Машине, процесна постројења и друга опрема могу, ако не функционишу, представљати ризик од опасних догађаја као што су пожари, експлозије, предозирање радијацијом и покретни делови. Један од начина на који таква постројења, опрема и машине могу да кваре је квар електромеханичких, електронских и програмабилних електронских (Е/Е/ПЕ) уређаја који се користе у дизајну њихових контролних или сигурносних система. Ови кварови могу настати или због физичких грешака на уређају (нпр. од хабања које се дешава насумично у времену (насумични кварови хардвера)); или од систематских грешака (нпр. грешке направљене у спецификацији и дизајну система које узрокују његов отказ због (1) неке посебне комбинације улаза, (2) неког услова околине (3) нетачних или непотпуних уноса од сензора, ( 4) непотпун или погрешан унос података од стране оператера и (5) потенцијалне систематске грешке услед лошег дизајна интерфејса).
Системски кварови везани за безбедност
Овај чланак покрива функционалну безбедност контролних система везаних за безбедност и разматра хардверске и софтверске техничке захтеве неопходне за постизање захтеваног интегритета безбедности. Општи приступ је у складу са предложеним стандардом Међународне електротехничке комисије ИЕЦ 1508, делови 2 и 3 (ИЕЦ 1993). Општи циљ нацрта међународног стандарда ИЕЦ 1508, Функционална безбедност: системи повезани са безбедношћу, је да се осигура да постројења и опрема могу бити сигурносно аутоматизовани. Кључни циљ у развоју предложеног међународног стандарда је спречавање или минимизирање учесталости:
- кварови контролних система који изазивају друге догађаје који заузврат могу довести до опасности (нпр., контролни систем откаже, контрола је изгубљена, процес измиче контроли што доводи до пожара, ослобађања токсичних материјала, итд.)
- кварови у алармним и надзорним системима тако да се оператерима не дају информације у облику који се може брзо идентификовати и разумети како би спровели неопходне хитне акције
- неоткривени кварови у заштитним системима, чинећи их недоступним када је то потребно за безбедносну акцију (нпр. неисправна улазна картица у систему за хитно искључење).
Чланак „Електрични, електронски и програмабилни електронски безбедносни системи“ поставља општи приступ управљања безбедношћу садржан у Делу 1 ИЕЦ 1508 за обезбеђивање безбедности контролних и заштитних система који су важни за безбедност. Овај чланак описује свеукупни концептуални инжењерски пројекат који је потребан да би се ризик од несреће смањио на прихватљив ниво, укључујући улогу било ког система контроле или заштите заснованог на Е/Е/ПЕ технологији.
На слици 1, ризик од опреме, процесног постројења или машине (уопштено познат као опрема под контролом (ЕУЦ) без заштитних уређаја) је означен на једном крају ЕУЦ скале ризика, а циљни ниво ризика који је потребан да би се испунио захтевани ниво безбедности је на другом крају. Између је приказана комбинација система везаних за безбедност и екстерних средстава за смањење ризика потребних да се постигне потребно смањење ризика. Они могу бити различитих типова—механички (нпр. вентили за смањење притиска), хидраулични, пнеуматски, физички, као и Е/Е/ПЕ системи. Слика 2 наглашава улогу сваког безбедносног слоја у заштити ЕУЦ-а како несрећа напредује.
Слика 1. Смањење ризика: Општи концепти
Слика 2. Укупан модел: Заштитни слојеви
Под условом да је извршена анализа опасности и ризика на ЕУЦ-у као што се захтева у Делу 1 ИЕЦ 1508, утврђен је целокупни концептуални дизајн за безбедност и према томе потребне функције и циљни ниво безбедносног интегритета (СИЛ) за било који Е/Е/ Дефинисан је систем управљања или заштите ПЕ. Циљни ниво безбедносног интегритета је дефинисан у односу на меру неуспеха циља (видети табелу 1).
