Fejlesztés kockázati alapokon

Fejlesztés kockázati alapokon Az IEC61508 és az IEC61511 Szabó Géza Szabo.geza@mail.bme.hu 1

A blokk célja Áttekintő kép a 61508-ról és a 61511-ről, A filozófia megismertetése, Nem cél a követelmények szó szerinti meghivatkozása. A szabvány eredetijében érvényes! IEC.. MSZ-EN Cégeknél: Az ilyen tanfolyam is lehet része egy biztonsági életciklusnak ennek megfelelő dokumentálás. 2

Bevezetés Kockázati alapú megközelítések bevezetése Abszolút biztonság nem létezik, A teljes kitesztelés egyre inkább lehetetlen (bizalom kell) Védekezés a véletlen meghibásodások és a szisztematikus hibák ellen, Védekezés mértéke a kockázat, illetve az elvárt kockázatcsökkentés függvénye. THR és SIL Véletlen hibák ellen: THR (Tolerable Hazard Rate) Szisztematikus hibák ellen: SIL (Safety Integrity Level) 3

Bevezetés (2) Hibamentes állapot Megfelelő funkcióvégrehajtás TMK Javítás Meghibásodás Hiba Veszély 4 Tervezési okú veszély Meghibásodási okú veszély

Bevezetés (3a) THR és SIL kapcsolata: arányosság elve (igény szerinti üzemmód) 5

Bevezetés (3b) THR és SIL kapcsolata: arányosság elve (folyamatos üzemmód) 6

Bevezetés (4) THR teljesítése Architektúra, Redundancia, Egyedi elem -megbízhatóságok. SIL teljesítése Életciklus, Kompetencia, Függetlenség, Dokumentáltság (információáramlás), Módszerek és eljárások Best Practice 7

Bevezetés (5) A SIL követelmények teljesítése életciklus-szerű Utólag nem pótolható (vagy csak revízióval ), Utólag nehezen igazolható. 8

Bevezetés (6) Szabványok viszonyai 9

IEC61508 Funkcionális biztonság A funkcionális biztonság fogalma E / E / PE EUC Equipment Under Control Felépítése: 1. rész: általános követelmények 2. rész: hardver követelmények 3. rész: szoftver követelmények 4. rész: definíciók és rövidítések 5. rész: példák a biztonságintegritás meghatározására 6. rész: irányelvek a 2. és a 3. rész alkalmazásához, 7. rész: a javasolt eljárások áttekintése 10

IEC61508 11

61508 Kockázatok értelmezése Igény szerinti üzem: A kockázatcsökkentés valószínűségi Folyamatos üzem: A kockázatcsökkentés gyakorisági (ECU risk = 1) 12

61508 Kockázatok értelmezése Kockázat = f(veszély, gyakoriság) 13

61508 - Kockázatelemzés Cél az eltűrhető kockázat meghatározása Nem egyéni vélemény, szakmai, de inkább társadalmi elfogadottság szükséges Veszélyes szituációk meghatározása: funkciók alapján (pl. HAZOP) Veszélyes szituációkhoz tartozó lehetséges kár meghatározása (emberi veszteség, anyagi veszteség, természeti veszteség) Eltűrhető kockázatból adódik a megengedett gyakoriság 14

61508 Kockázatelemzés (2) Fontos! A kockázatelemzés, illetve a szabványok azt deklarálják, hogy lesz agy adott mértékű maradék kockázat, vagyis a rendszerünkbe beépítjük a veszteség lehetőségét! Kockázatelemzésre az életciklus több pontján van szükség! 15

61508 Kockázatelemzési módszerek A módszerek csak ajánlottak! Kvantitatív számszerű eredményt szolgáltatóak GAMAB MEM ALARP Kvalitatív SIL szint meghatározására irányulóak RiskGraph (DIN V 19250) 16

