Turvallisuus prosessien suunnittelussa ja käyttöönotossa

Transkriptio

1 Turvallisuus prosessien suunnittelussa ja käyttöönotossa Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia Moduuli 2: Turvallisuus prosessilaitoksen suunnittelussa Turvallisuuteen liittyvä automaatio Luento 9 Haasteita turvallisuusautomaatiolle nykyisten järjestelmien vanheneminen uusien järjestelmien monikerroksisuus uusien järjestelmien hajautus/integrointi uusien järjestelmien elinkaaren hallinta

2 Nykyisten järjestelmien vanheneminen Uusien järjestelmien hajautus/integrointi toimintavarmuus, laatu huoltovarmuus, varaosien saanti yhteensopivuus uusien järjestelmien kanssa kiinnostavuus, osaaminen turvallisuusvaatimusten kehittyminen riippuvuuksien kasvu yhteensopivuus, rajapinnat yhteisvikaantuminen tiedonsiirron haavoittuvuus Uusien järjestelmien monikerroksisuus perusjärjestelmä ja sovellus luotettavuuden osoittaminen arkkitehtuuri monimutkaisuus versiohallinta 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

3 Automaation elinkaarimalli Elinjaksolla (life time) tarkoitetaan tuotteen ajallista jaksoa järjestelmän ideoinnista sen lopulliseen käytöstä poistoon. Elinkaarimalli (life cycle model) on kuvaus, joka sisältää tuotteelle elinjakson aikana tehtävät, toimenpiteet, dokumentit, etapit ja niiden väliset riippuvuudet. Tyypillisiä vaiheita automaatiolle ovat määrittely, suunnittelu, toteutus, asennus, käyttöönotto, tuotanto ja käytöstä poisto Elinkaarimalliin sisällytetään myös tuotteeseen kohdistuvat laadunvalvonnan toimenpiteet kuten katselmukset, tarkastukset, testit, verifiointi, validointi ja kelpoistus. ETAPIT Testausten arviointi Lopullinen kelpoistussuunnitelma Suunnittelupäätös Sopimus Toteutuslupa Toteutuskatselmukset Toimitushyväksyntä Mekaaninen valmius Luovutus Käyttöönotto Tuote- ja prosessikehitys 1 MÄÄRITTELY - esisuunnittelu - perussuunnittelu 2 SUUNNITTELU - ohjelmiston ja laitteiston arkkitehtuuri - toteutuksen yksityiskohdat Elinkaarimalli VAIHEET TULOKSET LAATUTOIMET Tarve automaatiolle Esitutkimus 3 TOTEUTUS - ohjelmointi ja valmistus - moduuuli-, integrointija tehdastestit (FAT) 4 ASENNUS - toimitus ja asennus - asennustarkastukset - laitteistotestaus 5 TOIMINNALLINEN TESTAUS - kylmätestaus - kuumatestaus 6 KELPOISTUS - automaatio - prosessi 7 TUOTANTO - ylläpito - muutokset Purkaminen Käyttäjävaatimukset Toiminnallinen kuvaus Sopimukset TLJ-projekti Ohjelmisto- ja moduulikuvaukset Laitekuvaukset Testaussuunnitelmat Sovellusohjelmat Laitteet Testausraportit Testausraportit Lopulliset (as-built) kuvat Testausraportit Testausarvio Kelpoistusraportit Pöytäkirjat Muutosehdotukset Tarkastusraportit Laatupolitiikka Laatujärjestelmä Määrittelykatselmukset Kelpoistussuunnitelma Toimittajien auditointi Suunnittelukatselmukset Tarkastukset Tarkastukset Tarkastukset Uudelleen kelpoistukset Automaatio osana laitoksen elinkaarta RAKENNUSTEKNIIKKA PROSESSITEKNIIKKA AUTOMAATIO HENKILÖSTÖ Esitutkimusprojekti Prosessin Automaation esitutkimus esitutkimus Prosessi Käyttäjät Vaatimusten määrittely Asiakas Elinkaarimallin käsitteitä Laatutavoitteet, -politiikka Asiakas Toimittaja Riippumaton taho Käyttäjävaatimukset Laadunvarmistus Laadunvarmistussuunnitelma Esisuunnitteluprojekti Suunnittelu- ja toteutusprojekti Suunnittelupäätös Alustava prosessisuunnittelu Investointipäätös Automaation esisuunnittelu Toimintojen määrittely Toimittaja Asiakas Toiminnallinen kuvaus Toteutuskuvaukset Järjestelmän suunnittelu Dokumentit Prosessin - toteuttava prosessisuunnittelu - laite- ja laitossuunnittelu - hankinta - toteutus - tekninen kelpoistus - prosessikelpoistus Automaation - perussuunnittelu - suunnittelu - toteutus - asennus - toiminnallinen testaus - tekninen kelpoistus Muutosehdotukset Toimittaja Hyväksytty suunnittelukatselmus Hankinnat Hyväksytty suunnittelukatselmus Toteuttaminen Asennusvalmis Toimittaja automaatiojärjestelmä Hyväksytyt tehdastestit Laitoksen tuotannollinen käyttö Tuotannon aloitus Suunnitteluvaihe Määrittelyvaihe Toteutusvaihe Aika Automaation käyttö ja ylläpito

