Содержание статьи
1. Введение в функциональную безопасность
Функциональная безопасность представляет собой комплексную область инженерии, направленную на обеспечение безопасной работы технических систем за счет правильного выполнения функций безопасности. Согласно ГОСТ Р МЭК 61508, функциональная безопасность относится к системам, отвечающим за функции безопасности, выход из строя которых создает значительные риски для людей и окружающей среды.
Концепция функциональной безопасности стала особенно актуальной с развитием автоматизированных систем управления технологическими процессами. Стандарт выделяет четыре «уровня полноты безопасности» (Safety Integrity Level, SIL), которые выбираются в зависимости от тяжести последствий, которые могут наступить при неправильном функционировании системы.
Основные принципы функциональной безопасности базируются на двух ключевых подходах: минимизации вероятности возникновения опасных ситуаций и ограничении тяжести их последствий. Это достигается через применение систематических методов анализа рисков, проектирования отказобезопасных архитектур и внедрения процедур верификации и валидации.
2. Уровни полноты безопасности SIL 1-4
Европейские стандарты по функциональной безопасности определяют четыре уровня SIL (полноты функциональной безопасности), из которых SIL 4 обозначает уровень наивысшей надёжности (функциональной безопасности) системы. Каждый уровень характеризуется определенными требованиями к вероятности отказа и методам проектирования.
| Уровень SIL | PFD (вероятность отказа по запросу) | PFH (вероятность отказа в час) | RRF (фактор снижения риска) | Область применения |
|---|---|---|---|---|
| SIL 4 | ≥ 10⁻⁵ до < 10⁻⁴ | ≥ 10⁻⁹ до < 10⁻⁸ | 10,000 - 100,000 | Критические системы жизнеобеспечения |
| SIL 3 | ≥ 10⁻⁴ до < 10⁻³ | ≥ 10⁻⁸ до < 10⁻⁷ | 1,000 - 10,000 | Высокорисковые промышленные процессы |
| SIL 2 | ≥ 10⁻³ до < 10⁻² | ≥ 10⁻⁷ до < 10⁻⁶ | 100 - 1,000 | Стандартные промышленные системы |
| SIL 1 | ≥ 10⁻² до < 10⁻¹ | ≥ 10⁻⁶ до < 10⁻⁵ | 10 - 100 | Базовые системы с низким риском |
Каждый следующий более высокий уровень SIL обозначает снижение уровня риска на порядок (в 10 раз). Это означает, что система SIL 3 должна быть в 10 раз более надежной, чем система SIL 2.
Режимы работы систем безопасности
Системы безопасности могут работать в двух основных режимах:
Режим низкой интенсивности запросов - когда функция безопасности запрашивается не чаще одного раза в год. В этом случае используется показатель PFD (Probability of Failure on Demand).
Режим высокой интенсивности запросов - когда функция безопасности запрашивается чаще одного раза в год или работает непрерывно. Здесь применяется показатель PFH (Probability of Failure per Hour).
3. Расчет вероятности отказа PFD
Расчет средней вероятности отказа по запросу (PFDavg) является ключевым элементом определения уровня SIL. Первым параметром, определяющим интегральный уровень безопасности SIL (Safety Integrity Level), является средняя вероятность отказа на запрос выполнения функции безопасности PFDavg (Probability of Failure on Demand).
Основная формула расчета PFD
Для простейшей архитектуры 1oo1 (один из одного) формула расчета PFDavg имеет следующий вид:
Где:
- λdu - интенсивность опасных недетектируемых отказов (отказы в час)
- TI - интервал времени между функциональными проверочными тестами (обычно от 1 до 10 лет)
Расширенная формула с учетом диагностики
Для TI = 1 году и SL = 12 годам формула для PFDavg имеет вид: PFDavg|TI=1, SL=12=Et×λdu /2+(1–Et)×λdu×12/2, где Et - эффективность теста по выявлению опасных отказов.
| Параметр | Обозначение | Единицы измерения | Типичные значения |
|---|---|---|---|
| Интенсивность опасных детектируемых отказов | λdd | отказы/час | 10⁻⁶ - 10⁻⁴ |
| Интенсивность опасных недетектируемых отказов | λdu | отказы/час | 10⁻⁷ - 10⁻⁵ |
| Интенсивность безопасных детектируемых отказов | λsd | отказы/час | 10⁻⁶ - 10⁻⁴ |
| Интенсивность безопасных недетектируемых отказов | λsu | отказы/час | 10⁻⁷ - 10⁻⁵ |
Доля безопасных отказов (SFF)
Значение SFF определяется по формуле: SFF = ( ∑λdd + ∑λsd + ∑λsu ) / ( ∑λdd + ∑λdu + ∑λsd + ∑λsu ) = 1 – ∑λdu / ( ∑λdd + ∑λdu + ∑λsd + ∑λsu ).
Для устройства с параметрами:
- λdd = 2×10⁻⁶ отказы/час
- λdu = 3×10⁻⁷ отказы/час
- λsd = 1×10⁻⁶ отказы/час
- λsu = 5×10⁻⁷ отказы/час
SFF = (2×10⁻⁶ + 1×10⁻⁶ + 5×10⁻⁷) / (2×10⁻⁶ + 3×10⁻⁷ + 1×10⁻⁶ + 5×10⁻⁷) = 3.5×10⁻⁶ / 4.3×10⁻⁶ = 0.814 или 81.4%
4. Архитектуры систем безопасности
Архитектура системы безопасности определяет способ организации компонентов для достижения требуемого уровня SIL. Таблица B.1 - Параметры, используемые в настоящем приложении, и диапазоны их значений (применяется к архитектурам 1оо1, 1оо2, 2оо2, 1oo2D и 2oo3).
Основные типы архитектур
| Архитектура | Описание | Формула PFD | Максимальный SIL |
|---|---|---|---|
| 1oo1 | Один канал, одного достаточно для срабатывания | λdu × TI / 2 | SIL 2 |
| 1oo2 | Два канала, одного достаточно для срабатывания | (λdu × TI)² / 3 | SIL 3 |
| 2oo3 | Три канала, двух достаточно для срабатывания | 3 × (λdu × TI)² | SIL 4 |
| 1oo2D | Два канала с диагностикой | λdu × TI × (1 + DC) / 2 | SIL 3 |
Архитектура 1oo2 (один из двух)
Важно понимать разницу между системами 1оо2 и loo2D. Чтобы сразу внести определенность, приведем схему системы 1оо2, которая часто помечается как система с архитектурой loo2D, однако таковой не является.
В архитектуре 1oo2 система состоит из двух идентичных каналов, работающих параллельно. Функция безопасности выполняется, если срабатывает хотя бы один из каналов. Это обеспечивает высокую надежность, поскольку отказ одного канала не приводит к отказу всей системы.
Архитектура 2oo3 (два из трех)
Система 2oo3 включает три независимых канала, и для выполнения функции безопасности требуется срабатывание минимум двух каналов. Такая архитектура обеспечивает как высокую надежность, так и защиту от ложных срабатываний.
При λdu = 5×10⁻⁶ отказы/час и TI = 1 год (8760 часов):
PFDavg = (5×10⁻⁶ × 8760)² / 3 = (0.0438)² / 3 = 6.4×10⁻⁴
Это соответствует уровню SIL 3.
Отказоустойчивость аппаратных средств (HFT)
Отказоустойчивость определяет способность системы продолжать выполнение функций безопасности при наличии отказов в аппаратных средствах. Для различных уровней SIL установлены минимальные требования к HFT в зависимости от доли безопасных отказов (SFF).
5. Стандарт IEC 61508
ГОСТ IEC 61508-3-2018 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению представляет собой основополагающий документ в области функциональной безопасности.
Структура стандарта IEC 61508
Серия стандартов МЭК 61508 включает 7 частей, которые в сумме содержат около 600 страниц текста. Каждая часть стандарта имеет свое специфическое назначение:
| Часть | Название | Основное содержание |
|---|---|---|
| Часть 1 | Общие требования | Основные концепции и терминология |
| Часть 2 | Требования к системам | Требования к аппаратным средствам |
| Часть 3 | Требования к ПО | Жизненный цикл программного обеспечения |
| Часть 4 | Термины и определения | Словарь терминологии |
| Часть 5 | Методы определения SIL | Анализ рисков и назначение уровней |
| Часть 6 | Руководство по применению | Практические рекомендации |
| Часть 7 | Методы и средства | Инструменты и технологии |
Жизненный цикл безопасности
An engineering process called the safety life cycle is defined based on best practices in order to discover and eliminate design errors and omissions. Жизненный цикл безопасности включает следующие основные этапы:
Этап 1: Концепция - определение назначения системы и предварительный анализ опасностей.
