Bezpieczna eksploatacja wind sterowanych oprogramowaniem

Autor: Dr. Rolf Zöllner, TÜV SÜD Industrie Service GmbH

Autor: Dr. Rolf Zöllner, TÜV SÜD Industrie Service GmbH

Czy winda będzie bezpieczna podczas użytkowania do czasu następnej inspekcji? Oczekuje się, że eksperci ds. wind oraz konserwatorzy jednoznacznie odpowiedzą na to pytanie.

Udzielenie odpowiedzi może w praktyce stanowić wyzwanie, ponieważ funkcje bezpieczeństwa w nowoczesnych windach są sterowane oraz monitorowane cyfrowo poprzez odpowiednie oprogramowanie. To rozwiązanie oparte jest na ciągłej i efektywnej weryfikacji oprogramowania układowego danego produktu oraz jego bezpieczeństwa podczas eksploatacji.

Aby zapewnić bezpieczeństwo dźwigu nawet w czasie usterki, niezawodność komponentów takich jak aparat chwytny była - i jest - najwyższym priorytetem.

W Niemczech, podobnie jak w całej Europie, w windach mogą być instalowane wyłącznie elementy bezpieczeństwa, które przeszły pozytywnie badania typu (ocena projektu, konstrukcji, materiałów, jakości wykonania, limitów obciążenia itd.) oraz udowodniły, że zawsze spełnią swoje funkcje bezpieczeństwa w sposób niezawodny.

Typ zbadany pod kątem funkcji bezpieczeństwa

W miarę jak zmiany technologiczne idą naprzód, wiele funkcji bezpieczeństwa, które opierały się na rozwiązaniach mechanicznych, są teraz wbudowanymi systemami, monitorowanymi i kontrolowanymi zarówno poprzez odpowiedni osprzęt jak i oprogramowanie.

Nowoczesne windy posiadają obwody bezpieczeństwa zawierające standardowe komponenty jak czujniki, układy logiczne oraz fizyczne elementy wykonawcze. Wspomniane obwody generują i przetwarzają dane, weryfikując je poprzez odpowiednie oprogramowanie i aktywują aparaturę wykonawczą.

Przykładowo, systemy informacyjne szybu windowego identyfikują istotne dla bezpieczeństwa błędy w czasie rzeczywistym podczas pracy windy. Takie działanie zapewnia niezawodne pozycjonowanie kabiny dzięki czemu dźwig jest w bezpiecznym stanie operacyjnym.

Podczas normalnej pracy system informujący o położeniu windy wewnątrz szybu pozwala na precyzyjny pomiar prędkości i przyspieszenia kabiny, weryfikuje jej położenie podczas jazdy i dokładność zatrzymania na docelowym przystanku.

Określone dane dostarczane przez wspomniane systemy mogą być użyte do identyfikacji błędów mających wpływ na bezpieczeństwo oraz zainicjowanie odpowiednich działań zaradczych. W tym kontekście, oprogramowanie i aparatura (tzw. hardware i software) muszą niezawodnie zidentyfikować i zinterpretować wszystkie stany pracy urządzenia mogące stwarzać zagrożenie jak np. nadmierną prędkość jazdy kabiny.

Z drugiej strony, system powinien minimalizować błędne reakcje – „fałszywe alarmy” do których możemy zaliczyć zadziałanie aparatu chwytnego podczas normalnej jazdy kabiny.

Etykiety budzą wątpliwości

Zdarza się, że Inspektorzy trafiają na sterownik windy na którym jest naniesiona etykieta zawierająca dane dotyczące zainstalowanej wersji oprogramowania bez określonej daty jej umieszczenia czy też potwierdzenia, że oprogramowanie jest prawidłowe i aktualne.

Czy oprogramowanie zostało w międzyczasie zaktualizowane, czy może została zainstalowana nowa jego wersja? Jeśli tak, to czy aktualizacja była właściwa i zgodna z konfiguracją aparatury? Kto zainstalował oprogramowanie lub jego aktualizację i dlaczego ta czynność była wykonana? Czy wykonanie tej aktualizacji wpływa na bezpieczeństwo dźwigu? Czy została wykluczona możliwość manipulacji przez osoby nieautoryzowane podczas podłączenia sterownika do Internetu? Czy firma może wykluczyć niezamierzoną lub nieautoryzowaną ingerencję w urządzenie np. przez serwisanta?

