Машине, процесна постројења и друга опрема могу, ако не функционишу, представљати ризик од опасних догађаја као што су пожари, експлозије, предозирање радијацијом и покретни делови. Један од начина на који таква постројења, опрема и машине могу да кваре је квар електромеханичких, електронских и програмабилних електронских (Е/Е/ПЕ) уређаја који се користе у дизајну њихових контролних или сигурносних система. Ови кварови могу настати или због физичких грешака на уређају (нпр. од хабања које се дешава насумично у времену (насумични кварови хардвера)); или од систематских грешака (нпр. грешке направљене у спецификацији и дизајну система које узрокују његов отказ због (1) неке посебне комбинације улаза, (2) неког услова околине (3) нетачних или непотпуних уноса од сензора, ( 4) непотпун или погрешан унос података од стране оператера и (5) потенцијалне систематске грешке услед лошег дизајна интерфејса).

Системски кварови везани за безбедност

Овај чланак покрива функционалну безбедност контролних система везаних за безбедност и разматра хардверске и софтверске техничке захтеве неопходне за постизање захтеваног интегритета безбедности. Општи приступ је у складу са предложеним стандардом Међународне електротехничке комисије ИЕЦ 1508, делови 2 и 3 (ИЕЦ 1993). Општи циљ нацрта међународног стандарда ИЕЦ 1508, Функционална безбедност: системи повезани са безбедношћу, је да се осигура да постројења и опрема могу бити сигурносно аутоматизовани. Кључни циљ у развоју предложеног међународног стандарда је спречавање или минимизирање учесталости:

• кварови контролних система који изазивају друге догађаје који заузврат могу довести до опасности (нпр., контролни систем откаже, контрола је изгубљена, процес измиче контроли што доводи до пожара, ослобађања токсичних материјала, итд.)
• кварови у алармним и надзорним системима тако да се оператерима не дају информације у облику који се може брзо идентификовати и разумети како би спровели неопходне хитне акције
• неоткривени кварови у заштитним системима, чинећи их недоступним када је то потребно за безбедносну акцију (нпр. неисправна улазна картица у систему за хитно искључење).

Чланак „Електрични, електронски и програмабилни електронски безбедносни системи“ поставља општи приступ управљања безбедношћу садржан у Делу 1 ИЕЦ 1508 за обезбеђивање безбедности контролних и заштитних система који су важни за безбедност. Овај чланак описује свеукупни концептуални инжењерски пројекат који је потребан да би се ризик од несреће смањио на прихватљив ниво, укључујући улогу било ког система контроле или заштите заснованог на Е/Е/ПЕ технологији.

На слици 1, ризик од опреме, процесног постројења или машине (уопштено познат као опрема под контролом (ЕУЦ) без заштитних уређаја) је означен на једном крају ЕУЦ скале ризика, а циљни ниво ризика који је потребан да би се испунио захтевани ниво безбедности је на другом крају. Између је приказана комбинација система везаних за безбедност и екстерних средстава за смањење ризика потребних да се постигне потребно смањење ризика. Они могу бити различитих типова—механички (нпр. вентили за смањење притиска), хидраулични, пнеуматски, физички, као и Е/Е/ПЕ системи. Слика 2 наглашава улогу сваког безбедносног слоја у заштити ЕУЦ-а како несрећа напредује.

Слика 1. Смањење ризика: Општи концепти

Слика 2. Укупан модел: Заштитни слојеви

Под условом да је извршена анализа опасности и ризика на ЕУЦ-у као што се захтева у Делу 1 ИЕЦ 1508, утврђен је целокупни концептуални дизајн за безбедност и према томе потребне функције и циљни ниво безбедносног интегритета (СИЛ) за било који Е/Е/ Дефинисан је систем управљања или заштите ПЕ. Циљни ниво безбедносног интегритета је дефинисан у односу на меру неуспеха циља (видети табелу 1).

