Функциональная безопасность и «Индустрия 4.0».
Часть 1
Введение
Функциональная безопасность — это часть безопасности, которая обеспечивает уверенность в том, что система выполнит стоящую перед ней соответствующую задачу, когда это потребуется. Например, что двигатель отключится достаточно быстро, чтобы не нанести вред оператору, который открывает защитную дверцу, или что робот будет работать с пониженной скоростью и силой, когда рядом находится человек.
«Индустрия 4.0» — следующая ступень эволюции промышленных предприятий, обеспечивающая повышенную универсальность и снижение затрат.
В статье рассмотрены некоторые особенности функциональной безопасности в рамках «Индустрии 4.0».
Функциональная безопасность
Стандарты
Основным стандартом функциональной безопасности является МЭК 61508 [1]. Первая версия стандарта была опубликована в 1998 г., а вторая — в 2010 г., обновление до третьей версии состоялось в 2020 г. Поскольку первая версия МЭК 61508 появилась в 1998 году, базовый стандарт МЭК 61508 был предназначен для использования в таких областях, как автомобильная промышленность (совместно с ISO 26262 [2]), системы управления процессами (совместно с МЭК 61511 [3]), системы управления с программируемой логикой (совместно с МЭК 61131-6 [4]), станочное оборудование (совместно с МЭК 62061 [5]), приводы с регулируемой скоростью (совместно с МЭК 61800-5-2 [6]), и других областях (рис. 1). Эти дополнительные стандарты помогают спроецировать общие положения МЭК 61508 на частные применения.
Важным параллельным стандартом, не основанным на МЭК 61508, является ISO 13849 [7], который относится к станковому оборудованию, описанному устаревшим европейским стандартом EN 954.
Фундаментальной концепцией функциональной безопасности является функция безопасности. Она определяет операцию, которая должна выполняться для достижения или поддержания безопасности. Стандартная функция безопасности содержит подсистему ввода, логическую подсистему и подсистему вывода. Как правило, все это означает, что когда обнаруживается потенциально небезопасное состояние, то решение принимается на основе полученных значений, и если такое состояние считается потенциально опасным, дается команда подсистеме вывода перевести систему в определенное безопасное состояние.
Время перехода от небезопасного состояния к безопасному является критическим. Функция безопасности может, например, состоять из датчика, который способен обнаружить, что защитная оболочка механизма открыта, ПЛК для обработки данных и регулируемого привода с входной линией отключения крутящего момента, который может отключить двигатель до того, как рука, засунутая в механизм, сможет добраться до движущихся частей.
Уровни полноты безопасности
SIL обозначает уровень целостности или полноты безопасности и является средством выражения требуемой степени уменьшения риска, необходимой для снижения риска до приемлемого уровня. Согласно МЭК 61508, существует четыре уровня целостности безопасности — 1, 2, 3 и 4, при этом при переходе с одного уровня на другой требования к безопасности возрастают на порядок (рис. 2). Уровень SIL 4 не применяется для промышленного оборудования и систем автоматизации производства, где, как правило, опасности может подвергаться не более чем один человек. Данный уровень скорее предназначен для таких областей, как атомная энергетика и железнодорожное сообщение, где могут пострадать сотни или даже тысячи людей. Существуют и другие стандарты функциональной безопасности, например для автомобильной отрасли, где используются ASIL (уровни целостности автомобильной безопасности) A, B, C и D и ISO 13849. По своим требованиям уровни A, B, C, D и E могут быть сопоставимы с уровнями SIL 1–SIL 3.
Источники сбоев
В стандартах функциональной безопасности, как правило, описывается два типа сбоев, а затем предлагаются способы их устранения.
Случайные аппаратные сбои легче всего понять, поскольку они вызваны, как следует из названия, случайными непредвиденными сбоями в оборудовании. Вероятность отказа системы из-за случайных сбоев выражается величиной PFH (средняя частота опасных сбоев). Допустимая величина PFH зависит от требуемого уровня SIL и варьируется от 10–5/ч для SIL 1 до 10–7/ч для SIL 3.
К систематическим сбоям относятся те, которые присущи структуре оборудования, в том смысле, что они могут быть устранены только с изменением конструкции оборудования. Недостаточная устойчивость к электромагнитным помехам может считаться систематической ошибкой, равно как и неполные требования, недостаточные проверка и контроль, а также все ошибки программного обеспечения. Систематические ошибки представляют собой, по сути, слабые места, существующие в каждом произведенном предмете, а не в отдельных единицах. При возникновении определенных обстоятельств сбой произойдет с вероятностью 100%.
Для того чтобы оборудование было пригодным для использования в ситуации, требующей функции безопасности определенного уровня SIL, должны соблюдаться требования как к случайным, так и к систематическим сбоям, приведенные в стандарте для этого уровня SIL. Одного соответствия требованиям к оборудованию недостаточно.
