Úvod do funkční bezpečnosti I: norma ČSN EN 61508
Jaromír Uher
Článek je věnován problematice funkční bezpečnosti elektrických, elektronických a programovatelných elektronických systémů, jak ji definuje norma IEC (ČSN EN) 61508 [1]. Autor čerpal především ze [2] s cílem čtenáře stručně uvést do problematiky řešené touto normou a naznačit, jakým způsobem lze normu používat. Jak se řeší konkrétní příklad v praxi bude ukázáno ve druhém článku série dvou volně na sebe navazujících příspěvků [6].
1. Úvod
Systémy navrhované pro bezpečnostní účely nejsou žádnou novinkou. Již dlouho se používají jako součást ochranných systémů v podmínkách průmyslové výroby tam, kde existuje nebezpečí újmy na zdraví či životech lidí nebo poškození životního prostředí. Tyto systémy a zařízení související s bezpečností, tzv. bezpečnostní, jsou nezávislé na běžném řídicím systému a v případě jeho nesprávné činnosti udržují technologický provoz v bezpečném stavu.
Do nedávné doby se bezpečnostní systémy navrhovaly podle praxe zavedené v příslušné firmě nebo v souladu s místními normami. Některé z potřebných přístrojů, jako např. bezpečnostní (shut-down) řídicí systémy, měly již příslušné certifikáty, ale u většiny provozních přístrojů tomu tak nebylo. Projektanti museli vystačit s přístroji, které jim byly k dispozici.
Situace se ale nyní začíná rychle měnit. Jednotný návod, jak navrhovat zařízení související s bezpečností, poskytuje výrobcům i uživatelům všeobecně uznávaná norma IEC (ČSN EN) 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems [1].
Dosažený pokrok přináší uživatelům mnoho výhod, z nichž asi nejvýznamnější je možnost přistupovat k bezpečnostním systémům exaktněji – podstatu rizika lze totiž určenými metodami kvantifikovat a navrhnout odpovídající ochranný systém. Pokud jsou ochranné systémy navrženy v souladu s uznávanými normami, lze jasně prokázat jejich vhodnost. Ubude případů, kdy je ochranný systém nedostatečný nebo naopak předimenzovaný, a v mnoha případech se odpovídajícího řešení dosáhne s menšími náklady.
Dodavatelé automatizační techniky nyní nabízejí také výrobky certifikované podle IEC (ČSN EN) 61508 pro použití v bezpečnostních systémech. Údaje uváděné u těchto výrobků umožňují jejich začlenění do bezpečnostních systémů, přičemž výsledné systémy splňují požadavky na úroveň bezpečnosti podle normy.
Cílem článku není do detailu popsat normu IEC (ČSN EN) 61508. To pro její rozsah v časopisu ani není možné. Záměrem je informovat o současném přístupu k problematice bezpečnosti provozu automatizovaných systémů a o způsobu jeho uplatnění v průmyslové praxi. Protože normy IEC 61508 (vydaná v roce 1998), EN 61508 (2001) a ČSN EN (září 2002) jsou identické, je dále v tomto článku používáno souhrnné stručné označení IEC 61508.
2. Funkční bezpečnost
2.1 Hlediska bezpečnosti
Ve [3] jsou rozlišeny stránky bezpečnosti systému. První je tzv. primární bezpečnost, zabývající se takovými riziky, jako jsou elektrické šoky a spáleniny bezprostředně zapříčiněné hardwarem. Druhá je funkční bezpečnost, která zahrnuje bezpečnost řízeného zařízení (EUC – viz dále). Úroveň funkční bezpečnosti závisí na opatřeních zavedených s cílem zmenšit riziko, a tudíž záleží i na správné činnosti těchto opatření. Třetí stránkou je nepřímá bezpečnost, zahrnující nepřímé důsledky nesprávné činnosti systému, jako např. poskytování nesprávných údajů.
Norma IEC 61508 se zabývá druhým z aspektů definovaných ve [3], tj. funkční bezpečností. Jak je ovšem uvedeno v její části 3.3, jsou její principy obecně použitelné, a jestliže se organizace rozhodne normu používat, bylo by škoda omezovat se v otázce bezpečnosti pouze na bezpečnost funkční.
2.2 Přehled pojmů
Pojmy a jejich definice uvedené v názvosloví připojeném v samostatných rámečcích na str. 70 a 71 jsou citací z normy ČSN EN 61508, část 4. Uvedeny jsou jen pojmy nejdůležitější z pohledu čtenáře tohoto článku (popř. s vysvětlivkami autora uvedenými v hranatých závorkách).
