiwania bezpieczeństwa funkcjonalnego systemów E/E/PE związanych z bezpieczeństwem, lecz nie wykorzystuje wyraźnie koncepcji bezpiecznego uszkodzenia; jednakże koncepcje „bezpiecznego uszkodzenia” i „bezpieczeństwa samego w sobie” mogą mieć zastosowanie i ich wprowadzenie jest akceptowalne, pod warunkiem że są spełnione wymagania odpowiednich rozdziałów normy.
Termin stabilności – 2014 r.
PN-EN 61508-2:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 2: Wymagania dotyczące elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem.
W tej normie, będącej częścią pakietu IEC 61508, wyszczególniono wymagania dotyczące czynności, które mają być wykonane podczas projektowania i wytwarzania systemu elektrycznego, elektronicznego lub programowalnego elektronicznego wiążącego się z bezpieczeństwem sprzętu i integracji systemu, jak też podano informacje konieczne do zainstalowania, przeprowadzenia odbioru komisyjnego i walidacji bezpieczeństwa systemu. W szczególności w normie omówiono zagadnienia:
- projektowania i wytwarzania: syntezę elementów w celu osiągnięcia wymaganej zdolności systemowej, wynikające z architektury ograniczenia w realizacji nienaruszalności bezpieczeństwa sprzętu, wymagania dotyczące kwantyfikowania skutków przypadkowych uszkodzeń sprzętu, wymagania w zakresie uniknięcia defektów systematycznych, wymagania odnośnie kontrolowania defektów systematycznych, wymagania związane z zachowaniem się systemu w przypadku wykrycia defektu, wymagania dotyczące wdrożenia systemu E/E/PE, wymagania dotyczące elementów uznanych za sprawdzone w stosowaniu, wymagania uzupełniające dotyczące komunikacji,
- integracji sprzętowej systemu,
- procedury pracy i serwisu, walidacji bezpieczeństwa, modyfikacji, weryfikacji i oceny bezpieczeństwa funkcjonalnego.
Termin stabilności – 2014 r.
PN-EN 61508-3:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 3: Wymagania dotyczące oprogramowania.
W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono zasady mające zastosowanie do dowolnego oprogramowania stanowiącego część systemu związanego z bezpieczeństwem lub stosowanego do opracowania systemu wiążącego się z bezpieczeństwem (oprogramowania wiążącego się z bezpieczeństwem). W szczególności w normie omówiono następujące zagadnienia:
- specyfikację wymagań bezpieczeństwa oprogramowania,
- plan walidacji aspektów programowych bezpieczeństwa systemu,
- opracowanie i wytwarzanie oprogramowania: wymagania w zakresie projektu architektury oprogramowania, wymagania dotyczące narzędzi wspomagających, w tym języków programowania, wymagania szczegółowe dotyczące projektu i wytwarzania, wymagania odnośnie implementacji kodów, wymagania dotyczące testowania modułów oprogramowania i jego integracji,
- wymagania dotyczące integracji elektroniki programowalnej – sprzętu i oprogramowania,
- procedury pracy, modyfikacji, walidacji i oceny bezpieczeństwa funkcjonalnego oprogramowania.
Termin stabilności – 2014 r.
PN-EN 61508-4:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 4: Definicje i skrótowce.
W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono definicje oraz wyjaśnienie terminów i skrótowców stosowanych w przypadku elektronicznych systemów związanych z bezpieczeństwem. Podano definicje 78 terminów: 11 dotyczących bezpieczeństwa, 7 dotyczących wyposażenia i urządzeń, 10 dotyczących aspektów ogólnych, 5 dotyczących aspektów związanych z bezpieczeństwem, 14 dotyczących funkcji bezpieczeństwa i nienaruszalności bezpieczeństwa, 12 dotyczących defektu, uszkodzenia i błędu, 4 dotyczące czynności wynikających z cyklu życia, 15 dotyczących potwierdzenia środków bezpieczeństwa. Zamieszczono wykaz terminów w języku polskim i angielskim.
Termin stabilności – 2014 r.
