profess

PROFESS - INFO
Měřicí a regulační technika
Technické informace
PMA Prozeß- und Maschinen-Automation GmbH
Knick GmbH, Bourdon-Haenni AG
epro GmbH, Cherokee Europe S.C.A.
Funkční bezpečnost podle IEC / EN 61508:
Normy – fakta – pozadí
Zpracováno dle technických podkladů firmy KNICK GmbH
Bezpečnost technických zařízení
Každé použití techniky s sebou přináší i jisté bezpečnostně technické riziko. Výpadky a chybné funkce
technologických zařízení a strojů mohou vést k rizikům pro osoby, životní prostředí a materiální hodnoty. Důsledky
poruch a pravděpodobnosti výskytu určují nutná opatření k omezení rizik zabráněním vzniku poruch, rozpoznáním
poruch a zvládnutím poruch. Se zavedením mikroprocesorových a softwarových systémů v automatizační technice
vyvstala nutnost vytvoření na aplikacích nezávislých pravidel pro bezpečnostní požadavky u takovýchto systémů.
Normy konkretizují požadavky
Aby bylo dosaženo tohoto cíle, byly vyvinuty různé normy a standardy. Nejdříve se DIN zabývala funkční
bezpečností měřících a regulačních systémů (DIN V 19250, 1994) a s tím souvisejícími zabezpečovacími funkcemi
(DIN V 19251, 1995). Na základě těchto předběžných norem byla provedena posouzení rizik a zabezpečovací
funkce daného zařízení kategorizována do osmi tříd zabezpečení, resp. požadavků (AK 1 až AK 8). Posouzením
daného systému podle DIN V 19250 a DIN V 19251 bylo prokázáno zbytkové riziko kvalitativně, nikoliv však
kvantitativně.
IEC/EN 61508 - Funkční bezpečnost elektrických / elektronických / programovatelných systémů
Poté, co byly zmíněné předběžné normy 1.8.2004 staženy, nahradila je celosvětově uplatnitelná norma IEC/EN
61508. Tato norma požaduje kvantitativní doložení zbytkového rizika na základě výpočtu pravděpodobnosti
poruchy. Nové na této normě je rovněž to, že na rozdíl od národních předběžných norem popisuje kompletní
zabezpečovací instalaci od senzoru až po akční člen, včetně rámcových podmínek ze strany managementu.
Pro provozovatele zařízení vzniká zvýšená zodpovědnost za zabránění poruchám. Důraz je tu kladen na
organizační opatření, jako je školení personálu a pravidelné funkční zkoušky. Výrobce přístrojů se musí orientovat
na nové strukturování požadavků na prokazování bezpečnosti ve vývoji hardwaru i softwaru. To jsou důvody,
pro které se stávající systémy zpravidla nedaří podle IEC / EN 61508 dodatečně kvalifikovat.
Použitelnost IEC/EN 61508
Podle definic IEC se u IEC 61508 (k dispozici také jako DIN EN 61508) jedná o tzv. „Basic Safety Publication“,
která vidí jako jeden ze svých hlavních cílů umožnění vývoje norem, specifických pro daný obor či sektor.
V současné době to jsou např. IEC/EN 61511 pro průmysl technologických procesů a IEC / EN 62061 pro
strojírenský průmysl. Dalším cílem IEC/EN 61508 však je též umožnit vývoj zabezpečovacích systémů, pro něž
dosud nejsou k dispozici mezinárodní normy, specifické pro tento obor použití.
Funkční bezpečnost a zabezpečovací funkce
V IEC/EN 61508 sledované zabezpečovací systémy spočívají na elektrické, elektronické a programovatelné
technologii. Pojem „funkční bezpečnost“ popisuje část celkové bezpečnosti zařízení, která závisí na správné funkci
zabezpečovacích systémů. Zabezpečovací funkce je zařízením pro snižování rizika, instalovaným s cílem
dosáhnout při výskytu nebezpečné události bezpečný stav zařízení.
Z technického hlediska je nutno zajistit, aby zabezpečovací funkce v případě nutného zásahu byla provedena
spolehlivě, t.zn. pravděpodobnost nebezpečného selhání zabezpečovacího systému musí být dostatečně nízká.
Zabezpečovací životní cyklus
IEC/EN 61508 se zabývá zabezpečovacími technickými systémy po dobu celého životního cyklu, tj. od prvního
konceptu až k ukončení provozu. Vcelku se při tom jedná o 16 fází, které musí být provozovatelem respektovány.