Názvosloví podle IEC/ČSN EN 61508
Systémy |
Řízené zařízení (Equipment Under Control – EUC) zařízení, stroj, přístroj nebo instance použité pro spojité i nespojité výrobní, dopravní, lékařské nebo jiné činnosti |
Systém řízení EUC (EUC control system) systém reagující na signály z procesu anebo od operátora a vytvářející výstupní signály způsobující, že EUC pracuje požadovaným způsobem |
Riziko EUC (EUC risk) riziko plynoucí z EUC nebo jeho interakce se systémem řízení EUC, tj. riziko související s funkční bezpečností [riziko EUC je referenční bod, který by měl být stanoven nezávisle na protiopatřeních k jeho omezení – pozn. aut.] |
Systém související s bezpečností (safety-related system) navržený systém, který současně:
– provádí požadované bezpečnostní funkce nezbytné pro dosažení nebo udržení bezpečného stavu v EUC,
– zajišťuje potřebnou integritu bezpečnosti požadované bezpečnostní funkce, a to buď sám, nebo spolu s dalšími E/E/PE systémy souvisejícími s bezpečností, systémy souvisejícími s bezpečností založenými na jiných technických principech nebo vnějšími prostředky pro zmenšení rizika |
Programovatelný elektronický systém (Programmable Electronic System – PES) systém pro řízení, ochranu nebo monitorování založený na jednom nebo několika programovatelných elektronických zařízeních včetně všech prvků systému, jakými jsou např. napájecí zdroje, snímače a jiná vstupní zařízení, datové sběrnice a jiné přenosové cesty a akční členy i další výstupní zařízení |
Elektrický/elektronický/programovatelný elektronický systém (Electrical/Electronic/Programable Electronic System – E/E/PE systém, E/E/PES) totéž jako PES |
Bezpečnost a riziko |
Poškození, újma (harm) fyzické zranění nebo poškození zdraví lidí buď přímo nebo nepřímo v důsledku ztráty/zhoršení vlastností nebo prostředí [tato definice nezahrnuje poškození majetku nebo životního prostředí, které nemá vliv na poškození zdraví lidí, a není tedy v souladu s nejnovějším pojetím (definicemi)] |
Nebezpečí (hazard) potenciální zdroj poškození, újmy |
Nebezpečná situace (hazardous situation) okolnosti, za nichž je osoba vystavena nebezpečí [tato definice opět zahrnuje pouze lidské hledisko a také není v souladu s nejnovějším pojetím] |
Nebezpečná událost (hazardous event) nebezpečná situace, jejímž výsledkem je poškození, újma |
Bezpečnost (safety) odstranění nepřijatelného rizika |
Funkční bezpečnost (functional safety) část celkové bezpečnosti týkající se EUC a systému řízení EUC závislá na správném fungování E/E/PE systémů souvisejících s bezpečností, na systémech souvisejících s bezpečností založených na jiných technických principech a vnějších prostředcích pro snížení rizika |
Bezpečnostní funkce (safety function) funkce, která má být realizována E/E/PE systémem souvisejícím s bezpečností, systémem souvisejícím s bezpečností založeným na jiných technických principech nebo vnějšími prostředky pro snížení rizika a která je určena pro zajištění nebo udržení bezpečného stavu EUC z hlediska konkrétní nebezpečné události |
Riziko (risk) kombinace pravděpodobnosti výskytu poškození a závažnosti tohoto poškození |
Přípustné riziko (tolerable risk) riziko, které je přijatelné v daných souvislostech založených na běžných hodnotách společnosti |
Zbytkové riziko (rezidual risk) riziko zbývající po přijetí ochranných opatření |
Integrita bezpečnosti |
Integrita bezpečnosti (safety integrity) pravděpodobnost, s jakou bude bezpečnostní systém uspokojivě plnit požadované bezpečnostní funkce za všech stanovených podmínek a po stanovenou dobu |
Integrita bezpečnosti softwaru (software safety integrity) míra vyjadřující pravděpodobnost, s jakou bude software v PES plnit své funkce související s bezpečností za všech stanovených podmínek a po stanovenou dobu |
Integrita bezpečnosti hardwaru (hardware safety integrity) část integrity bezpečnosti systémů souvisejících s bezpečností týkající se náhodných poruch hardwaru v nebezpečném režimu poruchy |
Úroveň integrity bezpečnosti (Safety Integrity Level – SIL) diskrétní hodnota (jedna ze čtyř možných – SIL 1 až SIL 4) pro stanovení požadavků na integritu bezpečnosti bezpečnostních funkcí přiřazených E/E/PE systémům souvisejícím s bezpečností, kde SIL 4 znamená nejvyšší a SIL 1 nejnižší úroveň integrity bezpečnosti |
Požadavky na bezpečnost (ČSN EN 61508: bezpečnostní požadavky) |
Specifikace požadavků na bezpečnost (specifikace bezpečnostních požadavků; safety requirements specification) specifikace obsahující všechny požadavky na bezpečnostní funkce, které musejí systémy související s bezpečností plnit |
Specifikace požadavků na bezpečnostní funkce (specifikace požadavků bezpečnostních funkcí; safety functions requirements specification) specifikace obsahující požadavky na bezpečnostní funkce, které musejí systémy související s bezpečností plnit [jedna část specifikace bezpečnostních požadavků – pozn. aut.] |
Specifikace požadavků na integritu bezpečnosti (specifikace požadavků integrity bezpečnosti; safety integrity requirements specification) specifikace obsahující požadavky na integritu bezpečnosti bezpečnostních funkcí, které musejí systémy související s bezpečností plnit [součást specifikace požadavků na bezpečnost] |
3. Norma IEC 61508
3.1 Zdroje normy
V 80. letech dvacátého století se na první místo zájmu konstruktérů řídicích systémů dostal software. Pro lehkost, s jakou ho lze rychle vytvářet, levně kopírovat a snadno přizpůsobovat novým potřebám, se stal oblíbenějším než čistě hardwarová řešení. Stále častěji se začal objevovat také v oblastech souvisejících s bezpečností. Současně se ale o správnosti takového řešení začalo pochybovat. Zjistilo se, že je téměř nemožné dostatečně dokonale ověřit, zda software odpovídá specifikaci, nehledě na známé obtíže spojené s tím, jak správnou specifikaci požadavků na software vůbec získat.
