Turvallisuus prosessien suunnittelussa ja käyttöönotossa. Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa

Transkriptio

1 Turvallisuus prosessien suunnittelussa ja käyttöönotossa Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa

2 Moduuli 2: Turvallisuus prosessilaitoksen suunnittelussa Turvallisuuteen liittyvä automaatio Luento 9

3 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

4 Haasteita turvallisuusautomaatiolle nykyisten järjestelmien vanheneminen uusien järjestelmien monikerroksisuus uusien järjestelmien hajautus/integrointi uusien järjestelmien elinkaaren hallinta

5 Nykyisten järjestelmien vanheneminen toimintavarmuus, laatu huoltovarmuus, varaosien saanti yhteensopivuus uusien järjestelmien kanssa kiinnostavuus, osaaminen turvallisuusvaatimusten kehittyminen

6 Uusien järjestelmien monikerroksisuus perusjärjestelmä ja sovellus luotettavuuden osoittaminen monimutkaisuus versiohallinta

7 Uusien järjestelmien hajautus/integrointi riippuvuuksien kasvu yhteensopivuus, rajapinnat yhteisvikaantuminen tiedonsiirron haavoittuvuus

8 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

9 Uusien järjestelmien elinkaaren hallinta suunnittelutiedon hallinta laadunhallinta, dokumentointi muutosten hallinta standardointi

10 Automaation elinkaarimalli Elinjaksolla (life time) tarkoitetaan tuotteen ajallista jaksoa järjestelmän ideoinnista sen lopulliseen käytöstä poistoon. Elinkaarimalli (life cycle model) on kuvaus, joka sisältää tuotteelle elinjakson aikana tehtävät, toimenpiteet, dokumentit, etapit ja niiden väliset riippuvuudet. Tyypillisiä vaiheita automaatiolle ovat määrittely, suunnittelu, toteutus, asennus, käyttöönotto, tuotanto ja käytöstä poisto Elinkaarimalliin sisällytetään myös tuotteeseen kohdistuvat laadunvalvonnan toimenpiteet kuten katselmukset, tarkastukset, testit, verifiointi, validointi ja kelpoistus.

11 RAKENNUSTEKNIIKKA PROSESSITEKNIIKKA AUTOMAATIO HENKILÖSTÖ Esitutkimusprojekti Automaatio osana laitoksen elinkaarta Prosessin esitutkimus Automaation esitutkimus Esisuunnitteluprojekti Suunnittelupäätös Alustava prosessisuunnittelu Automaation esisuunnittelu Suunnittelu- ja toteutusprojekti Investointipäätös Prosessin - toteuttava prosessisuunnittelu - laite- ja laitossuunnittelu - hankinta - toteutus - tekninen kelpoistus - prosessikelpoistus Automaation - perussuunnittelu - suunnittelu - toteutus - asennus - toiminnallinen testaus - tekninen kelpoistus Laitoksen tuotannollinen käyttö Tuotannon aloitus Automaation käyttö ja ylläpito Lähde: Laatu Automaatiossa, parhaat käytännöt.

12 Elinkaarimalli ETAPIT VAIHEET TULOKSET LAATUTOIMET Tuote- ja prosessikehitys Tarve automaatiolle Esitutkimus Laatupolitiikka Laatujärjestelmä Suunnittelupäätös Sopimus 1 MÄÄRITTELY - esisuunnittelu - perussuunnittelu Käyttäjävaatimukset Toiminnallinen kuvaus Sopimukset TLJ-projekti Määrittelykatselmukset Kelpoistussuunnitelma Toimittajien auditointi 2 SUUNNITTELU - ohjelmiston ja laitteiston arkkitehtuuri - toteutuksen yksityiskohdat Ohjelmisto- ja moduulikuvaukset Laitekuvaukset Testaussuunnitelmat Suunnittelukatselmukset Toteutuslupa 3 TOTEUTUS - ohjelmointi ja valmistus - moduuuli-, integrointija tehdastestit (FAT) Sovellusohjelmat Laitteet Testausraportit Toteutuskatselmukset Toimitushyväksyntä 4 ASENNUS - toimitus ja asennus - asennustarkastukset - laitteistotestaus Testausraportit Tarkastukset Mekaaninen valmius 5 TOIMINNALLINEN TESTAUS - kylmätestaus - kuumatestaus Lopulliset (as-built) kuvat Testausraportit Tarkastukset Luovutus 6 KELPOISTUS - automaatio - prosessi Testausarvio Kelpoistusraportit Testausten arviointi Lopullinen kelpoistussuunnitelma Käyttöönotto 7 TUOTANTO - ylläpito - muutokset Pöytäkirjat Muutosehdotukset Tarkastusraportit Tarkastukset Uudelleen kelpoistukset Purkaminen Lähde: Laatu Automaatiossa, parhaat käytännöt.

13 Elinkaarimallin käsitteitä Laatutavoitteet, -politiikka Prosessi Käyttäjät Käyttäjävaatimukset Laadunvarmistus Laadunvarmistussuunnitelma Vaatimusten määrittely Asiakas Toimittaja Riippumaton taho Asiakas Toimintojen määrittely Toimittaja Asiakas Toiminnallinen kuvaus Järjestelmän suunnittelu Toteutuskuvaukset Dokumentit Toimittaja Toteuttaminen Muutosehdotukset Hankinnat Toimittaja Asennusvalmis automaatiojärjestelmä Hyväksytty suunnittelukatselmus Hyväksytty suunnittelukatselmus Hyväksytyt tehdastestit Suunnitteluvaihe Määrittelyvaihe Toteutusvaihe Aika Lähde: Laatu Automaatiossa, parhaat käytännöt.

14 Todentaminen ja kelpoistaminen Mahdollisuudet Tarpeet Vaatimukset TODENTAMINEN Toiminta KELPOISTAMINEN Toteutus Testaus Lähde: Laatu Automaatiossa, parhaat käytännöt.

15 Laitossuunnittelun spiraalimalli Prosessit Prosessijärjestelmä ja toimintaympäristö Tuotteet Aineiston määrä ja konkreettisuus kasvavat Etapit Kriittisten kohteiden toteutettavuus Automaatio Projektisuunnittelu Suunnitteluvaiheet (kierrokset) Organisaatio Lähde: Prosessin hallinta - automaation tehtäväkuvaus, 1992.

16 Riskitason määrittely Riskitarkasteluilla kartoitetaan ja tunnistetaan riskit. Erilaisia näkökulmia taloudelliset arvot turvallisuusarvot ympäristöarvot Riskitarkasteluilla voidaan määritellä kussakin tapauksessa kyseeseen tuleva sallittu riskitaso. Vaatimustaso voidaan määritellä kvalitatiivisesti tai kvantitatiivisesti.