4 TODENTAMINEN Todentaminen ja kelpoistaminen Vaatimukset Toiminta Toteutus Testaus Tarpeet KELPOISTAMINEN Riskitason määrittely Riskitarkasteluilla kartoitetaan ja tunnistetaan riskit. Erilaisia näkökulmia taloudelliset arvot turvallisuusarvot ympäristöarvot Riskitarkasteluilla voidaan määritellä kussakin tapauksessa kyseeseen tuleva sallittu riskitaso. Vaatimustaso voidaan määritellä kvalitatiivisesti tai kvantitatiivisesti. Laitossuunnittelun spiraalimalli Etapit Tuotteet Mahdollisuudet Projektisuunnittelu Prosessit Suunnitteluvaiheet (kierrokset) Prosessijärjestelmä ja toimintaympäristö Kriittisten kohteiden toteutettavuus Automaatio Organisaatio Aineiston määrä ja konkreettisuus kasvavat Sallitun riskitason saavuttaminen Sallittuun riskitasoon pyritään käyttämällä riskinvähennyskeinoja esim: prosessisuunnittelu perusautomaation toiminnot säädöt, hälytykset, manuaaliset toiminnot rajoitukset ja lukitukset turvatoiminnot mekaaniset suojat häiriö- ja hätätilanneohjeet Luotettavuusanalyyseja käytetään osoittamaan sallitun riskitason saavuttaminen Lähde: Prosessin hallinta - Automaation tehtäväkuvaus, 1992.

5 Kunna llise t vä e stönsuojelusuunnite lm a t Suojautumistasot onnettomuuksien varalle Kunnalliset pelastussuunnitelmat Laitoksen turvallisuussuunnitelmat Rakenteellinen suojaus (suoja-altaat, ojitukset) Rakenteellinen suojaus (mekaanisesti toimivat) Automaattiset turvalukitukset (suojaukset) Kriittiset hälytykset, kriittisten toimintojen valvonta, m anuaalinen ohjaus Prosessin ohjaus, hälytykset ja valvonta Prosessisuunnittelu Luotettavuusanalyysit Luotettavuusanalyyseilla pyritään myös osoittamaan sallitun riskitason saavuttaminen. Kvalitatiiviset analyysit ja mallien laadinta tuovat järjestelmien arviointiin suunnittelulle rinnakkaisen näkökulman, joka auttaa tunnistamaan järjestelmien heikkoja kohtia ja tuottamaan parannusehdotuksia. Esimerkiksi kvantitatiivista vikapuuanalyysia, joka edellyttää tietoja vikataajuuksista, voidaan käyttää tapahtumien todennäköisyyksien laskentaan. Syntyneet luotettavuusvaatimukset pitäisi voida ilmaista esim. järjestelmää koskevina suunnittelusääntöinä. Riskien hallinnan vaiheet Vikapuu Kohteen määrittely Vaarojen tunnistaminen JÄRJESTELMÄVIKA JA Parannusehdotukset Seurausten arviointi Onnettomuuksien mallintaminen Todennäköisyyksien arviointi KANAVA 3 VIALLA KANAVA 1 VIALLA TAI KANAVA 2 VIALLA Kokonaisriskin arviointi EI LÄHTÖSIGNAALIA KORTILTA 1 EI LÄHTÖSIGNAALIA KORTILTA 2 Riskien hallinta