V té době bylo programování spíše uměním než projektováním a projektování související s bezpečností bylo mezi softwarovými odborníky vůbec neznámé. Navíc, protože se k bezpečnosti nepřistupovalo z hlediska její podstaty, se implicitně předpokládalo, že pokud výrobek pracuje spolehlivě, je bezpečný. Spolehlivost a bezpečnost ovšem nejsou synonyma. S růstem velikosti a složitosti systému navíc nabývají na významu otázky např. jak prokázat bezpečnost systému a jak jej bezpečně naprogramovat.
Otázky a pochybnosti se neomezovaly jenom na software. I hardware se stával stále složitějším, a nebylo snadné ověřovat, zda je v pořádku.
Uvedené skutečnosti vedly mezinárodní elektrotechnickou komisi (International Electrotechnical Commission – IEC) k vypracování dvou studií, které se věnovaly moderním programovatelným elektronickým systémům souvisejícím s bezpečností. Jedna byla zaměřena na hardware, druhá na software. Cílem těchto studií bylo položit základy normy, která by dala konstruktérům návod, jak postupovat při průkazu bezpečnosti jimi navrhovaných systémů.
Začátkem 90. let byly tyto studie spojeny a v roce 1995 vznikl návrh normy IEC 1508, reprezentující přístup k funkční bezpečnosti. Namísto postupu založeného na návrhu a realizaci co možná nejlepšího systému a následném obhájení jeho bezpečnosti volal návrh normy po přístupu založeném na výpočtu rizika, kdy kroky související s bezpečností vycházejí z rizika, které systém představuje pro své okolí. Jestliže je možné dobrat se podstaty rizika a určit, které rizikové faktory je třeba omezit, lze stanovit požadavky na bezpečnost (bezpečnostní požadavky) vedoucí k efektivnímu zmenšení rizika. Oddělením požadavků na bezpečnost od požadavků na funkční schopnosti zařízení se dosáhne jejich podstatného zjednodušení a lepší přehlednosti. Lze lépe prokázat, že opatření uskutečňovaná s cílem zmenšit riziko odpovídají jeho zjištěné úrovni.
V návaznosti na uvedený návrh vznikla norma IEC 61508.
Norma IEC 61508 je obecným dokumentem určeným pro všechna odvětví průmyslu. Má sedm dílů a asi 400 stran. Může být výhodně použita jako základ k napsání speciálně členěných (podle oborů a oblastí použití) norem, ale může být také v současné podobě používána tam, kde specifické normy neexistují. Principy normy IEC 61508 lze chápat jako správnou metodu řízení zaměřeného na funkční bezpečnost.
3.2 Fyzická podoba normy
Jak již bylo uvedeno, skládá se norma IEC 61508 ze sedmi dílů. První čtyři jsou „normativní“, tj. povinné, další tři jsou informativní (poskytují doplňkové informace a návod, jak používat první čtyři díly).
Ve variantě ČSN EN 61508 mají všechny díly společný název Funkční bezpečnost elektrických/elektronických/programovatelných elektronických systémů souvisejících s bezpečností (E/E/PE) s členěním na:
- Část 1: Všeobecné požadavky,
- Část 2: Požadavky na elektrické/elektronické/programovatelné elektronické systémy související s bezpečností,
- Část 3: Požadavky na software,
- Část 4: Definice a zkratky,
- Část 5: Příklady metod určování úrovní integrity bezpečnosti,
- Část 6: Metodické pokyny pro použití IEC 61508-2 a IEC 61508-3,
- Část 7: Přehled technik a opatření.
3.3 Oblast působnosti normy
Ačkoliv se norma IEC 61508 omezuje na bezpečnostní prvky závislé na hardwaru a softwaru E/E/PE systémů, její zásady jsou obecné a tvoří základ bezpečnosti i jiných systémů.