Jedním z nejdůležitějších bodů při celkovém plánování je bezesporu realizace. V této fázi je třeba plánovat
realizaci na zabezpečení vztaženého systému a odpovídajícím způsobem realizovat příslušný vývoj. Smysluplnou
se zde jeví koordinace a spolupráce provozovatele zařízení, realizační firmy a výrobce přístrojů. (Obr. 1)
Úroveň bezpečnostní integrity
Zůstávající zbytkové riziko zabezpečovací funkce je stanovováno pomocí výpočtu pravděpodobnosti selhání všech
v zabezpečovacím okruhu zúčastněných komponent a jejich propojení. Stanovení úrovně bezpečnostní integrity
(SIL) znamená, přiřadit zabezpečovací funkci určitou tak zvanou mezní hodnotu selhání. Rozlišují se čtyři
zabezpečovací stupně: SIL 4 pro nejvyšší stupeň bezpečnostní integrity až po SIL 1 pro stupeň nejnižší. Každý
stupeň přísluší určitému rozsahu pro pravděpodobnost výpadku zabezpečovací funkce. Typickým vyložením pro
měřící systémy je SIL 2 nebo SIL 3, kategorie SIL 4 nebyla, pokud víme, v řídících systémech dosud uplatněna.
Pravděpodobnost selhání a druhy provozu zabezpečovací funkce
V závislosti na druhu použití jsou pravděpodobnosti výpadku přiřazovány určité mezní hodnoty selhání:
- Mez selhání PFD ( = Probability of Failure on Demand, resp. střední pravděpodobnost, že zabezpečovací
funkce na vyžádání nebude provedena) a
- Mez selhání PFH ( = Probability of Failure per Hour, resp. pravděpodobnost poruchy za hodinu).
Při tom je mez selhání PFD určená pro nízké míry požadavků, zatímco mez selhání PHF platí pro vysoké míry
požadavků, resp. pro požadavky nepřerušené.
IEC/EN 61508 rozlišuje v této souvislosti dva druhy provozu pro zabezpečovací funkce:
- druh provozu s nízkou mírou požadavků (Low Demand Mode) a
- druh provozu s vysokou nebo kontinuální mírou požadavků (High Demand Mode).
Způsob provozu s nízkou mírou požadavků
O nízké míře požadavků mluvíme tehdy, když je zabezpečovací funkce požadována pouze v případě nebezpečí,
a to tak, aby střežený systém (Equipment Under Control - EUC) funkce převedla do definovaného bezpečného
stavu. Při tom se předpokládá, že běžný řídící systém procesu (Basic Process Control System – BPCS) selhává
méně než jednou za rok, a tedy míra požadavků na zabezpečovací systém je nízká. Typicky tak, s nízkou mírou
požadavků, pracují zabezpečovací systémy v chemických zařízeních.
Způsob provozu s vysokou nebo kontinuální mírou požadavků
Zabezpečovací funkce, která pracuje v režimu kontinuální míry požadavků, udržuje EUC trvale v jeho normálním
bezpečném stavu. Zabezpečovací systém střeží EUC nepřetržitě. Nebezpečný výpadek tohoto systému vede
bezprostředně k ohrožení, pokud nevstoupí v činnost jiné zabezpečovací systémy nebo externí opatření pro
snížení rizika. Příkladem pro toto jsou na příklad regulace otáček strojů nebo regulace hořáků.
Bezpečnostní parametry HFT a SFF
Vedle pravděpodobnosti nebezpečného selhání PFD resp. PFH se pro klasifikaci SIL používají:
- Hardwarová poruchová tolerance HFT (Hardware Fault Tolerance).
- Podíl bezpečných výpadků SFF (Safe Failure Fraction).
- HFT popisuje kvalitu zabezpečovací funkce a znamená schopnost při výskytu poruch dále správně
vykonávat funkci.
- HFT = 1 na příklad znamená systém s jednoduchou redundancí, tzn. musí nastat alespoň dvě chyby
současně, aby došlo k výpadku zabezpečovacího systému.
