Как получить сертификат по функциональной безопасности SIL?

Компания «Эндьюренс» является единственным в России аккредитованным органом в области сертификации продукции по функциональной безопасности и имеет стандарты ГОСТ Р МЭК 61508 и ГОСТ Р МЭК 61511 в своей области аккредитации.

Компания «Эндьюренс» также зарегистрировала в Росстандарте систему сертификации в области функциональной безопасности: Национальная система оценки соответствия «ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ».

На текущий момент крупные эксплуатирующие организации (НАПИГАЗ, Газпром, Транснефть) закладывают в свои проекты требования по функциональной безопасности, и требуют от поставщиков технических устройств систем ПАЗ наличия сертификатов и отчётов по функциональной безопасности.

Изготовители всё чаще задаются вопросами: что же такое функциональная безопасность и как разработать техническое устройство (датчик, контроллер, исполнительный элемент) в соответствии с требованиями по функциональной безопасности?

Во многих отраслях промышленности автоматические системы защит и блокировок (в нашей стране обозначаются как системы ПАЗ) предназначены для автоматического распознавания потенциально опасных условий эксплуатации оборудования и принятия мер по уменьшению опасности в результате аварий такого оборудования. Основным стандартом, определяющим требования к созданию таких систем, является ГОСТ Р МЭК 61508. Для перерабатывающей промышленности дополнительно разработан стандарт ГОСТ Р МЭК 61511.

Стандарт ГОСТ Р МЭК 61508 определяет четыре уровня полноты безопасности, которые называются уровнями УПБ или SIL.

Уровень полноты безопасности УПБ [safety integrity level (SIL)]: Дискретный уровень (принимающий одно из четырех возможных значений), соответствующий диапазону значений полноты безопасности, при котором уровень полноты безопасности, равный 4 является наивысшим уровнем полноты безопасности, а уровень полноты безопасности, равный 1 соответствует наименьшей полноте безопасности.

Safety Integrity Level рассматривает опасные отказы систем защит и блокировок, которые приводят к авариям, катастрофам и человеческим жертвам. Уровни SIL определяют величину допустимого риска для системы. Они являются мерой вероятности того, что система будет правильно выполнять функции, влияющие на безопасность.

Уровень УПБ (SIL)Степень снижения риска
УПБ 4 (SIL 4)от 100,000 до 10,000от 10-5 до 10-4
УПБ 3 (SIL 3)от 10,000 до 1,000от 10-4 до 10-3
УПБ 2 (SIL 2)от 1,000 до 100от 10-3 до 10-2
УПБ 1 (SIL 1)от 100 до 10от 10-2 до 10-1

Термин «SIL» широко используется для описания «функциональной безопасности».

Под сертификацией функциональной безопасности «SIL» подразумевают оценку третьей стороной (органом по сертификации) оборудования, программного обеспечения, процедур проектирования и разработки технических средств. По результатам проведённой оценки, при положительных результатах, заявителю (изготовителю) выдаётся сертификат соответствия. 

В общем случае процедура сертификации состоит из следующих этапов:

  • подача заявки и комплекта документации изготовителем (заявителем) в орган по сертификации;
  • рассмотрение заявки органом по сертификации и выдача решения о возможности дальнейшей сертификации;
  • оценка стойкости к систематическим отказам;
  • оценка полноты безопасности аппаратных средств;
  • оценка программного обеспечения;
  • аудит производства;
  • заключение по результатам проведённых работ по сертификации и составления отчёта по функциональной безопасности;
  • выдача сертификата соответствия.

Компания «Эндьюренс» подготовила удобные и логичные схемы сертификации оборудования в системе СДС Национальная система оценки соответствия «ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ»:

Номер схемыДоказательные материалы Проверка производства (системы качества)
1Протокол испытательной лаборатории, акт аудита производстваАудит производства
2Протокол испытательной лаборатории, сертификат системы менеджмента качества
3Заключение по результатам экспертизы технической документации и оценки конструкции, акт аудита производстваАудит производства
4Заключение по результатам экспертизы технической документации и оценки конструкции, сертификат системы менеджмента качества
5Протокол заводских испытаний, акт аудита производстваАудит производства
6Протокол испытательной лаборатории
7Заключение по результатам экспертизы технической документации и оценки конструкции

Схемы сертификации 1 – 5 применяются при сертификации продукции, серийно выпускаемой изготовителем в течение срока действия сертификата, схемы 6, 7 – при сертификации уже выпущенной партии или единичного изделия.

