Белл, Рон

Белл, Рон

Адрес: Отдел электрических систем и систем управления, руководитель по охране труда и технике безопасности, Merseyside L20 3QZ

Страна: Великобритания

Телефон:  44 151 951 4788

Факс:  44 151 951 4630

Прошлые должности: Председатель рабочей группы IEC по функциональной безопасности

Образование: бакалавр естественных наук

Области, представляющие интерес: Системы управления, связанные с безопасностью

 

Машины, технологические установки и другое оборудование, если они неисправны, могут представлять опасность в результате опасных событий, таких как пожары, взрывы, передозировки радиации и движущиеся части. Один из способов выхода из строя таких установок, оборудования и машин — это отказы электромеханических, электронных и программируемых электронных (E/E/PE) устройств, используемых в конструкции их систем управления или безопасности. Эти сбои могут возникать либо из-за физических сбоев в устройстве (например, из-за случайного износа во времени (случайные отказы оборудования)); или из-за систематических ошибок (например, ошибок, допущенных в спецификации и конструкции системы, которые приводят к ее отказу из-за (1) определенной комбинации входных данных, (2) некоторых условий окружающей среды, (3) неправильных или неполных входных данных от датчиков, ( 4) неполный или ошибочный ввод данных операторами и (5) потенциальные систематические ошибки из-за плохого дизайна интерфейса).

Отказы систем безопасности

В этой статье рассматривается функциональная безопасность систем управления, связанных с безопасностью, и рассматриваются технические требования к аппаратному и программному обеспечению, необходимые для достижения требуемой полноты безопасности. Общий подход соответствует предложенному Международной электротехнической комиссией стандарту IEC 1508, части 2 и 3 (IEC 1993). Общая цель проекта международного стандарта IEC 1508, Функциональная безопасность: системы безопасности, заключается в том, чтобы обеспечить безопасность установок и оборудования. Ключевой целью разработки предлагаемого международного стандарта является предотвращение или минимизация частоты:

    • отказы систем управления, вызывающие другие события, которые, в свою очередь, могут привести к возникновению опасности (например, отказ системы управления, потеря управления, выход процесса из-под контроля, что приводит к пожару, выбросу токсичных материалов и т. д.)
    • сбои в системах сигнализации и мониторинга, чтобы операторы не получали информацию в форме, которую можно быстро идентифицировать и понять для выполнения необходимых аварийных действий
    • необнаруженные отказы в системах защиты, делающие их недоступными, когда это необходимо для действия по обеспечению безопасности (например, отказавшая плата ввода в системе аварийного отключения).

         

        В статье «Электрические, электронные и программируемые электронные системы, связанные с безопасностью» изложен общий подход к управлению безопасностью, воплощенный в части 1 IEC 1508 для обеспечения безопасности систем управления и защиты, важных для безопасности. В этой статье описывается общий концептуальный инженерный проект, необходимый для снижения риска аварии до приемлемого уровня, включая роль любых систем управления или защиты, основанных на технологии E/E/PE.

        На рисунке 1 риск от оборудования, технологической установки или машины (обычно называемой оборудование под контролем (EUC) без защитных устройств) отмечен на одном конце Шкалы рисков EUC, а целевой уровень риска, который необходим для обеспечения требуемого уровня безопасности, находится на другом конце. Между ними показано сочетание систем, связанных с безопасностью, и внешних средств снижения риска, необходимых для достижения требуемого снижения риска. Они могут быть различных типов: механические (например, предохранительные клапаны), гидравлические, пневматические, физические, а также системы E/E/PE. На рис. 2 подчеркивается роль каждого уровня безопасности в защите EUC по мере развития аварии.

        Рисунок 1. Снижение риска: общие понятия

        САФ060F1

         

        Рисунок 2. Общая модель: уровни защиты

        САФ060F2

        При условии, что анализ опасностей и рисков был выполнен для EUC в соответствии с требованиями части 1 стандарта IEC 1508, был разработан общий концептуальный проект безопасности и, следовательно, установлены требуемые функции и целевой уровень полноты безопасности (SIL) для любого E/E/ Определена система управления или защиты PE. Целевой уровень полноты безопасности определяется относительно целевого показателя отказа (см. таблицу 1).


