Aktuální vydání

celé číslo

12

2021

Automatizace v chemickém a petrochemickém průmyslu

Průtokoměry a regulační ventily

celé číslo

Normy pre tvorbu softvéru riadiacich systémov

Dušan Mudrončík, Martin Gálik
 
Funkčná bezpečnosť riadiacich systémov bezpečnostne kritických systémov patrí k zá­kladným požiadavkám prevádzkovania bezpečnostne kritických systémov, ako sú napr. dopravné systémy, nukleárna energetika, environmentálne nebezpečné chemické pre­vádzky alebo farmaceutické technológie. Tento príspevok uvádza stručnú charakteristi­ku relevantných štandardov a ich implementáciu v priemyselných bezpečnostne kritic­kých procesoch.
Kľúčové slová: softvér riadiacich systémov, funkčná bezpečnosť, riadiaci systém bezpeč­nostne kritického procesu.
 
The functional safety is important and desired feature of process control systems, which are called safety critical systems. Characteristic examples of such systems are traffic sys­tems, nuclear systems, chemical or pharmaceutical plants. The paper presents a brief characterisation of relevant standards and their implementation in the industrial safe­ty critical applications.
Key words: control system software, functional safety, safety related control system.
 

1. Úvod

Riadenie bezpečnostne kritických pro­cesov vyžaduje z hľadiska inžinierskej pra­xe špecifický prístup, ktorého prvoradý cieľ je eliminácia, resp. redukcia rizík vyplý­vajúcich z prevádzky bezpečnostne kritic­kých technologických prevádzok. Spravid­la sa pri realizácii návrhu a implementácii zásad funkčnej bezpečnosti vyžaduje pre­ukázateľne dosiahnutá úroveň komplexnej bezpečnosti. Základné východisko k rieše­niu naznačených problémov poskytujú jed­notlivé časti štandardu IEC 61508 Funkč­ná bezpečnosť elektrických/elektronických//programovateľných elektronických bezpeč­nostných systémov. Použitie tohto štandardu v priemyslu usmerňuje a detailizuje nadvä­zujúca norma IEC 61511 Funkčná bezpeč­nosť – bezpečnostné riadiace systémy spo­jitých technologických procesov.
 
Tento príspevok prezentuje stručný pre­hľad obsahu uvedených štandardov a rámco­vo uvádza možné spôsoby ich implementácie v reálnych podmienkach.
 

2. IEC 61508 – stručný prehľad

Súčasné riadiace systémy sú spravidla budované ako distribuované riadiace sys­témy s niekoľkoúrovňovou hierarchickou štruktúrou. Najnižšia, prevádzková úroveň zabezpečuje priame napojenie riadiace­ho systému na technologický proces. Ako technické prostriedky sa používajú progra­movateľné elektronické zariadenia – prie­myselné regulátory a programovateľné au­tomaty (PLC). V niektorých úlohách sa vyžaduje, aby okrem štandardných funkcií riadiaceho systému, ako sú napr. zber a pr­votné spracovanie údajov, monitorovanie riadeného procesu, spracovanie alarmov, výpočet a vykonávanie akčných zásahov atd., systém poskytoval dostatočnú úroveň komplexnej bezpečnosti. V takom prípade sa hovorí o funkčnej bezpečnosti riadiace­ho systému.
 
