Standar IEC 61508 Keamanan Fungsional Sistem Listrik dan Elektronik

IEC 61508 adalah standar internasional dari IEC mengenai cara menerapkan, merancang, membuat, dan memelihara sistem perlindungan otomatis yang disebut safety-related systems.

Pengertian IEC 61508

Judul asli dari standar ini adalah : Functional Safety of Electrical/Electronic/Programmable Electronic Safety-related Systems (E/E/PE, or E/E/PES).

IEC adalah organisasi standardisasi internasional yang menyusun dan menerbitkan standar-standar internasional untuk seluruh bidang elektrik, elektronik dan teknologi yang terkait atau bidang teknologi elektro (electrotechnology).

Istilah IEC merupakan kependekan dari “International Electrotechnical Commission”, dalam bahasa perancis menjadi CEI (Commission électrotechnique internationale).

Lebih jelas mengenai IEC dapat dibaca pada artikel lain dari standarku.com berikut :

Standar IEC 61508 merupakan suatu standar keamanan fungsional dasar yang berlaku pada semua jenis industri.

Metode ini mendefinisikan keselamatan fungsional sebagai:

“bagian dari keselamatan keseluruhan yang berkaitan dengan EUC (Equipment Under Control) dan sistem kontrol EUC yang bergantung pada fungsi yang sesuai dari E/E/PE safety-related systems (sistem terkait keselamatan), safety-related systems terkait teknologi lainnya dan fasilitas pengurangan risiko eksternal.”

definisi dari functional safety

Konsep dasarnya adalah bahwa setiap sistem yang berhubungan dengan keselamatan harus bekerja dengan benar atau gagal dengan cara yang dapat diprediksi (aman).

Standar ini memiliki 2 prinsip dasar yaitu :

  1. Proses rekayasa yang disebut safety life cycle (siklus hidup dari keselamatan) didefinisikan berdasarkan praktik terbaik untuk menemukan dan menghilangkan kesalahan dan kelalaian desain.
  2. Pendekatan kegagalan probabilistik untuk memperhitungkan dampak keamanan dari kegagalan perangkat.

Safety life cycle memiliki 16 fase yang secara kasar dapat dibagi menjadi 3 kelompok sebagai berikut :

  1. fase 1-5 address analysis (analisis pengalamatan)
  2. Fase 6–13 address realisation (realisasi alamat)
  3. Fase 14–16 address operation (operasi alamat)

Seluruh fase tersebut berkaitan dengan fungsi keamanan sistem.

Kemudian, Standar ini juga memiliki 7 bagian dengan garis besarnya yakni :

  • Bagian 1-3 berisi persyaratan standar (normatif)
  • Bagian 4 berisi definisi
  • Bagian 5-7 adalah pedoman dan contoh untuk pengembangan dan informasi yang terkait.

Inti dari standar ini adalah konsep risiko probabilistik untuk setiap fungsi keselamatan.

Risiko adalah fungsi dari frekuensi atau kemungkinan (likelihood) dari peristiwa berbahaya dan tingkat keparahan (severity) dari konsekuensi suatu peristiwa.

Risiko dikurangi ke tingkat yang dapat ditoleransi dengan menerapkan fungsi keselamatan yang dapat terdiri dari :

  • E/E/PES,
  • perangkat mekanis terkait,
  • atau teknologi lainnya.

Banyak persyaratan yang berlaku untuk semua jenis teknologi, tetapi lebih ditekankan pada programmable electronics (perangkat elektronik yang dapat diprogram) terutama di Bagian 3.

Terkait dengan risiko, IEC 61508 memiliki beberapa pandangan berikut :

  • Risiko nol tidak akan pernah tercapai, hanya probabilitas yang dapat dikurangi
  • Risiko yang tidak dapat ditoleransi harus dikurangi (ALARP)
  • Keselamatan yang optimal dan hemat biaya dapat tercapai bila ditangani di seluruh safety lifecycle (siklus hidup keselamatan)

Teknik khusus memastikan bahwa kesalahan dan error dapat dihindari di seluruh siklus hidup.

Kesalahan yang dapat merusak perlindungan yang terbaik sekalipun dapat terjadi, kemungkinan terjadinya bisa terjadi pada tahapan yang manapun di dalam life-cycle seperti berikut :

  • initial concept : konsep awal,
  • risk analysis : analisis risiko,
  • specification : spesifikasi,
  • design : desain,
  • installation : pemasangan,
  • maintenance : pemeliharaan,
  • disposal : pembuangan.