Схемы 1 – 5 рекомендуется применять в следующих случаях:

 схему 1 – для продукции, оценка которой требует специального испытательного оборудования или технически сложной продукции, при этом изготовитель проектировал оборудование, не закладывая требования по функциональной безопасности для аппаратной и программной части; система менеджмента качества изготовителя вызывает сомнения.

 схему 2 – для продукции, оценка которой требует специального испытательного оборудования или технически сложной продукции, при этом изготовитель проектировал оборудование, не закладывая требования по функциональной безопасности для аппаратной и программной части; у изготовителя имеется действующий сертификат системы менеджмента качества и им предоставлены документы по системе качества в соответствии с требованиями жизненного цикла системы безопасности.

схему 3 – для продукции, оценка которой не требует специального испытательного оборудования, изготовителем предоставлены все необходимые данные для расчёта показателей функциональной безопасности (электрические схемы, спецификации, FMEDA анализ и др); требуется аудит системы менеджмента качества изготовителя.

схему 4 – для продукции оценка которой не требует специального испытательного оборудования, изготовителем предоставлены все необходимые данные для расчёта показателей функциональной безопасности (электрические схемы, спецификации, FMEDA анализ и др); у изготовителя имеется действующий сертификат системы менеджмента качества и им предоставлены документы по системе качества в соответствии с требованиями жизненного цикла системы безопасности.

схему 5 – для продукции иностранного или российского производства при наличии действующих международных сертификатов соответствия требованиям функциональной безопасности и предоставлении внутреннего отчета о результатах проверки оборудования на требования функциональной безопасности.

Схемы сертификации из числа приведенных устанавливают в системах (правилах) сертификации однородной продукции с учетом специфики продукции, ее производства, обращения и использования.

Конкретную схему сертификации для продукции определяет орган по сертификации.

Разработчики систем и технических устройств должны соответствовать трем ключевым требованиям для необходимого уровня полноты безопасности (SIL):

1. Стойкости к систематическим отказам

2. Полноте безопасности аппаратных средств

3. Соответствия программного обеспечения 

Данные требования предъявляются к заявителю и сертифицируемому оборудованию независимо от схемы сертификации.

1. Стойкость к систематическим отказам.

Стойкость к систематическим отказам — это демонстрация всех этапов процесса проектирования и разработки технического устройства в соответствии с требованиями, предъявляемым к заявляемому уровню полноты безопасности. Цель – предотвращение внесения систематических ошибок во время разработки и создания аппаратных средств и программного обеспечения в ходе жизненного цикла изделия.

Структура жизненного цикла разработки (V-модель)

В отличие от ISO 9001 или других стандартов качества ГОСТ Р МЭК 61508 ориентирован на разработку и процесс проектирования. С каждым уровнем полноты безопасности требования к предотвращению систематических отказов возрастают. 

Пример требований по предотвращению ошибок во время формирования спецификации требований проектирования:

В общем случае на всех этапах проектирования и разработки должно быть обеспечено следующее: 

– Перечислены входные документы для каждого этапа жизненного цикла 

– Перечислены выходные документы для каждого этапа жизненного цикла 

– Определены цели и задачи проектирования, проверки и тестирования. 

– Указаны ответственные лица за каждую задачу.

2. Полнота безопасности аппаратных средств

При оценке безопасности аппаратных средств оценивается полнота безопасности аппаратной части изделия. 

Согласно ГОСТ Р МЭК 61508 должны быть введены архитектурные ограничения полноты безопасности аппаратных средств и проведена количественная оценка случайных отказов.

Архитектурные ограничения могут быть введены двумя способами:

– способ 1H основан на концепции отказоустойчивости аппаратных средств и концепции, составляющей безопасных отказов;

– способ 2H основан на полученных данных о безотказности компонентов, об их использовании конечными пользователями, повышающих уровни доверия и отказоустойчивость аппаратных средств для указанных уровней полноты безопасности.

Способ 1H основан на получении доли безопасных отказов изделия. 

Доля безопасных отказов для компонентов типа А.

Доля безопасных отказовОтказоустойчивость аппаратных средств
N = 0N = 1N = 2
Менее 60%УПБ 1УПБ 2УПБ 3
от 60% до менее 90%УПБ 2УПБ 3УПБ 4
от 90% до менее 90%УПБ 3УПБ 4УПБ 4
более и равно 99%УПБ 3УПБ 4УПБ 4

Доля безопасных отказов для компонентов типа B.

Доля безопасных отказовОтказоустойчивость аппаратных средств
N = 0N = 1N = 2
Менее 60%не оговариваетсяУПБ 1УПБ 2
от 60% до менее 90%УПБ 1УПБ 2УПБ 3
от 90% до менее 99%УПБ 2УПБ 3УПБ 4
более и равно 99%УПБ 2УПБ 4УПБ 4

Данная таблица в зависимости от значений ДБО (четыре диапазона значений) и отказоустойчивость аппаратных средств ОАС, устанавливает максимально обеспечиваемый данным устройством уровень УПБ (SIL).

