Politechnika Gdańska
Wydział Elektrotechniki i Automatyki
Katedra Automatyki
Kazimierz Kosmowski
k.kosmowski@ely.pg.gda.pl
Opracowanie metod analizy i narzędzi do
komputerowo wspomaganego zarzÄ…dzania
bezpieczeństwem funkcjonalnym w ramach systemu
warstw zabezpieczeniowo-ochronnych obiektów
przemysłowych podwyższonego ryzyka
Seminarium PPT BPP
Priorytety i formy badań naukowych i prac rozwojowych w ramach
Polskiej Platformy Technologicznej Bezpieczeństwo Pracy w Przemyśle
CIOP PIB, Warszawa, 17 maja 2007
Zakres prezentacji
" Koncepcja bezpieczeństwa funkcjonalnego (IEC 61508)
" Określanie wymaganego poziomu nienaruszalności
bezpieczeństwa SIL (safety integrity level) na podstawie
analizy ryzyka
" Weryfikacja poziomu nienaruszalności bezpieczeństwa
systemów E/E/PE i SIS
" Metoda LOPA (Layer of Protection Analysis) w praktyce
wnawiÄ…zaniu do IEC 61511
" Kategorie częstości, skutków zdarzeń awaryjnych
i ryzyka oraz określanie SIL
" Projekt w programie wieloletnim koordynacja CIOP PIB
Bezpieczeństwo funkcjonalne (IEC 61508)
Cykl życia / trwania bezpieczeństwa
Koncepcja
1
Bezpieczeństwo funkcjonalne
Określenie całkowite
- część bezpieczeństwa, odnosząca się
2
zakresu
do wyposażenia sterowanego
Analiza zagrożeń
3
i ryzyka
(EUC - equipment under control)
Wymagania całkowite
i systemu sterowania EUC &
4
bezpieczeństwa
Alokacja
5
bezpieczeństwa
Systemy zwiÄ…-
Systemy związane Zewnętrzne środki
10 11
zane z bezpie-
9 z bezpieczeństwem do zmniejszenia
Planowanie całkowite
czeństwem:
w innych ryzyka
Planowanie Planowanie Planowanie
E/E/PE
technikach
6 7 8
użytkowania walidacji instalowania
i obsługi bezpie- i wprowadze- Realizacja
Realizacja Realizacja
czeństwa nia do ruchu (zob. cykl życia
bezpieczeństw
a E/E/PE)
Zainstalowanie
12
i wprowadz. do ruchu
Powrót do odpowiedniej
Całkowita walidacja fazy cyklu życia
13
bezpieczeństwa bezpieczeństwa
Użytkowanie, obsługa
Modyfikacje i odnowa
14 15
i naprawa
Wyłączenie z ruchu
16
lub likwidacja
Redukowanie ryzyka
za pomocÄ… E/E/PE lub SIS
Ryzyko Ryzyko Ryzyko
resztkowe tolerowane EUC
Rnp = Fnp C
Rt = Ft C
"R = Rnp - Rt ; PFDavg < Ft/Fnp
Ryzyko
wzrasta
Niezbędna redukcja ryzyka
Możliwa redukcja ryzyka
Częściowe ryzyko Częściowe ryzyko Częściowe
pokryte przez pokryte przez ryzyko pokryte
systemy systemy E/E/PE przez zewnętrzne
bezpieczeństwa związane z środki redukcji
innej technologii bezpieczeństwem ryzyka
Redukcja ryzyka uzyskana przez wszystkie systemy zwiÄ…zane
z bezpieczeństwem i zewnętrzne środki redukcji ryzyka
Kryteria probabilistyczne dla systemów E/E/PE
i SIS pełniących funkcje bezpieczeństwa
SIL (poziom Prawdopodobieństwo Prawdopodobieństwo
nienaruszal- niewypełnienia funkcji uszkodzenia
ności bezpie- na przywołanie - rodzaj niebezpiecznego na
czeństwa) pracy rzadkiego godzinę - rodzaj pracy
przywołanie (LDM) częstego przywołania lub
ciągły (HDM)
4 [ 10-5, 10-4 ) [ 10-9, 10-8 )
3 [ 10-4, 10-3 ) [ 10-8, 10-7 )
2 [ 10-3, 10-2 ) [ 10-7, 10-6 )
1 [ 10-2, 10-1 ) [ 10-6, 10-5 )
Graf ryzyka do określania SIL
według IEC 61508
W
W W
2
3 1
C - skutki - parametr
C
A
ryzyka
a --- ---
F - częstość i czas
ekspozycji
P - możliwość uniknięcia
1 a --- zagrożenia
P
A
W - prawdopodobieństwo
Punkt
C
B
zdarzenia
wyjściowy
P
B
F
A
oceny
2 1 a
F
B
ryzyka
P
A
P
B
C
C
F
A
3 2 1
F
B
P
A
--- Bez wymagań
bezpieczeństwa
P
B
C
D
a - Bez specjalnych
F
A
4 3 2
wymagań
F
B
P b - Pojedynczy E/E/PE
A
nie wystarcza
P
B
b 4 3
1, 2, 3, 4 - SIL
Wyznaczanie PFD systemu
w weryfikowaniu SIL
A B
PEDSYS E" PFDavg + PFDavg + PFDC
avg avg
A. Podsystem wejściowy (czujniki i przetworniki).
B. Podsystem przetwarzania informacji (sterowniki
programowalne).
C. Podsystem wyjściowy (człony wykonawcze i elementy
końcowe).