        Таблица 1. Уровни полноты безопасности для систем защиты: целевые меры по отказу

        Полнота безопасности Уровень                        Режим работы по требованию (вероятность невыполнения своей проектной функции по требованию)

        4 10-5 ≤ × 10-4

        3 10-4 ≤ × 10-3

        2 10-3 ≤ × 10-2

        1 10-2 ≤ × 10-1 


        Системы защиты

        В этом документе излагаются технические требования, которые должен учитывать разработчик E/E/PE системы, связанной с безопасностью, для достижения требуемого целевого уровня полноты безопасности. Основное внимание уделяется типовой системе защиты, использующей программируемую электронику, чтобы обеспечить более глубокое обсуждение ключевых вопросов с небольшой потерей общности. Типичная система защиты показана на рис. 3, где изображена одноканальная система безопасности с вторичным отключением, активированным с помощью диагностического устройства. При нормальной работе небезопасное состояние EUC (например, превышение скорости в машине, высокая температура на химическом заводе) будет обнаружено датчиком и передано в программируемую электронику, которая даст команду исполнительным механизмам (через выходные реле) включить перевести систему в безопасное состояние (например, отключить питание электродвигателя машины, открыть клапан для сброса давления).

        Рисунок 3. Типовая система защиты

        САФ060F3

        Но что делать, если в компонентах системы защиты есть сбои? Это функция вторичного отключения, которая активируется функцией диагностики (самопроверки) данной конструкции. Однако система не является полностью безотказной, так как проект имеет лишь определенную вероятность быть доступным при запросе на выполнение своей функции безопасности (у него есть определенная вероятность отказа по запросу или определенный уровень полноты безопасности). Например, описанная выше конструкция может обнаруживать и допускать определенные типы отказов выходной платы, но не способна противостоять отказу входной платы. Следовательно, его полнота безопасности будет намного ниже, чем у конструкции с более надежной входной платой, или улучшенной диагностикой, или какой-либо их комбинацией.

        Существуют и другие возможные причины отказов карт, в том числе «традиционные» физические сбои в оборудовании, систематические сбои, в том числе ошибки в спецификации требований, сбои реализации в программном обеспечении и неадекватная защита от условий окружающей среды (например, влажности). Диагностика в этой одноканальной конструкции может не охватывать все эти типы отказов, и, следовательно, это ограничит уровень полноты безопасности, достигаемый на практике. (Покрытие — это мера процента ошибок, которые проект может обнаружить и безопасно обработать.)

        Технические требования

        Части 2 и 3 проекта IEC 1508 обеспечивают основу для определения различных потенциальных причин отказа в аппаратном и программном обеспечении и для выбора конструктивных особенностей, которые устраняют эти потенциальные причины отказа в соответствии с требуемым уровнем полноты безопасности системы, связанной с безопасностью. Например, общий технический подход к системе защиты на рисунке 3 показан на рисунке 4. На рисунке показаны две основные стратегии устранения неисправностей и отказов: (1) предотвращение ошибок, когда принимаются меры для предотвращения возникновения неисправностей; и (2) Отказоустойчивость, где конструкция создается специально для того, чтобы допускать указанные неисправности. Упомянутая выше одноканальная система является примером (ограниченно) отказоустойчивой конструкции, в которой диагностика используется для обнаружения определенных сбоев и перевода системы в безопасное состояние до того, как может произойти опасный сбой.

        Рис. 4. Спецификация проекта: проектное решение

        САФ060F4

        Предотвращение ошибок

        Предотвращение ошибок пытается предотвратить появление ошибок в системе. Основной подход заключается в использовании систематического метода управления проектом, при котором безопасность рассматривается как определяемое и управляемое качество системы во время проектирования, а затем во время эксплуатации и технического обслуживания. Подход, аналогичный обеспечению качества, основан на концепции обратной связи и включает: (1) планирование (определение целей безопасности, определение путей и средств достижения целей); (2) измерение достижения по сравнению с планом во время реализации и (3) применение Обратная связь исправить любые отклонения. Обзоры проектов — хороший пример техники предотвращения ошибок. В МЭК 1508 этому «качественному» подходу к предотвращению отказов способствуют требования по использованию жизненного цикла безопасности и использованию процедур управления безопасностью как для аппаратного, так и для программного обеспечения. Для последних они часто проявляются в виде процедур обеспечения качества программного обеспечения, таких как описанные в ISO 9000-3 (1990).