Bardzo trudno jest udzielić odpowiedzi na powyższe pytania podczas inspekcji okresowych. Inspektorzy muszą szukać dowodów, weryfikować dokumentację oraz uprawnienia dostępu.

W szczególności jednak muszą oni weryfikować wyniki testów oraz informacje pochodzące z  badań typu. Badania typu zawierają oryginalne dane takie jak konfiguracja aparatury, zainstalowane oprogramowanie czy aktualizacje, które zostały zatwierdzone do zastosowania w aspekcie bezpieczeństwa.  Jeśli eksperci nie są w stanie jednoznacznie ustalić, że aparatura sterująca jest identyczna jak w badaniu typu, nie mogą również potwierdzić bezpieczeństwa użytkowania jednostki.

Współpraca: Sprzęt i oprogramowanie

Testy i kwalifikacja oprogramowania są więc kluczowymi częściami badania typu, jako że zapewniają one bezpieczeństwo funkcjonalne systemów windy w przypadku usterki.

Podczas gdy aktualizacje oprogramowania mogą być wykonywane a nowe wersje rozwijane i wdrażane, istotne zasady cyklu życia i rozwoju oprogramowania muszą być spełnione w taki sam sposób jak ma to miejsce w przypadku aparatury. Niestety, nie zawsze jest to w pełni zagwarantowane. Metody i cechy zapewnienia niezawodności i skuteczności funkcji związanych z bezpieczeństwem, wymagane podczas rozwoju różnych wersji oprogramowania różnią się od wymagań dla elementów sprzętowych. Przyczyną takiej sytuacji jest fakt, że oprogramowanie jest tworzone z myślą o regularnych i zamierzonych błędach a stopień awaryjności i dane dotyczące niezawodności nie mogą zostać w prosty sposób obliczone, tak jak to zwyczajowo ma miejsce w przypadku weryfikacji fizycznego osprzętu czy aparatury.

Wszystkie profesjonalne metody weryfikacji są ustalone poprzez typowe założenia jakościowe, ściśle określające cel, instrukcje, odpowiedzialności i uprawnienia.

Informacje zwrotne, spotkania, środowiska testowe i symulacje pozwalają programistom dokonać ważnych ustaleń dotyczących: problemów z kompatybilnością, niezgodności, błędów i wad oprogramowania, podczas gdy kamienie milowe w kluczowych fazach projektu zapewniają walidację i weryfikację kodu źródłowego oprogramowania.

W tym kontekście, eksperci polegają na identyfikowalności, zasadzie czterech oczu (dwie osoby) oraz innych sprawdzonych i potwierdzonych metodach zapewnienia jakości, aby zapobiegać powtarzającym się błędom.

W przeciwieństwie do sprzętu, oprogramowanie nie jest poddane fizycznemu zużyciu lub niszczeniu to znaczy nie podlega losowym uszkodzeniom. Przyczyny powtarzających się usterek systemowych obejmują niewłaściwa implementacja wymagań dla specyfikacji oprogramowania, niesystematyczne użycie odniesień do stałych i zmiennych oraz niewystarczający zakres testów. Te problemy muszą zostać wyeliminowane poprzez efektywne zapewnienie jakości.

Wymagania bezpieczeństwa funkcjonalnego

Uznaje się, że związane z bezpieczeństwem systemy elektryczne, elektroniczne i programowalne systemy elektroniczne (systemy E/E/PE) osiągają zamierzoną redukcję ryzyka, jeśli spełniają wymagania serii norm IEC 61508 [1]. Część 3 tej serii określa wymagania dotyczące oprogramowania.

Ta część definiuje cykl życia w aspekcie bezpieczeństwa, stosowane narzędzia oraz specyfikę dokumentacji. Jest to zatem szczególnie istotne dla oprogramowania i ma zastosowanie do wszystkich PESSRAL (= Programmable Electronic Systems in Safety-Related Applications for Lifts) w zakresie dyrektywy dźwigowej 2014/33/UE [2] w UE.