PN-EN 61508-5:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 5: Przykłady metod określania poziomów nienaruszalności bezpieczeństwa.
W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono ogólne informacje o ryzyku i relacji ryzyka do poziomu nienaruszalności bezpieczeństwa, m.in. pojęcie koniecznego zmniejszenia ryzyka ze względu na przepisy prawne i odczucia społeczne, pojęcia ryzyka indywidualnego i społecznego, rolę systemów E/E/PE związanych z bezpieczeństwem w procesie zmniejszania ryzyka i osiągania wymaganego poziomu akceptowanego społecznie oraz pewną liczbę metod umożliwiających określenie potrzebnego poziomu nienaruszalności bezpieczeństwa systemów wiążących się z bezpieczeństwem, a mianowicie:
- metodę ALARP (As Low As Reasonably Practical – tak niskie, jak rozsądnie osiągalne) i koncepcję ryzyka tolerowalnego,
- metodę jakościową określenia wymaganego poziomu nienaruszalności bezpieczeństwa,
- metodę grafu ryzyka,
- półilościową metodę stosującą analizę warstw ochrony (LOPA),
- metodę ilościową – macierz ostrości zdarzeń zagrażających.
Termin stabilności – 2014 r.
PN-EN 61508-6:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 6: Wytyczne do stosowania IEC 61508-2 i IEC 61508-3.
W tej normie, będącej kolejną częścią pakietu IEC 61508, przedstawiono informacje i wytyczne na temat:
- kroków funkcjonalnych przy stosowaniu IEC 61508-2 i IEC 61508-3 wraz ze schematami odpowiednich ścieżek postępowania,
- przykładowych technik obliczania prawdopodobieństwa uszkodzenia sprzętu: przedstawiono zasady ogólne obliczenia prawdopodobieństwa wystąpienia uszkodzenia niebezpiecznego, metodę schematu blokowego niezawodności z założonym stałym strumieniem uszkodzeń, w ramach której zawarto bogaty materiał źródłowy umożliwiający przeprowadzenie obliczeń, metodę boolowską, metodę szeregów Markowa, metodę symulacji siecią Petriego i Monte Carlo,
- przykładów obliczenia pokrycia diagnostycznego,
- metodologii liczbowego wyznaczenia wpływu uszkodzeń wspólnej przyczyny, wiążących się ze sprzętem, na prawdopodobieństwo uszkodzenia,
- przykładów zastosowania tablic nienaruszalności bezpieczeństwa oprogramowania zawartych w IEC 61508-3.
Termin stabilności – 2014 r.
PN-EN 61508-7:2010E, Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem – Część 7: Przegląd technik i miar.
W tej normie, będącej kolejną częścią pakietu IEC 61508, zawarto przegląd technik i miar bezpieczeństwa odnoszących się do IEC 61508-2 i IEC 61508-3.
Termin stabilności – 2014 r.
Norma do przemysłu procesowego
Ze względu na złożoność zagadnienia i różnorodność zastosowań zostały opracowane normy sektorowe, przybliżające wymagania normy ogólnej do wymagań i zwyczajów poszczególnych sektorów zastosowań przemysłowych. Norma sektorowa do przemysłu procesowego jest pakietem trzech norm opisanych poniżej.
PN-EN 61511-1:2007P, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego – Część 1: Schemat, definicje, wymagania dotyczące systemu, sprzętu i oprogramowania.
W niniejszej normie podano wymagania dotyczące specyfikacji, projektu, instalowania, pracy i obsługi przyrządowych systemów bezpieczeństwa, tak aby można było powierzyć im z zaufaniem wprowadzenie procesu w stan bezpieczny i/lub utrzymanie go w tym stanie. Niniejsza norma została opracowana jako implementacja IEC 61508 do sektora procesowego.