Этап 2: Анализ опасностей и рисков - детальная идентификация опасностей и оценка связанных с ними рисков.
Этап 3: Распределение требований безопасности - определение функций безопасности и требуемых уровней SIL.
Этап 4: Проектирование и реализация - разработка системы в соответствии с требованиями безопасности.
Этап 5: Интеграция и испытания - сборка системы и проверка соответствия требованиям.
Этап 6: Эксплуатация и обслуживание - обеспечение функциональной безопасности в течение всего срока службы.
Систематическая целостность
Systematic Capability (SC) which is a measure of design quality. Each device in the design has an SC rating. The SIL of the safety function is limited to smallest SC rating of the devices used.
6. Процедуры сертификации
Сертификация SIL – это оценка третьей стороной оборудования, программного обеспечения, процедур проектирования и разработки технических средств. Процесс сертификации включает комплексную оценку соответствия продукта требованиям стандартов функциональной безопасности.
Этапы процедуры сертификации
| Этап | Описание | Документы | Длительность |
|---|---|---|---|
| Подача заявки | Подготовка и подача документации | Техническое описание, схемы, ПО | 2-4 недели |
| Анализ документации | Проверка соответствия требованиям | Анализ FMEDA, план качества | 4-8 недель |
| Испытания | Функциональные и климатические тесты | Протоколы испытаний | 6-12 недель |
| Аудит производства | Оценка процессов изготовления | Система менеджмента качества | 1-2 недели |
| Выдача сертификата | Оформление документов | Сертификат соответствия SIL | 2-3 недели |
Требования к документации
FMEDA анализ изделия. Если FMEDA анализ не проводился, то наши эксперты вышлют методологию и примеры и проведут анализ совместно с вами.
Анализ FMEDA (Failure Mode, Effects and Diagnostic Analysis) представляет собой систематический метод анализа видов отказов, их влияния и диагностических возможностей. Этот анализ включает:
Идентификацию видов отказов - определение всех возможных способов отказа каждого компонента системы.
Анализ влияния отказов - оценка последствий каждого вида отказа на функционирование системы в целом.
Классификацию отказов - разделение отказов на безопасные и опасные, детектируемые и недетектируемые.
Расчет параметров надежности - определение интенсивностей отказов и показателей безопасности.
Международное признание сертификатов
Зачастую возникает вопрос о легитимности применения в Российской Федерации сертификатов соответствия зарубежных органов по сертификации (и признании систем по сертификации продукции) на соответствие требованиям функциональной безопасности (SIL).
7. Практические примеры расчетов
Рассмотрим конкретные примеры расчета параметров функциональной безопасности для различных архитектур систем.
Пример 1: Система предохранительного клапана (архитектура 1oo1)
- Интенсивность опасных недетектируемых отказов λdu = 1.2×10⁻⁶ отказы/час
- Интервал между проверочными тестами TI = 1 год (8760 часов)
- Эффективность тестирования Et = 90%
Расчет PFDavg:
PFDavg = λdu × TI / 2 = 1.2×10⁻⁶ × 8760 / 2 = 5.26×10⁻³
Определение уровня SIL:
Значение 5.26×10⁻³ попадает в диапазон SIL 2 (≥ 10⁻³ до < 10⁻²)
Фактор снижения риска:
RRF = 1 / PFDavg = 1 / 5.26×10⁻³ ≈ 190
Пример 2: Система аварийной остановки (архитектура 1oo2)
- Два идентичных канала с λdu = 8×10⁻⁷ отказы/час каждый
- Интервал между проверочными тестами TI = 2 года (17520 часов)
- Общий отказ по общей причине β = 5%
Расчет PFDavg для архитектуры 1oo2:
PFDavg = β × λdu × TI / 2 + (1-β) × (λdu × TI)² / 3
PFDavg = 0.05 × 8×10⁻⁷ × 17520 / 2 + 0.95 × (8×10⁻⁷ × 17520)² / 3
PFDavg = 3.5×10⁻⁴ + 1.0×10⁻⁴ = 4.5×10⁻⁴
Результат: Система соответствует уровню SIL 3
Пример 3: Расчет доли безопасных отказов (SFF)
- λdd (опасные детектируемые) = 3.2×10⁻⁶ отказы/час
- λdu (опасные недетектируемые) = 8×10⁻⁷ отказы/час
- λsd (безопасные детектируемые) = 2.1×10⁻⁶ отказы/час
- λsu (безопасные недетектируемые) = 6×10⁻⁷ отказы/час
Расчет:
Общая интенсивность отказов: λtotal = 3.2×10⁻⁶ + 8×10⁻⁷ + 2.1×10⁻⁶ + 6×10⁻⁷ = 6.7×10⁻⁶
SFF = (λdd + λsd + λsu) / λtotal = (3.2×10⁻⁶ + 2.1×10⁻⁶ + 6×10⁻⁷) / 6.7×10⁻⁶ = 88.1%
Влияние интервала тестирования
Уровень SIL остаётся неизменным только в течение определённого периода времени Tproof – это временной интервал между проведением проверочных диагностических тестов системы безопасности, обычно он составляет 1, 3, 5, 10, 15 лет.
| Интервал тестирования | PFDavg (λdu = 10⁻⁶) | Уровень SIL | RRF |
|---|---|---|---|
| 6 месяцев (4380 ч) | 2.19×10⁻³ | SIL 2 | 457 |
| 1 год (8760 ч) | 4.38×10⁻³ | SIL 2 | 228 |
| 2 года (17520 ч) | 8.76×10⁻³ | SIL 2 | 114 |
| 5 лет (43800 ч) | 2.19×10⁻² | SIL 1 | 46 |
8. Внедрение и обслуживание систем SIL
Успешное внедрение систем функциональной безопасности требует комплексного подхода, включающего не только техническое проектирование, но и организационные мероприятия.
Планирование функциональной безопасности
Планирование функциональной безопасности должно определять стратегию поставок, разработки, интеграции, верификации, подтверждения соответствия и модификации программного обеспечения в той мере, в какой этого требует уровень полноты безопасности функций.
Ключевые элементы планирования включают:
Управление жизненным циклом - определение процедур для каждого этапа от концепции до вывода из эксплуатации.
Управление изменениями - контроль модификаций системы с оценкой их влияния на функциональную безопасность.
Компетентность персонала - обеспечение необходимой квалификации сотрудников, работающих с системами безопасности.
Процедуры технического обслуживания
| Тип обслуживания | Периодичность | Содержание работ | Требования к персоналу |
|---|---|---|---|
| Функциональное тестирование | 1-12 месяцев | Проверка работоспособности функций безопасности | Базовая подготовка по SIL |
| Диагностическое тестирование | 1-5 лет | Выявление скрытых отказов | Специализированная подготовка |
| Полная проверка | 5-10 лет | Комплексная верификация системы | Сертифицированные специалисты |
| Аудит безопасности | 3-5 лет | Проверка соответствия процедур | Независимые эксперты |
Управление устареванием
Одной из важных проблем при длительной эксплуатации систем SIL является устаревание компонентов. The seven parts of the first edition of IEC 61508 were published in 1998 and 2000. The second edition was published in 2010, что подчеркивает важность отслеживания изменений в стандартах.
Показатели эффективности
Для контроля эффективности системы функциональной безопасности рекомендуется отслеживать следующие ключевые показатели производительности (KPI):
Коэффициент готовности системы - отношение времени исправной работы к общему времени эксплуатации.
Частота ложных срабатываний - количество необоснованных активаций функций безопасности за период.
Время восстановления - среднее время устранения отказов и возврата системы в рабочее состояние.
Соблюдение графика обслуживания - процент выполненных в срок регламентных работ.