        Кроме того, части 2 и 3 стандарта IEC 1508 (касающиеся аппаратного и программного обеспечения соответственно) классифицируют определенные методы или меры, которые считаются полезными для предотвращения отказов на различных этапах жизненного цикла безопасности. В таблице 2 приведен пример из части 3 для этапа проектирования и разработки программного обеспечения. Разработчик может использовать эту таблицу для помощи в выборе методов предотвращения отказов в зависимости от требуемого уровня полноты безопасности. Для каждого метода или меры в таблицах есть рекомендации для каждого Уровня Полноты Безопасности, от 1 до 4. Диапазон рекомендаций включает Настоятельно Рекомендовано (HR), Рекомендовано (R), Нейтрально — ни за, ни против (—) и Не рекомендуется (НР).

        Таблица 2. Проектирование и разработка программного обеспечения

        Техника/мера

        Уровень безопасности 1

        Уровень безопасности 2

        Уровень безопасности 3

        Уровень безопасности 4

        1. Формальные методы, включая, например, CCS, CSP, HOL, LOTOS

        -

        R

        R

        HR

        2. Полуформальные методы

        HR

        HR

        HR

        HR

        3. Структурированный. Методология, включая, например, JSD, MASCOT, SADT, SSADM и YOURDON

        HR

        HR

        HR

        HR

        4. Модульный подход

        HR

        HR

        HR

        HR

        5. Стандарты дизайна и кодирования

        R

        HR

        HR

        HR

        HR = настоятельно рекомендуется; R = рекомендуется; NR = не рекомендуется; — = нейтрально: метод/мера не за или против SIL.
        Примечание: пронумерованный метод/меру следует выбирать в соответствии с уровнем полноты безопасности.

        Отказоустойчивость

        IEC 1508 требует повышения уровня отказоустойчивости по мере увеличения целевого показателя полноты безопасности. Однако стандарт признает, что отказоустойчивость более важна, когда системы (и компоненты, составляющие эти системы) являются сложными (обозначаются как тип B в IEC 1508). Для менее сложных, «хорошо зарекомендовавших себя» систем степень отказоустойчивости может быть снижена.

        Устойчивость к случайным аппаратным сбоям

        В таблице 3 приведены требования к отказоустойчивости при случайных аппаратных отказах в сложных аппаратных компонентах (например, микропроцессорах) при использовании в системе защиты, такой как показана на рис. 3. Разработчику может потребоваться рассмотреть подходящее сочетание диагностики, отказоустойчивости и ручные контрольные проверки для преодоления этого класса ошибок, в зависимости от требуемого уровня полноты безопасности.


        Таблица 3. Уровень полноты безопасности — требования к отказам для компонентов типа B1

        1 Связанные с безопасностью необнаруженные неисправности должны быть обнаружены посредством контрольной проверки.

        2 Для компонентов, не имеющих диагностического покрытия в режиме онлайн, система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.

        3 Для компонентов с высоким оперативным охватом диагностикой система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Для компонентов, не имеющих расширенного оперативного диагностического охвата, система должна быть способна выполнять функцию безопасности при наличии двух отказов. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.

        4 Компоненты должны быть способны выполнять функцию безопасности при наличии двух неисправностей. Неисправности должны быть обнаружены с высоким диагностическим охватом в режиме онлайн. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой. Количественный анализ оборудования должен основываться на предположениях о наихудшем случае.

        1Компоненты, режимы отказов которых не определены или не поддаются тестированию, или для которых имеются плохие данные об отказах из практического опыта (например, программируемые электронные компоненты).


        IEC 1508 помогает разработчику, предоставляя таблицы проектных спецификаций (см. таблицу 4) с проектными параметрами, проиндексированными относительно уровня полноты безопасности для ряда широко используемых архитектур систем защиты.

        Таблица 4. Требования к уровню полноты безопасности 2 — Архитектура программируемых электронных систем для систем защиты

        Конфигурация системы РЕ

        Диагностическое покрытие на канал

        Интервал проверки в автономном режиме (TI)

        Среднее время до ложной поездки

        Одиночное защитное заземление, одиночный ввод/вывод, внешн. ВД

        High

        6 месяцев

        1.6 лет

        Двойное защитное заземление, одиночный ввод/вывод

        High

        6 месяцев

        10 лет

        Двойной PE, двойной ввод/вывод, 2oo2

        High

        3 месяцев

        1,281 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        Ничто

        2 месяцев

        1.4 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        Низкий

        5 месяцев

        1.0 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        Medium

        18 месяцев

        0.8 лет

        Двойной PE, двойной ввод/вывод, 1oo2

        High

        36 месяцев

        0.8 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        Ничто

        2 месяцев

        1.9 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        Низкий

        4 месяцев

        4.7 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        Medium

        18 месяцев

        18 лет

        Двойной PE, двойной ввод/вывод, 1oo2D

        High

        48 + месяцы

        168 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        Ничто

        1 месяц

        20 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        Низкий

        3 месяцев

        25 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        Medium

        12 месяцев

        30 лет

        Тройной PE, тройной ввод/вывод, IPC, 2oo3

        High

        48 + месяцы

        168 лет

         

