Professional Documents
Culture Documents
Abstract Safety functions for critical systems performed by programmable devices require certification of their safety integ-
rity. However, safety standards impose strong restrictions on the creativity of developers. The challenge is to create efficient so-
lutions in terms of cost and performance and still comply with all requirements of a given safety standard to achieve the desired
certification. This paper presents the “realization”, according the life cycle specified by the IEC 61508, of a remote input/output
subsystem to be used in safety instrumented systems applied to oil and gas extraction. It also shows the comparison of fault toler-
ant architectures aimed at high level of safety integrity that should be developed in accordance with IEC 61508.
Resumo Funções de segurança para sistemas críticos executadas por dispositivos programáveis exigem certificação interna-
cional de integridade de segurança. Normas de segurança impõem fortes restrições à criatividade dos desenvolvedores. O desafio
é criar soluções eficientes em termos de custo e desempenho e ainda assim obedecer a todos os requisitos de uma norma para al-
cançar a certificação desejada. O artigo apresenta o projeto, de acordo com o ciclo de vida especificado na norma IEC 61508, de
uma remota de entrada e saída para ser usada em aplicações no setor de petróleo e gás em sistemas instrumentados de segurança.
Apresenta também a comparação de arquiteturas para sistemas desenvolvidos de acordo com a norma IEC 61508 para segurança
funcional e crítica visando alto nível de integridade de segurança.
Palavras-chave Segurança funcional, sistemas instrumentados de segurança, SIL, remota de entrada e saída, diagnóstico
norma IEC 61508. O estudo é uma tarefa do Projeto veis por mais do que 1% das falhas não cobertas
RIO-SIL, financiado pela FINEP dentro da Rede pelos mecanismos de detecção e diagnóstico.
Temática de Eletrônica Embarcada para Equipamen- A versão original da IEC 61508 estabelecia que
tos (Rede E3). todos os subsistemas de comunicação deveriam ser
Esse artigo apresenta os fundamentos da norma igualmente seguros e certificados. Essa exigência
IEC 61508, a análise de possíveis arquiteturas segu- impunha sérias limitações ao desenvolvimento de
ras para o projeto de uma remota de entrada e saída, sistemas remotos que dependem de comunicação
os resultados da comparação qualitativa entre tais entre seus componentes. A maior dificuldade era a
arquiteturas. impossibilidade de usar protocolos de comunicação
já consolidados na área de controle e automação, mas
não certificados pela IEC 61508. Uma solução de
2 Norma para segurança funcional IEC 61508 alto custo seria desenvolver e certificar tanto a pilha
de protocolos como os dispositivos de rede, de acor-
A norma IEC 61508, publicada inicialmente no do com os critérios da norma, que são extremamente
ano 2000 (Bell, 2011), mesmo sendo considerada restritivos.
extremamente restritiva pelos desenvolvedores de A resposta ao problema veio com o conceito de
hardware e software, foi a primeira a permitir a apli- black channel (Neumann, 2003). Toda a pilha de
cação de sistemas eletrônicos programáveis nos sis- protocolos e o meio físico que transporta o sinal
temas de segurança. A norma estabelece técnicas e elétrico, magnético ou ótico são considerados uma
medidas para evitar e controlar falhas aleatórias de caixa preta e, sobre ela, é implementado um “proto-
hardware e erros de projeto. colo seguro”: camada que reduz a probabilidade de
Um sistema desenvolvido criteriosamente se- erro na comunicação pela implementação de diversos
gundo a norma pode almejar certificação para um mecanismos para detecção de falhas e correção de
determinado nível de integridade de segurança, SIL erros, previstos na norma. Para que o cenário esteja
(Safety Integrity Level), de 1 a 4. Sistemas com me- completo, basta que a implementação dessa nova
nor probabilidade de apresentar defeitos residuais da camada seja certificada como segura e toda a comu-
função de segurança são classificados em SIL 4 (10-9 nicação será considerada segura.