Табела 1. Нивои интегритета безбедности за системе заштите: Мере квара циља

Ниво интегритета безбедности                        Режим рада по захтеву (Вероватноћа неуспеха да изврши своју пројектну функцију на захтев)

4 10^-5 ≤ × 10^-4

3 10^-4 ≤ × 10^-3

2 10^-3 ≤ × 10^-2

1 10^-2 ≤ × 10^-1 

Системи заштите

У овом раду су наведени технички захтеви које би дизајнер система везаног за безбедност Е/Е/ПЕ требало да узме у обзир да би задовољио захтевани циљни ниво интегритета безбедности. Фокус је на типичном систему заштите који користи програмабилну електронику како би се омогућила детаљнија дискусија о кључним питањима са малим губитком уопште. Типичан систем заштите је приказан на слици 3, која приказује једноканални сигурносни систем са секундарним искључивањем активираним преко дијагностичког уређаја. У нормалном раду, несигурно стање ЕУЦ-а (нпр. превелика брзина у машини, висока температура у хемијском постројењу) детектује сензор и преноси на програмабилну електронику, која ће командовати актуаторима (преко излазних релеја) да укључе систем у безбедно стање (нпр. уклањање напајања електричном мотору машине, отварање вентила за смањење притиска).

Слика 3. Типичан систем заштите

Али шта ако постоје кварови у компонентама система заштите? Ово је функција секундарног искључивања, која се активира помоћу дијагностичке (самопровере) функције овог дизајна. Међутим, систем није потпуно безбедан, пошто дизајн има само одређену вероватноћу да буде доступан када се од њега затражи да изврши своју безбедносну функцију (има извесну вероватноћу отказа на захтев или одређени ниво безбедносног интегритета). На пример, горњи дизајн би могао да открије и толерише одређене врсте отказа излазне картице, али не би могао да издржи квар улазне картице. Због тога ће њен безбедносни интегритет бити много нижи него код дизајна са улазном картицом веће поузданости, или побољшаном дијагностиком, или неком комбинацијом овога.

Постоје и други могући узроци кварова картице, укључујући „традиционалне“ физичке грешке у хардверу, систематске грешке укључујући грешке у спецификацији захтева, грешке у имплементацији у софтверу и неадекватну заштиту од услова околине (нпр. влажност). Дијагностика у овом једноканалном дизајну можда неће покрити све ове врсте грешака, и стога ће ово ограничити ниво интегритета безбедности постигнут у пракси. (Покривеност је мера процента грешака које дизајн може да открије и безбедно обради.)

Технички захтеви

Делови 2 и 3 нацрта ИЕЦ 1508 обезбеђују оквир за идентификацију различитих потенцијалних узрока кварова у хардверу и софтверу и за избор карактеристика дизајна које превазилазе те потенцијалне узроке отказа који одговарају захтеваном Нивоу интегритета безбедности система који се односи на безбедност. На пример, свеукупни технички приступ за систем заштите на слици 3 је приказан на слици 4. Слика показује две основне стратегије за превазилажење кварова и кварова: (1) избегавање грешке, где се води рачуна о спречавању стварања кварова; и (2) толеранција грешке, где је дизајн креиран посебно да толерише одређене грешке. Горе поменути једноканални систем је пример (ограниченог) дизајна отпорног на грешке где се дијагностика користи за откривање одређених кварова и довођење система у безбедно стање пре него што може доћи до опасног квара.

Слика 4. Спецификација дизајна: Пројектно решење

Избегавање грешке

Избегавање грешака покушава да спречи уношење грешака у систем. Главни приступ је коришћење систематског метода управљања пројектом тако да се безбедност третира као квалитет система који се може дефинисати и којим се може управљати, током пројектовања, а затим и током рада и одржавања. Приступ, који је сличан осигурању квалитета, заснива се на концепту повратних информација и укључује: (1) планирање (дефинисање безбедносних циљева, утврђивање начина и средстава за постизање циљева); (2) мерење остварење у односу на план током имплементације и (3) примена povratne информације да исправи евентуална одступања. Рецензије дизајна су добар пример технике избегавања грешака. У ИЕЦ 1508 овај „квалитетни“ приступ избегавању грешака је олакшан захтевима да се користи животни циклус безбедности и користе процедуре управљања безбедношћу и за хардвер и за софтвер. За последње, ови се често манифестују као процедуре обезбеђења квалитета софтвера попут оних описаних у ИСО 9000-3 (1990).