Табела 1. Нивои интегритета безбедности за системе заштите: Мере квара циља
Ниво интегритета безбедности Режим рада по захтеву (Вероватноћа неуспеха да изврши своју пројектну функцију на захтев)
4 10-5 ≤ × 10-4
3 10-4 ≤ × 10-3
2 10-3 ≤ × 10-2
1 10-2 ≤ × 10-1
Системи заштите
У овом раду су наведени технички захтеви које би дизајнер система везаног за безбедност Е/Е/ПЕ требало да узме у обзир да би задовољио захтевани циљни ниво интегритета безбедности. Фокус је на типичном систему заштите који користи програмабилну електронику како би се омогућила детаљнија дискусија о кључним питањима са малим губитком уопште. Типичан систем заштите је приказан на слици 3, која приказује једноканални сигурносни систем са секундарним искључивањем активираним преко дијагностичког уређаја. У нормалном раду, несигурно стање ЕУЦ-а (нпр. превелика брзина у машини, висока температура у хемијском постројењу) детектује сензор и преноси на програмабилну електронику, која ће командовати актуаторима (преко излазних релеја) да укључе систем у безбедно стање (нпр. уклањање напајања електричном мотору машине, отварање вентила за смањење притиска).
Слика 3. Типичан систем заштите
Али шта ако постоје кварови у компонентама система заштите? Ово је функција секундарног искључивања, која се активира помоћу дијагностичке (самопровере) функције овог дизајна. Међутим, систем није потпуно безбедан, пошто дизајн има само одређену вероватноћу да буде доступан када се од њега затражи да изврши своју безбедносну функцију (има извесну вероватноћу отказа на захтев или одређени ниво безбедносног интегритета). На пример, горњи дизајн би могао да открије и толерише одређене врсте отказа излазне картице, али не би могао да издржи квар улазне картице. Због тога ће њен безбедносни интегритет бити много нижи него код дизајна са улазном картицом веће поузданости, или побољшаном дијагностиком, или неком комбинацијом овога.
Постоје и други могући узроци кварова картице, укључујући „традиционалне“ физичке грешке у хардверу, систематске грешке укључујући грешке у спецификацији захтева, грешке у имплементацији у софтверу и неадекватну заштиту од услова околине (нпр. влажност). Дијагностика у овом једноканалном дизајну можда неће покрити све ове врсте грешака, и стога ће ово ограничити ниво интегритета безбедности постигнут у пракси. (Покривеност је мера процента грешака које дизајн може да открије и безбедно обради.)
Технички захтеви
Делови 2 и 3 нацрта ИЕЦ 1508 обезбеђују оквир за идентификацију различитих потенцијалних узрока кварова у хардверу и софтверу и за избор карактеристика дизајна које превазилазе те потенцијалне узроке отказа који одговарају захтеваном Нивоу интегритета безбедности система који се односи на безбедност. На пример, свеукупни технички приступ за систем заштите на слици 3 је приказан на слици 4. Слика показује две основне стратегије за превазилажење кварова и кварова: (1) избегавање грешке, где се води рачуна о спречавању стварања кварова; и (2) толеранција грешке, где је дизајн креиран посебно да толерише одређене грешке. Горе поменути једноканални систем је пример (ограниченог) дизајна отпорног на грешке где се дијагностика користи за откривање одређених кварова и довођење система у безбедно стање пре него што може доћи до опасног квара.
Слика 4. Спецификација дизајна: Пројектно решење
Избегавање грешке
Избегавање грешака покушава да спречи уношење грешака у систем. Главни приступ је коришћење систематског метода управљања пројектом тако да се безбедност третира као квалитет система који се може дефинисати и којим се може управљати, током пројектовања, а затим и током рада и одржавања. Приступ, који је сличан осигурању квалитета, заснива се на концепту повратних информација и укључује: (1) планирање (дефинисање безбедносних циљева, утврђивање начина и средстава за постизање циљева); (2) мерење остварење у односу на план током имплементације и (3) примена povratne информације да исправи евентуална одступања. Рецензије дизајна су добар пример технике избегавања грешака. У ИЕЦ 1508 овај „квалитетни“ приступ избегавању грешака је олакшан захтевима да се користи животни циклус безбедности и користе процедуре управљања безбедношћу и за хардвер и за софтвер. За последње, ови се често манифестују као процедуре обезбеђења квалитета софтвера попут оних описаних у ИСО 9000-3 (1990).
Поред тога, делови 2 и 3 ИЕЦ 1508 (који се тичу хардвера и софтвера, респективно) оцењују одређене технике или мере које се сматрају корисним за избегавање грешака током различитих фаза животног циклуса безбедности. Табела 2 даје пример из Дела 3 за фазу пројектовања и развоја софтвера. Дизајнер би користио табелу да помогне у одабиру техника за избегавање грешака, у зависности од захтеваног нивоа интегритета безбедности. Уз сваку технику или меру у табелама постоји препорука за сваки ниво безбедносног интегритета, од 1 до 4. Опсег препорука обухвата високо препоручено (ХР), препоручено (Р), неутрално—ни за или против (—) и не препоручује се (НР).
