PROFESS - INFO
Měřicí a regulační technika
Technické informace
PMA Prozeß- und Maschinen-Automation GmbH Knick GmbH, Bourdon-Haenni AG epro GmbH, Cherokee Europe S.C.A.
Funkční bezpečnost podle IEC / EN 61508: Normy – fakta – pozadí Zpracováno dle technických podkladů firmy KNICK GmbH Bezpečnost technických zařízení Každé použití techniky s sebou přináší i jisté bezpečnostně technické riziko. Výpadky a chybné funkce technologických zařízení a strojů mohou vést k rizikům pro osoby, životní prostředí a materiální hodnoty. Důsledky poruch a pravděpodobnosti výskytu určují nutná opatření k omezení rizik zabráněním vzniku poruch, rozpoznáním poruch a zvládnutím poruch. Se zavedením mikroprocesorových a softwarových systémů v automatizační technice vyvstala nutnost vytvoření na aplikacích nezávislých pravidel pro bezpečnostní požadavky u takovýchto systémů. Normy konkretizují požadavky Aby bylo dosaženo tohoto cíle, byly vyvinuty různé normy a standardy. Nejdříve se DIN zabývala funkční bezpečností měřících a regulačních systémů (DIN V 19250, 1994) a s tím souvisejícími zabezpečovacími funkcemi (DIN V 19251, 1995). Na základě těchto předběžných norem byla provedena posouzení rizik a zabezpečovací funkce daného zařízení kategorizována do osmi tříd zabezpečení, resp. požadavků (AK 1 až AK 8). Posouzením daného systému podle DIN V 19250 a DIN V 19251 bylo prokázáno zbytkové riziko kvalitativně, nikoliv však kvantitativně. IEC/EN 61508 - Funkční bezpečnost elektrických / elektronických / programovatelných systémů Poté, co byly zmíněné předběžné normy 1.8.2004 staženy, nahradila je celosvětově uplatnitelná norma IEC/EN 61508. Tato norma požaduje kvantitativní doložení zbytkového rizika na základě výpočtu pravděpodobnosti poruchy. Nové na této normě je rovněž to, že na rozdíl od národních předběžných norem popisuje kompletní zabezpečovací instalaci od senzoru až po akční člen, včetně rámcových podmínek ze strany managementu. Pro provozovatele zařízení vzniká zvýšená zodpovědnost za zabránění poruchám. Důraz je tu kladen na organizační opatření, jako je školení personálu a pravidelné funkční zkoušky. Výrobce přístrojů se musí orientovat na nové strukturování požadavků na prokazování bezpečnosti ve vývoji hardwaru i softwaru. To jsou důvody, pro které se stávající systémy zpravidla nedaří podle IEC / EN 61508 dodatečně kvalifikovat. Použitelnost IEC/EN 61508 Podle definic IEC se u IEC 61508 (k dispozici také jako DIN EN 61508) jedná o tzv. „Basic Safety Publication“, která vidí jako jeden ze svých hlavních cílů umožnění vývoje norem, specifických pro daný obor či sektor. V současné době to jsou např. IEC/EN 61511 pro průmysl technologických procesů a IEC / EN 62061 pro strojírenský průmysl. Dalším cílem IEC/EN 61508 však je též umožnit vývoj zabezpečovacích systémů, pro něž dosud nejsou k dispozici mezinárodní normy, specifické pro tento obor použití. Funkční bezpečnost a zabezpečovací funkce V IEC/EN 61508 sledované zabezpečovací systémy spočívají na elektrické, elektronické a programovatelné technologii. Pojem „funkční bezpečnost“ popisuje část celkové bezpečnosti zařízení, která závisí na správné funkci zabezpečovacích systémů. Zabezpečovací funkce je zařízením pro snižování rizika, instalovaným s cílem dosáhnout při výskytu nebezpečné události bezpečný stav zařízení. Z technického hlediska je nutno zajistit, aby zabezpečovací funkce v případě nutného zásahu byla provedena spolehlivě, t.zn. pravděpodobnost nebezpečného selhání zabezpečovacího systému musí být dostatečně nízká.
