В этой статье обсуждается проектирование и внедрение систем управления, связанных с безопасностью, которые имеют дело со всеми типами электрических, электронных и программно-электронных систем (включая компьютерные системы). Общий подход соответствует предложенному Международной электротехнической комиссией (МЭК) стандарту 1508 (Функциональная безопасность: связанная с безопасностью 

системы) (МЭК 1993).

проверка данных

В 1980-х годах компьютерные системы, обычно называемые программируемыми электронными системами (ПЭС), все чаще использовались для выполнения функций безопасности. Основными движущими силами этой тенденции были (1) улучшенная функциональность и экономические преимущества (особенно с учетом общего жизненного цикла устройства или системы) и (2) особое преимущество определенных конструкций, которое можно было реализовать только при использовании компьютерных технологий. . Во время раннего внедрения компьютерных систем был сделан ряд выводов:

• Внедрение компьютерного управления было плохо продумано и спланировано.
• Установлены неадекватные требования безопасности.
• Были разработаны неадекватные процедуры валидации программного обеспечения.
• Доказательства некачественной работы были раскрыты в отношении стандарта установки установки.
• Была составлена ​​неадекватная документация, которая не была должным образом проверена в отношении того, что на самом деле было на заводе (в отличие от того, что, как предполагалось, было на заводе).
• Были установлены менее чем полностью эффективные процедуры эксплуатации и технического обслуживания.
• Очевидно, имело место обоснованное беспокойство по поводу компетентности лиц для выполнения возложенных на них обязанностей.

Чтобы решить эти проблемы, несколько органов опубликовали или начали разрабатывать руководства, обеспечивающие безопасное использование технологии PES. В Соединенном Королевстве Управление по охране труда и технике безопасности (HSE) разработало руководство для программируемых электронных систем, используемых для приложений, связанных с безопасностью, а в Германии был опубликован проект стандарта (DIN 1990). В Европейском сообществе в связи с требованиями Директивы по машинному оборудованию был начат важный элемент работы над гармонизированными европейскими стандартами, касающимися систем управления, связанных с безопасностью (включая те, которые используют ПЭС). В Соединенных Штатах Американское общество приборостроения (ISA) разработало стандарт на PES для использования в обрабатывающей промышленности, а Центр безопасности химических процессов (CCPS), управление Американского института инженеров-химиков, разработал руководящие принципы. для сектора химических процессов.

В настоящее время в МЭК реализуется крупная инициатива по стандартизации для разработки общего международного стандарта для электрических, электронных и программируемых электронных (E/E/PES) систем, связанных с безопасностью, который можно было бы использовать во многих областях применения, включая процессы, медицинской, транспортной и машиностроительной отраслях. Предлагаемый международный стандарт МЭК состоит из семи частей под общим названием IEC 1508. Функциональная безопасность электрических/электронных/программируемых электронных систем, связанных с безопасностью.. Различные части следующие:

• Часть 1. Общие требования
• Часть 2. Требования к электрическим, электронным и программируемым электронным системам
• Часть 3. Требования к программному обеспечению
• Часть 4. Определения
• Часть 5. Примеры методов определения уровней полноты безопасности
• Часть 6. Рекомендации по применению Частей 2 и 3
• Часть 7. Обзор методов и мер.

После окончательной доработки этот общий международный стандарт станет базовой публикацией МЭК по безопасности, охватывающей функциональную безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью, и будет иметь значение для всех стандартов МЭК, охватывающих все области применения в отношении будущего проектирования и использования электрические/электронные/программируемые электронные системы безопасности. Основная цель предлагаемого стандарта — облегчить разработку стандартов для различных секторов (см. рис. 1).