Поред тога, делови 2 и 3 ИЕЦ 1508 (који се тичу хардвера и софтвера, респективно) оцењују одређене технике или мере које се сматрају корисним за избегавање грешака током различитих фаза животног циклуса безбедности. Табела 2 даје пример из Дела 3 за фазу пројектовања и развоја софтвера. Дизајнер би користио табелу да помогне у одабиру техника за избегавање грешака, у зависности од захтеваног нивоа интегритета безбедности. Уз сваку технику или меру у табелама постоји препорука за сваки ниво безбедносног интегритета, од 1 до 4. Опсег препорука обухвата високо препоручено (ХР), препоручено (Р), неутрално—ни за или против (—) и не препоручује се (НР).

Табела 2. Дизајн и развој софтвера

ХР = високо препоручено; Р = препоручено; НР = не препоручује се;— = неутрално: техника/мера није ни за ни против СИЛ.
Напомена: нумерисана техника/мера се бира у складу са нивоом интегритета безбедности.

Толеранција грешака

ИЕЦ 1508 захтева повећање нивоа толеранције грешке како се повећава циљ безбедносног интегритета. Стандард признаје, међутим, да је толеранција грешака важнија када су системи (и компоненте које чине те системе) сложене (означене као Тип Б у ИЕЦ 1508). За мање сложене, „добро доказане“ системе, степен толеранције грешака се може смањити.

Толеранција на случајне хардверске грешке

Табела 3 показује захтеве за толеранцију грешака на случајне хардверске кварове у сложеним хардверским компонентама (нпр. микропроцесори) када се користе у систему заштите као што је приказано на слици 3. Дизајнер ће можда морати да размотри одговарајућу комбинацију дијагностике, толеранције грешака и ручне провере доказа за превазилажење ове класе грешке, у зависности од захтеваног нивоа безбедносног интегритета.

Табела 3. Ниво интегритета безбедности – Захтеви за грешке за компоненте типа Б¹

1 Неоткривене грешке у вези са безбедношћу ће се открити провером доказа.

2 За компоненте без он-лине медијске дијагностичке покривености, систем мора бити у стању да изврши безбедносну функцију у присуству једне грешке. Неоткривене грешке у вези са безбедношћу ће се открити провером доказа.

3 За компоненте са он-лине високом дијагностичком покривеношћу, систем ће бити у стању да изврши безбедносну функцију у присуству једне грешке. За компоненте без он-лине високе дијагностичке покривености, систем ће бити у стању да изврши безбедносну функцију у присуству две грешке. Неоткривене грешке у вези са безбедношћу ће се открити провером доказа.

4 Компоненте морају бити у стању да обављају безбедносну функцију у присуству две грешке. Грешке ће бити откривене уз помоћ он-лине високе дијагностичке покривености. Неоткривене грешке у вези са безбедношћу ће се открити провером доказа. Квантитативна анализа хардвера ће се заснивати на претпоставкама најгорег случаја.

¹Компоненте чији начини квара нису добро дефинисани или тестирани, или за које постоје лоши подаци о кваровима из искуства на терену (нпр. програмабилне електронске компоненте).

ИЕЦ 1508 помаже дизајнеру обезбеђујући табеле спецификација дизајна (погледајте табелу 4) са пројектним параметрима индексираним у односу на ниво безбедносног интегритета за бројне најчешће коришћене архитектуре система заштите.