6 Failed automatic start-up Vikapuuesimerkki Luotettavuusanalyysin tulokset of emergency generator >= 1 Missing start-up signal for diesel generator >= 1 Fault in Fault in sending Faulty reception transmission the signal of the signal of the signal A Fault in Broken control conductor module & Fault Fault in circuit in circuit B1 B2 Fault in diesel generator >= 1 Mechanical fault Missing in diesel fuel generator >= 1 C Blocked No intake fuel B malli suojaussignaalin ja vikapuutapahtumien välisistä kytkennöistä auttaa ymmärtämään järjestelmän vikaantumismekanismeja toimintatodennäköisyys turvatoimille eri ratkaisujen vertailut testivälin määrittäminen järjestelmän vikaantumistavat, -syyt ja seuraukset hyvä evidenssi eheystasosta osa suojausjärjestelmän hyväksymiskäytäntöä FMEA:n kirjauslomake esim. FMEA FOR DIGITAL SAFETY FUNCTIONS PROJECT: reliability analysis of a safety automation system ITEM FUNCTION FT.Ref FAILURE MODE Inspected by: Approved by: FAILURE CAUSE Hardware/power Software/signal Hardware/power Software/signal EFFECT OF FAILURE SAFETY FUNCTION COMPENSATION OF FAILURE VTT REMARKS, etc. Ohjausjärjestelmien vikajakauma Muutokset käytön aikana 20 % Käyttö ja huolto 15 % Määrittely 44 % Asennus ja koestus 6 % Suunnittelu ja toteutus 15 % Lähde: Out of control, HSE, Iso-Britannia.

7 Automaatioprojektin alkupään tehtäviä ja tiedonvaihtoa (2) 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia Esisuunnitteluvaiheessa syntyvät ns. käyttäjävaatimukset. Tallennetaan myös syyt ja tarpeet automaatiohankkeelle. Perussuunnitteluvaiheessa vaatimukset tarkentuvat toiminnalliseksi kuvaukseksi (esim. ohjelmiston suhteen). Vaatimusten jäsentely helpottaa työtä. Automaatioprojektin alkupään tehtäviä ja tiedonvaihtoa (1) ESI- SUUNNITTELU PERUS- SUUNNITTELU ASIAKAS Prosessikuvaus Haastattelut Automaatioaste Käyttäjävaatimukset Kustannukset (ja hyödyt) Projektisuunnittelu Investointipäätös Toimintojen määrittely Hankinnan valmistelu Tarjousvertailu ja toimittajan valinta Toimitusvalvonta keskustelut budjettikysely budjettitarjous tarjouspyyntö neuvottelut sopimus ajotapakeskustelut tarjous TOIMITTAJA Markkinointi Tajouksen laatiminen Projektin perustaminen Järjestelmä- ja toteutussuunnittelu Vaatimusmäärittelyn hierarkiatasoja periaatetason vaatimusmäärittely esim. käyttäjävaatimukset järjestelmien vaatimusmäärittelyt perusjärjestelmän vaatimukset sovelluksen vaatimukset laitteiden vaatimusmäärittelyt hankintamäärittelyt laitteen vaatimusmäärittely ohjelmistojen vaatimusmäärittelyt sovellusohjelmistot perusohjelmistot sulautetut ohjelmistot

8 Sovelluksenn vaatimusmäärittely Määrittelyn hierarkia Järjestelmän 1 vaatimusmäärittely Laitteiston vaatimusmäärittely Perusjärjestelmän vaatimusmäärittely Periaatetason vaatimusmäärittely Ohjelmiston vaatimusmäärittely Laitteiden hankintamäärittelyt Laitteen 2.1 vaatimusmäärittely Ohjelmiston 2.1 vaatimusmäärittely Järjestelmän 2 vaatimusmäärittely Laitteen 2.2 vaatimusmäärittely Vaatimusmäärittelyn sisältö esimerkki sisällysluetteloksi: johdanto perustelut automaatiohankkeelle automatisoitavan prosessin tai kohteen yleiskuvaus toiminnalliset vaatimukset automaatiolle ei-toiminnalliset vaatimukset automaatiolle suunnittelu- ja valmistusprosessiin liittyvät vaatimukset asennus-, käyttöönotto- ja käyttövaiheeseen liittyvät vaatimukset turvallisuusvaatimukset rajoittavat tekijät Vaatimusmäärittelyn ominaisuuksia Toiminnalliset vaatimukset näkyvät käyttävälle yhtenäisyys ymmärrettävyys yksikäsitteisyys täydellisyys johdonmukaisuus toteen näytettävyys muutettavuus jäljitettävyys ylläpidettävyys Toimintaperiaatteet Laitos ja järjestelmä Prosessikuvaus, ajotavat, hallintaperiaatteet Ohjattavasta prosessista aiheutuvat vaatimukset Vaatimukset toiminnoille Suunnitteluarvot, suorituskyky, kapasiteetti, toimintalogiikka, automaatioaste, ohjaustapa, ohjauspaikka, ym. Muista järjestelmistä aiheutuvat vaatimukset Ympäristö, rakennus, prosessi, sähkö, automaatio Toimintojen luokittelu Kriittisyys, turvaluokitus, eheystaso Yhteensopivuus, rajapinnat, riippuvuudet, tiedonsiirto, logistiikka, lay-out, ym. Automaattinen käynnistys, priorisointi, turvallinen vikaantuminen, ym.