defeitos perigosos por hora ou 10-5 defeitos sob de- Do ponto de vista do desenvolvedor, o conceito
manda em baixa demanda de operação). Aumentando de black channel é extremamente confortável, pois
uma ordem de grandeza na taxa de defeitos, diminui torna possível o uso de uma pilha convencional de
de uma unidade o valor do SIL, até SIL 1. Por exem- protocolos de comunicação sobre a qual basta adi-
plo, uma função de segurança de detecção de incên- cionar um protocolo seguro implementado em soft-
dio que apresente, no máximo, um defeito a cada ware. Finalmente, usando essa nova pilha de protoco-
10000 demandas, seria classificada como SIL 3. los, implementa-se o programa que executa a função
A norma não visa disponibilidade, mas garantir de segurança. O conceito de black channel foi o res-
que a função de segurança esteja livre de falhas que ponsável pelo aparecimento de vários protocolos de
possam conduzir a defeitos perigosos, quando de- comunicação seguros, tais como PROFIsafe,
mandada (Jin, 2011). Dessa forma, é natural que INTERBUS, OpenSafety, FOUNDATION Fieldbus
empregue tolerância a falhas (Lundteigen, 2009) para e EtherCAT (Neumann, 2007). Uma dada implemen-
alcançar segurança funcional. Adicionalmente, caso tação em software desses protocolos é passível de ser
o sistema não possa ser mantido operacional diante certificada segundo a IEC 61508 até o nível SIL3.
da ocorrência de falhas, como seria garantido pela Perfis de protocolos seguros foram normatizados
tolerância a falhas, as funções de segurança são pro- pela IEC 61784-3 (Bell, 2011).
jetadas para que suas saídas sejam comutadas para No projeto, escolheu-se o PROFIsafe (Profi-
um estado seguro, geralmente parando ou desernegi- bus_PROFIsafe, 2011) como protocolo de comuni-
zando a máquina ou processo que está sendo contro- cação no SIS, principalmente devido a sua populari-
lado ou monitorado. dade, qualidade da documentação e a pré-aprovação
A IEC 61508 teve uma grande receptividade e de sua especificação para SIL 3. A pré-aprovação da
vários equipamentos e componentes foram desenvol- especificação para SIL 3 não implica em garantias
vidos visando permitir alcançar os níveis de integri- que a implementação em software para um dado
dade de segurança definidos. Em 2010 a norma foi hardware será certificada, mas facilita o processo de
revisada consolidando 10 anos de experiência na sua certificação.
aplicação (Bell, 2011). No meio industrial brasileiro,
entretanto, é recente o interesse pelo desenvolvimen-
to de produtos em conformidade com essa norma. 2.2 Arquiteturas sugeridas pela norma
A IEC 61508 usa a nomenclatura MooN(D) para
2.1 Comunicação com as remotas designar as arquiteturas de hardware do equipamento
que realiza a função de segurança e refere-se às ca-
Quando o sistema crítico exige controle e/ou ins- pacidades de votação e de redundância do sistema. O
trumentação distribuídos, as normas definem que os valor N indica quantos canais redundantes executam
sistemas de comunicação não podem ser responsá- a função de segurança, enquanto M indica quantos
desses canais devem estar disponíveis. Esses valores um maior ou menor grau de complexidade no seu
formam o parâmetro HFT – Hardware Fault Tole- projeto.
rance – usado pela norma para caracterizar o número
de falhas perigosas que a arquitetura suporta sem que
a função de segurança venha a apresentar defeito. 3 A remota de entrada e saída
A letra D refere-se a “diagnóstico” e indica a e-
xistência de testes regulares do canal de operação A remota de E/S, conforme mostrado na metade
para verificar o seu correto funcionamento, e usar direita da figura 2, é formada por uma cabeça Profi-
estes resultados para controlar o circuito de votação bus e uma interface de entrada e saída. A comunica-
na saída, levando-o a apresentar uma saída correta ou ção segura da remota com a CPU ocorre através de
uma saída segura. Na ausência da letra D, os testes um canal seguro sobre PROFIBUS. O black channel
são ainda usados, mas apenas para alertar a existên- engloba as cabeças PROFIBUS que se encontram
cia de falhas. Neste caso, os testes somente reportam nos dois lados da comunicação.
