Овај чланак разматра пројектовање и имплементацију сигурносних контролних система који се баве свим врстама електричних, електронских и програмабилно-електронских система (укључујући рачунарске системе). Укупан приступ је у складу са предложеним стандардом 1508 Међународне електротехничке комисије (ИЕЦ) (Функционална безбедност: у вези са безбедношћу 

sistemi) (ИЕЦ 1993).

позадина

Током 1980-их, системи засновани на рачунару — који се генерално називају програмабилним електронским системима (ПЕС) — су се све више користили за обављање безбедносних функција. Примарне покретачке снаге иза овог тренда биле су (1) побољшана функционалност и економске користи (посебно имајући у виду укупан животни циклус уређаја или система) и (2) посебне предности одређених дизајна, које су се могле остварити само када се користи компјутерска технологија. . Током раног увођења система заснованих на компјутерима дошло се до низа налаза:

• Увођење компјутерског управљања било је лоше осмишљено и планирано.
• Наведени су неадекватни безбедносни захтеви.
• Развијене су неадекватне процедуре у погледу валидације софтвера.
• У погледу стандарда уградње постројења обелодањени су докази лоше израде.
• Неадекватна документација је генерисана и није адекватно потврђена у односу на оно што је стварно било у постројењу (за разлику од онога што се сматрало да је у постројењу).
• Успостављене су мање него потпуно ефикасне процедуре рада и одржавања.
• Очигледно је постојала оправдана забринутост око способности лица да обављају дужности које се од њих траже.

Да би решили ове проблеме, неколико тела је објавило или почело да развија смернице које ће омогућити безбедну експлоатацију ПЕС технологије. У Уједињеном Краљевству, Хеалтх анд Сафети Екецутиве (ХСЕ) је развио смернице за програмабилне електронске системе који се користе за апликације везане за безбедност, ау Немачкој је објављен нацрт стандарда (ДИН 1990). Унутар Европске заједнице започет је важан елемент у раду на хармонизованим европским стандардима који се односе на системе контроле безбедности (укључујући и оне који користе ПЕС) у вези са захтевима Директиве о машинама. У Сједињеним Државама, Америчко друштво за инструменте (ИСА) је произвело стандард о ПЕС за употребу у процесној индустрији, а Центар за безбедност хемијских процеса (ЦЦПС), дирекција Америчког института хемијских инжењера, израдио је смернице за сектор хемијских процеса.

У оквиру ИЕЦ-а се тренутно одвија велика иницијатива за стандарде за развој генерички заснованог међународног стандарда за електричне, електронске и програмабилне електронске (Е/Е/ПЕС) сигурносне системе који би могли да користе многи сектори апликација, укључујући процес, медицински, транспортни и машински сектори. Предложени међународни стандард ИЕЦ састоји се од седам делова под општим насловом ИЕЦ 1508. Функционална сигурност електричних/електронских/програмабилних електронских сигурносних система. Различити делови су следећи:

• Део 1.Општи захтеви
• Део 2. Захтеви за електричне, електронске и програмабилне електронске системе
• Део 3.Софтверски захтеви
• Део 4.Дефиниције
• Део 5.Примери метода за одређивање нивоа интегритета безбедности
• Део 6.Смернице за примену 2. и 3. дела
• Део 7.Преглед техника и мера.

Када буде финализован, овај генерички заснован међународни стандард ће представљати основну публикацију о безбедности ИЕЦ-а која покрива функционалну безбедност за електричне, електронске и програмабилне електронске сигурносне системе и имаће импликације на све ИЕЦ стандарде, покривајући све секторе примене у погледу будућег дизајна и употребе електрични/електронски/програмабилни електронски сигурносни системи. Главни циљ предложеног стандарда је да олакша развој стандарда за различите секторе (види слику 1).

