Toiminnallinen turvallisuus

Toiminnallisen turvallisuuden standardeissa kuten IEC 61508, IEC 61511, EN 62061 ja ISO EN 13849-1 esitellään käsite turvallisuuden eheys. Turvallisuuden eheyden mittarina toimii SIL/TET -taso (safety integrity level) tai PL -taso (performance level). Eheys- tai suoritustaso koskee aina ns. turvatoimintoa ja käsitteeseen turvatoiminto kuuluu kaikki ne laitteistot ja ohjelmistot, jotka vaikuttavat turvatoiminnon toteutumiseen.

Kaavio 1: Turvatoiminnon osat

Yksittäinen instrumentti, venttiili, turvarele tai turvalogiikka ei siis täytä vaadittua SIL tai PL tasoa.

Instrumentille tms. laitteistolle voidaan kyllä määrittää ns. SIL CL (SIL capability level), joka kertoo sen mikä on korkein SIL taso, jonka turvatoiminto, johon instrumentti tai laite osallistuu voi täyttää. ISO 13849-1 standardissa ei ole vastaavaa käsitettä, mutta usein valmistajien manuaaleissa tai sertifikaateissa on maininta (suitable up to PLx).

Kuva 1: Turva-automaatiojärjestelmä ja turvatoiminnot

No mitä se SIL tai PL taso sitten tarkoittaa käytännössä? Käytännössä (hieman yksinkertaistaen) sekä SIL että PL taso muodostuu seuraavista muuttujista:

• turvatoiminnon vaarallisen vikaantumisen taajuus on standardin määrittelemällä vaihteluvälillä
• turvatoiminnon laitteiston arkkitehtuuri vastaa standardin asettamiin vaatimuksiin
• turvatoiminnon laitteistojen ja ohjelmistojen valmistajat noudattavat standardissa toiminnallisen turvallisuuden hallinnalle asetettuja vaatimuksia (ns. systemaattinen kyvykkyys)

SIL taso (1-4) (tai PL tason osalta kirjaimet: a, b, c, d ja e, joista PLe on korkein vaatimuksiltaan) kuvastaa siis turvatoiminnon toiminnallista luotettavuutta.

Turvatoiminnon toiminnallinen luotettavuus on vähän niin kuin ”toiminnon luotettavuus”, mutta koska turvallinen tila yleensä ajaa prosessin alas tai pysäyttää koneen ei puhuta luotettavuudesta vaan turvallisuuden eheydestä.

No tarkoittaako SIL3 tai PLe sitten turvallista prosessia tai konetta? Ei ihan näinkään, sillä mitä korkeampi (vaativampi) SIL tai PL taso:

• sitä suurempi osuus riskinpienennyksestä on turva-automaation varassa
• sitä suurempia riskejä prosessin tai koneen toimintaan liittyy

Toiminnalliseen turvallisuuteen liittyy SIL ja PL tason lisäksi muutamia muita tärkeitä käsitteitä. Tarkastellaan niistä olennaisimpia. Toiminnallisen turvallisuuden hallinta on turvallisuusjohtamiseen liittyvä käsite, jonka tarkoituksena on varmistaa seuraavaa:

• turva-automaatiota suunniteltaessa noudatetaan systemaattista vesiputousmallin mukaista suunnitteluprosessia, jonka vaiheet dokumentoidaan ja ne ovat jälkikäteen todennettavissa
• suunnitteluprosessissa huomioidaan menetelmiä, joiden avulla tunnistetaan ja korjataan inhimilliset virheet suunnittelussa
• turvallisuuteen liittyvät järjestelmät (TLJ) toteutetaan, niitä käytetään ja ylläpidetään hallitusti koko elinkaarensa ajan
• TLJ:n suunnittelijat, toteuttajat, testaajat ja käyttäjät ovat päteviä tehtäviinsä
• TLJ:n muutokset ja korjaukset ovat hallittuja
• turvatoimintojen turvallisuuden eheys pysyy vaaditulla tasolla koko elinkaarensa ajan

Mitä vaativampi on siis SIL tai PL taso, sitä tiukempia vaatimuksia turvatoiminnon suunnittelulle ja testaukselle asetetaan.