as falhas encontradas e não mudam o estado das
saídas. CPU Remota
Arquiteturas sugeridas pela norma são de um,
CPU CPU Módulo
dois e três canais de operação, com ou sem diagnós- Segura Comum de E/S
tico (Lundteigein, 2009). As arquiteturas de três
PROFIBUS
canais são pouco usuais devido ao seu alto custo de Interface
produção e manutenção. Por outro lado, a arquitetura
de um canal sem diagnóstico oferece uma baixa
segurança funcional, pois não apresenta nenhuma Black Channel
redundância. Dessa forma, essa arquitetura é usada
apenas em equipamentos muito simples. Figura 2. Remota de E/S
Exemplos de MooND são mostrados na figura 1. A função executada pela remota é a de receber
Cada retângulo corresponde a um canal: sistema de os comandos enviados pela CPU e realizá-los, envi-
hardware e software capaz de executar, sozinho, a ando dados para as portas de saída ou obtendo os
função de segurança. A elipse menor representa o dados das portas de entrada. Como a comunicação é
circuito de votação, denominado aqui de votador, parte essencial da função de segurança, a remota
uma tradução livre de voter usado na IEC 61508. deve contribuir com uma baixa percentagem de erros
residuais. Para isso, os módulos que executam o
protocolo seguro, tanto na CPU como na remota,
devem ter incorporados mecanismos para detecção
CANAL
de falhas e circuitos de diagnósticos com altas cober-
1oo1
turas de falhas. Assim, além de executar o protocolo
de comunicação segura, a remota deve conduzir
CANAL Votador todos os testes necessários para alcançar a cobertura
de diagnóstico e detecção de falhas especificadas
diagnóstico 1oo1D para o nível de SIL desejado.
O hardware da remota pode ser separado em
dois grupos de circuitos: um grupo dentro do black
CANAL channel e outro fora do black channel. O primeiro
grupo é “invisível” para a norma e pode ser imple-
diagnóstico Votador mentado usando hardware convencional ou já dispo-
nível. Por exemplo, pode-se usar, sem preocupação
CANAL com certificação, um microcontrolador que imple-
1oo2 menta o Profibus na comunicação com a CPU e E-
Figura 1. Exemplos de arquiteturas MooND
thercat na comunicação com os atuadores e sensores.
O segundo grupo de circuitos, fora do black
Uma das funções do votador (aquela que origi- channel, que na remota corresponde ao módulo de
nou o nome do módulo) é escolher, dentre os valores E/S, tem que ser construído seguindo as restrições da
presentes nas suas entradas, o valor a ser colocado IEC 61508. Para isso, deve-se escolher uma arquite-
em sua saída. Para isso, pode usar votação por maio- tura NooMD adequada, a forma como o diagnóstico
ria ou os resultados fornecidos pelos módulos de deverá atuar, e implementar a cobertura de falhas
diagnóstico. Outra função é garantir que a saída este- perigosas exigida para alcançar o SIL desejado.
ja em um de dois estados: ou operacional e correta;
ou colocada em estado seguro. Para isso, o circuito
deve ser capaz de identificar entradas em falha ou 4 Taxas de falhas
então decidir os valores de saída usando os resulta-
dos dos diagnósticos. Deve-se observar que cada A norma divide a taxa total de falhas ( ) dos e-
arquitetura demanda uma, outra ou ambas as funções lementos constituintes do sistema em falhas seguras
do votador. Além disso, cada combinação apresenta ( ) e falhas perigosas ( ), e essas últimas em fa-
lhas perigosas detectáveis ( ) e não detectáveis pode ser tolerada uma falha; e com três canais podem
( ). São consideradas falhas seguras todas aquelas ser toleradas duas falhas simultâneas.
