1 Lab3: Bezpieczeńswo funkcjonalne i ochrona informacji Tema: Weryfikacja nienaruszalności bezpieczeńswa SIL srukury sprzęowej realizującej funkcje bezpieczeńswa Kryeria probabilisyczne bezpieczeńswa funkcjonalnego Warości F avg dla czerech poziomów nienaruszalności bezpieczeńswa SIL zesawiono w abeli 1 (rodzaj pracy rzadkiego przywołania do działania. Waro zwrócić uwagę na fak, iż uzyskanie poziomu SIL dla srukury sprzęowej realizującej funkcje bezpieczeńswa może okazać się niemożliwe bez zasosowania nadmiarowości srukuralnej, a spełnienie warunków SIL3, a zwłaszcza SIL4 wymaga rozbudowanych środków nadmiarowych i jes zwykle niezwykle rudnym i dużym wyzwaniem koncepcyjnym, echnicznym oraz organizacyjnym. Tabela 1. oziomy nienaruszalności bezpieczeńswa SIL i przedziałowe kryeria probabilisyczne dla sysemów E/E/E SIL Favg FH 4 [ 10-5, 10-4 [ 10-9, 10-8 3 [ 10-4, 10-3 [ 10-8, 10-7 [ 10-3, 10 - [ 10-7, 10-6 1 [ 10 -, 10-1 [ 10-6, 10-5 W przypadku rodzaju pracy częsego przywołania do działania lub działania ciągłego sysemu rozważa się kryerium probabilisyczne zgodnie z rzecią kolumną abeli 1, czyli prawdopodobieńswa uszkodzenia niebezpiecznego na godzinę FH. Należy zaznaczyć, że proponowany w normie N-EN 61508 podział rodzajów pracy z rzadkim oraz częsym przywołaniem sysemu do działania nie zawsze jes uzasadniony, co wymaga odpowiedniego porakowania w modelowaniu probabilisycznym sysemu i jego ocenie. Należy podkreślić, że sosowanie srukur nadmiarowych w sysemie E/E/E wpływa na zwiększenie częsości zadziałań nieuzasadnionych sysemu zabezpieczeń, w wyniku kórych mogą powsać sray produkcyjne i ekonomiczne. Częsość zadziałań nieuzasadnionych FS wzrośnie w przybliżeniu dwukronie po zasosowaniu podsysemu o archiekurze 1 z zamias 1 z 1. Nieuzasadnione odsawienie insalacji, a nasępnie jej uruchamianie wiąże się z ryzykiem wysąpienia sanów niebezpiecznych w innych podsysemach co wymaga sosowania analiz i ocen ryzyka.
Lab3: Bezpieczeńswo funkcjonalne i ochrona informacji Ilościowa weryfikacja SIL dobór archiekury sprzęowej sysemu zabezpieczeniowego realizującego funkcje bezpieczeńswa Czujniki Układ przewarzania danych LC Elemeny wykonawcze S 1 I 1 CU 1 O 1 A 1 S n I n CU n O n A n Rys. 1. Ogólna srukura sysemu zabezpieczeniowego zrealizowana w oparciu o serowniki LC, o podsysemach w konfiguracji (k z n Rozdział inensywności uszkodzeń na inensywność uszkodzeń bezpiecznych i niebezpiecznych : S S (1 Wskaźnik uszkodzeń bezpiecznych FS: Zaem: FS S ( S FS (3 ( 1 FS (4 (5 U Wskaźnik pokrycia diagnosycznego C: C (6 C C( 1 FS (7 U ( 1 C (1 C(1 FS (8 Zaem: (9 U S SU
3 Lab3: Bezpieczeńswo funkcjonalne i ochrona informacji Całkowia inensywność uszkodzeń jes sumą inensywności uszkodzeń niebezpiecznych wykrywalnych przez esy diagnosyczne, niebezpiecznych niewykrywalnych U, bezpiecznych wykrywalnych S i bezpiecznych niewykrywalnych SU. Favg i FH całego sysemu jes sumą składowych prawdopodobieńsw dla poszczególnych podsysemów: FavgSYS (10 FavgS FavgLC FavgA FHSYS (11 FHS FHLC FHA Modele probabilisyczne dla przykładowych srukur wg IEC 61508: Srukura 1 z 1: gdzie : zaem : Favg1z1 Favg1z1 ( U ( U UT MTTR I MTTR MTTR (1 FH 1 z1 U (13 Srukura 1 z : Favg1z gdzie : GE U ((1 ( 3 MTTR (1 U MTTR GE MTTR U ( MTTR (14 T I czas między esami MTTR średni czas naprawy - współczynnik uszkodzeń zależnych FH 1 z ((1 (1 U (15 U
