3 Podstawy bezpieczenstwa funkcjonalnego

Warsztaty szkoleniowe
Technologia SafetyLon
w systemach związanych z bezpieczeństwem
funkcjonalnym
Podstawy bezpieczeństwa funkcjonalnego
wg PN EN IEC 61508
Moduł 3
Plan prezentacji
1. Przedmiot opracowania w ramach projektu
2. Bezpieczeństwo funkcjonalne
3. Redukcja ryzyka
4. Parametr SIL (Safety Integrity Level)
5. Szacowanie poziomu SIL na podstawie grafu ryzyka
6. Struktury układów bezpieczeństwa funkcjonalnego
7. Czynnik pokrycia diagnostycznego
8. Metodyka opracowania i wdrażania oprogramowania
systemów E/E/PE realizujących funkcje zabezpieczeń
(bezpieczeństwa funkcjonalnego)
9. Life Cycle Model wg PN EN IEC 61508
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 2
Przedmiot opracowania
Wdrożenie zaleceń normy EN IEC 61508 w technologii
LonWorks
PN EN 61508 Bezpieczeństwo funkcjonalne
elektrycznych/ elektronicznych/ programowalnych
elektronicznych systemów związanych
z bezpieczeństwem
EN IEC 61508 Functional safety of electrical/
electronic/ programmable electronic safety-related
systems
Definicja bezpieczeństwa wg IEC 61508:
Uwolnienie się od nieakceptowalnego ryzyka (niebezpieczeństwa) fizycznego
zranienia człowieka lub uszkodzenia zdrowia ludzkiego,
albo bezpośrednio albo pośrednio jako wynik uszkodzenia obiektu lub środowiska.
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 3
Przedmiot opracowania
PN EN 61508 Bezpieczeństwo funkcjonalne
elektrycznych/ elektronicznych/ programowalnych
elektronicznych systemów związanych
z bezpieczeństwem
Definicja bezpieczeństwa wg IEC 61508:
Uwolnienie się od nie akceptowalnego ryzyka (niebezpieczeństwa) fizycznego
zranienia człowieka lub uszkodzenia zdrowia ludzkiego, albo bezpośrednio
albo pośrednio jako wynik uszkodzenia obiektu lub środowiska.
Bezpieczeństwo funkcjonalne jest częścią całkowitego bezpieczeństwa,
która zależy od prawidłowej pracy systemu lub urządzenia w odpowiedzi
na sygnały wejściowe.
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 4
Bezpieczeństwo funkcjonalne (1)
Bezpieczeństwo - uwolnienie się od nieakceptowalnego ryzyka
(niebezpieczeństwa) fizycznego zranienia człowieka lub uszkodzenia
zdrowia ludzkiego, albo bezpośrednio albo pośrednio jako wynik uszkodzenia
obiektu lub środowiska.
Bezpieczeństwo funkcjonalne jest częścią całkowitego bezpieczeństwa ,
która zależy od prawidłowej pracy systemu lub urządzenia w odpowiedzi
na sygnały wejściowe.
Przykład rozróżnienia pomiędzy czynnikami wpływającymi na bezpieczeństwo
w sensie ogólnym i bezpieczeństwo funkcjonalne:
Zabezpieczenie przed przegrzewaniem uzwojeń silnika elektrycznego
za pomocą czujnika temperatury i układu wyłączania silnika w przypadku
przegrzania uzwojeń jest związane z bezpieczeństwem funkcjonalnym.
Zabezpieczenie przed przegrzewaniem silnika przez zastosowanie izolacji
odpornej na wysoką temperaturę jest związane z bezpieczeństwem ogólnym
i może chronić przed skutkami awarii z powodu przegrzania, ale nie jest
związane z bezpieczeństwem funkcjonalnym.
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 5
Klasyczny system sterowania
System sterowania EUC
Elementy wykonawcze Czujniki
EUC
Equipment Under Control
Urządzenie podlegające sterowaniu
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 6
Bezpieczeństwo funkcjonalne (2)
Bezpieczeństwo funkcjonalne
jest uzyskiwane przez wbudowanie do systemu lub urządzenia
specjalizowanego układu, który realizuje funkcję zabezpieczenia
na podstawie sygnałów wejściowych.
