Як забезпечити відповідність систем управління стандартам промислової функціональної безпеки за допомогою високоефективного супервізора напруги, частина 1

У статті показано як високоефективні супервізори дозволяють системам забезпечити відповідність стандарту функціональної безпеки IEC 61508.

Б. Боррес, К. Макатангей

Питання:

Як можна використовувати високоефективні си­стеми управління для покращення відповідності стандартам з промислової функціональної безпеки?

Відповідь:

Завдяки інтегрованим функціям безпеки висо­коефективні супервізори (монітори) напруги допо­магають системам відповідати стандарту функціо­нальної безпеки IEC 61508, покращуючи продуктив­ність системи відповідно до вимог стандарту, що стосуються кількісних показників надійності, архі­тектурних обмежень і безпеки систем у цілому.

Відповідність функціональній безпеці зазвичай розглядається в критично важливих для безпеки програмах у різних галузях , де збої можуть за­вдати шкоди людям, власності та навколишньому середовищу. Розробники систем сертифікують свої проєкти відповідно до стандартів функціональної безпеки, щоб забезпечити користувачам впевне­ність у використанні їхніх виробів, поставляти свої вироби в різні країни, де діють відповідні стандарти функціональної безпеки. У статті розглядаються особливості високопродуктивних схем контролю , які забезпечують відповідність стандартам функціональної безпеки, таким як IEC 61508 .

Стандарт IEC 61508 , також відомий як стан­дарт під назвою «Функціональна безпека електрич- них/електронних/програмованих електронних си­стем безпеки, спрямований на забезпечення за­гальних вимог до специфікації, проєктування та екс­плуатації всіх типів E/E/PE систем безпеки.» Він за­стосовується у всіх галузях промисловості, оскільки являється основою для розробки кількох галузевих стандартів, таких як IEC 61511 для переробної промисловості, IEC 62061 для машинобудуван­ня, IEC 61513 для атомної енергетики, ISO 26262 для автомобільної промисловості, IEC 62279 у залізничному транспорті, IEC 62304 у медичних пристроях та інші, як показано на рис. 1.

Рис. 1. Перелік основних стандартів з функціональної безпеки

Хоча галузевий стандарт (рис. 1) завжди матиме пріоритет над стандартом з функціональної безпеки IEC 61508, він зазвичай вимагає використання від­повідних SRS компонентів (де SRS – Supplementary Restraint System або система пасивної безпеки, яка забезпечує захист у екстремальних дорожних си­туаціях), що підтверджує відповідність галузевого стандарту стандартам з функціональної безпеки. Цього можна досягти, розробляючи компоненти відповідно до галузевого стандарту, наприклад, ISO 262627, і дотримуючись базового стандарту безпе­ки IEC 61508, наприклад, IEC 61511, або викори­стовуючи стандартні компоненти та додаткові архі­тектурні засоби щодо зменшення втрат.

Що являє собою інструментальна система безпеки або safety instrumented system (SIS) у технологічних процесах? Згідно з документами Національного інституту стандартів (NIST SP 800- 82r3 ANSI/ISA-84.00.01) це система, яка складаєть­ся з датчиків, логічних розв’язувачів задач і кінцевих елементів управління. Метою цих компонентів є переведення технологічного процесу в безпечний стан, коли задані умови експлуатації порушуються. Інші терміни, які використовуються разом з SIS, включають систему аварійного відключення (emer­gency shutdown system – ESS), систему безпечного відключення (safety shutdown system – SSD) і систе­му безпечного блокування (Safety Interlock System – SIS).

У секторі переробної промисловості – це систе­ма електричного управління, яка пов’язана з безпе­кою у машинобудуванні (safety-related electrical control system – SRECS), та система контрольно-ви­мірювального обладнання та управління (instrumen­tation and control – I&C) в атомній енергетиці. У цій статті для узагальнення усіх цих систем буде вико­ристовуватися термін SIS . На рис. 2 показано типову систему SIS, яка включає принаймні одну ін­струментальну функцію безпеки (safety instrumented function – SIF). SIF складається з вхідної підсистеми, підсистеми логічного вирішувача задач та підсисте­ми кінцевих елементів. Усі вони спрямовані на пере­ведення контрольованого обладнання (Equipment Under Control – EUC) у безпечний стан, коли виникає вимога.

