Машины, технологические установки и другое оборудование, если они неисправны, могут представлять опасность в результате опасных событий, таких как пожары, взрывы, передозировки радиации и движущиеся части. Один из способов выхода из строя таких установок, оборудования и машин — это отказы электромеханических, электронных и программируемых электронных (E/E/PE) устройств, используемых в конструкции их систем управления или безопасности. Эти сбои могут возникать либо из-за физических сбоев в устройстве (например, из-за случайного износа во времени (случайные отказы оборудования)); или из-за систематических ошибок (например, ошибок, допущенных в спецификации и конструкции системы, которые приводят к ее отказу из-за (1) определенной комбинации входных данных, (2) некоторых условий окружающей среды, (3) неправильных или неполных входных данных от датчиков, ( 4) неполный или ошибочный ввод данных операторами и (5) потенциальные систематические ошибки из-за плохого дизайна интерфейса).

Отказы систем безопасности

В этой статье рассматривается функциональная безопасность систем управления, связанных с безопасностью, и рассматриваются технические требования к аппаратному и программному обеспечению, необходимые для достижения требуемой полноты безопасности. Общий подход соответствует предложенному Международной электротехнической комиссией стандарту IEC 1508, части 2 и 3 (IEC 1993). Общая цель проекта международного стандарта IEC 1508, Функциональная безопасность: системы безопасности, заключается в том, чтобы обеспечить безопасность установок и оборудования. Ключевой целью разработки предлагаемого международного стандарта является предотвращение или минимизация частоты:

• отказы систем управления, вызывающие другие события, которые, в свою очередь, могут привести к возникновению опасности (например, отказ системы управления, потеря управления, выход процесса из-под контроля, что приводит к пожару, выбросу токсичных материалов и т. д.)
• сбои в системах сигнализации и мониторинга, чтобы операторы не получали информацию в форме, которую можно быстро идентифицировать и понять для выполнения необходимых аварийных действий
• необнаруженные отказы в системах защиты, делающие их недоступными, когда это необходимо для действия по обеспечению безопасности (например, отказавшая плата ввода в системе аварийного отключения).

В статье «Электрические, электронные и программируемые электронные системы, связанные с безопасностью» изложен общий подход к управлению безопасностью, воплощенный в части 1 IEC 1508 для обеспечения безопасности систем управления и защиты, важных для безопасности. В этой статье описывается общий концептуальный инженерный проект, необходимый для снижения риска аварии до приемлемого уровня, включая роль любых систем управления или защиты, основанных на технологии E/E/PE.

На рисунке 1 риск от оборудования, технологической установки или машины (обычно называемой оборудование под контролем (EUC) без защитных устройств) отмечен на одном конце Шкалы рисков EUC, а целевой уровень риска, который необходим для обеспечения требуемого уровня безопасности, находится на другом конце. Между ними показано сочетание систем, связанных с безопасностью, и внешних средств снижения риска, необходимых для достижения требуемого снижения риска. Они могут быть различных типов: механические (например, предохранительные клапаны), гидравлические, пневматические, физические, а также системы E/E/PE. На рис. 2 подчеркивается роль каждого уровня безопасности в защите EUC по мере развития аварии.

Рисунок 1. Снижение риска: общие понятия

Рисунок 2. Общая модель: уровни защиты

При условии, что анализ опасностей и рисков был выполнен для EUC в соответствии с требованиями части 1 стандарта IEC 1508, был разработан общий концептуальный проект безопасности и, следовательно, установлены требуемые функции и целевой уровень полноты безопасности (SIL) для любого E/E/ Определена система управления или защиты PE. Целевой уровень полноты безопасности определяется относительно целевого показателя отказа (см. таблицу 1).

Таблица 1. Уровни полноты безопасности для систем защиты: целевые меры по отказу

Полнота безопасности Уровень                        Режим работы по требованию (вероятность невыполнения своей проектной функции по требованию)

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

Системы защиты

В этом документе излагаются технические требования, которые должен учитывать разработчик E/E/PE системы, связанной с безопасностью, для достижения требуемого целевого уровня полноты безопасности. Основное внимание уделяется типовой системе защиты, использующей программируемую электронику, чтобы обеспечить более глубокое обсуждение ключевых вопросов с небольшой потерей общности. Типичная система защиты показана на рис. 3, где изображена одноканальная система безопасности с вторичным отключением, активированным с помощью диагностического устройства. При нормальной работе небезопасное состояние EUC (например, превышение скорости в машине, высокая температура на химическом заводе) будет обнаружено датчиком и передано в программируемую электронику, которая даст команду исполнительным механизмам (через выходные реле) включить перевести систему в безопасное состояние (например, отключить питание электродвигателя машины, открыть клапан для сброса давления).