Jadi, IEC 61508 menetapkan teknik yang harus digunakan untuk setiap fase didalam life-cycle diatas..

Analisis bahaya (Hazard analysis) dan risiko (risk analysis) IEC 61508

Standar ini mensyaratkan bahwa penilaian bahaya dan risiko dilakukan untuk sistem yang dirancang lebih dahulu seperti :

  • ‘Risiko EUC (equipment under control) yang harus dievaluasi atau diperkirakan, untuk setiap peristiwa berbahaya yang ditentukan’.

Standar ini menyarankan bahwa teknik analisis bahaya dan risiko, baik kualitatif atau kuantitatif dapat digunakan serta menawarkan panduan pada sejumlah pendekatan.

Salah satunya, untuk analisis kualitatif bahaya adalah kerangka kerja berdasarkan 6 kategori likelihood of occurrence (kemungkinan terjadinya) dan 4 consequence (konsekuensi).

Tabel kategori untuk “likelihood of occurrence” :

Kategori (Category)Definisi (Definition)Kesalahan per Tahun Range (failures per year)
Frequent (Sering)Many times in lifetime (seringkali selama siklus hidup)> 10−3
Probable (Kemungkinan)Several times in lifetime (beberapa kali selama siklus hidup)10−3 to 10−4
Occasional (Sesekali)Once in lifetime (sekali selama siklus hidup)10−4 to 10−5
Remote (Jarang)Unlikely in lifetime (Tidak mungkin selama siklus hidup)10−5 to 10−6
Improbable (Mustahil)Very unlikely to occur (Sangat tidak mungkin terjadi)10−6 to 10−7
Incredible (Luar biasa)Cannot believe that it could occur (Tidak dapat dipercaya hal ini bisa terjadi)< 10−7
Tabel kategori untuk “likelihood of occurrence” :

Tabel kategori untuk “consequence” :

CategoryDefinition
Catastrophic (bencana)Multiple loss of life (Banyak kehilangan nyawa)
Critical (kehilangan)Loss of a single life (Kritis selama satu siklus hidup)
Marginal (sedikit)Major injuries to one or more persons (Cedera mayor pada satu orang atau lebih)
Negligible (diabaikan)Minor injuries at worst (paling buruk terjadi adalah cedera ringan)
Tabel kategori untuk “consequence” :

Tabel risk class matrix (matriks kelas risiko) IEC 61508

Kedua tabel diatas biasanya digabungkan kedalam satu risk class matrix sebagaimana tabel berikut :

Consequence
Likelihood (Kemungkinan)Catastrophic (bencana)Critical (kehilangan)Marginal (sedikit)Negligible (diabaikan)
Frequent (Sering)IIIII
Probable (Kemungkinan)IIIIIII
Occasional (Sesekali)IIIIIIIII
Remote (Jarang)IIIIIIIIIV
Improbable (Mustahil)IIIIIIIVIV
Incredible (Luar biasa)IVIVIVIV
Tabel risk class matrix (matriks kelas risiko)

Keterangan tabel diatas :

  • Kelas I: Tidak dapat diterima dalam keadaan apapun;
  • Kelas II: Tidak diinginkan: hanya dapat ditoleransi jika pengurangan risiko tidak dapat dilakukan atau jika biayanya sangat tidak proporsional dengan peningkatan yang diperoleh;
  • Kelas III: Dapat ditoleransi jika biaya pengurangan risiko melebihi perbaikan;
  • Kelas IV: Dapat diterima sebagaimana adanya, meskipun mungkin perlu dipantau.

Safety integrity level (Tingkat integritas keamanan)

SIL (Tingkat integritas keselamatan) memberikan target yang harus dicapai untuk setiap fungsi keselamatan.

Upaya penilaian risiko menghasilkan target SIL untuk setiap fungsi keselamatan.