        В первом столбце таблицы представлены архитектуры с различной степенью отказоустойчивости. Как правило, архитектуры, расположенные в нижней части таблицы, имеют более высокую степень отказоустойчивости, чем архитектуры, расположенные в верхней части. Система 1oo2 (один из двух) способна выдержать любой один сбой, как и 2oo3.

        Во втором столбце описывается процентное покрытие любой внутренней диагностики. Чем выше уровень диагностики, тем больше неисправностей будет отловлено. В системе защиты это важно, потому что при ремонте неисправного компонента (например, карты ввода) в разумные сроки (часто 8 часов) функциональная безопасность практически не снижается. (Примечание: это не относится к системе непрерывного управления, поскольку любая неисправность может привести к немедленному возникновению небезопасного состояния и возможности возникновения инцидента.)

        В третьем столбце указан интервал между проверочными испытаниями. Это специальные тесты, которые необходимо провести для тщательной проверки системы защиты, чтобы убедиться в отсутствии скрытых неисправностей. Обычно они выполняются поставщиком оборудования в периоды остановки предприятия.

        В четвертом столбце показана частота ложных отключений. Ложное отключение — это такое отключение, которое приводит к остановке установки или оборудования при отсутствии отклонений в технологическом процессе. Платой за безопасность часто является более высокая частота ложных срабатываний. Простая система защиты с резервированием — 1oo2 — имеет, при неизменности всех других конструктивных факторов, более высокий уровень полноты безопасности, но также более высокую частоту ложных срабатываний, чем одноканальная (1oo1) система.

        Если одна из архитектур в таблице не используется или если разработчик хочет провести более фундаментальный анализ, то МЭК 1508 допускает эту альтернативу. Затем можно использовать методы проектирования надежности, такие как марковское моделирование, для расчета аппаратного элемента уровня полноты безопасности (Johnson 1989; Goble 1992).

        Устойчивость к систематическим отказам и отказам по общей причине

        Этот класс отказов очень важен для систем безопасности и является ограничивающим фактором для достижения полноты безопасности. В системе с резервированием компонент или подсистема или даже вся система дублируются для достижения высокой надежности за счет менее надежных частей. Повышение надежности происходит потому, что статистически вероятность одновременного отказа двух систем из-за случайных сбоев будет произведением надежности отдельных систем и, следовательно, будет намного ниже. С другой стороны, систематические отказы и отказы по общей причине приводят к случайному отказу резервированных систем, когда, например, ошибка спецификации в программном обеспечении приводит к одновременному отказу дублированных частей. Другим примером может быть отказ общего источника питания в резервной системе.

        IEC 1508 содержит таблицы технических методов, ранжированных по уровню полноты безопасности, которые считаются эффективными для обеспечения защиты от систематических отказов и отказов по общей причине.

        Примерами методов, обеспечивающих защиту от систематических сбоев, являются разнообразие и аналитическая избыточность. Основой разнообразия является то, что если разработчик реализует второй канал в резервированной системе, используя другую технологию или язык программного обеспечения, то отказы в резервных каналах можно рассматривать как независимые (т. е. низкая вероятность случайного отказа). Однако, особенно в области программных систем, есть некоторые предположения, что этот метод может быть неэффективным, поскольку большинство ошибок содержится в спецификации. Аналитическая избыточность пытается использовать избыточную информацию на заводе или машине для выявления неисправностей. Для других причин систематических отказов — например, внешних нагрузок — в стандарте приведены таблицы с рекомендациями по надлежащей инженерной практике (например, разделение сигнальных и силовых кабелей), индексированные по уровню полноты безопасности.

        Выводы

        Компьютерные системы предлагают множество преимуществ — не только экономических, но и потенциальных для повышения безопасности. Однако для реализации этого потенциала требуется гораздо больше внимания к деталям, чем при использовании обычных системных компонентов. В этой статье изложены основные технические требования, которые необходимо учитывать разработчику для успешного использования этой технологии.