17 Sallitun riskitason saavuttaminen Sallittuun riskitasoon pyritään käyttämällä riskinvähennyskeinoja esim: prosessisuunnittelu perusautomaation toiminnot säädöt, hälytykset, manuaaliset toiminnot rajoitukset ja lukitukset turvatoiminnot mekaaniset suojat häiriö- ja hätätilanneohjeet Luotettavuusanalyyseja käytetään osoittamaan sallitun riskitason saavuttaminen

18 Riskin suuruuden arviointi PROSESSIN RISKIT ILMAN RISKIN VÄHENNYSTÄ - TALOUDELLISET MENETYKSET - HENKILÖVAHINGOT - YMPÄRISTÖVAHINGOT ARVIOINNIN KOHTEET: 1. SUUNNITTE- LUPROSESSI 2. TEKNISET RATKAISUT 3. TESTAUS JA YLLÄPITO RISKIN VÄHENNYS PROSESSISUUNNITTELUN AVULLA RISKIN VÄHENNYS PERUSAUTOMAATION TOIMINNOILLA: OHJAUKSET, SÄÄDÖT RISKIN VÄHENNYS KRIITTISTEN HÄLYTYSTEN JA VALVONNAN AVULLA: MANUAALISET TOIMENPITEET RISKIN VÄHENNYS PERUSAUTOMAATION TOIMINNOILLA: OHJAUKSET, SÄÄDÖT RISKIN VÄHENNYS ULKOISILLA KEINOILLA: FYYSISET JA MEKAANISET SUOJAT, HÄTÄTILANNEOHJEET, YM.

19 Suojautumistasot onnettomuuksien varalle Kunnalliset pelastussuunnitelmat Laitoksen turvallisuussuunnitelmat Rakenteellinen suojaus (suoja-altaat, ojitukset) Rakenteellinen suojaus (mekaanisesti toimivat) Automaattiset turvalukitukset (suojaukset) Kunnalliset väestönsuojelusuunnitelm at Kriittiset hälytykset, kriittisten toimintojen valvonta, manuaalinen ohjaus Prosessin ohjaus, hälytykset ja valvonta Prosessisuunnittelu

20 Riskien hallinnan vaiheet Kohteen määrittely Vaarojen tunnistaminen Parannusehdotukset Seurausten arviointi Onnettomuuksien mallintaminen Todennäköisyyksien arviointi Kokonaisriskin arviointi Riskien hallinta

21 Luotettavuusanalyysit Luotettavuusanalyyseilla pyritään myös osoittamaan sallitun riskitason saavuttaminen. Kvalitatiiviset analyysit ja mallien laadinta tuovat järjestelmien arviointiin suunnittelulle rinnakkaisen näkökulman, joka auttaa tunnistamaan järjestelmien heikkoja kohtia ja tuottamaan parannusehdotuksia. Esimerkiksi kvantitatiivista vikapuuanalyysia, joka edellyttää tietoja vikataajuuksista, voidaan käyttää tapahtumien todennäköisyyksien laskentaan. Syntyneet luotettavuusvaatimukset pitäisi voida ilmaista esim. järjestelmää koskevina suunnittelusääntöinä.

22 Vikapuu JÄRJESTELMÄVIKA JA KANAVA 3 VIALLA KANAVA 1 VIALLA KANAVA 2 VIALLA TAI EI LÄHTÖSIGNAALIA KORTILTA 1 EI LÄHTÖSIGNAALIA KORTILTA 2

23 Vikapuuesimerkki Failed automatic start-up of emergency generator >= 1 Missing start-up signal for diesel generator Fault in diesel generator >= 1 >= 1 Fault in sending the signal Fault in transmission of the signal Faulty reception of the signal Missing fuel Mechanical fault in diesel generator A >= 1 C Broken conductor Fault in control module Blocked intake No fuel & B Fault in circuit B1 Fault in circuit B2

24 FMEA:n kirjauslomake esim. FMEA FOR DIGITAL SAFETY FUNCTIONS VTT PROJECT: reliability analysis of a safety automation system Inspected by: Approved by: ITEM FUNCTION FT.Ref FAILURE MODE FAILURE CAUSE Hardware/power Software/signal Hardware/power Software/signal EFFECT OF FAILURE SAFETY FUNCTION COMPENSATION OF FAILURE REMARKS, etc. Lähde: VTT Symposium 147, 1995.

25 Luotettavuusanalyysin tulokset malli suojaussignaalin ja vikapuutapahtumien välisistä kytkennöistä auttaa ymmärtämään järjestelmän vikaantumismekanismeja toimintatodennäköisyys turvatoimille eri ratkaisujen vertailut testivälin määrittäminen järjestelmän vikaantumistavat, -syyt ja seuraukset hyvä evidenssi eheystasosta osa suojausjärjestelmän hyväksymiskäytäntöä

26 Ohjausjärjestelmien vikajakauma Muutokset käytön aikana 20 % Käyttö ja huolto 15 % Määrittely 44 % Asennus ja koestus 6 % Suunnittelu ja toteutus 15 % Lähde: Out of control, HSE, Iso-Britannia.

27 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

28 Automaatioprojektin alkupään tehtäviä ja tiedonvaihtoa (1) ASIAKAS TOIMITTAJA ESI- SUUNNITTELU Prosessikuvaus Haastattelut Automaatioaste Käyttäjävaatimukset Kustannukset (ja hyödyt) Projektisuunnittelu Investointipäätös budjettikysely keskustelut budjettitarjous Markkinointi Toimintojen määrittely tarjouspyyntö tarjous Tajouksen laatiminen Hankinnan valmistelu neuvottelut PERUS- SUUNNITTELU Tarjousvertailu ja toimittajan valinta sopimus Projektin perustaminen Toimitusvalvonta ajotapakeskustelut Järjestelmä- ja toteutussuunnittelu

29 Automaatioprojektin alkupään tehtäviä ja tiedonvaihtoa (2) Esisuunnitteluvaiheessa syntyvät ns. käyttäjävaatimukset. Tallennetaan myös syyt ja tarpeet automaatiohankkeelle. Perussuunnitteluvaiheessa vaatimukset tarkentuvat toiminnalliseksi kuvaukseksi (esim. ohjelmiston suhteen). Vaatimusten jäsentely helpottaa työtä.