Riskianalyysi on olennainen osa toiminnallista turvallisuutta, sillä riskianalyysissä selvitetään vaaratilanteet, vaaratilanteisiin liittyvät riskitasot sekä riskiä pienentävät toimenpiteet. Silloin kun riskianalyysissä tunnistetaan riski, jonka pienentämiseksi tarvitaan turvatoimintoa; tulee turvatoiminnolle määritellä vaadittu SIL tai PL taso. Standardit esittelevät erilaisia menetelmiä SIL tai PL tason määrittelemiseksi. Tyypillisimpiä ovat erilaiset riskigraafit, joissa pisteytetään riskin muuttujia ja lopputuloksena saadaan vaadittu eheys- tai suoritustaso. Prosessiteollisuudessa sovelletaan usein ns. LOPA-menetelmää (layer of protection analysis), joka on puolimäärällinen vikapuuanalyysin (fault tree analysis, FTA) sovellutus.

No milloin sitten tarvitaan riskinpienennystä? Sen tuleeko tunnistettuun vaaraan liittyvää riskiä pienentää vai ei määrittelee yleensä riskimatriisi. Riskimatriisi onkin tärkeä työkalu, sillä sen avulla priorisoidaan tunnistettuja vaaratilanteita ja niiden pienentämiseksi suunniteltavia toimenpiteitä ja resursseja.

Yleisesti käytössä oleva riskin mittaamiseen sovellettu menetelmä on ns. ALARP-periaate. ALARP periaatteen mukaisesti riskiä voidaan pienentää määräämättömästi, jossain menee kuitenkin raja, jonka jälkeen riskin pienentämiseen suunnatut resurssit, eivät ole enää perusteltuja. Ts. ALARP periaate huomioi riskin suuruuden lisäksi sen pienentämiseksi tarvittavat resurssit. ALARP periaatteen mukaisesti riskit on pienennettävä niin pitkälle kuin kohtuudella on mahdollista. Kohtuullisuuden käsitettä arvioidaan yleensä laadullisesti. ALARP käsite jakaa riskimatriisin kolmeen alueeseen:

• sietämätön riskitaso
• ALARP-taso (arvioidaan riskin siedettävyyttä)
• hyväksytty riskitaso

Sietämätön riski vaatii aina riskin pienentämiseksi määriteltäviä toimenpiteitä. ALARP-alueella olevan riskin osalta punnitaan riskin pienentämiseen liittyvää kustannushyötysuhdetta. LOPA menetelmä hyödyntää tätä periaatetta. LOPA:ssa tarvitaan em. riskitasojen määrällistä määrittelyä. Tyypillisesti riskimatriisi kalibroidaan yhden ihmisen kuolemaan johtavan seuraustason alueella. Esimerkiksi:

• yhden ihmisen kuolema kerran 100 000 vuodessa on siedettävissä. Tällöin: tolerable event frequency (siedettävä tapahtumataajuus) = 1 / 100 000 eli 0,00001 (1,00E-05)
• yhden ihmisen kuolema kerran 10 000 vuodessa on siedettävissä. Tällöin: tolerable event frequency = 1 / 10 000 eli 0,0001 (1,00E-04)

Kuva 2: Riskikolmio (ALARP-periaate)

Siedettävän riskitason käsite ja siihen liittyvä taajuus on oleellinen LOPA-menetelmän muuttuja, sillä toiminnallisen turvallisuuden käsite turvatoiminnon vaarallisen vikaantumisen todennäköisyys PFD_AVG on johdettavissa siedettävän riskitason taajuudesta sekä muiden riskinpienentämisen menetelmien riskiä pienentävästä vaikutuksesta (risk reduction factor, RRF). 1/ PFD_AVG=RRF.

Kuva 3: LOPA ja suojauskerrosmalli

LOPA menetelmä on sovellettavissa ainoastaan ns. harvojen vaateiden turvatoiminnoille, joiden ns. vaadetaajuus on maksimissaan kerran vuodessa (tai harvemmin). LOPA menetelmä on siitä mainio menetelmä, että kun riskimatriisi on kalibroitu ALARP periaatteen mukaisesti, voidaan turvatoimintojen vaadittu SIL taso johtaa jopa suoraan Hazopista. Koneturvallisuusstandardit määrittelevät koneiden turvatoiminnot joko tiheiden- tai jatkuvien vaateiden kategoriaan ja siksi turvatoiminnolta vaadittua PL tasoa ei voida johtaa LOPA menetelmää soveltaen.