Табела 4. Захтеви за ниво интегритета безбедности 2 – Програмабилне архитектуре електронских система за системе заштите

Прва колона табеле представља архитектуре са различитим степеном толеранције грешака. Генерално, архитектуре постављене при дну табеле имају већи степен толеранције грешака од оних при врху. Систем 1оо2 (један од два) је у стању да издржи било коју грешку, као и 2оо3.

Друга колона описује проценат покривености било које интерне дијагностике. Што је виши ниво дијагностике, више грешака ће бити заробљено. У систему заштите ово је важно јер, под условом да се неисправна компонента (нпр. улазна картица) поправи у разумном времену (често 8 сати), постоји мали губитак функционалне сигурности. (Напомена: ово не би био случај за систем континуиране контроле, јер свака грешка може изазвати тренутну несигурност и потенцијал за инцидент.)

Трећа колона приказује интервал између тестова доказа. Ово су посебни тестови који се морају спровести да би се темељно проверавао систем заштите како би се осигурало да нема скривених грешака. Обично их спроводи продавац опреме током периода гашења постројења.

Четврта колона приказује стопу лажног путовања. Лажни прекид је онај који узрокује да се постројење или опрема искључи када нема одступања процеса. Цена за безбедност је често већа стопа лажног путовања. Једноставан редундантни заштитни систем—1оо2—има, са свим осталим факторима дизајна непромењеним, виши ниво интегритета безбедности, али и већу стопу лажног окидања него једноканални (1оо1) систем.

Ако се једна од архитектура у табели не користи или ако дизајнер жели да изврши фундаменталнију анализу, онда ИЕЦ 1508 дозвољава ову алтернативу. Технике инжењеринга поузданости, као што је Марковљево моделирање, тада се могу користити за израчунавање хардверског елемента нивоа безбедносног интегритета (Јохнсон 1989; Гобле 1992).

Толеранција према систематским и уобичајеним кваровима

Ова класа отказа је веома важна у сигурносним системима и ограничавајући је фактор за постизање интегритета безбедности. У редундантном систему, компонента или подсистем, или чак цео систем, се дуплирају да би се постигла висока поузданост од делова мање поузданости. До побољшања поузданости долази зато што ће, статистички, вероватноћа да два система истовремено отпадну због случајних кварова биће производ поузданости појединачних система, а самим тим и много нижа. С друге стране, грешке систематског и уобичајеног узрока доводе до квара редундантних система случајно када, на пример, грешка у спецификацији у софтверу доведе до квара дуплираних делова у исто време. Други пример би био квар заједничког напајања редундантног система.

ИЕЦ 1508 пружа табеле инжењерских техника рангираних према нивоу интегритета безбедности који се сматра ефикасним у обезбеђивању заштите од систематских и уобичајених грешака.

Примери техника које обезбеђују одбрану од систематских кварова су разноврсност и аналитичка редундантност. Основа различитости је да ако дизајнер имплементира други канал у редундантном систему користећи другу технологију или софтверски језик, онда се грешке у редундантним каналима могу сматрати независним (тј. мала вероватноћа случајног квара). Међутим, посебно у области система заснованих на софтверу, постоје сугестије да ова техника можда неће бити ефикасна, јер је већина грешака у спецификацији. Аналитичка редундантност покушава да искористи сувишне информације у постројењу или машини за идентификацију грешака. За друге узроке систематског квара — на пример, спољна напрезања — стандард пружа табеле које дају савете о добрим инжењерским праксама (нпр. раздвајање сигналних и енергетских каблова) индексиране у односу на ниво интегритета безбедности.

Закључци

Компјутерски засновани системи нуде многе предности — не само економске, већ и потенцијал за побољшање безбедности. Међутим, пажња посвећена детаљима потребна за реализацију овог потенцијала је знатно већа него што је то случај са конвенционалним компонентама система. Овај чланак је изложио главне техничке захтеве које дизајнер треба да узме у обзир да би успешно искористио ову технологију.