W szczególności w niniejszej normie:
- wyszczególniono wymagania dotyczące osiągnięcia bezpieczeństwa funkcjonalnego,
- określono zakres zastosowania w przypadku, gdy wyposażenie spełniające wymagania IEC 61508 lub punktu 11.5, IEC 61511-1 jest integrowane w system całościowy, który ma być użyty do zastosowania w sektorze procesowym,
- zdefiniowano relacje między IEC 61511 i IEC 61508,
- omówiono zastosowanie się, gdy oprogramowanie aplikacyjne jest wytworzone, do systemu mającego programy o ograniczonej zmienności lub ustalone, lecz nie dotyczy wytwórców, projektantów, integratorów i użytkowników przyrządowych systemów bezpieczeństwa, wytwarzających oprogramowanie posadowione (oprogramowanie systemowe) bądź używających języków o pełnej zmienności (patrz IEC 61508-3),
- zwrócono uwagę, że w ramach sektora procesowego niektóre zastosowania (np. przybrzeżne) mogą mieć dodatkowe wymagania do spełnienia,
- przedstawiono w zarysie relacje między przyrządowymi funkcjami bezpieczeństwa i innymi funkcjami,
- wyszczególniono wymagania na architekturę systemu, konfigurację sprzętu, oprogramowanie aplikacyjne i integrację systemu,
- wyszczególniono wymagania na oprogramowanie aplikacyjne dla użytkowników i integratorów przyrządowych systemów bezpieczeństwa, w tym wymagania dotyczące następujących spraw:
- faz cyklu życia bezpieczeństwa i czynności, jakie należy wykonać podczas projektowania i wytwarzania oprogramowania aplikacyjnego (model cyklu życia bezpieczeństwa oprogramowania),
- informacji odnoszącej się do przeprowadzonej walidacji bezpieczeństwa oprogramowania, na użytek organizacji wykonującej integrację SIS,
- przygotowania informacji i procedur dotyczących oprogramowania koniecznego dla użytkowników do pracy i obsługi SIS,
- procedur i specyfikacji, które mają spełniać organizacje wykonujące modyfikacje oprogramowania bezpieczeństwa,
- zdefiniowano wymagania dotyczące implementacji przyrządowych funkcji bezpieczeństwa jako części całościowego przedsięwzięcia do osiągnięcia bezpieczeństwa funkcjonalnego,
- przyjęto jako podstawę cykl życia bezpieczeństwa i zdefiniowano wykaz czynności koniecznych do ustalenia wymagań bezpieczeństwa funkcjonalnego i wymagań nienaruszalności bezpieczeństwa dotyczących przyrządowego systemu bezpieczeństwa,
- zamieszczono wymaganie, aby była wykonana ocena zagrożeń i ryzyka w celu zdefiniowania wymagań funkcjonalnych bezpieczeństwa i poziomów nienaruszalności bezpieczeństwa każdej przyrządowej funkcji bezpieczeństwa,
- wyszczególniono techniki/sposoby wymagane do osiągnięcia wymaganego poziomu nienaruszalności bezpieczeństwa i podano schemat postępowania,
- dostarczono schemat ustalenia poziomów nienaruszalności bezpieczeństwa, lecz nie wyszczególniono poziomów nienaruszalności bezpieczeństwa wymaganych w konkretnych zastosowaniach (zaleca się, aby było to ustalane na podstawie wiedzy o szczególnym zastosowaniu),
- zamieszczono wymaganie, aby projekt przyrządowej funkcji bezpieczeństwa brał pod uwagę czynniki ludzkie.
Termin stabilności – 2015 r.
PN-EN 61511-2:2008P, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego – Część 2: Wytyczne do stosowania IEC 61511-1.
Zamieszczono wytyczne do sporządzania specyfikacji, projektowania, instalowania, pracy i obsługi Przyrządowych Funkcji Bezpieczeństwa i związanego z nimi przyrządowego systemu bezpieczeństwa, zdefiniowanych
Termin stabilności – 2015 r.
PN-EN 61511-3:2009P, Bezpieczeństwo funkcjonalne – Przyrządowe systemy bezpieczeństwa do sektora przemysłu procesowego – Część 3: Wytyczne do określania poziomów wymaganych nienaruszalności bezpieczeństwa.