Рисунок 3. Типовая система защиты

Но что делать, если в компонентах системы защиты есть сбои? Это функция вторичного отключения, которая активируется функцией диагностики (самопроверки) данной конструкции. Однако система не является полностью безотказной, так как проект имеет лишь определенную вероятность быть доступным при запросе на выполнение своей функции безопасности (у него есть определенная вероятность отказа по запросу или определенный уровень полноты безопасности). Например, описанная выше конструкция может обнаруживать и допускать определенные типы отказов выходной платы, но не способна противостоять отказу входной платы. Следовательно, его полнота безопасности будет намного ниже, чем у конструкции с более надежной входной платой, или улучшенной диагностикой, или какой-либо их комбинацией.

Существуют и другие возможные причины отказов карт, в том числе «традиционные» физические сбои в оборудовании, систематические сбои, в том числе ошибки в спецификации требований, сбои реализации в программном обеспечении и неадекватная защита от условий окружающей среды (например, влажности). Диагностика в этой одноканальной конструкции может не охватывать все эти типы отказов, и, следовательно, это ограничит уровень полноты безопасности, достигаемый на практике. (Покрытие — это мера процента ошибок, которые проект может обнаружить и безопасно обработать.)

Технические требования

Части 2 и 3 проекта IEC 1508 обеспечивают основу для определения различных потенциальных причин отказа в аппаратном и программном обеспечении и для выбора конструктивных особенностей, которые устраняют эти потенциальные причины отказа в соответствии с требуемым уровнем полноты безопасности системы, связанной с безопасностью. Например, общий технический подход к системе защиты на рисунке 3 показан на рисунке 4. На рисунке показаны две основные стратегии устранения неисправностей и отказов: (1) предотвращение ошибок, когда принимаются меры для предотвращения возникновения неисправностей; и (2) Отказоустойчивость, где конструкция создается специально для того, чтобы допускать указанные неисправности. Упомянутая выше одноканальная система является примером (ограниченно) отказоустойчивой конструкции, в которой диагностика используется для обнаружения определенных сбоев и перевода системы в безопасное состояние до того, как может произойти опасный сбой.

Рис. 4. Спецификация проекта: проектное решение

Предотвращение ошибок

Предотвращение ошибок пытается предотвратить появление ошибок в системе. Основной подход заключается в использовании систематического метода управления проектом, при котором безопасность рассматривается как определяемое и управляемое качество системы во время проектирования, а затем во время эксплуатации и технического обслуживания. Подход, аналогичный обеспечению качества, основан на концепции обратной связи и включает: (1) планирование (определение целей безопасности, определение путей и средств достижения целей); (2) измерение достижения по сравнению с планом во время реализации и (3) применение Обратная связь исправить любые отклонения. Обзоры проектов — хороший пример техники предотвращения ошибок. В МЭК 1508 этому «качественному» подходу к предотвращению отказов способствуют требования по использованию жизненного цикла безопасности и использованию процедур управления безопасностью как для аппаратного, так и для программного обеспечения. Для последних они часто проявляются в виде процедур обеспечения качества программного обеспечения, таких как описанные в ISO 9000-3 (1990).

Кроме того, части 2 и 3 стандарта IEC 1508 (касающиеся аппаратного и программного обеспечения соответственно) классифицируют определенные методы или меры, которые считаются полезными для предотвращения отказов на различных этапах жизненного цикла безопасности. В таблице 2 приведен пример из части 3 для этапа проектирования и разработки программного обеспечения. Разработчик может использовать эту таблицу для помощи в выборе методов предотвращения отказов в зависимости от требуемого уровня полноты безопасности. Для каждого метода или меры в таблицах есть рекомендации для каждого Уровня Полноты Безопасности, от 1 до 4. Диапазон рекомендаций включает Настоятельно Рекомендовано (HR), Рекомендовано (R), Нейтрально — ни за, ни против (—) и Не рекомендуется (НР).

Таблица 2. Проектирование и разработка программного обеспечения

HR = настоятельно рекомендуется; R = рекомендуется; NR = не рекомендуется; — = нейтрально: метод/мера не за или против SIL.
Примечание: пронумерованный метод/меру следует выбирать в соответствии с уровнем полноты безопасности.

Отказоустойчивость

IEC 1508 требует повышения уровня отказоустойчивости по мере увеличения целевого показателя полноты безопасности. Однако стандарт признает, что отказоустойчивость более важна, когда системы (и компоненты, составляющие эти системы) являются сложными (обозначаются как тип B в IEC 1508). Для менее сложных, «хорошо зарекомендовавших себя» систем степень отказоустойчивости может быть снижена.

Устойчивость к случайным аппаратным сбоям

В таблице 3 приведены требования к отказоустойчивости при случайных аппаратных отказах в сложных аппаратных компонентах (например, микропроцессорах) при использовании в системе защиты, такой как показана на рис. 3. Разработчику может потребоваться рассмотреть подходящее сочетание диагностики, отказоустойчивости и ручные контрольные проверки для преодоления этого класса ошибок, в зависимости от требуемого уровня полноты безопасности.

Таблица 3. Уровень полноты безопасности — требования к отказам для компонентов типа B¹

1 Связанные с безопасностью необнаруженные неисправности должны быть обнаружены посредством контрольной проверки.

2 Для компонентов, не имеющих диагностического покрытия в режиме онлайн, система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.