Untuk setiap desain yang diberikan, tingkat SIL yang dicapai dievaluasi dengan 3 ukuran:

  1. Systematic Capability (SC) yang merupakan ukuran kualitas desain. Setiap perangkat dalam desain memiliki peringkat SC. SIL dari fungsi keselamatan terbatas pada peringkat SC terkecil dari perangkat yang digunakan. Persyaratan untuk SC disajikan dalam serangkaian tabel di Bagian 2 dan Bagian 3. Persyaratan tersebut mencakup kontrol kualitas yang sesuai, proses manajemen, teknik validasi dan verifikasi, analisis kegagalan, dan lainnya. sehingga seseorang dapat secara masuk akal membenarkan bahwa sistem akhir mencapai SIL yang diperlukan .
  2. Batasan Arsitektur yang merupakan tingkat redundansi keselamatan minimum yang disajikan melalui dua metode alternatif – Rute 1h dan Rute 2h.
  3. Peluang atau Probabilitas dari Dangerous Failure Analysis (Analisis Kegagalan Berbahaya).

Probabilistic analysis (Analisis Probabilistik)

Metrik probabilitas yang digunakan pada langkah 3 di atas bergantung pada apakah komponen fungsional akan terkena permintaan tinggi atau rendah:

  • permintaan tinggi (high demand) didefinisikan lebih dari sekali per tahun dan permintaan rendah (low demand) didefinisikan sebagai kurang dari atau sama dengan sekali per tahun (IEC-61508-4).
  • Untuk fungsi yang beroperasi terus menerus (mode kontinu) atau fungsi yang sering beroperasi (high demand mode), SIL menentukan frekuensi dari kegagalan berbahaya yang diizinkan.
  • Untuk fungsi yang beroperasi hanya sebentar-sebentar (low demand mode), SIL menentukan probabilitas yang diizinkan bahwa fungsi tersebut akan gagal merespons saat diminta.

Perhatikan perbedaan antara fungsi dan sistem.

Sistem yang mengimplementasikan fungsi tersebut mungkin sering beroperasi (seperti ECU untuk memasang kantong udara).

Akan tetapi fungsinya (seperti pemasangan kantong udara) mungkin dibutuhkan sewaktu-waktu.

SILLow demand mode:
average probability of failure on demand
High demand or continuous mode:
probability of dangerous failure per hour
1≥ 10−2 to < 10−1≥ 10−6 to < 10−5
2≥ 10−3 to < 10−2≥ 10−7 to < 10−6
3≥ 10−4 to < 10−3≥ 10−8 to < 10−7 (1 dangerous failure in 1140 years)
4≥ 10−5 to < 10−4≥ 10−9 to < 10−8

Sertifikasi IEC 61508

Sertifikasi adalah pengesahan pihak ketiga bahwa suatu produk, proses, atau sistem memenuhi semua persyaratan program sertifikasi.

Persyaratan tersebut tercantum dalam dokumen yang disebut skema sertifikasi.

Program sertifikasi IEC 61508 dioperasikan oleh organisasi pihak ketiga yang tidak memihak yang disebut badan sertifikasi atau certification bodies (CB).

LS ini diakreditasi untuk beroperasi mengikuti standar internasional lainnya termasuk ISO/IEC 17065 dan ISO/IEC 17025.

Badan sertifikasi diakreditasi untuk melakukan pekerjaan audit, penilaian, dan pengujian oleh badan akreditasi atau accreditation body (AB).

Seringkali menggunakan suatau AB nasional yang ada di setiap negara.

AB ini beroperasi sesuai persyaratan ISO/IEC 17011, standar yang berisi persyaratan kompetensi, konsistensi, dan ketidakberpihakan badan akreditasi saat mengakreditasi badan penilaian kesesuaian.

AB adalah :

  • Anggota Forum Akreditasi Internasional atau International Accreditation Forum (IAF) untuk pekerjaan dalam sistem manajemen, produk, layanan, dan akreditasi personel
  • atau Kerjasama Akreditasi Laboratorium Internasional atau International Laboratory Accreditation Cooperation (ILAC) untuk akreditasi laboratorium.

Pengaturan Pengakuan Multilateral atau Multilateral Recognition Arrangement (MLA) antara AB akan memastikan pengakuan global terhadap LS terakreditasi.

Program sertifikasi IEC 61508 telah ditetapkan oleh beberapa Badan Sertifikasi global.

Masing-masing telah menetapkan skema mereka sendiri berdasarkan IEC 61508 dan standar keselamatan fungsional lainnya.

Skema tersebut mencantumkan standar yang direferensikan dan menetapkan prosedur yang menjelaskan :

  • metode pengujiannya,
  • kebijakan audit pengawasan,
  • kebijakan dokumentasi publik,
  • dan aspek spesifik lainnya dari programnya.