Слика 1. Генерички и апликативни секторски стандарди

Предности и проблеми ПЕС-а

Усвајање ПЕС-ова у безбедносне сврхе имало је многе потенцијалне предности, али је препознато да би се оне могле постићи само ако се користе одговарајуће методологије пројектовања и процене, јер: (1) многе карактеристике ПЕС-а не омогућавају интегритет безбедности (да је, безбедносне перформансе система који извршавају тражене безбедносне функције) треба предвидети са истим степеном поверења који је традиционално био доступан за мање сложене системе засноване на хардверу („хардверски“); (2) препознато је да иако је тестирање било неопходно за сложене системе, оно није било довољно само по себи. То је значило да чак и ако је ПЕС имплементирао релативно једноставне безбедносне функције, ниво сложености програмабилне електронике био је знатно већи од нивоа сложености система ожичених каблова које су они замењивали; и (3) ово повећање сложености значило је да се методологијама пројектовања и процене мора посветити много више пажње него раније, и да је ниво личне компетенције потребан за постизање адекватних нивоа перформанси система везаних за безбедност касније био већи.

Предности рачунарских ПЕС-а укључују следеће:

• могућност обављања он-лине дијагностичких провера доказа на критичним компонентама на фреквенцији знатно већој него што би иначе био случај
• потенцијал да се обезбеде софистициране сигурносне блокаде
• могућност пружања дијагностичких функција и праћења стања који се могу користити за анализу и извештавање о перформансама постројења и машина у реалном времену
• способност поређења стварних услова постројења са „идеалним” условима модела
• потенцијал за пружање бољих информација оператерима и тиме побољшање доношења одлука које утичу на безбедност
• коришћење напредних стратегија контроле како би се омогућило људским оператерима да буду удаљени из опасних или непријатељских окружења
• могућност дијагнозе управљачког система са удаљене локације.

Употреба рачунарских система у апликацијама које се односе на безбедност ствара низ проблема које треба адекватно решити, као што су следеће:

• Режими квара су сложени и нису увек предвидљиви.
• Тестирање рачунара је неопходно, али само по себи није довољно да се утврди да ће се безбедносне функције обављати са степеном сигурности који је потребан за апликацију.
• Микропроцесори могу имати суптилне варијације између различитих серија, па стога различите серије могу показати различито понашање.
• Незаштићени компјутерски засновани системи су посебно подложни електричним сметњама (сметње зрачењем; електрични „шиљци“ у мрежном напајању, електростатичка пражњења, итд.).
• Тешко је и често немогуће квантификовати вероватноћу квара сложених система везаних за безбедност који укључују софтвер. Пошто ниједан метод квантификације није широко прихваћен, осигурање софтвера је засновано на процедурама и стандардима који описују методе које ће се користити у дизајну, имплементацији и одржавању софтвера.

Сигурносни системи у разматрању

Типови безбедносних система који се разматрају су електрични, електронски и програмабилни електронски системи (Е/Е/ПЕС). Систем укључује све елементе, посебно сигнале који се протежу од сензора или других улазних уређаја на опреми под контролом, а преносе се преко путева података или других комуникационих путева до актуатора или других излазних уређаја (видети слику 2).

Слика 2. Електрични, електронски и програмабилни електронски систем (Е/Е/ПЕС)

Термин електрични, електронски и програмабилни електронски уређај је коришћен да обухвати широк спектар уређаја и покрива следеће три главне класе:

1. електрични уређаји као што су електро-механички релеји
2. електронски уређаји као што су чврсти електронски инструменти и логички системи
3. програмабилни електронски уређаји, који укључује широк спектар рачунарских система као што су:

• микропроцесора
• микроконтролери
• програмабилни контролери (рачунари)
• интегрисана кола за специфичне апликације (АСИЦ)
• програмабилни логички контролери (ПЛЦ)
• други компјутерски засновани уређаји (нпр. „паметни” сензори, предајници и актуатори).