Рис. 2. Типова структурна схема системи інструментальної безпеки SIS

Контрольоване обладнання EUC відноситься до захищеної системи SIS. На рис. 3 показана типова структурна схема SIF, а також приклади підсистем. Вхідна підсистема, що складається принаймні з од­ного датчика, діє як система моніторингу, яка може виявляти збої та надсилає відповідні сигнали до ло­гічного розв’язувача задач. Логічний розв’язувач обробляє отримані сигнали, а потім вирішує, яким буде наступний крок. Це може бути крок, за яким останній елемент переводить систему SIS у безпеч­ний стан за допомогою виконавчих пристроїв, таких як автоматичні вимикачі, реле або запірні клапани .

Рис. 3. Типова структура інструментальної функції безпеки SIF

Відмітимо, що системи або схеми моніторингу важливі для використання у системі інструменталь­ної безпеки SIS . Вони можуть функціонувати (рис. 3) у вхідній підсистемі для виявлення відхи­лень, у підсистемі логічного розв’язувача задач для моніторингу джерела живлення чи функцій мікро- контролера та виявлення збоїв, або як елемент си­стеми SIF, яка переводить контрольовану техноло­гічну систему у безпечний стан через сигнал ски­дання (Reset Signal).

Розглянемо, як високопродуктивні схеми моніто­рингу забезпечують відповідність вимогам проми­слової функціональної безпеки. Відповідність стан­дарту IEC 61508 можна оцінити за допомогою рівня повноти безпеки (SIL). Рівень SIL оцінюється для кожної функції SIF і вказує на те, наскільки якісно ця функція SIF виконує свою роботу в управлінні ризи­ком. Стандарт IEC 61508 визначає чотири рівні SIL: від SIL 1 до SIL 4, причому SIL 4 є найвищим рівнем функціональної безпеки.

Як правило, попередньо шляхом аналізу визна­чається оцінка ризику, щоб задати необхідні функції безпеки, а потім розраховується коефіцієнт знижен­ня ризику, тобто необхідний рівень SIL. Один із ме­тодів таких розрахунків із калібруванням матриці ри­зиків наведено в , у розділі Process Safebook 1. Конкретний рівень SIL задає власні вимоги, на які впливають наступні три фактори : кількісні вимоги до надійності, архітектурні обмеження та ін­тегрована цілісність безпеки усієї системи. Для кож­ного фактора далі показано, як схеми моніторингу можуть забезпечити відповідність системи стандар­ту з функціональної безпеки IEC 61508.

Таблиця 1. Рівень SIL системи інструментальної безпеки SIS відносно режиму роботи

Рис. 4. Типи відмов, які впливають на вимоги до надійності

Кількісні вимоги до надійності. У табл. 1 наве­дено вимоги стандарту IEC 61508-1 до цілісності безпеки (розділ 7.6.2.9), де визначено SIL щодо цільової міри відмови функції безпеки SIF. Зазначи­мо, що PFDavg – це середня ймовірність небезпечної відмови за запитом функції безпеки для режиму роботи з низьким числом запитів. PFH означає се­редню частоту небезпечних відмов функції безпеки на годину для режиму з високим числом запитів або для безперервного режиму роботи.

Кілька факторів, що впливають на середню ймо­вірність випадкових збоїв апаратного забезпечення, охопленого діагностичним тестом. Інтервал вико­нання діагностичних тестів і частота небезпечних невиявлених відмов (Dangerous Undetected Failure – DU) λDU наведені в . Небезпечні невиявлені збої – це такі, які не можуть бути виявлені систем­ною діагностикою, а їх можна ідентифікувати лише за допомогою спеціального контрольного тесту, як показано на рис. 4. У цьому випадку важливо вико­ристовувати схеми контролю, оскільки вони допо­магають у виявленні небезпечних збоїв, діючи як ді­агностичні заходи для зменшення ймовірності таких збоїв. Таким чином, вони дають можливість виявля­ти небезпечні раніше непомічені збої.

Архітектурні обмеження. Окрім кількісних ви­мог до надійності, стандарт IEC 61508 містить вимо­ги до надійності та структури системи SIS. Ці архі­тектурні обмеження допомагають, коли необхідно вибрати апаратну реалізацію. Відповідно до розділу 7.4.4 стандарту IEC 61508-2 одним із напрямків, який можна використовувати для забезпечення не­обхідного рівня SIL, є напрямок (алгоритм) 1H. Цей алгоритм базується на концепції апаратної відмово- стійкості (hardware fault tolerance – HFT) і наявності безпечної частки відмов (safe failure fraction – SFF ).

