SIST EN IEC 61508 – univerzalni temelj funkcionalne varnosti

SIST EN IEC 61508 (ang. IEC 61508) je standard, ki ga pogosto obravnavamo kot »osnovo« za druge panožne dokumente s področja funkcionalne varnosti. Določa načela za zmanjševanje tveganja v krmilnih sistemih, ki temeljijo na električni, elektronski ali programabilni tehnologiji (E/E/PE). Njegove zahteve slonijo na štirih stebrih:

1. Varnostni življenjski cikel (Safety Lifecycle)
   – od začetne zasnove in analize nevarnosti do umika sistema iz uporabe.
2. Ravni celovitosti varnosti (SIL)
   – dodeljene varnostnim funkcijam za opredelitev zahtev glede zanesljivosti.
3. Upravljanje funkcionalne varnosti
   – jasno opredeljene vloge, odgovornosti, postopki verifikacije in pregledi usposobljenosti.
4. Dokumentacija
   – priprava, hramba in posodabljanje vseh pomembnih podatkov ter poročil za potrebe obratovanja in morebitnih nadzorov.

Navedena izhodišča pomenijo, da 61508 ni omejen le na en sektor. Nasprotno – standard je zasnovan tako, da ga je mogoče prilagoditi posebnostim različnih panog: od strojništva, prek železniške in letalske industrije, do energetike (tudi jedrske) ter avtomatizacije procesov.

Uporaba v različnih panogah

Stroji in proizvodne linije: SIST EN 62061 ter SIST EN ISO 13849

Pri načrtovanju strojev in proizvodnih linij se pogosto sklicujemo na:

• SIST EN 62061 – »Varnost strojev – Funkcionalna varnost električnih, elektronskih in programabilnih elektronskih krmilnih sistemov strojev«,
• SIST EN ISO 13849-1 – ki opisuje raven zmogljivosti »Performance level« (PL).

Oba standarda se v veliki meri opirata na koncepte iz 61508, zlasti pri oceni tveganja, določanju ravni celovitosti varnosti ter načelih redundance.

Praktični primeri:

• Avtomatska pakirna linija: uporabimo svetlobne zavese in izklop v sili ter krmilni sistem zasnujemo tako, da ob prekinitvi žarka pride do takojšnje in varne zaustavitve strojev.
• Sodelujoči roboti (koboti): dodatne zahteve glede odziva ob stiku s človekom, pogosto ob upoštevanju SIL 2 ali SIL 3.

Standard 61508 določa splošno metodologijo, 62061/13849-1 pa natančneje opredelita, kako korak za korakom izvesti analizo tveganja in implementacijo posameznih varnostnih funkcij v stroju.

Železnice: serija EN 5012x

V železniški panogi so uveljavljeni standardi:

• EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
• EN 50128 (železniška programska oprema),
• EN 50129 (elektronski sistemi v železniški signalizaciji).

Vsak od njih se v okviru varnostnih zahtev sklicuje na temeljna pravila, podobna tistim iz 61508. Tudi tu nastopajo ravni SIL (praviloma 0–4) ter stroge zahteve glede neodvisnosti sklopov (redundanca kanalov) in odpornosti na motnje (okvare skupnega vzroka).

Primer:

• Vodenje železniškega prometa: ob nevarnosti trčenja se zavore sprožijo samodejno. Če je tak sistem označen kot SIL 4, mora izpolnjevati izjemno stroge zahteve glede zanesljivosti in preskusnih postopkov v skladu z EN 50128/50129.

Procesna industrija: SIST EN 61511

Pri kemičnih obratih, petrokemiji, rafinerijah ali obratih za predelavo plina se opiramo na standard SIST EN 61511, ki neposredno izhaja iz 61508, vendar je osredotočen izključno na t. i. SIS (Safety Instrumented Systems).

• Načrtujemo varnostne zanke (SIF – Safety Instrumented Function) in za vsako določimo SIL.
• Pri analizi procesnih nevarnosti pogosto uporabljamo metodo HAZOP.
• Zagotovimo, da imajo tipala in izvršilni elementi ustrezno zanesljivost ter da se preskušajo v rednih časovnih intervalih.

Jedrska energetika: IEC 61513

Kadar tveganje okvare pomeni nevarnost za velika območja (jedrske elektrarne), so standardi funkcionalne varnosti še strožji.

• IEC 61513 (na Poljskem se včasih navaja kot PN-IEC 61513) opisuje zahteve za zaščitne in krmilne sisteme jedrskih blokov.
• Zahtevana je večkanalna redundanca (npr. 2oo3, 2oo4 – »two out of three« itd.) ter zelo strog nadzor načrtovanja programske opreme.