Program sertifikasi IEC 61508 ditawarkan secara global oleh beberapa CB yang diakui seperti :

  • Intertek,
  • SGS-TÜV Saar,
  • TÜV Nord,
  • TÜV Rheinland,
  • TÜV SÜD,
  • dan UL.

Standar ISO 26262

Berikut adalah manfaat ISO 26262 dalam berbagai bidang industri atau aplikasi :

Otomotif

ISO 26262 merupakan adaptasi dari IEC 61508 untuk Otomotif Listrik/Sistem Elektronik, yang diadopsi secara luas oleh produsen mobil besar.

Sebelum peluncuran ISO 26262, pengembangan perangkat lunak untuk sistem otomotif terkait keselamatan sebagian besar dicakup oleh Motor Industry Software Reliability Association (MISRA).

Proyek MISRA disusun untuk mengembangkan pedoman untuk pembuatan perangkat lunak tertanam dalam sistem elektronik kendaraan jalan.

Satu set pedoman untuk pengembangan perangkat lunak berbasis kendaraan diterbitkan pada November 1994.

Dokumen ini memberikan interpretasi industri otomotif pertama dari prinsip-prinsip, kemudian muncul, standar IEC 61508.

Saat ini MISRA paling dikenal luas karena pedomannya tentang cara menggunakan bahasa C dan C++.

MISRA C digunakan untuk :

  • Standar de facto untuk pemrograman C tertanam di sebagian besar industri yang terkait dengan keselamatan,
  • Meningkatkan kualitas perangkat lunak bahkan di mana keselamatan bukanlah pertimbangan utama.

Rel

IEC 62279 memberikan interpretasi khusus dari IEC 61508 untuk aplikasi perkeretaapian.

Hal ini dimaksudkan untuk mencakup pengembangan perangkat lunak untuk kontrol dan perlindungan perkeretaapian termasuk sistem komunikasi, sinyal dan pemrosesan.

Industri proses

Sektor industri proses mencakup banyak jenis proses manufaktur, seperti kilang, petrokimia, kimia, farmasi, pulp dan kertas, dan listrik.

IEC 61511 adalah standar teknis yang menetapkan praktik dalam rekayasa sistem yang menjamin keamanan proses industri melalui penggunaan instrumentasi.

Pembangkit listrik

IEC 61513 memberikan persyaratan dan rekomendasi untuk instrumentasi dan kontrol untuk sistem yang penting bagi keselamatan pembangkit listrik.

Ini menunjukkan persyaratan umum untuk sistem yang berisi peralatan berkabel konvensional, peralatan berbasis komputer atau kombinasi dari kedua jenis peralatan tersebut.

Daftar ikhtisar norma keselamatan khusus untuk pembangkit listrik tenaga nuklir diterbitkan oleh ISO.

Mesin

IEC 62061 adalah implementasi khusus mesin dari IEC 61508.

Ini memberikan persyaratan yang berlaku untuk desain tingkat sistem semua jenis sistem kontrol listrik terkait keselamatan mesin dan juga untuk desain subsistem atau perangkat non-kompleks.

Testing software (Perangkat lunak pengujian)

Perangkat lunak yang ditulis sesuai dengan IEC 61508 mungkin perlu diuji unit, tergantung pada tingkat SIL yang perlu dicapai.

Persyaratan utama dalam Pengujian Unit adalah untuk memastikan bahwa perangkat lunak diuji sepenuhnya pada tingkat fungsi dan bahwa semua cabang dan jalur yang mungkin diambil melalui perangkat lunak.

Dalam beberapa aplikasi tingkat SIL yang lebih tinggi, persyaratan cakupan kode perangkat lunak jauh lebih ketat dan kriteria cakupan kode MC/DC digunakan daripada cakupan cabang sederhana.

Untuk mendapatkan informasi cakupan MC/DC (modified condition/decision coverage), seseorang akan memerlukan alat Unit Testing, kadang-kadang disebut sebagai alat Software Module Testing.

Demikian artikel dari standarku.com mengenai Standar IEC 61508 mengenai Keamanan Fungsional Sistem Listrik dan Elektronik.

Mohon saran dari pembaca untuk kelengkapan isi artikel ini, silahkan saran tersebut dapat disampaikan melalui kolom komentar.

Baca artikel lain :

Sumber referensi :

Leave a Comment