Medzinárodná norma IEC 61508 [6] Funkčná bezpečnosť elektrických/elektro­nických/ programovateľných elektronických bezpečnostných systémov podrobne stano­vuje obecný prístup pre celý životný cyk­lus bezpečnosti systémov, ktoré obsahujú elektrické, elektronické a programovateľné elektronické (E/E/PES) časti využívané na zabezpečenie bezpečnostných funkcií riadiaceho systému. Norma obsahuje tieto časti:
  • časť 1 – Všeobecné požiadavky,
  • časť 2 – Požiadavky na elektrické/elektro­nické/programovateľné elektronické systé­my súvisiace s bezpečnosťou,
  • časť 3 – Požiadavky na softvér,
  • časť 4 – Definície a skratky,
  • časť 5 – Príklady metód určovania úrovní integrity bezpečnosti (SIL),
  • časť 6 – Metodické pokyny pre použitie IEC 61508-2 a IEC 61508-3,
  • – časť 7 – Prehľad postupov a opatrení.
Norma IEC 61508 uvažuje všetky dôle­žité fázy životného cyklu celkovej bezpeč­nosti, bezpečnosti E/E/EPS a bezpečnosti softvéru (počínajúc koncepciou, cez návrh, realizáciu, prevádzku a údržbu až po vyra­denie z prevádzky) pri používaní E/E/EPS pre plnenie bezpečnostných funkcií. Posky­tuje metodiku pre vypracovanie špecifikácie bezpečnostných požiadaviek potrebných pre dosiahnutie funkčnej bezpečnosti E/E/PES súvisiacich s bezpečnosťou a pre stanovenie celkovej úrovne integrity bezpečnosti pre bez­pečnostné funkcie realizované E/E/PES súvi­siace s bezpečnosťou používanou na úrovni bezpečnostnej integrity. Pre stanovenie úrov­ne komplexnej bezpečnosti používa metódy založené na analýze rizika. Norma ďalej sta­novuje číselné hodnoty výslednej miery po­rúch pre E/E/PES súvisiace s bezpečnosťou, viazané na jednotlivé úrovne bezpečnostnej integrity. Používa model životného cyklu cel­kovej bezpečnosti ako technický rámec pre systematické vykonávanie všetkých činností, ktoré sú potrebné pre zaistenie funkčnej bez­pečnosti E/E/PES súvisiacich s bezpečnosťou.
 
Celkový životný cyklus bezpečnosti E/E//PES je prehľadne znázornený na obr. 1.
 
Uvedený životný cyklus funkčnej bezpeč­nosti sa odporúča používať ako základ pri uplatňovaní zhody s touto normou. Naproti tomu však, za predpokladu splnenia cieľov a požiadaviek všetkých častí tejto normy, sa môže použiť aj iný životný cyklus, ako je ži­votný cyklus na obr. 1. Organizácie alebo jed­notlivci, ktorí majú celkovú zodpovednosť za jednu alebo niekoľko fáz životného cyklu cel­kovej bezpečnosti, bezpečnosti E/E/PES ale­bo bezpečnosti softvéru, stanovujú, pokiaľ ide o tieto fázy, za ktoré majú celkovú zod­povednosť, všetky manažmentové i technic­ké činnosti nutné k tomu, aby E/E/PES súvi­siace s bezpečnosťou dosiahli a udržali svoju požadovanú funkčnú bezpečnosť.
 

3. IEC 61511 – stručný prehľad

Norma IEC 61511 [5] Funkčná bezpečnosť. Bezpečnostné riadiace systémy spojitých tech­nologických procesov je za­meraná na implementáciu životného cyklu bezpečnosti procesných riadiacich systé­mov, kde technologické ve­ličiny majú prevažne spoji­tý charakter a aj riadenie je spojitého charakteru (nie lo­gické riadenie).
 
Má tieto časti:
  • časť 1 – Požiadavky na systémy hardvéru a soft­véru, štruktúra, definície,
  • časť 2 – Metodický po­kyn pre používanie IEC 61511-1,
  • časť 3 – Pokyny pre sta­novenie požadovanej cel­kovej úrovne bezpečnosti.
Norma prezentuje systematickú metódu na vypracovanie všetkých postupov týkajú­cich sa rizika. Špeciálny dôraz kladie na di­zajn a potvrdenie platnosti systémov týkajú­cich sa bezpečnosti.
 
Základom normy je riadenie a funkčná bezpečnosť. Stratégia na dosiahnutie bez­pečnosti by mala byť opodstatnená a mali by byť stanovené všetky činnosti, vrátane spôso­bu hodnotenia ich dosiahnutia. Toto by malo byť časťou manažmentu funkčnej bezpečnosti.
 
Z tohto dôvodu norma určuje bezpečnost­ný životný cyklus, ktorý istí všetky fázy život­ného cyklu samotného systému. Životný cyk­lus bezpečnosti zahrnuje činnosti súvisiace s prístrojovou bezpečnosťou, ktoré sú riade­né všetkými zúčastnenými, ako sú inžinierski pracovníci, dodávatelia, integrátori a koneční užívatelia. Všetci musia zavádzať manažérsky systém funkčnej bezpečnosti v časti životné­ho cyklu systému, ktorá spadá do ich kompe­tencie, a musia medzi sebou úzko spolupraco­vať, aby dosiahli očakávanú úroveň celkovej bezpečnosti počas jeho životnosti.
 
