Poziom nienaruszalności bezpieczeństwa - Safety integrity level
Poziom nienaruszalności bezpieczeństwa ( SIL ) definiuje się jako względne poziomy redukcji ryzyka zapewniane przez funkcję bezpieczeństwa lub w celu określenia docelowego poziomu redukcji ryzyka . Mówiąc prościej, SIL jest miarą wydajności wymaganej dla funkcji bezpieczeństwa (SIF).
Wymagania dla danego SIL nie są spójne we wszystkich normach bezpieczeństwa funkcjonalnego. W normach bezpieczeństwa funkcjonalnego opartych na normie IEC 61508 zdefiniowane są cztery poziomy SIL, przy czym SIL 4 jest najbardziej niezawodny, a SIL 1 najmniej. Obowiązujący poziom SIL jest określany na podstawie szeregu czynników ilościowych w połączeniu z czynnikami jakościowymi, takimi jak proces rozwoju i zarządzanie cyklem życia bezpieczeństwa.
Zadanie
Przypisanie SIL to ćwiczenie w analizie ryzyka, w którym ryzyko związane z konkretnym zagrożeniem, przed którym ma być chroniona przez SIF, jest obliczane bez korzystnego efektu redukcji ryzyka SIF. To nieograniczone ryzyko jest następnie porównywane z dopuszczalnym celem ryzyka. Różnica między nieograniczonym ryzykiem a dopuszczalnym ryzykiem, jeśli nieograniczone ryzyko jest wyższe niż tolerowane, należy rozwiązać poprzez zmniejszenie ryzyka SIF. Ta wielkość wymaganej redukcji ryzyka jest skorelowana z celem SIL. Zasadniczo każdy wymagany rząd wielkości redukcji ryzyka koreluje ze wzrostem jednej z wymaganych wartości SIL.
Istnieje kilka metod przypisywania SIL. Są one zwykle używane w połączeniu i mogą obejmować:
- Macierze ryzyka
- Wykresy ryzyka
- Analiza warstw ochrony ( LOPA )
Spośród przedstawionych powyżej metod, LOPA jest zdecydowanie najczęściej stosowaną przez duże zakłady przemysłowe.
Przypisanie może być testowane przy użyciu zarówno podejścia pragmatycznego, jak i możliwości kontroli, stosując wytyczne dotyczące przypisywania SIL opublikowane przez UK HSE. Procesy przypisywania SIL, które wykorzystują wytyczne HSE do ratyfikacji przypisań opracowanych na podstawie macierzy ryzyka, zostały certyfikowane jako spełniające normę IEC EN 61508.
Problemy
Istnieje kilka problemów związanych ze stosowaniem poziomów nienaruszalności bezpieczeństwa. Można je podsumować w następujący sposób:
- Słaba harmonizacja definicji w różnych organach normalizacyjnych, które wykorzystują SIL
- Metryki zorientowane na proces do wyprowadzania SIL
- Szacowanie SIL na podstawie oszacowań niezawodności reliability
- Złożoność systemu, szczególnie w systemach oprogramowania, utrudnia lub uniemożliwia oszacowanie SILSIL
Prowadzą one do takich błędnych stwierdzeń, jak: „Ten system jest systemem SIL N, ponieważ proces przyjęty podczas jego rozwoju był standardowym procesem rozwoju systemu SIL N” lub użycie koncepcji SIL poza kontekstem, np. „ To jest wymiennik ciepła SIL 3” lub „To oprogramowanie ma SIL 2”. Zgodnie z normą IEC 61508 koncepcja SIL musi odnosić się do wskaźnika niebezpiecznych awarii systemu, a nie tylko do wskaźnika awarii lub wskaźnika awarii części składowej, takiej jak oprogramowanie. Definiowanie niebezpiecznych trybów defektów poprzez analizę bezpieczeństwa jest nieodłączną częścią prawidłowego określenia wskaźnika defektów.
SIL dotyczy wyłącznie sterowania elektrycznego, a numery SIL nie odnoszą się do numeracji powiązanej z kategoriami w EN 954-1 .
Orzecznictwo
Norma Międzynarodowej Komisji Elektrotechnicznej (IEC) IEC 61508 definiuje SIL przy użyciu wymagań pogrupowanych w dwie szerokie kategorie: integralność bezpieczeństwa sprzętu i systematyczna nienaruszalność bezpieczeństwa. Urządzenie lub system musi spełniać wymagania dla obu kategorii, aby osiągnąć dany SIL.