9 Ei-toiminnalliset vaatimukset ovat menettelytapoja Turvallisuuden kannalta oleellisia asioita (2) Projekti- laatu- ja kelpoistussuunnitelma Määrittelyvaihe Suunnitelmien ja ohjeiden laadinta Toimittajan valvonta Toimittajan toimintaprosessit Viranomaishyväksynnät Aineiston tuottaminen, aikataulutus Suunnittelu- ja toteutusprosessi Laatu, V&V, kelpoistaminen Testit, analyysit, käyttökokemukset Laatu, V&V, kelpoistaminen Käyttövaiheen vaatimukset Ylläpito Toimittajan valinta, tarkastukset, auditoinnit Valvonta, tarkastukset, auditoinnit Standardit ja ohjeet, suunnitteluperiatteet ja säännöt, työkalut, ohjeistus Järjestelmän testaus, luotettavuusanalyysit, tyyppihyväksynnät Koulutus, ohjeistus, tietoturvallisuus luotettavuusvaatimukset ja -analyysit, muut analyysit testaus- ja tarkastusvaatimukset, itsediagnostiikka tyyppitestit käyttökokemukset ylläpitovaatimukset, käyttöikä Turvallisuuden kannalta oleellisia asioita (1) kriittiset toiminnot eri käyttötiloissa turvallisuusvaatimukset toiminnoille laitteisto- ja ohjelmistokokoonpano projektisuunnitelma ja laatusuunnitelma kelpoistussuunnitelma kuvaus suunnitteluprosessista, -säännöistä, - menetelmistä ja -työkaluista 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimin- tojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

10 Määritelmiä (1) Perus/käyttöautomaatio: normaalit säädöt ja ohjaukset voi aiheuttaa häiriöitä prosessiin ei turvallisuuden eheysvaatimuksia Turvallisuuteen liittyvä automaatio: yleensä suojaukset ja lukitukset estää vaaralliseen tilaan joutumista kohdistuu turvallisuuden eheysvaatimuksia Määritelmiä (3) Toiminnallinen turvallisuus TLJ:n kyky hoitaa tarpeelliset turvatoiminnat ohjattavan prosessin saamiseksi turvalliseen tilaan tai pitämiseksi siinä (toimintojen riittävyys). Turvallisuuden eheys Todennäköisyys sille, että TLJ hoitaa vaadittavat turvatoiminnat tyydyttävästi määritetyissä olosuhteissa ja ajanjaksona (järjestelmän luotettavuus). Turvallisuuden eheystaso Turvallisuuden eheyden mitta. Tasoja on neljä, TET 1...4, joista TET 1 on alin ja TET 4 ylin. Määritelmiä (2) Suojauksilla saatetaan laitos vaaratilanteista turvalliseen tilaan /KLTK. Lukituksilla estetään vaaratilanteiden synty /KLTK. Esim. kemianteollisuudessa lukitus määritellään vaihtelevasti. Turvallisuuteen liittyvä järjestelmä (TLJ) vie prosessin automaattisesti turvalliseen tilaan tai pitää sen siinä (toteuttaa turvatoiminnot) saavuttaa yksin tai muiden TLJ:ien kanssa tarpeellisen turvallisuuden eheyden tason. Hierarkiataso Turvallisuuteen liittyvät järjestelmät Käyttöautomaatio Valmistuksen ohjaus Perusautomaatio, prosessin ohjausjärjestelmät Turvallisuuteen liittyvät järjestelmät Vaadittu turvallisuustaso