Norma platí pre bezpečnostné prístrojo­vé systémy založené na E/E/PES. Základné princípy tejto normy, ktorá bola vytvorená aj v nadväznosti na IEC 61508 do oblasti prie­myselných procesov, sa však môžu použiť taktiež pre senzory, snímače a koncové členy bezpečnostných prístrojových systémov bez ohľadu na použitú techniku.
 
Norma vyžaduje zistenie všetkých bezpeč­nostných požiadaviek, aby boli posúdené ne­bezpečenstvá a riziká, vyžaduje, aby k bez­pečnostným prístrojovým systémom boli pri­delené bezpečnostné požiadavky, podrobne uvádza použitie niektorých činností v rámci manažmentu bezpečnosti, ktoré sa môžu po­užiť u všetkých metód funkčnej bezpečnos­ti, stanovuje požiadavky na architektúru sys­témov a konfiguráciu hardvéru, na aplikačný softvér a na integráciu systémov, na aplikač­ný softvér pre užívateľov a tvorcov softvéro­vých bezpečnostných prístrojových systémov a obzvlášť špecifikuje:
  • požiadavky na fázy životného cyklu bez­pečnosti a činnosti, ktoré sa uplatňujú po čas návrhu a vývoja aplikačného softvéru – obsahujú požiadavky na použitie opatrení a techník dovoľujúcich zabrániť chybám v programe a kontrolovať vznik možných porúch,
  • informácie o validácii bezpečnosti softvé­ru,
  • informácie potrebné pre po­užívateľa počas prevádzky a údržby.
Ďalej norma uvádza zo­znam činností potrebných pre stanovenie funkčných požiada­viek a požiadaviek na integri­tu bezpečnosti pre bezpečnost­né prístrojové systémy. Platí pre všetky fázy životného cyk­lu bezpečnosti, od začiatočné­ho návrhu, cez implementáciu, prevádzku a údržbu až po vy­radenie z prevádzky. Norma tiež stanovuje vzťah medzi IEC 61508 a IEC 61511. Používa sa pre široké spektrum výrob s prevahou kontinuálnych vý­robných procesov, ako sú che­mické výroby, ropné rafinérie, výroba benzínu a olejov, v ne­jadrových elektrárniach a vý­robniach tepla.
 
Oblasť použitia IEC 61508 a IEC 61511 v rámci noriem pre bezpečnostné prístrojové systémy je uvedená na obr. 2.
 

4. Návrh životného cyklu celkovej bezpečnosti

Ďalej prezentovaný životný cyklus celko­vej bezpečnosti je založený na implementá­cii opísanej normy IEC 61508, ale najmä IEC 61511. Detailný opis je uvedený v [4].
 
V základnej štruktúre pre zentovaného návrhu sa nachádzajú tri fázy: fáza návrhu, fáza realizácie a fáza vykonávania. Paralelne s týmito fázami prebieha riadenie, plánova­nie a kontrola jednotlivých krokov životného cyklu. Tieto činnosti sa potom zabezpečujú v manažmente funkčnej bezpečnosti pláno­vania a verifikácie.
 
Štruktúra navrhovaného životného cyklu bezpečnostného riadiaceho systému je zobra­zená v schéme na obr. 3 obr. 5.
 
Na záver príspevku nasleduje detailnejší opis jednotlivých blokov schémy životného cyklu bezpečnostného riadiaceho systému.
 

4.1 Požiadavky zákazníka

Požiadavky zákazníka alebo subdodáva­teľa by mali byť úplné, technicky čitateľné a jednoznačné. Zákazník by mal mať spra­cované:
  • prvotnú dokumentáciu celkového životné­ho cyklu bezpečnosti,
  • posúdenie rizík (môže ich spracovať aj in­žinierska organizácia),
  • tabuľku (maticu) príčin a následkov (C&E),
  • prevádzkové predpisy pre riadenie prevádzky,
  • celkové požiadavky na SIF.

