Obr. Princíp aplikácie bezpečnostných opatrení
Dôležitosť a funkcia bezpečnostných opatrení je v princípe znázornená na obr. 1. Stroj alebo riadený proces môžu byť zdrojom nebezpečenstiev (hazardov) pre chránené aktíva. Aktíva znášajú riziko, ktoré je úmerné počtu nebezpečenstiev a intenzite ich výskytu. Opatrenia na elimináciu nebezpečenstiev možno v princípe rozdeliť na technické a organizačné; technické môžu byť pasívne alebo aktívne. V závislosti od požiadaviek na zníženie rizika možno použiť jedno opatrenie alebo kombináciu viacerých opatrení. Tieto opatrenia môžu byť cielene aplikované tak, že sú zamerané na elimináciu konkrétneho nebezpečenstva, resp. na zníženie intenzity jeho výskytu, alebo môžu pôsobiť súčasne na viac nebezpečenstiev.
Na obr. 1 je uvedený jednoduchý príklad aplikovania rôznych typov bezpečnostných opatrení, ktoré majú za cieľ znížiť intenzitu výskytu nebezpečenstva (h), ktorého zdrojom je stroj, na akceptovateľnú hodnotu (hR). Ak by bol zdrojom nebezpečenstva riadený proces, situácia by bola podobná. V takom prípade však možno kalkulovať s tým, že určité zníženie hodnoty intenzity nebezpečenstva možno dosiahnuť aj základným systémom riadenia procesu (basic process control system) a korekčným zásahom operátora ako reakcie na výstražné hlásenie z riadeného procesu.
Snaha vniesť určitú mieru objektivity do týchto procesov a poskytnúť jednotnú platformu na vývoj, aplikáciu a prevádzku takýchto technických riešení (zariadení a systémov súvisiacich s bezpečnosťou) bola podnetom na vytvorenie normy STN EN 61508 [1], ktorá je základnou bezpečnostnou normou pre funkčnú bezpečnosť elektrických, elektronických a elektronických programovateľných systémov súvisiacich s bezpečnosťou. Táto norma slúži ako základ na tvorbu aplikačných odborových noriem. Medzi takéto normy (okrem iných) možno zaradiť:
- STN EN 62061: Bezpečnosť strojov. Funkčná bezpečnosť elektrických, elektronických a programovateľných elektronických bezpečnostných riadiacich systémov [2];
- STN EN 61511: Funkčná bezpečnosť. Bezpečnostné riadiace systémy spojitých technologických procesov [3].
Spoločným charakteristickým znakom týchto noriem je to, že nazerajú na systém cez jeho životný cyklus (LC) a že pre jednotlivé fázy LC (life-cycle) definujú úlohy a spôsob ich kontroly s cieľom dosiahnuť požadovanú úroveň bezpečnosti, resp. požadovanú mieru zníženia rizika. Na obr. 2 je znázornený LC systému, tak ako je definovaný v [1] a zachytáva obdobie od vzniku života systému – konceptu – až po ukončenie jeho života – odstránenie alebo vyradenie z prevádzky. Úlohy jednotlivých fáz sú podrobne rozpracované v aplikačných normách [2], [3] s tým, že sú rešpektované špecifiká konkrétnej aplikačnej oblasti.
Aj napriek snahám o unifikáciu činností súvisiacich s bezpečnosťou strojov a riadených procesov faktom je, že v oblasti bezpečnostných systémov existuje určitá nejednotnosť v terminológii. Ako príklad možno uviesť terminológiu používanú v súvislosti so základným pomenovaním systémov. V [1], [2] je použitý termín safety related (control) system, ktorý sa do slovenčiny prekladá ako (riadiaci) systém súvisiaci s bezpečnosťou a v odbornej literatúre sa tiež možno stretnúť s pomenovaním bezpečnostne relevantný (riadiaci) systém); v [3] je použitý termín safety instrumented system, ktorý sa do slovenčiny prekladá ako bezpečnostný riadiaci systém spojitých technologických procesov a v literatúre sa tiež možno stretnúť s pomenovaním bezpečnostný prístrojový systém. V podstate aj safety instrumented system je safety related system. Táto nejednotnosť sa týka aj ďalších pojmov.