Norma dotyczy zastosowania przyrządowych systemów bezpieczeństwa w przemyśle procesowym. Zamieszczono wymaganie wykonania oceny zagrożeń i ryzyka procesu w celu umożliwienia uzyskania specyfikacji na przyrządowe systemy bezpieczeństwa. Inne systemy bezpieczeństwa są rozpatrywane tylko w takim zakresie, aby ich udział mógł być wzięty pod uwagę przy rozpatrywaniu wymaganych właściwości przyrządowego systemu bezpieczeństwa. Przyrządowy system bezpieczeństwa zawiera wszystkie komponenty i podsystemy konieczne do zrealizowania przyrządowych funkcji bezpieczeństwa od czujnika(-ów) do elementu(-ów) końcowego(-ych).
Norma zawiera dwa pojęcia podstawowe do jej stosowania: cykl życia bezpieczeństwa oraz poziomy nienaruszalności bezpieczeństwa i dotyczy przyrządowych systemów bezpieczeństwa wykorzystujących technikę elektryczną (E)/elektroniczną (E)/programowalną elektroniczną (PE). Jeśli są użyte inne techniki w jednostkach logicznych, to zaleca się stosowanie podstawowych zasad niniejszej normy. Niniejsza norma także dotyczy czujników i elementów końcowych przyrządowych systemów bezpieczeństwa, bez względu na zastosowane techniki. Jest szczególną normą przemysłu procesowego w ramach schematu IEC 61508 i wytycza podejście do czynności cyklu życia bezpieczeństwa w celu uzyskania minimalnych standardów tych czynności. To podejście zostało przyjęte przy założeniu, że jest stosowana racjonalna i konsekwentna polityka techniczna.
W większości sytuacji bezpieczeństwo jest najlepiej osiągane przez proces projektowania nieodłącznie nastawiony na bezpieczeństwo. Jeśli jest konieczne, może to być połączone z systemem lub systemami zabezpieczającymi w celu osiągnięcia zidentyfikowanego ryzyka resztkowego. Systemy zabezpieczające mogą wykorzystywać różne techniki (chemiczną, mechaniczną, hydrauliczną, elektryczną, elektroniczną, elektroniczną programowalną). Zaleca się, aby każda strategia bezpieczeństwa rozpatrywała swój indywidualny przyrządowy system bezpieczeństwa w kontekście innych systemów zabezpieczeń. Aby ułatwić takie podejście, w normie sformułowano wymagania, aby:
- została wykonana ocena zagrożeń i ryzyka w celu zidentyfikowania całkowitych wymagań bezpieczeństwa,
- zostało wykonane przypisanie wymagań bezpieczeństwa do przyrządowego(-ych) systemu(-ów) bezpieczeństwa,
- działano w ramach schematu, który może być stosowany do wszystkich metod przyrządowych uzyskiwania bezpieczeństwa funkcjonalnego,
- uszczegółowiono zastosowanie określonych czynności, np. zarządzanie bezpieczeństwem, które mogą być zastosowane do wszystkich metod osiągania bezpieczeństwa funkcjonalnego.
W normie podano wytyczne do określania wymaganego poziomu nienaruszalności bezpieczeństwa SIL w ramach analizy zagrożeń i ryzyka. Zamieszczono informacje ogólne o metodach stosowanych w tym zakresie, jednak dostarczone informacje nie są wystarczająco szczegółowe, aby wdrożyć jakiekolwiek z tych podejść.
Załączniki do niniejszej normy dotyczą następujących spraw:
- koncepcji ryzyka tolerowanego i ALARP,
- metody półilościowej stosowanej do określenia wymaganego SIL,
- metody macierzy bezpieczeństwa do określenia wymaganego SIL,
- metody stosującej podejście półjakościowego grafu ryzyka do określenia wymaganego SIL,
- metody stosującej podejście jakościowego grafu do określenia wymaganego SIL,
- metody stosującej podejście analizy warstwy zabezpieczenia (LOPA) do określenia wymaganego SIL.
Termin stabilności – 2015 r.
Należy zaznaczyć, że pakiet norm IEC 61511 jest już znowelizowany i nowe wydanie oczekuje na edycję.
source: "Automatyka" 7-8/2015