30 Eri hierarkiatasoja periaatetason vaatimusmäärittely esim. käyttäjävaatimukset järjestelmien vaatimusmäärittelyt perusjärjestelmän vaatimukset sovelluksen vaatimukset laitteiden vaatimusmäärittelyt hankintamäärittelyt laitteen vaatimusmäärittely ohjelmistojen vaatimusmäärittelyt sovellusohjelmistot perusohjelmistot sulautetut ohjelmistot

31 Määrittelyn hierarkia Periaatetason vaatimusmäärittely Järjestelmän 1 vaatimusmäärittely Järjestelmän 2 vaatimusmäärittely Sovelluksenn vaatimusmäärittely Perusjärjestelmän vaatimusmäärittely Laitteiden hankintamäärittelyt Laitteiston vaatimusmäärittely Ohjelmiston vaatimusmäärittely Laitteen 2.1 vaatimusmäärittely Laitteen 2.2 vaatimusmäärittely Ohjelmiston 2.1 vaatimusmäärittely

32 Automaatiolta vaadittavia ominaisuuksia yhtenäisyys ymmärrettävyys yksikäsitteisyys täydellisyys toteen näytettävyys muutettavuus jäljitettävyys ylläpidettävyys johdonmukaisuus

33 Sisällön jäsentämisen tärkeys Yleisissä ja yrityskohtaisissa standardeissa ja ohjeissa on valmiita sapluunoita hankintojen vaatimusmäärittelyn tekemiseksi. Vaatimusmäärittelyn jäsentäminen helpottaa dokumentin tekemistä.

34 Vaatimusmäärittelyn sisältö esimerkki sisällysluetteloksi: johdanto perustelut automaatiohankkeelle automatisoitavan prosessin tai kohteen yleiskuvaus toiminnalliset vaatimukset automaatiolle ei-toiminnalliset vaatimukset automaatiolle suunnittelu- ja valmistusprosessiin liittyvät vaatimukset asennus-, käyttöönotto- ja käyttövaiheeseen liittyvät vaatimukset turvallisuusvaatimukset rajoittavat tekijät

35 Toiminnalliset vaatimukset näkyvät käyttävälle Toimintaperiaatteet Laitos ja järjestelmä Prosessikuvaus, ajotavat, hallintaperiaatteet Ohjattavasta prosessista aiheutuvat vaatimukset Vaatimukset toiminnoille Suunnitteluarvot, suorituskyky, kapasiteetti, toimintalogiikka, automaatioaste, ohjaustapa, ohjauspaikka, ym. Muista järjestelmistä aiheutuvat vaatimukset Ympäristö, rakennus, prosessi, Yhteensopivuus, rajapinnat, riippuvuudet, sähkö, automaatio tiedonsiirto, logistiikka, lay-out, ym. Toimintojen luokittelu Kriittisyys, turvaluokitus, eheystaso Automaattinen käynnistys, priorisointi, turvallinen vikaantuminen, ym.

36 Ei-toiminnalliset vaatimukset ovat menettelytapoja Projekti- laatu- ja kelpoistussuunnitelma Määrittelyvaihe Suunnitelmien ja ohjeiden laadinta Toimittajan valvonta Toimittajan toimintaprosessit Viranomaishyväksynnät Aineiston tuottaminen, aikataulutus Suunnittelu- ja toteutusprosessi Laatu, V&V, kelpoistaminen Testit, analyysit, käyttökokemukset Laatu, V&V, kelpoistaminen Käyttövaiheen vaatimukset Ylläpito Toimittajan valinta, tarkastukset, auditoinnit Valvonta, tarkastukset, auditoinnit Standardit ja ohjeet, suunnitteluperiatteet ja säännöt, työkalut, ohjeistus Järjestelmän testaus, luotettavuusanalyysit, tyyppihyväksynnät Koulutus, ohjeistus, tietoturvallisuus

37 Turvallisuuden kannalta oleellisia asioita (1) kriittiset toiminnot eri käyttötiloissa turvallisuusvaatimukset toiminnoille laitteisto- ja ohjelmistokokoonpano projektisuunnitelma ja laatusuunnitelma kelpoistussuunnitelma kuvaus suunnitteluprosessista, -säännöistä, - menetelmistä ja -työkaluista

38 Turvallisuuden kannalta oleellisia asioita (2) luotettavuusvaatimukset ja -analyysit, muut analyysit testaus- ja tarkastusvaatimukset, itsediagnostiikka tyyppitestit käyttökokemukset ylläpitovaatimukset, käyttöikä

39 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimin- tojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

40 Määritelmiä (1) Perus/käyttöautomaatio: normaalit säädöt ja ohjaukset voi aiheuttaa häiriöitä prosessiin ei turvallisuuden eheysvaatimuksia Turvallisuuteen liittyvä automaatio: yleensä suojaukset ja lukitukset estää vaaralliseen tilaan joutumista kohdistuu turvallisuuden eheysvaatimuksia

41 Määritelmiä (2) Lukituksilla estetään vaaratilanteiden synty /KLTK. Suojauksilla saatetaan laitos vaaratilanteista turvalliseen tilaan /KLTK. Kemianteollisuudessa lukitus määritellään vaihtelevasti. Turvallisuuteen liittyvä järjestelmä (TLJ) vie prosessin turvalliseen tilaan tai pitää sen siinä (turvatoiminnat), saavuttaa yksin tai muiden TLJ:ien kanssa tarpeellisen turvallisuuden eheyden tason.

42 Määritelmiä (3) Toiminnallinen turvallisuus TLJ:n kyky hoitaa tarpeelliset turvatoiminnat ohjattavan prosessin saamiseksi turvalliseen tilaan tai pitämiseksi siinä (toimintojen riittävyys). Turvallisuuden eheys Todennäköisyys sille, että TLJ hoitaa vaadittavat turvatoiminnat tyydyttävästi määritetyissä olosuhteissa ja ajanjaksona (järjestelmän luotettavuus). Turvallisuuden eheystaso Turvallisuuden eheyden mitta. Tasoja on neljä, TET 1...4, joista TET 1 on alin ja TET 4 ylin.

43 Turvallisuuteen liittyvät järjestelmät Käyttöautomaatio Hierarkiataso Valmistuksen ohjaus Perusautomaatio, prosessin ohjausjärjestelmät Turvallisuuteen liittyvät järjestelmät Vaadittu turvallisuustaso Lähde: Laatu Automaatiossa, parhaat käytännöt.