Назад

Овај чланак разматра пројектовање и имплементацију сигурносних контролних система који се баве свим врстама електричних, електронских и програмабилно-електронских система (укључујући рачунарске системе). Укупан приступ је у складу са предложеним стандардом 1508 Међународне електротехничке комисије (ИЕЦ) (Функционална безбедност: у вези са безбедношћу 

sistemi) (ИЕЦ 1993).

позадина

Током 1980-их, системи засновани на рачунару — који се генерално називају програмабилним електронским системима (ПЕС) — су се све више користили за обављање безбедносних функција. Примарне покретачке снаге иза овог тренда биле су (1) побољшана функционалност и економске користи (посебно имајући у виду укупан животни циклус уређаја или система) и (2) посебне предности одређених дизајна, које су се могле остварити само када се користи компјутерска технологија. . Током раног увођења система заснованих на компјутерима дошло се до низа налаза:

• Увођење компјутерског управљања било је лоше осмишљено и планирано.
• Наведени су неадекватни безбедносни захтеви.
• Развијене су неадекватне процедуре у погледу валидације софтвера.
• У погледу стандарда уградње постројења обелодањени су докази лоше израде.
• Неадекватна документација је генерисана и није адекватно потврђена у односу на оно што је стварно било у постројењу (за разлику од онога што се сматрало да је у постројењу).
• Успостављене су мање него потпуно ефикасне процедуре рада и одржавања.
• Очигледно је постојала оправдана забринутост око способности лица да обављају дужности које се од њих траже.

Да би решили ове проблеме, неколико тела је објавило или почело да развија смернице које ће омогућити безбедну експлоатацију ПЕС технологије. У Уједињеном Краљевству, Хеалтх анд Сафети Екецутиве (ХСЕ) је развио смернице за програмабилне електронске системе који се користе за апликације везане за безбедност, ау Немачкој је објављен нацрт стандарда (ДИН 1990). Унутар Европске заједнице започет је важан елемент у раду на хармонизованим европским стандардима који се односе на системе контроле безбедности (укључујући и оне који користе ПЕС) у вези са захтевима Директиве о машинама. У Сједињеним Државама, Америчко друштво за инструменте (ИСА) је произвело стандард о ПЕС за употребу у процесној индустрији, а Центар за безбедност хемијских процеса (ЦЦПС), дирекција Америчког института хемијских инжењера, израдио је смернице за сектор хемијских процеса.

У оквиру ИЕЦ-а се тренутно одвија велика иницијатива за стандарде за развој генерички заснованог међународног стандарда за електричне, електронске и програмабилне електронске (Е/Е/ПЕС) сигурносне системе који би могли да користе многи сектори апликација, укључујући процес, медицински, транспортни и машински сектори. Предложени међународни стандард ИЕЦ састоји се од седам делова под општим насловом ИЕЦ 1508. Функционална сигурност електричних/електронских/програмабилних електронских сигурносних система. Различити делови су следећи:

• Део 1.Општи захтеви
• Део 2. Захтеви за електричне, електронске и програмабилне електронске системе
• Део 3.Софтверски захтеви
• Део 4.Дефиниције
• Део 5.Примери метода за одређивање нивоа интегритета безбедности
• Део 6.Смернице за примену 2. и 3. дела
• Део 7.Преглед техника и мера.

Када буде финализован, овај генерички заснован међународни стандард ће представљати основну публикацију о безбедности ИЕЦ-а која покрива функционалну безбедност за електричне, електронске и програмабилне електронске сигурносне системе и имаће импликације на све ИЕЦ стандарде, покривајући све секторе примене у погледу будућег дизајна и употребе електрични/електронски/програмабилни електронски сигурносни системи. Главни циљ предложеног стандарда је да олакша развој стандарда за различите секторе (види слику 1).

