FTA oprogramowanie

Systemy Czasu Rzeczywistego
Krzysztof Sacha
Systemy zabezpieczeń
Definicja
System zabezpieczeń (safety-related system) jest to system,
który implementuje funkcje bezpieczeństwa konieczne do
utrzymania bezpiecznego stanu instalacji oraz jest przeznaczony do osiągnięcia koniecznej nienaruszalności bezpieczeństwa
(safety integrity) tych funkcji.
• Funkcja bezpieczeństwa
Funkcja, przeznaczona do utrzymania bezpiecznego stanu instalacji w odniesieniu do konkretnego zdarzenia zagrażającego.
• Zdarzenie zagrażające
Sytuacja, której wynikiem jest fizyczny uraz lub pogorszenie
stanu zdrowia ludzi, tak bezpośrednie jak pośrednie, wynikające ze szkody w majątku lub w środowisku
Uwagi
- może być integralną częścią systemu sterującego instalacją
lub odrębnym systemem
- może być zaprojektowany do zapobiegania lub łagodzenia
skutków zdarzenia zagrażającego
- może być realizowany w różnych technikach
Rts6B.doc
1
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Norma PN-EN 61508, listopad 2004 (IEC 61508)
Bezpieczeństwo funkcjonalne elektrycznych /
elektronicznych / programowalnych elektronicznych
systemów związanych z bezpieczeństwem
1: Wymagania ogólne
2: Wymagania dotyczące elektrycznych/elektronicznych/programowalnych systemów związanych z bezpieczeństwem
3: Wymagania dotyczące oprogramowania
4: Definicje i skrótowce
5: Przykłady metod do określania poziomów nienaruszalności
i bezpieczeństwa
6: Wytyczne do stosowania
7: Przegląd technik i miar
Rts6B.doc
2
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Projektowanie bezpieczeństwa systemu
C — konsekwencje wystąpienia zdarzenia zagrażającego
P — prawdopodobieństwo wystąpienia zdarzenia
R — ryzyko związane ze zdarzeniem:
R=C×P
1. Obliczyć ryzyko instalacji sterowanej bez zabezpieczeń Rnp
2. Określić ryzyko dopuszczalne
Rt
3. Jeśli Rnp > Rt to konieczna redukcja ryzyka w stopniu:
PFD = Ft / Fnp
4. Wprowadzić funkcje bezpieczeństwa (zabezpieczenia)
o niezawodności PFD
Konsekwencje
zagrożenia
Częstotliwość
zagrożenia
Ryzyko
Rnp
Systemy
zabezpieczeń
Ryzyko
Rp
Rp < Rt
Instalacja +
system sterujący
Rts6B.doc
3
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Nienaruszalność bezpieczeństwa
Prawdopodobieństwo, że system wykona wymagane funkcje
bezpieczeństwa w zadanych warunkach i czasie.
• Rodzaje pracy
- na rzadkie przywołanie: nie częściej niż raz na rok
i nie częściej niż dwukrotność okresów testowych
- na częste lub ciągłe przywołanie
• Poziomy nienaruszalności bezpieczeństwa (SIL)
Poziom
4
3
2
1
Na rzadkie przywołanie
Na częste przywołanie
(prawdopodobieństwo uszkodzenia)
(prawd. uszkodzenia na godzinę)
10-5 ... 10-4
10-4 ... 10-3
10-3 ... 10-2
10-2 ... 10-1
10-9 ... 10-8
10-8 ... 10-7
10-7 ... 10-6
10-6 ... 10-5
Rts6B.doc
4
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Cykl utrzymania bezpieczeństwa
Koncepcja systemu
Określenie zakresu
Analiza zagrożeń i ryzyka
Wymagania bezpieczeństwa
Planowanie
pracy
i obsługi
walidacji bez- instalacji
pieczeństwa i wdrożenia
Realizacja
funkcji bezpieczeństwa
Instalacja i wdrożenie
Walidacja bezpieczeństwa
Praca, obsługa, naprawy
Wyłączenie z eksploatacji
Wymagana dokumentacja wykonania wszystkich faz cyklu
Rts6B.doc
5
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Programowa realizacja funkcji bezpieczeństwa
Specyfikacja wymagań bezpieczeństwa
funkcje
nienaruszalność
Planowanie
