Kattilalaitoksen vaaranarviointi

Tukes julkaisi 12.11.2024 uuden oppaan kattilalaitoksen vaaran arvioinnista (KVA). Opas on hyvin kattava ja siinä on otettu kantaa vaaranarvioinnin laatimiseen, paikoin hyvinkin yksityiskohtaisesti. Lähtökohta oppaassa on, että vaaranarvioinnin päivityksessä kannattaa hyödyntää mahdollisimman paljon olemassa olevaa laitoksen turvallisuuteen liittyvää aineistoa. Jatkossa KVA toimiikin prosessiturvallisuuteen liittyvän dokumentaation kokoavana dokumenttina.

Uusina asioina ohjeessa nousevat esille tieto- ja kyberturvallisuus sekä turvallisuusjohtamisen menettelyjen tarkastelu. Lisäksi oppaassa on painotettu jaksottaisessa käytön valvonnassa olevien tai jaksottaiseen käytön valvontaan siirtyvien kattilalaitosten tarvetta tunnistaa etäoperoinnista laitokselle ja sen lähiympäristölle aiheutuvat vaarat ja arvioida em. liittyvät riskit. Yhtenä isona asiakokonaisuutena oppaassa on turva-automaatiojärjestelmät (TAJ) ja niiden vaatimustenmukaisuuden tarkastelu. Lisäksi Tukes on oppaassa painottanut vuosittain järjestettävän katselmoinnin merkitystä, riskipohjaisen tiedon kommunikointia organisaatiossa sekä johdon sitoutumista laitoksen nykyiseen turvallisuuden tasoon ja vaaranarvioinnissa esitettyihin kehityssuunnitelmiin.

Kattilalaitoksen määritelmä (Painelaitelaki 2 §; kohta 32):

”Kattilalaitoksella tarkoitetaan yhden tai useamman höyry- tai kuumavesikattilan ja niihin liittyvien putkistojen, painesäiliöiden, tukirakenteiden, polttoaineen ja syöttöveden syöttöjärjestelmien sekä rakennusten muodostamaa yhtenäistä kokonaisuutta.”

Kattilalaitoksen vaaranarvioinnin lainsäädännölliset perusteet eivät ole muuttuneet mihinkään. Valmistajia koskee Painelaitedirektiivi (2014/68/EU), PED, joka edellyttää kattilan suunnitteluun, valmistukseen ja käyttöön liittyvien vaarojen tunnistusta ja riskienarviointia. Vaatimus kattilalaitoksen vaaranarvioinnista taas tulee Painelaitelaista (1144/2016) ja sen 65§, jossa määritellään kattilan omistajan ja haltian velvollisuudesta tehdä vaaranarviointi painelaiterekisteriin rekisteröitäville kattiloille A). Tukesin roolina on toimia painelaitteiden valmistusta, käyttöä ja tarkastustoimintaa valvovana viranomaisena. Varsinaisen vaaranarvioinnin ajantasaisuuden varmistaakin tarkastuslaitos. Tämä varmistus tehdään uudelle kattilalle ensimmäisen määräaikaistarkastuksen yhteydessä. Uudelleen rekisteröitävälle tai säilönnän jälkeen uudelleen käyttöönotettavalle kattilalle muutostarkastuksen yhteydessä. Ja käytössä oleville kattiloille aina määräaikaistarkastuksen yhteydessä.

Miksi uutta ohjeistusta sitten on tarvittu? Energiasektorilla on yhtenä trendinä jaksottaiseen käytön valvontaan siirtyminen. Tällöin on joissakin tapauksissa muutettu isojakin kiinteän polttoaineen kattiloita jaksottaiseen käytön valvontaan. Teknologia on siis kehittynyt ja mahdollistanut asioita, jolloin on tyypillistä, että lainsäädäntö tulee hieman viiveellä perässä. Valvova viranomainen onkin halunnut ohjein ohjata laitosten käyttö- ja kunnossapitotoimia riskipohjaisiin toimintatapoihin, prosessiturvallisuuden johtamisen menettelytapoihin sekä oman turvallisuustilanteensa tilannekuvan selkeyttämiseen.

