Функциональная безопасность

Защита оборудования в ответ на входные сигналы

Функциональная безопасность — это часть общей безопасности системы или оборудования, которая зависит от автоматической защиты, которая работает правильно в ответ на ее входы или отказы предсказуемым образом ( отказоустойчивость ). Автоматическая система защиты должна быть спроектирована так, чтобы правильно справляться с вероятными систематическими ошибками , отказами оборудования и эксплуатационными/экологическими стрессами.

Цель

Целью функциональной безопасности является освобождение от неприемлемого риска получения физических травм или нанесения вреда здоровью людей напрямую или косвенно (через ущерб имуществу или окружающей среде) путем надлежащей реализации одной или нескольких автоматических функций защиты (часто называемых функциями безопасности). Система безопасности (часто называемая системой, связанной с безопасностью) состоит из одной или нескольких функций безопасности.

Функциональная безопасность по своей сути является сквозной по охвату, поскольку она должна рассматривать функцию компонента или подсистемы как часть функции всей функции автоматической защиты любой системы. Таким образом, хотя стандарты функциональной безопасности фокусируются на электрических, электронных и программируемых системах (E/E/PS), сквозная область охвата означает, что на практике методы функциональной безопасности должны распространяться на не-E/E/PS части системы, которые управляются приводами E/E/PS , клапанами , двигателями или мониторами.

Достижение функциональной безопасности

Функциональная безопасность достигается, когда каждая указанная функция безопасности выполняется и уровень производительности, требуемый для каждой функции безопасности, соблюдается. Обычно это достигается с помощью процесса, который включает в себя как минимум следующие шаги:

1. Определение требуемых функций безопасности. Это означает, что опасности и функции безопасности должны быть известны. Для их определения применяется процесс обзоров функций, формальных HAZID , HAZOP и обзоров аварий.
2. Оценка снижения риска, требуемого функцией безопасности, которая будет включать уровень целостности безопасности (SIL) или уровень производительности или другую количественную оценку. SIL (или PL, AgPL, ASIL ) применяется к сквозной функции безопасности системы, связанной с безопасностью, а не только к компоненту или части системы.
3. Обеспечение выполнения функции безопасности в соответствии с замыслом проекта, в том числе в условиях неправильного ввода данных оператором и режимов отказа. Это будет включать управление проектом и жизненным циклом квалифицированными и компетентными инженерами, выполняющими процессы в соответствии с признанным стандартом функциональной безопасности. В Европе таким стандартом является IEC EN 61508 или один из отраслевых стандартов, производных от IEC EN 61508, или для простых систем какой-либо другой стандарт, например ISO 13849 .
4. Проверка того, что система соответствует назначенным SIL, ASIL , PL или agPL путем определения вероятности опасного отказа, проверки минимальных уровней избыточности и проверки систематической возможности (SC). Эти три метрики были названы «тремя барьерами». ^[1] Режимы отказа устройства обычно определяются с помощью анализа режима отказа и последствий системы (FMEA). Вероятности отказа для каждого режима отказа обычно определяются с помощью анализа режима отказа, последствий и диагностики FMEDA .
5. Проводить аудиты функциональной безопасности для изучения и оценки доказательств того, что соответствующие методы управления жизненным циклом безопасности применялись последовательно и тщательно на соответствующих этапах жизненного цикла продукта.

Ни безопасность, ни функциональная безопасность не могут быть определены без рассмотрения системы в целом и среды, с которой она взаимодействует. Функциональная безопасность по своей сути является сквозной. Современные системы часто имеют программное обеспечение, интенсивно управляющее и контролирующее критически важные для безопасности функции. Поэтому функциональность программного обеспечения и правильное поведение программного обеспечения должны быть частью усилий по проектированию функциональной безопасности для обеспечения приемлемого риска безопасности на уровне системы.

Сертификация функциональной безопасности

Любое утверждение о функциональной безопасности компонента, подсистемы или системы должно быть независимо сертифицировано по одному из признанных стандартов функциональной безопасности. Сертифицированный продукт затем может быть заявлен как функционально безопасный для определенного уровня полноты безопасности или уровня производительности в определенном диапазоне приложений: сертификат и отчет об оценке предоставляются клиентам с описанием области и пределов производительности.