         

        Назад

        В этой статье обсуждается проектирование и внедрение систем управления, связанных с безопасностью, которые имеют дело со всеми типами электрических, электронных и программно-электронных систем (включая компьютерные системы). Общий подход соответствует предложенному Международной электротехнической комиссией (МЭК) стандарту 1508 (Функциональная безопасность: связанная с безопасностью 

        системы) (МЭК 1993).

        проверка данных

        В 1980-х годах компьютерные системы, обычно называемые программируемыми электронными системами (ПЭС), все чаще использовались для выполнения функций безопасности. Основными движущими силами этой тенденции были (1) улучшенная функциональность и экономические преимущества (особенно с учетом общего жизненного цикла устройства или системы) и (2) особое преимущество определенных конструкций, которое можно было реализовать только при использовании компьютерных технологий. . Во время раннего внедрения компьютерных систем был сделан ряд выводов:

          • Внедрение компьютерного управления было плохо продумано и спланировано.
          • Установлены неадекватные требования безопасности.
          • Были разработаны неадекватные процедуры валидации программного обеспечения.
          • Доказательства некачественной работы были раскрыты в отношении стандарта установки установки.
          • Была составлена ​​неадекватная документация, которая не была должным образом проверена в отношении того, что на самом деле было на заводе (в отличие от того, что, как предполагалось, было на заводе).
          • Были установлены менее чем полностью эффективные процедуры эксплуатации и технического обслуживания.
          • Очевидно, имело место обоснованное беспокойство по поводу компетентности лиц для выполнения возложенных на них обязанностей.

                       

                      Чтобы решить эти проблемы, несколько органов опубликовали или начали разрабатывать руководства, обеспечивающие безопасное использование технологии PES. В Соединенном Королевстве Управление по охране труда и технике безопасности (HSE) разработало руководство для программируемых электронных систем, используемых для приложений, связанных с безопасностью, а в Германии был опубликован проект стандарта (DIN 1990). В Европейском сообществе в связи с требованиями Директивы по машинному оборудованию был начат важный элемент работы над гармонизированными европейскими стандартами, касающимися систем управления, связанных с безопасностью (включая те, которые используют ПЭС). В Соединенных Штатах Американское общество приборостроения (ISA) разработало стандарт на PES для использования в обрабатывающей промышленности, а Центр безопасности химических процессов (CCPS), управление Американского института инженеров-химиков, разработал руководящие принципы. для сектора химических процессов.

                      В настоящее время в МЭК реализуется крупная инициатива по стандартизации для разработки общего международного стандарта для электрических, электронных и программируемых электронных (E/E/PES) систем, связанных с безопасностью, который можно было бы использовать во многих областях применения, включая процессы, медицинской, транспортной и машиностроительной отраслях. Предлагаемый международный стандарт МЭК состоит из семи частей под общим названием IEC 1508. Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью.. Различные части следующие:

                        • Часть 1. Общие требования
                        • Часть 2. Требования к электрическим, электронным и программируемым электронным системам
                        • Часть 3. Требования к программному обеспечению
                        • Часть 4. Определения
                        • Часть 5. Примеры методов определения уровней полноты безопасности
                        • Часть 6. Рекомендации по применению Частей 2 и 3
                        • Часть 7. Обзор методов и мер.

                                   

                                  После окончательной доработки этот общий международный стандарт станет базовой публикацией МЭК по безопасности, охватывающей функциональную безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью, и будет иметь значение для всех стандартов МЭК, охватывающих все области применения в отношении будущего проектирования и использования электрические/электронные/программируемые электронные системы безопасности. Основная цель предлагаемого стандарта — облегчить разработку стандартов для различных секторов (см. рис. 1).

                                  Рисунок 1. Стандарты общего и прикладного секторов

                                  САФ059F1

                                  Преимущества и проблемы PES

                                  Принятие ПВУ для целей безопасности имело много потенциальных преимуществ, но было признано, что они могут быть достигнуты только при использовании соответствующих методологий проектирования и оценки, поскольку: (1) многие характеристики ПВУ не обеспечивают полноту безопасности (что то есть характеристики безопасности систем, выполняющих требуемые функции безопасности), должны быть предсказаны с той же степенью достоверности, которая традиционно была доступна для менее сложных аппаратных («жестких») систем; (2) было признано, что хотя тестирование и необходимо для сложных систем, его самого по себе недостаточно. Это означало, что даже если PES реализовывала относительно простые функции безопасности, уровень сложности программируемой электроники был значительно выше, чем у проводных систем, которые они заменяли; и (3) этот рост сложности означал, что методологии проектирования и оценки должны были уделять гораздо больше внимания, чем раньше, и что уровень личной компетентности, необходимый для достижения адекватных уровней производительности систем, связанных с безопасностью, впоследствии был выше.