44 Suunnittelusäännöt Suunnittelusäännöt ovat deterministisiä sääntöjä, joita tulee noudattaa tietyissä eheystasoissa tai luokissa. Deterministiset säännöt ovat ennalta määrättyjä suunnitteluperiaatteita, joiden avulla saadaan vikaantumistaajuus pysymään tietyn tason alapuolella. Suunnittelusääntöjä saa mm. standardeista ja ohjeista.

45 Vikaantumistodennäköisyys Standardi IEC rinnastaa toisiinsa vikaantumistodennäköisyyden ja eheystason - tämä on vaikeasti osoitettavissa. Vikaantumistodennäköisyys määritellään käyttökokemusten (vikahistorian) perusteella.

46 Suunnittelusääntöjä turvatoiminnoille (1) Toimintojen priorisointi Turvatoiminnon signaalit käynnistävät toiminnon huolimatta muista ohjauksista Yksittäisvikakriteeri Redundanttisuus Vian siirtyminen Yksittäinen vika järjestelmässä ei saa aiheuttaa sitä,ettei turvatoiminto toteudu Järjestelmässä on useampia toisistaan riippumattomia kanavia, jotka toteuttavat saman toiminnon samanaikaisesti Vika ei saa siirtyä järjestelmästä toiseen tai redundanssista toiseen

47 Suunnittelusääntöjä turvatoiminnoille (2) Yhteisvikaantuminen Riippumattomuus, liittyminen muihin järjestelmiin Riippumattomuuden keinot: Fyysinen erotus Toiminnallinen erotus galvaaninen erotus diversiteetti Ulkoinen (esim. tulipalo) tai sisäinen (esim. ohjelmisto) vika ei saa aiheuttaa kaikkien redundanttisten kanavien toimintojen menettämistä. Muut toiminnot, järjestelmät tai redundanssit eivät vaikuta turvatoimintoa suorittavaan järjestelmään tai redundanssiin. Keino estää vian siirtyminen ja yhteisvikaantuminen. Välimatka tai este Järjestelmien ja laitteiden erotus esim. sähköisesti eri virtapiireihin (esim. rele, erotusmuuntaja) erilainen toteutustapa (esim. ohjelmisto)

48 Suunnittelusääntöjä turvatoiminnoille (3) Testattavuus Informaatio operaattorille turvatoimintojen tilasta Operaattorin toimenpiteet Käyttöliittymät, valvomot Automaattinen käynnistys Toimintojen loppuunsaattaminen Järjestelmä on testattavissa käytön aikana Järjestelmän toimintoja voidaan valvoa käytön aikana Operaattorilla on mahdollisuus käynnistää turvatoiminnot Laitoksella on paikka, josta operaattori voi suorittaa tarvittavat toimenpiteet Turvatoiminnot käynnistyvät automaattisesti mittauksista Turvatoimintoja ei voi pysäyttää ennen, kuin ne on suoritettu loppuun (voi olla poikkeuksia)

49 Suunnittelusääntöjä turvatoiminnoille (4) Turvallinen vikaantuminen Itsediagnostiikka Mittausten esittäminen Sähkönsyötöt Apuenergia Merkinnät Järjestelmän vikaantuessa se käynnistää turvatoiminnot Järjestelmässä on kattava itsediagnostiikka, joka hälyttää järjestelmän viasta tai laukaisee turvatoiminnot Turvatoimintoja käynnistäviä mittauksia voidaan valvoa Varmennettu sähkönsyöttö Apuenergian kadotessa järjestelmä asettuu laitoksen kannalta turvalliseen tilaan Järjestelmän laitteet on merkitty selkeästi

50 Suunnittelusääntöjä turvatoiminnoille (5) Ylikytkennät Ohjelmistot Järjestelmä suunnitellaan siten, ettei testaamisessa tarvita ylikytkentöjä standardeissa esim. IEC on esitetty vaatimuksia suunnittelumenetelmille perusohjelmiston kelpoistaminen perustuu suunnitteluprosessin dokumentointiin, erilaisiin testeihin ja analyyseihin sovelluksen kelpoistaminen perustuu projektin aikaiseen suunnittelukäytäntöön verifiointi ja validointikäytäntöihin. ohjelmistotyökalujen kelpoistaminen yleensä standardityökalut

51 Automaatioaste automaation ja ihmisen työnjaon ja yhteistyön määrittely prosessin eri kohteissa Mietitään, mitä prosessiin kuuluvia tehtäviä tehdään ihmisten voimin ja mitkä tehtävät tehdään automaation avulla. Tehdään usein myös kokemusperäisesti esim. mittapisteluettelon laatimisen yhteydessä.

52 Riskin pienentäminen Riski on vaarallisen tapahtuman taajuuden ja seurausten vakavuuden funktio, R = f(p, C). Mietitään, minkä luotettavuustason automaatio tarvitaan pienentämään riski sallitulle tasolle, eli vaaratilanteen seuraukset eivät toteudu riittävällä todennäköisyydellä. On olemassa kvalitatiivisia ja kvantitatiivisia menetelmiä, joilla määritetään luotettavuustavoite automaatiotoiminnolle.

53 Toimintojen luokittelun toteutus Joissakin prosesseissa toimintojen turvallisuusluokittelun suositus on sovittu laitostyypeittäin, esim.: YVL turvaluokat, höyrykattilan suojaustoiminnot, soodakattilan suojaustoiminnot. Automaatiotoiminnon luokka seuraa prosessin luokkaa (mitä toimintoa automaatio palvelee).

54 Toimintojen luokkien määrittely esimerkiksi käyttäen apuna vikapuuanalyysia (esim. psa-mallit). vaatii lähtötietoina laitteiden vikataajuuksia. erilaisten taulukoiden ja graafien avulla kokemusperäisesti.

55 Sovellettavia standardeja IEC määrittelee turvallisuuden eheystasot, TET 1-4 (SIL 1-4) automaatiolle, sekä antaa vaatimuksia niille. Standardi DIN V määrittelee 8 vaatimusluokkaa automaatiolle. Vaatimukset ovat standardeissa DIN V VDE 0801 (vastaa IEC 61508) ja DIN V Kattilalaitosstandardi KLTK G10 määrittelee taulukon toimintojen luokittelulle eheystasoihin sekä antaa vaatimuksia kattilasuojalle.

56 Hyväksyttyjä ratkaisuja Eri luokkiin on saatavissa esim. ohjelmoitavia logiikkoja (TLJ), jotka ovat tarkastuslaitosten hyväksymiä. Suomessa vaaditaan kattilasuojalle eheystaso 2, pari konseptia on TTK:n hyväksymiä (Metso Automation, Honeywell) TÜV on hyväksynyt useita logiikkoja COTS (Commercial-off-the-self) eheystasoille 2-3. Eri valmistajia (ks. TÜV:n kotisivut). Hyväksynnät koskevat perusjärjestelmää (laitteisto ja ohjelmisto). Sovellus pitää vielä erikseen hyväksyttää projektin aikana.