Органы сертификации

Функциональная безопасность — технически сложная область. Сертификации должны проводиться независимыми организациями с опытом и большой технической глубиной (электроника, программируемая электроника, механика и вероятностный анализ). Сертификация функциональной безопасности выполняется аккредитованными органами по сертификации (CB). Аккредитация выдается организации CB органом по аккредитации (AB). В большинстве стран есть один AB. В Соединенных Штатах Американский национальный институт стандартов (ANSI) является AB для аккредитации функциональной безопасности. В Соединенном Королевстве Служба аккредитации Соединенного Королевства (UKAS) предоставляет аккредитацию функциональной безопасности. AB являются членами Международного форума по аккредитации (IAF) для работы в области систем менеджмента, продуктов, услуг и аккредитации персонала или Международного сотрудничества по аккредитации лабораторий (ILAC) для аккредитации лабораторных испытаний. Многостороннее соглашение о признании (MLA) между AB обеспечит глобальное признание аккредитованных CB.

Программы сертификации функциональной безопасности IEC 61508 были созданы несколькими глобальными органами по сертификации. Каждый из них определил свою собственную схему, основанную на IEC 61508 и других стандартах функциональной безопасности. Схема перечисляет ссылочные стандарты и определяет процедуры, которые описывают их методы испытаний, политику надзорного аудита, политику публичной документации и другие конкретные аспекты их программы. Программы сертификации функциональной безопасности для стандартов IEC 61508 предлагаются по всему миру несколькими признанными органами по сертификации, включая Intertek , SGS , TÜV Rheinland, TÜV SÜD и UL .

Важным элементом сертификации функциональной безопасности является постоянный надзор со стороны сертификационного агентства. Большинство организаций CB включили в свою схему аудиты надзора. Последующий надзор гарантирует, что продукт, подсистема или система по-прежнему производятся в соответствии с тем, что было изначально сертифицировано для функциональной безопасности. Последующий надзор может проводиться с различной частотой в зависимости от органа сертификации, но, как правило, он проверяет историю отказов продукта в полевых условиях, изменения конструкции оборудования, изменения программного обеспечения, а также постоянное соответствие производителя системам управления функциональной безопасностью.

Военная авиация и космонавтика

Для военных аэрокосмических и оборонных систем MIL-STD-882E рассматривает анализы функциональных опасностей (FHA) и определяет, какие функции, реализованные в аппаратном и программном обеспечении, являются важными для безопасности. Функциональная безопасность фокусируется на обеспечении того, чтобы критически важные для безопасности функции и функциональные потоки в системе, подсистеме и программном обеспечении анализировались и проверялись на правильное поведение в соответствии с требованиями безопасности, включая условия функциональных отказов и сбоев и соответствующее смягчение последствий в конструкции. Эти принципы безопасности систем, лежащие в основе функциональной безопасности, были разработаны в военной, ядерной и аэрокосмической промышленности, а затем приняты железнодорожным транспортом, перерабатывающей и управляющей отраслями, разрабатывающими отраслевые стандарты. Стандарты функциональной безопасности применяются во всех отраслях промышленности, имеющих дело с критически важными для безопасности требованиями, и особенно применимы в любое время, когда программное обеспечение управляет, контролирует или отслеживает критически важную для безопасности функцию. Тысячи продуктов и процессов соответствуют стандартам на основе IEC 61508 : от душевых кабин для ванных комнат ^[2], автомобильных средств безопасности, датчиков, приводов, водолазного оборудования ^[3] , контроллеров процессов ^{[4] [5] [6]} и их интеграции в корабли, самолеты и крупные заводы.