walidacji bezpieczeństwa
Opracowanie
oprogramowania
Integracja sprzętu
i oprogramowania
Walidacja bezpieczeństwa
• Cykl wytwarzania
Specyfikacja
wymagań
bezpieczeństwa
Testowanie
walidacyjne
Architektura
systemu
Testowanie
systemowe
Projekt
oprogramowania
Testowanie
integracyjne
Projekt
modułów
Testowanie
modułów
Programowanie
Rts6B.doc
6
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Przykładowe rekomendacje normy
• Projektowanie architektury oprogramowania
1
2
3a
3b
3c
4
5
6
7a
7b
7c
8
Technika/metoda
Wykrywanie i diagnoza defektów
Kody detekcyjne i korekcyjne
Blok odzyskiwania
Odtwarzanie
Powtarzanie próby
Płynny upadek
Korekcja defektów metodami AI
Rekonfiguracja dynamiczna
Metody strukturalne
Metody półformalne (IEC 61131-3)
Metody formalne
CASE wspomagające specyfikację
SIL1 SIL2 SIL3 SIL4
–
R
HR HR
R
R
R
HR
R
R
R
R
R
R
R
R
R
R
R
HR
R
R
HR HR
–
NR NR NR
–
NR NR NR
HR HR HR HR
R
R
HR HR
–
R
R
HR
R
R
HR HR
• Projektowanie szczegółowe i implementacja
1a
1b
1c
2
3
4
5
Technika/metoda
Metody strukturalne
Metody półformalne (IEC 61131-3)
Metody formalne
CASE wspomagające projektowanie
Podejście modułowe
Brak obiektów dynamicznych i skoków,
ograniczenie przerwań, wskaźników i rekursji
Programowanie strukturalne
Rts6B.doc
SIL1 SIL2 SIL3 SIL4
HR HR HR HR
R
R
HR HR
–
R
R
HR
R
R
HR HR
HR HR HR HR
R
HR HR HR
HR
HR
HR
HR
7
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Analiza bezpieczeństwa – metoda FTA
(PN-IEC 1025: Analiza drzewa niezdatności)
• Przykład: analiza palnika gazowego
Upływ gazu
Wypływ gazu
Brak płomienia
Zawór otwarty
Brak iskry
Rozkaz
OTWÓRZ
Awaria zaworu
(nie rozwijane)
(proste)
Rts6B.doc
Brak rozkazu
ZAPAL
Awaria
zapalnika
8
Systemy Czasu Rzeczywistego
Krzysztof Sacha
Opis zdarzenia
- kod identyfikacyjny (wiąże z dokumentacją projektową)
- nazwa zdarzenia i opis
- prawdopodobieństwo, zależności czasowe, itp.
Metody analizy
- przegląd drzewa
- wyznaczenie funkcji boolowskich
- wyznaczenie minimalnych przekrojów (zbiorów zdarzeń
powodujących wystąpienie zdarzenia szczytowego)
Schemat postępowania:
1. Analiza systemu i celów jego działania
2. Identyfikacja zdarzeń zagrażających.
3. Budowa drzewa niezdatności dla każdego zdarzenia.
4. Badanie drzewa w celu określenia:
- zdarzeń prostych powodujących uszkodzenie systemu
- oszacowanie tolerancji na uszkodzenia
- prawdopodobieństwa uszkodzenia systemu
- lokalizacji elementów krytycznych
→ Podczas projektu:
- wprowadzenie zabezpieczeń (elementy, funkcje).
- określenie planu diagnostyki, spodziewanych napraw.
Rts6B.doc
9
Systemy Czasu Rzeczywistego
Krzysztof Sacha
• Przykład: instalacja chemiczna
-
reaktor (z dopływami składników)
grzejnik reaktora z sterowanym zaworem H
czujniki temperatury i pH
sterownik z rozproszonym we/wy
Zdarzenie zagrażające: przegrzanie (grozi pożarem)
Przegrzanie
Zbyt silne
grzanie
Złe
sterowanie
Błąd
algorytmu
Awaria
czujnika
Niewłaściwe
pH
Awaria
zaworu H
Awaria
łączy
Awaria
siłownika
(analizowane
gdzie indziej)
Zacięcie
zaworu
pojedyncze defekty prowadzą do zagrożenia!
Rts6B.doc
10
Systemy Czasu Rzeczywistego
Krzysztof Sacha
T
→ Zawór zabezpieczający
B
H
Sterownik
T>Tmax
Drzewo niezdatności
Przegrzanie
Zbyt silne
grzanie
Niewłaściwe pH
Otwarty
zawór H
Otwarty
zawór B
Złe sterowanie
Awaria
zaworu H
Awaria
zaworu B
Błąd
Awaria
algorytmu czujnika
Awaria
łączy
Awaria
czujnika
Awaria Zacięcie
siłownika zaworu H
Rts6B.doc
11