Величина ДБО (SFF) рассчитывается по формуле:

где 

λdd – интенсивность опасных детектируемых отказов;

λsd – интенсивность безопасных детектируемых отказов;

λsu – интенсивность безопасных недетектируемых отказов;

λdu – интенсивность опасных недетектируемых отказов.

Величина отказоустойчивости аппаратных средств определяется в зависимости от канальной архитектуры подсистемы: 

Канальная архитектураОтказоустойчивость аппаратных средств
1oo10
1oo21
1oo32
2oo20
2oo31

Способ 2H основан на получении данных о полевом использовании устройств и элементов в аналогичном применении и в подобных условиях окружающей среды (признанное в эксплуатации изделие). При этом при применении способа 2H:

– значение отказоустойчивости аппаратных средств равно 2 для заданной функции безопасности с УПБ 4;

– значение отказоустойчивости аппаратных средств равно 1 для заданной функции безопасности с УПБ 3;

– значение отказоустойчивости аппаратных средств равно 1 для заданной функции безопасности с УПБ 2;

– значение отказоустойчивости аппаратных средств равно 0 для заданной функции безопасности с УПБ 2, работающей в режиме с низкой частотой запросов;

– значение отказоустойчивости аппаратных средств равно 0 для заданной функции безопасности с УПБ 1.

Дополнительно к архитектурным ограничениям существуют вероятностные требования в зависимости от уровня полноты безопасности:

Уровень полноты безопасностиPFDavgPFH
УПБ 4>10-5 – <10-4>10-9 – <10-8
УПБ 3>10-4 – <10-3>10-8 – <10-7
УПБ 2>10-3 – <10-2>10-7 – <10-6
УПБ 1>10-2 – <10-1>10-6 – <10-5

Величина частот отказов и как следствие ДБО (SFF), PFDavg, PFH определяется по результатам Failure modes, effects, and diagnostic analysis (FMEDA) для метода 1H

Анализ режимов отказов и их последствий (FMEA) — это системный способ определения и оценки влияния разных типов отказов компонентов, позволяющий понять, каким образом можно устранить или снизить вероятность отказа, а также документального описания архитектуры устройства. 

Анализ режимов отказов, их последствий и диагностики (FMEDA) — это расширенная версия FMEA. Данный метод объединяет стандартные методы FMEA с дополнительными методами, чтобы определить способы диагностики и режимы отказов, относящиеся к выполнению функции безопасности устройства.

Приведём некоторые примеры FMEDA анализа, проводимого в процессе сертификации:

3. Соответствие программного обеспечения 

Разработка, испытание, верификация, и подтверждение соответствия прикладных программ должна проводится в соответствии с ГОСТ Р МЭК 61508-3-2018

Жизненный цикл разработки программного обеспечения (V-модель)

Перечень методов и средств, используемых для достижения Уровня Полноты Безопасности (SIL) программным обеспечением, приведен в приложениях А и В ГОСТ Р МЭК 61508-3 и в ГОСТ Р МЭК 61508-7. Для каждого из них приведены рекомендации по уровню полноты безопасности, изменяющемуся от 1 до 4. Эти рекомендации обозначаются следующим образом:

HRНастоятельно рекомендуется применять этот метод или средство для данного уровня полноты безопасности. Если этот метод или средство не используется, то на этапе планирования системы безопасности этому должно быть дано подробное объяснение со ссылкой на приложение С, и это объяснение должно быть согласованно с экспертом
RМетод или средство рекомендуется применять для данного уровня полноты безопасности, но степень обязательности рекомендации ниже, чем в случае рекомендации HR
Для данного метода или средства рекомендации ни за ни против не приводятся
NRДанный метод или средство не рекомендуется для этого уровня полноты безопасности. Если данный метод или средство применяют, то на стадии планирования системы безопасности этому должно быть дано подробное объяснение со ссылкой на приложение С, и это объяснение должно быть согласованно с экспертом. 

Пример требований для стадии спецификации требований к программному обеспечению системы безопасности: 

После проведения указанных процедур оценки выдаётся заключение по результатам проведённых работ по сертификации и составляется отчёт по функциональной безопасности после чего происходит выдача сертификата соответствия при положительных результатах.

Оформить сертификат по функциональной безопасности SIL (SIL1, SIL2, SIL3) можно перейдя по ссылке : https://endce.ru/sil2