10. fejezet - A biztonságkritikus funkciót ellátó elektronikus rendszerekre vonatkozó irányelvek (IEC 61508)

A hagyományos fék, illetve kormányrendszerek esetén a vizsgálatok kiterjedtek a

- hibamentes állapotra, illetve

- az átviteli részek (vezérlés-, vagy erőátvitel) egy meghibásodásának esetére előírt funkcionális és hatásossági követelmények ellenőrzésére.

Az előírások a szilárdságilag megfelelően túlméretezett alkatrészeket meghibásodásra nem hajlamosnak feltételezik.

A biztonság szempontjából fontos programozható elektronikus rendszereknél, azokban az esetekben, ahol a rendszer hibás működése veszélyhelyzetet teremt ( egy, vagy több személy halála, vagy több személy sérülése ) követelményként megjelenik a megbízhatóság.

A megengedett meghibásodási valószínűség a megkövetelt biztonságintegritási szint (SIL) függvénye.

Ha egy gyártó valamely biztonság szempontjából fontos szabályozási funkciót biztonságkritikus, programozható elektronikus rendszerrel kíván ellátni, akkor első lépésként meg kell határozni az elfogadható kockázat mértékét (THR), amely a specifikálástól a teljes fejlesztési és üzemeltetési ciklus szükséges eljárásait determinálja.

A felhasználható kockázatelemzési módszerek: ALARP, GAMAB, MEM, stb.

Hibacsoportok:

Megoldási módok :

A rendszer meghibásodásainak és azok követelményinek elemzésére használható módszerek:

Az emített eljárások közül az EGB előírások az FMEA-t (hiba mód és hatás analízis), illetve az FTA-t (hibafa analízis) említik. A rendszer meghibásodásainak áttekintése alapján értékelhető a hibatűrés, valamint a biztonságos meghibásodások részaránya, amelyek mértéke szintén meg kell, hogy feleljen a biztonságintegritási szinthez tartozó követelménynek.

A biztonságorientált rendszer megvalósításához szükséges eljárásokat az alábbi “kád-görbén” bemutatott teljes megvalósítási folyamat kiemelt lépéseinél követni kell.

A biztonságkritikus elektronikus rendszerek teljes fejlesztési periódusának, hardver és szoftver felépítésének követelményeit az IEC 61508 szabvány tartalmazza.

A szabvány követelményrendszerének feldolgozásánál felhasználtuk a BME Közlekedés- Automatika Tanszékének közreműködését.

A szabvány a 8 részből áll:

Ez így kellőképpen bonyolult felépítésnek tűnik és elsőre az is. Aki munkaköri ártalomként kényszerül foglalkozni vele inkább olvassa végig az egészet, mert ha csak kis részeket vesz ki, az nagyon meg tudja vezetni.

Annak ellenére, hogy a szabvány igen terjedelmes, jól tagolt és egyszerű nyelvezettel bír. Szerkezeti felépítése a következő:

Itt kiemeljük a dokumentálás fontosságát. A szabvány nagy hangsúly helyez a dokumentációk részletességére, naprakészségére, és jól strukturáltságára. A cél az, hogy a biztonságorientált rendszer minden életciklusáról elegendő információ álljon rendelkezésre azok számára, akik valamilyen szinten kapcsolatba kerülnek a rendszerrel. Legyenek egyszerű végfelhasználók, karbantartók, vezető beosztásúak, vagy minősítő szervezetek tagjai.

Egy biztonságorientált rendszer általában az alábbi részegységekből épül fel:

E/E/PE (elektronos / elektronikus / programozható) rendszerek

Más technológián alapuló rendszerek (pl. mechanikus, pneumatikus)

Külső kockázat csökkentő felszerelés / eszközök (pl. munkavédelmi felszerelések)

Egy átlagos biztonságorientált rendszer életciklusa folyamatábraként felrajzolva:

A fenti folyamatábrán nincsenek feltüntetve az ellenőrzések, a menedzsment és a dokumentálás fázisai. Ezek minden egyes lépésnek szerves részei kell, hogy legyenek.