4 Lab3: Bezpieczeńswo funkcjonalne i ochrona informacji Srukura z : Favg z ( U (16 FH z U (17 Srukura z 3: Favg z3 6((1 (1 U GE MTTR U ( MTTR (18 FH z3 ((1 (1 U 6 (19 U la układów nienaprawialnych MTTR =, zależności są nasępujące: Srukura 1 z 1: Favg1z1 U T I (0 Srukura 1 z : Favg1 z ( U 3 U (1 Srukura z : Favg z U T I ( Srukura 1 z 3 Favg1 z3 ( U 4 3 U (3 Srukura z 3: Favg z3 ( U U (4
5 Lab3: Bezpieczeńswo funkcjonalne i ochrona informacji Zadanie 1. la przykładowego sysemu związanego z bezpieczeńswem E/E/E (rys. 1 realizującego wybraną funkcję bezpieczeńswa (ochrona reakora przed wybuchem, dla kórej określono w procesie oceny ryzyka wymagania na poziomie SIL3, należy zweryfikować poziom nienaruszalności bezpieczeńswa SIL, czyli sprawdzić czy zaproponowana srukura sprzęowa spełnia e wymagania (SIL3. W pierwszej kolejności poziom SIL sprawdzić należy dla srukury zbudowanej z pojedynczych elemenów, zn. bez zasosowania nadmiarowości sprzęowej. Nasępnie wprowadzić należy poprawną redundancję do wybranego podsysemu (np. pomiarowego, logicznego, wykonawczego i powórzyć analizę, aż do uzyskania spełnienia wymagań na poziom nienaruszalności bezpieczeńswa. o weryfikacji wykorzysać należy meodę FTA (ang. Faul Tree Analysis. Rys.. Obiek z sysemami BCS i SIS (Wymagania dla sysemu zabezpieczeń SIL3 określone na podsawie analizy ryzyka Tablica. ane niezawodnościowe elemenów sysemu SIS I CU O Zawór S TS λ [1/h] 1.E-06,E-06 6.5E-07 1.60E-06 4.00E-06.00E-06 FS [%] 50% 50% 50% 50% 50% 50% λ [1/h] 5.46E-07 1.04E-06 3.10E-07 6.50E-07.00E-06 1.00E-06 λ S [1/h] 5.46E-07 1.04E-06 3.10E-07 6.50E-07.00E-06 1.00E-06 C [%] 90% 90% 90% 90% 90% 90% λ [1/h] 4.91E-07 9.38E-07.79E-07 5.85E-07 1.80E-06 9.00E-07 λ U [1/h] 5.46E-08 1.04E-07 3.10E-08 6.50E-08.00E-07 1.00E-07 λ S [1/h] 4.91E-07 9.38E-07.79E-07 5.85E-07 1.80E-06 9.00E-07 λ SU [1/h] 5.46E-08 1.04E-07 3.10E-08 6.50E-08.00E-07 1.00E-07 MTTR[h] 8 8 8 8 8 8 T I [rok] 1 1 1 1 1 1 β 0.0 0.0 0.0 0.0 0.0 0.0
6 Lab3: Bezpieczeńswo funkcjonalne i ochrona informacji F avgsys F avgs F avglc F. la zdefiniowanych funkcji bezpieczeńswa (lab 1, dla kórych przeprowadzona zosała ocena ryzyka wraz z określeniem wymaganych poziomów SIL (lab, zaproponować srukury sprzęowe realizujące e funkcje (oprzeć się w głównej mierze na zdefiniowanym dla nich wcześniej opisie funkcjonalnym. 3. Wykonać weryfikację poziomów SIL dla zaproponowanych srukur sprzęowych realizujących funkcje bezpieczeńswa. W przypadku nie spełnienia wymagań przez zaprojekowany sysem zaproponować redundancję sprzęową wybranego podsysemu (np. pomiarowego, logicznego, wykonawczego i zweryfikować jej poziom SIL. avga Opracowanie: dr inż. Marcin Śliwiński, mgr inż. Tomasz Barner