Рисунок 1. Стандарты общего и прикладного секторов

Преимущества и проблемы PES

Принятие ПВУ для целей безопасности имело много потенциальных преимуществ, но было признано, что они могут быть достигнуты только при использовании соответствующих методологий проектирования и оценки, поскольку: (1) многие характеристики ПВУ не обеспечивают полноту безопасности (что то есть характеристики безопасности систем, выполняющих требуемые функции безопасности), должны быть предсказаны с той же степенью достоверности, которая традиционно была доступна для менее сложных аппаратных («жестких») систем; (2) было признано, что хотя тестирование и необходимо для сложных систем, его самого по себе недостаточно. Это означало, что даже если PES реализовывала относительно простые функции безопасности, уровень сложности программируемой электроники был значительно выше, чем у проводных систем, которые они заменяли; и (3) этот рост сложности означал, что методологии проектирования и оценки должны были уделять гораздо больше внимания, чем раньше, и что уровень личной компетентности, необходимый для достижения адекватных уровней производительности систем, связанных с безопасностью, впоследствии был выше.

Преимущества компьютеризированных ПЭС включают следующее:

• возможность выполнять оперативную диагностическую проверку критических компонентов со значительно большей частотой, чем в противном случае
• потенциал для обеспечения сложных блокировок безопасности
• возможность предоставления диагностических функций и мониторинга состояния, которые можно использовать для анализа и составления отчетов о производительности установок и оборудования в режиме реального времени.
• возможность сравнения реальных условий установки с «идеальными» модельными условиями
• возможность предоставлять более качественную информацию операторам и, следовательно, улучшать процесс принятия решений, влияющих на безопасность
• использование передовых стратегий управления, позволяющих оператору быть удаленным от опасных или враждебных сред
• возможность диагностировать систему управления из удаленного места.

Использование компьютерных систем в приложениях, связанных с безопасностью, создает ряд проблем, требующих адекватного решения, таких как следующие:

• Виды отказов сложны и не всегда предсказуемы.
• Тестирование компьютера необходимо, но само по себе недостаточно, чтобы установить, что функции безопасности будут выполняться со степенью уверенности, необходимой для применения.
• Микропроцессоры могут иметь незначительные различия между разными партиями, поэтому разные партии могут вести себя по-разному.
• Незащищенные компьютерные системы особенно чувствительны к электрическим помехам (излучение помех, электрические «всплески» в сети, электростатические разряды и т. д.).
• Трудно, а часто и невозможно количественно определить вероятность отказа сложных систем, связанных с безопасностью, включающих в себя программное обеспечение. Поскольку ни один из методов количественной оценки не получил широкого признания, обеспечение качества программного обеспечения основывалось на процедурах и стандартах, описывающих методы, используемые при проектировании, внедрении и обслуживании программного обеспечения.

Рассматриваемые системы безопасности

Рассматриваемые типы систем, связанных с безопасностью, представляют собой электрические, электронные и программируемые электронные системы (E/E/PES). Система включает в себя все элементы, в частности сигналы, исходящие от датчиков или других устройств ввода на управляемом оборудовании и передаваемые по магистралям данных или другим каналам связи на исполнительные механизмы или другие устройства вывода (см. рис. 2).

Рисунок 2. Электрическая, электронная и программируемая электронная система (E/E/PES)

Термин электрические, электронные и программируемые электронные устройства использовался для охвата широкого спектра устройств и охватывает следующие три основных класса:

1. электрические устройства, такие как электромеханические реле
2. электронные устройства, такие как твердотельные электронные приборы и логические системы
3. программируемые электронные устройства, которые включают в себя широкий спектр компьютерных систем, таких как следующие:

• микропроцессоры
• микроконтроллеры
• программируемые контроллеры (ПК)
• специализированные интегральные схемы (ASIC)
• программируемые логические контроллеры (ПЛК)
• другие компьютерные устройства (например, «интеллектуальные» датчики, преобразователи и приводы).

