SIL del 3: Systempotentiale

 
Opnåelse af SIL kræver, at en sikkerhedsfunktions design lever op til tre specifikke kriterier, som er skitseret i standarden. Dette afsnit omhandler nummer 3 – Systempotentiale.

 

Hvad er funktionssikkerhed?

Funktionssikkerhed er aktiv detektering af potentielt farlige forhold, som kan resultere i krav om en beskyttelsesmekanisme eller -funktion til forebyggelse eller reduktion af indvirkningen af farlige hændelser, der kan forekomme.

 

Funktionssikkerhed er en del af den samlede sikkerhed i udstyr under kontrol (EUC) og fokuserer på elektronik og tilknyttet software.

 

IEC 61508 er en international standard for "Funktionssikkerhed for elektriske/elektroniske/programmerbare elektroniske sikkerhedsrelaterede systemer". Den danner som paraplystandard for funktionssikkerhed grundlaget for mange branchespecifikke afledninger som f.eks. IEC 61511 i procesindustrien.

 

Standarden følger en model for sikkerhedslivscyklus og formaliserer håndteringen af funktionssikkerhed, samtidig med at den indeholder forholdsregler og teknikker til design af sikkerhedsinstrumenterede systemer (SIS) og tilknyttede sikkerhedsinstrumenterede funktioner (SIF).

IEC 61511 Safety lifecycle

IEC 61511 Sikkerhedslivscyklus

 

Et vigtigt element i sikkerhedslivscyklussen er udarbejdelsen af sikkerhedskravsspecifikationen (SRS). Dette dokument er så at sige arbejdstegningen til sikkerhedssystemdesignets funktionalitet, integritet og validering, og det er baseret på data fra fare- og risikovurderingstrinnene i livscyklussen.

 

 

Hvad er SIL?

Sikkerhedskravsspecifikationen vil dokumentere omfanget af en eventuel restrisikoreduktion, der måtte være krævet i sikkerhedssystemdesignet, og tilknytning af et tilsvarende tilsigtet SIL-niveau.

 

SIL eller sikkerhedsintegritetsniveau er et relativt niveau for risikoreduktion, som en sikkerhedsfunktion yder. Der er defineret fire separate SIL-niveauer fra 1 til 4, hvor SIL 4 yder det højeste niveau af sikkerhedsintegritet og giver den højeste tilsvarende risikoreduktionsfaktor.

SIL Risikoreduktionsfaktor – RRF
4 > 10.000 til ≤ 100.000
3 > 1.000 til ≤ 10.000
2 > 100 til ≤ 1.000
1 >10 til ≤ 100

 

 

Hvordan opnås et specifikt SIL?

Opnåelse af SIL kræver, at en sikkerhedsfunktions design lever op til tre specifikke kriterier, som er skitseret i standarden.

 

Disse stringente kriterier er: Tilfældig hardwareintegritet, arkitekturbegrænsninger og systempotentiale

 

Dette afsnit omhandler nummer 3 – Systempotentiale. Oplysninger om Tilfældig hardwareintegritet og Arkitekturbegrænsninger fås ved at klikke på de tilsvarende links.

 

 

PR electronics tilbyder et sortiment af SIL-certificerede enheder, som dækker en lang række SIL-applikationer

 

 

Hvad er systempotentiale?

IEC 61508-2010 definerer systempotentiale som:

 

"Et mål (udtrykt på en skala fra SC 1 til SC 4) for sikkerheden for, at et elements systematiske sikkerhedsintegritet lever op til kravene for det specificerede sikkerhedsintegritetsniveau (SIL) med hensyn til den specificerede elementsikkerhedsfunktion, når elementet anvendes i overensstemmelse med instruktionerne, der er specificeret for elementet i sikkerhedsmanualen til det overensstemmende emne."

 

Systematiske svigt er hovedsageligt resultater af menneskelige fejl. Der kan i både designet, konstruktionen, betjeningen eller vedligeholdelsen af en sikkerhedsfunktion blive introduceret systematiske svigt, som vil opstå, hvis de korrekte omstændigheder forekommer på én gang.

 

Systematiske svigt er ofte følger af uhensigtsmæssig enheds- eller komponentspecifikation, fejl i drifts- eller vedligeholdelsesprocedurer eller fejl i software. Systematiske fejl vil fortsætte med at dukke op, indtil der sker omdesign af den tilgrundliggende årsag.

 

Systematisk integritet kan derfor defineres som graden af beskyttelse mod systematiske svigt.