A szabvány világosan meghatározza, hogy az egyes lépéseknél milyen kiindulási adatokra van szükség és milyen végeredményt kapunk:

A koncepció: a szabályozni kívánt folyamatok és berendezések megismerése tartozik ide és a kívánt végeredmény nagyvonalú meghatározása. Fizika környezet, várható veszélyforrások, és azok súlyosságának felmérése szintén feladat. Itt kell megismerni az ágazati szabványokat és a már (esetleg) felszerelt biztonsági berendezéseket.

A igények és lehetőségek meghatározása: a szabályozni kívánt folyamatok és berendezések korlátit, és lehetőségeit kell feltérképezni. A veszélyforrásokat és a kockázati tényezőket össze kell gyűjteni a későbbi analízishez. Például:

A gyártási folyamatban rejlő kockázati tényezők

Az alkatrészek meghibásodásából eredő kockázati tényezők

Többszörös meghibásodásokból származó kockázat

Az emberi tényezők

Környezeti kockázatok

Veszély és kockázat elemzés: cél az összes előrelátható veszélyhelyzet és a veszélyes szituáció összegyűjtése a rendszer minden lehetséges állapotában:

Egy meghibásodás

Meghibásodások sorozata

Helytelen használat

Egyéb emberi tényezők (figyelmetlenség)

Az eredményeket ki kell értékelni és megállapítani az egyes veszélyhelyzetek kockázati tényezőét. Ezután megfontolható a különböző veszélyhelyzetek kialakulásának valószínűségének, gyakoriságának vagy súlyosságának csökkentése.

A rendszer biztonsági követelményeinek meghatározása: Létre kell hozni egy átfogó biztonságnövelő tervet, mely konkrétan tartalmazza a biztonsági funkciókat és a biztonságintegritási szinteket. A más technológián alapuló rendszereket és a külső kockázat csökkentő tényezőket ennél a lépésnél már számításba kell venni a kívánt kockázati szint eléréséhez.

Minden egyes feltárt veszélyhelyzetre meg kell adni milyen kockázatcsökkentést várunk el. Ha van az adott ágazatra érvényes szabvány, akkor aszerint kell eljárni.

A rendszer biztonsági követelményeinek elosztása részrendszerekre: A fázis célja, hogy az egyes biztonsági funkciókat elossza az azokat megvalósító részrendszerek között és SIL szinteket rendeljen hozzájuk. Ez természetesen egy egyszerű architektúra esetén szükségtelen. Érdemes még figyelembe venni, hogy egy nagy komplexitású rendszer magasabban képzett felhasználó- és karbantartó személyzetet igényel, mint egy egyszerűbb, de ugyanolyan hatékonyságú.

Az összes biztonságintegritási követelményt a következő két csoport valamelyikébe kell besorolni:

A SIL szinteket két alapjaiban különböző módszerrel lehet meghatározni. Az egyik a kvalitatív, a másik a kvantitatív. Ez utóbbi előnye, hogy számszerűsíthető végeredménnyel szolgál, ennél fogva konkrétabb; hátránya, ha nem áll rendelkezésre elég kiindulási (pl. statisztikai) adat, teljesen hasznavehetetlen.

A SIL szintek meghatározása a meghibásodási valószínűség függvényében:

L. táblázat Alacsony igénybevételű rendszerek meghibásodási valószínűsége

LI. táblázat Magas igénybevételű rendszerek meghibásodási valószínűsége

A SIL 0 biztonságintegritási szint nem tartozik a szabvány hatálya alá.

Példák a SIL szintek meghatározására kvalitatív módszerekkel:

LII. táblázat Hiba a kontrolálhatóság szempontjából

LIII. táblázat Hiba a veszélyesség szempontjából

A fenti példák gráfokkal összekombinálhatóak. A kvantitatív módszer hátránya, hogy erőteljesen a felhasználók morális érzékére hagyatkozik, ami nézőpont függő, ezzel megnehezíti az ellenőrzést és egy vitás esetben csak erkölcsi és filozófiai vitákat vált ki.