11 Suunnittelusäännöt Suunnittelusäännöt ovat deterministisiä sääntöjä, joita tulee noudattaa tietyissä eheystasoissa tai luokissa. Deterministiset säännöt ovat ennalta määrättyjä suunnitteluperiaatteita, joiden avulla saadaan vikaantumistaajuus pysymään tietyn tason alapuolella. Suunnittelusääntöjä saa mm. standardeista ja ohjeista. Suunnittelusääntöjä turvatoiminnoille (1) Toimintojen priorisointi Turvatoiminnon signaalit käynnistävät toiminnon huolimatta muista ohjauksista Yksittäisvikakriteeri Yksittäinen vika järjestelmässä ei saa aiheuttaa sitä,ettei turvatoiminto toteudu Redundanttisuus Järjestelmässä on useampia toisistaan riippumattomia kanavia, jotka toteuttavat saman toiminnon samanaikaisesti Vian siirtyminen Vika ei saa siirtyä järjestelmästä toiseen tai redundanssista toiseen Vikaantumistodennäköisyys Standardi IEC rinnastaa toisiinsa vikaantumistodennäköisyyden ja eheystason - tämä on vaikeasti osoitettavissa. Vikaantumistodennäköisyys määritellään käyttökokemusten (vikahistorian) perusteella. Yhteisvikaantuminen Riippumattomuus, liittyminen muihin järjestelmiin Riippumattomuuden keinot: Fyysinen erotus Suunnittelusääntöjä turvatoiminnoille (2) Toiminnallinen erotus galvaaninen erotus diversiteetti Ulkoinen (esim. tulipalo) tai sisäinen (esim. ohjelmisto) vika ei saa aiheuttaa kaikkien redundanttisten kanavien toimintojen menettämistä. Muut toiminnot, järjestelmät tai redundanssit eivät vaikuta turvatoimintoa suorittavaan järjestelmään tai redundanssiin. Keino estää vian siirtyminen ja yhteisvikaantuminen. Välimatka tai este Järjestelmien ja laitteiden erotus esim. sähköisesti eri virtapiireihin (esim. rele, erotusmuuntaja) sähköinen erotus erilainen toteutustapa (esim. ohjelmisto)

12 Suunnittelusääntöjä turvatoiminnoille (3) Suunnittelusääntöjä turvatoiminnoille (5) Testattavuus Informaatio operaattorille turvatoimintojen tilasta Operaattorin toimenpiteet Käyttöliittymät, valvomot Automaattinen käynnistys Toimintojen loppuunsaattaminen Järjestelmä on testattavissa käytön aikana Järjestelmän toimintoja voidaan valvoa käytön aikana Operaattorilla on mahdollisuus käynnistää turvatoiminnot Laitoksella on paikka, josta operaattori voi suorittaa tarvittavat toimenpiteet Turvatoiminnot käynnistyvät automaattisesti mittauksista Turvatoimintoja ei voi pysäyttää ennen, kuin ne on suoritettu loppuun (voi olla poikkeuksia) Ylikytkennät Ohjelmistot Järjestelmä suunnitellaan siten, ettei testaamisessa tarvita ylikytkentöjä standardeissa esim. IEC on esitetty vaatimuksia suunnittelumenetelmille perusohjelmiston kelpoistaminen perustuu suunnitteluprosessin dokumentointiin, erilaisiin testeihin ja analyyseihin sovelluksen kelpoistaminen perustuu projektin aikaiseen suunnittelukäytäntöön verifiointi ja validointikäytäntöihin. ohjelmistotyökalujen kelpoistaminen yleensä standardityökalut Suunnittelusääntöjä turvatoiminnoille (4) Automaatioaste Turvallinen vikaantuminen Itsediagnostiikka Mittausten esittäminen Sähkönsyötöt Apuenergia Merkinnät Järjestelmän vikaantuessa se käynnistää turvatoiminnot Järjestelmässä on kattava itsediagnostiikka, joka hälyttää järjestelmän viasta tai laukaisee turvatoiminnot Turvatoimintoja käynnistäviä mittauksia voidaan valvoa Varmennettu sähkönsyöttö Apuenergian kadotessa järjestelmä asettuu laitoksen kannalta turvalliseen tilaan Järjestelmän laitteet on merkitty selkeästi automaation ja ihmisen työnjaon ja yhteistyön määrittely prosessin eri kohteissa Mietitään, mitä prosessiin kuuluvia tehtäviä tehdään ihmisten voimin ja mitkä tehtävät tehdään automaation avulla. Tehdään usein myös kokemusperäisesti esim. mittapisteluettelon laatimisen yhteydessä.

