dnes je 6.7.2022

Input:

Funkční bezpečnost

11.1.2012, , Zdroj: Verlag Dashöfer

4.5
Funkční bezpečnost

Ing. Roman Prášek, Ph.D

Bezpečnostní funkce, které mají zajistit nezměněné chování řízeného systému, jsou stále častěji prováděny v řídicím systému elektrickými, elektronickými nebo programovatelnými elektronickými systémy (dále E/E/PE systémy). Tyto systémy jsou obvykle složité, takže je prakticky nemožné, aby bylo plně určeno každé selhání režimu nebo se vyzkoušely všechny možné chování. Je obtížné předpovědět bezpečnost, i když testování je stále zásadní.

Nebezpečné chyby

Úkolem je navrhnout systém, aby se zabránilo nebezpečným chybám nebo kontrolovat jejich výskyt. Nebezpečné chyby mohou vzniknout například nesprávnou specifikací systému, hardware či software, opomenutím ve specifikaci požadavků na bezpečnost, náhodnými nebo systematickými mechanismy selhání hardware, chybami software, chybou lidského faktoru, vlivy prostředí (např. elektromagnetické pole, teplota, mechanické jevy) nebo poruchami systému napájení.

Analýzy rizik

Hlavním cílem správné aplikace funkční bezpečnosti je snížení rizika možnosti zranění lidí, materiální ztrát nebo poškození životního prostředí. Zásadní obrat v přístupu ke koncepčnímu řešení bezpečnosti procesů byla koncepce normy DIN V 19250 zaměřené na analýzu rizik ve vlastním procesu ve vazbě na řídicí proces. Tato koncepce byla osvojena v normách IEC 61508 včetně požadavku zabývat se bezpečností procesu od analýzy rizik již při návrhu bezpečného systému, péčí o systém v jeho celém životním cyklu až po ukončení jeho provozu a demontáži. Tyto normy se sice omezují na bezpečnostní prvky závislé na hardware a software E/E/PE systémů, její zásady jsou obecné a tvoří základ bezpečnosti i jiných systémů.

Je nutné na počátku zmínit, že funkční bezpečnost se týká širokého spektra zařízení, které slouží k vytvoření bezpečnostních systémů. Tyto bezpečnostní systémy mají za cíl vytvoření bezpečnostních funkcí, které po hodnocení rizik a vyčíslení rizik vede k funkčním požadavkům pro bezpečnost a stanovení úrovně integrity bezpečnosti.

V současné době je možné prezentovat skupinu norem (obr. 1), která by měla vycházet nebo by neměla být v rozporu s požadavky normy řady IEC 61508. Tato skupina norem tvoří výchozí prvek pro přístup k funkční bezpečnosti, a to nejen při specifikaci bezpečnostních funkcí, stanovení integrity bezpečnosti, ale zavedení zásad při životním cyklu bezpečnosti.

Obr. 1 Normy obsahující požadavky na funkční bezpečnost

Harmonizace norem pro funkční bezpečnosti

V současných postupech posuzování shody jsou k jednotlivým směrnicím Rady Evropy stanoveny harmonizované normy, které musejí být využity. Pouze pro Směrnici pro strojní zařízení je harmonizována norma EN 62061 Bezpečnost strojních zařízení – Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností. U dalších směrnic nebo lépe aplikací požadavek funkční bezpečnosti je stanoven především ze strany zákazníka, úřadu povolující provozování (např. v oblasti drážních aplikací) nebo především zájmu výrobce minimalizovat rizika při uvádění svých výrobků na trh.

Normalizace v České republice

V České republice vedle norem ČSN EN řady 61508 vydaných do roku 2002, které jsou identické s normami IEC řady 61508 vydané do roku 2000, jsou odvozeny další oborové normy.