Минимизация вероятности случайных сбоев
Независимо от того, насколько надежно оборудование, оно имеет конечную вероятность возникновения сбоя в любой час. К методам минимизации вероятности случайных аппаратных сбоев относятся требования к проведению диагностики и обеспечению резервирования. В зависимости от уровня SIL для функции безопасности будет определена минимальная величина PFH или величина PFD (вероятность сбоя по требованию). Кроме того, в зависимости от уровня SIL будет иметь место минимальная требуемая величина SFF (доля безопасных отказов), которая варьируется в пределах 60–99% по мере повышения уровня SIL с 1 до 3. Стандарт допускает компромисс между диагностическими возможностями и степенью резервирования, свойственными системе. К другим методам относятся снижение заявленных характеристик и использование компонентов лучшего качества.
Минимизация вероятности систематических сбоев
Систематическими называют сбои, не связанные со случайным отказом оборудования, и для минимизации вероятности таких сбоев может потребоваться изменение конструкции оборудования.
Систематические сбои устраняются организацией тщательного процесса разработки с независимыми проверками различных рабочих продуктов. Данный процесс зачастую представляется в V-моделях различной сложности. Строгость проверок и уровень независимости проверяющих повышаются с увеличением уровня SIL.
В определенных случаях систематические ошибки могут быть устранены благодаря обеспечению разнородного резервирования. Это связано с тем, что разные системы вряд ли будут подвержены одинаковым сбоям в одно и то же время. Встроенные функции диагностики, предназначенные для минимизации вероятности возникновения случайных сбоев, также полезны для выявления систематических сбоев.
Большую долю работ занимает системная инженерия и применение богатого инженерного опыта. Стиль описания, используемый в некоторых документах, является «современным». Документация в данном случае очень важна, и возможность доказать, что безопасность достигнута, почти так же важна, как и само достижение безопасности.
«Индустрия 4.0»
«Индустрия 4.0» [8] известна также под другими названиями, в том числе «Промышленность 4.0», промышленный «Интернет вещей» (IIoT), «сделано в Китае 2025», «Индустрия плюс», «умная фабрика» и т. п. Цифры 4.0 означают, что «Индустрия 4.0» представляет собой четвертую промышленную революцию, идущую после третьей примерно с 1970 года, когда началось широкое использование электроники и информационных технологий в сфере автоматизации.
Несмотря на то, что распространение «Интернета вещей» в промышленности является популярной темой в статьях, на конференциях и маркетинговых мероприятиях, все еще нет того эффективного применения, которое бы значительно ускорило его распространение. К таким возможным применениям относят системы прогнозирования сбоев, адаптивную диагностику и техническое обслуживание на основе данных мониторинга состояния оборудования.
Ключевой идеей «Индустрии 4.0» является идея киберфизических систем, которая состоит из «интеллектуальных машин, систем хранения и производственных мощностей, способных автономно обмениваться информацией, инициировать действия и независимо контролировать друг друга» [9]. Другими словами, все становится интеллектуальным, взаимосвязанным и оснащенным необходимыми инструментами. Это понятие относится к области сетевого взаимодействия и безопасности.
Проектирование в рамках «Индустрии 4.0» имеет следующие ключевые принципы:
- Возможность взаимодействия — все должно быть взаимосвязано.
- Виртуализация — должны быть доступны заводские и имитационные модели.
- Децентрализация — локальные устройства должны обладать интеллектуальными функциями.
- Работа в реальном времени — необходимость реагировать на явления реального мира в режиме реального времени.
- Сервисоориентированность — сервисы должны быть доступны через Интернет.
- Модульность — обеспечение реконфигурируемости по мере необходимости.
Благодаря объединению показаний датчиков и анализа данных может быть получена новая информация, в том числе информация для профилактического технического обслуживания на основе данных диагностики, полученных с помощью интеллектуальных инструментов, и их анализа в облаке. Для сравнения степени деградации между системами может также потребоваться использование элементов резервирования для повышения производительности. Состояние оборудования будет являться ключевым вопросом.
Сетевое взаимодействие
В старых системах обычно применялись изолированные островки автоматизации, как правило, с использованием собственных сетей. Аналоговые сети, основанные на токовой петле 4–20 мА, были и остаются распространенным типом сетевого взаимодействия и имеют много преимуществ, в том числе высокую устойчивость к электромагнитным помехам, расстояние передачи данных до 3 км, они искробезопасны и синхронизированы, но недостаточно универсальны или быстры для применения в рамках «Индустрии 4.0».