Слика 1. Генерички и апликативни секторски стандарди

Предности и проблеми ПЕС-а

Усвајање ПЕС-ова у безбедносне сврхе имало је многе потенцијалне предности, али је препознато да би се оне могле постићи само ако се користе одговарајуће методологије пројектовања и процене, јер: (1) многе карактеристике ПЕС-а не омогућавају интегритет безбедности (да је, безбедносне перформансе система који извршавају тражене безбедносне функције) треба предвидети са истим степеном поверења који је традиционално био доступан за мање сложене системе засноване на хардверу („хардверски“); (2) препознато је да иако је тестирање било неопходно за сложене системе, оно није било довољно само по себи. То је значило да чак и ако је ПЕС имплементирао релативно једноставне безбедносне функције, ниво сложености програмабилне електронике био је знатно већи од нивоа сложености система ожичених каблова које су они замењивали; и (3) ово повећање сложености значило је да се методологијама пројектовања и процене мора посветити много више пажње него раније, и да је ниво личне компетенције потребан за постизање адекватних нивоа перформанси система везаних за безбедност касније био већи.

Предности рачунарских ПЕС-а укључују следеће:

• могућност обављања он-лине дијагностичких провера доказа на критичним компонентама на фреквенцији знатно већој него што би иначе био случај
• потенцијал да се обезбеде софистициране сигурносне блокаде
• могућност пружања дијагностичких функција и праћења стања који се могу користити за анализу и извештавање о перформансама постројења и машина у реалном времену
• способност поређења стварних услова постројења са „идеалним” условима модела
• потенцијал за пружање бољих информација оператерима и тиме побољшање доношења одлука које утичу на безбедност
• коришћење напредних стратегија контроле како би се омогућило људским оператерима да буду удаљени из опасних или непријатељских окружења
• могућност дијагнозе управљачког система са удаљене локације.

Употреба рачунарских система у апликацијама које се односе на безбедност ствара низ проблема које треба адекватно решити, као што су следеће:

• Режими квара су сложени и нису увек предвидљиви.
• Тестирање рачунара је неопходно, али само по себи није довољно да се утврди да ће се безбедносне функције обављати са степеном сигурности који је потребан за апликацију.
• Микропроцесори могу имати суптилне варијације између различитих серија, па стога различите серије могу показати различито понашање.
• Незаштићени компјутерски засновани системи су посебно подложни електричним сметњама (сметње зрачењем; електрични „шиљци“ у мрежном напајању, електростатичка пражњења, итд.).
• Тешко је и често немогуће квантификовати вероватноћу квара сложених система везаних за безбедност који укључују софтвер. Пошто ниједан метод квантификације није широко прихваћен, осигурање софтвера је засновано на процедурама и стандардима који описују методе које ће се користити у дизајну, имплементацији и одржавању софтвера.

Сигурносни системи у разматрању

Типови безбедносних система који се разматрају су електрични, електронски и програмабилни електронски системи (Е/Е/ПЕС). Систем укључује све елементе, посебно сигнале који се протежу од сензора или других улазних уређаја на опреми под контролом, а преносе се преко путева података или других комуникационих путева до актуатора или других излазних уређаја (видети слику 2).

Слика 2. Електрични, електронски и програмабилни електронски систем (Е/Е/ПЕС)

Термин електрични, електронски и програмабилни електронски уређај је коришћен да обухвати широк спектар уређаја и покрива следеће три главне класе:

1. електрични уређаји као што су електро-механички релеји
2. електронски уређаји као што су чврсти електронски инструменти и логички системи
3. програмабилни електронски уређаји, који укључује широк спектар рачунарских система као што су:

• микропроцесора
• микроконтролери
• програмабилни контролери (рачунари)
• интегрисана кола за специфичне апликације (АСИЦ)
• програмабилни логички контролери (ПЛЦ)
• други компјутерски засновани уређаји (нпр. „паметни” сензори, предајници и актуатори).

