Bezpieczeństwo funkcjonalne: Systemy zabezpieczeń SIL2 SafetyNet

Zadanie kontrolera SafetyNet

Kontroler SafetyNet jest urządzeniem certyfikowanym przez TUV i w pełni zgodnym z wymogami normy IEC 61508, kwalifikującej go jako elektroniczny programowalny system zabezpieczeń (Programmable Electronic Safety System). Ponieważ używany jest do śledzenia i kontrolowanego zamknięcia potencjalnie niebezpiecznego procesu, ma wbudowanych szereg zabezpieczeń i mechanizmów wykrywających zawczasu awarie i problemy, które mogłyby uniemożliwić przeprowadzenie procedur bezpieczeństwa.

Typowe aplikacje, w których znajduje kontroler zastosowanie SafetyNet, to:

• zabezpieczenia systemów typu Fire and Gas, monitorujące obecność ognia oraz gazu,
• systemy Emergency Shut-Down lub Process Shut-Down, które monitorują poprawną realizację procesu produkcyjnego i w przypadku wykrycia niebezpiecznego stanu wykonują kontrolowane zamknięcie procesu.

Częstym zastosowaniem kontrolerów SafetyNet są układy zabezpieczeń kotłów.

Diagnostyka kontrolera

Jednostka centralna kontrolera oraz moduły wejść/wyjść zostały wyposażone w mechanizmy wewnętrznej diagnostyki, których zadaniem jest wykrywanie błędów mogących zagrozić zdolności bezpiecznego odstawienia procesu. W przypadku wykrycia takowych, niezwłocznie informowana jest o nich obsługa i w zależności od rodzaju zaistniałej awarii, może nawet zostać przeprowadzona procedura kontrolowanego zamknięcia procesu. Zamknięcie procesu ma na celu przede wszystkim wprowadzenie instalacji w stan bezpieczny, ale również zarchiwizowanie przyczyn zamknięcia procesu, celem ich późniejszej analizy.

Diagnostyka prowadzona jest m.in. przez moduły wejść/wyjść. Kontrolują one łączność z jednostką centralną oraz ciągłość obwodów obiektowych. Moduły wyjść dwustanowych mają wbudowane podwojone elementy załączające; połączone w konfiguracji typu „I", czyli szeregowo. Z kolei, w modułach wejść analogowych, analizie poddawany jest pomiar z każdego kanału, poprzez porównanie zmierzonych wartości z dodatkowymi obwodami pomiarowymi, wbudowanymi w modułach. W przypadku wykrycia rozbieżności większych niż 5%, pomiar z danego kanału jest odrzucany. Moduły wejść/wyjść przeprowadzają cykliczne autotesty co 5 sekund.

Opcjonalnie, kontroler SafetyNet może również weryfikować, czy w systemie nie doszło do upływności sygnałów obiektowych do uziemienia.

Rys. 1. Kontroler SafetyNet z certyfikatem TUV

Właściwości kontrolera

Kontroler, o architekturze 1oo1 D, może opcjonalnie zostać wyposażony w dwie jednostki centralne, dzięki czemu ulega zwiększeniu parametr, zwany jego dostępnością. Jednostki centralne, zainstalowane na wspólnej podstawce, pracują w takim przypadku w układzie gorącej rezerwacji. Dopuszczalne jest jednak zastosowanie pojedynczej jednostki centralnej i nie wpływa to na zmniejszenie poziomu bezpieczeństwa SIL 2. Jednostki centralne, tak samo zresztą, jak i moduły wejść/wyjść mogą być rekonfigurowane i wymieniane na ruchu. Warto zwrócić uwagę na wysoką odporność środowiskową kontrolera (-40...+70°C, odporność na korozję G3, IP65). Kontroler może prowadzić obsługę sygnałów HART i jest dla nich „przezroczysty"; przez co możliwe jest prowadzenie obsługi urządzeń z protokołem HART, za pomocą specjalistycznego oprogramowania, dołączonego do kontrolera za pomocą sieci Ethernet. W przypadku prostszych aplikacji, kontroler SafetyNet może obok zabezpieczeń, realizować również sterowanie procesem.

W kontrolerze został zaimplementowany mechanizm redundancji połączeń komunikacyjnych Ethernet o nazwie Fault Tolerant Redundant (w skrócie FTE), który zapewnia funkcjonowanie jednego logicznego połączenia na wielu łączach fizycznych. Jednostka centralna ma wbudowane dwa porty komunikacyjne, więc przy użyciu redundantnych jednostek centralnych, kontroler ma do dyspozycji aż cztery porty komunikacyjne Ethernet.

Walidacja i autoryzacja programu

Środowisko programistyczne (Workbench) przygotowane jest do tworzenia logiki obsługującej aplikacje o poziomie bezpieczeństwa SIL2 i dlatego zostało wyposażone w narzędzia dokonujące kontroli programu pod kątem użytych funkcji i sposobu programowania, zgodnie z wymogami 61508. Aby było możliwe załadowanie programu do kontrolera, muszą najpierw zostać przeprowadzone dwa rodzaje analizy pod względem bezpieczeństwa. Pierwszy typ analizy ma na celu znalezienie ewentualnych niedozwolonych struktur w programie, sprawdza także rodzaj użytych języków i bloków funkcyjnych, rozmiar bloków programowych i zmienne wchodzące w skład każdej jednostki programowej. W efekcie sprawdzania, wyświetlany jest raport wraz z wynikiem analizy. Drugim rodzajem analizy, jaka musi zostać przeprowadzona, jest sprawdzenie i zaakceptowanie przez programistę zależności pomiędzy blokami programowymi, w których zostały wprowadzone zmiany.