Przykładowa struktura szeregowa:
A B -3
PFDC = 1.4Å"10-2
PFD = 1.5Å"10
PFDavg = 2.2 Å"10-2 avg
avg
SIL1 SIL1
SIL2
PFDS E" 3.75Å"10-2
avg
SIL1
Warstwy zabezpieczeń w obiekcie
podwyższonego ryzyka (IEC 61511)
7. System ograniczania skutków awarii w otoczeniu obiektu
6. System ograniczania skutków awarii w obrębie obiektu
5. System zabezpieczeń inżynieryjnych (kurtyny, obudowy)
4. System automatyki zabezpieczeniowej SIS
3. Alarmy krytyczne i interwencje operatorów
2. System monitorowania
i sterowania (BPCS)
1. PROCES /
INSTALACJA
Filozofia  obrony w głąb  warstwy powinny spełniać
warunek niezależności funkcjonalnej i strukturalnej
Systemy E/E/PE  sterowania
i automatyki zabezpieczeniowej
INSTALACJA / PROCESY
UrzÄ…dzenia
UrzÄ…dzenia
sterowane pomiarowe
UP (SS)
EUC (SZ) UP (SZ)
EUC (SS)
(wykonawcze)
System zwiÄ…zany
SZ - System
SS - System
System zwiÄ…zany
z bezpieczeństwem
z bezpieczeństwem
zabezpieczeń
sterowania
SIS
BPCS
Informacja /
wskaz
niki /
Kontrola stanu,
Informacja /
Decyzje /
alarmy
testowanie i nadzór
Sterowania wskaz
niki
INFORMACJA > OPERATORZY > DECYZJE
System sterowania i system automatyki zabezpieczeniowej
- wymaganie niezależności funkcjonalnej
Analiza warstw zabezpieczeń
LOPA (Layer of Protection Analysis)
PL2
PL1 PL3
OPERATOR
BPCS SIS
Trzy przykładowe warstwy PL (mają zapobiec wstąpieniu
zdarzeń awaryjnych o poważnych konsekwencjach):
" PL1  System sterowania BPCS (Basic Proces Control
System)
" PL2 Człowiek-operator (nadzoruje proces
i interweniuje w razie wystÄ…pienia sytuacji nienormalnej
lub awaryjnej,
" PL3  System zabezpieczeń SIS (Safety Instrumented
System).
Fi PLs = Fi I Å" PFDiPL1PFDiPL 2PFDiPL3 = d Å" Fi IPLs
Wyniki analizy scenariuszy awaryjnych -
przykładowa matryca ryzyka
N [j. strat]
NB NC ND
NA NE
F [a-1]
I
II
I I
F0
III
Kategorie
ryzyka:
a
b
I
I
F-1
III III II
I  niedopusz-
czalne
d
c
II - niepożądane
III
IV
F-2 II
I
III
III - tolerowane
IV - akceptowane
IV
IV II
F-3
III
III
IV
F-4 IV III III
IV
Przykładowe kategorie częstości i skutków
zdarzeń do definiowania matrycy ryzyka
Kategorie
częstości F-4 F-3 F-2 F-1 F0
zdarzenia
Określenie Mało
Prawdopo-
słowne kategorii Rzadkie prawdopo- Sporadyczne Częste
dobne
częstości dobne
Przedziały
(10-5, 10-4] (10-4, 10-3] (10-3, 10-2] (10-2, 10-1] (10-1, 100]
wartości [a-1]
Kategorie
skutku NA NB NC ND NE
zdarzenia
Określenie
Katastro-
słowne kategorii Marginalne Małe Duże Krytyczne
ficzne
skutku
Orientacyjna Pojedyn-
Liczne Pojedyncze Więcej niż
liczba poszko- cze Kilka zejść
obrażenia zejścia kilka zejść
dowanych obrażenia
PPT BPP  projekt w programie wieloletnim 
koordynacja CIOP PIB
Opracowanie metod analizy i narzędzi do komputerowo
wspomaganego zarządzania bezpieczeństwem
funkcjonalnym w ramach systemu warstw
zabezpieczeniowo-ochronnych obiektów przemysłowych
podwyższonego ryzyka
Zadania projektu obejmujÄ…:
1. Opracowanie metodyki analizy bezpieczeństwa funkcjonalnego
w projektowaniu i użytkowania systemów SIS (safety instrumented
systems) zgodnie wymaganiami z EN 61508 i EN 61511;
2. Opracowanie metody kalibrowanego grafu ryzyka do określania
wymaganego poziomu nienaruszalności bezpieczeństwa SIL (safety
integrity level) dla zdefiniowanych funkcji bezpieczeństwa;
3. Opracowanie metod weryfikacji SIL systemów SIS i BPCS (basic
process control system);
4. Opracowanie metody analizy warstw zabezpieczeń LOPA (layer of
protection analysis) uwzględniającej analizę niezawodności
człowieka i uszkodzeń zależnych;
PPT BPP  projekt w programie wieloletnim 
koordynacja CIOP PIB (c.d.)
Opracowanie metod analizy i narzędzi do komputerowo
wspomaganego zarządzania bezpieczeństwem
funkcjonalnym w ramach systemu warstw
zabezpieczeniowo-ochronnych obiektów przemysłowych
podwyższonego ryzyka
5. Opracowanie koncepcji funkcjonalnej i strukturalnej
oprogramowania komputerowego wspomagajÄ…cego zarzÄ…dzanie
bezpieczeństwem funkcjonalnym w cyklu życia systemu;
6. Projekt i oprogramowanie modułu wspomagającego wyznaczanie
wymaganego poziomu nienaruszalności bezpieczeństwa SIL;
7. Projekt i oprogramowanie modułu wspomagającego weryfikację SIL
systemów SIS;
8. Projekt i oprogramowanie modułów graficznych oraz baza danych
niezawodnościowych do wspomaganej komputerowo analizy
bezpieczeństwa funkcjonalnego;
9. Testowanie prototypowego oprogramowania dla przykładowych
rozwiązań BPCS i SIS.