Példa 1: Vasúti fénysorompó Funkció azonosítása, Veszélyes állapotok (esetleges akadályozó állapotok), Eltűrhető kockázat meghatározása (GAMAB) - környezet figyelembe vétele Egyéb kockázatcsökkentő lehetőségek figyelembe vétele 17

Példa 1: Vasúti fénysorompó (2) Ismert és sajnos mindenki által elfogadott tény, hogy a közúti közlekedésben naponta négy ember hal meg. Tételezzük fel, hogy a közút-vasút kereszteződések (amelyek köztudottan a közlekedés egyik legveszélyesebb részét képezi) a napi halálozási rátának csak a 0,01 szeresét, 1%-át adják, vagyis Magyarországon útátjáró balesetben naponta 0,04 személy vesztheti életét. Tételezzük fel, hogy 2000 biztosított útátjáró létezik, ezek biztosítási szintje ugyan eltérő (az igazán veszélyesek minden esetben csapórúddal is biztosítottak), de számításunkban ettől eltekintünk. Ez alapján egy útátjáróban naponta 0,04/2000=2*10-5 személy halhat meg. Az útátjáró balesetek egy részét a jól működő útátjáró mellett a közúti járművek vezetőinek felelőtlen magatartása okozza, ezért a berendezés hibájaként csak 1*10-5 személy halálát engedjük meg naponta, óránként ez kb. 4*10-7 érték. Tételezzük fel, hogy a járművezetők magatartása felelős (a felelőtlen magatartást már korábban figyelembe vettük), ezért csak minden ötödik veszélyes szituáció jár balesettel, viszont egy balesetben egynél több személy is meghalhat, a számítási egyszerűség kedvéért az egy balesetben elhunytak átlagos számát tekintsük ötnek, így 4*10-7 1/óra adódik a veszélyes meghibásodás gyakoriságára. Veszélyes az a szituáció, amikor a vörös jelzés szükséges lenne, és az nem jelenik meg. Ez lehetséges a vezérlő biztosítóberendezés meghibásodása miatt (pl. foglaltság-érzékelés hibája stb.). Mivel a biztosítóberendezés magas biztonsági szintű, alapvetően SIL4 szintre tervezett, ezért az ilyen hibákra csak 10-8 -10-9 hiba/óra gyakoriságot engedünk meg, ekkor az optika hibára (jó közelítéssel) továbbra is marad a 4*10-7 1/óra érték. Itt a továbbiakban figyelembe vesszük, hogy a vörös jelzés adása két, egymástól független optikával történik, amelyek együttes meghibásodása jelent csak a szempontunkból veszélyes állapotot. Az együttes meghibásodás számításához tételezzük fel, hogy az egyedi optika meghibásodási rátája y 1/óra, így egy év alatt 365*24*y meghibásodással számolhatunk. Tételezzünk fel 24 órás maximális javítási időt az egyedi optika vonatkozásában (ehhez a veszélyes meghibásodásnak detektáltnak kell lennie, ez később teljesítendő), így egy év alatt 24*(365*24*y) hibás állapotban töltött idővel számolhatunk (feltételezve, hogy ez az idő nem lehet hosszabb egy évnél), a hibás állapot valószínűsége: 24*(365*24*y)/(365*24)= 24*y=P A két optika együttes meghibásodásának gyakorisága: P*y+P*y, feltételezve a két optika azonosságát, ennek az értéknek kell kisebbnek lennie, mint 4*10-7 1/óra. Ebből y=9,12*10-5 1/óra. 18 Ez az érték a SIL1 Biztonságintegritási szintnek felelne meg. Vegyünk figyelembe azonban egy 10-es biztonsági faktort, az optika vonatkozásában írjunk elő 9,12*10-6 1/óra veszélyes meghibásodási gyakoriságot. Ez az optika vonatkozásában SIL2 értéket jelent.

