Стандарт IEC 61508
Функциональная безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью"
(Functional Safety of Electrical /Electronic /Programmable Electronic Safety Related Systems)
Стандарт Международной Электротехнической Комиссии (International Electrotechnical Commission) IEC 61508 - "Функциональная безопасность электрических, электронных и программируемых электронных систем, связанных с безопасностью" - это международный стандарт, разработанный для определения систем безопасности (Safety Related Systems - SRS) общего вида.
Стандарт может использоваться для любых отраслей промышленности, где имеется необходимость в использовании программируемых систем безопасности. Дата официального утверждения стандарта - 2000 год.
В целом стандарт довольно сложен для восприятия не только из-за своего огромного объема (более 400 страниц убористого текста на двух языках - английском и французском), но и чрезвычайно усложненной и запутанной терминологии.
Стандарт определяет концепцию Модели жизненного цикла системы безопасности, аналогичную ISA 84.01-96 (см. рис. 2.7 - 2.9).
Общая схема модели жизненного цикла, которую воспроизводит и структура самого стандарта IEC 61508, приведена в первой главе настоящей работы "Постановка задач автоматизации", рис. 1.7.
Модель жизненного цикла системы устанавливает, что уровень допуска системы не ограничивается изначальным уровнем допуска входящих в нее устройств, включая датчики и исполнительные механизмы.
Уровень допуска системы, точно так же, как и уровень допуска человека, должен определяться и подтверждаться для всех стадий и этапов на всем жизненном пути:
- Зарождение идеи;
- Предварительное обследование и оценка;
- Проектирование;
- Эксплуатация;
- Испытания, проверка и техобслуживание.
Стандарт представляет безопасность как "свободу от неприемлемого риска". Иными словами, абсолютной безопасности достичь невозможно, можно только снизить риск до приемлемого уровня.
Стандарт определяет 4 уровня интегральной безопасности (Safety Integrity Level - SIL) в зависимости от конкретной вероятности отказа выполнения требуемой функции (Probability of Failure on Demand - PFD):
Уровни безопасного допуска SIL по стандарту IEC 61508
4 -Защита от общей катастрофы
3-Защита обслуживающего персонала и населения
2 -Защита оборудования и продукции, защита от травматизма
1-Защита оборудования и продукции
Модель жизненного цикла электрической, электронной, программируемой электронной системы безопасности (E/E/PES)
Модель жизненного цикла программного обеспечения
Взаимодействие моделей жизненного цикла электрической, электронной, программируемой электронной системы безопасности (E/E/PES) и программного обеспечения
При этом необходимо понимать, что, например, принятие уровня допуска SIL1 означает, что уровень опасности процесса и ограничения на экономические потери при отказе системы защиты низки настолько, что системе разрешается 10% отказов выполнения функций защиты (см. таблицу 2.3).
Соответственно, 90% надежность будет означать, что из каждых десяти случаев превышения, например, уровня в емкости, в одном случае из этих десяти произойдет переполнение емкости.
Фактор снижения риска также нуждается в правильной интерпретации. Например, увеличение фактора снижения риска до 100 и более лет при уровне допуска SIL2 вовсе не означает, что данная конкретная система способна проработать без опасных отказов и ложных срабатываний эту самую сотню лет. Данное значение означает, что из сотни одновременно работающих систем одна система в течение одного года приведет процесс к опасному отказу.
В конечном итоге, задание уровня допуска SIL основывается на требуемой величине снижения риска, определяемой в ходе анализа опасности процесса.
Конечно, каждое предприятие вольно самостоятельно принимать решения, и устанавливать свои требования к системам безопасности на основе собственной технической политики. Однако современные стандарты безопасности устанавливают и требуют от предприятий соответствия предписаниям, выработанным на основе опыта эксплуатации и анализа причин аварий большого числа взрывопожароопасных производств. Сказанное означает, что в любом случае выбор уровня интегральной безопасности и соответствующей ему системы защиты должен быть тщательно проанализирован, обоснован и точно документирован. Диаграмма рисков и уровни допуска стандарта IEC 61508 представлены на рис. 2.10.
Стандарт определяет требования к профессиональной подготовке и квалификации специалистов, определяющих уровень требований к системам безопасности для конкретного процесса.
В отличие от всех предыдущих стандартов безопасности, стандарт IEC 61508 предусматривает непосредственное участие технологического персонала в обеспечении функций безопасности. Вместе с тем, в стандарте делается оговорка, что конкретные требования к технологическому и обслуживающему персоналу должны устанавливаться в отраслевых стандартах (и в стандартах предприятия - Ю.Ф.), которые должны разрабатываться с учетом общей методологии безопасности, определяемой данным стандартом.
В самом общем виде, стандарт IEC 61508:
- Определяет Модель развития системы безопасности.
- Определяет два подхода к системам безопасности:
-Системы, обеспечивающие защиту и непрерывность контроля по средней частоте опасных отказов, и
- Системы, обеспечивающие защиту и контроль по средней вероятности опасного отказа в течение предопределенного интервала времени. - Определяет концепцию безопасного допуска.
- Устанавливает 4 уровня безопасного допуска (SIL).
Структура и параметры риска стандарта IEC 61508 заимствованы запросто и без церемоний из немецкого стандарта DIN 19250. При этом структуры диаграмм параметров риска для DIN и IEC полностью совпадают (сравните рис. 2.4 и 2.10).
Параметры риска по стандарту IEC 61508 (см. рис. 2.10):
Травматизм
С1-Незначительные травмы
С2 - Серьёзные травмы одного или нескольких человек, смерть одного человека
СЗ-Смерть нескольких человек
С4-Катастрофические последствия, большие человеческие потери.
Продолжительность нахождения в опасной зоне
F1-От редкого до относительно частого
F2-Частое или постоянное.
Предотвращение опасности
Р1 - Возможно при определённых обстоятельствах
Р2-Невозможно.
Вероятность нежелательного события
W1-Крайне низкая
W2 Низкая
W3 -Высокая.