3 Для компонентов с высоким оперативным охватом диагностикой система должна быть способна выполнять функцию безопасности при наличии одиночной неисправности. Для компонентов, не имеющих расширенного оперативного диагностического охвата, система должна быть способна выполнять функцию безопасности при наличии двух отказов. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой.

4 Компоненты должны быть способны выполнять функцию безопасности при наличии двух неисправностей. Неисправности должны быть обнаружены с высоким диагностическим охватом в режиме онлайн. Связанные с безопасностью необнаруженные неисправности должны быть обнаружены проверочной проверкой. Количественный анализ оборудования должен основываться на предположениях о наихудшем случае.

¹Компоненты, режимы отказов которых не определены или не поддаются тестированию, или для которых имеются плохие данные об отказах из практического опыта (например, программируемые электронные компоненты).

IEC 1508 помогает разработчику, предоставляя таблицы проектных спецификаций (см. таблицу 4) с проектными параметрами, проиндексированными относительно уровня полноты безопасности для ряда широко используемых архитектур систем защиты.

Таблица 4. Требования к уровню полноты безопасности 2 — Архитектура программируемых электронных систем для систем защиты

В первом столбце таблицы представлены архитектуры с различной степенью отказоустойчивости. Как правило, архитектуры, расположенные в нижней части таблицы, имеют более высокую степень отказоустойчивости, чем архитектуры, расположенные в верхней части. Система 1oo2 (один из двух) способна выдержать любой один сбой, как и 2oo3.

Во втором столбце описывается процентное покрытие любой внутренней диагностики. Чем выше уровень диагностики, тем больше неисправностей будет отловлено. В системе защиты это важно, потому что при ремонте неисправного компонента (например, карты ввода) в разумные сроки (часто 8 часов) функциональная безопасность практически не снижается. (Примечание: это не относится к системе непрерывного управления, поскольку любая неисправность может привести к немедленному возникновению небезопасного состояния и возможности возникновения инцидента.)

В третьем столбце указан интервал между проверочными испытаниями. Это специальные тесты, которые необходимо провести для тщательной проверки системы защиты, чтобы убедиться в отсутствии скрытых неисправностей. Обычно они выполняются поставщиком оборудования в периоды остановки предприятия.

В четвертом столбце показана частота ложных отключений. Ложное отключение — это такое отключение, которое приводит к остановке установки или оборудования при отсутствии отклонений в технологическом процессе. Платой за безопасность часто является более высокая частота ложных срабатываний. Простая система защиты с резервированием — 1oo2 — имеет, при неизменности всех других конструктивных факторов, более высокий уровень полноты безопасности, но также более высокую частоту ложных срабатываний, чем одноканальная (1oo1) система.

Если одна из архитектур в таблице не используется или если разработчик хочет провести более фундаментальный анализ, то МЭК 1508 допускает эту альтернативу. Затем можно использовать методы проектирования надежности, такие как марковское моделирование, для расчета аппаратного элемента уровня полноты безопасности (Johnson 1989; Goble 1992).

Устойчивость к систематическим отказам и отказам по общей причине

Этот класс отказов очень важен для систем безопасности и является ограничивающим фактором для достижения полноты безопасности. В системе с резервированием компонент или подсистема или даже вся система дублируются для достижения высокой надежности за счет менее надежных частей. Повышение надежности происходит потому, что статистически вероятность одновременного отказа двух систем из-за случайных сбоев будет произведением надежности отдельных систем и, следовательно, будет намного ниже. С другой стороны, систематические отказы и отказы по общей причине приводят к случайному отказу резервированных систем, когда, например, ошибка спецификации в программном обеспечении приводит к одновременному отказу дублированных частей. Другим примером может быть отказ общего источника питания в резервной системе.

IEC 1508 содержит таблицы технических методов, ранжированных по уровню полноты безопасности, которые считаются эффективными для обеспечения защиты от систематических отказов и отказов по общей причине.

Примерами методов, обеспечивающих защиту от систематических сбоев, являются разнообразие и аналитическая избыточность. Основой разнообразия является то, что если разработчик реализует второй канал в резервированной системе, используя другую технологию или язык программного обеспечения, то отказы в резервных каналах можно рассматривать как независимые (т. е. низкая вероятность случайного отказа). Однако, особенно в области программных систем, есть некоторые предположения, что этот метод может быть неэффективным, поскольку большинство ошибок содержится в спецификации. Аналитическая избыточность пытается использовать избыточную информацию на заводе или машине для выявления неисправностей. Для других причин систематических отказов — например, внешних нагрузок — в стандарте приведены таблицы с рекомендациями по надлежащей инженерной практике (например, разделение сигнальных и силовых кабелей), индексированные по уровню полноты безопасности.

Выводы

Компьютерные системы предлагают множество преимуществ — не только экономических, но и потенциальных для повышения безопасности. Однако для реализации этого потенциала требуется гораздо больше внимания к деталям, чем при использовании обычных системных компонентов. В этой статье изложены основные технические требования, которые необходимо учитывать разработчику для успешного использования этой технологии.

Назад