По дефиницији, систем везан за безбедност има две сврхе:

1. Он имплементира потребне безбедносне функције неопходне за постизање безбедног стања за опрему под контролом или одржава безбедно стање за опрему под контролом. Систем везан за безбедност мора да обавља оне безбедносне функције које су наведене у спецификацији захтева безбедносних функција за систем. На пример, спецификација захтева безбедносних функција може да каже да када температура достигне одређену вредност x, вентил y отварају се како би вода ушла у посуду.
2. Постиже, сам или са другим системима везаним за безбедност, неопходан ниво интегритета безбедности за имплементацију захтеваних безбедносних функција. Сигурносне функције морају да обављају системи који се односе на безбедност са степеном поверења који одговара примени како би се постигао захтевани ниво безбедности за опрему под контролом.

Овај концепт је илустрован на слици 3.

Слика 3. Кључне карактеристике система везаних за безбедност

Системски кварови

Да би се обезбедио безбедан рад система везаних за безбедност Е/Е/ПЕС, неопходно је препознати различите могуће узроке квара система у вези са безбедношћу и обезбедити да се предузму адекватне мере предострожности против сваког од њих. Грешке су класификоване у две категорије, као што је илустровано на слици 4.

Слика 4. Категорије кварова

1. Случајни кварови хардвера су они кварови који су резултат низа нормалних механизама деградације у хардверу. Постоји много таквих механизама који се јављају различитим брзинама у различитим компонентама, а пошто производне толеранције узрокују квар компоненти због ових механизама након различитог времена рада, кварови на укупној јединици опреме која се састоји од многих компоненти се дешавају у непредвидивим (случајним) временима. Мере поузданости система, као што је средње време између отказа (МТБФ), су драгоцене, али се обично баве само случајним кваровима хардвера и не укључују систематске кварове.
2. Систематски кварови произилазе из грешака у дизајну, конструкцији или употреби система који доводе до његовог квара под одређеном комбинацијом улаза или под неким одређеним условима околине. Ако дође до квара система када се појави одређени скуп околности, онда кад год се те околности појаве у будућности, увек ће доћи до квара система. Сваки квар система који се односи на безбедност који не произилази из случајног квара хардвера је, по дефиницији, систематски квар. Систематски кварови, у контексту Е/Е/ПЕС сигурносних система, укључују:

• систематски кварови због грешака или пропуста у спецификацији захтева безбедносних функција
• систематски кварови због грешака у пројектовању, производњи, инсталацији или раду хардвера. То би укључивало кварове који проистичу из еколошких узрока и људске грешке (нпр. оператера).
• систематски кварови због грешака у софтверу
• систематски кварови због грешака у одржавању и модификацији.

Заштита система везаних за безбедност

Термини који се користе за означавање мера предострожности које захтева систем везан за безбедност за заштиту од насумичних кварова хардвера и систематских кварова су мере интегритета безбедности хардвера систематске мере интегритета безбедности редом. Мере предострожности које систем везан за безбедност може да примени против насумичних кварова хардвера и систематских кварова називају се интегритет безбедности. Ови концепти су илустровани на слици 5.

Слика 5. Услови перформанси безбедности

У оквиру предложеног међународног стандарда ИЕЦ 1508 постоје четири нивоа интегритета безбедности, означени као нивои интегритета безбедности 1, 2, 3 и 4. Ниво интегритета безбедности 1 је најнижи ниво безбедносног интегритета, а ниво безбедности 4 је највиши. Ниво интегритета безбедности (било да је 1, 2, 3 или 4) за систем везан за безбедност зависиће од значаја улоге коју систем везан за безбедност игра у постизању захтеваног нивоа безбедности за опрему под контролом. Можда ће бити потребно неколико система везаних за безбедност—од којих неки могу бити засновани на пнеуматској или хидрауличној технологији.

Пројектовање система везаних за безбедност

Недавна анализа 34 инцидента који укључују системе управљања (ХСЕ) открила је да је 60% свих случајева квара било „уграђено“ пре него што је систем контроле везан за безбедност стављен у употребу (слика 7). Разматрање свих фаза животног циклуса безбедности је неопходно да би се произвели адекватни системи везани за безбедност.