По определению система, связанная с безопасностью, служит двум целям:

1. Он реализует требуемые функции безопасности, необходимые для достижения безопасного состояния управляемого оборудования или поддерживает безопасное состояние управляемого оборудования. Система, связанная с безопасностью, должна выполнять те функции безопасности, которые указаны в спецификации требований к функциям безопасности для системы. Например, в спецификации требований к функциям безопасности может быть указано, что при достижении температуры определенного значения x, клапан y должен открываться, чтобы вода могла попасть в сосуд.
2. Он сам по себе или вместе с другими системами, связанными с безопасностью, обеспечивает необходимый уровень полноты безопасности для реализации требуемых функций безопасности. Функции безопасности должны выполняться системами, связанными с безопасностью, со степенью уверенности, соответствующей применению, чтобы достичь требуемого уровня безопасности для управляемого оборудования.

Эта концепция проиллюстрирована на рисунке 3.

Рисунок 3. Основные характеристики систем, связанных с безопасностью

Системные сбои

Чтобы обеспечить безопасную работу E/E/PES систем, связанных с безопасностью, необходимо распознавать различные возможные причины отказов систем, связанных с безопасностью, и обеспечивать принятие адекватных мер предосторожности против каждой из них. Отказы подразделяются на две категории, как показано на рисунке 4.

Рисунок 4. Категории отказов

1. Случайные аппаратные сбои — это сбои, возникающие в результате множества обычных механизмов деградации аппаратных средств. Существует много таких механизмов, возникающих с разной скоростью в разных компонентах, и, поскольку производственные допуски приводят к отказу компонентов из-за этих механизмов через разное время работы, отказы всей единицы оборудования, состоящего из многих компонентов, происходят в непредсказуемое (случайное) время. Показатели надежности системы, такие как среднее время наработки на отказ (MTBF), ценны, но обычно касаются только случайных отказов оборудования и не включают систематических отказов.
2. Систематические отказы возникают из-за ошибок в проектировании, конструировании или использовании системы, которые приводят к ее отказу при определенной комбинации входных данных или при определенных условиях окружающей среды. Если сбой системы происходит при возникновении определенного набора обстоятельств, то всякий раз, когда эти обстоятельства возникают в будущем, всегда будет сбой системы. Любой отказ системы, связанной с безопасностью, который не является результатом случайного отказа аппаратных средств, по определению является систематическим отказом. Систематические отказы в контексте E/E/PES систем, связанных с безопасностью, включают:

• систематические отказы из-за ошибок или упущений в спецификации требований к функциям безопасности
• систематические отказы из-за ошибок при проектировании, производстве, установке или эксплуатации оборудования. К ним относятся отказы, возникающие по причинам, связанным с окружающей средой, и человеческими (например, операторскими) ошибками.
• систематические сбои из-за сбоев в программном обеспечении
• систематические отказы из-за ошибок обслуживания и модификации.

Защита систем безопасности

Термины, которые используются для обозначения мер предосторожности, требуемых системой, связанной с безопасностью, для защиты от случайных отказов оборудования и систематических отказов: аппаратные средства обеспечения безопасности и систематические меры обеспечения полноты безопасности соответственно. Меры предосторожности, которые система, связанная с безопасностью, может применять как против случайных отказов аппаратных средств, так и против систематических отказов, называются полнота безопасности. Эти концепции проиллюстрированы на рисунке 5.

Рисунок 5. Условия обеспечения безопасности

В предлагаемом международном стандарте IEC 1508 существует четыре уровня полноты безопасности, обозначенные как уровни полноты безопасности 1, 2, 3 и 4. Уровень полноты безопасности 1 — это самый низкий уровень полноты безопасности, а уровень полноты безопасности 4 — самый высокий. Уровень полноты безопасности (будь то 1, 2, 3 или 4) для системы, связанной с безопасностью, будет зависеть от важности роли, которую система, связанная с безопасностью, играет в достижении требуемого уровня безопасности для управляемого оборудования. Могут потребоваться несколько систем, связанных с безопасностью, некоторые из которых могут быть основаны на пневматической или гидравлической технологии.

Проектирование систем безопасности

Недавний анализ 34 инцидентов, связанных с системами управления (HSE), показал, что 60% всех случаев отказов были «встроены» до того, как система управления, связанная с безопасностью, была введена в действие (рис. 7). Рассмотрение всех фаз жизненного цикла безопасности необходимо, если необходимо производить адекватные системы, связанные с безопасностью.