Jako často prezentované lze zmínit:

  • ČSN EN 62061 – Bezpečnost strojních zařízení – Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností

  • ČSN EN 61511 (díly 1–3) – Funkční bezpečnost – Bezpečnostní přístrojové systémy pro sektor průmyslových procesů

  • ČSN EN 61513 – Jaderné elektrárny – Systémy kontroly a řízení důležité pro bezpečnost – Všeobecné požadavky na systémy

  • ČSN EN 50126-1 – Drážní zařízení – Stanovení a prokázání bezporuchovosti, pohotovosti, udržovatelnosti a bezpečnosti (RAMS)

  • ČSN EN 50128 – Drážní zařízení – Sdělovací a zabezpečovací systémy a systémy zpracování dat – Software pro drážní řídicí a ochranné systémy

  • ČSN EN 50129 – Drážní zařízení – Sdělovací a zabezpečovací systémy a systémy zpracování dat – Elektronické zabezpečovací systémy

  • ČSN EN 50156-1 – Elektrická zařízení pro kotle a pomocná zařízení.

    Oblast pro silniční vozidla je podpořena normami, které ještě nebyly vydány v České republice, a to pro silniční vozidla řada norem ISO DIS 26262. Tato řada norem bude po oficiálním vydání standardem pro softwarové aplikace používané v systémech silničních vozidel nebo motocyklů.

Struktura norem IEC 61508

Norma IEC 61508 (identická s EN 61508) na asi 400 stranách v 7 dílech je tzv. kmenovou normou, která poskytuje komplexní obraz o tom, jaké zásady musejí být dodrženy při návrhu a jaké jsou úlohy a odpovědnosti managementu bezpečnosti. Norma má sloužit nejen výrobcům, ale i uživatelům. Obsahuje informace, které vedou tvůrce systémů při vytváření architektury systému. Norma uvádí, že bezpečnostní systém není jen pouze funkční logika, ale i snímače, akční členy a příslušná rozhraní. Právě rozdělení chyb, které se podílejí na haváriích systémů, je v neprospěch snímačů (35%), akční členy (50%). Toto potvrzuje skutečnost, že v automatizační technice se vždy hovoří o kompletních systémech, které je nutné řešit v kontextu bezpečného systému.

Norma uvádí 4 třídy bezpečnostních systémů ve vazbě na úroveň integrity bezpečnosti (SIL). Tyto úrovně vyjadřují pravděpodobnost výskytu chyby navrženého systému, přičemž SIL 1 reprezentuje nejnižší požadavky, SIL 4 nejvyšší.

Struktura normy IEC 61508 je tvořena 7 díly, první 3 díly jsou základními částmi, díly 4 až 7 jsou podpůrné pro první 3 díly.

Díl 1 „Všeobecné požadavky“ obsahuje základní management funkční bezpečnosti specifikující činnosti, postupy a dovednosti potřebné pro provedení hodnocení rizik a návrh úrovní integrity; životní cyklus bezpečnosti s požadavky v jednotlivých fázích; stanovení úrovní integrity bezpečnosti SIL a potřeby analýzy nebezpečí; požadavky na kompetence pracovníků; úrovně nezávislostí subjektů pro provádění posuzování funkční bezpečnosti; požadavky na dokumentaci.

Díl 2 „Požadavky pro E/E/PE systémy související s bezpečnosti“ obsahuje činnosti životního cyklu spojené s návrhem a realizací zařízení včetně definování požadavků na bezpečnost, plánování návrhu, validace, ověřování, sledování omezení, tolerance chyb, zkoušení a navazující modifikace; potřebu k posuzování kvantitativní spolehlivosti vůči cílovým SIL; techniky a postupy vůči předcházení systematickým chybám hardware; omezení architektury.

Díl 3 „Požadavky na software“ je zaměřen na činnosti a techniky návrhu software, s ohledem na typy chyb software; použitelnost technik pro každou úroveň SIL.

Díl 4 „Definice a zkratky“ vysvětluje pojmy pro oblast funkční bezpečnosti.

Díl 5 „Příklady metod určování úrovní integrity bezpečnosti“ obsahuje informativní přílohy zaměřené na obecný koncept potřeby redukce rizika, aplikace principů ALARP, způsob kvantitativního určení úrovní SIL, kvantitativní metodu stanovení úrovní SIL a alternativní kvalitativní metodu.