que levam naturalmente o sistema para um estado
seguro; de forma similar, todas as falhas perigosas
detectáveis pelos mecanismos de diagnóstico podem 4.2. Cobertura de Falhas – DC
levar o sistema para um estado seguro. De acordo com a norma, o DC é uma estimativa
A partir dessas taxas de falhas, a norma deriva de medida de falha da função de segurança. Dessa
dois parâmetros: SFF (Safe Failure Fraction), fração forma, é um parâmetro relacionado ao comportamen-
de falhas seguras, DC (Diagnostic Coverage) cober- to do sistema, quando em operação da função de
tura de diagnóstico. segurança. Esse parâmetro serve para avaliar, estatis-
ticamente, a efetividade do diagnóstico em detectar
falhas.
4.1. Fração de falhas seguras – SFF
Como esse parâmetro reflete o comportamento
Conforme descrito na norma, o SFF determina da função de segurança, ele corresponde a um parâ-
as restrições impostas pela arquitetura à integridade metro dinâmico. Essa característica pode ser obser-
de segurança do hardware. Dessa forma, o SFF é um vada na sua definição, pois representa um percentual
parâmetro que reflete a arquitetura do sistema e serve das falhas perigosas:
para compará-las, além de prever a capacidade das
mesmas em evitar que a função de segurança venha a ∑
= (2)
falhar quando demandada. ∑
Pode-se dizer que o SFF é um parâmetro estáti- O DC caracteriza as técnicas de diagnóstico, de
co, característico da arquitetura. Isso fica claro quan- tal forma que um valor elevado indica uma técnica
do se percebe que seu valor é um percentual da taxa eficiente. A partir de seu valor, determinam-se as
total de falhas do sistema, conforme sua definição: taxas de falhas perigosas detectáveis e não detectá-
veis e, finalmente, pode-se calcular o SFF.
+∑∑
= (1)
∑
Quanto maior o SFF, menor a quantidade de fa- 5 Análise das Arquiteturas
lhas perigosas não detectáveis que afetam o sistema e
que podem comprometer a função de segurança. Para Tomando por base a discussão anterior, em que
reduzir as falhas perigosas não detectáveis, é neces- foram excluídas as arquiteturas com três canais e
sário aumentar a capacidade dos mecanismos de 1oo1, escolheu-se avaliar as arquiteturas 1oo2,
detecção em identificá-las. 1oo2D e 1001D.
Considerando a definição de SFF, é de se esperar
que o SIL esteja diretamente relacionado com o SFF.
5.1. Arquitetura 1oo2
A forma como esse relacionamento é estabelecido na
norma é através de tabelas que limitam o SIL alcan- Conforme apresentado na figura 3, essa arquite-
çável pela função de segurança. Existem duas tabe- tura é formada por dois canais em paralelo de tal
las: uma para componentes do tipo A, onde o com- forma que a função de segurança pode ser realizada
portamento de todos os seus elementos diante de por cada um deles, individualmente. Assim, a função
falhas está completamente caracterizado, e do tipo B de segurança só apresentará uma falha perigosa,
(ou componentes complexos), onde alguns de seus quando demandada, se os dois canais forem acometi-
elementos não têm um comportamento bem definido, dos por falhas perigosas. Adicionalmente, o circuito
quando sob falhas. A tabela 1 aplica-se a sistemas do de diagnóstico é responsável por, apenas, relatar
tipo B. eventuais falhas; não é capaz de atuar no estado das
Tabela 1. Máximo SIL alcançável. saídas dos canais ou da saída do votador.