57 Automaatioaste TARKASTELUN KOHDE: Prokutamiinitehdas (rajapinta) TEHTÄVÄTYYPPI AUTOMAATION ROOLI IHMISEN ROOLI Ennakointi Tuotannon suunnittelu Raaka-aineiden hankinta Prosessin tilan mittaus Raaka-aineiden ja tuotteiden laatu Päästöt Päätöksenteko Korjaavat toimenpiteet Valvonta Toteutuneen raportointi Varaston valvonta ja kulutuksen raportointi Tietojen tallennus ja esittäminen Säiliöiden pinnat, materiaalitaseet ja kaasuvalvonta Informaation esittäminen keskitetysti Prosessin ohjaus (ks. kuva 5.4) Hälytykset päästöistä Tuotanto- ja panosraportit, raakaaineiden ja hyödykkeiden kulutus, päästöraportti Tuotantosuunnitelman teko Raaka-aineiden tilaukset Näytteiden otto ja analysointi Valvonta kentällä Päättäminen Toimenpiteet (ks. kuva 5.4) Päästöjen ja toimitusten valvonta Kirjanpito Poikkeustilanteiden hallinta Päästöt ja onnettomuudet Informaation esittäminen ja prosessin suojaus Tilanteen selvittäminen, korjaavat toimenpiteet, tiedottaminen ja henkilösuojelu Lähde: Prosessin hallinta - automaation tehtäväkuvaus, 1992.

58 Esimerkki: Katalyytin sekoituksen automaatioaste TARKASTELUN KOHDE: Katalyytin sekoitus TEHTÄVÄTYYPPI AUTOMAATION ROOLI IHMISEN ROOLI Ennakointi Tynnyrin vaihto Aloitusvalmius Prosessin tilan mittaus Päätöksenteko Ohjaustoimenpiteet Valvonta Toteutuneen raportointi Poikkeustilanteiden hallinta Kehotus tynnyrin vaihtamiseen Aloitusehtojen tarkistus Annostellut ainemäärät, pinnat ja laitteiden toiminta Sekoitussekvenssi, sekoitusaika Venttiilit, pumppu ja sekoitin Tynnyrin paikallaan olo, pinnat, aineiden siirtyminen, aikavalvonta Käytetty katalyytti ja liuotin, valmis-tieto Keskeytys, hälytykset ja näytöt Katalyyttitynnyrin noutaminen ja vaihtaminen tarvittaessa Tarkistus valvomosta panosta aloitettaessa Silmämääräinen tarkistus sopivin välein Sekvenssin käynnistyminen Seuranta valvomossa Kirjanpito käytetyistä katalyyttitynnyreistä Tilanteen selvittäminen Lähde: Prosessin hallinta - automaation tehtäväkuvaus, 1992.

59 Esimerkki lomakepohjasta Toiminto P aikalliso h jau s tai käsin Kaukoohjaus, valvomo A utom aattinen käynnistys Järjestelmä

60 Luokitteluesimerkki VAAROJEN TUNNISTAMINEN JA ARVIOINTI Kohde: Firma X:n höyrykattilalaitos (tulitorvi-tuliputkikattila, polttoaineena raskas polttoöljy, 15 MW) Tarkasteltava kokonaisuus: Poltto ja höyryn tuotanto Osallistujat: Veikko Vetäjä (puheenjohtaja), Anja Apunen (sihteeri), Taito Tietäväinen, Tuomo Tuumivainen Analyysin pvm: 15., 18. ja Sivu: 3(7) Vaaraa aiheuttava tilanne syyt tapahtumaketju 3. Tulipesätussahdus polttimen sytyttämisen yhteydessä johtuen siitä, että öljyn virtausmäärä on liian suuri. Polttimen yhdyssäädin ei ole minimiliekkiasennossa, esim. rajakatkaisija- tai asennusviasta johtuen. 4. Ulospuhallusputken tai ulospuhallusventtiilin vuoto ulospuhalluksen yhteydessä. Vastaavan tyyppinen vaaratilanne esiintyy kattilavesinäytteenoton yhteydessä. Seuraukset henkilövahingot omaisuusvahingot Henkilövahinkojen todennäköisyys hyvin pieni. Jos henkilövahinkoja syntyy, ne ovat lieviä. Rakenteellisten vaurioiden mahdollisuus (lähinnä polttimelle). Polttimen kiinnityksen heikentyminen. Polttimen irtoaminen hyvin epätodennäköistä. Yksi henkilö vaarassa saada palovammoja (lähinnä käsiin). Palovammat todennäköisesti lieviä, mutta myös vakavat palovammat mahdollisia. Ei omaisuusvahinkoja. Nykyinen varautuminen käyttö ja kunnossapito ohjeistus automaatio- ja suojausjärjestelmät Polttimen kunnossapito, yhdyssäätimen kunto tarkastetaan vuosihuolloissa. Käynnistys tehdään yleensä automaatiojärjestelmän kautta. Ulospuhallusputkiston ja venttiilin kunnon tarkkailu kuukausihuoltojen yhteydessä. Ulospuhalluksen suoritustapa (voimakkaiden lämpöshokkien välttäminen). Luokitus T H O R Toimenpideehdotukset ja kommentit Maalataan lattiaan polttimen etupuolelle merkintä vaarallisesta alueesta. Vastuuhenkilö T. Tuumivainen, aikataulu 07/2000. Selvitetään voidaanko logiikkaan rakentaa suojaus sytytysöljyvirtauksen rajoittamiseksi. T. Tietäväinen, aikataulu 12/ Selvitetään onko ulospuhallukseen liittyvä ohjeistus asianmukainen. Maalataan ulospuhallusputken läheisyyteen varoitus vaaratilanteesta. Vastuuhenkilö T. Tuumivainen, aikataulu 07/2000. Seuranta T = tapahtuman todennäköisyys (1-5), H = henkilövahinkojen vakavuus (1-5), O = omaisuusvahinkojen vakavuus (1-5), R = vaaratilanteen merkittävyys ( riski ) Lähde: Opas kattilalaitoksen vaaran arvioimiseksi, VTT 2000.