13 Riskin pienentäminen Toimintojen luokkien määrittely Riski on vaarallisen tapahtuman taajuuden ja seurausten vakavuuden funktio, R = f(p, C). Mietitään, minkä luotettavuustason automaatio tarvitaan pienentämään riski sallitulle tasolle, eli vaaratilanteen seuraukset eivät toteudu riittävällä todennäköisyydellä. On olemassa kvalitatiivisia ja kvantitatiivisia menetelmiä, joilla määritetään luotettavuustavoite automaatiotoiminnolle. esimerkiksi käyttäen apuna vikapuuanalyysia (esim. psa-mallit). vaatii lähtötietoina laitteiden vikataajuuksia. erilaisten taulukoiden ja graafien avulla kokemusperäisesti. Toimintojen luokittelun toteutus Joissakin prosesseissa toimintojen turvallisuusluokittelun suositus on sovittu laitostyypeittäin, esim.: YVL turvaluokat, höyrykattilan suojaustoiminnot, soodakattilan suojaustoiminnot. Automaatiotoiminnon luokka seuraa prosessin luokkaa (mitä toimintoa automaatio palvelee). Sovellettavia standardeja IEC määrittelee turvallisuuden eheystasot, TET 1-4 (SIL 1-4) automaatiolle, sekä antaa vaatimuksia niille. Standardi DIN V määrittelee 8 vaatimusluokkaa automaatiolle. Vaatimukset ovat standardeissa DIN V VDE 0801 (vastaa IEC 61508) ja DIN V Kattilalaitosstandardi KLTK G10 määrittelee taulukon toimintojen luokittelulle eheystasoihin sekä antaa vaatimuksia kattilasuojalle.