Концепция «Индустрии 4.0» стремится объединить все и заставить все элементы автоматизации общаться между собой. К распространенным терминам в этой сфере относятся M2M (межмашинная связь) и P2M (связь «процесс-машина»). Эта связь может быть использована для:
- повышения эффективности производства;
- повышения универсальности производственных процессов;
- повышения информированности о работоспособности систем;
- снижения производственных затрат.
Сетевые решения на основе Ethernet имеют все возможности для удовлетворения вышеуказанных требований, но необходимо соблюдать регламенты безопасности и защиты таких сетей. Благодаря новым эффективным средствам новые сервисы станут экономически эффективными.
Защищенность
С использованием цифровых сетей обеспечение защищенности становится основной задачей. К недавним случаям угроз, освещенным в фильмах (например, «Угроза нулевых дней») и в средствах массовой информации, относятся вирусы Stuxnet и Black Energy. Если сеть будет расширена до облака, то взлом одного облачного провайдера может привести к непоправимым последствиям на многих промышленных предприятиях, тогда как раньше злоумышленникам приходилось взламывать их по одному. Такая экономия при масштабировании делает данные предприятия гораздо более привлекательными целями для хакеров. Некоторые эксперты даже расшифровывают аббревиатуру «IoT» не как «Internet of Things» («Интернет вещей»), а как «Internet of Threats» («Интернет угроз»).
Требования информационной безопасности, предъявляемые к стандартным сетям, обычно не подходят для применения в промышленных сетях. Такая информационная безопасность предполагает несколько вариантов поведения, в том числе частые обновления программного обеспечения, что неприемлемо в условиях производства, поскольку в данном случае стремятся избегать обновлений программного обеспечения из-за риска непреднамеренных последствий остановки производства. Это стремление к недопущению изменений становится еще сильнее, когда речь заходит о безопасности, из-за высокой стоимости сертификации систем функциональной безопасности и необходимых изменений процессов управления.
МЭК 62443 представляет собой предложенный международный согласованный стандарт, содержащий требования к защищенности для промышленных систем управления. МЭК 62443 [10] содержит требования к разработке, внедрению и управлению системами промышленной автоматизации и управления.
Роботы и коботы
Раньше роботы были большими страшными машинами, которые размещались в специальных клетках. Коботы, или коллаборативные роботы, гораздо менее страшны и заботятся о том, чтобы не навредить людям. Они представляют собой сочетание различных датчиков и программного обеспечения и могут работать совместно с людьми. Коботы, применяемые на промышленных предприятиях, могут иметь руку или пару рук, например, серия UR5 от Universal Robots или YuBi от ABB. На фабрике будущего коботы станут помогать человеку-оператору и даже знать, является ли человек, с которым они работают, правшой или левшой.
Автоматические наземные транспортные средства представляют собой мобильные роботы и могут рассматриваться как особый вид коботов. Они являются важным элементом «Индустрии 4.0» и могут перемещать продукты и материалы по производственной площадке.
По мере появления новых опасностей из-за динамичной среды их необходимо принимать во внимание. Как для коботов, так и для автоматических наземных транспортных средств возможны следующие варианты: разработать изначально безопасную систему, поскольку силы этих механизмов достаточно малы, что позволит избежать причинения серьезного вреда, или разработать решение, основанное на соответствующих стандартах функциональной безопасности (рис. 3). Для автоматических наземных транспортных средств система предотвращения столкновений может быть реализована на основе видеокамер, радара, лазеров или специальных дорожек, проложенных на полу.
- МЭК 61508. Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Международная электротехническая комиссия, 2010.
- ИСО 26262. Дорожные транспортные средства. Функциональная безопасность. Международная организация по стандартизации, 2011.
- МЭК 61511. Безопасность функциональная. Системы безопасности приборные для промышленных процессов. Международная электротехническая комиссия, 2016.
- МЭК 61131-6. Программируемые контроллеры. Часть 6. Функциональная безопасность. Международная электротехническая комиссия, 2012.
- МЭК 62061. Безопасность оборудования. Функциональная безопасность систем управления электрических, электронных и программируемых электронных, связанных с безопасностью. Международная электротехническая комиссия, 2005.
- МЭК 61800-5-2. Системы силовых электроприводов с регулируемой скоростью. Часть 5.2. Требования функциональной безопасности. Международная электротехническая комиссия, 2016.
- ИСО 13849. Безопасность оборудования. Элементы систем управления, связанные с безопасностью. Международная организация по стандартизации, 2015.
- Рекомендации по реализации стратегической инициативы «Индустрии 4.0»: итоговый отчет рабочей группы «Индустрии 4.0». Forchungsunion and acatech, 2013.
- МЭК 61784-3. Промышленные сети. Профили. Часть 3. Функциональная безопасность промышленных шин. Общие правила и определения профилей. Международная электротехническая комиссия, 2016.
- ИСО/МЭК 62443. Обеспечение защищенности систем управления и промышленной автоматики.