61 TLJ-riskinvähennyksen periaate Consequence of hazardous event C Risk (R np ) = F np x C Risk < R t where R t = F t X C Frequency of hazardous event EUC risk F np Safety-related protection system required to achieve the necessary risk reduction Necessary risk reduction ( R) F p Tolerable risk target F np EUC and the EUC control system Safety integrity of safety-related protection system matched to the necessary risk reduction Lähde: IEC 61508

62 IEC 61508, riskigraafi C A X 1 W 3 W 2 W 1 a Riskin vähennysestimaatin aloituskohta C B F F A B P P A P B A X 2 X a a Yleinen kaavio (käytännön toteutuksissa voi riskigraafi olla ko. sovelluksille spesifinen) C C C D F F F F A B A B P P P P P B A B A B X 4 X 5 X b C = Seuraus F = Oleskelun taajuus ja alttiinaolon aika P = Vaaran välttämistodennäköisyys W = Ei-toivotun tapahtuman todennäköisyys --- = Ei turvallisuusvaatimuksia a = Ei erityisiä turvallisuusvaatimuksia b = Yksittäinen TLJ ei ole riittävä 1, 2, 3, 4 =Turvallisuuden eheydeyden taso Lähde: IEC 61508

63 Riskiparametrikuvauksia Parametri Kuvaus Seuraus C Vaarasta todennäköisesti seuraava tapaturmien keskimääräinen lukumäärä. Tämä lasketaan keskimääräisellä henkilöluvulla alttiilla alueella, kun alueella oleskellaan ottaen huomioon vaarallisen tapahtuman aiheuttama haavoittuvuus. Oleskelu F Todennäköisyys, että alttiilla alueella oleskellaan. Tämä määrätään laskemalla se osa ajasta, jolloin alueella oleskellaan. Vaaran välttämistodennäköisyys P Todennäköisyys, että alttiina olevat henkilöt pystyvät välttämään vaaran, jos TLJ ei toimi vaadittaessa. Tämä riippuu siitä, että on riippumattomia alttiina olevien henkilöiden varoitusmenetelmiä ja käsikäyttöisiä menetelmiä vaaran estämiseen tai pakomahdollisuuksia. Vaadetaajuus W Vaarallisen tapahtuman lukumäärä vuodessa, jos ei ole TLJ:tä. Tämä voidaan määrittää huomioimalla kaikki vikaantumiset, jotka voivat johtaa ko. vaaraan ja laskemalla niiden esiintymisen kokonaistaajuus. Lähde: IEC 61508

64 Yleisen riskigraafin esimerkkikalibrointi Lähde: IEC 61508

65 Eheystasoista Lähde: IEC 61508

66 Eheystasomenettelyn hyödyntäminen - taustaa Turvallisuuden eheystason (TET) käsite on monissa standardeissa. suunnittelua ja arviointia helpottava menettelytapa, josta hyötyvät sekä järjestelmän hankkijat että valmistajat TET ilmaisee miten toimintavarma ja/tai käyttövarma järjestelmä ja toiminto on. TET:in perusteella valitaan myös tasolle sopivat suunnittelu- ja arviointimenetelmät TET:in perusteella asiakas osaa päätyä sopivaan järjestelmään

67 TET-menettelyssä havaitut ongelmat TLJ:n määrittäminen oikealle TET:lle Tapahtuman esiintymistodennäköisyyden arviointi hankalinta. TET:n allokointi ohjelmistolle IEC esittää, että allokointi TLJ:n tasolta osajärjestelmiin ja ohjelmistoille tapahtuisi todennäköisyyspohjaisesti. TET:n täyttymisen osoittaminen Ohjelmistolle ja systemaattisille virheille pätisi hyviksi todetut suunnittelu-, analyysi- ja testausmenetelmät, ns. deterministinen tapa.

68 Kriittiset toiminnot Riskianalyysi tunnistaa vaaratekijät ja kriittiset toiminnot: asiakkaan valmisteelle, järjestelmän käyttäjille, liiketaloudelle, ympäristölle. Kriittiset toiminnot periytyvät suunnitteluun, toteutukseen, testaukseen, kelpoistukseen.

69 Kriittisyyden määrittelyperiaate P = pieni K = keskinkertainen S = suuri P MERKITTÄVYYS K S P VAATIVUUS K S Lähde: Laatu Automaatiossa, parhaat käytännöt.

70 Kriittisyyden periytyminen M V = Merkittävyys = Vaativuus Prosessikohde Hallintatehtävä Automaatiotoiminto Osajärjestelmä M M M M V V V V Piirteet Käyttökokemukset Monimutkaisuus Automaatiotuotteet Kokoonpano Toimintaympäristö Lähde: Laatu Automaatiossa, parhaat käytännöt.

71 Standardeja ja ohjeita (1) IEC 61508, Functional safety of electrical/electronic, programmable electronic safety related systemsosat 1-7 IEC 880 Software for computers in the safety systems of nuclear power plants KLTK:n suojeluohje G10 Soodakattilayhdistys: Suositus turvaautomaatiolle (tekeillä) Suomen automaatioseura ry: Laatu automaatiossa parhaat käytännöt

72 Standardeja ja ohjeita (2) TTK: Ohjelmoitavien turvallisuuteen liittyvien ohjausjärjestelmien arviointiohjeet. TTKsuositus ANSI/ISA (1996), Application of Safety Instrumented Systems for the Process Industries Systems DIN Standardit ja 0801 ANSI/IEEE 830 (1993) Guide for software requirement specifications

73 Standardeja ja ohjeita (3) ISO 9000 Quality management and assurance standards ISO (Ohjelmistot) Software standardit: IEEE 934, 982, 983, 1008, 1012, 1016, 1028, 1042, 1058, 1059, 1061, 1074, 1228 IEC (1992), Programmable controllers Draft: IEC (standardin sovellusstandardi prosessiteollisuuteen)

74 Standardeja ja ohjeita (4) IEC (2000) Nuclear power plants - Instrumentation and control systems important to safety - general requirements for systems IAEA TRS no.282 (1988), Manual on quality assurance for computer software related to nuclear power plants IAEA TRS no.367 (1994), Software important to safety in nuclear power plants IAEA TRS no.384 (1999), Verification and validation of software related to nuclear power plant instrumentation and control

75 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

76 Kelpoistamisen kohteet Kelpoistamalla todetaan laite tai järjestelmä soveltuvaksi käyttötarkoitukseensa. Kelpoistuksen kohteena on: perusjärjestelmän laitteisto ja ohjelmisto (esim. COTS), projektissa syntyvä sovellus, Kelpoistuksen kohteena on sekä laitteisto, että ohjelmisto.