Wymagania SIL dotyczące integralności bezpieczeństwa sprzętu oparte są na analizie probabilistycznej urządzenia. Aby osiągnąć dany SIL, urządzenie musi spełniać cele dotyczące maksymalnego prawdopodobieństwa niebezpiecznej awarii i minimalnego odsetka bezpiecznych awarii. Pojęcie „niebezpiecznej awarii” musi być rygorystycznie zdefiniowane dla danego systemu, zwykle w postaci ograniczeń wymagań, których integralność jest weryfikowana podczas rozwoju systemu. Rzeczywiste wymagane cele różnią się w zależności od prawdopodobieństwa zapotrzebowania, złożoności urządzenia (urządzeń) i rodzaju zastosowanej nadmiarowości.
PFD (prawdopodobieństwo niebezpiecznej awarii na żądanie) i RRF (współczynnik redukcji ryzyka) operacji na niskim poziomie dla różnych poziomów SIL zgodnie z definicją w IEC EN 61508 są następujące:
| SIL | PFD | PFD (moc) | RRF |
|---|---|---|---|
| 1 | 0,1–0,01 | 10 -1 - 10 -2 | 10–100 |
| 2 | 0,01–0,001 | 10 -2 - 10 -3 | 100–1000 |
| 3 | 0,001–0,0001 | 10 -3 - 10 -4 | 1000–10 000 |
| 4 | 0,0001–0,00001 | 10 -4 - 10 -5 | 10 000–100 000 |
W przypadku pracy ciągłej zmieniają się one na następujące. (Prawdopodobieństwo niebezpiecznej awarii na godzinę)
| SIL | PFH | PFH (moc) | RRF |
|---|---|---|---|
| 1 | 0,00001-0.000001 | 10 -5 - 10 -6 | 100 000–1 000 000 |
| 2 | 0.000001-0.0000001 | 10 -6 - 10 -7 | 1 000 000–10 000 000 |
| 3 | 0,0000001-0,00000001 | 10 -7 - 10 -8 | 10 000 000–100 000 000 |
| 4 | 0,0000001-0,00000001 | 10 -8 - 10 -9 | 100 000 000–1 000 000 000 |
Zagrożenia systemu kontroli muszą być zidentyfikowane, a następnie przeanalizowane poprzez analizę ryzyka. Łagodzenie tych zagrożeń trwa do momentu, gdy ich ogólny wkład w zagrożenie zostanie uznany za akceptowalny. Tolerowany poziom tych zagrożeń jest określony jako wymóg bezpieczeństwa w postaci docelowego „prawdopodobieństwo niebezpiecznej awarii” w danym okresie czasu, określanego jako dyskretny SIL.
Schematy certyfikacji służą do ustalenia, czy urządzenie spełnia określony SIL. Wymagania tych schematów można spełnić albo poprzez rygorystyczny proces rozwoju, albo przez ustalenie, że urządzenie ma wystarczającą historię działania, aby udowodnić, że zostało sprawdzone w użyciu.
Urządzenia elektryczne i elektroniczne mogą być certyfikowane do użytku w aplikacjach bezpieczeństwa funkcjonalnego zgodnie z normą IEC 61508 , pod warunkiem, że twórcy aplikacji przedstawią dowody wymagane do wykazania, że aplikacja, w tym urządzenie, jest również zgodna. IEC 61511 jest adaptacją normy IEC 61508 do konkretnego zastosowania dla sektora przemysłu przetwórczego. Norma ta stosowana jest m.in. w przemyśle petrochemicznym i chemii niebezpiecznej.
Standardy bezpieczeństwa
Poniższe standardy wykorzystują SIL jako miarę niezawodności i/lub redukcji ryzyka.