4.2 Špecifikácia bezpečnostných požiadaviek na aplikačný softvér

Na základe vstupných informácií od zá­kazníka alebo koncového používateľa je po­trebné posúdiť funkčnú bezpečnosť softvéro­vej aplikácie zabezpečujúcej bezpečnostnú integritu bezpečnostného systému.
 

4.3 Základný návrh, funkčná špecifikácia a architektúra aplikačného softvéru

V tomto kroku procesu životného cyklu sa rozhoduje o celkovej architektúre softvé­rovej aplikácie; o tom, s akými typickými za­pojeniami sa bude pracovať po celý čas vývo­ja softvérovej aplikácie. Dôležitým vstupom je projektová dokumentácia hardvéru, ktorá obsahuje typické zapojenia, celkovú hardvé­rovú konfiguráciu, elektronickú formu zozna­mu obvodov, signálov a jednotlivé parametre všetkých obvodov.
 

4.4 Vývoj aplikačného softvéru

V tejto časti životného cyklu bezpečnos­ti softvérovej aplikácie sa realizujú pôvodné požiadavky zákazníka,  súčasne so zapraco­vaním bodu 4.3.
 

4.4.1 Integrácia s inými systémami

Bezpečnostné softvérové aplikácie sú ob­vykle spojené s ďalším softvérovým systé­mom; môže to byť napr. systém SCADA, systém blokovania, systém na manažérskej úrovni apod. Z toho dôvodu je potrebné ove­riť a nastaviť komunikačné prepojenie medzi všetkými systémami a subsystémami podľa zásad bezpečnostných aplikácií. Aj v tomto prípade každá bezpečnostná špecifikácia musí byť testovaná a dokumentovaná.
 

4.4.2 Tvorba aplikačného softvéru

Po vykonaní všetkých predchádzajúcich krokov sa pristúpi k samotnej tvorbe softvé­rovej aplikácie. Nové požiadavky zákazníka, ktoré by sa objavili v tejto časti životného cyklu, je potrebné prehodnotiť a posúdiť ich vplyv na celkovú bezpečnosť, a až potom za­pracovávať do aplikácie.
 

4.5 Prevzatie zákazníkom

V procese preberania zákazníkom, ktoré je spravidla súčasťou FAT (akceptačné testova­nie dodávateľom), zákazník kontroluje splne­nie jeho používateľských požiadaviek a napl­nenie požiadaviek celkovej bezpečnosti (SIS).
 

4.6 Inštalácia a modifikácie

SIS musia byť inštalované a uvedené do prevádzky v súlade s vhodným plánovaním. Všetky vykonané aktivity sa musia zároveň dokumentovať. Taktiež je potrebné doku­mentovať výsledné riešenie, všetky modifiká­cie a spôsob odstránenia vyskytnutých chýb.
 

4.7 SAT – validácia

Keď je dokončené uvedenie SIS do pre­vádzky, uskutočňuje sa fáza celkovej validácie. Validácia sa musí vykonať v súlade s plánom celkovej validácie. Dôvodom je validovať sys­témy súvisiace s bezpečnosťou tak, aby spĺňa­li požiadavky týkajúce sa celkovej bezpečnos­ti. Návod, ako dokumentovať celú validáciu, je uvedený v normách IEC [1], [2] a [3]. Základ­né princípy a postupy testovania počas proce­su validácie sú uvedené napr. v [7].
 

4.8 Manažment funkčnej bezpečnosti a plánovanie

Je treba dodržiavať zásady a odporúča­nia IEC 61511.
 

4.9 Prevádzka a údržba

Počas prevádzky a údržby systému s bez­pečnostnými atribútmi sa musia zbierať pre­vádzkové údaje pre prípad výskytu chýb v sys­téme a nasledujúcej analýze príčin ich vzniku. Tieto údaje sa potom môžu použiť na verifiká­ciu, či predpoklady vykonané počas HAZOP boli správne, a takisto na verifikáciu, že inten­zity porúch, ktoré boli použité vo výpočtoch SIL, boli skutočné. Ak sa vyskytne chybné spojenie, musia sa opakovať výpočty HAZOP a SIL. Operátori a personál údržby musia byť pravidelne školení (refresh trainings), aby sa udržiavala plná funkčná prevádzka a úroveň cieľovej integrity SIS vo validovanom stave.
 