Zabezpečovací životní cyklus IEC/EN 61508 se zabývá zabezpečovacími technickými systémy po dobu celého životního cyklu, tj. od prvního konceptu až k ukončení provozu. Vcelku se při tom jedná o 16 fází, které musí být provozovatelem respektovány. Jedním z nejdůležitějších bodů při celkovém plánování je bezesporu realizace. V této fázi je třeba plánovat realizaci na zabezpečení vztaženého systému a odpovídajícím způsobem realizovat příslušný vývoj. Smysluplnou se zde jeví koordinace a spolupráce provozovatele zařízení, realizační firmy a výrobce přístrojů. (Obr. 1)
Úroveň bezpečnostní integrity Zůstávající zbytkové riziko zabezpečovací funkce je stanovováno pomocí výpočtu pravděpodobnosti selhání všech v zabezpečovacím okruhu zúčastněných komponent a jejich propojení. Stanovení úrovně bezpečnostní integrity (SIL) znamená, přiřadit zabezpečovací funkci určitou tak zvanou mezní hodnotu selhání. Rozlišují se čtyři zabezpečovací stupně: SIL 4 pro nejvyšší stupeň bezpečnostní integrity až po SIL 1 pro stupeň nejnižší. Každý stupeň přísluší určitému rozsahu pro pravděpodobnost výpadku zabezpečovací funkce. Typickým vyložením pro měřící systémy je SIL 2 nebo SIL 3, kategorie SIL 4 nebyla, pokud víme, v řídících systémech dosud uplatněna. Pravděpodobnost selhání a druhy provozu zabezpečovací funkce V závislosti na druhu použití jsou pravděpodobnosti výpadku přiřazovány určité mezní hodnoty selhání: - Mez selhání PFD ( = Probability of Failure on Demand, resp. střední pravděpodobnost, že zabezpečovací funkce na vyžádání nebude provedena) a - Mez selhání PFH ( = Probability of Failure per Hour, resp. pravděpodobnost poruchy za hodinu). Při tom je mez selhání PFD určená pro nízké míry požadavků, zatímco mez selhání PHF platí pro vysoké míry požadavků, resp. pro požadavky nepřerušené. IEC/EN 61508 rozlišuje v této souvislosti dva druhy provozu pro zabezpečovací funkce: - druh provozu s nízkou mírou požadavků (Low Demand Mode) a - druh provozu s vysokou nebo kontinuální mírou požadavků (High Demand Mode). Způsob provozu s nízkou mírou požadavků O nízké míře požadavků mluvíme tehdy, když je zabezpečovací funkce požadována pouze v případě nebezpečí, a to tak, aby střežený systém (Equipment Under Control - EUC) funkce převedla do definovaného bezpečného stavu. Při tom se předpokládá, že běžný řídící systém procesu (Basic Process Control System – BPCS) selhává méně než jednou za rok, a tedy míra požadavků na zabezpečovací systém je nízká. Typicky tak, s nízkou mírou požadavků, pracují zabezpečovací systémy v chemických zařízeních.
Způsob provozu s vysokou nebo kontinuální mírou požadavků Zabezpečovací funkce, která pracuje v režimu kontinuální míry požadavků, udržuje EUC trvale v jeho normálním bezpečném stavu. Zabezpečovací systém střeží EUC nepřetržitě. Nebezpečný výpadek tohoto systému vede bezprostředně k ohrožení, pokud nevstoupí v činnost jiné zabezpečovací systémy nebo externí opatření pro snížení rizika. Příkladem pro toto jsou na příklad regulace otáček strojů nebo regulace hořáků. Bezpečnostní parametry HFT a SFF Vedle pravděpodobnosti nebezpečného selhání PFD resp. PFH se pro klasifikaci SIL používají: - Hardwarová poruchová tolerance HFT (Hardware Fault Tolerance). - Podíl bezpečných výpadků SFF (Safe Failure Fraction). - HFT popisuje kvalitu zabezpečovací funkce a znamená schopnost při výskytu poruch dále správně vykonávat funkci. - HFT = 1 na příklad znamená systém s jednoduchou redundancí, tzn. musí nastat alespoň dvě chyby současně, aby došlo k výpadku zabezpečovacího systému. - U SFT se jedná o výpočet podílu tzv. bezpečných výpadků. Hodnota 95% popisuje, že 95 výpadků ze sta nemá kritický dopad na zabezpečovací funkci. Významnou roli zde hraje odhalování poruch pomocí autotestů, stupeň diagnostického pokrytí (angl. DC = Diagnostic Coverage) a schopnost, přiměřeně reagovat v závislosti na očekávaném působení. Proto jsou rozlišovány nebezpečné a bezpečné poruchy a dále i možnost, tyto poruchy samočinně rozpoznat či naopak nikoliv. (Obr.2)