Авиация

FAA США имеет схожие процессы сертификации функциональной безопасности в форме ARP4761, US RTCA DO-178C для программного обеспечения и DO-254 для сложного электронного оборудования, ^{[7] [8]} , которые применяются во всей аэрокосмической промышленности. Функциональная безопасность и обеспечение проектирования гражданских/коммерческих транспортных самолетов документированы в SAE ARP4754A как уровни обеспечения функционального проектирования (FDALS). Системные FDAL определяют глубину анализа инженерной безопасности. Уровень строгости (LOR) или задачи безопасности, выполняемые для обеспечения приемлемого риска, зависят от идентификации конкретного состояния функционального отказа и серьезности опасности, связанной с критически важными для безопасности функциями (SCF). Во многих случаях функциональное поведение во встроенном программном обеспечении тщательно анализируется и тестируется, чтобы гарантировать, что система функционирует так, как задумано, в условиях вероятных неисправностей и отказов. Функциональная безопасность становится обычным подходом, ориентированным на сложные системы с интенсивным использованием программного обеспечения и высокоинтегрированные системы с последствиями для безопасности. Традиционные задачи безопасности программного обеспечения и задачи функциональной безопасности на основе моделей выполняются для предоставления объективных доказательств безопасности, которые подтверждают, что функциональность системы и функции безопасности работают так, как задумано, при нормальных и нештатных отказах. Точка входа функциональной безопасности начинается на ранней стадии процесса с выполнения анализа функциональных опасностей (FHA) для выявления опасностей и рисков и для влияния на требования к проектированию безопасности, а также функциональное распределение и декомпозицию для смягчения опасностей. Поведение программного обеспечения и SCF на системном уровне является важной частью любых усилий по обеспечению функциональной безопасности. Результаты анализа и внедрения документируются в оценках функциональных опасностей (FHA) или оценках безопасности системы или случаях безопасности . Процессы функциональной безопасности на основе моделей часто используются и требуются в высокоинтегрированных и сложных системах с интенсивным использованием программного обеспечения для понимания всех многочисленных взаимодействий и прогнозируемого поведения, а также для помощи в процессе проверки и сертификации безопасности.

Комиссии по проверке безопасности

В компании Boeing Совет по рассмотрению безопасности (SRB) отвечает только за принятие решения о том, является ли проблема проблемой безопасности или нет. SRB объединяет нескольких экспертов по предметной области компании (SME) во многих дисциплинах. Наиболее осведомленный SME представляет проблему при содействии и руководстве организации по авиационной безопасности. Решение по безопасности принимается путем голосования. Любое голосование за «безопасность» приводит к решению совета директоров о «безопасности». ^[9]

Космос

В США НАСА разработало инфраструктуру для критически важных для безопасности систем, широко принятую промышленностью как в Северной Америке, так и в других местах, со стандартом, ^[10] поддерживаемым руководящими принципами. ^[11] Стандарт и руководящие принципы НАСА основаны на ISO 12207 , который является стандартом практики программного обеспечения, а не критически важным для безопасности стандартом, отсюда и обширный характер документации, которую НАСА было обязано добавить, по сравнению с использованием специально разработанного стандарта, такого как IEC EN 61508. Существует процесс сертификации для систем, разработанных в соответствии с руководящими принципами НАСА. ^[12]

Автомобильный

Автомобильная промышленность разработала стандарт ISO 26262 «Стандарт функциональной безопасности дорожных транспортных средств» на основе IEC 61508. Сертификация этих систем гарантирует соответствие соответствующим нормам и помогает защитить общественность. Директива ATEX также приняла стандарт функциональной безопасности, это BS EN 50495:2010 «Устройства безопасности, необходимые для безопасного функционирования оборудования с учетом рисков взрыва», который охватывает устройства, связанные с безопасностью, такие как контроллеры продувки и автоматические выключатели двигателя Ex e. Он применяется уполномоченными органами в соответствии с Директивой ATEX . Стандарт ISO 26262, в частности, касается цикла разработки автомобилей. Это многокомпонентный стандарт, определяющий требования и предоставляющий рекомендации по достижению функциональной безопасности в системах E/E, установленных в серийных легковых автомобилях. ISO 26262 считается передовой практикой для достижения функциональной безопасности автомобилей. ^[13] Процесс соответствия обычно занимает время, поскольку сотрудники должны пройти обучение для развития ожидаемых компетенций.

Современные стандарты функциональной безопасности

Ниже перечислены основные стандарты функциональной безопасности, используемые в настоящее время:

• IEC EN 61508, части 1–7, представляет собой основной стандарт функциональной безопасности, широко применяемый ко всем типам критически важных для безопасности электрических, электронных и силовых устройств, а также к системам с функцией безопасности, включающей электрические, электронные и силовые устройства.
• Стандарт обороны Великобритании 00-56, выпуск 2
• US RTCA DO-178C , североамериканское авионичное программное обеспечение
• US RTCA DO-254 , североамериканское авионичное оборудование
• EUROCAE ED-12B, Европейские бортовые системы безопасности полетов
• IEC 61513 , Атомные электростанции. Контрольно-измерительные приборы и управление для систем, важных для безопасности. Общие требования к системам на основе EN 61508
• IEC 61511-1 , Функциональная безопасность. Системы безопасности с приборами для перерабатывающей промышленности. Часть 1. Структура, определения, системные, аппаратные и программные требования на основе EN 61508
• IEC 61511-2, Функциональная безопасность. Системы безопасности с приборами для перерабатывающей промышленности. Часть 2. Руководящие принципы применения IEC 61511-1 на основе EN 61508
• IEC 61511-3, Функциональная безопасность. Системы безопасности с приборами для перерабатывающей промышленности. Часть 3. Руководство по определению требуемых уровней полноты безопасности на основе EN 61508
• IEC 62061 , Безопасность машин. Функциональная безопасность электрических, электронных и программируемых электронных систем управления, связанных с безопасностью, на основе EN 61508
• ISO 13849 -1, -2, Безопасность машин – Детали систем управления, связанные с безопасностью. Нетехнологически зависимый стандарт безопасности систем управления машин.
• EN 50126, Железнодорожная отрасль – Обзор RAMS по эксплуатации, системам и условиям технического обслуживания для проектного оборудования
• EN 50128, Железнодорожная отрасль - Обзор безопасности программного обеспечения (системы связи, сигнализации и обработки)
• EN 50129, Железнодорожная отрасль – Безопасность электронных систем
• EN 50495, Устройства безопасности, необходимые для безопасного функционирования оборудования с учетом рисков взрыва
• Критические руководящие принципы безопасности НАСА
• ISO 19014, Землеройные машины. Функциональная безопасность
• ISO 25119 , Тракторы и машины для сельского и лесного хозяйства. Детали систем управления, связанные с безопасностью
• ISO 26262 , Функциональная безопасность дорожных транспортных средств

Стандарт ISO 26262 в частности касается цикла разработки автомобилей. Это многокомпонентный стандарт, определяющий требования и предоставляющий рекомендации по достижению функциональной безопасности в системах E/E, устанавливаемых в серийных легковых автомобилях. Стандарт ISO 26262 считается передовой практикой для достижения функциональной безопасности автомобилей. ^[13]

Смотрите также

• FMEA
• FMEDA
• МЭК 61508
• Системы аварийного отключения и останова технологических процессов на предприятии
• Уровень безопасности
• Уровень ложного срабатывания

Ссылки

1. Ван Берден, Иван (ноябрь 2017 г.). «Проверка функций безопасности: три барьера» (PDF) . эксида.
2. "RADA Sense - Shower T3" (PDF) . Rada. 2008. Архивировано из оригинала (PDF) 2011-07-15 . Получено 2009-07-25 .
3. "Пример безопасности IEC 61508: водолазное снаряжение". Deep Life. Архивировано из оригинала 2016-03-03 . Получено 2013-01-22 .
4. "Промышленная ИТ-система 800xA High Integrity". ABB.
5. "ОСРВ, сертифицированная по IEC 61508 SIL 3". Green Hills Software.
6. "СПИСОК ЭЛЕМЕНТОВ АВТОМАТИЗАЦИИ БЕЗОПАСНОСТИ". exida.
7. В. Хильдерман, Т. Багха, «Сертификация авионики», Полное руководство по DO-178B и DO-254, ISBN 978-1-885544-25-4 
8. C. Spritzer, «Справочник по цифровой авионике, второе издание — набор из 2 томов (Справочник по электротехнике), CRC Press. ISBN 978-0-8493-5008-5 
9. Ложь, Саймон (2014). По безопасности эксплуатации в Boeing (PDF) . Доклад представлен на семинаре ISASI 2014, октябрь 2014 г., Аделаида, Австралия. ИСАСИ.
10. Стандарт безопасности программного обеспечения NASA NASA STD 8719.13A
11. NASA-GB-1740.13-96, Руководство NASA по программному обеспечению, критически важному для безопасности.
12. Нельсон, Стейси (июнь 2003 г.). «Процессы сертификации для критически важного для безопасности и критически важного для миссии аэрокосмического программного обеспечения» (PDF) . NASA/CR–2003-212806.
13. "26262-1:2011". ISO . Получено 25 апреля 2013 г. .

Внешние ссылки

• Зона функциональной безопасности IEC
• 61508.org Ассоциация 61508