Архітектурні обмеження вимагають враховувати складність і тип елемента. Елемент типу А, або про­стий компонент, має чітко визначені режими відмо­ви, передбачувану поведінку в умовах несправності та надійні дані про несправності, що відповідають необхідному небезпечному рівню невиявлених від­мов. В іншому випадку він вважається елементом типу B або складним компонентом. У табл. 2 наведе­но вимоги до елемента типу B, до яких відносяться сучасні інтегральні мікросхеми.

Таблиця 2. Максимально допустимий рівень SIL для компонента або підсистеми B

Безпечна частка відмов SFF є мірою відмов еле­мента в безпечному стані, тоді як апаратна відмово- стійкість N означає, що N+1 є мінімальною кількістю несправностей, які можуть призвести до втрати функції безпеки, що вказує на необхідність резерву­вання цього елемента. Це означає, що якщо апарат­на відмовостійкість системи HFT=0, один збій може спричинити втрату функції безпеки, а якщо HFT=1, то це означає, що знадобляться два збої, щоб спричинити таку ж втрату.

Функція SFF може будти виражена як:

Діагностичне охоплення (Diagnostic Coverage) може бути виражено як:

де λ – частота відмов, SD – виявлення безпечних відмов, SU – невиявлення безпечних відмов, DD – виявлення небезпечних відмов, DU – невиявлення небезпечних відмов, як показано на рис. 4.

Таке діагностичне покриття оцінює, наскільки ефективні діагностичні заходи системи безпеки SIS у виявленні небезпечних збоїв. Це впливає на кіль­кісну надійність системи і пов’язане з функцією SFF, як видно з рівнянь 1 і 2. Стандарт IEC 61508-2 у До­датку A містить спосіб визначення максимально до­пустимого діагностичного покриття, яке може бути забезпечено за допомогою різних методів та захо­дів щодо виявлення випадкових збоїв обладнання. У табл. 3 наведена класифікація надійності систем безпеки за показником діагностичного охоплення згідно з стандартом IEC 61508.

Таблиця 3. Класифікація надійності систем безпеки за показником діагностичного охоплення

Табл. 4 містить розділ табл. A.1 додатку A стан­дарту IEC 61508-2, у якому визначено несправності або відмови, що слід передбачити під час кількісно­го визначення ефекту випадкових відмов апаратно­го забезпечення, які слід враховувати при визначен­ні функції SFF. Зазначимо, що модель діагностично­го покриття несправностей необхідна, щоб під час проєктування технологічної системи забезпечити відповідний рівень діагностичного покриття. Мо­дель діагностичного покриття несправності включає режими несправностей, такі як постійні несправно­сті, несправності типу обриву, відкриті або висо- коімпедансні виходи, а також короткі замикання між сигнальними лініями. Усі вони можуть бути виявлені за допомогою високоефективного монітора напру­ги, а саме такі несправності, як перенапруга або зниження чи провал напруги.

Систематична безпека. Вимоги до система­тичної цілісності безпеки є якісними за своєю при­родою і оцінюють, наскільки процес розробки си­стеми є ефективним щодо виявлення та усунення відмов. Для цього необхідна ретельна перевірка проєктних рішень, технології виробництва та проце­дур випробування апаратного та програмного забезпечення. Чим вищий рівень SIL, тим суворішою має бути перевірка.

Для підтвердження відповідності вимогам функ­ціональної безпеки вимагається більший обсяг до­кументації, яку мають надати виробники компонен­тів системи. Стандарт IEC 61508 визначає кілька ме­тодів і заходів, які розробники повинні застосовува­ти для усунення систематичних збоїв на різних ета­пах життєвого циклу системи безпеки SIS. При цьо­му в табл. 5 наведені деякі пункти табл. A.16 стан­дарту IEC 61508-2.

Таблиця 4. Вимоги до діагностичного покриття інтегральних та дискретних компонентів

У цій таблиці показано методи та заходи, не­обхідні для контролю систематичних збоїв, спричи­нених стресом і впливом навколишнього середови­ща, де M означає обов’язкові, HR означає суворо рекомендовані заходи, а R означає рекомендовані заходи. Під цими позначками вказано рівень зусиль, необхідний для виконання відповідних діагностич­них заходів. Наприклад, для рівня SIL 3 обов’язко­вим є використання заходів проти коливань напру­ги, таких як монітори напруги, у той час як сурово рекомендується використовувати моніторинг послі­довності програм, наприклад сторожові таймери, де діагностичне охоплення має становити щонаймен­ше 90%.