3.4 Zdůvodnění normy
Norma IEC 61508 vychází z modelu ukázaného na obr. 1. Výchozí je řízené zařízení (EUC), které spolu se svým řídicím systémem vytváří určité hodnoty (např. vyrábí elektřinu, ovládá železniční signalizaci), ale které je současně zdrojem nebezpečí pro své okolí.
Norma vyžaduje, aby každé riziko spojené s EUC nebo jeho řídicím systémem bylo identifikováno, definováno a oceněno co do přijatelnosti. Každé riziko, které je shledáno nepřijatelným, je třeba zmenšit, jak ukazuje obr. 2. Potřeba zmenšit riziko může vést ke změně uspořádání EUC nebo jeho řídicího systému. Pak se ale lze dostat až do bodu, kdy další změny jsou už neekonomické, nebo nelze riziko stanovit. Pokud se zbytkové riziko jeví stále jako nepřijatelné, je nutné buď vytvořit v řídicím systému bezpečnostní funkce, nebo zařízení doplnit jedním nebo několika ochrannými zařízeními (obr. 1). Principiálně se doporučuje oddělit ochranný systém od systému řídicího.
Model podle obr. 1, který vychází z oblasti kontinuálních průmyslových procesů, nemusí při posuzování bezpečnosti jiných moderních systémů (např. informačních, jako je lékařská databanka) vyhovovat. Ačkoliv se norma na tyto oblasti neodkazuje, lze přesto její principy použít i zde.
Z obr. 2 je patrné, že zmenšení rizika, kterého je třeba dosáhnout, je dáno rozdílem mezi rizikem, jehož zdrojem je EUC (se svým řídicím systémem), a rizikem, o kterém se lze domnívat, že je za určitých okolností přípustné. Zmenšení rizika se dosahuje prostřednictvím bezpečnostních funkcí, které musí být založeny na poznání rizika. Úroveň rizika je však vždy jen přibližná a potřebné zmenšení rizika nelze nikdy přesně určit. Na obr. 2 je ukázáno, že dosažené zmenšení rizika se může lišit od předpokládaného nutného zmenšení (v tomto případě je větší) a že zbytkové riziko není stejné jako přípustné riziko, ani se nerovná nule.
K vytvoření bezpečnostních funkcí, které ztělesňují hlavní principy normy, je třeba uskutečnit tyto kroky:
- identifikovat a analyzovat všechna rizika spjatá s EUC a jeho řídicím systémem,
- určit pro každé identifikované riziko jeho přípustnou úroveň (přípustné riziko),
- určit pro každé nepřípustné riziko jeho potřebné zmenšení,
- stanovit pro každé zmenšení rizika požadavky na bezpečnost včetně jejich úrovně integrity bezpečnosti (SIL),
- vytvořit bezpečnostní funkce nutné ke splnění požadavků na bezpečnost,
- realizovat bezpečnostní funkce,
- schválit bezpečnostní funkce.
Ačkoliv je norma formálně určena pro E/E/PE systémy související s bezpečností, poukazuje také na to, že bezpečnostní funkce mohou být vytvořeny i jinými technickými způsoby (hydraulické systémy) a popř. také externími opatřeními (postupem práce), jak naznačuje i obr. 2.
3.5 Životní cyklus bezpečnosti
Norma IEC 61508 vychází z pojmu celkový životní cyklus bezpečnosti (obr. 3), který nejenom nabízí model jednotlivých stupňů řízení bezpečnosti během doby života systému, ale současně také představuje strukturu, na které je norma založena. Technické požadavky se tedy stanovují v pořadí určeném jednotlivými fázemi celkového životního cyklu bezpečnosti systému.
Základem konceptu celkového životního cyklu bezpečnosti je pojetí funkční bezpečnosti jako nezávislé na spolehlivosti. Odmítá tedy názor, že „provozně spolehlivý„ automaticky znamená „funkčně bezpečnný„. Formulováním samostatných požadavků na bezpečnost umožňuje posoudit bezpečnost nezávisle na funkčních schopnostech a poskytuje větší důvěru v bezpečnost za normálního i poruchového stavu EUC či jeho řídicího systému. Paradoxem ovšem je, že bezpečnostní aktivity nelze vytrhnout z celkového kontextu, ale je třeba je posuzovat v souvislosti s ostatními částmi technologického zařízení, a to v celém jeho životním cyklu.
V celkovém životním cyklu bezpečnosti podle obr. 3 představují fáze 1 a 2 potřebu poznat EUC a jeho systém řízení z pohledu rizika. Ve fázi 3 se určují úrovně rizika a analyzuje se jejich přípustnost. Ve fázi 4 se stanovují požadavky na bezpečnost zajišťující potřebné zmenšení rizika. Ty jsou ve fázi 5 převedeny do konkrétní podoby a přiřazeny jednotlivým systémům k vyprojektování ve fázích 6, 7 a 8 a realizaci ve fázích 9, 10 a 11. Instalace, uvádění do provozu, potvrzení bezpečnosti, provoz a údržba jsou fáze 12, 13 a 14. Fáze 15 a 16 zahrnují případné pozdější modifikace a ukončení provozu bezpečnostního systému.