Bezpieczeństwo w dostępie do kontrolera

W kontrolerach SafetyNet zastosowano specjalne mechanizmy chroniące kontroler przed dokonywaniem w nim nieuprawnionych zmian. Do mechanizmów tych można zaliczyć:

• Niedopuszczanie do załadowania programu, który nie został poddany walidacji i autoryzacji. Proces autoryzacji został opisany w poprzednim punkcie.
• Zdefiniowanie urządzeń uprawnionych do komunikowania się z kontrolerem. Przykładowo, aby stacja inżynierska lub system wizualizacji HMI mógł komunikować się z kontrolerem SafetyNet, musi najpierw zostać dodany do listy zaufanych urządzeń, w której nadaje się uprawnienia dla takiego urządzenia.
• Ochrona hasłem środowiska programistycznego. Mechanizm ten uniemożliwia otwarcie projektu przez nieuprawnione osoby. Osoba o uprawnieniach administratora definiuje poszczególnych użytkowników, którzy odtąd będą mieli dostęp do oprogramowania narzędziowego i nadaje im uprawnienia na odpowiednim poziomie. W chwili logowania się użytkownika do środowiska programistycznego będzie konieczne podanie hasła. Zależnie od nadanych uprawnień, użytkownik będzie miał możliwość jedynie oglądania projektu, bądź też dokonywania jego modyfikacji, względnie programowania kontrolera.
• Zabezpieczenie kontrolera przed programowaniem, realizowane za pomocą dedykowanego wejścia dwustanowego kontrolera SafetyNet. Aby było możliwe programowanie kontrolera, do tego wejścia musi zostać doprowadzony odpowiedni sygnał. Może on pochodzić np. ze stacyjki zabezpieczonej kluczykiem.
• Zabezpieczenie kontrolera poprzez założenie w nim hasła. Bez znajomości hasła nie będzie możliwe wprowadzanie do niego zmian.
• Wprowadzenie kontrolera w specjalny tryb – SAFETY. Kontroler wprowadzony w ten tryb realizuje funkcje zabezpieczeń i nie dopuszcza do wprowadzania zmian w konfiguracji i programie.
• Ograniczenia w zapisie danych do kontrolera z urządzeń zewnętrznych. W przypadku, gdyby system HMI zamierzał modyfikować dane w kontrolerze SafetyNet, wymagana będzie specjalna procedura, dodatkowego potwierdzenia chęci przeprowadzenia takiej operacji. Przy braku potwierdzenia, polecenie zapisu zostanie anulowane. Kontroler nie dopuszcza modyfikowania dowolnych zmiennych, a jedynie specjalnego typu zmiennej (jest to typ Safety_D).

Ważne mechanizmy w oprogramowaniu narzędziowym

Z punku widzenia układu bezpieczeństwa, istotne są takie elementy, jak:

• Mechanizm do wykrywania różnic pomiędzy wersjami projektu. Pomaga on np. w uniknięciu błędów, które zostały już wyeliminowane w poprzednich kompilacjach programu. Umożliwia porównanie archiwalnych wersji projektu, jak i bieżącej wersji projektu w kontrolerze z projektem zapisanym na dysku komputera. Ułatwia wykrycie nieautoryzowanych zmian w programie, bądź zmian, które nie zostały jeszcze zaakceptowane (tzn. takich, które są w trakcie analizy).
• Automatyczne gromadzenie informacji o dokonaniu ważniejszych zmian. Do takich zmian zaliczane są np. utworzenie lub usunięcie projektu oraz kontrolera, zmiany w konfiguracji, dodanie lub usunięcie zmiennej, zmiana adresu IP kontrolera, ładowanie programu do kontrolera, zakończone sukcesem, usunięcie strategii z kontrolera, itp. Informacje o zmianach zapisywane są w formacie zawierającym datę, czas, nazwę komputera, z którego dokonano zmiany, nazwę aplikacji, której dotyczy zmiana, nazwę pakietu w oprogramowaniu Workbench i informację o przeprowadzonej akcji.
• Automatyczne tworzenie kopii projektu. W przypadku ładowania programu do kontrolera, zakończonego sukcesem, tworzona jest automatycznie kopia całego projektu. Kopia projektu może być użyta do późniejszego otwarcia archiwalnej wersji projektu lub śledzenia wprowadzonych zmian i ich eliminacji, jeżeli wprowadzone zmiany okazałyby się niefortunne.

Rys. 2. Narzędzie do porównywania różnych wersji projektu

Mając na uwadze wymienione wcześniej mechanizmy, można śmiało powiedzieć, że kontroler SafetyNet i jego środowisko programistyczne zasadniczo różnią się od zwykłych rozwiązań. Dzięki zastosowaniu szeregu specjalistycznych narzędzi, osiągnięto satysfakcjonujący poziom bezpieczeństwa, umożliwiający używanie kontrolera do budowy systemów zabezpieczeń o poziomie SIL2. System SafetyNet pozwala na minimalizację ryzyka poprzez zastosowanie gotowego rozwiązania, sprawdzonego w wielu instalacjach na całym świecie.