Yhtenä toimintaympäristön vallitsevana teemana on voimalaitoksien toimintatapojen ja organisaatioiden pirstaloituminen. Laitoksen omistaja ei usein enää vastaa operoinnista ja kunnossapidosta, vaan käyttö- ja kunnossapitotoiminta on usein ulkoistettu toiselle toimijalle. Vaaranarvioinneissa onkin havaittu, ettei aina ole ihan kristallin kirkkaana mielessä se minkä yrityksen tai organisaation toimintatapoja ja järjestelmiä missäkin tilanteessa sovelletaan. Myös pääsy toisen organisaation toimintatapoihin ja ohjeisiin saattaa olla rajoittunutta. Näitä haasteita on haluttu hallita uudella ohjeistuksella vaaranarvioinnista.

Sota Ukrainassa sekä Suomessakin havaittu hybridiuhkien lisääntyminen on muuttanut toimintaympäristön turvallisuustilannetta vauhdilla. Yhteiskunnan kriittistä infrastruktuuria, kuten sähkön- ja vedenjakelun sekä jätevesiä puhdistavien ja energiaa tuottavien laitosten omistajat ja haltiat ovatkin yhä useammin joutuneet erilaisten vaikutusyritysten kohteeksi.

Ehkä tunnetuin kyberhyökkäys maailmalta liittyy Iranin ydinohjelmaa sabotoineeseen Stuxnet virukseen, joka havaittiin ensimmäisen kerran vuonna 2010. Kyseessä oli haittaohjelma, joka levisi USB muistien välillä ja mahdollisti näin ohjelman pääsyyn internetistä erillään toimivaan rajattuun teollisuuslaitoksen verkkoon. Haittaohjelma oli hyvin edistyksellinen, sillä se osasi piiloutua haittaohjelmia tunnistavilta ohjelmistoilta. Stuxnet oli räätälöity haavoittamaan Siemensin valmistamia ohjausjärjestelmiä ja ohjelmistoja (Step7). Haittaohjelma aktivoitui ainoastaan tilanteessa, jossa se havaitsi saastuttaneensa Siemens ohjausjärjestelmän. Saastutettuaan ohjausjärjestelmän haittaohjelma antoi vääriä komentoja PLC:lle. Lisäksi se osasi huijata käyttöliittymään ohjattavia signaaleja, näyttämään että prosessi toimisi normaalisti.

Stuxnet osoitti ensimmäistä kertaa, että haittaohjelmilla voidaan aiheuttaa fyysistä vahinkoa ja merkittävää haittaa kriittisessä infrastruktuurissa. No myöhemmin on toki spekuloitu, että kyseessä olisi ollut Israelin ja Yhdysvaltojen yhteinen hanke, jolla hyökättiin Iranin ydinvoimaohjelmaa vastaan. Niin tai näin, teollisiin ohjausjärjestelmiin liittyvät haittaohjelmat ovat todellinen uhka ja myös teollisissa järjestelmissä on haavoittuvuuksia.

Tukes ohjeessa on selkeästi tuotu esille tarve tunnistaa kattilalaitoksiin liittyviä kyberturvallisuusuhkia ja arvioida näihin liittyviä riskejä. Ihminen on edelleen se heikoin lenkki, kuten Stuxnetinkin tapauksessa. Se ei kuitenkaan tarkoita, etteikö energiateollisuuden laitoksia voisi häiritä myös verkon kautta leviävillä haittaohjelmilla tai esim. palvelunestohyökkäyksillä. Ajatellaan vaikka kattilalaitosta, jota ohjataan etävalvomosta. Mitä jos yhteys laitoksen ja valvomon välillä ruuhkautetaan? Ratkaisut ovat turva-automaatiostakin tuttuja verkon arkkitehtuuriin liittyviä ratkaisuja, kuten: kahdennus, erilaisuus ja vikasietoisuus.