Pewność i jakość realizacji funkcji zabezpieczenia
determinuje poziom bezpieczeństwa funkcjonalnego
oraz redukcję zagrożenia spowodowanego awarią
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 7
Bezpieczeństwo funkcjonalne (3)
System sterowania EUC
Elementy wykonawcze Czujniki
EUC
Equipment Under Control
Urządzenie podlegające sterowaniu
Elementy wykonawcze
Czujniki
System E/E/PE realizujący funkcje zabezpieczenia
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 8
Bezpieczeństwo funkcjonalne (4)
Elementy wykonawcze
Czujniki
System E/E/PE realizujący funkcje zabezpieczenia
Funkcja zabezpieczenia (bezpieczeństwa):
- wymagania dotyczące funkcjonalności (co ma robić ?)
- wymagania dotyczące pewności działania (prawdopodobieństwo,
że funkcja będzie realizowana prawidłowo)
Wymagania dotyczące pewności działania określane są mianem
integralności bezpieczeństwa (safety integrity)
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 9
Bezpieczeństwo funkcjonalne (5)
Główne przyczyny powstawania niebezpiecznych
uszkodzeń w systemach E/E/PE:
1. Nieprawidłowe specyfikacje systemu, urządzeń ,
funkcji zabezpieczeń, sprzętu i oprogramowania
2. Pominięcie wymagań dot. bezpieczeństwa w różnych
trybach pracy
3. Uszkodzenia stochastyczne sprzętu
4. Uszkodzenia systematyczne sprzętu
5. Uszkodzenia powszechne (common cause failures)
6. Błędy oprogramowania
7. Błędy obsługi (błędy ludzkie)
8. Wpływy środowiska, np. zakłóceń elektromagnetycz-
nych, temperatury
9. Zakłócenia zasilania
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 10
Bezpieczeństwo funkcjonalne (6)
Przykłady obszarów zastosowań E/E/PE systemów zabezpieczeń:
1. Wyłączenia awaryjne chemicznych procesów technologicznych
2. Wskazniki przeciążenia dzwigów
3. Systemy sygnalizacji kolejowej
4. Wyłączenia awaryjne maszyn i urządzeń technologicznych
z uwzględnieniem uzależnień i blokad między współpracującymi
urządzeniami
5. Systemy sterowania napędami o zmiennej prędkości
6. Systemy zabezpieczeń i sterowania dawkami promieniotwórczymi
w urządzeniach medycznych do radioterapii
7. Dynamiczne pozycjonowanie (np.. statków w otoczeniu urządzeń
portowych)
8. Systemy automatycznego sterowania w lotnictwie
9. Systemy wskazników oraz sterowania silnikiem w pojazdach
samochodowych
10. Zdalne monitorowanie i sterowanie procesami technologicznymi
z zastosowaniem sieci transmisji danych
11. Narzędzia wspomagania decyzji, w przypadku, gdy decyzje te mają wpływ
na bezpieczeństwo
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 11
Redukcja ryzyka
Ryzyko może być ograniczone do akceptowalnego poziomu poprzez
odpowiednie działania techniczne i organizacyjne
Niebezpieczeństwo wynikające z urządzenia
bez działań ograniczających zagrożenia
Max. akceptowalne zagrożenie
Akceptowalny
poziom ryzyka
Ograniczenie zagrożenia poprzez
odpowiednie działania
Max. ryzyko
Osiągnięty
Punkt
poziom ryzyka
początkowy Działania Działania
techniczne organizacyjne
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 12
Bezpieczeństwo funkcjonalne
w systemach elektronicznych (1)
Norma EN IEC 61508 definiuje wskaznik o nazwie
Safety Integrity Level
(SIL)
Poziom integralności (nienaruszalności) bezpieczeństwa
Miary integralności poziomu bezpieczeństwa są zależne od trybu pracy
systemu technicznego
Systemy pracujące na żądanie, rzadko (pod małym obciążeniem funkcjonalnym)
średnie prawdopodobieństwo nieprawidłowego działania systemu
w trakcie obsługi żądania
Systemy pracujące w trybie ciągłym, lub często ( pod dużym obciążeniem funkcj.)