 

Påvisning af systematisk sikkerhedsintegritet

IEC 61511 giver mulighed for 2 metoder til påvisning af systematisk kapacitet:

 

  • Brug af IEC 61508-certificerede enheder
  • Hidtidig brug-begrundelse

 

Brug af IEC 61508-certificerede enheder

IEC 61508 stiller afhængigt af det nødvendige SIL-niveau strenge krav til designet, fejlforebyggelsen og afprøvningen af udstyret. På denne måde sikres det, at producenter overholder en stringent og repeterbar proces med fuld ansvarlighed og ledsagende dokumentation.

Der foreligger en række tabeller med relevante teknikker og forholdsregler, som producenter kan følge, så de siden hen kan påvise overensstemmelse med det relevante SIL-niveau.

 

Teknik/forholdsregel

Se
IEC 61508-7

SIL 1 SIL 2 SIL 3 SIL 4
Programsekvensmonitorering A.9 HR
low
HR
low
HR
medium
HR
high
Detektering af svigt ved online-monitorering A.1.1 R
low
R
low
R
medium
R
high
Afprøvninger med redundant hardware A.2.1 R
low
R
low
R
medium
R
high
Standardiseret testadgangsport og grænsescanningsarkitektur A.2.3 R
low
R
low
R
medium
R
high
Kodebeskyttelse A.6.2 R
low
R
low
R
medium
R
high
Hardwarevarianter B.1.4 -
low
-
low
R
medium
R
high

IEC 61508-2010 Tabel A.15 – Teknikker og forholdsregler til kontrol af systematiske svigt forårsaget af hardwaredesign

 

 

Ovenstående tabel er et eksempel af mange, som hver især fokuserer på et specifikt designaspekt.

 

Hver teknik/forholdsregel vil afhængigt af det nødvendige SIL-niveau have en indikation af, hvorvidt den er Obligatorisk (M), Anbefalet på det kraftigste (HR), Anbefalet (R) eller Ikke anbefalet (NR). Tabellen vil desuden indikere forholdsreglens nødvendige effektivitet mod systematiske svigt.

 

IEC 61508-certificerede enheder vil have været underkastet en akkrediteret tredjeparts audit af samtlige overensstemmelseskrav, hvorved det sikres, at alle relevante design-, test- og dokumentationsteknikker samt -forholdsregler er anvendt korrekt i forhold til SIL-niveauet.

 

SIL-certifikater bør indikere det relevante SC-niveau.

 

IEC 61508 : 2010 full SIL assessment up to SIL 3 SIL assessment up to SIL 3

 

Hidtidig brug-begrundelse

Man kan mene, at der kan argumenteres for, at enheden er pålidelig at bruge, hvis en specifik bruger har haft omfattende erfaring med en enhed, og vedkommende har oplevet et tilstrækkeligt lavt antal svigt.

 

Hvis dette skal retfærdiggøres fuldstændigt, må der kunne tages udgangspunkt i, at brugeren har etableret et robust system til fuldstændig dokumentation af ALLE svigt og fejltilstande i kombination med en stringent versionskontrol af hardware- og softwarevarianter, som kunne have haft indvirkning på de hidtil gjorte erfaringer. Derudover skal en ny foreslået anvendelse have driftsbetingelser, som svarer til historikdataene, så det sikres, at dataene er konsistente.

 

IEC 61511 klausul 11.5.3 skitserer kravene til udvælgelse af enheder på grundlag af en hidtidig brug-begrundelse.

 

"Der skal foreligge relevante beviser for, at enhederne er egnede til brug i det sikkerhedsinstrumenterede system, herunder:

 

  • hensyntagen til producentens kvalitets-, ledelse- og konfigurationshåndteringssystemer
  • passende identifikation og specifikation af enhederne
  • påvisning af enhedernes ydeevne i tilsvarende driftsomgivelser
  • omfanget af driftsmæssig erfaring."

 

Højere SIL-niveauer stiller større krav til eventuel hidtidig brug-begrundelse, og især hvis der også er tale om software.

 

Det kan være vanskeligt for en slutbruger at dokumentere en hidtidig brug-begrundelse fuldstændigt, og derfor benytter mange slutbrugere sig af det stadigt stigende antal IEC 61508-certificerede enheder for at kunne demonstrere systempotentiale.

 

Påvisning af systempotentiale påviser ikke i sig selv opnåelse af det tilsigtede SIL. Der skal også tages højde for Tilfældig hardwareintegritet og Arkitekturbegrænsninger.

 

Er disse oplysninger nyttige?

 

Bedøm os

(28 stemmer)