Класс безопасности систем управления SIL (Safety Integrity Level). Разоблачение мифов. | RuAut – Центр промышленной автоматизации

В связи со значительным ростом обращений Заказчиков, связанных с задачами оценки соответствия и сертификации продуктов и систем Уровням полноты функциональной безопасности (Safety Integrity Level, SIL) и требованиям стандарта IEC 61508 (ГОСТ МЭК 61508-1), инженерами компании KConsult C.I.S. подготовлены и предлагаются вниманию посетителей нашего сайта краткие ответы на основные и наиболее часто задаваемые нам вопросы по данной предметной области.

1. Что такое Safety Instrumented System (SIS)?

Safety Instrumented System (SIS) определяется как автоматическая система (функциональной безопасности), обеспечивающая применение одной или нескольких так называемых автоматических функций безопасности (Safety Instrumented Function, SIF). SIS предназначена для предотвращения или смягчения для продукта (устройства, объекта, оборудования, процесса) эффекта от наступления опасных событий путём его возвращения в функционально безопасное состояние в случае нарушения заданных условий его функционирования. В общем случае SIS состоит из комбинации логического(их) вычислителя(ей), датчика(ов) и конечного(ых) элемента(ов). В широком смысле примерами SIS-систем являются системы автоматической блокировки, системы аварийного отключения (Emergency ShutDown system, ESD), системы аварийного останова (Safety ShutDown system, SSD). Автоматическая система (функциональной) безопасности SIS может включать в себя одну или несколько автоматических функций безопасности (Safety Instrumented Function, SIF).

2. Что такое Safety Instrumented Function (SIF)?

Safety Instrumented Function (SIF) определяется как автоматическая функция безопасности. SIF предназначена для предотвращения наступления или смягчения эффекта для продукта (устройства, объекта, оборудования, процесса) от опасного события посредством его возврата к приемлемому уровню риска. В общем случае SIF состоит из комбинации логического(их) вычислителя(ей), датчика(ов) и конечного(ых) элемента(ов). Автоматическая функция безопасности SIF имеет присвоенный ей Интегральный Уровень Безопасности (Safety Integrity Level, SIL) в зависимости от величины риска, который должен быть уменьшен. Комбинация одной или более автоматических функций безопасности SIF образуют автоматическую систему (функциональной) безопасности (SIS).

3. Что такое Уровень полноты (функциональной) безопасности (Safety Integrity Level, SIL)?

Safety Integrity Level (SIL) определяется как Уровень полноты (функциональной) безопасности (иногда его также называют «классом надёжности»). SIL является мерой эффективности автоматической системы функциональной безопасности (SIS), или мерой вероятности отказа при запросе (Probability of Failure on demand, PFD) для автоматической системы функциональной безопасности (SIS) или автоматической функции безопасности (SIF). Существуют четыре дискретных уровня целостности, связанных с понятием Уровней полноты безопасности (SIL). Чем выше уровень SIL, тем ниже вероятность отказа по запросу (PFD) для автоматической системы (функциональной) безопасности, и тем лучше производительность системы. В общем случае увеличение уровня SIL системы обычно повышает ей стоимость и сложность. Понятие уровня SIL применяется ко всей оцениваемой системе (продукту, устройству, объекту, оборудованию, процессу) целиком. Рейтингование SIL не применяется для отдельных компонентов оцениваемой системы. Метод оценки Уровня полноты безопасности (SIL) используются при реализации в системе автоматической функции безопасности (SIF), которая призвана снизить существующий неприемлемый уровень риска до определённого допустимого диапазона.

4. Что такое функциональная безопасность?

Функциональная безопасность (Functional Safety) – это термин, используемый для описания системы безопасности, которая зависит от правильного функционирования логического(их) вычислителя(ей), датчика(ов) и конечного(ых) элемента(ов) для достижения желаемого уровня снижения риска. Функциональная безопасность достигается, когда каждая автоматическая функция безопасности (SIF) реализуется в системе успешно, и риск наступления опасного события снижен до желаемого уровня.

5. Зачем были разработаны стандарты ANSI/ISA 84, IEC 61508 и IEC 61511?

Возникновение этих стандартов явилось естественным продолжением эволюции методов снижения рисков процесса функционирования и повышения безопасности систем (устройств, продуктов, оборудования) за счет наличия более формализованной и количественно определяемой методологии. Кроме того, и специально для IEC 61508, поскольку расширялись области применения и способы использования программного обеспечения, стала необходимой разработка стандарта, обеспечивающего проектировщиков и разработчиков продуктов и систем общими правилами, гарантирующими приемлемый уровень функциональной безопасности в процессе их использования по назначению. В России полным аналогом стандарта IEC 61508 является ГОСТ Р МЭК 61508.

6. В каких случаях необходимы автоматическая функция безопасности (SIF) и/или автоматическая система (функциональной) безопасности (SIS)?