Stanovení bezpečnostní integrity Dosažitelná úroveň bezpečnostní integrity určité zabezpečovací funkce (SIL) podle IEC/EN 61508 závisí na pravděpodobnosti nebezpečných selhání PFD resp. PFH a na kombinaci charakteristických hodnot SFF a HFT. Tyto charakteristické parametry jsou dokumentovány v tzv. bezpečnostním manuálu (Safety Manual) (Obr.3). Oproti dosavadnímu způsobu podle DIN musí být zahrnuty pravděpodobnosti selhání PFD resp. PFH všech na zabezpečovacím okruhu zúčastněných komponent (a jejich propojení). Takto nemá jednotlivý přístroj, např. čidlo pH, vlastní SIL, nýbrž může být na základě svých charakteristických parametrů nasazeno v měřícím okruhu, zaměřeném na zabezpečení, v intencích určitého SIL X. Je třeba mít na zřeteli, že by jednotlivý přístroj měl nárokovat pokud možno málo z přípustné pravděpodobnosti selhání PFD resp. PFH celého měřícího okruhu. Jinak existuje nebezpečí, že zabezpečovací okruh, složený z komponentů, vhodných pro SIL 2, dosáhne jako celek pouze SIL 1 (Obr. 4).
U redundantních struktur je sledování poruch ze společných příčin (Common Cause Failures) zvlášť relevantní, protože zde existuje pravděpodobnost, že systematické chyby stejných přístrojů vedou na stejné následky a tak způsobují vícečetné poruchy. Požadovaná poruchová tolerance je zde narušena a dochází k výpadku systému. Problém existuje především u softwaru: Určitá chyba by nastala v obou přístrojích, neboť software je identický. U redundantního zapojení je proto třeba vždy dbát na to, aby software přístroje byl už vhodný a certifikovaný pro vyšší SIL. Závady se společnou příčinou se vyjadřují pomocí tzv. ß –faktoru. Ten popisuje poměr pravděpodobnosti výpadků se stejnou příčinou k pravděpodobnosti výpadků nahodilých.
Opakované zkoušky Pravděpodobnost nebezpečného výpadku se po prvním zapnutí zabezpečovacího systému blíží nule. S probíhajícím provozem pravděpodobnost výpadku stoupá. Po provedení opakované zkoušky (Proof Test) je možno opět vycházet z pravděpodobnosti výpadku s hodnotou blízkou nule („Stav jako nový“). Proof Test musí být navíc schopen odhalit všechny závady, neodhalitelné autodiagnózou. Vychází při tom časový průběh, jak je ukázán v Obr. 5. Zde je patrné, že kratší intervaly mezi opakovanými zkouškami pravděpodobnost výpadku snižují. „Hraní si“ s intervaly zkoušek může však být uplatněno pouze u přístrojů s malou mírou požadavků, protože u jednokanálových uspořádání je proměnné pouze PFD, nikoli však PFH.
Požadavky na vývoj přístrojů Při sestavování normy IEC/EN 61508 byl kladen důraz především na to, aby projektování zabezpečovacích systémů bylo již předem orientováno na zabránění poruchám, resp. na schopnost ovládnout vzniklé poruchy bez omezení funkčnosti zařízení nebo strojů. Již během vývoje a výroby, ale i během provozu (bezpečnostní životní cyklus) musí být všechna opatření pro zabránění poruchám a zvládání poruch, jakož i k tomu použité metody a nástroje, zohledněny a ohodnoceny. Hardwarová architektura musí být přizpůsobena požadované úrovni bezpečnostní integrity. Za účelem zvládnutí nahodilých hardwarových poruch, systematických poruch a výpadků podmíněných provozem i okolím musí být do návrhu přístrojů zahrnuty příslušné techniky a opatření. Při tom je brán zřetel hlavně jak na četnosti výpadků dílčích systémů a komponent, tak i na pravděpodobnost odhalení výpadku. Je třeba zhodnotit a dokumentovat každou specifikovanou zabezpečovací funkci pomocí testů nebo analýzy. Samozřejmě je třeba při tomto postupu pečlivě přezkoumat a dokumentovat všechny modifikace. Podobný postup platí pro software: Požadavky na zabezpečení je třeba detailně specifikovat. Pomocí přehledů je třeba zkoumat, zda byly všechny z toho vyplývající požadavky na software dostatečně zohledněny. Vyvinutý software musí být analyzovatelný a verifikovatelný tak, aby všechny zkoušky ve vztahu na bezpečnostní integritu byly kompletně proveditelné. Požadavkům IEC/EN 61508 při tom podléhají i použité softwarové vývojové prostředky. Při integraci softwaru na cílový hardware musí být přezkoušena kompatibilita softwaru a hardwaru, aby bylo zajištěno dosažení požadované bezpečnostní integrity. Navíc k technickým požadavkům jsou předepsána organizační opatření, s cílem minimalizovat zbytkové riziko. V rozsahu „Functional Safety Managmentu“ má bezpečné provedení všech pracovních procesů a opatření nejvyšší prioritu. K tomu patří i definice a kvalifikace zodpovědných osob. V zásadě platí, že celkový rozsah požadavků z IEC/EN 61508 může být splněn pouze u nově vyvíjených systémů.