По дефиницији, систем везан за безбедност има две сврхе:

1. Он имплементира потребне безбедносне функције неопходне за постизање безбедног стања за опрему под контролом или одржава безбедно стање за опрему под контролом. Систем везан за безбедност мора да обавља оне безбедносне функције које су наведене у спецификацији захтева безбедносних функција за систем. На пример, спецификација захтева безбедносних функција може да каже да када температура достигне одређену вредност x, вентил y отварају се како би вода ушла у посуду.
2. Постиже, сам или са другим системима везаним за безбедност, неопходан ниво интегритета безбедности за имплементацију захтеваних безбедносних функција. Сигурносне функције морају да обављају системи који се односе на безбедност са степеном поверења који одговара примени како би се постигао захтевани ниво безбедности за опрему под контролом.

Овај концепт је илустрован на слици 3.

Слика 3. Кључне карактеристике система везаних за безбедност

Системски кварови

Да би се обезбедио безбедан рад система везаних за безбедност Е/Е/ПЕС, неопходно је препознати различите могуће узроке квара система у вези са безбедношћу и обезбедити да се предузму адекватне мере предострожности против сваког од њих. Грешке су класификоване у две категорије, као што је илустровано на слици 4.

Слика 4. Категорије кварова

1. Случајни кварови хардвера су они кварови који су резултат низа нормалних механизама деградације у хардверу. Постоји много таквих механизама који се јављају различитим брзинама у различитим компонентама, а пошто производне толеранције узрокују квар компоненти због ових механизама након различитог времена рада, кварови на укупној јединици опреме која се састоји од многих компоненти се дешавају у непредвидивим (случајним) временима. Мере поузданости система, као што је средње време између отказа (МТБФ), су драгоцене, али се обично баве само случајним кваровима хардвера и не укључују систематске кварове.
2. Систематски кварови произилазе из грешака у дизајну, конструкцији или употреби система који доводе до његовог квара под одређеном комбинацијом улаза или под неким одређеним условима околине. Ако дође до квара система када се појави одређени скуп околности, онда кад год се те околности појаве у будућности, увек ће доћи до квара система. Сваки квар система који се односи на безбедност који не произилази из случајног квара хардвера је, по дефиницији, систематски квар. Систематски кварови, у контексту Е/Е/ПЕС сигурносних система, укључују:

• систематски кварови због грешака или пропуста у спецификацији захтева безбедносних функција
• систематски кварови због грешака у пројектовању, производњи, инсталацији или раду хардвера. То би укључивало кварове који проистичу из еколошких узрока и људске грешке (нпр. оператера).
• систематски кварови због грешака у софтверу
• систематски кварови због грешака у одржавању и модификацији.

Заштита система везаних за безбедност

Термини који се користе за означавање мера предострожности које захтева систем везан за безбедност за заштиту од насумичних кварова хардвера и систематских кварова су мере интегритета безбедности хардвера систематске мере интегритета безбедности редом. Мере предострожности које систем везан за безбедност може да примени против насумичних кварова хардвера и систематских кварова називају се интегритет безбедности. Ови концепти су илустровани на слици 5.

Слика 5. Услови перформанси безбедности

У оквиру предложеног међународног стандарда ИЕЦ 1508 постоје четири нивоа интегритета безбедности, означени као нивои интегритета безбедности 1, 2, 3 и 4. Ниво интегритета безбедности 1 је најнижи ниво безбедносног интегритета, а ниво безбедности 4 је највиши. Ниво интегритета безбедности (било да је 1, 2, 3 или 4) за систем везан за безбедност зависиће од значаја улоге коју систем везан за безбедност игра у постизању захтеваног нивоа безбедности за опрему под контролом. Можда ће бити потребно неколико система везаних за безбедност—од којих неки могу бити засновани на пнеуматској или хидрауличној технологији.

Пројектовање система везаних за безбедност

Недавна анализа 34 инцидента који укључују системе управљања (ХСЕ) открила је да је 60% свих случајева квара било „уграђено“ пре него што је систем контроле везан за безбедност стављен у употребу (слика 7). Разматрање свих фаза животног циклуса безбедности је неопходно да би се произвели адекватни системи везани за безбедност.