Példa 2: gépjármű fékberendezés Funkció azonosítása, Veszélyes állapotok (esetleges akadályozó állapotok), Eltűrhető kockázat meghatározása (GAMAB) - környezet figyelembe vétele Egyéb kockázatcsökkentő lehetőségek figyelembe vétele 19

Példa 2: gépjármű fékberendezés Közlekedési okú halálesetek Magyarországon 4 haláleset/nap 1500 haláleset/év Emberi okú 90% Műszaki okú 10% 150 haláleset/év Fék okú 20% 30 halál/év Kormánymű okú Futómű okú Gumiabroncs okú Egyéb okú 20 Adat1 Adat2 Felosztás1

Példa 2: gépjármű fékberendezés Fék okú 20% 30 halál/év Kormánymű okú Futómű okú 60 baleset/év 0,5 halál/baleset 240 hibaeset/év Minden 4. fékhiba vezet balesethez Gumiabroncs okú 21 Egyéb okú Felosztás1 Hipotézis1 Hipotézis2

Példa 2: gépjármű fékberendezés SIL3 240 hibaeset/év 0,33 hibaeset/üzemóra 1,65*10-7 hibaeset/üzemóra Minden 4. fékhiba vezet balesethez Egy átlagos jármű 2 órát fut naponta 2 millió jármű Magyarországon 22 Hipotézis2 Hipotézis3 Adat3

61508 Kockázatelemzési módszerek MEM módszer 23

61508 Kockázatelemzési módszerek RiskGraph módszer 24

25 Elemzési példák (1) fék alapfunkció Meghibásodás hatása Kockázati paraméter Értelmezés Következmény C1 Kisebb sérülés C2 Súlyosabb sérülés egy vagy több személynél, vagy egy személy halála C3 Több személy halála. Az elsődleges fékfunkció hiánya olyan balesethez vezethet (különösen haszonjárművek esetén), amelynél több személy halálával is számolni kell. C4 Nagyon sok személy halála, katasztrófa A veszélyes zónában F1 Ritkától átlagos gyakoriságig tartózkodás F2 Gyakori tartózkodástól állandó tartózkodásig. A fékfunkció igen gyakran kerül felhasználásra egy átlagos felhasználásban. (Ugyanakkor nagy távolságú utakat, valamint városokat elkerülő útvonalat feltételezve F1 paraméter is elképzelhető lenne). A veszély elkerülésének lehetősége A nem kívánt esemény gyakorisága P1 P2 W1 Lehetséges bizonyos körülmények között Majdnem lehetetlen. A veszélyes szituáció sem kormánymozgással, sem figyelmeztető jelzések adásával nem kerülhető el hatékonyan. (Megjegyzendő, hogy megfelelő kijelzés mellett P1 paraméter alkalmazása is elfogadható) Nagyon kis valószínűség W2 Kis valószínűség. A további kockázatcsökkentési lehetőségek között vettük figyelembe a kézifék alkalmazási lehetőségét. W3 Nagy 2011.05.16. valószínűség Műszaki biztonság C1 C2 C3 C4 F1/F2 P1/P2 W3 W2 W1 a 1 2 3 4 b a a 1 2 3 4 a a a 1 2 3

Elemzési példák (2) fékasszisztens Meghibásodás hatása C1 C2 C3 C4 F1/F2 P1/P2 W3 W2 W1 a 1 2 3 4 b a a 1 2 3 4 a a a 1 2 3 Kockázati paraméter Következmény A veszélyes zónában tartózkodás A veszély elkerülésének lehetősége A nem kívánt esemény gyakorisága C1 C2 C3 C4 F1 F2 P1 P2 W1 W2 W3 Értelmezés Kisebb sérülés Súlyosabb sérülés egy vagy több személynél, vagy egy személy halála Több személy halála. Nagyon sok személy halála, katasztrófa Ritkától átlagos gyakoriságig. Vészfékezésre ritkán van szükség. Gyakori tartózkodástól állandó tartózkodásig. Lehetséges bizonyos körülmények között. A vészfékezés az asszisztens funkció nélkül is hatásos lehet. Majdnem lehetetlen. Nagyon kis valószínűség. Kis valószínűség. Nagy valószínűség. Ha a funkcióra szüksége lenne, további kockázatcsökkentés nem lehetséges. 26

