Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Automatyki

Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Automatyki Kazimierz Kosmowski k.kosmowski@ely.pg.gda.pl Opracowanie metod analizy i narzędzi do komputerowo wspomaganego zarządzania bezpieczeństwem funkcjonalnym w ramach systemu warstw zabezpieczeniowo-ochronnych obiektów przemysłowych podwyższonego ryzyka Seminarium PPT BPP Priorytety i formy badań naukowych i prac rozwojowych w ramach Polskiej Platformy Technologicznej Bezpieczeństwo Pracy w Przemyśle CIOP PIB, Warszawa, 17 maja 2007

Zakres prezentacji Koncepcja bezpieczeństwa funkcjonalnego (IEC 61508) Określanie wymaganego poziomu nienaruszalności bezpieczeństwa SIL (safety integrity level) na podstawie analizy ryzyka Weryfikacja poziomu nienaruszalności bezpieczeństwa systemów E/E/PE i SIS Metoda LOPA (Layer of Protection Analysis) w praktyce w nawiązaniu do IEC 61511 Kategorie częstości, skutków zdarzeń awaryjnych i ryzyka oraz określanie SIL Projekt w programie wieloletnim koordynacja CIOP PIB

Bezpieczeństwo funkcjonalne (IEC 61508) Cykl życia / trwania bezpieczeństwa Bezpieczeństwo funkcjonalne - część bezpieczeństwa, odnosząca się do wyposażenia sterowanego (EUC - equipment under control) i systemu sterowania EUC 1 2 3 4 Koncepcja Określenie całkowite zakresu Analiza zagrożeń i ryzyka Wymagania całkowite bezpieczeństwa 5 Alokacja bezpieczeństwa 6 Planowanie użytkowania i obsługi Planowanie całkowite 7 Planowanie walidacji bezpieczeństwa 8 Planowanie instalowania i wprowadzenia do ruchu 9 Systemy związane z bezpieczeństwem: E/E/PE Realizacja (zob. cykl życia bezpieczeństw a E/E/PE) Systemy związane Zewnętrzne środki 10 11 z bezpieczeństwem do zmniejszenia w innych ryzyka technikach Realizacja Realizacja 12 Zainstalowanie i wprowadz. do ruchu 13 Całkowita walidacja bezpieczeństwa Powrót do odpowiedniej fazy cyklu życia bezpieczeństwa 14 Użytkowanie, obsługa i naprawa 15 Modyfikacje i odnowa 16 Wyłączenie z ruchu lub likwidacja

Redukowanie ryzyka za pomocą E/E/PE lub SIS Ryzyko resztkowe Ryzyko tolerowane R t = F t C R np = F np C Ryzyko EUC ΔR = R np - R t ; < F t /F np Niezbędna redukcja ryzyka Ryzyko wzrasta Możliwa redukcja ryzyka Częściowe ryzyko pokryte przez systemy bezpieczeństwa innej technologii Częściowe ryzyko pokryte przez systemy E/E/PE związane z bezpieczeństwem Częściowe ryzyko pokryte przez zewnętrzne środki redukcji ryzyka Redukcja ryzyka uzyskana przez wszystkie systemy związane z bezpieczeństwem i zewnętrzne środki redukcji ryzyka

Kryteria probabilistyczne dla systemów E/E/PE isis pełniących funkcje bezpieczeństwa SIL (poziom nienaruszalności bezpieczeństwa) Prawdopodobieństwo niewypełnienia funkcji na przywołanie - rodzaj pracy rzadkiego przywołanie (LDM) Prawdopodobieństwo uszkodzenia niebezpiecznego na godzinę - rodzaj pracy częstego przywołania lub ciągły (HDM) 4 [ 10-5, 10-4 ) [ 10-9, 10-8 ) 3 [ 10-4, 10-3 ) [ 10-8, 10-7 ) 2 [ 10-3, 10-2 ) [ 10-7, 10-6 ) 1 [ 10-2, 10-1 ) [ 10-6, 10-5 )

Graf ryzyka do określania SIL według IEC 61508 W 3 W 2 W 1 Punkt wyjściowy oceny ryzyka CA CB FA FB PA PB PA a 1 2 --- a 1 --- --- a C - skutki - parametr ryzyka F - częstość i czas ekspozycji P - możliwość uniknięcia zagrożenia W - prawdopodobieństwo zdarzenia CC CD FA FB FA FB PB PA PB PA PB 3 4 b 2 3 4 1 2 3 --- Bez wymagań bezpieczeństwa a - Bez specjalnych wymagań b - Pojedynczy E/E/PE nie wystarcza 1, 2, 3, 4 - SIL

Wyznaczanie systemu w weryfikowaniu SIL PED + + SYS A B C A. Podsystem wejściowy (czujniki i przetworniki). B. Podsystem przetwarzania informacji (sterowniki programowalne). C. Podsystem wyjściowy (człony wykonawcze i elementy końcowe). Przykładowa struktura szeregowa: A -2 = 2.2 10 SIL1 B 3 = 1.5 10 SIL2 S -2 3.75 10 SIL1 C 2 = 1.4 10 SIL1