                                  Преимущества компьютеризированных ПЭС включают следующее:

                                    • возможность выполнять оперативную диагностическую проверку критических компонентов со значительно большей частотой, чем в противном случае
                                    • потенциал для обеспечения сложных блокировок безопасности
                                    • возможность предоставления диагностических функций и мониторинга состояния, которые можно использовать для анализа и составления отчетов о производительности установок и оборудования в режиме реального времени.
                                    • возможность сравнения реальных условий установки с «идеальными» модельными условиями
                                    • возможность предоставлять более качественную информацию операторам и, следовательно, улучшать процесс принятия решений, влияющих на безопасность
                                    • использование передовых стратегий управления, позволяющих оператору быть удаленным от опасных или враждебных сред
                                    • возможность диагностировать систему управления из удаленного места.

                                                 

                                                Использование компьютерных систем в приложениях, связанных с безопасностью, создает ряд проблем, требующих адекватного решения, таких как следующие:

                                                  • Виды отказов сложны и не всегда предсказуемы.
                                                  • Тестирование компьютера необходимо, но само по себе недостаточно, чтобы установить, что функции безопасности будут выполняться со степенью уверенности, необходимой для применения.
                                                  • Микропроцессоры могут иметь незначительные различия между разными партиями, поэтому разные партии могут вести себя по-разному.
                                                  • Незащищенные компьютерные системы особенно чувствительны к электрическим помехам (излучение помех, электрические «всплески» в сети, электростатические разряды и т. д.).
                                                  • Трудно, а часто и невозможно количественно определить вероятность отказа сложных систем, связанных с безопасностью, включающих в себя программное обеспечение. Поскольку ни один из методов количественной оценки не получил широкого признания, обеспечение качества программного обеспечения основывалось на процедурах и стандартах, описывающих методы, используемые при проектировании, внедрении и обслуживании программного обеспечения.

                                                         

                                                        Рассматриваемые системы безопасности

                                                        Рассматриваемые типы систем, связанных с безопасностью, представляют собой электрические, электронные и программируемые электронные системы (E/E/PES). Система включает в себя все элементы, в частности сигналы, исходящие от датчиков или других устройств ввода на управляемом оборудовании и передаваемые по магистралям данных или другим каналам связи на исполнительные механизмы или другие устройства вывода (см. рис. 2).

                                                        Рисунок 2. Электрическая, электронная и программируемая электронная система (E/E/PES)

                                                        САФ059F2

                                                        Термин электрические, электронные и программируемые электронные устройства использовался для охвата широкого спектра устройств и охватывает следующие три основных класса:

                                                          1. электрические устройства, такие как электромеханические реле
                                                          2. электронные устройства, такие как твердотельные электронные приборы и логические системы
                                                          3. программируемые электронные устройства, которые включают в себя широкий спектр компьютерных систем, таких как следующие:
                                                                • микропроцессоры
                                                                • микроконтроллеры
                                                                • программируемые контроллеры (ПК)
                                                                • специализированные интегральные схемы (ASIC)
                                                                • программируемые логические контроллеры (ПЛК)
                                                                • другие компьютерные устройства (например, «интеллектуальные» датчики, преобразователи и приводы).

                                                                           

                                                                          По определению система, связанная с безопасностью, служит двум целям:

                                                                            1. Он реализует требуемые функции безопасности, необходимые для достижения безопасного состояния управляемого оборудования или поддерживает безопасное состояние управляемого оборудования. Система, связанная с безопасностью, должна выполнять те функции безопасности, которые указаны в спецификации требований к функциям безопасности для системы. Например, в спецификации требований к функциям безопасности может быть указано, что при достижении температуры определенного значения x, клапан y должен открываться, чтобы вода могла попасть в сосуд.
                                                                            2. Он сам по себе или вместе с другими системами, связанными с безопасностью, обеспечивает необходимый уровень полноты безопасности для реализации требуемых функций безопасности. Функции безопасности должны выполняться системами, связанными с безопасностью, со степенью уверенности, соответствующей применению, чтобы достичь требуемого уровня безопасности для управляемого оборудования.