Kvalifikace přístrojů podle IEC/EN 61508 a IE/EN 61511 (osvědčení se v provozu) Pro zhodnocení již vyvinutých a vyrobených komponent existuje podle IEC/EN 61511 možnost kvalifikace na základě osvědčení se v provozu. Komponenta je osvědčená v provozu tehdy, když dokumentované přezkoumání vhodných výkazů dřívějších nasazení prokazuje, že komponenta je vhodná k nasazení v zabezpečovacím systému. Stupeň detailnosti průkazných materiálů musí souhlasit se zvoleným stupněm SIL. U této metodiky je třeba mít na zřeteli, že výše uvedené rozsáhlé požadavky IEC/EN 61508 zde na vývojový proces nelze uplatnit. V úzké součinnosti s uživatelem však může osvědčení se v provozu sloužit jako zcela adekvátní prostředek k dosažení bezpečnostně relevantního měřícího okruhu. Při tom je třeba zohlednit relevanci dosavadních provozních zkušeností pro nové nasazení (srovnatelný požadavkový profil, zohlednění okolí systému) na rozsáhlý a kontrolovatelný konfigurační management. Vyznačení stupně schválení k provozu Fa. Knick zavedla pro rozmanité postupy certifikace přístrojů příslušná označení. Odpovídající symboly v dokumentaci přístrojů umožňují jednoduché přiřazení druhu schválení. Nový vývoj přístrojů pro měřicí úlohy, orientované na zabezpečovací funce jako např. nových převodníků teploty ThermoTrans® P 32000, probíhají důsledně podle požadavků IEC/EN 61508. Moderní a komplexnější přístroje jsou pak k dispozici dříve, než by tomu tak bylo oklikou přes osvědčení se v provozu – obzvláště pro měřicí úlohy s vysokými požadavky na bezpečnost. Shrnutí IEC/EN 61508 je celosvětovým standardem, popisujícím zásadní bezpečnostní požadavky na elektrické, elektronické, a programovatelné systémy. Je prvním harmonizovaným regulačním počinem, platným nezávisle na druhu aplikace. 1. srpna 2002 byla tato norma převzata do německých norem jako DIN EN 61508 a definuje stav techniky pro zabezpečovací funkce elektrických, elektronických, a programovatelných elektronických technologií v zabezpečovacích aplikacích. Normou IEC 61508 je poprvé požadováno kvantitativní doložení zbytkového rizika u kompletního zabezpečovacího zařízení, sestávajícího ze snímače, řídícího zařízení, a akčního členu. Obsáhlá věcná konfrontace s tímto komplexním tématem je na základě výše řečeného nanejvýš nutná. Mnoho jak uživatelů a výrobců přístrojů má při rutinním zacházení s novým standardem potíže. Ani redundantní zapojení SIL-přístrojů nevede automaticky na vyšší úrovně bezpečnosti, ani nejsou SILpřístroje automaticky lepší či bezpečnější než přístroje bez klasifikace SIL. Knick proto v úzké spolupráci s uživateli zpracovává pragmatická a k cíli vedoucí řešení.
Rádi Vám poskytneme další technické i obchodní informace. PROFESS, spol s r.o., Květná 5, 326 00 Plzeň Tel: 377 454 411 Fax: 377 240 472 E-mail:
[email protected] Internet: www.profess.cz