Díl 6 „Metodické pokyny pro aplikaci dílu 2 a dílu 3“ obsahuje výpočet pravděpodobnosti hardwarových poruch, obvyklé příčiny poruch, diagnostické pokrytí, aplikování požadavků na software.

Díl 7 „Přehled technik a opatření“ je průvodcem technik, opatření relací k jednotlivým dílům tohoto standardu.

Normy IEC řady 61508 byly vydány také ve 2. vydání, které v současné době platí s 1. vydáním, a které obsahuje několik změn jako je rozšíření a sjednocení pojmů mezi IEC 61508 a IEC 61511, zavedení a definování dalších pojmů, rozšíření kapitol managementu funkční bezpečnosti, normativní požadavek na způsobilost, vyjasnění obsahu specifikací a dokumentů požadovaných v jednotlivých fázích životního cyklu, vysvětlení bezpečnostních principů, použití metodik a technik pro modelování pravděpodobnosti.

Normy řady IEC 61511

Norma IEC 61511 (identická s EN 61511) je specifickou normou zabývající se kontinuálními průmyslovými procesy a zaměřující se na snímače, akční členy a rozhraní. Na rozdíl od normy IEC 61508 zaměřené na výrobce zařízení, tato norma rozděluje povinnosti mezi výrobce a uživatele. K využití této je nutná znalost i normy IEC 61508. Pozitivním prvkem normy jsou doporučení, jak rozdělit jednotlivé funkce mezi bezpečnostní a řídicí systém. Řada doporučení byla převzata z ekvivalentní normy ISA/S 84.01.

Norma IEC 62061

Norma IEC 62061 (identická s EN 62061) „Bezpečnost strojních zařízení – Funkční bezpečnost elektrických, elektronických a programovatelných elektronických řídicích systémů souvisejících s bezpečností“ – je normou pro implementaci funkční bezpečnosti u strojních zařízení. Norma obsahuje požadavky, které lze aplikovat na návrh systémové úrovně u všech typů bezpečnostních elektrických řídicích systémů a také pro návrh subsystémů a zařízení. Pro úplnou podporu využívá doporučení a pravidel uváděných v jednotlivých dílech IEC 61508.

Normy řady ISO 13849

Normy ISO 13849-1, ISO 13849-2 a ISO 13849-100 – obsahují postupy pro posuzování funkční bezpečnosti pro pneumatické, hydraulické, mechanické a elektrické systémy. Propojení mezi normou IEC 62061 a normami IEC 61508 je doporučováno pro uživatele této normy.

Norma ISO 13849-1 nepoužívá pojem úrovně integrity bezpečnosti SIL, ale pojem úrovně vlastností PL. Norma obsahuje porovnání těchto pojmů, ale je využívána jen jako vodítko pro konstruktéry.

Životní cyklus bezpečnosti

Norma IEC 61508 vychází z pojmu celkový životní cyklus bezpečnosti, který nabízí model jednotlivých stupňů řízení bezpečnosti během doby života systému. Technické požadavky se stanovují v pořadí jednotlivých fází celkového životního cyklu bezpečnosti systému.

Základem konceptu celkového životního cyklu bezpečnosti je pojetí funkční bezpečnosti jako nezávislé na spolehlivosti. Formulováním samostatných požadavků na bezpečnost umožňuje posoudit bezpečnost nezávisle na funkčních schopnostech a poskytuje větší důvěru v bezpečnost za normálního i poruchového stavu zařízení nebo jeho řídicího systému. Paradoxem ovšem je, že bezpečnostní aktivity nelze vytrhnout z celkového kontextu, ale je třeba je posuzovat v souvislosti s ostatními částmi technologického zařízení, a to v celém jeho životním cyklu.

V celkovém životním cyklu bezpečnosti podle obr. 2 představují fáze 1 a 2 potřebu poznat zařízení a jeho systém řízení z pohledu rizika. Ve fázi 3 se určují úrovně

Nahrávám...
Nahrávám...