Koneturvallisuuteen liittyvien turvatoimintojen vaatimukset määritellään usein jollakin riskigraafi -menetelmän sovellutuksella. Nämä soveltuvat myös prosessiturvallisuuteen liittyvien turvatoimintojen vaatimusten määrittelyyn, mutta silloin on syytä huomioida menetelmän kalibrointi niin että riskianalyysin (esim. hazop) ja riskigraafin antamat tulokset ovat linjassa toisiinsa nähden.

Kuva 4: Standardissa EN ISO 13849-1 esitelty riskigraafi menetelmä

Riskigraafi -menetelmässä turvatoiminnon eheys- tai suoritustaso määritellään yleensä seuraavien parametrien avulla:

• seurauksen vakavuus
• vaarallisen tapahtuman todennäköisyys
• vaaralle altistumisen taajuus tai kesto
• todennäköisyys että vaarallisen tapahtuman seuraukset vältetään

SIL tai PL-määrittelyn tuloksena saadaan siis vaatimus turvatoiminnon turvallisuuden eheydelle. Turvallisuuden eheys- tai suoritustaso määrittelee turvatoiminnon vaarallisen vikaantumisen todennäköisyyden (PFD_AVG tai PFH). Seuraavaksi toiminnallisen turvallisuuden standardit edellyttävät tämän vikaantumistodennäköisyyden todentamista. Todentaminen tapahtuu seuraavasti:

• määritellään turvatoiminnon rakenne (laitteistot sekä niiden arkkitehtuuri) lohkokaaviona
• selvitetään laitevalmistajien toimittamien tai yleisesti käytettyjen ns. geneeristen arvojen avulla turvatoiminnon vaarallisen vikaantumisen todennäköisyys

Em. toimenpiteitä kutsutaan kansankielellä mm. varmennuslaskelmiksi. Se mikä usein unohtuu, on että todentamisessa tulee em. lisäksi tarkastella myös turvatoiminnon toteuttamaa arkkitehtuuria sekä systemaattista turvallisuuden eheyttä. PFD tai PFH laskentaan on IEC 61508 standardisarjassa määritelty eri arkkitehtuureille laskukaavat. SIL todennuksella siis varmistetaan että, turvatoiminnon:

• vaarallisen vikaantumisen todennäköisyys on standardin määrittelemällä vaihteluvälillä
• arkkitehtuuri vastaa eheys- tai suoritustason mukaisiin standardin asettamiin vaatimuksiin, kuten vikasietoisuus ja diagnostiikan kattavuus
• laitteiden valmistajat ovat suunnittelu- ja valmistusprosessissaan noudattaneet eheys- tai suoritustason mukaisia standardin asettamia vaatimuksia

Nyt kun tiedämme turvatoimintojen rakenteen ja saavutetun eheys- tai suoritustason on aika suunnitella toiminnon toteutus. Käytännössä tämä tarkoittaa mm. seuraavien suunnitteludokumenttien laatimista:

• turva-automaatiojärjestelmän (TAJ) ohjelmiston logiikan kuvaus (suojaus- ja lukituskaaviot)
• instrumenttien ja toimilaitteiden kuten venttiilien ja moottorien piirikaaviot, kytkentäkuvat ja asennustyyppipiirustukset
• TAJ:n laitteiston määrittely
• TAJ:n I/O-listat
• TAJ:n rajapinnat (mm. DCS ja ylemmän tason ohjausjärjestelmät)

Toiminnallisen turvallisuuden standardit määrittelevät todentamisen -käsitteen lisäksi käsitteen kelpuutus. Todentaminen tarkoittaa käytännössä työn tarkastamista. Esimerkkinä SIL todennus sekä suunnitteludokumentaation tarkastus toisen kokeneen suunnittelijan toimesta. Kelpuutuksella tarkoitetaan käytännössä TAJ:n ohjelmiston tarkastamista vaatimusmäärittelyä (logiikan kuvaus) vastaan. Käytännössä tämä tarkoittaa TAJ:n tehdastestausta (factory acceptance testing, FAT) sekä turvatoimintojen toiminnallisia koestuksia.