Yhtenä Tukes ohjeen painopistealueena on muutosten hallinta. Ohjausjärjestelmien virheitä analysoivissa tutkimuksissa [HSE95] on havaittu, että selkeästi suurin virheiden lähde on ihminen. Alla olevasta kuvaajasta voidaan havaita, että määrittelyn ja suunnittelun virheet kattavat yli 40 % virheistä ja n. 21 % virheistä johtuu käyttöönoton jälkeisistä muutoksista. Toisin sanoen huonosta muutosten hallinnasta. Muutosten osalta onkin tärkeää analysoida muutoksen laajuus ja merkittävyys. Merkittävä muutos on esimerkiksi turvatoiminnon lisääminen tai turva-automaatiotoiminnon arkkitehtuuriin kohdistuva muutos. Myös ohjeeseen tai toimintatapaan kohdistuva muutos voi olla merkittävä esim. siirtyminen jatkuvasta, jaksottaiseen käytön valvontaan. Ei merkittävä muutos on sellainen, joka ei vaikuta turvallisuuteen. Esimerkiksi ohjelmakoodin kommenttien lisääminen tai käyttöliittymässä havaitun pienen epäkohdan korjaus. Instrumentin tai laitteen vaihtaminen uuteen samanlaiseen ei ole muutos vaan korjaus.

Yhteenvetona voisi sanoa että: Tukes on uudessa ohjeistuksessa halunnut tuoda perinteisiä prosessi- ja kemianteollisuuden turvallisuusjohtamiseen liittyviä elementtejä osaksi kattilalaitosten toimintaa. Oma havaintoni on, että monilla kattilalaitoksilla on asiat melko hyvin hoidossa. Puutteita on havaittu yleisesti vaaranarvioinnin ja muun turvallisuuteen liittyvän dokumentaation päivityksissä. Myös muutostenhallinnan menettelyn kirjallisessa dokumentoinnissa (prosessin kuvaus) ja muutosten jäljitettävyydessä on esiintynyt parantamisen varaa. Jaksottaisen käytön valvonnan riskilisä on kaksiteräinen miekka. Toisaalta miehittämätön laitos on kattilalaitosalueen sisältä tarkasteltuna turvallisempi kuin jatkuvassa käytön valvonnassa oleva laitos. Kattilalaitoksen ympäristön kannalta näin ei kuitenkaan ole, sillä esimerkiksi vuotavan öljysäiliön päästöt ympäristöön havaitaan mahdollisesti viiveellä jaksottaisessa käytön valvonnassa. Vaarojen tunnistaminen ja riskienhallinta on tässäkin avuksi; esim. vallitilalla saadaan vuoto rajattua ja vuotohälyttimellä tieto vuodosta valvomo-operaattorille. Näin päästään lyhyellä vasteajalla laitokselle suorittamaan ympäristövahinkoa rajoittavia toimia.

Tarkes Consulting on tehnyt satoja vaaranarviointeja ja niiden päivityksiä. Lisäksi olemme tehneet asiakkaillemme vaaranarviointiin liittyviä muita turvallisuuteen liittyviä dokumentteja, kuten toimintaperiaateasiakirjoja, räjähdyssuojausasiakirjoja sekä pelastussuunnitelmia. Seuraavassa artikkelissa käydään tarkemmin läpi kattilalaitoksen vaaranarvioinnin toteutusta.

A) Painelaitelaki (1144/2016) 65§ Käyttöönoton jälkeisen turvallisuuden varmistamiseksi omistajan ja haltijan on tehtävä vaaran arviointi kattilalaitoksessa:

1) jossa on painelaiterekisteriin rekisteröitävä höyrykattila, jonka teho on yli 6 megawattia;

2) jossa on painelaiterekisteriin rekisteröitävä kuumavesikattila, jonka teho on yli 15 megawattia; tai

3) joka sijoitetaan maan alle.

Artikkelin kirjoittaja:

Mikko Heikkilä
+358 40 014 7536
mikko.heikkila@tarkes.fi
Johtava turvallisuusasiantuntija,
Toimitusjohtaja