Слика 7. Примарни узрок (по фазама) отказивања система управљања

Функционална безбедност система везаних за безбедност зависи не само од обезбеђивања да су технички захтеви правилно специфицирани, већ и од обезбеђивања да се технички захтеви ефикасно примењују и да се првобитни интегритет дизајна одржава током животног века опреме. Ово се може остварити само ако постоји ефикасан систем управљања безбедношћу и ако су људи укључени у било коју активност компетентни у погледу дужности које морају да обављају. Нарочито када се ради о сложеним системима везаним за безбедност, неопходно је да постоји адекватан систем управљања безбедношћу. Ово доводи до стратегије која обезбеђује следеће:

• Постоји ефикасан систем управљања безбедношћу.
• Технички захтеви који су специфицирани за Е/Е/ПЕС системе везане за безбедност довољни су за решавање и случајних хардверских и систематских узрока кварова.
• Компетентност укључених људи је адекватна за дужности које морају да обављају.

Како би се на систематски начин одговорили на све релевантне техничке захтеве функционалне безбедности, развијен је концепт животног циклуса безбедности. Поједностављена верзија животног циклуса безбедности у новом међународном стандарду ИЕЦ 1508 приказана је на слици 8. Кључне фазе животног циклуса безбедности су:

Слика 8. Улога животног циклуса безбедности у постизању функционалне безбедности

• спецификација
• пројектовање и имплементација
• инсталација и пуштање у рад
• рад и одржавање
• промене након пуштања у рад.

Ниво безбедности

Стратегија пројектовања за постизање адекватних нивоа безбедносног интегритета за системе везане за безбедност је илустрована на слици 9 и слици 10. Ниво безбедносног интегритета је заснован на улози коју систем у вези са безбедношћу игра у постизању укупног нивоа. сигурности опреме под контролом. Ниво безбедносног интегритета специфицира мере предострожности које треба узети у обзир у дизајну и против насумичних хардверских и систематских кварова.

Слика 9. Улога нивоа интегритета безбедности у процесу пројектовања

Слика 10. Улога животног циклуса безбедности у процесу спецификације и пројектовања

Концепт безбедности и нивоа безбедности примењује се на опрему под контролом. Концепт функционалне безбедности се примењује на системе који се односе на безбедност. Функционална безбедност за системе везане за безбедност мора да се постигне ако се жели постићи адекватан ниво безбедности за опрему која изазива опасност. Спецификовани ниво безбедности за специфичну ситуацију је кључни фактор у спецификацији захтева безбедносног интегритета за системе који се односе на безбедност.

Потребан ниво безбедности зависиће од многих фактора—на пример, тежине повреде, броја људи који су изложени опасности, учесталости којом су људи изложени опасности и трајања изложености. Важни фактори ће бити перцепција и погледи оних који су изложени опасном догађају. Да би се дошло до онога што представља одговарајући ниво безбедности за одређену примену, узимају се у обзир бројни инпути, који укључују следеће:

• правни захтеви релевантни за конкретну примену
• упутства одговарајућег регулаторног тела за безбедност
• дискусије и споразуми са различитим странама укљученим у апликацију
• индустријски стандарди
• националним и међународним стандардима
• најбољи независни индустријски, стручни и научни савети.

резиме

Приликом пројектовања и коришћења система везаних за безбедност, мора се имати на уму да је опрема под контролом та која ствара потенцијалну опасност. Системи везани за безбедност су дизајнирани да смање учесталост (или вероватноћу) опасног догађаја и/или последице опасног догађаја. Када је ниво безбедности постављен за опрему, може се одредити ниво интегритета безбедности за систем који се односи на безбедност, а ниво безбедносног интегритета је тај који омогућава дизајнеру да специфицира мере предострожности које треба да буду уграђене у пројекат да би бити распоређени против насумичних хардверских и систематских кварова.

Назад