Celkový životní cyklus bezpečnosti zahrnuje nejenom vývoj systému, ale i jeho dílčí životní cykly, jak je představují fáze 12 až 16. Současně je ale daný model, tak jako jiné modely, jen určitým přiblížením. Jednotlivé fáze jsou pojaty jako samostatné a chybí přechody mezi nimi. Při pohledu např. na fázi 15 – celková modifikace a zdokonalování model jednoznačně neříká, co je třeba udělat před tím, než se přistoupí k vlastním úpravám (např. analýzu rizika, specifikaci potřebných úprav, novou validaci apod.). Model podle IEC 61508 v žádném případě nemůže nahradit kvalitní projektování a řízení, ale může vhodně posloužit jako podpůrná pomůcka.
3.6 Riziko, jeho analýza a zmenšení
Základním principem zakotveným v normě IEC 61508 je vyváženost mezi opatřeními zajišťujícími bezpečnost a rizikem spojeným s EUC a jeho řídicím systémem. K tomu musí být ve fázi 3 životního cyklu bezpečnosti vykonána důkladná analýza rizika podle článku 7.4 část 1, 2 a 3 normy.
Analýza rizika se podle normy skládá ze tří kroků. Jsou to:
- určení nebezpečí,
- analýza nebezpečí,
- ocenění rizika.
V části 5 normy jsou jednotlivé kroky ilustrovány na příkladech.
Určení nebezpečí spočívá v identifikaci pokud možno všech potenciálních zdrojů nebezpečí. Pro jednoduché systémy, které jsou už určitou dobu v provozu, postačují metody jako brainstorming nebo využití kontrolního seznamu. Pro nové a rozsáhlé systémy je zapotřebí týmová spolupráce. Řízený systém (EUC) a jeho systém řízení mohou být zdrojem mnoha nebezpečí; snahou tedy musí být odhalit jich co nejvíce. Riziko způsobené neidentifikovaným nebezpečím nelze analyzovat, a tudíž ani zmenšovat. Norma poukazuje na to, že určovat nebezpečí pouze pro zařízení v režimu normálního provozu nestačí. V úvahu je třeba brát i poruchy vyvolané „rozumně předvídatelnou„ nesprávnou obsluhou, a to už vyžaduje zkušený a dobře vedený řešitelský tým.
Analýza nebezpečí je studií řetězce příčin a následků mezi rozpoznaným nebezpečím a následnými nehodami. Cílem analýzy je určit příčiny a následky tak, aby z každého možného nebezpečí mohly být odvozeny příslušné následky. Analýza může být kvantitativní nebo kvalitativní. U kvantitativní analýzy je určována pravděpodobnost událostí jako numerická hodnota jejich následků. Riziko je pak vypočítáno vzájemným vynásobením. Ale přijatelná je také kvalitativní analýza (což je usnadněno normativní definicí rizika jako kombinace pravděpodobnosti a následku). Různé kvalitativní metody analýzy využívající např. matice nebo grafy jsou uvedeny v části 5 normy.
V případě jednoduchého hardwaru již dříve používaného ve stejných podmínkách jako v uvažované bezpečnostní úloze lze určit pravděpodobnost vzniku události typu např. poruchy přístroje z minulých údajů. Podobně je možné numericky vyjádřit i příslušné následky, jako např. počet ztracených životů či finanční hodnotu způsobených ztrát. V případě softwaru musí být použity kvalitativní metody, protože softwarové chyby nejsou náhodné, ale systematické.
Ve třetím kroku analýzy rizika – ocenění rizika – se porovnávají hodnoty rizika zjištěné při analýze nebezpečí s přípustnou hodnotou rizika. Zjišťuje se, je-li zjištěná hodnota rizika menší než přípustná, a není-li, o kolik je třeba riziko zmenšit. V této fázi je nevyhnutelná značná dávka subjektivity, a to minimálně při stanovování hodnoty přípustného rizika. Je třeba poznamenat, že přípustné úrovně rizika mohou být různé pro různá EUC a jejich systémy řízení. Záleží nejen na úrovni rizika, ale i na poměru přínosů plynoucích z přijetí rizika na jedné a jeho zmenšení na druhé straně. Téma přípustného rizika je probíráno v části 5 normy.
3.7 Požadavky na bezpečnost a bezpečnostní funkce
Požadavky na bezpečnost jsou požadavky určené s cílem zmenšit úroveň rizika. Stejně jako jiné požadavky mohou být nejprve stanoveny všeobecně jako potřeba zmenšit dané riziko a potom rozpracovány do podrobností. Souhrn požadavků na bezpečnost pro identifikovaná rizika tvoří specifikaci požadavků na bezpečnost.