- U SFT se jedná o výpočet podílu tzv. bezpečných výpadků. Hodnota 95% popisuje, že 95 výpadků ze sta
nemá kritický dopad na zabezpečovací funkci. Významnou roli zde hraje odhalování poruch pomocí
autotestů, stupeň diagnostického pokrytí (angl. DC = Diagnostic Coverage) a schopnost, přiměřeně
reagovat v závislosti na očekávaném působení. Proto jsou rozlišovány nebezpečné a bezpečné poruchy
a dále i možnost, tyto poruchy samočinně rozpoznat či naopak nikoliv. (Obr.2)
Stanovení bezpečnostní integrity
Dosažitelná úroveň bezpečnostní integrity určité zabezpečovací funkce (SIL) podle IEC/EN 61508 závisí na
pravděpodobnosti nebezpečných selhání PFD resp. PFH a na kombinaci charakteristických hodnot SFF a HFT.
Tyto charakteristické parametry jsou dokumentovány v tzv. bezpečnostním manuálu (Safety Manual) (Obr.3).
Oproti dosavadnímu způsobu podle DIN musí být zahrnuty pravděpodobnosti selhání PFD resp. PFH všech na
zabezpečovacím okruhu zúčastněných komponent (a jejich propojení). Takto nemá jednotlivý přístroj, např. čidlo
pH, vlastní SIL, nýbrž může být na základě svých charakteristických parametrů nasazeno v měřícím okruhu,
zaměřeném na zabezpečení, v intencích určitého SIL X.
Je třeba mít na zřeteli, že by jednotlivý přístroj měl nárokovat pokud možno málo z přípustné pravděpodobnosti
selhání PFD resp. PFH celého měřícího okruhu. Jinak existuje nebezpečí, že zabezpečovací okruh, složený
z komponentů, vhodných pro SIL 2, dosáhne jako celek pouze SIL 1 (Obr. 4).
U redundantních struktur je sledování poruch ze společných příčin (Common Cause Failures) zvlášť relevantní,
protože zde existuje pravděpodobnost, že systematické chyby stejných přístrojů vedou na stejné následky a tak
způsobují vícečetné poruchy. Požadovaná poruchová tolerance je zde narušena a dochází k výpadku systému.
Problém existuje především u softwaru: Určitá chyba by nastala v obou přístrojích, neboť software je identický.
U redundantního zapojení je proto třeba vždy dbát na to, aby software přístroje byl už vhodný a certifikovaný
pro vyšší SIL.
Závady se společnou příčinou se vyjadřují pomocí tzv. ß –faktoru. Ten popisuje poměr pravděpodobnosti výpadků
se stejnou příčinou k pravděpodobnosti výpadků nahodilých.
Opakované zkoušky
Pravděpodobnost nebezpečného výpadku se po prvním zapnutí zabezpečovacího systému blíží nule.
S probíhajícím provozem pravděpodobnost výpadku stoupá. Po provedení opakované zkoušky (Proof Test)
je možno opět vycházet z pravděpodobnosti výpadku s hodnotou blízkou nule („Stav jako nový“). Proof Test musí
být navíc schopen odhalit všechny závady, neodhalitelné autodiagnózou. Vychází při tom časový průběh, jak je
ukázán v Obr. 5. Zde je patrné, že kratší intervaly mezi opakovanými zkouškami pravděpodobnost výpadku snižují.
„Hraní si“ s intervaly zkoušek může však být uplatněno pouze u přístrojů s malou mírou požadavků, protože
u jednokanálových uspořádání je proměnné pouze PFD, nikoli však PFH.
Požadavky na vývoj přístrojů
Při sestavování normy IEC/EN 61508 byl kladen důraz především na to, aby projektování zabezpečovacích
systémů bylo již předem orientováno na zabránění poruchám, resp. na schopnost ovládnout vzniklé poruchy bez
omezení funkčnosti zařízení nebo strojů. Již během vývoje a výroby, ale i během provozu (bezpečnostní životní
cyklus) musí být všechna opatření pro zabránění poruchám a zvládání poruch, jakož i k tomu použité metody
a nástroje, zohledněny a ohodnoceny.
Hardwarová architektura musí být přizpůsobena požadované úrovni bezpečnostní integrity. Za účelem zvládnutí
nahodilých hardwarových poruch, systematických poruch a výpadků podmíněných provozem i okolím musí být do
návrhu přístrojů zahrnuty příslušné techniky a opatření. Při tom je brán zřetel hlavně jak na četnosti výpadků dílčích
systémů a komponent, tak i na pravděpodobnost odhalení výpadku. Je třeba zhodnotit a dokumentovat každou
specifikovanou zabezpečovací funkci pomocí testů nebo analýzy. Samozřejmě je třeba při tomto postupu pečlivě
přezkoumat a dokumentovat všechny modifikace.