SFF (safe failure HFT
fraction) Tolerância a Falhas de Hardware
CANAL
0 1 2
< 60 % proibido SIL 1 SIL 2 diagnóstico Votador
Na tabela 1, HFT (tolerância a falhas) refere-se à A análise dessa arquitetura deve ser conduzida
capacidade do sistema de manter a execução da fun- através de dois cenários. No primeiro cenário (apre-
ção de segurança em caso de zero, uma ou duas fa- sentado na figura 4), ocorre uma falha perigosa em
lhas de hardware. Com uma arquitetura de um único um dos canais, que é detectada pelo diagnóstico e
canal, nenhuma falha é tolerada; com dois canais reparada. Desde a ocorrência da falha até o término
CANAL
A arquitetura 1oo2 apresenta como principais
desvantagens a falha da função de segurança, quando
Figura 6. Arquitetura 1oo2D ocorrerem duas falhas simultâneas, e o alto custo
Novamente, a análise da arquitetura deve ser fei- relativo para implementar os dois canais.
ta pela observação de dois cenários: o primeiro, onde No caso da arquitetura 1oo2D, também aparece
ocorre uma falha que é reparada, apresenta o mesmo como desvantagem relativa o custo dos dois canais.
comportamento da arquitetura 1oo2, conforme figu- Entretanto, usando-se um circuito de diagnóstico
ra 4. com uma alta cobertura para a detecção de falhas
No segundo cenário, após a segunda falha sem perigosas, a falha da função de segurança será pouco
que tenha acontecido o reparo da primeira, o circuito provável.
de diagnóstico irá atuar sobre votador de maneira que Finalmente, a arquitetura 1oo1D é aquela com o
sua saída seja colocada no estado seguro. Na figura 7 menor custo, pois utiliza um único canal. Ela tam-
é apresentada a linha de tempo desse cenário, onde bém requer um circuito de diagnóstico com alta co-
após a segunda falha o sistema é colocado no seu bertura para garantir a baixa probabilidade de falha
estado seguro. da função de segurança.
Essa arquitetura é equivalente à arquitetura Comparativamente, apesar de alta, a cobertura
1oo2, enquanto ocorre uma falha. Quando ocorre a necessária para atingir SIL 3 com as arquiteturas
segunda falha, a arquitetura 1oo2D leva ao estado 1oo2D e 1oo1D é diferente. A arquitetura 1oo1D
seguro enquanto que a 1oo2 leva a falha da função de possui HFT=0, que corresponde à primeira coluna da
segurança, quando demandada. tabela de SFF (Tabela 1), onde se observa que o SFF
necessário deve ser maior do que 99%. Por outro
lado, a arquitetura 1oo2D possui HFT=1, o que cor- 6.1. Implementação de 1oo1D – TMS570
responde à segunda coluna da mesma tabela, levando
Para obter SIL 3 com essa arquitetura é necessá-
a necessidade de um SFF maior do que 90%, portan-
rio que os componentes apresentem SFF maior do
to menos exigente do que a arquitetura 1oo1D.
que 99%. Esse é o caso do TMS570, que implementa
No projeto, decidiu-se por descartar a arquitetura
uma série de técnicas que levam a um valor tão alto
1oo2, devido às suas desvantagens em relação às
de SFF.
outras duas arquiteturas. Para decidir entre as arqui-
Deve-se observar que a arquitetura 1oo1D é to-
teturas restantes, é necessário verificar a viabilidade
talmente implementada no TMS570, inclusive o
de suas implementações, analisando os custos de
votador de saída que pode ser colocado em estado
desenvolvimento e de produto.
seguro, caso os circuitos de diagnóstico detectem
alguma falha.