Іншим ключовим фактором щодо вимоги повно­ти безпеки є використання системи управління які­стю. Це можна забезпечити, сертифікувавши орга­нізацію виробника за системою управління якістю ISO 9001:2015.16 Відзначимо, що більшість вимог стандарту IEC 61508 щодо загального життєвого ци­клу безпеки та оцінки функціональної безпеки збі­гаються з вимогами стандарту ISO 9001. Таким чи­ном, наявність сертифіката якості може сприяти швидшому процесу сертифікації системи на відпо­відність вимогам з функціональної безпеки .

Використання інтегрованих рішень для по­кращення параметрів функціональної безпеки. Проєктування систем з необхідними засобами функціональної безпеки передбачає впровадження відповідних систем і компонентів для забезпечення надійної та безпечної роботи в разі виникнення від­мови чи несправності, які потребують додаткових апаратних та фінінсових витрат. З цієї причини вико­ристання компонентів із інтегрованими функціями безпеки може знизити ці витрати, спростити їх впровадження на системному рівні, підвищити на­дійність системи завдяки зменшенню кількості до­даткових компонентів і збільшити діагностичне охоплення за рахунок зменшення інтервалів діагно­стичного тестування .

Це можна побачити на рис. 5, де показано, як відповідний мікроконтролер може забезпечити до­статнє діагностичне покриття для важливих щодо безпеки ланцюгів за допомогою кількох функцій безпеки, об’єднаних в одному корпусі замість вико­ристання декількох схем моніторингу і контролю. Та­кий монітор системи живлення допомагає забез­печити відповідність функціональній безпеці, врахо­вуючи вимоги щодо заходів проти пробою напруги, коливань напруги, перенапруги, низької напруги та інших збоїв, таких як зміна частоти джерела живлен­ня змінного струму, що може призвести до небез­печної відмови системи у цілому. Крім того, цей мік- роконтролер забезпечує моніторинг послідовності програм.

Перша вимога підкреслює необхідність виявлен­ня наднапруги чи провалу напруги для всіх рівнів на­пруги, критичних для безпеки. Друга вимога реалі­зована сторожовим таймером, вбудованим у цей мікроконтролер. На рис. 5 усі ці потреби задоволь­няє один мікроконтролер, який має сім моніторів для різних джерел живлення та вбудований сторо­жовий таймер з інтерфейсом I2C.

Іншим фактором щвидкого впровадження такого рішення є наявність відповідної документації з без­пеки у тому числі на усі системні компоненти, яка потрібна під час сертифікації розробленого виробу за стандартом з функціональної безпеки IEC 61508.

Рис. 5. Приклад апаратної реалізації інтегрованої функції безпеки

ВИСНОВКИ

В статті показано вирішальну роль високоефек­тивних мікроконтролерів в забезпеченні відповідно­сті вимогам промислової функціональної безпеки. Розглянуто основний стандарт функціональної без­пеки IEC 61508 і його вплив на галузеві стандарти. Визначено ключові терміни цього стандарту, такі як система безпеки, функція безпеки та рівень повноти безпеки, показано основні вимоги стандарту IEC 61508, включаючи кількісні параметри надійності, архітектурні обмеження та системну цілісність без­пеки. На конкретних приклад розкриті переваги ви­користання високопродуктивних схем моніторингу джерел живлення з вбудованими сторожовими тай­мерами.

ЛІТЕРАТУРА

1. Tom Meany. “Functional Safety and Industry 4.0.” Analog Devices, Inc., March 2018.
2. Noel Tenorio and Anthony Serquica. “High Perfor­mance Voltage Supervisors Explained-Part 1.” Analog Dialogue, Vol. 58, No. 2, April 2024.
3. IEC 61508 All Parts, Functional Safety of Electri- cal/Electronic/Programmable Electronic Safety-Relat­ed Systems. International Electrotechnical Commis­sion, 2010.
4. IEC 61511 All Parts, Functional Safety-Safety In­strumented Systems for the Process Industry Sector. International Electrotechnical Commission, 2016.
5. IEC 62061-Safety of Machinery- Functional Safety of Safety-Related Electrical, Electronic, and Pro­grammable Electronic Control Systems. International