Toiminnalliset koestukset tehdään, kun TAJ ja kaikki siihen liittyvät laitteet ja instrumentit on asennettu. Toiminnallisessa koestuksessa koestetaan turvatoiminnot, mittaukselta toimilaitteelle. Tämä on mahdollista tehdä joko simuloimalla esimerkiksi HART:n yli simuloidaan mittausarvo näyttämään yli tai ali laukaisurajan, jonka jälkeen varmistetaan, että toimilaite esim. venttiili avautuu tai sulkeutuu. Toinen tapa suorittaa toiminnalliset testaukset on turvatoimintojen testaaminen todellisissa tai todellisen kaltaisissa olosuhteissa. Nostamalla esimerkiksi säiliön pinta yli laukaisurajan ja varmistamalla että venttiili suorittaa sille määritellyn toiminnan oikein.

Toiminnallisiksi koestuksiksi kutsutaan turvatoimintojen ensimmäistä kelpuutusta. Prosessiteollisuudessa käytännössä samat testit toistetaan määräajoin TAJ:n ikääntyessä. Se kuinka usein ns. määräaikaistestaus tehdään, riippuu määräaikaiskoestusvälistä, jota on käytetty SIL todennuksen yhteydessä tehdyissä varmennuslaskelmissa. Määräaikaiskoestusväli voi olla esimerkiksi 6 kk tai jopa 5 vuotta. Se kuinka usein testaus tulee toistaa, riippuu turvatoiminnon arkkitehtuurista, laitemääristä sekä toimintoon osallistuvien laitteiden toiminnallisesta luotettavuudesta.

Prosessiteollisuuden toiminnallisen turvallisuuden standardi IEC 61511 sekä toiminnallisen turvallisuuden ns. kattostandardi IEC 61508 edellyttävät TAJ:n riippumatonta arviointia. Riippumaton arviointi tarkoittaa ulkopuolisen kolmannen osapuolen suorittamaa projektissa tuotetun aineiston läpikäyntiä sekä mahdollista osallistumista FAT testaukseen ja/tai toiminnallisiin koestuksiin. Arvioitsija antaa havaintoihinsa perustuvan lausunnon, joka ottaa kantaa standardin vaatimusten toteutumiseen.

Koneturvallisuuden toiminnallisen turvallisuuden standardit eivät edellytä riippumatonta arviointia, mutta tiettyjen vaarallisten koneiden ollessa kyseessä tai suunniteltaessa esimerkiksi turvakomponentteja (esim. valoverho tai turvarele) tulee vaatimustenmukaisuus arvioida ilmoitetun laitoksen toimesta.

Prosessiteollisuuden toiminnallisen turvallisuuden arviointi tehdään yleensä 1-4 vaiheessa, riippuen projektin laajuudesta ja haastavuudesta. Standardit määritellevät myös riippumattomuuden tason (esim. riippumaton organisaatio vs. riippumaton yritys). Riippumattomuuden taso määrittyy hankkeen vaativuuden, monimutkaisuuden sekä vaaditun SIL tason funktiona.

Painelaitelain (1144/2016) määrittelemä käyttöönottotarkastus l. ensimmäinen määräaikaistarkastus sekä käytön aikaiset määräaikaistarkastukset saattavat sisältää myös turva-automaation arviointia. Turva-automaatiota käytetään usein painelaitteiden varo- tai rajoitinlaitteena  kun suojaudutaan esimerkiksi ylipaineelta tai liian korkeilta lämpötiloilta. Huomattavaa on, että käyttöönottotarkastus sekä ensimmäinen määräaikaistarkastus tulee tehdä Tukesin hyväksymän tarkastuslaitoksen toimesta.

Tarvitsetko apua:

• riskianalyysimenetelmän ja riskimatriisin kalibroinnissa
• eheys- tai suoritustasojen määrittelyissä
• SIL tai PL tasojen todentamisessa
• TAJ:n laitteiston suunnittelussa
• TAJ:n ohjelmiston koodauksessa
• FAT testauksessa
• toiminnallisissa koestuksissa
• määräaikaiskoestuksissa tai
• turva-automaation riippumattomassa arvioinnissa

Tuotamme tarvitsemasi toiminnallisen turvallisuuden asiantuntijapalvelut yli 20-vuoden kokemuksella.

Artikkelin kirjoittaja:

Mikko Heikkilä
+358 40 014 7536
mikko.heikkila@tarkes.fi
Johtava turvallisuusasiantuntija,
Toimitusjohtaja