4.10 Vyradenie SIS z prevádzky

Počas vyraďovacieho procesu musia byť všetky bezpečnostné prístrojové funkcie v prevádzke. Aby sa určil výsledný vplyv navrhovaného vyradenia na funkčnú bezpeč­nosť, musí byť urobená celková analýza. Tá musí obsahovať posúdenie celkovej bezpeč­nosti počas celého životného cyklu a musí vziať do úvahy funkčnú bezpečnosť aj počas vyraďovacích procesov, ako aj dopad vyra­denia bezpečnostného prístrojového systému SIS na spolupracujúce prevádzkové jednotky.
 

5. Záver

Bezpečnostné riadiace systémy sú použí­vané v prípadoch, kedy riadené procesy vyža­dujú z hľadiska ich prevádzky zvýšenú úroveň bezpečnosti. Príkladom takých procesov sú do­pravné systémy, potravinárske a farmaceutic­ké technológie, chemické technológie s mož­nosťou zamorenia životného prostredia atď.
 
Aj keď spoľahlivosť a bezpečnosť navo­nok súvisia, treba zdôrazniť, že spoľahlivý systém nemusí byť bezpečný. Preto sú prin­cípy návrhu bezpečného systému odlišné od návrhu spoľahlivého systému, a projektant teda musí zohľadňovať špecifiká bezpečnos­tných systémov.
 
Kritériá posudzovania dosiahnutej úrovne celkovej bezpečnosti môžu mať dvojaký cha­rakter. Základné kritérium je počet nebezpeč­ných udalostí (za jednotku času), ktorých ná­sledky znamenajú hmotné škody a zranenia alebo úmrtia osôb. Niekedy sa používa kri­térium výšky nákladov na odstránenie ná­sledkov vzniknutých nebezpečných udalostí.
 
Tento príspevok predstavuje veľmi struč­ný pohľad na danú problematiku. V reálnej praxi implementácia relevantných štandar­dov, smerníc a odporúčaní znamená pre kaž­dú organizáciu značné zvýšenie nákladov na zavedenie manažérskych systémov, ich certi­fikáciu, ako aj udržiavanie a zlepšovanie sú­visiacich procesov.
 
Literatúra:
[1] IEC 62337: Commissioning of electrical, instrumentation and control systems in the process industry – Specific phases and miles­tones. Ed. 1.0 English. IEC, 2006.
[2] IEC 62381: Automation systems in the process industry – Factory Acceptance Test (FAT), Site Acceptance Test (SAT), and Site Integration Test (SIT). Ed. 1.0 English. IEC, 2006.
[3] IEC 62382: Electrical and instrumentation loop check. Ed. 1.0 English. IEC, 2006.
[4] GÁLIK, M.: The safety development of SW industry application lifecycle according IEC 61508 and STN EN 61511. Bc. Work. MtF STU Trnava, 2007, 48 p.
[5] IEC 61511: Functional safety – Safety instru­mented systems for the process industry sector – all parts. Ser. Ed. 1.0 English. IEC, 2004.
[6] IEC 61508.2001. Functional safety of electri­cal/electronic/programmable electronic safety related systems – all parts. Ser. Ed. 1.0 English. IEC, 2005.
[7] TANUŠKA, P. – SCHREIBER, P. – VAŽAN, P.: Testovanie softvérových systémov v procese validácie. In: 7th International Scientific-Tech­nical Conference PROCESS CONTROL 2006. Kouty nad Desnou, ISBN 80-7194-860-8.
prof. Ing. Dušan Mudrončík, CSc., MtF STU v Trnave
Bc. Martin Gálik, ProCS, s. r. o., Šaľa
Recenzovali: Ing. Martin Hlinovský, Ph.D., FEL ČVUT v Praze,
prof. Ing. Vilém Srovnal, CSc.,
FEI VŠB TU Ostrava
 
Obr. 1. Celkový životný cyklus
­Obr. 2. Oblasť použitia noriem
Obr. 3. Životný cyklus bezpečnosti softvéru riadiaceho systému – fáza návrhu
Obr. 4. Životný cyklus bezpečnosti softvéru riadiaceho sys­tému – fáza realizácie
Obr. 5. Životný cyklus bezpečnosti softvéru – vykonávacia fáza
 
Tab. 1. Dôležité skratky