Табела 2. Дизајн и развој софтвера
|
Техника/мера |
СИЛ 1 |
СИЛ 2 |
СИЛ 3 |
СИЛ 4 |
|
1. Формалне методе укључујући, на пример, ЦЦС, ЦСП, ХОЛ, ЛОТОС |
- |
R |
R |
HR |
|
2. Полуформалне методе |
HR |
HR |
HR |
HR |
|
3. Структурисано. Методологија која укључује, на пример, ЈСД, МАСЦОТ, САДТ, ССАДМ и ИОУРДОН |
HR |
HR |
HR |
HR |
|
4. Модуларни приступ |
HR |
HR |
HR |
HR |
|
5. Стандарди дизајна и кодирања |
R |
HR |
HR |
HR |
ХР = високо препоручено; Р = препоручено; НР = не препоручује се;— = неутрално: техника/мера није ни за ни против СИЛ.
Напомена: нумерисана техника/мера се бира у складу са нивоом интегритета безбедности.
Толеранција грешака
ИЕЦ 1508 захтева повећање нивоа толеранције грешке како се повећава циљ безбедносног интегритета. Стандард признаје, међутим, да је толеранција грешака важнија када су системи (и компоненте које чине те системе) сложене (означене као Тип Б у ИЕЦ 1508). За мање сложене, „добро доказане“ системе, степен толеранције грешака се може смањити.
Толеранција на случајне хардверске грешке
Табела 3 показује захтеве за толеранцију грешака на случајне хардверске кварове у сложеним хардверским компонентама (нпр. микропроцесори) када се користе у систему заштите као што је приказано на слици 3. Дизајнер ће можда морати да размотри одговарајућу комбинацију дијагностике, толеранције грешака и ручне провере доказа за превазилажење ове класе грешке, у зависности од захтеваног нивоа безбедносног интегритета.
Табела 3. Ниво интегритета безбедности – Захтеви за грешке за компоненте типа Б1
1 Неоткривене грешке у вези са безбедношћу ће се открити провером доказа.
2 За компоненте без он-лине медијске дијагностичке покривености, систем мора бити у стању да изврши безбедносну функцију у присуству једне грешке. Неоткривене грешке у вези са безбедношћу ће се открити провером доказа.
3 За компоненте са он-лине високом дијагностичком покривеношћу, систем ће бити у стању да изврши безбедносну функцију у присуству једне грешке. За компоненте без он-лине високе дијагностичке покривености, систем ће бити у стању да изврши безбедносну функцију у присуству две грешке. Неоткривене грешке у вези са безбедношћу ће се открити провером доказа.
4 Компоненте морају бити у стању да обављају безбедносну функцију у присуству две грешке. Грешке ће бити откривене уз помоћ он-лине високе дијагностичке покривености. Неоткривене грешке у вези са безбедношћу ће се открити провером доказа. Квантитативна анализа хардвера ће се заснивати на претпоставкама најгорег случаја.
1Компоненте чији начини квара нису добро дефинисани или тестирани, или за које постоје лоши подаци о кваровима из искуства на терену (нпр. програмабилне електронске компоненте).
ИЕЦ 1508 помаже дизајнеру обезбеђујући табеле спецификација дизајна (погледајте табелу 4) са пројектним параметрима индексираним у односу на ниво безбедносног интегритета за бројне најчешће коришћене архитектуре система заштите.
Табела 4. Захтеви за ниво интегритета безбедности 2 – Програмабилне архитектуре електронских система за системе заштите
|
конфигурација ПЕ система |
Дијагностичка покривеност по каналу |
Интервал тестирања ван мреже (ТИ) |
Средње време до лажног путовања |
|
Сингле ПЕ, Сингле И/О, Ект. ВД |
висок |
6 месеци |
КСНУМКС година |
|
Дуал ПЕ, Сингле И/О |
висок |
6 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 2оо2 |
висок |
3 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2 |
ниједан |
2 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2 |
низак |
5 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2 |
Средњи |
18 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2 |
висок |
36 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2Д |
ниједан |
2 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2Д |
низак |
4 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2Д |
Средњи |
18 месеци |
КСНУМКС година |
|
Дуал ПЕ, Дуал И/О, 1оо2Д |
висок |
КСНУМКС + месеци |
КСНУМКС година |
|
Трипле ПЕ, Трипле И/О, ИПЦ, 2оо3 |
ниједан |
КСНУМКС месец |
КСНУМКС година |
|
Трипле ПЕ, Трипле И/О, ИПЦ, 2оо3 |
низак |
3 месеци |
КСНУМКС година |
|
Трипле ПЕ, Трипле И/О, ИПЦ, 2оо3 |
Средњи |
12 месеци |
КСНУМКС година |
|
Трипле ПЕ, Трипле И/О, ИПЦ, 2оо3 |
висок |
КСНУМКС + месеци |
КСНУМКС година |
Прва колона табеле представља архитектуре са различитим степеном толеранције грешака. Генерално, архитектуре постављене при дну табеле имају већи степен толеранције грешака од оних при врху. Систем 1оо2 (један од два) је у стању да издржи било коју грешку, као и 2оо3.