61508 Kockázatelemzési módszerek ALARP As Low As Reasonably Possible 27

61508 Kockázatelemzési módszerek ALARP As Low As Reasonably Possible Cél: Megfelelő gyakoriság meghatározása 28 Energiaellátási példa - előadás -

61508 Követelmények allokálása A rendszerrel szemben megfogalmazott kockázati elvárások THR i ahol a veszélyes szituációk 1..i között. A rendszer alrendszereinek azonosítása J darab alrendszer A kockázati követelmények lebontása az egyes alrendszerekre THR ij Minden alrendszerre i darab követelményérték Az alrendszerre vonatkozó biztonságintegritás megállapítása SIL ij =f(thr ij ) Minden alrendszerre i darab SIL követelményszint Az alrendszernél a max(sil ij ) veendő figyelembe. 29

61508 Követelmények allokálása Soros rendszer: -Követelmény nő Párhuzamos rendszer: -Követelmény csökken 30

61508 Követelmények következményei 31

61508 Követelmények következményei (2) Egy adott berendezésnek: A THR követelményeket az egyedi funkciókra teljesítenie kell, A SIL követelmények közül a legmagasabbat kell teljesítenie 32

61508 hardver SIL A hardver által teljesíthető SIL meghatározása három paraméter alapján: A rendszer megismertsége, A tip: - meghibásodási módok jól definiáltak; hiba melletti viselkedés determinált; elégséges adat a detektáltság megállapításához. B tip: - a fenti valamelyik követelmény nem teljesül Meghibásodási módok biztonsága, Hibatűrés. 33

61508 hardver SIL 34

61508 hardver SIL 35

61508 hardver SIL 36

THR követelmények teljesülésének igazolása Alapadatok adatbázisból Saját adatok (azonos vagy hasonló alkalmazás) Általános adatok, pl. MIL-HDBK 217F A kettő kombinálása, súlyozása Rendszerelemzések FMEA Hibafa Megbízhatósági blokkdiagram 37

THR követelmények teljesülésének igazolása - alapadatok 38

39

THR követelmények teljesülésének igazolása - alapadatok 40

THR követelmények teljesülésének igazolása - alapadatok 41

THR követelmények teljesülésének igazolása alapadatok (Appendix A) 42

THR követelmények teljesülésének igazolása - rendszerelemzések Rendszerelemzések FMEA (Bottom-up) Hibafa (Top-down) Módszertan: Hibakatalógus, Strukturálás, Modellalkotás 43

Hibakatalógus 44

THR követelmények teljesülésének igazolása - FTA Rendszermodell, modell-elemek (csúcsesemény, alapesemény, közbenső esemény) Számítási típusok (MCS, csúcsesemény P, időfüggő vizsgálatok, érzékenységvizsgálatok) 45

SIL követelmények Dokumentáció, Biztonsági életciklus követelmények (felelősségek, kompetencia, függetlenségek), Életciklus, Módszerek és eljárások. 46

47

48

49

50

SIL követelmények teljesülésének igazolása: Biztonságértékelés (Functional Safety Assessment) Cél: az elért biztonsági szint vizsgálata és döntés a megfelelőségről. Egy vagy több személy, Minden információhoz és résztvevőhöz hozzáfér, Minden fázisra, Terv alapján Megfelelő függetlenséggel. 51

52

Módszerek és eljárások Nem feltétlenül kötelező az alkalmazásuk HR, R, NR Low, medium, high, mandatory A megfelelőségről a biztonságértékelő dönt 53

Módszerek és eljárások (2) 54

Módszerek és eljárások (3) 55

Módszerek és eljárások (4) 56

Módszerek és eljárások (5) 57

Módszerek és eljárások (6) 58

Módszerek és eljárások - hatékonyság 59

IEC61511 folyamatirányítási szektor 60