- ANSI/ISA S84 (Bezpieczeństwo funkcjonalne przyrządowych systemów bezpieczeństwa dla sektora przemysłu przetwórczego)
- IEC 61508 (Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/programowalnych elektronicznych systemów związanych z bezpieczeństwem)
- IEC 61511 (Przyrządowe systemy bezpieczeństwa dla sektora przemysłu przetwórczego)
- IEC 61513 (przemysł jądrowy)
- IEC 62061 (bezpieczeństwo maszyn)
- EN 50128 (aplikacje kolejowe – oprogramowanie do sterowania i ochrony kolei)
- EN 50129 (zastosowania kolejowe – elektroniczne systemy sygnalizacji związane z bezpieczeństwem)
- EN 50657 (aplikacje kolejowe – oprogramowanie na pokładzie taboru)
- EN 50402 (stałe systemy wykrywania gazu)
- ISO 26262 (przemysł motoryzacyjny)
- MISRA , różne (wytyczne dotyczące analizy bezpieczeństwa, modelowania i programowania w zastosowaniach motoryzacyjnych)
- Norma Obronna 00-56 Wydanie 2 – konsekwencje wypadku
Użycie SIL w określonych normach bezpieczeństwa może stosować różne sekwencje numerów lub definicje w stosunku do tych w IEC EN 61508.
Zobacz też
- Tak niskie, jak to możliwe (ALARP)
- Fałszywy poziom podróży (STL)
- System ochrony ciśnieniowej o wysokiej integralności (HIPPS)
Istnieje cała rodzina standardów poziomu B2 opartych mniej więcej na normie IEC 61508, która również wykorzystuje SIL, np. IEC 62061 i ISO 26262 .
Bibliografia
- ^ M. Charlwood, S Turner i N. Worsell, UK Health and Safety Executive Research Report 216, „Metodologia przypisywania poziomów nienaruszalności bezpieczeństwa (SIL) do funkcji sterowania związanych z bezpieczeństwem realizowanych przez związane z bezpieczeństwem elektryczne, elektroniczne i programowalne elektroniczne układy sterowania maszyn", 2004. ISBN 0-7176-2832-9
- ^ B Redmill Felix (2000). „Zrozumienie użycia, niewłaściwego użytkowania i nadużywania poziomów nienaruszalności bezpieczeństwa” (PDF) . Pobrano 16 lutego 2017 .
- ^ Program CASS, Ocena zgodności systemów bezpieczeństwa, http://www.cass.uk.net/
- ^ Marszal Edward, „Wybór poziomu nienaruszalności bezpieczeństwa - metody systematyczne, w tym warstwa analizy ochrony”, The Instrumentation, Systems and Automation Society, Research Triangle Park, NC, USA, 2002.
- ^ Mitchell, KJ, Longendelpher, TM, Kuhn, MC, "Podręcznik inżynierii systemów bezpieczeństwa instrumentalnego", Kenexis, Columbus, OH, USA, 2010.
Podręczniki
D. Smith, K. Simpson, „Podręcznik systemów krytycznych bezpieczeństwa – prosty przewodnik po bezpieczeństwie funkcjonalnym, IEC 61508 (edycja 2010) i powiązane normy” (wydanie trzecie, ISBN 978-0-08-096781-3 , 270 stron).
M. Punch, „Bezpieczeństwo funkcjonalne w przemyśle wydobywczym – zintegrowane podejście wykorzystujące AS(IEC)61508, AS(IEC)62061 i AS4024.1.” (Wydanie 1, ISBN 978-0-9807660-0-4 , w miękkiej okładce A4, 150 stron). www.marcuspunch.com
MJM Houtermans, „SIL i bezpieczeństwo funkcjonalne w pigułce (Seria najlepszych praktyk Risknowlogy, wydanie 1, eBook w formacie PDF, ePub i iBook, 40 stron). * SIL i bezpieczeństwo funkcjonalne w pigułce
H. Hartmann, H. Thomas, E. Scharpf, "Praktyczny wybór celu SIL - analiza ryzyka zgodnie z cyklem bezpieczeństwa IEC 61511" ISBN 978-1-934977-03-3 [1]
M. Medoff, R. Faller, „Bezpieczeństwo funkcjonalne — proces rozwoju zgodny z normą IEC 61508 SIL 3 (wydanie trzecie)” ISBN 978-1-934977-08-8 [2]
Linki zewnętrzne
- 61508.org Stowarzyszenie 61508
- Strefa bezpieczeństwa IEC Strefa bezpieczeństwa funkcjonalnego IEC
- Bezpieczeństwo funkcjonalne, podstawowy przewodnik Bezpieczeństwo funkcjonalne i IEC 61508: podstawowy przewodnik
- SIL Made Simple – Biała Księga zaprezentowana na Valve World 2010
- Podręcznik poziomu nienaruszalności bezpieczeństwa Zarchiwizowany podręcznik SIL firmy Pepperl+Fuchs