Teknisk sammanfattning
Viktiga slutsatser:

Artikeln presenterar SS-EN IEC 61508 som grunden för en metodik för att minimera risk och fastställa SIL genom hela systemets livscykel. Den visar kopplingar till sektorspecifika standarder (bl.a. EN 5012x, SS-EN 61511, IEC 61513, DO-178C/DO-254) och exempel på tillämpningar.

  • SS-EN IEC 61508 är en universell grundstandard för funktionell säkerhet för E/E/PE-system.
  • Den definierar fyra pelare: säkerhetslivscykeln, SIL-nivåer, säkerhetsstyrning och dokumentation.
  • Den kan anpassas till många branscher: maskiner, järnväg, processindustri, energisektorn (även kärnkraft) och automation.
  • I maskiner stöder den angreppssättet enligt SS-EN 62061 och SS-EN ISO 13849-1 (riskbedömning, integritet, redundans).
  • Betonar kraven på kanalernas oberoende, att undvika fel med gemensam orsak samt kompetensen hos de personer som utför arbetet.

SS-EN IEC 61508 (eng. IEC 61508) är en standard som ofta betraktas som en “grund” för andra branschdokument om funktionssäkerhet. Den anger principer för att minimera risk i styrsystem baserade på elektrisk, elektronisk eller programmerbar teknik (E/E/PE). Kraven vilar på fyra pelare:

  1. Säkerhetslivscykeln (Safety Lifecycle)
    – från inledande koncept och risk-/faroanalys till att systemet tas ur drift.
  2. Säkerhetsintegritetsnivåer (SIL)
    – tilldelas säkerhetsfunktioner för att fastställa tillförlitlighetskrav.
  3. Ledning av funktionssäkerhet
    – tydligt definierade roller, ansvar, verifieringsrutiner och kompetensgranskningar.
  4. Dokumentation
    – framtagning, lagring och uppdatering av all relevant data och alla rapporter för drift och eventuella kontroller.

Dessa utgångspunkter gör att 61508 inte är begränsad till en enda sektor. Tvärtom är standarden utformad för att kunna anpassas till olika branschers förutsättningar: från maskinindustrin, via järnväg och flyg, till energisektorn (även kärnkraft) och processautomation.

Tillämpning i olika branscher

Maskiner och produktionslinjer: SS-EN 62061 samt SS-EN ISO 13849

När det gäller maskinkonstruktion och produktionslinjer hänvisar man ofta till:

  • SS-EN 62061 – “Maskinsäkerhet – Funktionssäkerhet hos elektriska, elektroniska och programmerbara elektroniska styrsystem för maskiner”,
  • SS-EN ISO 13849-1 – som beskriver “Performance level” (PL).

Båda dessa standarder bygger i stor utsträckning på koncept från 61508, särskilt när det gäller riskbedömning, fastställande av säkerhetsintegritet och principer för redundans. För en praktisk genomgång av riskbedömning enligt ISO 12100, se även Hur man bedömer risk enligt ISO 12100 – analys av riskformeln och metoderna.

Praktiska exempel:

  • Automatisk packlinje: vi använder ljusridåer och nödstopp och utformar styrsystemet så att ett avbrott i strålen leder till ett omedelbart, säkert stopp.
  • Samarbetsrobotar (cobotar): ytterligare krav på reaktion vid kontakt med människa, ofta med hänsyn till SIL 2 eller SIL 3.

Med 61508 fastställer man den övergripande metodiken, medan 62061/13849-1 preciserar hur man steg för steg genomför riskanalys och implementerar enskilda säkerhetsfunktioner i en maskin. I sammanhanget kan det också vara relevant att känna till vad som räknas som farliga områden, se Farlig zon vid maskiner.

Järnväg: EN 5012x-serien

Inom järnvägsbranschen är följande standarder etablerade:

  • EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
  • EN 50128 (järnvägsprogramvara),
  • EN 50129 (elektroniska system i järnvägssignalering).