Слика 7. Примарни узрок (по фазама) отказивања система управљања

Функционална безбедност система везаних за безбедност зависи не само од обезбеђивања да су технички захтеви правилно специфицирани, већ и од обезбеђивања да се технички захтеви ефикасно примењују и да се првобитни интегритет дизајна одржава током животног века опреме. Ово се може остварити само ако постоји ефикасан систем управљања безбедношћу и ако су људи укључени у било коју активност компетентни у погледу дужности које морају да обављају. Нарочито када се ради о сложеним системима везаним за безбедност, неопходно је да постоји адекватан систем управљања безбедношћу. Ово доводи до стратегије која обезбеђује следеће:

• Постоји ефикасан систем управљања безбедношћу.
• Технички захтеви који су специфицирани за Е/Е/ПЕС системе везане за безбедност довољни су за решавање и случајних хардверских и систематских узрока кварова.
• Компетентност укључених људи је адекватна за дужности које морају да обављају.

Како би се на систематски начин одговорили на све релевантне техничке захтеве функционалне безбедности, развијен је концепт животног циклуса безбедности. Поједностављена верзија животног циклуса безбедности у новом међународном стандарду ИЕЦ 1508 приказана је на слици 8. Кључне фазе животног циклуса безбедности су:

Слика 8. Улога животног циклуса безбедности у постизању функционалне безбедности

• спецификација
• пројектовање и имплементација
• инсталација и пуштање у рад
• рад и одржавање
• промене након пуштања у рад.

Ниво безбедности

Стратегија пројектовања за постизање адекватних нивоа безбедносног интегритета за системе везане за безбедност је илустрована на слици 9 и слици 10. Ниво безбедносног интегритета је заснован на улози коју систем у вези са безбедношћу игра у постизању укупног нивоа. сигурности опреме под контролом. Ниво безбедносног интегритета специфицира мере предострожности које треба узети у обзир у дизајну и против насумичних хардверских и систематских кварова.

Слика 9. Улога нивоа интегритета безбедности у процесу пројектовања

Слика 10. Улога животног циклуса безбедности у процесу спецификације и пројектовања

Концепт безбедности и нивоа безбедности примењује се на опрему под контролом. Концепт функционалне безбедности се примењује на системе који се односе на безбедност. Функционална безбедност за системе везане за безбедност мора да се постигне ако се жели постићи адекватан ниво безбедности за опрему која изазива опасност. Спецификовани ниво безбедности за специфичну ситуацију је кључни фактор у спецификацији захтева безбедносног интегритета за системе који се односе на безбедност.

Потребан ниво безбедности зависиће од многих фактора—на пример, тежине повреде, броја људи који су изложени опасности, учесталости којом су људи изложени опасности и трајања изложености. Важни фактори ће бити перцепција и погледи оних који су изложени опасном догађају. Да би се дошло до онога што представља одговарајући ниво безбедности за одређену примену, узимају се у обзир бројни инпути, који укључују следеће:

• правни захтеви релевантни за конкретну примену
• упутства одговарајућег регулаторног тела за безбедност
• дискусије и споразуми са различитим странама укљученим у апликацију
• индустријски стандарди
• националним и међународним стандардима
• најбољи независни индустријски, стручни и научни савети.

резиме

Приликом пројектовања и коришћења система везаних за безбедност, мора се имати на уму да је опрема под контролом та која ствара потенцијалну опасност. Системи везани за безбедност су дизајнирани да смање учесталост (или вероватноћу) опасног догађаја и/или последице опасног догађаја. Када је ниво безбедности постављен за опрему, може се одредити ниво интегритета безбедности за систем који се односи на безбедност, а ниво безбедносног интегритета је тај који омогућава дизајнеру да специфицира мере предострожности које треба да буду уграђене у пројекат да би бити распоређени против насумичних хардверских и систематских кварова.

Назад