                                                                               

                                                                              Эта концепция проиллюстрирована на рисунке 3.

                                                                              Рисунок 3. Основные характеристики систем, связанных с безопасностью

                                                                              САФ059F3

                                                                              Системные сбои

                                                                              Чтобы обеспечить безопасную работу E/E/PES систем, связанных с безопасностью, необходимо распознавать различные возможные причины отказов систем, связанных с безопасностью, и обеспечивать принятие адекватных мер предосторожности против каждой из них. Отказы подразделяются на две категории, как показано на рисунке 4.

                                                                              Рисунок 4. Категории отказов

                                                                              САФ059F4

                                                                                1. Случайные аппаратные сбои — это сбои, возникающие в результате множества обычных механизмов деградации аппаратных средств. Существует много таких механизмов, возникающих с разной скоростью в разных компонентах, и, поскольку производственные допуски приводят к отказу компонентов из-за этих механизмов через разное время работы, отказы всей единицы оборудования, состоящего из многих компонентов, происходят в непредсказуемое (случайное) время. Показатели надежности системы, такие как среднее время наработки на отказ (MTBF), ценны, но обычно касаются только случайных отказов оборудования и не включают систематических отказов.
                                                                                2. Систематические отказы возникают из-за ошибок в проектировании, конструировании или использовании системы, которые приводят к ее отказу при определенной комбинации входных данных или при определенных условиях окружающей среды. Если сбой системы происходит при возникновении определенного набора обстоятельств, то всякий раз, когда эти обстоятельства возникают в будущем, всегда будет сбой системы. Любой отказ системы, связанной с безопасностью, который не является результатом случайного отказа аппаратных средств, по определению является систематическим отказом. Систематические отказы в контексте E/E/PES систем, связанных с безопасностью, включают:
                                                                                    • систематические отказы из-за ошибок или упущений в спецификации требований к функциям безопасности
                                                                                    • систематические отказы из-за ошибок при проектировании, производстве, установке или эксплуатации оборудования. К ним относятся отказы, возникающие по причинам, связанным с окружающей средой, и человеческими (например, операторскими) ошибками.
                                                                                    • систематические сбои из-за сбоев в программном обеспечении
                                                                                    • систематические отказы из-за ошибок обслуживания и модификации.

                                                                                           

                                                                                          Защита систем безопасности

                                                                                          Термины, которые используются для обозначения мер предосторожности, требуемых системой, связанной с безопасностью, для защиты от случайных отказов оборудования и систематических отказов: аппаратные средства обеспечения безопасности и систематические меры обеспечения полноты безопасности соответственно. Меры предосторожности, которые система, связанная с безопасностью, может применять как против случайных отказов аппаратных средств, так и против систематических отказов, называются полнота безопасности. Эти концепции проиллюстрированы на рисунке 5.

                                                                                          Рисунок 5. Условия обеспечения безопасности

                                                                                          САФ059F5

                                                                                          В предлагаемом международном стандарте IEC 1508 существует четыре уровня полноты безопасности, обозначенные как уровни полноты безопасности 1, 2, 3 и 4. Уровень полноты безопасности 1 — это самый низкий уровень полноты безопасности, а уровень полноты безопасности 4 — самый высокий. Уровень полноты безопасности (будь то 1, 2, 3 или 4) для системы, связанной с безопасностью, будет зависеть от важности роли, которую система, связанная с безопасностью, играет в достижении требуемого уровня безопасности для управляемого оборудования. Могут потребоваться несколько систем, связанных с безопасностью, некоторые из которых могут быть основаны на пневматической или гидравлической технологии.

                                                                                          Проектирование систем безопасности

                                                                                          Недавний анализ 34 инцидентов, связанных с системами управления (HSE), показал, что 60% всех случаев отказов были «встроены» до того, как система управления, связанная с безопасностью, была введена в действие (рис. 7). Рассмотрение всех фаз жизненного цикла безопасности необходимо, если необходимо производить адекватные системы, связанные с безопасностью.