- prawdopodobieństwo wystąpienia niebezpiecznego uszkodzenia na godzinę
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 13
Miary poziomu bezpieczeństwa
funkcjonalnego (1)
Dla systemów pracujących na żądanie, rzadko
(pod małym obciążeniem):
Średnie prawdopodobieństwo nieprawidłowego działania
(niebezpiecznego uszkodzenia) systemu
w trakcie obsługi żądania PFDAVG)
Poziom Prawdopodobieństwo wystąpienia Współczynnik
integralności niebezpiecznego uszkodzenia na obniżenia
bezpieczeństwa żądanie ryzyka
(tryb pracy z małym obciążeniem
funkcjonalnym)
-5 -4
SIL 4 >=10 do 10 100000 do 10000
-4 -3
SIL 3 >=10 do 10 10000 do 1000
-3 -2
SIL 2 >=10 do 10 1000 do 100
-2 -1
SIL 1 >=10 do 10 100 do 10
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 14
Miary poziomu bezpieczeństwa
funkcjonalnego (2)
Dla systemów pracujących w trybie ciągłym, lub często
(pod dużym obciążeniem funkcjonalnym):
Prawdopodobieństwo wystąpienia niebezpiecznego uszkodzenia
na godzinę
(PFH)
Poziom integralności Prawdopodobieństwo
bezpieczeństwa wystąpienia niebezpiecznego
uszkodzenia na godzinę
(tryb pracy ciągłej)
-9 -8
SIL 4 >=10 do 10
-8 -7
SIL 3 >=10 do 10
-7 -6
SIL 2 >=10 do 10
-6 -5
SIL 1 >=10 do 10
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 15
Graf ryzyka wg IEC 61508
Oszacowanie wymaganego poziomu
SIL
Skutki awarii (C)
CA Niewielkie uszkodzenia
ciała - odwracalne
CB Poważne nieodwracalne
uszkodzenia pojedynczej
osoby lub wielu osób;
pojedyncze ofiary
śmiertelne
CC Śmierć wielu osób
C4 Śmierć bardzo wielu ludzi
Częstotliwość i czasokres Możliwość uniknięcia zdarzenia
przebywania w warunkach (P)
zagrożenia (F)
PA Możliwe pod pewnymi
FA Rzadko warunkami
W prawdopod. zdarzenia
1 małe
FB Często lub ciągle PB Prawie nie możliwe
2 średnie
3 - duże
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 16
Struktury układów bezpieczeństwa
1oo1
Architektura 1 z 1
Funkcjonuje jeden kanał zabezpieczenia
Zadziałanie kanału
powoduje wyłączenie awaryjne
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 17
Struktury układów bezpieczeństwa
1oo2
Architektura 1 z 2
Funkcjonują dwa kanały zabezpieczenia
Zadziałanie któregokolwiek kanału
powoduje wyłączenie awaryjne
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 18
Struktury układów bezpieczeństwa
2oo2
Architektura 2 z 2
Funkcjonują dwa kanały zabezpieczenia
Zadziałanie
obu kanałów równocześnie
powoduje wyłączenie awaryjne
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 19
Struktury układów bezpieczeństwa
2oo3
Architektura 2 z 3
Funkcjonują trzy kanały zabezpieczenia
Zadziałanie którychkolwiek dwóch kanałów
powoduje wyłączenie awaryjne
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 20
Struktury układów bezpieczeństwa
1oo2D
Architektura 1 z 2
z diagnostyką
Funkcjonują dwa kanały zabezpieczenia
Zadziałanie któregokolwiek kanału
albo
zadziałanie diagnostyki
powoduje wyłączenie awaryjne
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 21
Struktury układów bezpieczeństwa
Poziom
bezpieczeństwa
Koszty
SIL4
1002
SIL3
1002 1oo2D 1oo3 2oo3 2oo3D
1oo2
SIL2
1oo1D
1001D
SIL1
2oo2
Niezawodność
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 22
Identyfikacja i klasyfikacja uszkodzeń
Uszkodzenia niebezpieczne
wykrywalne
(Dangerous Detected - DD)
Uszkodzenia niebezpieczne
Uszkodzenia
niewykrywalne
nie powodujące zagrożenia
(Dangerous Undetected- DU)
(Safe - S)
Uszkodzenia niebezpieczne