Философия применяемых стандартов предполагает, что автоматическая функция безопасности (SIF) или автоматическая система (функциональной) безопасности (SIS) должны быть реализованы только в условиях отсутствия других «неавтоматических» способов, адекватно устраняющих или снижающих до приемлемого уровня риска процесса. В частности, стандарт ANSI/ISA-84.00.01-2004 (IEC 61511 Mod) рекомендует использование многопрофильного комплексного подхода, который базируется на жизненном цикле функциональной безопасности (Safety Lifecycle), анализирует опасности процесса, разрабатывает различные уровни защиты, и наконец, реализует автоматическую функцию безопасности SIS, когда опасное событие не может быть предотвращено, или его влияние не может быть смягчено каким-либо другим способом помимо автоматического (SIF или SIS).

7. Что такое интервал диагностической проверки (proof-test interval)?

Диагностическое тестирование является требованием автоматических систем (функциональной) безопасности (SIS) для подтверждения того, чтобы всё функционирует, как ожидалось, и с заданной эффективностью. Тестирование должно включать проверку всей системы, а также логического(их) вычислителя(ей), датчика(ов) и конечного(ых) элемента(ов). Интервал – это период времени, через который происходит диагностическое тестирование (проверка). Частота проверок различна для каждой автоматической системы (функциональной) безопасности (SIS) и зависит от технологии, архитектуры системы и целевого значения Уровня полноты безопасности (SIL). Интервал диагностической проверки является важным влияющим фактором при вычислении для системы значения вероятности отказа при запросе (PFD).

8. Что представляет собой и кем проводится анализ рисков процесса (Process Hazard Analysis, PHA)?

Анализ рисков процесса (Process Hazard Analysis, PHA) является обязательной процедурой, требуемой директивами OSHA (Occupational Safety and Health Administration – Управление по охране труда в Министерстве труда США), которая определяет проблемы безопасности и риски в процессе, разрабатывает корректирующие действия в ответ на инциденты, связанные с безопасностью, а также альтернативные чрезвычайные меры на случай выхода из строя системы безопасности. Анализ рисков процесса (PHA) выполняется многопрофильной командой специалистов, имеющих достаточно детальную экспертизу непосредственно анализируемого процесса. Методология выполнения анализа рисков процесса (PHA) может включать в себя What-If-анализ, Анализ опасности и работоспособности (Hazard and Operability Study, HAZOP), Анализ Видов и Последствий Отказов (Failure Mode and Effects Analysis, FMEA), Анализ Дерева Отказов (Fault Tree Analysis, FTA).

9. Какая конфигурация системы требуется для обеспечения каждого из Уровней полноты безопасности (SIL)?

Получение требуемого Уровня полноты функциональной безопасности (SIL) системы зависит от множества факторов. Тип используемой технологии, число компонентов системы, значения вероятностей отказа по запросу (PFD) для каждого компонента, архитектура системы (например, резервирование), интервалы между диагностическими проверками (proof-test interval) – каждый из этих факторов играет важную роль в определении уровня SIL. На вопрос «Какая конфигурация системы требуется для обеспечения каждого из уровней SIL?» не существует стандартного ответа. Выбранная архитектура системы каждый раз должна анализироваться в контексте совокупности всех факторов, упомянутых выше.

10. Имеет ли система, имеющая присвоенный рейтинг по шкале Уровней полноты функциональной безопасности (SIL), повышенные требования к своему обслуживанию?

Подходы и решения для снижения процессных рисков, использующие методологию анализа Уровней полноты безопасности (SIL), конечно, не всегда оказываются наиболее экономически эффективными. В большой доле случаев реализация решения SIL потребует дополнительного оборудования, которое, в свою очередь, неизбежно потребует обслуживания. Кроме того, вполне вероятно, что требование соответствия более высокому уровню SIL приведёт к необходимости более частого проведения диагностических проверок (proof-testing), что, в конечном счете, может существенно увеличить объёмы необходимого обслуживания системы. Вот почему стандарты рекомендуют применение подходов, основанных на методологии SIL, только в ситуациях, когда риски процесса не могут быть снижены до приемлемых уровней с помощью других методов, как определяет анализ уровней защиты (Layer of Protection Analysis, LOPA).

11. Что означает Уровень полноты (функциональной) безопасности SIL 4?

SIL 4 является самым высоким уровнем снижения риска, который может быть достигнут посредством применения автоматической системы (функциональной) безопасности. Тем не менее, в обрабатывающей промышленности достижение уровня SIL 4 не является реалистичным, и в настоящее время существует очень малое число (если таковые вообще имеются) продуктов / систем, которые поддерживают этот уровень полноты безопасности.
Системы, соответствующие требованиям Уровня полноты безопасности SIL 4, как правило, оказываются такими сложными и дорогостоящими, что их применение не является экономически эффективным. Кроме того, если процесс несёт в себе такие высокие риски, что требуется система уровня SIL 4 для приведения его в безопасное состояние, то в большинстве случаев существует проблема непосредственно в организации самого процесса, которую необходимо решать путем изменения процесса или применения других неавтоматических методов снижения рисков.