14 Hyväksyttyjä ratkaisuja Eri luokkiin on saatavissa esim. ohjelmoitavia logiikkoja (TLJ), jotka ovat tarkastuslaitosten hyväksymiä. Suomessa vaaditaan kattilasuojalle eheystaso 2, pari konseptia on TTK:n hyväksymiä (Metso Automation, Honeywell) TÜV on hyväksynyt useita logiikkoja COTS (Commercial-off-the-self) eheystasoille 2-3. Eri valmistajia (ks. TÜV:n kotisivut). Hyväksynnät koskevat perusjärjestelmää (laitteisto ja ohjelmisto). Sovellus pitää vielä erikseen hyväksyttää projektin aikana. Esimerkki: Katalyytin sekoituksen automaatioaste TARKASTELUN KOHDE: Katalyytin sekoitus TEHTÄVÄTYYPPI AUTOMAATION ROOLI IHMISEN ROOLI Ennakointi Tynnyrin vaihto Kehotus tynnyrin vaihtamiseen Katalyyttitynnyrin noutaminen ja vaihtaminen tarvittaessa Aloitusvalmius Aloitusehtojen tarkistus Tarkistus valvomosta panosta aloitettaessa Prosessin tilan mittaus Annostellut ainemäärät, pinnat ja Silmämääräinen tarkistus sopivin laitteiden toiminta välein Päätöksenteko Sekoitussekvenssi, sekoitusaika Sekvenssin käynnistyminen Ohjaustoimenpiteet Venttiilit, pumppu ja sekoitin Valvonta Tynnyrin paikallaan olo, pinnat, aineiden Seuranta valvomossa siirtyminen, aikavalvonta Toteutuneen raportointi Käytetty katalyytti ja liuotin, valmis-tieto Kirjanpito käytetyistä katalyyttitynnyreistä Keskeytys, hälytykset ja näytöt Poikkeustilanteiden hallinta Tilanteen selvittäminen TARKASTELUN KOHDE: Prokutamiinitehdas (rajapinta) TEHTÄVÄTYYPPI AUTOMAATION ROOLI IHMISEN ROOLI Ennakointi Tuotannon suunnittelu Raaka-aineiden hankinta Prosessin tilan mittaus Raaka-aineiden ja tuotteiden laatu Päästöt Päätöksenteko Korjaavat toimenpiteet Valvonta Toteutuneen raportointi Poikkeustilanteiden hallinta Päästöt ja onnettomuudet Automaatioaste Varaston valvonta ja kulutuksen raportointi Tietojen tallennus ja esittäminen Säiliöiden pinnat, materiaalitaseet ja kaasuvalvonta Informaation esittäminen keskitetysti Prosessin ohjaus (ks. kuva 5.4) Hälytykset päästöistä Tuotanto- ja panosraportit, raakaaineiden ja hyödykkeiden kulutus, päästöraportti Informaation esittäminen ja prosessin suojaus Tuotantosuunnitelman teko Raaka-aineiden tilaukset Näytteiden otto ja analysointi Valvonta kentällä Päättäminen Toimenpiteet (ks. kuva 5.4) Päästöjen ja toimitusten valvonta Kirjanpito Tilanteen selvittäminen, korjaavat toimenpiteet, tiedottaminen ja henkilösuojelu Luokitteluesimerkki VAAROJEN TUNNISTAMINEN JA ARVIOINTI Kohde: Firma X:n höyrykattilalaitos (tulitorvi-tuliputkikattila, polttoaineena raskas polttoöljy, 15 MW) Tarkasteltava kokonaisuus: Poltto ja höyryn tuotanto Osallistujat: Veikko Vetäjä (puheenjohtaja), Anja Apunen (sihteeri), Taito Tietäväinen, Tuomo Tuumivainen Vaaraa aiheuttava tilanne syyt tapahtumaketju 3. Tulipesätussahdus polttimen sytyttämisen yhteydessä johtuen siitä, että öljyn virtausmäärä on liian suuri. Polttimen yhdyssäädin ei ole minimiliekkiasennossa, esim. rajakatkaisija- tai asennusviasta johtuen. 4. Ulospuhallusputken tai ulospuhallusventtiilin vuoto ulospuhalluksen yhteydessä. Vastaavan tyyppinen vaaratilanne esiintyy kattilavesinäytteenoton yhteydessä. Seuraukset henkilövahingot omaisuusvahingot Henkilövahinkojen todennäköisyys hyvin pieni. Jos henkilövahinkoja syntyy, ne ovat lieviä. Rakenteellisten vaurioiden mahdollisuus (lähinnä polttimelle). Polttimen kiinnityksen heikentyminen. Polttimen irtoaminen hyvin epätodennäköistä. Yksi henkilö vaarassa saada palovammoja (lähinnä käsiin). Palovammat todennäköisesti lieviä, mutta myös vakavat palovammat mahdollisia. Ei omaisuusvahinkoja. Nykyinen varautuminen käyttö ja kunnossapito ohjeistus automaatio- ja suojausjärjestelmät Polttimen kunnossapito, yhdyssäätimen kunto tarkastetaan vuosihuolloissa. Käynnistys tehdään yleensä automaatiojärjestelmän kautta. Ulospuhallusputkiston ja venttiilin kunnon tarkkailu kuukausihuoltojen yhteydessä. Ulospuhalluksen suoritustapa (voimakkaiden lämpöshokkien välttäminen). Luokitus T H O R Analyysin pvm: 15., 18. ja Sivu: 3(7) Toimenpideehdotukset ja kommentit Maalataan lattiaan polttimen etupuolelle merkintä vaarallisesta alueesta. Vastuuhenkilö T. Tuumivainen, aikataulu 07/2000. Selvitetään voidaanko logiikkaan rakentaa suojaus sytytysöljyvirtauksen rajoittamiseksi. T. Tietäväinen, aikataulu 12/ Selvitetään onko ulospuhallukseen liittyvä ohjeistus asianmukainen. Maalataan ulospuhallusputken läheisyyteen varoitus vaaratilanteesta. Vastuuhenkilö T. Tuumivainen, aikataulu 07/2000. T = tapahtuman todennäköisyys (1-5), H = henkilövahinkojen vakavuus (1-5), O = omaisuusvahinkojen vakavuus (1-5), R = vaaratilanteen merkittävyys ( riski ) Seuranta