(Dangerous - D)
Uszkodzenia
nie powodujące zagrożenia
wykrywalne
(Safe Detected - SD)
Wszystkie możliwe
uszkodzenia
Uszkodzenia
nie powodujące zagrożenia
niewykrywalne
(Safe Undetected - SU)
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 23
Oszacowanie częstości uszkodzeń
Wszystkie możliwe uszkodzenia =
uszkodzenia nie powodujące zagrożeń ( bezpieczne ) +
uszkodzenia powodujące zagrożenia (niebezpieczne)
l częstość uszkodzeń (Failure rate) przewidywana
liczba uszkodzeń w ustalonym okresie czasu w
określonych warunkach
1
l = -----
MTBF
lS - częstość uszkodzeń bezpiecznych
lD - częstość uszkodzeń niebezpiecznych
lTOTAL=lS + lD
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 24
Częstości uszkodzeń
lTOTAL= częstość wszystkich rodzajów uszkodzeń
lTOTAL= lS + lD
lS = częstość uszkodzeń nie powodujących zagrożenia
(czyli bezpiecznych)
lSU = częstość uszkodzeń bezpiecznych niewykrywalnych
lSD = częstość uszkodzeń bezpiecznych wykrywalnych
lS = lSU + lSD
lD = częstość uszkodzeń powodujących zagrożenie
(czyli niebezpiecznych)
lDU = częstość uszkodzeń niebezpiecznych
niewykrywalnych
lDD = częstość uszkodzeń niebezpiecznych wykrywalnych
lD = lDU + lDD
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 25
Safe Failure Fraction SFF
Odsetek uszkodzeń bezpiecznych
Uszkodzenia
bezpieczne lub/i
wykrywalne
lSD + lSU + lDD
SFF = --------------------------------
lSD + lSU + lDD + lDU
Wszystkie możliwe
uszkodzenia
lub
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 26
Safe Failure Fraction SFF
Odsetek uszkodzeń bezpiecznych
Uszkodzenia
niebezpieczne
niewykrywalne
lDU
SFF = 1 - ---------
lTOTAL
Wszystkie możliwe
uszkodzenia
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 27
Diagnostic Coverage Factor DC
Współczynnik pokrycia diagnostycznego
DC część uszkodzeń, które mogą być wykryte
za pomocą testów
DCS część uszkodzeń bezpiecznych wykrywanych
za pomocą testów
lSU = lS*(1- DCS/100)
lSD = lS* DCS/100
DCD część uszkodzeń niebezpiecznych
wykrywanych za pomocą testów
lDU = lD*(1- DCD/100)
lDD = lD* DCD/100
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 28
Integralność bezpieczeństwa (1)
Poziom integralności bezpieczeństwa (SIL) zależy od
poziomu pokrycia diagnostycznego oraz
odporności zabezpieczenia na usterkę sprzętu
Odporność na usterkę sprzętu ***
Safe Failure Fraction (SFF) (systemy klasy B złożone)
N=0 N=1 N=2
(1oo1D, 2oo2D) (1oo2D, 2oo3D)
(1oo3D)
nie dopuszczalne
< 60 % SIL1 SIL2
60 % - < 90 % SIL1 SIL2 SIL3
90 % - < 99 % SIL2 SIL3 SIL4
e" 99 % SIL3 SIL4 SIL4
***
- N+1 usterka sprzętu powoduje utratę
zdolności układu do realizacji funkcji bezpieczeństwa
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 29
Integralność bezpieczeństwa (2)
Safe Failure Fraction Odporność na usterkę sprzętu ***
(SFF)
N=0 N=1 N=2
< 60 % Not SIL1 SIL2
allowed
60 % - < 90 % SIL1 SIL2 SIL3
90 % - < 99 % SIL2 SIL3 SIL4
e" 99 % SIL3 SIL4 SIL4
Jeżeli 60% spowoduje utratę zdolności układu do realizacji funkcji
bezpieczeństwa, to układ ten co najwyżej spełnia
wymagania SIL 1
Jeżeli 90% spowoduje utratę zdolności układu do realizacji funkcji
bezpieczeństwa, to układ ten co najwyżej spełnia
wymagania SIL 3
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 30
Metodyka opracowania i wdrażania
oprogramowania systemów E/E/PE realizujących
funkcje zabezpieczeń
Specyfikacja
Specyfikacja
- Walidacja
Oprogram.