Podobný postup platí pro software: Požadavky na zabezpečení je třeba detailně specifikovat. Pomocí přehledů
je třeba zkoumat, zda byly všechny z toho vyplývající požadavky na software dostatečně zohledněny. Vyvinutý
software musí být analyzovatelný a verifikovatelný tak, aby všechny zkoušky ve vztahu na bezpečnostní integritu
byly kompletně proveditelné. Požadavkům IEC/EN 61508 při tom podléhají i použité softwarové vývojové
prostředky.
Při integraci softwaru na cílový hardware musí být přezkoušena kompatibilita softwaru a hardwaru, aby bylo
zajištěno dosažení požadované bezpečnostní integrity.
Navíc k technickým požadavkům jsou předepsána organizační opatření, s cílem minimalizovat zbytkové riziko.
V rozsahu „Functional Safety Managmentu“ má bezpečné provedení všech pracovních procesů a opatření nejvyšší
prioritu. K tomu patří i definice a kvalifikace zodpovědných osob. V zásadě platí, že celkový rozsah požadavků
z IEC/EN 61508 může být splněn pouze u nově vyvíjených systémů.
Kvalifikace přístrojů podle IEC/EN 61508 a IE/EN 61511 (osvědčení se v provozu)
Pro zhodnocení již vyvinutých a vyrobených komponent existuje podle IEC/EN 61511 možnost kvalifikace
na základě osvědčení se v provozu. Komponenta je osvědčená v provozu tehdy, když dokumentované
přezkoumání vhodných výkazů dřívějších nasazení prokazuje, že komponenta je vhodná k nasazení
v zabezpečovacím systému. Stupeň detailnosti průkazných materiálů musí souhlasit se zvoleným stupněm SIL.
U této metodiky je třeba mít na zřeteli, že výše uvedené rozsáhlé požadavky IEC/EN 61508 zde na vývojový
proces nelze uplatnit. V úzké součinnosti s uživatelem však může osvědčení se v provozu sloužit jako zcela
adekvátní prostředek k dosažení bezpečnostně relevantního měřícího okruhu. Při tom je třeba zohlednit relevanci
dosavadních provozních zkušeností pro nové nasazení (srovnatelný požadavkový profil, zohlednění okolí systému)
na rozsáhlý a kontrolovatelný konfigurační management.
Vyznačení stupně schválení k provozu
Fa. Knick zavedla pro rozmanité postupy certifikace přístrojů příslušná označení. Odpovídající symboly
v dokumentaci přístrojů umožňují jednoduché přiřazení druhu schválení. Nový vývoj přístrojů pro měřicí úlohy,
orientované na zabezpečovací funce jako např. nových převodníků teploty ThermoTrans® P 32000, probíhají
důsledně podle požadavků IEC/EN 61508. Moderní a komplexnější přístroje jsou pak k dispozici dříve, než by
tomu tak bylo oklikou přes osvědčení se v provozu – obzvláště pro měřicí úlohy s vysokými požadavky na
bezpečnost.
Shrnutí
IEC/EN 61508 je celosvětovým standardem, popisujícím zásadní bezpečnostní požadavky na elektrické,
elektronické, a programovatelné systémy. Je prvním harmonizovaným regulačním počinem, platným nezávisle
na druhu aplikace.
1. srpna 2002 byla tato norma převzata do německých norem jako DIN EN 61508 a definuje stav techniky pro
zabezpečovací funkce elektrických, elektronických, a programovatelných elektronických technologií
v zabezpečovacích aplikacích. Normou IEC 61508 je poprvé požadováno kvantitativní doložení zbytkového rizika
u kompletního zabezpečovacího zařízení, sestávajícího ze snímače, řídícího zařízení, a akčního členu.
Obsáhlá věcná konfrontace s tímto komplexním tématem je na základě výše řečeného nanejvýš nutná.
Mnoho jak uživatelů a výrobců přístrojů má při rutinním zacházení s novým standardem potíže.
Ani redundantní zapojení SIL-přístrojů nevede automaticky na vyšší úrovně bezpečnosti, ani nejsou SILpřístroje automaticky lepší či bezpečnější než přístroje bez klasifikace SIL. Knick proto v úzké spolupráci
s uživateli zpracovává pragmatická a k cíli vedoucí řešení.
Rádi Vám poskytneme další technické i obchodní informace.
PROFESS, spol s r.o., Květná 5, 326 00 Plzeň Tel: 377 454 411 Fax: 377 240 472
E-mail: [email protected] Internet: www.profess.cz