12. Может ли рейтинг SIL быть присвоен отдельному компоненту вне системы?

Нет. Отдельные компоненты подходят для использования только в среде (системе), которая может обладать рейтингом SIL. Понятие соответствия Уровню полноты безопасности (SIL) применимо только к автоматической/инструментальной функции безопасности (SIF) и/или автоматической/инструментальной системе (функциональной) безопасности (SIS).

13. Может ли производитель квалифицировать свою продукцию как «Сертифицировано по SIL X» вместо «Пригодно к использованию для систем, сертифицированных по SIL X»?

Отдельные продукты подходят для использования только в среде SIL. Само понятие Уровня полноты (функциональной) безопасности SIL применимо либо к автоматической (инструментальной) функции безопасности (SIF), либо к автоматической (инструментальной) системе (функциональной) безопасности (SIS).
Сертификаты соответствия продукта выдаются либо его изготовителем (так называемая “самосертификация”), либо независимым экспертом (агентством), и документально подтверждают, что соответствующие проверки процесса и расчёты выполнены, и успешно завершен анализ продукта на предмет его совместимости для использования в системе присвоенного уровня SIL.
Полная сертификация на соответствие IEC 61508 (ГОСТ 61508) применима к процессам производителя продукта. Полная сертификация означает, что процесс разработки продукта производитель соответствует требованиям, изложенным в соответствующих частях разделов 2 – 3 of IEC 61508 (включая и аппаратное, и программное обеспечение). Такая полная сертификация даёт (производителю) уверенность в том, что его технологический процесс производителя полностью исследован, и электронные, программные и логические компоненты его продукта полностью проанализированы и соответствуют рекомендациям, изложенным в стандарте.

14. Может ли производитель декларировать соответствие своего продукта требованиям всех (с 1 по 7) Частей стандарта IEC 61508?

Стандарт IEC 61508 («Функциональная безопасность электрических, электронных, программируемых электронных систем, связанных с безопасностью») состоит из следующих частей:
Часть 1: Общие требования
Часть 2: Требования к электрическим / электронным / программируемым электронным системам, связанным с безопасностью
Часть 3: Требования к программному обеспечению
Часть 4: Определения и сокращения
Часть 5: Примеры методов определения Интегральных Уровней Безопасности (или уровней полноты безопасности)
Часть 6: Руководящие принципы по применению Частей 2 и 3
Часть 7: Обзор методов и средств.

Соответствие продукта стандарту IEC 61508 означает необходимость соответствия его Частям 1 – 3. Части 4 – 7 стандарта носят лишь информационный характер и могут быть полезны для понимания и применения стандарта, но не содержат каких-либо требований для анализа соответствия им.

Обычно производители стремятся обеспечить соответствие своего продукта требованиям Части 2 стантарта IEC 61508 посредством выполнения Анализа Видов, Последствий и Диагностики Отказов (Failure Modes, Effects and Diagnostic Analysis, FMEDA) с целью подтверждения применимости продукта в системе с назначенным уровнем SIL.

Производители же, выбирающие полную сертификацию их технологического процесса производства продукта на соответствие стандарта IEC 61508, обеспечивают выполнение требований и Части 3 стандарта, т.к. она имеет отношение к разработке программного обеспечения.

15. Допустима ли формулировка «SIL X совместимо», или корректнее использовать другие определения?

SIL означает Интегральный Уровень Безопасности (или уровень полноты безопасности) системы. SIL является показателем производительности системы безопасности (или вероятности отказа по запросу (Probability of Failure on Demand, PFD) для автоматической (инструментальной) функции безопасности (SIF) и/или автоматической (инструментальной) системы (функциональной) безопасности (SIS). На практике применяется шкала из четырёх уровней SIL. Чем выше уровень SIL, тем ниже вероятность отказа по запросу для системы безопасности и лучше производительность системы. Важно также отметить, что по мере повышения назначенного уровня SIL обычно увеличиваются и стоимость, и сложность системы.

Уровень SIL назначается системе целиком, если система обеспечивает снижение риска до величин, определённых для соответствующего уровня SIL. Отдельные компоненты системы не имеют рейтинга SIL. Понятие уровня SIL используется только при реализации автоматической (инструментальной) функции безопасности SIF, которая призвана уменьшить существующий неприемлемый уровень риска процесса до величины из допустимого диапазона рисков.

Для обеспечения соответствия требованиям применимых стандартов необходимо тщательно следовать всем применимым процедурам, корректно выполнять необходимые диагностические проверки, а также обеспечить наличие всей проектной и технологической документации для соответствующего продукта или процесса. Оборудование / система должны использоваться в предусмотренном порядке, чтобы успешно достигнуть желаемого уровня снижения риска. Простое приобретение подходящих комплектующих с назначенными уровнями SIL 2 или SIL 3 само по себе не обеспечивает соответствие комплектуемой ими системы Интегральным Уровням Безопасности (уровням полноты безопасности) SIL 2 или SIL 3, соответственно.

Вернуться в архив новостей