Warstwy zabezpieczeń w obiekcie podwyższonego ryzyka (IEC 61511) 7. System ograniczania skutków awarii w otoczeniu obiektu 6. System ograniczania skutków awarii w obrębie obiektu 5. System zabezpieczeń inżynieryjnych (kurtyny, obudowy) 4. System automatyki zabezpieczeniowej SIS 3. Alarmy krytyczne i interwencje operatorów 2. System monitorowania i sterowania (BPCS) 1. PROCES / INSTALACJA Filozofia obrony w głąb warstwy powinny spełniać warunek niezależności funkcjonalnej i strukturalnej

Systemy E/E/PE sterowania i automatyki zabezpieczeniowej INSTALACJA / PROCESY Urządzenia sterowane (wykonawcze) EUC (SZ) UP (SZ) EUC (SS) UP (SS) Urządzenia pomiarowe System związany z bezpieczeństwem Kontrola stanu, testowanie i nadzór SZ - System zabezpieczeń SIS Informacja / wskaźniki / alarmy SS - System sterowania BPCS Decyzje / Sterowania Informacja / wskaźniki System związany z bezpieczeństwem INFORMACJA > OPERATORZY > DECYZJE System sterowania i system automatyki zabezpieczeniowej - wymaganie niezależności funkcjonalnej

Analiza warstw zabezpieczeń LOPA (Layer of Protection Analysis) PL1 BPCS PL2 OPERATOR PL3 SIS Trzy przykładowe warstwy PL (mają zapobiec wstąpieniu zdarzeń awaryjnych o poważnych konsekwencjach): PL1 System sterowania BPCS (Basic Proces Control System) PL2 Człowiek-operator (nadzoruje proces i interweniuje w razie wystąpienia sytuacji nienormalnej lub awaryjnej, PL3 System zabezpieczeń SIS (Safety Instrumented System). F PLs i = F I i PL1 i PL 2 i PL3 i = d F IPLs i

Wyniki analizy scenariuszy awaryjnych - przykładowa matryca ryzyka N [j. strat] F [a -1 ] F 0 F -1 F -2 F -3 N A N B N C N D N E IV IV II IV I a II b II I I c d I I I II Kategorie ryzyka: I niedopuszczalne II - niepożądane - tolerowane IV - akceptowane F -4 IV IV IV

Przykładowe kategorie częstości i skutków zdarzeń do definiowania matrycy ryzyka Kategorie częstości zdarzenia Określenie słowne kategorii częstości F -4 F -3 F -2 F -1 F 0 Rzadkie Sporadyczne Częste Przedziały wartości [a -1 ] (10-5, 10-4 ] (10-4, 10-3 ] (10-3, 10-2 ] (10-2, 10-1 ] (10-1, 10 0 ] Kategorie skutku zdarzenia Określenie słowne kategorii skutku N A N B N C N D N E Marginalne Małe Duże Krytyczne Orientacyjna liczba poszkodowanych Pojedyncze obrażenia Liczne obrażenia Pojedyncze zejścia Kilka zejść Mało prawdopodobne Prawdopodobne Katastroficzne Więcej niż kilka zejść

PPT BPP projekt w programie wieloletnim koordynacja CIOP PIB Opracowanie metod analizy i narzędzi do komputerowo wspomaganego zarządzania bezpieczeństwem funkcjonalnym w ramach systemu warstw zabezpieczeniowo-ochronnych obiektów przemysłowych podwyższonego ryzyka Zadania projektu obejmują: 1. Opracowanie metodyki analizy bezpieczeństwa funkcjonalnego w projektowaniu i użytkowania systemów SIS (safety instrumented systems) zgodnie wymaganiami z EN 61508 i EN 61511; 2. Opracowanie metody kalibrowanego grafu ryzyka do określania wymaganego poziomu nienaruszalności bezpieczeństwa SIL (safety integrity level) dla zdefiniowanych funkcji bezpieczeństwa; 3. Opracowanie metod weryfikacji SIL systemów SIS i BPCS (basic process control system); 4. Opracowanie metody analizy warstw zabezpieczeń LOPA (layer of protection analysis) uwzględniającej analizę niezawodności człowieka i uszkodzeń zależnych;

PPT BPP projekt w programie wieloletnim koordynacja CIOP PIB (c.d.) Opracowanie metod analizy i narzędzi do komputerowo wspomaganego zarządzania bezpieczeństwem funkcjonalnym w ramach systemu warstw zabezpieczeniowo-ochronnych obiektów przemysłowych podwyższonego ryzyka 5. Opracowanie koncepcji funkcjonalnej i strukturalnej oprogramowania komputerowego wspomagającego zarządzanie bezpieczeństwem funkcjonalnym w cyklu życia systemu; 6. Projekt i oprogramowanie modułu wspomagającego wyznaczanie wymaganego poziomu nienaruszalności bezpieczeństwa SIL; 7. Projekt i oprogramowanie modułu wspomagającego weryfikację SIL systemów SIS; 8. Projekt i oprogramowanie modułów graficznych oraz baza danych niezawodnościowych do wspomaganej komputerowo analizy bezpieczeństwa funkcjonalnego; 9. Testowanie prototypowego oprogramowania dla przykładowych rozwiązań BPCS i SIS.