- Przeprowadz.
systemu
oprogramowania
-
przetestow.
- walidacja
zabezpieczenia systemu
zabezpieczenia
E/E/PES
9.6
9.1
E/E/PES Architektura
Testy integracji
Architektura oprogramowa-
na poziomie systemu
sprzętu nia
9.3
9.4
Projektowanie Testy
V model
oprogramow. integracji
systemu modułów
9.3
9.3
software
development
Projektowanie Testy
modułów modułów
Wynik realizacjii
9.3
9.3
Weryfikacja
Nr punktu normy
9.3
Programowanie
9.3
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 31
Cykl życia wg IEC 61508 (1)
Lifecycle model
Koncepcja i zakres
Analiza hazardów i ryzyka
Ustalenie wymagań bezpieczeństwa
Planowanie
Projekt
Działanie Walidacja Instalacja
systemu Sprzęt Oprogramow.
i i komisjonowanie-
bezpiecz.
obsługa
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 32
Cykl życia wg IEC 61508 (2)
Instalacja
i komisjonowanie
Z powrotem do
Walidacja zabezpieczeń
odpowiedniej fazy
Life Cycle
Użytkowanie i obsługa Modyfikacje i unowocześnienia
Dekomisjonowanie lub demontaż
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 33
Co daje norma EN IEC 61508 ?
1. Używa metod analizy ryzyka do określenia wymagań na integralność bezpieczeństwa
systemów E/E/PE związanych z bezpieczeństwem oraz zawiera szereg przykładów, jak
taka analiza powinna być wykonana
2. Wprowadza ogólny model cyklu życia (lifecycle model) jako ramy techniczne dla
wszelkich działań koniecznych do zapewnienia osiągnięcia bezpieczeństwa
funkcjonalnego przez systemy E/E/PE związane z bezpieczeństwem
3. Obejmuje wszystkie działania cyklu życia poczynając od początkowej koncepcji, poprzez
analizę hazardów i ocenę ryzyka, opracowanie wymagań bezpieczeństwa, specyfikację,
projekt i wdrożenie, użytkowanie i serwis, modyfikacje, aż do likwidacji instalacji włącznie
4. Ujmuje aspekty systemowe wszystkich podsystemów składających się na realizację
funkcji zabezpieczeń, włączając sprzęt i oprogramowanie oraz mechanizmy uszkodzeń
(stochastycznych i systematycznych)
5. Określa zarówno wymagania na zapobieganie uszkodzeniom (unikanie wstępnych
warunków występowania awarii) oraz wymagania na sterowanie w trakcie uszkodzeń (dla
zapewnienia bezpieczeństwa nawet wtedy, gdy występują awarie)
6. Specyfikuje techniki i metody jakie są niezbędne do osiągnięcia wymaganej integralności
zabezpieczeń
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 34
Teraz zapraszamy na przerwę
1. Wprowadzenie do projektu SafetyLon
2. Podstawy technologii LonWorks
3. Podstawy bezpieczeństwa funkcjonalnego
wg PN EN IEC 61508
P1 Przerwa 1
4. Przegląd wyników projektu SafetyLon
4.1. Technologia LonWorks w projekcie
4.2. Zasady bezpiecznej komunikacji
4.3. Sprzęt referencyjny
4.4. Oprogramowanie systemowe
4.5. Narzędzia SafetyLon
4.6. Środowisko testowe
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 35
Przerwa 1
Moduł 4.1
SafetyLon Training Workshop Moduł 3 Podstawy bezpieczeństwa funkcjonalnego � LMD&LUS&PLUG Slajd nr 36

Wyszukiwarka