Рисунок 7. Основная причина (по фазам) отказа системы управления

Функциональная безопасность систем, связанных с безопасностью, зависит не только от обеспечения надлежащего определения технических требований, но и от обеспечения эффективного выполнения технических требований и сохранения исходной проектной целостности в течение всего срока службы оборудования. Это может быть реализовано только в том случае, если существует эффективная система управления безопасностью, а люди, участвующие в любой деятельности, компетентны в отношении своих обязанностей. В частности, когда речь идет о сложных системах, связанных с безопасностью, важно наличие адекватной системы управления безопасностью. Это приводит к стратегии, которая обеспечивает следующее:

• Действует эффективная система управления безопасностью.
• Технические требования, установленные для E/E/PES систем, связанных с безопасностью, достаточны для работы как со случайными аппаратными средствами, так и с причинами систематических отказов.
• Компетенция вовлеченных людей соответствует обязанностям, которые они должны выполнять.

Для систематического удовлетворения всех соответствующих технических требований функциональной безопасности была разработана концепция жизненного цикла безопасности. Упрощенная версия жизненного цикла безопасности в новом международном стандарте IEC 1508 показана на рисунке 8. Ключевые этапы жизненного цикла безопасности:

Рисунок 8. Роль жизненного цикла безопасности в достижении функциональной безопасности

• Спецификация
• дизайн и реализация
• монтаж и наладка
• эксплуатация и обслуживание
• меняется после ввода в эксплуатацию.

Уровень безопасности

Стратегия проектирования для достижения адекватных уровней полноты безопасности для систем, важных для безопасности, показана на рисунках 9 и 10. Уровень полноты безопасности основан на той роли, которую играет система, связанная с безопасностью, в достижении общего уровня. безопасности для управляемого оборудования. Уровень полноты безопасности определяет меры предосторожности, которые необходимо учитывать при проектировании как против случайных отказов оборудования, так и против систематических отказов.

Рисунок 9. Роль уровней полноты безопасности в процессе проектирования

Рисунок 10. Роль жизненного цикла безопасности в процессе спецификации и проектирования

Понятие безопасности и уровня безопасности относится к управляемому оборудованию. Концепция функциональной безопасности применяется к системам, связанным с безопасностью. Функциональная безопасность для систем, связанных с безопасностью, должна быть обеспечена, если необходимо обеспечить адекватный уровень безопасности для оборудования, создающего опасность. Заданный уровень безопасности для конкретной ситуации является ключевым фактором в спецификации требований полноты безопасности для систем, связанных с безопасностью.

Требуемый уровень безопасности будет зависеть от многих факторов, например от тяжести травм, количества людей, подвергающихся опасности, частоты, с которой люди подвергаются опасности, и продолжительности воздействия. Важными факторами будут восприятие и взгляды тех, кто подвергается опасному событию. При определении того, что представляет собой надлежащий уровень безопасности для конкретного применения, учитывается ряд исходных данных, в том числе следующие:

• юридические требования, относящиеся к конкретному применению
• рекомендации соответствующего органа по регулированию безопасности
• обсуждения и соглашения с различными сторонами, участвующими в применении
• отраслевые стандарты
• национальные и международные стандарты
• лучший независимый отраслевой, экспертный и научный совет.

Итого

При проектировании и использовании систем, связанных с безопасностью, необходимо помнить, что именно управляемое оборудование создает потенциальную опасность. Системы, связанные с безопасностью, предназначены для снижения частоты (или вероятности) опасного события и/или последствий опасного события. После того как уровень безопасности установлен для оборудования, можно определить уровень полноты безопасности для системы, связанной с безопасностью, и именно уровень полноты безопасности позволяет разработчику указать меры предосторожности, которые необходимо предусмотреть в проекте, чтобы быть развернуты как против случайных аппаратных, так и против систематических отказов.

Назад