Požadavky na bezpečnost jsou ve fázi projektování převedeny na bezpečnostní funkce. Ty jsou implementovány do bezpečnostního systému, který, jak je patrné z obr. 2, nemusí být nutně téže technické povahy jako řídicí systém (např. brzdový systém může být hydraulický). Požadavky na bezpečnost mohou být splněny kombinací bezpečnostních funkcí, které mohou být implementovány do systémů založených na různých metodách (např. systémy založené na softwaru spolu s řídicími postupy, kontrolními seznamy a schvalovacími postupy).
Tam, kde jsou bezpečnostní funkce implementovány v podobě softwaru, je nutná hardwarová základna obsahující počítačový systém. Na ten jsou kladeny stejné požadavky jako na software. Norma umožňuje využívat několik bezpečnostních funkcí založených na softwaru pracujícím na téže hardwarové základně.
3.8 Úrovně integrity bezpečnosti
K vykonávání důležité práce jsou nutné spolehlivé pracovní prostředky. A čím důležitější ta práce je, tím spolehlivější by měly být prostředky. V případě bezpečnostních systémů je prací myšleno zajištění bezpečnosti. Čím větší význam má bezpečnost systému, tím menší musí být četnost výskytu nebezpečných poruch. Mírou četnosti výskytu nebezpečných poruch je integrita bezpečnosti systému definovaná v části 4 normy IEC 61508 jako pravděpodobnost, že bezpečnostní systém bude uspokojivě plnit požadované bezpečnostní funkce za daných podmínek během stanovené doby.
Jestliže by bylo vždy možné vyjádřit četnost výskytu nebezpečných poruch numericky, nebylo by nutné zavádět pojem úrovně integrity bezpečnosti (SIL), protože SIL jsou kategorie a kategorie jsou zbytečné, jsou-li k dispozici přesné hodnoty. V normě je SIL definována jako diskrétní hodnota (jedna ze čtyř možných – SIL 1 až SIL 4) pro stanovení požadavků na integritu bezpečnosti bezpečnostních funkcí přiřazených E/E/PE systémům souvisejícím s bezpečností, kde SIL 4 znamená nejvyšší a SIL 1 nejnižší úroveň integrity bezpečnosti. Kategorie SIL tedy reprezentuje výslednou pravděpodobnost výskytu nebezpečné poruchy definované bezpečnostní funkce. Původně byla určena pro použití v těch případech kvalitativní analýzy nebezpečí, kde numerická hodnota rizika nebyla k dispozici, jako je tomu např. u softwaru.
Tab. 1. Vztah SIL a pravděpodobnosti výskytu nebezpečné poruchy za hodinu jeho chodu u systémů s trvalou činností (kategorie „s vysokým, popř. trvalým vyžádáním“ podle ČSN EN 61508) |
|
SIL |
Pravděpodobnost výskytu poruchy za hodinu provozu |
4 |
ł10–9 až <10–8 |
3 |
ł10–8 až <10–7 |
2 |
ł10–7 až <10–6 |
1 |
ł10–6 až <10–5 |
| |
Norma požaduje, aby při definování požadavků na bezpečnost byly k dispozici dva typy součástí: funkční komponenty a součásti se stanovenou úrovní integrity bezpečnosti. Z obr. 2 je patrné, že požadavky na bezpečnost vycházejí z potřeby zmenšit riziko. Obecně řečeno, je třeba zmenšit riziko selhání funkční součásti. Součást s určenou úrovní integrity bezpečnosti má určitou SIL (1 až 4), vázanou na požadované zmenšení rizika. Jak už bylo řečeno, čím důležitější je úkol, tím spolehlivější musí být systém. V tomto případě tedy čím více je třeba zmenšit riziko, tím větší požadavky jsou kladeny na systém, který riziko zmenšuje – tedy na jeho SIL.
Norma přiřazuje k SIL pravděpodobnost výskytu nebezpečných chyb ve dvou tabulkách. Z nich jedna platí pro systémy činné nepřetržitě (norma ČSN EN 61508 zavádí termín „systém s vysokým, popř. trvalým vyžádáním„; tab. 1) a druhá pro systémy pracující na základě jednotlivého požadavku (na vyžádání; tzv. on-demand systems nebo low-demand systems; podle ČSN EN 61508 „systémy s nízkým vyžádáním„; tab. 2.). Podle normy je od systémů pracujících na vyžádání požadována činnost méně často než jednou za rok. Tím je dán rozdíl mezi hodnotami v obou tabulkách, který je 1 · 104 (rok má asi 10 000 hodin). Za předpokladu výskytu jednoho požadavku na činnost za rok znamená požadavek SIL 4 u systému pracujícího na vyžádání maximálně jednu poruchu za deset tisíc let.
| Tab. 2. Vztah SIL a pravděpodobnosti výskytu nebezpečné poruchy u systémů činných na vyžádání (kategorie „s nízkým vyžádáním podle ČSN EN 61508) |
|
SIL |
Pravděpodobnost výskytu poruchy za hodinu provozu |
4 |
ł10–5 až <10–4 |
3 |
ł10–4 až <10–3 |
2 |
ł10–3 až <10–2 |
1 |
ł10–2 až <10–1 |
|
Jak je uvedeno v definici, je účelem kategorií SIL zadat úkoly konstruktérům. V případě jednoduchého elektromechanického hardwaru lze prokázat dosažení určité kategorie SIL použitím údajů o četnosti poruch. Pro složité systémy a v případě softwaru, kde poruchy nejsou náhodné, ale systematické, nelze SIL tímto způsobem prokázat. Potom SIL vyjadřuje tvrdost uplatněnou ve fázi vývoje produktu. Jinými slovy, protože nelze spolehlivě prokázat četnost nebezpečných poruch produktu, je nutné obrátit pozornost do procesu jeho vývoje. V tomto případě vyžaduje SIL 1 základní znalosti projektování a dodržování zásad řízení jakosti jako např. ISO 9000. Vyšší SIL následně vyžaduje, aby byl tento základní požadavek zpřísněn. Požadavky na hardware a software jsou uvedeny v části 2, popř. části 3 normy.
3.9 Rozbor bezpečnosti
Protože neexistuje nulové riziko, nelze dosáhnout absolutní bezpečnosti. A protože není možné prokázat absolutní bezpečnost systému, nezbývá než se vynasnažit zvýšit důvěru v něj na úroveň odpovídající daným možnostem. Nárůstu důvěry se dosáhne tehdy, je-li věrohodně prokázáno, čeho se dosáhlo. Bezpečnostní inženýrství má tedy dva úkoly: dosáhnout bezpečnosti a prokázat, že jí bylo dosaženo. Ten, kdo prohlásil systém za dostatečně bezpečný, musí také dokázat, že jeho prohlášení je platné.
Prohlášení o tom, že systém je bezpečný, musí být schváleno nezávislou znaleckou strukturou, přičemž norma stanoví tři úrovně nezávislosti: nezávislá osoba, nezávislé oddělení a nezávislá organizace. Požadovaná úroveň závisí na SIL hodnoceného systému a dalších konkrétních okolnostech.
3.10 Lidský činitel
Lidský činitel je obecný pojem zahrnující vše, co se ve vztahu k EUC a jeho řídicímu systému týká člověka. Pokrývá ergonomické aspekty systému, obsluhu systému a někdy i vedení (management).
Říká se, že většina nehod je zaviněna alespoň z části člověkem. Proto je účelné brát při určování a při analýze rizika lidský činitel v úvahu. To se mnohdy neděje, a to ze dvou důvodů: za prvé se analýzy rizika tradičně zaměřují jen na poruchy zařízení a za druhé nejsou projektanti dostatečně obeznámeni se způsoby hodnocení spolehlivosti lidské činnosti. Má-li se tento stav změnit, měla by norma věnovaná funkční bezpečnosti poskytnout návod, jak do analýzy rizika zahrnovat lidský činitel. A to se zatím nestalo.
Ačkoliv se IEC 61508 zmiňuje o lidském činiteli a doporučuje brát ho v úvahu, nenabízí žádný návod k tomu,co, jak nebo kdy v tomto směru udělat.
Ve světle moderního pojetí spolehlivosti lidské činnosti nemůže uspět argument, že nehody způsobené člověkem jsou zcela nepředvídatelné. Na to se ve zpětných analýzách rizika uskutečňovaných v souvislosti s vyšetřováním nehod otázka opomenutí lidského faktoru objevuje příliš často.
4. Přípustnost rizika
Jednotlivci i organizace se často musejí rozhodovat, jaké riziko je ještě přijatelné, a jaké je třeba odmítnout. Riziko je odmítáno z důvodů jako konzervatismus, strach a zodpovědný přístup k nebezpečí ohrožujícímu nás samotné či druhé osoby apod. Naopak riziko je akceptováno pro možnou odměnu, která může mít formu zisku, potěšení nebo uspokojení dobrodružné povahy.
Je třeba dodat, že riziko, které je pro někoho přijatelné, je pro druhého nepřijatelné. Například chodci různě přijímají úroveň rizika přechodu přes křižovatku, jeden obchodník může přistupovat k riziku obchodní transakce jinak než druhý obchodník. To je tedy subjektivita v přístupu k riziku. Podobně ovlivňují přístup k riziku, stejně jako ocenění rizika, etické a morální hodnoty. Například přestože pravděpodobnost a následky nehody jsou shodně posuzovány všemi zúčastněnými stranami, někteří lidé jsou ochotni riziko přijmout, a jiní je odmítají (např. z důvodu ochrany životního prostředí).
Zákon ve Velké Británii např. vyžaduje, aby bylo riziko omezeno na rozumně dosažitelnou úroveň. Britský Úřad pro zdraví a bezpečnost (Health and Safety Executive – HSE) představil v této souvislosti metodický princip, jak omezení realizovat – tzv. ALARP (As Low As Reasonably Practicable). Slovu practicable (proveditelné) byla záměrně dána přednost před practical (praktický), neboť to druhé by mohlo být vnímáno ve významu potlačit riziko „v maximální možné“ míře. Záměrem ale je, aby byla brána v úvahu i ekonomická stránka věci, tj. náklady, které si případné zmenšení rizika vyžádá. Metodika ALARP ovšem současně ukládá projektantovi povinnost určit zbytkové riziko spolu s důkazem, že riziko již dále nelze rozumným způsobem zmenšit.
Princip ALARP se poprvé objevil v dokumentech HSE týkajících se přípustnosti rizika v jaderných elektrárnách v roce 1988. Z jaderného průmyslu se jeho používání rozšířilo i do jiných průmyslových odvětví.
Jak je ukázáno na obr. 4, vymezuje ALARP pro riziko tři oblasti (kategorie). Pokud je riziko v nepřípustné oblasti, nemůže být výrobní jednotka přinášející s sebou dané nebezpečí provozována. Riziko se musí nejprve zmenšit, a to minimálně do přípustné oblasti (ALARP). V nejníže položené, tj. všeobecně přijatelné oblasti je riziko považováno za bezvýznamné a za přijatelné bez dalšího omezování. Je však třeba kontrolovat, zda setrvává na stejné úrovni. V přípustné oblasti (ALARP) není riziko ani automaticky přijatelné, ani automaticky nepřípustné. Může být přijato nebo odmítnuto podle nákladů na jeho zmenšení nebo výhod, které jeho zanedbání přinese.
Hranice mezi oblastí ALARP a oblastí všeobecné přijatelnosti může být označována jako bezpečná úroveň, což ale v žádném případě neznamená nulové riziko. Podobně hranici zóny ALARP s nepřípustnou oblastí lze označit jako nebezpečnou, ale neznamená neodvratnou katastrofu nebo maximální riziko.
Ve svém přístupu rozlišuje HSE přípustné od přijatelného. „Přijatelné“ podle něj znamená ochotu žít s rizikem za účelem získání určitého prospěchu a současně očekávat, že toto riziko nevzroste, anebo bude zmenšeno (v případě, že toto zmenšení bude možné realizovat).
Přípustné riziko není nutně označováno těmi, kteří je přijímají, jako přijatelné v případě, že chybí potenciální prospěch. Ani by nemělo být přijímáno bezmyšlenkovitě. Nejprve by měla být prověřena jeho přiměřenost a úroveň.
V modelu ALARP na obr. 4 vyznačuje šířka trojúhelníku, že náklady na zmenšení rizika obecně se vzrůstajícím rizikem rostou: čím větší je riziko, tím zpravidla musí být větší i náklady na jeho zmenšení. Neznamená to však, že velké zmenšení rizika musí vždy nutně znamenat velké náklady. I s nevelkými náklady lze v mnoha případech dosáhnout podstatného zmenšení rizika.
5. Závěr
Mezinárodní norma IEC (ČSN EN) 91508 sjednocuje přístup k problematice funkční bezpečnosti automatizovaných systémů. Je normou generickou, určenou pro všeobecné použití jako základ pro návrh norem lépe odrážejících specifické podmínky jednotlivých průmyslových odvětví, popř. firem. Postupně nahrazuje, popř. jsou s ní dávány do souladu předchozí obdobné normy DIN 19250 a ISA S84 a stala se již základem normy IEC 61511 Functional safety: Safety instrumented systems for process industry sector, vytvořené pro potřeby odvětví s kontinuálními technologickými procesy [4]. Její všeobecné zavedení je pokládáno za velmi žádoucí a je podporováno na úrovni EU [5]. V některém z dalších čísel časopisu Automa bude ukázáno, jak tuto normu upotřebit při návrhu bezpečnostního systému v praxi [6].
Literatura:
[1] IEC (ČSN EN) 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems (Funkční bezpečnost elektrických/elektronických/elektronických programovatelných systémů souvisejících s bezpečností). IEC, 1998; EN, 2001; ČSN, září 2002.
[2] – : An introduction to Functional Safety and IEC 61508. Application Note AN9025-3, MTL Instruments Group plc, 2002.
[3] STOREY: Safety-critical Computer Systems. Addison-Wesley, Harlow, 1996.
[4] VASS, J.: Aspekty funkčnej bezpečnosti II. Automa, 2004, roč. 10, č. 2, s. 49–51.
[5] NUNNS, S. R.: Workshop evropského projektu SIPI v Praze. Automa, 2004, roč. 10, č. 5, s. 56.
[6] UHER, J.: Úvod do funkční bezpečnosti II: použití normy ČSN EN 61508. Automa, 2004, v tisku.
|