Letalstvo: DO-178C / DO-254

Čeprav v letalstvu standarda 61508 ne uporabljamo neposredno, je osnovna zamisel primerljiva. Dokumenta DO-178C (za programsko opremo na krovu) in DO-254 (za strojno opremo) uvajata ravni kritičnosti A–E, ki temeljijo na posledicah napake (od manjših nevšečnosti do katastrofe letala). Metodologija analiz, redundance, testiranja in upravljanja konfiguracij je v bistvu zelo podobna 61508 – s poudarkom na podrobnih pravilih certificiranja avionike.

SIST EN IEC 61508: Izhodišča in njihov praktični pomen

1. Varnostni življenjski cikel
   • Zajema faze: od opredelitve koncepta, prek podrobnega načrtovanja (strojna in programska oprema), do namestitve, prevzemov, obratovanja in sprememb.
   • Zato se ne omejimo na en sam pregled na koncu projekta; varnost je treba analizirati in potrjevati skozi celotno obdobje uporabe.
2. Ravni celovitosti varnosti (SIL)
   • Imamo štiri ravni: SIL 1 – najmanj stroga; SIL 4 – najstrožja.
   • Vsaka določa dopustne meje verjetnosti nevarne okvare (npr. PFD za način z redkim proženjem).
3. Ocena in dokumentiranje tveganja
   • Preden začneš načrtovati, moraš vedeti, katera tveganja obstajajo in v kakšnem obsegu.
   • Dokumentacija (analize, npr. HAZOP, FMEA, drevo napak) je hrbtenica sistema – ob pregledu ali presoji lahko z njo utemeljiš svoje projektne odločitve.
4. Neodvisnost in redundanca
   • Redundanca je učinkovita le, če dva (ali več) kanalov ne odpovesta hkrati zaradi istega vzroka (okvara skupnega vzroka).
   • Visok SIL najpogosteje zahteva različne tehnologije, različne napajalne vire itd.
5. Upravljanje kompetenc
   • Ljudje, odgovorni za načrtovanje in vzdrževanje varnostnih sistemov, morajo imeti ustrezne kvalifikacije in izkušnje (standard to izrecno poudarja).

Kaj nam prinese uporaba SIST EN 61508

1. Manj okvar in zastojev – zaradi boljšega obvladovanja tveganj in zgodnejšega odkrivanja pomanjkljivosti.
2. Skladnost s predpisi – naročniki, inšpektorji in zavarovalnice pogosto zahtevajo certificiranje po takšnih standardih.
3. Večje zaupanje – sistemi, zasnovani skladno z 61508 / 61511 / 62061 / EN 5012x, veljajo za bolj zanesljive.
4. Dolgoročna učinkovitost – čeprav je uvedba lahko draga, pomaga zmanjšati morebitne izgube zaradi nesreč ali pravnih zapletov.

SIST EN IEC 61508: Najpogostejše napake in pasti

1. Pomanjkljiva analiza okvar skupnega vzroka: redundanten sistem lahko odpove, če imajo kanali skupen vir napajanja ali skupno podatkovno vodilo.
2. Omejitev na en element s certifikatom SIL: to, da ima senzor ali krmilnik certifikat SIL 2/3, še ne pomeni samodejno, da ima takšno raven celoten sistem – šteje celotna arhitektura (senzorji, ožičenje, programska oprema, izvršilni elementi).
3. Manjkajoča periodična testiranja: pri sistemih, ki se sprožijo redko, je testiranje v realnih pogojih obvezno. Brez tega ne moremo biti prepričani, da bo varnostna funkcija v kritičnem trenutku delovala.
4. Preskakovanje faze sprememb: če spremeniš del programske opreme ali zamenjaš ventil, moraš ponoviti nekatere korake varnostnega življenjskega cikla – zlasti analizo vpliva spremembe.
5. Zanemarjanje kompetenc: od projektanta do osebja vzdrževanja – vsak potrebuje ustrezno usposabljanje, da zna upoštevati načela funkcionalne varnosti.

SIST EN 61508 je izhodišče, sektorski standardi (SIST EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 itd.) pa njena načela prilagodijo posebnostim posameznih industrijskih panog. Zate kot projektanta ali uporabnika varnostnih sistemov to pomeni:

• Jasne in usklajene smernice, kako pristopiti k analizi tveganja, določanju SIL in testiranju sklopov.
• Potrebo po pripravi podrobne dokumentacije – od testnih zapisnikov do evidenc o kompetencah osebja.
• Večjo gotovost, da uvedene rešitve izpolnjujejo mednarodne standarde in bodo sprejemljive za naročnike ter nadzorne organe.

Na koncu, čeprav je to lahko drag in časovno zahteven proces, se pravilna uvedba SIST EN 61508 (ali njenih »izpeljank«) odrazi v manjšem tveganju za nesreče, stabilnejšem delovanju obrata ter boljšem ugledu v panogi. Ti standardi zato niso »odvečna papirologija«, temveč učinkovito orodje, ki pomaga varovati življenje, zdravje in premoženje.