Oprócz specjalnych wymagań związanych z oprogramowaniem, norma IEC 61508 obejmuje również ogólne wymagania dotyczące funkcji bezpieczeństwa realizowanych jako systemy sprzętowo/programowe, które zapewniają niezawodne osiągnięcie niezbędnego poziomu nienaruszalności bezpieczeństwa (SIL - Safety Integrity Level). SIL wskazuje oczekiwaną redukcję ryzyka, która ma zostać uzyskana poprzez konkretny PESSRAL. W tym kontekście krytyczny jest system zarządzania bezpieczeństwem funkcjonalnym zgodny z normą IEC 61508. Podobnie jak norma ISO 9001 [3], ustanawia ona zapewnienie jakości w całym łańcuchu dostaw, wymagając od dostawców sprzętu i oprogramowania, ale także organizacji inspekcyjnych, ustanowienia odpowiedniego poziomu bezpieczeństwa funkcjonalnego i prawidłowego jego stosowania.

Dostarczanie dowodu bezpiecznego użytkowania windy

W związku z tym istniejąca konfiguracja systemu musi być udokumentowana w równie dokładny i możliwy do prześledzenia sposób, jak każda zmiana związana z bezpieczeństwem w systemie windy (np. wymiana czujnika, aktualizacja oprogramowania sprzętowego). Spełnienie tego wymagania jest na ogół zapewnione w postaci adekwatnej konfiguracji systemu zarządzania.

Przy okresowych przeglądach w dokumentacji dźwigu często dostępna jest etykieta lub notatka z kodem QR. Ekspert po zeskanowaniu kodu i wprowadzeniu prawidłowego hasła ma dostęp do całej dokumentacji dźwigu. Plik cyfrowy zawiera wszystkie niezbędne i istotne informacje. W przypadku zdalnych aktualizacji oprogramowania, ekspert weryfikuje integralność przesyłanych danych.

Dalsze dowody i certyfikaty wydane przez akredytowane organy dowodzą, że środki bezpieczeństwa cybernetycznego są zgodne z aktualnym stanem techniki, a jednostka sterująca windą jest chroniona przed manipulacją czy też złośliwym oprogramowaniem. Informacje na ten temat można znaleźć w serii norm IEC 62443 [4].

Omawiany rodzaj dokumentacji odpowiada na wszystkie pytania dotyczące bezpieczeństwa IT i bezpieczeństwa funkcjonalnego, pozwalając ekspertom potwierdzić, że użytkowanie dźwigu będzie bezpieczne do czasu kolejnego przeglądu okresowego. Ta „futurystyczna” metoda weryfikacji stała się już rzeczywistością, ponieważ wszyscy interesariusze zdali sobie sprawę, że wspiera ona łatwą i ciągłą weryfikację bezpieczeństwa dźwigów, co jest korzystne dla wszystkich – szczególnie dla użytkowników wind.

Źródła:

[1] IEC 61508 “Bezpieczeństwo funkcjonalne elektrycznych/elektronicznych/ programowalnych elektronicznych systemów związanych z bezpieczeństwem (E/E/PE)”

[2] Dyrektywa Parlamentu Europejskiego I Rady 2014/33/EC z dnia 26 lutego 2014 w sprawie harmonizacji ustawodawstw państw członkowskich dotyczących dźwigów I elementów bezpieczeństwa do dźwigów

[3] PN EN ISO 9001 “Systemy zarządzania jakością – Wymagania”

[4] IEC 62443 “Industrial communication networks – Network and system security”

Autor

Dr. Rolf Zöllner, Head of Business Development in Handling Technology, TÜV SÜD Industrie Service GmbH

Przekład: Anna Warowna; Weryfikacja: Paweł Zieleziński

Kontakt:

TÜV SÜD Industrie Service GmbH
Westendstraße 199
80686 Munich
Germany

Nr. telefonu: +49 89 5791-1591
E-mail: [email protected]
Internet: www.tuvsud.com/lifts-and-escalators

Jak możemy pomóc?

Wybierz lokalizację