V prípade bezpečnostného systému (SRS) treba rozlišovať medzi jeho spoľahlivostnými a bezpečnostnými vlastnosťami, ktoré bývajú vyjadrené pomocou tzv. RAMS (reliability, availability, maintainability, safety) parametrov. Existujú prípady, keď dochádza k prekrývaniu bezpečnostných a spoľahlivostných požiadaviek (napríklad z bezpečnostného hľadiska je pri nepretržitom procese riadenia žiaduca čo najväčšia pohotovosť SRS; v prípade výpadku SRS preberá zodpovednosť človek a jeho chybovosť je zvyčajne podstatne väčšia ako poruchovosť SRS), ale tiež existujú prípady, keď je z bezpečnostného hľadiska žiaduce ukončenie poskytovanej služby (napríklad zastavenie výrobnej linky), čo je v rozpore so spoľahlivostnou požiadavkou – nepretržite zaisťovať požadovanú službu. Splnenie týchto protichodných požiadaviek na bezpečnosť a pohotovosť vedie ku kompromisu, ktorý má vplyv na voľbu architektúry SRS.
Súčasťou elektronických programovateľných SRS je aj softvér, ktorý môže mať, a zvyčajne aj máva, vplyv na bezpečnosť tohto systému. V princípe softvér ako taký nemôže byť bezpečný alebo nebezpečný, pretože bezpečnosť je systémová vlastnosť. Preto môže byť bezpečnosť softvéru hodnotená len vtedy, keď je softvér uvažovaný ako súčasť konkrétneho systému. Realizácia SRS na báze procesorovej techniky prináša na jednej stane nepopierateľné výhody (flexibilita, modifikovateľnosť, menšia energetická náročnosť, menšie rozmery…), na druhej strane však treba rátať s problémami, ktoré môžu vzniknúť v dôsledku sekvenčnej činnosti procesora a zvyčajne veľkého stavového priestoru. V prípade rozsiahlejšieho softvéru je veľmi problematické dôsledné otestovanie všetkých funkčných požiadaviek vo všetkých možných prevádzkových stavoch. Zatiaľ čo vplyv náhodných porúch hardvéru na bezpečnosť SRS možno pomerne úspešne hodnotiť pomocou kombinácie kvalitatívnych metód (čo sa stane, ak…) a kvantitatívnych metód analýzy (aplikácia pravdepodobnostného prístupu – aká je pravdepodobnosť, že…), vplyv chýb softvéru na bezpečnosť SRS (či už sú dôsledkom zlej špecifikácie požiadaviek, alebo chyby programátora) nemožno hodnotiť kvantitatívne, ale len kvalitatívne. Keďže vykonanie úplného testu softvéru je zvyčajne pri zložitejšom softvéri nerealizovateľné, po ukončení testov ani nemožno tvrdiť, že daný softvér je bezchybný, ale možno maximálne iba prehlásiť, že počas testov sa chyba nezistila. Je zrejmé, že čím sú väčšie nároky na bezpečnosť SRS, tým sú prísnejšie požiadavky na testovanie jeho softvéru.
Pri vývoji alebo aplikácii SRS nemožno zabúdať na fakt, že realizácia požadovaných bezpečnostných funkcií je spojená s prenosom informácií vnútri SRS a tiež s prenosom informácií medzi uvažovaným SRS a spolupracujúcimi systémami. Z tohto dôvodu treba brať do úvahy aj bezpečnosť použitej komunikácie, tzv. komunikačnú bezpečnosť, ktorá môže výrazne ovplyvniť RAMS parametre SRS. Komunikačnú bezpečnosť možno vo všeobecnosti charakterizovať ako schopnosť komunikácie zaistiť:
- dôvernosť prenášaných správ (k údajom, resp. prenášaným správam majú prístup len autorizované objekty/subjekty);
- integritu prenášaných správ (prenášané správy môžu byť modifikované len autorizovanými subjektmi a pôvod každej správy je overiteľný);
- dostupnosť prenášaných správ (prenášané správy sú autorizovaným objektom/subjektom do určitého času prístupné).
V ďalších častiach tohto príspevku budeme venovať pozornosť len bezpečnostným riadiacim systémom spojitých technologických procesov (SIS).
Literatúra
[1] STN EN 61508: Funkčná bezpečnosť elektrických/elektronických/programovateľných elektronických systémov súvisiacich s bezpečnosťou (Functional safety of electrical/ electronic/ programmable electronic safety-related systems). 2010.
[2] STN EN 61511: Funkčná bezpečnosť. Bezpečnostné riadiace systémy spojitých technologických procesov. (Functional safety – Safety instrumented systems for the process industry sector). 2005.
[3] STN EN 62061: Bezpečnosť strojov. Funkčná bezpečnosť elektrických, elektronických a programovateľných elektronických bezpečnostných riadiacich systémov (Safety of machinery – Functional safety of safety-related electrical, electronic and programmable electronic control systems). 2005.
Pokračovanie v budúcom čísle.
prof. Ing. Karol Rástočný, PhD.karol.rastocny@fel.uniza.sk
doc. Ing. Juraj Ždánsky, PhD.
juraj.zdansky@fel.uniza.sk
Žilinská univerzita v Žiline
Elektrotechnická fakulta
Katedra riadiacich a informačných systémov