77 Kelpoistaminen Kelpoistus tehdään tietylle tasolle. Tarkastuslaitokset ovat apuna. Pohjana ovat standardit ja ohjeet. Kelpoistukseen liittyviä menetelmiä: suunnitteluprosessin laatu testaaminen analyysit käyttökokemukset. Ohjelmiston kelpoistaminen on oma tieteenhaaransa. suunnittelun laatu, luotettavuustekniikan menetelmät, ohjelmistometriikat, testityökalut

78 Kelpoistamisen organisointi Kelpoistaminen jakaantuu koko automaation elinkaaren ajalle, oltava mukana projektiaikataulussa. Loppukäyttäjä on vastuussa kelpoistamisesta. Toimittaja tuottaa kelpoistamiseen tarvittavaa tietoa järjestelmästä. Viranomainen tai muut osapuolet voivat käyttää riippumatonta arviointia.

79 Kelpoistamisen vaiheet (1) suunnittelu- ja kehitysprosessin kelpoistaminen: perusjärjestelmän menettelyt sovelluksen menettelyt valmistusvaiheen kelpoistaminen: järjestelmän ja laitteiden valmistuksen laadunvalvonta järjestelmätestaus tyyppitestit

80 Kelpoistamisen vaiheet (2) asennusvaiheen kelpoistaminen: vastaanotto asennus laitteistotestaus toiminnallinen ja suorituskyvyn kelpoistaminen: käyttöönotto FAT SAT tuotannonaikaisen kelpoisuuden ylläpito: määräaikaiskokeet ja -tarkastukset

81 Kelpoistamisen ajoitus projektissa Perusjärjestelmän suunnitteluprosessi Perusjärjestelmän sertifiointi Evidenssi aloitus tilaus asennuslupa käyttölupa Käyttökokemukset Projektin esisuunnittelu Perussuunnittelu Evidenssi Evidenssi Evidenssi Suunnittelu jne. Valmistus ja kokoonpano Asennus Käyttöönotto Käyttö Kelpoistaminen Kelpoistussuunnitelma Vaiheet 1...n

82 Kelpoistussuunnitelman tarkoitus Kelpoistussuunnitelman avulla kuvataan, miten automaatiojärjestelmä osoitetaan käyttötarkoitukseensa sopivaksi ja riittävän luotettavaksi projektin eri vaiheissa. Suunnitelma sisältyy lisensiointimenettelyyn (viranomaishyväksyntä). Laatiminen toteutetaan yhdessä toimittajan kanssa. Voidaan käyttää konsulttia apuna. Valvotaan ja ohjataan korkean luotettavuuden ja laadun syntymistä. Suunnitelma tarkentuu matkan varrella.

83 Kelpoistussuunnitelman rakenne kelpoistuksen yleiskuvaus kelpoistuskohteet ja periaatteet kelpoistuksen vaiheet kelpoistuksen organisointi kelpoistuksen hyväksyntä

84 Kelpoistamisen evidenssi suunnitteluprosessi yleisesti (auditoinnit) ja tuotekohtaisesti (tuotekohtainen dokumentointi) testaukset suunnittelun ja valmistuksen aikaiset testit, tyyppitestit ja käyttöönottotestit. analyysit standardien mukaisuus luotettavuus- ja turvallisuusanalyysit sekä toiminnallinen analyysi käyttökokemukset aikaisemmat kelpoistukset, käyttöprofiili

85 Ohjelmiston kelpoistaminen Kahta eri tyyppiä ohjelmistoa COTS software valmiita yleiskäyttöisiä ohjelmistoja Automaatiojärjestelmät ja ohjelmoitavat logiikat systeemiohjelmisto ja konfiguroitavat toimilohkomodulit Standardien IEC ja IEC lähestymistavat ovat samankaltaisia eivätkä täysin sovellu nykyisille järjestelmille. Syynä on erot perusohjelmiston ja sovellusohjelmiston suunnitteluprosesseissa (esim. työkalut, kirjastomodulit).

86 Ohjelmiston kelpoistamisen toteutus Arvioidaan erikseen perusohjelmisto ja sovellus. suunnitteluprosessi ohjelmistotuotteet ohjelmointityökalut Käytetään rinnakkain useita eri menetelmiä. testaukset analyysit käyttökokemukset Hyödynnetään aikaisemmat sertifioinnit.

87 Ohjelmiston laatu - Perusohjelmisto aikaisemmat kokemukset samanlaisesta ohjelmistosta tuotekohtainen arviointi prosessin arviointi resurssit

88 Ohjelmiston laatu - Sovellusohjelmisto aikaisemmat kokemukset samanlaisesta ohjelmistosta tuotekohtainen arviointi prosessin arviointi resurssit tilastollinen testaaminen

89 Staattiset analyysit Arvioidaan ohjelmistoa ilman sen suorittamista. Koodin tarkastukset esim. tiimityönä staattiset analysaattorit ohjelmistometriikat suunnittelu- ja toteutusprosessin arviointimenetelmät

90 Dynaaminen testaus Suoritetaan ohjelmaa ja verrataan haluttuun lopputulokseen. testauksen vaiheet oleellista perusjärjestelmän kehityksen aikana Sovelluksen testaukseen projektin aikana on rajoitetusti aikaa. Testien suunnittelu ja dokumentointi on tärkeää.

91 Testien suunnittelu testisuunnitelma yhteys kelpoistussuunnitelmaan organisointi ja vastuut aikataulu testattavat piirteet testitapaukset testien kuvaus ja proseduurit ympäristö ja mittalaitteet testispesifikaatio testivaatimukset ja kriteerit

92 Testien raportointi testien raportointi testipöytäkirjat tapahtumakuvaus muutostarpeet tehdyt muutokset vaikutus testisuunnitelmaan hyväksynnät yhteenvetoraportti tulosten yhteenveto poikkeamat turvallisuusarviointi toimenpiteet hyväksynnät

93 Dynaamisesta testauksesta testauksen tyypit Black box testaus testataan vaatimusten toteutumista ohjelmiston toteutus on monimutkaisempi White box testaus testataan ohjelmistototeutusta (käskyjä, polkuja) kattavuus parempi, kuin black box testissä testausmetriikat monimutkaisuus, testien kattavuus, valmiusaste vikautumisväli (MTTF), vikataajuus, kumulatiivinen vikaprofiili

94 Tilastollinen testaus Tilastollinen testaus on satunnaistestauksen erikoistapaus. Käytetään satunnaista testitapausjoukkoa. Testitapauksissa otetaan huomioon järjestelmän sisäänmenojen todennäköisyysjakauma. vaiheet: testitapausten generointi testausprosessi luotettavuuden analysointi testitulosten pohjalta

95 Käyttökokemukset periaatteessa paras mahdollinen evidenssi ohjelmiston ja järjestelmän luotettavuudesta heijastaa järjestelmän käyttäytymistä paremmin, kuin testaaminen tarkkaa informaatiota järjestelmistä ja tapahtumista on vaikea saada ohjelmistoversiot ovat ongelmana Käyttökokemukset saatava pitkältä ajalta vähintään yhtä vaativasta ympäristöstä kuin lopullinen asennusympäristö. Luotettavuus riippuu ohjelmoitavan järjestelmän käyttöprofiilista ja sisäisestä tilasta.

96 Evidenssien yhdistäminen Päätöksenteko ohjelmoitavan järjestelmän luotettavuudesta perustuu erilaisten evidenssien yhdistämiseen ja painotukseen. Nykyisin ongelmasta yritetty selvitä Bayesin verkkojen avulla (Bayes Belief Networks, BBN). Painokertoimien ja todennäköisyyksien määritys vaatii laajaa kokemusta. Työkaluilla voidaan organisoida evidenssiä, mutta niillä ei voi hankkia sitä.

97 Bayes Belief Networks,, BBN Graafinen malli todennäköisyyspohjaisten muuttujien riippuvuuksista. Voidaan päivittää, kun uutta evidenssiä ilmaantuu. Voidaan yhdistää kvalitatiivista ja kvantitatiivista evidenssiä sekä asiantuntija-arvioita. Voidaan yhdistää ennusteita (prior probability) ja laskettuja arvoja (posterior probability). Herkkyystarkastelut, missä luotettavuutta kannattaa parantaa. Pienetkin verkot ovat työläitä. Verkkoja muodostetaan HUGIN - työkalulla. P(X) P(Y/X) Y P(V/Y) V X P(Z/X) Z P(W/Z) W

98 Kelpoistamisen yhteenveto (1): Perusjärjestelmän kelpoistaminen Kelpoistaminen tehdään etukäteen tietylle turvallisuustasolle (esim., TET1-4, TL 2-4) suunnitteluprosessin laatu yleisesti tuotekohtaiset suunnittelusäännöt ja -menetelmät suunnittelutyökalut riippumattomat arvioinnit testit ja tarkastukset (moduulitestit, integrointitestit ym.) analyysit (laitteisto, ohjelmisto, luotettavuus, standardit) käyttökokemukset

99 Kelpoistamisen yhteenveto (2): Sovelluksen kelpoistaminen Kelpoistaminen tehdään projektin aikana katselmukset ja laatuauditoinnit projektin vaiheiden todentaminen (verifiointi ja validointi) suunnittelusäännöt ja -menetelmät riippumattomat arvioinnit suunnittelukatselmukset testaus tehtaalla ja laitospaikalla (FAT, SAT) asennusten tarkastukset muutosmenettelyt analyysit (laitteisto, ohjelmisto, luotettavuus, standardit) kelpoistuksen tulosaineiston hyväksyntä

100 1. Luennon aiheesta yleistä 2. Automaation suunnitteluprosessi 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

101 Esimerkkejä Mitä tapahtui? Mikä meni vikaan? Miten se olisi voitu estää?

102 Esimerkki 1 Reaktorin yläpuolelle on asennettu vesitankki. Jos reaktorin sisältö kuumenee ja reaktio on vaarassa karata, operaattorin on määrä avata kauko-ohjattu venttiili, jotta vesi pääsee virtaamaan maan vetovoiman vaikutuksesta reaktoriin ja jäähdyttää reaktorin sisällön. Varoventtiili Vesi (reaktion pysäyttämistä varten) Kauko-ohjattu venttiili Reaktori Reaktori kuitenkin räjähti ja seurannut tulipalo tuhosi yksikön.

103 Mikä meni vikaan ja miten se olisi voitu estää? Väärät lähtötiedot suunnittelulle. Paineen kasvaessa seos työntyy ulos varoventtiilin kautta vaatimusmäärittely prosessikuvaus ajotapakeskustelut Säätöpiiri puuttuu, ainoastaan suojaus olemassa defence in depth periaate jäähdytinpiirin suunnittelu uudelleen suojaus ei vie turvalliseen tilaan

104 Esimerkki 2 An illustrative incident involved a chemical reactor. The programmers were told that if a fault occurred in the plant, they were to leave all controlled variables as they were and to sound an alarm. On one occasion, the computer received a signal telling it that there was a low oil level in a gearbox. The computer reacted as the requirements specified: It sounded an alarm and left the controls as they were. By coincidence, a catalyst had just been added to the reactor, and the computer had just started to increase the coolingwater flow to the reflux condenser. The flow was therefore kept at a low value. The reactor overheated, the relief valve lifted, and the contents of the reactor were discharged into the atmosphere. The operators responded to the alarm by looking for the cause of the low oil level. They established that the level was normal and that the low-level signal was false, but this time the reactor had overheated. Alarm LA Gearbox Catalyst Computer Vapour Reactor Condenser Reflux Vent Cooling water Lähde: Kletz (1983)

105 Mikä meni vikaan ja miten se olisi voitu estää Virheellinen vaatimusmäärittely turvalukitukset pitää suunnitella oikein suunnittelukatselmukset apuna (suunnittelun todentaminen ja kelpoistaminen) Prosessin ohjaus menetettiin häiriötilanteessa harkitaan suoritetaanko automaattinen toiminto tai hälytys (automaatioaste) Prosessia ei ajettu turvalliseen suuntaan (fail safe) automaattinen alasajo turvalliseen tilaan mietitään turvallinen tila (riskianalyysi)

106 Tekijänoikeudet Tämä aineisto on kaikkien vapaasti käytettävissä opetustarkoituksiin.tekijät toivovat materiaalia käytettäessä noudatettavan hyvää viittaustapaa. Jos materiaaliin tehdään muutoksia, ei ole suotavaa käyttää ALARP-logoa. Aineistossa esitetyt tulkinnat ovat tekijöiden omia näkemyksiä, ellei toisin ole mainittu. Tekijät eivät vastaa aineiston käytöstä mahdollisesti aiheutuvista vahingoista. Palaute Otamme mielellämme vastaan palautetta tästä materiaalista. Kysymyksiin vastaavat Anna-Mari Heikkilä ja Yngve Malmén. VTT Tuotteet ja tuotanto, Tampere Kiitos!