Друга колона описује проценат покривености било које интерне дијагностике. Што је виши ниво дијагностике, више грешака ће бити заробљено. У систему заштите ово је важно јер, под условом да се неисправна компонента (нпр. улазна картица) поправи у разумном времену (често 8 сати), постоји мали губитак функционалне сигурности. (Напомена: ово не би био случај за систем континуиране контроле, јер свака грешка може изазвати тренутну несигурност и потенцијал за инцидент.)
Трећа колона приказује интервал између тестова доказа. Ово су посебни тестови који се морају спровести да би се темељно проверавао систем заштите како би се осигурало да нема скривених грешака. Обично их спроводи продавац опреме током периода гашења постројења.
Четврта колона приказује стопу лажног путовања. Лажни прекид је онај који узрокује да се постројење или опрема искључи када нема одступања процеса. Цена за безбедност је често већа стопа лажног путовања. Једноставан редундантни заштитни систем—1оо2—има, са свим осталим факторима дизајна непромењеним, виши ниво интегритета безбедности, али и већу стопу лажног окидања него једноканални (1оо1) систем.
Ако се једна од архитектура у табели не користи или ако дизајнер жели да изврши фундаменталнију анализу, онда ИЕЦ 1508 дозвољава ову алтернативу. Технике инжењеринга поузданости, као што је Марковљево моделирање, тада се могу користити за израчунавање хардверског елемента нивоа безбедносног интегритета (Јохнсон 1989; Гобле 1992).
Толеранција према систематским и уобичајеним кваровима
Ова класа отказа је веома важна у сигурносним системима и ограничавајући је фактор за постизање интегритета безбедности. У редундантном систему, компонента или подсистем, или чак цео систем, се дуплирају да би се постигла висока поузданост од делова мање поузданости. До побољшања поузданости долази зато што ће, статистички, вероватноћа да два система истовремено отпадну због случајних кварова биће производ поузданости појединачних система, а самим тим и много нижа. С друге стране, грешке систематског и уобичајеног узрока доводе до квара редундантних система случајно када, на пример, грешка у спецификацији у софтверу доведе до квара дуплираних делова у исто време. Други пример би био квар заједничког напајања редундантног система.
ИЕЦ 1508 пружа табеле инжењерских техника рангираних према нивоу интегритета безбедности који се сматра ефикасним у обезбеђивању заштите од систематских и уобичајених грешака.
Примери техника које обезбеђују одбрану од систематских кварова су разноврсност и аналитичка редундантност. Основа различитости је да ако дизајнер имплементира други канал у редундантном систему користећи другу технологију или софтверски језик, онда се грешке у редундантним каналима могу сматрати независним (тј. мала вероватноћа случајног квара). Међутим, посебно у области система заснованих на софтверу, постоје сугестије да ова техника можда неће бити ефикасна, јер је већина грешака у спецификацији. Аналитичка редундантност покушава да искористи сувишне информације у постројењу или машини за идентификацију грешака. За друге узроке систематског квара — на пример, спољна напрезања — стандард пружа табеле које дају савете о добрим инжењерским праксама (нпр. раздвајање сигналних и енергетских каблова) индексиране у односу на ниво интегритета безбедности.
Закључци
Компјутерски засновани системи нуде многе предности — не само економске, већ и потенцијал за побољшање безбедности. Међутим, пажња посвећена детаљима потребна за реализацију овог потенцијала је знатно већа него што је то случај са конвенционалним компонентама система. Овај чланак је изложио главне техничке захтеве које дизајнер треба да узме у обзир да би успешно искористио ову технологију.