                                                                                          Рисунок 7. Основная причина (по фазам) отказа системы управления

                                                                                          САФ059F6

                                                                                          Функциональная безопасность систем, связанных с безопасностью, зависит не только от обеспечения надлежащего определения технических требований, но и от обеспечения эффективного выполнения технических требований и сохранения исходной проектной целостности в течение всего срока службы оборудования. Это может быть реализовано только в том случае, если существует эффективная система управления безопасностью, а люди, участвующие в любой деятельности, компетентны в отношении своих обязанностей. В частности, когда речь идет о сложных системах, связанных с безопасностью, важно наличие адекватной системы управления безопасностью. Это приводит к стратегии, которая обеспечивает следующее:

                                                                                            • Действует эффективная система управления безопасностью.
                                                                                            • Технические требования, установленные для E/E/PES систем, связанных с безопасностью, достаточны для работы как со случайными аппаратными средствами, так и с причинами систематических отказов.
                                                                                            • Компетенция вовлеченных людей соответствует обязанностям, которые они должны выполнять.

                                                                                                 

                                                                                                Для систематического удовлетворения всех соответствующих технических требований функциональной безопасности была разработана концепция жизненного цикла безопасности. Упрощенная версия жизненного цикла безопасности в новом международном стандарте IEC 1508 показана на рисунке 8. Ключевые этапы жизненного цикла безопасности:

                                                                                                Рисунок 8. Роль жизненного цикла безопасности в достижении функциональной безопасности

                                                                                                САФ059F8

                                                                                                  • Спецификация
                                                                                                  • дизайн и реализация
                                                                                                  • монтаж и наладка
                                                                                                  • эксплуатация и обслуживание
                                                                                                  • меняется после ввода в эксплуатацию.

                                                                                                           

                                                                                                          Уровень безопасности

                                                                                                          Стратегия проектирования для достижения адекватных уровней полноты безопасности для систем, важных для безопасности, показана на рисунках 9 и 10. Уровень полноты безопасности основан на той роли, которую играет система, связанная с безопасностью, в достижении общего уровня. безопасности для управляемого оборудования. Уровень полноты безопасности определяет меры предосторожности, которые необходимо учитывать при проектировании как против случайных отказов оборудования, так и против систематических отказов.

                                                                                                          Рисунок 9. Роль уровней полноты безопасности в процессе проектирования

                                                                                                          САФ059F9

                                                                                                           

                                                                                                          Рисунок 10. Роль жизненного цикла безопасности в процессе спецификации и проектирования

                                                                                                          SA059F10

                                                                                                          Понятие безопасности и уровня безопасности относится к управляемому оборудованию. Концепция функциональной безопасности применяется к системам, связанным с безопасностью. Функциональная безопасность для систем, связанных с безопасностью, должна быть обеспечена, если необходимо обеспечить адекватный уровень безопасности для оборудования, создающего опасность. Заданный уровень безопасности для конкретной ситуации является ключевым фактором в спецификации требований полноты безопасности для систем, связанных с безопасностью.

                                                                                                          Требуемый уровень безопасности будет зависеть от многих факторов, например от тяжести травм, количества людей, подвергающихся опасности, частоты, с которой люди подвергаются опасности, и продолжительности воздействия. Важными факторами будут восприятие и взгляды тех, кто подвергается опасному событию. При определении того, что представляет собой надлежащий уровень безопасности для конкретного применения, учитывается ряд исходных данных, в том числе следующие:

                                                                                                            • юридические требования, относящиеся к конкретному применению
                                                                                                            • рекомендации соответствующего органа по регулированию безопасности
                                                                                                            • обсуждения и соглашения с различными сторонами, участвующими в применении
                                                                                                            • отраслевые стандарты
                                                                                                            • национальные и международные стандарты
                                                                                                            • лучший независимый отраслевой, экспертный и научный совет.

                                                                                                                       

                                                                                                                      Выводы

                                                                                                                      При проектировании и использовании систем, связанных с безопасностью, необходимо помнить, что именно управляемое оборудование создает потенциальную опасность. Системы, связанные с безопасностью, предназначены для снижения частоты (или вероятности) опасного события и/или последствий опасного события. После того как уровень безопасности установлен для оборудования, можно определить уровень полноты безопасности для системы, связанной с безопасностью, и именно уровень полноты безопасности позволяет разработчику указать меры предосторожности, которые необходимо предусмотреть в проекте, чтобы быть развернуты как против случайных аппаратных, так и против систематических отказов.

                                                                                                                       

                                                                                                                      Назад

                                                                                                                      ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: МОТ не несет ответственности за контент, представленный на этом веб-портале, который представлен на каком-либо языке, кроме английского, который является языком, используемым для первоначального производства и рецензирования оригинального контента. Некоторые статистические данные не обновлялись с тех пор. выпуск 4-го издания Энциклопедии (1998 г.)».

                                                                                                                      Содержание: