7.4. Функциональная безопасность

На опасных промышленных объектах неправильное функционирование системы автоматизации может привести к человеческим жертвам, экологическим катастрофам или большим финансовым потерям. Полностью исключить ситуации, приводящие к таким последствиям, невозможно. Речь может идти только о вероятности их возникновения и допустимом уровне риска.

Риском в области безопасности называют произведение вероятности возникновения опасной ситуации на тяжесть (стоимость) последствия [МЭК]. Допустимый уровень риска оценивается в каждом конкретном случае индивидуально. Из определения риска следуют пути его снижения: уменьшение вероятности появления опасной ситуации и ограничение тяжести ее последствий.

Под безопасностью систем понимается такое их функционирование, при котором отсутствуют опасные отказы и недопустимый ущерб. Функциональной безопасностью называют безопасность, которая связана с непреднамеренно вызванными отказами в выполнении отдельных функций системы. Вопросам функциональной безопасности посвящены работы [МЭК - ГОСТ]. Причинами отказов могут быть дефекты программ, данных, аппаратуры, влияние внешней среды и непреднамеренно неправильные действия обслуживающего персонала. Функциональную безопасность следует отличать от информационной безопасности, которая связана в основном с умышленным воздействием на систему, от электробезопасности, которая относится к защите человека от поражения электрическим током и от взрывопожаробезопасности, которая изучает методы предотвращения воспламенения горючих газов и пыли.

Функциональная безопасность отличается также от очень близкого понятия надежности тем, что она учитывает не только частоту отказов системы, но и вероятность возникновения опасной ситуации во время отказа. Например, надежность контроллера, стоящего в системе автоматического пожаротушения и контроллера в системе управления лифтом, может быть одинаковой, однако лифтом пользуются много раз в день, и практически каждый отказ может привести к нарушению безопасности, в то время как отказ системы пожаротушения может не проявиться никогда, даже если этот отказ произойдет. Из этого примера ясно, что одного понятия надежности недостаточно для описания степени безопасности систем автоматизации.

Термин "функциональная" применительно к безопасности систем автоматизации означает безопасность, которая зависит от корректного функционирования системы, т.е. от правильного выполнения системой своих функций. В отличие от этого, надежность описывает частоту отказов независимо от назначения системы и тяжести последствий, вызванных отказами. Тем не менее, показатели надежности используются при количественном описании функциональной безопасности.

При анализе функциональной безопасности рассматриваются опасные отказовые ситуации, которые приводят к авариям, катастрофам и человеческим жертвам. Функциональной безопасности программируемых электронных систем посвящен международный стандарт МЭК 61508 и серия связанных с ним стандартов [МЭК - IEC]. Стандарт выделяет четыре "уровня полноты безопасности" (Safety Integrity Level, SIL), которые выбираются в зависимости от тяжести последствий, которые могут наступить при неправильном функционировании системы.

Уровень SIL4 является самым высоким, наиболее труднодостижимым. Для его обеспечения требуется чрезвычайно высокая квалификация и работа "на грани искусства". Поэтому следует избегать необходимости его применения.

Уровень SIL3 ниже, чем SIL4, но также требует высокой квалификации и высокого уровня организации процесса проектирования. Немногие исполнители способны обеспечить этот уровень безопасности.

Уровень SIL2 требует управления работами в соответствии со стандартом ИСО 9001. Достижение этого уровня требует большего числа испытаний, чем SIL1, что приводит к увеличению стоимости проекта.

Уровень SIL1 является самым низким, для его выполнения достаточно наличия хорошего опыта разработок.

Уровни SIL определяют величину допустимого риска для системы. Они являются мерой вероятности того, что система будет правильно выполнять свои функции, влияющие на безопасность. При оценке риска используется понятие "demand on the safety" - "запрос безопасности", которое означает возникновение ситуации, в которой может проявиться свойство безопасности. Например, возникновение ситуации, при которой срабатывает система аварийной защиты, является "запросом безопасности". Этот запрос может не реализоваться, если во время запроса система находится в состоянии отказа, или реализоваться в виде срабатывания системы.

Величина риска зависит от частоты запроса безопасности. Например, если покушение на ограбление банка ("запрос безопасности") случается 1 раз в год, то вероятность отказа системы охранной сигнализации в течение года должна быть равна 0,1, чтобы ограбление было возможно не чаще чем 1 раз в 10 лет.

В табл. 7.33 приведены границы вероятности отказов при наличии запроса к системе при низкой частоте запросов (реже 1 раза в год), устанавливаемые стандартом МЭК 61508. Например, если срабатывание аварийной сигнализации происходит редко, предположим, один раз в два года, то в этом случае используется табл. 7.33.

При высокой частоте запросов (например, если взрывоопасная пыль в шахте присутствует постоянно и вероятность взрыва существует всегда, т.е. запрос безопасности существует непрерывно), вероятность отказа в зависимости от уровня безопасности SIL выбирается из табл. 7.34 [МЭК - МЭК ]. В этой таблице использована величина вероятности отказа системы в течение часа, в то время как в табл. 7.33 - вероятность отказа в течение часа, умноженная на интервал между запросами.

Стандарт МЭК 61508 устанавливает два способа расчета величины риска. Поскольку риск определяется как произведение вероятности возникновения опасной ситуации на тяжесть (стоимость) последствия, первой стадией в оценке риска является определение вероятность возникновения опасности. Количественный метод расчета вероятности основан на анализе частоты отказов системы. Используется также качественный анализ, описанный в [МЭК , Смит].

При анализе функциональной безопасности различают случайные отказы и систематические. Систематические отказы (типовой случай - отказы программного обеспечения) существуют постоянно, даже в момент пуска системы в эксплуатацию. Случайные отказы появляются с течением времени. Основным средством уменьшения интенсивности случайных отказов является резервирование компонентов системы. Количество систематических отказов может быть снижено преимущественно в процессе разработки, для чего стандарт устанавливает требования к процессу разработки, модернизации, а также к архитектуре аппаратного и программного обеспечения.

В системах промышленной автоматизации компонентами, влияющими на функциональную безопасность, являются датчики, контроллер с программным обеспечением, исполнительные устройства и линии связи между ними. Стандарт МЭК 61508 требует анализа соответствия такой системы одному из уровней безопасности. Отметим, что если отдельные компоненты системы удовлетворяют требованию, например, уровня SIL2, то это не означает, что система в целом соответствует SIL2, поскольку вероятность отказа системы всегда выше, чем отдельных ее компонентов. В то же время, используя резервирование, можно построить систему более высокого уровня безопасности, чем уровень входящих в нее компонентов.

Требования функциональной безопасности необходимо выполнять на протяжении всего жизненного цикла системы автоматизации, который включает проектирование, производство, снабжение, контроль, проведение испытаний, упаковку и хранение, доставку, монтаж у заказчика, эксплуатацию, обучение персонала эксплуатирующей организации, техническую поддержку, утилизацию.

Многие результаты применения принципов обеспечения функциональной безопасности систем автоматизации изложены в отраслевых правилах промышленной безопасности, где сформулированы требования к допустимой частоте отказов, к видам защиты и способам их выполнения, требования к резервированию, к построению систем сигнализации, блокировок и аварийного останова, к алгоритмам работы систем автоматической противоаварийной защиты (ПАЗ) и др. [Макдональд, РД - ПБ].