Var och en av dem anknyter, ur säkerhetsperspektiv, till grundläggande principer som liknar dem i 61508. Här finns också SIL-nivåer (vanligen 0–4) samt strikta krav på oberoende mellan system (kanalredundans) och robusthet mot störningar (fel med gemensam orsak).

Exempel:

  • Tågtrafikstyrning: vid risk för kollision aktiveras bromsarna automatiskt. Om ett sådant system är klassat som SIL 4 måste det uppfylla extremt höga tillförlitlighetskrav och testprocedurer enligt EN 50128/50129.

Processindustri: SS-EN 61511

När det handlar om kemiska anläggningar, petrokemi, raffinaderier eller gasprocessanläggningar använder vi standarden SS-EN 61511 – som härstammar direkt från 61508 men är strikt inriktad på så kallade SIS (Safety Instrumented Systems).

  • Vi utformar säkerhetsslingor (SIF – Safety Instrumented Function) och fastställer SIL för var och en.
  • Vi använder ofta metoden HAZOP vid analys av processrisker.
  • Vi säkerställer att givare och ställdon har rätt tillförlitlighet och provas med regelbundna intervall.

Kärnkraft: IEC 61513

När risk vid fel innebär hot mot stora områden (kärnkraftverk) är kraven på funktionssäkerhet ännu strängare.

  • IEC 61513 (i Sverige ibland hänvisad till som SS-IEC 61513) beskriver krav för skydds- och styrsystem i kärnkraftsanläggningar.
  • Flerkanalig redundans krävs (t.ex. 2oo3, 2oo4 – “two out of three” osv.) samt mycket strikt kontroll av programvarans utvecklingsprocess.

Flyg: DO-178C / DO-254

Även om man inom flyget inte använder 61508 direkt är grundtanken likartad. Dokumentet DO-178C (för ombordprogramvara) och DO-254 (för hårdvara) inför kritikalitetsnivåer A–E, baserade på konsekvenserna av ett fel (från mindre olägenheter till en flygkatastrof). Metodiken för analys, redundans, testning och konfigurationshantering är i praktiken mycket lik 61508, med tonvikt på detaljerade certifieringsregler för avionik.

SS-EN IEC 61508: Grundprinciper och deras praktiska betydelse

  1. Säkerhetslivscykeln
    • Omfattar faserna: från att definiera konceptet, via detaljkonstruktion (hårdvara, programvara), till installation, mottagningskontroller, drift och ändringar.
    • Det gör att man inte begränsar sig till en enskild granskning i slutet av projektet; säkerheten måste analyseras och verifieras under hela användningstiden.
  2. Säkerhetsintegritetsnivåer (SIL)
    • Det finns fyra nivåer: SIL 1 – minst strikt; SIL 4 – mest strikt.
    • Varje nivå anger tillåtna gränser för sannolikheten för farligt fel (t.ex. PFD för låg efterfrågefrekvens).
  3. Riskbedömning och riskdokumentation
    • Innan man börjar konstruera måste man veta vilka risker som finns och i vilken omfattning.
    • Dokumentationen (analyser som t.ex. HAZOP, FMEA, felträd) utgör systemets ryggrad – vid kontroll eller revision kan man visa att konstruktionsbesluten är välgrundade.
  4. Oberoende och redundans
    • Redundans är bara effektiv om två (eller fler) kanaler inte fallerar samtidigt av samma orsak (fel med gemensam orsak).
    • Hög SIL kräver oftast olika tekniker, separata kraftmatningar osv.
  5. Kompetenshantering
    • Personer som ansvarar för konstruktion och underhåll av säkerhetssystem måste ha rätt kvalifikationer och erfarenhet (standarden betonar detta tydligt).

Vad ger det oss att använda SS-EN 61508

  1. Färre fel och driftstopp – genom bättre riskkontroll och tidigare upptäckt av brister.
  2. Regelefterlevnad – kunder, inspektörer och försäkringsbolag kräver ofta certifiering enligt sådana standarder.
  3. Ökat förtroende – system som är konstruerade enligt 61508 / 61511 / 62061 / EN 5012x uppfattas som mer tillförlitliga.
  4. Långsiktig effektivitet – även om införandet kan vara kostsamt, gör det att man kan minska potentiella förluster till följd av olyckor eller juridiska problem.

SS-EN IEC 61508: Vanligaste fel och fallgropar

  1. Brist på korrekt analys av fel med gemensam orsak: ett redundant system kan fallera om kanalerna har samma strömförsörjning eller en gemensam databuss.
  2. Att nöja sig med en enskild komponent med SIL-certifikat: att en givare eller en styrenhet har SIL 2/3-certifikat betyder inte automatiskt att hela systemet har samma nivå – det är den samlade arkitekturen som räknas (givare, kablage, programvara, ställdon).
  3. Avsaknad av periodiska tester: för system som används sällan är provning under verkliga förhållanden ett krav. Utan detta vet man inte om säkerhetsfunktionen kommer att fungera i ett kritiskt läge.
  4. Att hoppa över ändringsfasen: om man ändrar ens en del av programvaran eller byter en ventil måste man upprepa vissa steg i säkerhetslivscykeln – särskilt analysen av ändringens påverkan.
  5. Försummad kompetens: från konstruktören till underhållspersonal – alla behöver rätt utbildning för att veta hur man följer principerna för funktionssäkerhet.

SS-EN 61508 är en utgångspunkt, och branschstandarder (SS-EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 osv.) anpassar dess principer till respektive industrigren. För dig som konstruktör eller användare av säkerhetssystem innebär det:

  • Tydliga och konsekventa riktlinjer för hur man arbetar med riskanalys, fastställande av SIL och testning av system.
  • Krav på att ta fram detaljerad dokumentation – från testprotokoll till register över personalens kompetens.
  • Större trygghet i att de införda lösningarna uppfyller internationella standarder och kommer att accepteras av kunder och tillsynsmyndigheter.

I slutändan, även om det kan vara en kostsam och tidskrävande process, leder ett korrekt införande av SS-EN 61508 (eller dess “derivat”) till lägre olycksrisk, stabilare drift i anläggningen och ett bättre anseende i branschen. Dessa standarder är alltså inte “onödigt pappersarbete”, utan ett effektivt verktyg för att skydda liv, hälsa och egendom.

SS-EN IEC 61508 – en universell grund för funktionell säkerhet

Detta är en standard som anger principerna för att minimera risker i styrsystem baserade på elektrisk, elektronisk eller programmerbar teknik (E/E/PE). Den betraktas ofta som en grund för branschstandarder för funktionell säkerhet.

Standarden bygger på säkerhetslivscykeln, SIL-nivåer, hantering av funktionell säkerhet samt dokumentation. Dessa delar ska säkerställa ett sammanhållet arbetssätt från konceptfasen till dess att systemet tas ur drift.

SIL (1–4) är säkerhetsintegritetsnivåer som tilldelas säkerhetsfunktioner och som anger krav på tillförlitlighet. SIL 1 är minst strikt och SIL 4 mest strikt.

Inom maskinområdet vidareutvecklas koncepten från 61508 bland annat i SS-EN 62061 samt SS-EN ISO 13849-1, och inom processindustrin i SS-EN 61511 för SIS och SIF. 61508 ger en generell metodik, och sektorsstandarderna preciserar kraven för implementering.

Dokumentation av analyser och konstruktionsbeslut gör det möjligt att visa att de valda lösningarna är motiverade vid en revision eller inspektion. Standarden betonar också behovet av tydligt definierade roller samt kompetenskrav för personer som konstruerar och underhåller säkerhetssystem.

Dela: LinkedIn Facebook