9. Часто задаваемые вопросы
SIL (Safety Integrity Level) по стандарту IEC 61508 фокусируется на вероятностных показателях отказов и применим ко всем отраслям промышленности. В отличие от ASIL (Automotive Safety Integrity Level) в автомобильной индустрии или PL (Performance Level) в машиностроении, SIL использует количественные метрики PFD и PFH для оценки уровня безопасности. Каждая система имеет свои специфические требования к архитектуре, тестированию и документации.
Требуемый уровень SIL определяется на основе анализа рисков с использованием методов, описанных в IEC 61508-5. Основные подходы включают граф риска, анализ слоев защиты (LOPA), количественную оценку рисков (QRA) и матрицы рисков. При этом учитываются факторы: частота воздействия опасности, вероятность избежания опасности, последствия опасного события и вероятность нежелательного события. Окончательный выбор должен обеспечить снижение риска до приемлемого уровня.
Да, стандартные промышленные компоненты могут использоваться в системах SIL при соблюдении определенных условий. Необходимо провести анализ FMEDA для определения параметров надежности компонента, обеспечить соответствующую архитектуру системы (например, резервирование), применить адекватные диагностические средства и соблюсти требования к систематической целостности. Однако для высоких уровней SIL (SIL 3-4) часто требуются специально разработанные и сертифицированные компоненты.
Частота функциональных тестов определяется расчетом PFD и требуемым уровнем SIL. Типичные интервалы составляют от 1 месяца до 10 лет в зависимости от критичности системы и архитектуры. Для SIL 4 тестирование может проводиться ежемесячно, для SIL 1-2 достаточно ежегодного тестирования. Важно учитывать, что увеличение интервала тестирования приводит к росту PFD и может потребовать пересмотра архитектуры системы для поддержания требуемого уровня SIL.
Общие отказы по общей причине (Common Cause Failures, CCF) - это одновременные отказы нескольких компонентов вследствие одного события или причины. Они критичны для резервированных систем, поскольку могут привести к отказу всех каналов одновременно. Для учета CCF используется коэффициент β (бета-фактор), типично от 1% до 10%. В расчетах PFD формула модифицируется: для архитектуры 1oo2 добавляется слагаемое β×λ×T/2. Снижение CCF достигается через разнообразие компонентов, физическое разделение, различные принципы работы.
Требования к ПО определены в IEC 61508-3 и зависят от уровня SIL. Для SIL 1-2 рекомендуется использование структурированных методологий разработки, стандартов кодирования, модульного тестирования. Для SIL 3-4 требуется формальные методы проектирования, статический анализ кода, MC/DC тестирование, независимая верификация. Важны процессы управления конфигурацией, трассируемость требований, документирование всех этапов разработки. ПО должно быть разработано в соответствии с планом функциональной безопасности.
Кибербезопасность становится критически важной для систем SIL, особенно при использовании сетевых технологий и удаленного доступа. Кибератаки могут привести к нарушению функций безопасности, поэтому необходимо интегрировать меры кибербезопасности в жизненный цикл функциональной безопасности. Рекомендуется применение стандартов IEC 62443 для промышленной кибербезопасности, сегментация сетей, аутентификация, шифрование, мониторинг безопасности. Анализ угроз кибербезопасности должен быть частью общего анализа рисков системы.
Наиболее распространенные ошибки включают: неправильное определение требуемого уровня SIL без надлежащего анализа рисков, игнорирование общих отказов по общей причине в резервированных системах, недооценка систематических отказов, неадекватное планирование технического обслуживания, недостаточную подготовку персонала, отсутствие процедур управления изменениями. Также часто встречается попытка достичь высокого SIL только за счет резервирования без учета других требований стандарта, таких как систематическая целостность и управление жизненным циклом.
Источники информации
1. ГОСТ Р МЭК 61508-1-2012 "Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью"
2. IEC 61508:2010 "Functional safety of electrical/electronic/programmable electronic safety-related systems"
3. ГОСТ Р МЭК 61511-1-2011 "Безопасность функциональная. Системы безопасности приборные для промышленных процессов"
4. Материалы сертификационных органов по функциональной безопасности
5. Публикации в области функциональной безопасности ведущих российских и зарубежных экспертов