6 Implementação das arquiteturas
6.2. Implementação de 1oo2D – TMS570
Para verificar a viabilidade de implementação
das arquiteturas propostas, faz-se necessário detalhar Nessa implementação, cada um dos canais da
seus diagramas de blocos, indicando candidatos e- arquitetura será implementado com um chip
ventuais para implementar cada um destes blocos. TMS570. Além dos canais, é necessário implementar
No estudo dos componentes necessários à im- o votador, que decidirá qual dos canais terá seu valor
plementação das funções de segurança bem como na de saída colocada na saída do sistema. Essa arquite-
avaliação de suas taxas de falhas (necessárias para tura pode ser vista na figura 9, onde o módulo SS é
determinar o DC e o SFF), verificou-se que os pro- responsável por garantir que a saída possa ser colo-
cessadores são os de maior impacto: aqueles que cada em um estado seguro (Safe State).
apresentam as maiores taxas de falhas. Dessa forma,
percebeu-se a necessidade de encontrar processado- TMS570
res que apresentassem a menor taxa de falhas possí-
vel ou que fossem especialmente desenvolvidos para CPU
físico. A implementação de dois canais com TMS570 de diagnóstico da MCU. Um projeto detalhado, cer-
custa, pelo menos, o dobro do uso de um canal. Além tamente, revelaria outros circuitos que deveriam ser
disso, é necessário considerar-se o custo para o de- monitorados, aumentando ainda mais a complexida-
senvolvimento e produção do circuito do votador de do projeto e, consequentemente, seu custo e tama-
externo e da sincronização dos dois canais. nho.
O projeto visa o desenvolvimento de módulos Por fim, em uma versão mais simplificada, pode-
específicos do SIS. Dessa forma, o espaço disponível se assumir que os circuitos de diagnóstico são capa-
para acomodar os circuitos já está determinado, e zes de sinalizar a validade das saídas para o votador,
oferece limitações adicionais ao projeto: o uso de o que permitiria utilizar-se um circuito semelhante
dois processadores com as dimensões do TMS570, àquele discutido na implementação 1oo2D – TMS.
de um votador e os circuitos de diagnóstico, está, Do ponto de vista do espaço físico e levando-se
praticamente, descartado. Essa solução só seria viá- em consideração o tamanho do circuito de diagnósti-
vel se não houvesse alternativas para atingir o SIL co necessário, essa solução pode não trazer muito
desejado. ganho. Se por um lado os processadores são meno-
res, eles demandam a construção de circuitos mais
complexos de diagnóstico, o que pode levar a perda
6.3. Implementação de 1oo2D – MCU da vantagem de se usar processadores mais simples.
Esta implementação da arquitetura foi elencada
por duas razões: as dimensões do TMS570 e o uso de
HFT=1. 6.4. Comparação das implementações
Conforme discutido na implementação 1oo2D- A comparação entre as implementações propos-
TMS570, essas MCUs são grandes para o espaço tas pode ser resumida na análise de três parâmetros
disponível. Então, decidiu-se avaliar a possibilidade fundamentais: custo de desenvolvimento e do produ-
de usar duas MCUs, mas de tamanho menor e mais to (custo), espaço necessário para implementar o
simples. Com isso, seria minimizado o problema de hardware (tamanho) e nível de tolerância a falhas
espaço e, por serem mais simples, as taxas de falhas (HFT).
tenderiam a ser menores. Além disso, com um Os parâmetros de comparação associados a cada
HFT=1, passa-se a operar na segunda coluna da Ta- implementação estão apresentados na tabela 2. Na
bela 1, fazendo com que o SFF deva ser maior do tabela, cada arquitetura e parâmetro são qualificados
que 90%, o que é menos restritivo do que os 99% em termos relativos com as outras configurações.
necessários na arquitetura 1oo1D.
Tabela 2. Comparação entre implementações
Entretanto, essa implementação requer o desen-
volvimento de outros circuitos de suporte à operação 1oo1D 1oo2D 1oo2D
TMS570 TMS570 MCU
dos processadores, circuitos esses que já fazem parte
da arquitetura interna do TMS570. Em linhas gerais, Custo baixo alto alto
são necessários os circuitos de diagnóstico e do vota- Tamanho pequeno grande maior
dor, conforme pode ser visto na figura 10. HFT 0 1 1