A biztonsági követelményének részegységek közötti felosztásánál kifejezetten figyelni kell a közös okú hibák kialakulásának megakadályozására:

Ha különböző biztonságintegritású részrendszerekkel van dolgunk és a fent felsoroltak nem valósíthatóak meg hatékonyan, vagy egy berendezés több különböző szinthez tartozó funkciót hajt végre, akkor az alacsonyabb SIL szint igényű részrendszereket a csoportban a legmagasabb szerint kell kivitelezni. Egyetlen, nem redundáns rendszerhez nem rendelhető önálló biztonságintegritási szint, ha nem teljesíti legalább a fenti táblázatokban megadott SIL szinteknek megfelelő meghibásodási valószínűségi értékeket.

Üzemeltetés és karbantartás tervezése: Definiálni kell az üzemeltetés során használatos rutin eljárásokat: felhasználói kézikönyv, karbantartási utasítások, napló, tervszerű ellenőrzések stb. Vizsgálni kell mi a teendő egy veszélyes meghibásodás esetén.

A későbbi üzemeltetőnek egyet kell értenie ezekkel az instrukciókkal, mert a karbantartások el nem végzése és az előírások be nem tartása, nem várt eredményekhez vezethet.

Minősítés és ellenőrzés megtervezése: Létre kell hozni a kész rendszer ellenőrzésének tervét, ebbe a használni kívánt eljárásokkal, résztvevőkkel és legfőképpen a megfelelés, illetve nem megfelelés kritériumaival.

Felszerelés és üzembe helyezés megtervezése: Meg kell adni az installálás időrendjét, egymást követő fázisait, és az eljárások leírását.

Realizációs fázis: fontos, hogy a részrendszereket külön-külön ellenőrzzük és minősítsük, hogy megfelelnek-e a korábban meghatározott követelményeknek és csak a megfelelőket építsük be az architektúrába.

Felszerelés és üzembe helyezés: a Felszerelési és üzembe helyezési terv szerint kell elvégezni. Az elvégzett tevékenységek mellett a felmerülő problémákat is dokumentálni kell.

Minősítés, üzemben tartás, karban tartás, javítás: a már kidolgozott tervek szerint kell eljárni, hasonlóan, mint a felszerelésnél.

Módosítások: cél a funkcionális biztonság fenntartása, vagy javítása a rendszer élettartama folyamán. A módosítások okát, módját és hatását minden esetben részletesen elemezni és dokumentálni kell. Minden módosítás után a rendszert újra kell minősíteni.

Ellenőrzések: cél bebizonyítani, hogy a rendszer az életciklus minden fázisában megfelel-e vele szemben támasztott követelményeknek, illetve az egyes fázisok kivitelezésénél a szabvány követelményei betartásra kerültek-e.

A funkcionális biztonsági követelmények elemzése: meg kell vizsgálni és eldönteni, hogy az E/E/PE rendszer eléri-e a szükséges funkcionális biztonsági szintet. Fontos, hogy az ellenőrzést végző személyek hozzáférhessenek minden információhoz (dokumentumok, emberekhez, akik részt vesznek az életciklus fázisaiban, magához a rendszerhez). A vizsgálatot végző személyek három csoportra oszthatóak egy bekövetkező veszélyhelyzet súlyossága szerint: független személy, független részleg, független szervezet.

LIV. táblázat Hibatűrés „A” típusú rendszer esetén

LV. táblázat Hibatűrés „B” típusú rendszer esetén:

Ahol:

„A” típusú rendszer: - az összes alkatrész meghibásodása jól definiálható, és

„B” típusú rendszer: ha a fentiek közül bármelyik nem teljesül.

Hibatűrés: A rendszer N hiba esetén még biztonságosan üzemel. N+1 hiba már a biztonsági funkciók elvesztéséhez vezet.

Biztonságos meghibásodások aránya: a biztonságos meghibásodások aránya az összes meghibásodáshoz.

A kiegészítő funkciókat betöltő komplex elektronikus rendszereknél sok esetben a rendszer alacsonyabb szabályozási szintre történő átállása, vagy teljes lekapcsolása biztonságos állapotnak tekinthető, így azt ezt előidéző hibák biztonságos hibának tekinthetők. Ebben az esetben elkerülhető teljes funkcionalitást biztosító redundancia kialakítása.

Az IEC 58601 szerint a különböző biztonságintegritási szintű biztonság-integritású rendszereknél a tervezés és fejlesztés alábbi fontosabb lépéseinél a hibák elkerülése érdekében alkalmazandó technikák: