Bezpieczeństwo produktu oraz bezpieczeństwo operacyjne wind wymagają, aby oprogramowanie sterujące ich ruchem oraz jego aktualizacje znajdowały się pod kontrolą. W artykule podajemy listę standardów pomagających zmniejszyć zagrożenia dla układów sterowania ruchem wind.
Liczba nowoczesnych wind (dźwigów osobowych i towarowych), których praca jest monitorowana i sterowana przez systemy oprogramowania, obecnie rośnie, co czyni konfigurowanie oprogramowania układowego (firmware) i parametrów sprawą zasadniczą dla bezpiecznej pracy wind aż do następnego okresowego przeglądu technicznego. Właściciele budynków z windami oraz operatorzy tych urządzeń muszą sprawdzać, czy zainstalowane aktualizacje oprogramowania sterującego windami nie wpływają niekorzystnie na bezpieczeństwo produktu oraz operacyjne. W artykule podano porady na temat zarządzania oprogramowaniem bezpieczeństwa i sterowania ruchem.
Systemy windowe w Niemczech są klasyfikowane jako instalacje podlegające monitoringowi, zgodnie z Rozporządzeniem o Bezpieczeństwie i Higienie Pracy w Przemyśle (niem. Betriebssicherheitsverordnung – BetrSichV), które wdraża Dyrektywę Parlamentu Europejskiego 2009/104/EC dotyczącą bezpieczeństwa i higieny użytkowania sprzętu roboczego. Tak więc systemy windowe jako takie podlegają okresowym przeglądom technicznym (ang. periodic technical inspections – PTI).
W przeszłości takie przeglądy okresowe koncentrowały się głównie na komponentach czysto mechanicznych lub mechatronicznych. Weźmy tu na przykład ograniczniki prędkości. Są one wyzwalane mechanicznie, gdy kabina windy przekroczy pewną prędkość i zapewniają kontrolowane hamowanie kabiny za pomocą aparatu chwytnego (chwytacza).
Aby potwierdzić, że komponenty bezpieczeństwa funkcjonują niezawodnie i spełniają wszystkie wymagania, producenci przed wprowadzeniem swoich wyrobów na rynek zlecają jednostkom notyfikowanym weryfikację tych funkcji. Jednostki notyfikowane badają produkty pod względem takich kryteriów, jak materiały, projekt, budowa, produkcja oraz obciążenia graniczne. Części, które przejdą tego typu badania, mogą być wykorzystane przez producentów wind jako komponenty bezpieczeństwa, zgodnie z regułami bezpieczeństwa budowy oraz instalowania dźwigów osobowych i towarowo-osobowych, podanymi w normie EN 81-20.
Testy bezpieczeństwa sprzętu i oprogramowania
Systemy sprzętowe i programowe są w coraz większym stopniu wykorzystywane do kontrolowania, monitorowania lub zastępowania czysto mechanicznych funkcji bezpieczeństwa. Aby to zrealizować, do funkcji czysto operacyjnych wprowadzane są niezależne „obwody zabezpieczające”, obejmujące taki sprzęt, jak czujniki, systemy sterowania i elementy wykonawcze oraz oprogramowanie do przetwarzania i oceny danych cyfrowych. Jednak fakt, że części wind mają komponenty sprzętowe i programowe, nie zmienia procedur testowania na certyfikaty bezpieczeństwa – sprzęt i oprogramowanie muszą być ocenione w zakresie tego typu badań.
Podczas normalnej pracy windy system zainstalowanych w szybie czujników kontroluje i monitoruje położenie kabiny podczas jazdy w górę i w dół. Oprogramowanie zainstalowane w nowoczesnych systemach odwzorowania położenia kabiny windy potrafi także sterować procesami regulacji przyśpieszania, prędkości i hamowania. Dane mogą być wykorzystane do identyfikowania nieprawidłowego pod względem bezpieczeństwa funkcjonowania, inicjowania odpowiednich działań korygujących oraz sprowadzania windy do stanu bezpiecznego. Wymaga to, aby system sprzętu i oprogramowania identyfikował kluczowe warunki operacyjne oraz wyzwalał odpowiednie funkcje, jednak nie powodując w żaden sposób „przesadnej reakcji”. Aparat chwytny nie może zadziałać podczas normalnej pracy windy.
Norma IEC 61508-3 jako odpowiednia dla oprogramowania
Wymagania techniczne i proceduralne dla związanych z bezpieczeństwem funkcjonalnym systemów elektrycznych, elektronicznych i programowalnych elektronicznych (określanych mianem systemów E/E/EP; ang. electrical, electronic and programmable electronic systems) są zdefiniowane w serii międzynarodowych standardów IEC 61508, dotyczących systemów związanych z bezpieczeństwem. Część 3 tej serii standardów podaje specyfikację aspektów oprogramowania związanego z bezpieczeństwem, w tym wymagania dla cyklu życia bezpieczeństwa, używanych narzędzi oraz jakości dokumentacji i dotyczy oprogramowania.
Oprogramowanie zainstalowane w sterowniku windy musi być także skonfigurowane dokładnie według specyficznego środowiska pracy tej windy oraz czujników zainstalowanych w szybie. Takie parametry, jak masa windy, wartości prędkości powodujące zadziałanie ogranicznika oraz odwzorowanie położenia kabiny w szybie, muszą być prawidłowo odzwierciedlone i przetworzone przez oprogramowanie. Należy podjąć odpowiednie działania, aby zapewnić, że oprogramowaniem tym nie mogą manipulować niepowołane osoby. Wymaganie to nie jest ograniczone do inteligentnych systemów podłączonych do Internetu czy innych sieci; dotyczy ono wszystkich wind.
Aktualizacje i zmiany w oprogramowaniu, praca w sieci
Nawet dokonywane przez upoważnione osoby zmiany w oprogramowaniu, takie jak zmiany w konfiguracji parametrów, mogą się okazać wyzwaniami podczas przeglądów technicznych, chyba że są bezpośrednio oraz natychmiastowo identyfikowane na podstawie testów działania lub wyraźnych informacji pochodzących z oprogramowania. Informacje na temat wersji oprogramowania zainstalowanego w systemie są często podane na naklejce.
Jednak weryfikacja tego, czy informacje te są nadal aktualne lub czy oprogramowanie nie zostało zaktualizowane i przez kogo, może nie być łatwa. Osoby dokonujące przeglądu technicznego mogą nie być w stanie określić z całkowitą pewnością konsekwencji zmian dla funkcji bezpieczeństwa lub zweryfikować, czy system sterowania windy nadal wykorzystuje to samo oprogramowanie co podczas wykonywania badania typu WE. Jest to dokumentowane w protokole z przeglądu okresowego jako niezgodność.
Dodatkowo sprawy się komplikują ze względu na fakt, że windy w coraz większym stopniu stają się „inteligentne”. Digitalizacja, połączenia sieciowe oraz technologie Przemysłowego Internetu Rzeczy (IIoT) otwierają obecnie nowe możliwości w serwisowaniu i konserwacji dźwigów. Na przykład scentralizowane sprawdzanie danych windy umożliwia precyzyjne przewidywanie zachowań użytkownika, zużycia lub nieprawidłowego funkcjonowania komponentów wind. Może to pomóc w zwiększeniu dyspozycyjności systemów windowych oraz zoptymalizować praktyki serwisowe dla celów konserwacji prognozowanej.
Z drugiej zaś strony te nowe możliwości generują też nowe problemy w takich obszarach, jak integralność danych i cyberbezpieczeństwo, które nie są objęte normą IEC 61508. Co się stanie, jeśli na przykład pliki aktualizacji oprogramowania zostaną wysłane bezprzewodowo? Czy możemy na pewno wykluczyć uszkodzenia tych plików lub manipulowanie nimi podczas takiego przesyłu? Czy podjęto środki ostrożności, aby zapobiec dokonaniu przypadkowych zmian w oprogramowaniu przez techników serwisu, własnych lub z firmy zewnętrznej, albo na skutek ataków hakerów? Problemami tymi zajmują się inne standardy, takie jak seria IEC 62443, opisująca możliwości zabezpieczeń dla komponentów systemów sterowania, oraz ISO 27001, dotycząca zarządzania bezpieczeństwem informacji.
Jeśli są prawidłowo stosowane, te standardy bezpieczeństwa zapewniają jednoznaczną weryfikację podczas okresowego przeglądu technicznego. Kluczowymi aspektami w tym kontekście są: przedłożenie odpowiednich informacji, kodów i raportów przez producentów oraz starannej i odtwarzalnej dokumentacji konfiguracji systemu. Metody wymagane przez normę IEC 61508 obejmują odpowiedni cykl życia bezpieczeństwa w tworzeniu oprogramowania, operację konfiguracji, zarządzanie wydawaniem oprogramowania oraz tworzenie podręcznika bezpieczeństwa.
W praktyce identyfikacja bieżącej wersji oprogramowania jest realizowana za pomocą takich metod, jak kod kreskowy QR, podany na etykiecie lub w postaci adnotacji w dokumentacji windy. Osoby przeprowadzające kontrolę techniczną mogą zeskanować te kody za pomocą swojego tabletu czy smartfona i zalogować się do systemu za pomocą swojego, chronionego hasła. Następnie mogą uzyskać dostęp do dokumentacji sprzętu oraz wszystkich informacji związanych z bezpieczeństwem na temat wersji oprogramowania (wartość CRC), wykorzystywanego przez system sterujący windą.
Bezpieczeństwo funkcjonalne oraz cyberbezpieczeństwo
Norma IEC 61508 wskazuje obecnie sposoby zapobiegania systematycznym błędom oraz błędnym wpisom w oprogramowaniu oraz podczas jego aktualizacji. Systemy zapewnienia jakości oraz systemy zarządzania w dziedzinie bezpieczeństwa funkcjonalnego dokonują tu cennego wkładu. Jednak, ponieważ wzajemne połączenia sieciowe systemów windowych się rozrastają, to tak samo dzieje się z wymaganiami dotyczącymi cyberbezpieczeństwa. Standard IEC 62443 jest tu odpowiednią bazą normatywną.
Podczas sprawdzania funkcji związanych z bezpieczeństwem obydwa standardy muszą być stosowane razem, przy czym bezpieczeństwo funkcjonalne musi być na pierwszym miejscu. To pozwala producentom, operatorom, serwisantom oraz organizacjom wykonującym testy na efektywne udowadnianie, że systemy windowe spełniają wymagania dotyczące bezpieczeństwa.
Dr. Rolf Zöllner jest kierownikiem ds. rozwoju biznesu w technologii obsługi w firmie TÜV SÜD Industrie Service GmbH. Redakcja tekstu: Mark T. Hoske, menedżer ds. treści, Control Engineering, CFE Media and Technology, cvavra@cfemedia.com.