15 TLJ-riskinvähennyksen periaate Consequence of hazardous event Frequency of hazardous event EUC and the EUC control system C F np EUC risk Risk (R np ) = F np x C F np Safety-related protection system required to achieve the necessary risk reduction Necessary risk reduction ( R) Risk < R t where R t = F t X C Safety integrity of safety-related protection system matched to the necessary risk reduction F p Tolerable risk target Riskiparametrikuvauksia Parametri Kuvaus Seuraus C Vaarasta todennäköisesti seuraava tapaturmien keskimääräinen lukumäärä. Tämä lasketaan keskimääräisellä henkilöluvulla alttiilla alueella, kun alueella oleskellaan ottaen huomioon vaarallisen tapahtuman aiheuttama haavoittuvuus. Oleskelu F Todennäköisyys, että alttiilla alueella oleskellaan. Tämä määrätään laskemalla se osa ajasta, jolloin alueella oleskellaan. Vaaran välttämistodennäköisyys P Todennäköisyys, että alttiina olevat henkilöt pystyvät välttämään vaaran, jos TLJ ei toimi vaadittaessa. Tämä riippuu siitä, että on riippumattomia alttiina olevien henkilöiden varoitusmenetelmiä ja käsikäyttöisiä menetelmiä vaaran estämiseen tai pakomahdollisuuksia. Vaadetaajuus W Vaarallisen tapahtuman lukumäärä vuodessa, jos ei ole TLJ:tä. Tämä voidaan määrittää huomioimalla kaikki vikaantumiset, jotka voivat johtaa ko. vaaraan ja laskemalla niiden esiintymisen kokonaistaajuus. Lähde: IEC Riskin vähennysestimaatin aloituskohta Yleinen kaavio (käytännön toteutuksissa voi riskigraafi olla ko. sovelluksille spesifinen) IEC 61508, riskigraafi C A C B C C C D F A F B FA F B FA F B PA PB PA PB PA PB PA PB X 1 X 2 X 3 X 4 X 5 X 6 W 3 W 2 W 1 a a a 3 4 b Yleisen riskigraafin esimerkkikalibrointi C = Seuraus F = Oleskelun taajuus ja alttiinaolon aika P = Vaaran välttämistodennäköisyys W = Ei-toivotun tapahtuman todennäköisyys --- = Ei turvallisuusvaatimuksia a = Ei erityisiä turvallisuusvaatimuksia b = Yksittäinen TLJ ei ole riittävä 1, 2, 3, 4 =Turvallisuuden eheydeyden taso Lähde: IEC 61508

16 Eheystasoista Kriittiset toiminnot Riskianalyysi tunnistaa vaaratekijät ja kriittiset toiminnot: asiakkaan valmisteelle, järjestelmän käyttäjille, liiketaloudelle, ympäristölle. Kriittiset toiminnot periytyvät suunnitteluun, toteutukseen, testaukseen, kelpoistukseen. Eheystasomenettelyn hyödyntäminen - taustaa Turvallisuuden eheystason (TET) käsite on monissa standardeissa. suunnittelua ja arviointia helpottava menettelytapa, josta hyötyvät sekä järjestelmän hankkijat että valmistajat TET ilmaisee miten toimintavarma ja/tai käyttövarma järjestelmä ja toiminto on. TET:in perusteella valitaan myös tasolle sopivat suunnittelu- ja arviointimenetelmät TET:in perusteella asiakas osaa päätyä sopivaan järjestelmään M V M V Kriittisyyden periytyminen = Merkittävyys = Vaativuus Prosessikohde Hallintatehtävä Automaatiotoiminto Osajärjestelmä M V Piirteet M V Käyttökokemukset Monimutkaisuus M V Automaatiotuotteet Kokoonpano Toimintaympäristö

17 Standardeja ja ohjeita (1) IEC 61508, Functional safety of electrical/electronic, programmable electronic safety related systemsosat 1-7 IEC 880 Software for computers in the safety systems of nuclear power plants KLTK:n suojeluohje G10 Soodakattilayhdistys: Suositus turvaautomaatiolle (tekeillä) Suomen automaatioseura ry: Laatu automaatiossa parhaat käytännöt Standardeja ja ohjeita (3) ISO 9000 Quality management and assurance standards ISO (Ohjelmistot) Software standardit: IEEE 934, 982, 983, 1008, 1012, 1016, 1028, 1042, 1058, 1059, 1061, 1074, 1228 IEC (1992), Programmable controllers Draft: IEC (standardin sovellusstandardi prosessiteollisuuteen) Standardeja ja ohjeita (2) TTK: Ohjelmoitavien turvallisuuteen liittyvien ohjausjärjestelmien arviointiohjeet. TTKsuositus ANSI/ISA (1996), Application of Safety Instrumented Systems for the Process Industries Systems DIN Standardit ja 0801 ANSI/IEEE 830 (1993) Guide for software requirement specifications Standardeja ja ohjeita (4) IEC (2000) Nuclear power plants - Instrumentation and control systems important to safety - general requirements for systems IAEA TRS no.282 (1988), Manual on quality assurance for computer software related to nuclear power plants IAEA TRS no.367 (1994), Software important to safety in nuclear power plants IAEA TRS no.384 (1999), Verification and validation of software related to nuclear power plant instrumentation and control

18 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia Kelpoistaminen Kelpoistus tehdään tietylle eheystasolle. Tarkastuslaitokset ovat apuna. Pohjana ovat standardit ja ohjeet. Kelpoistukseen liittyviä menetelmiä: suunnitteluprosessin laatu testaaminen analyysit käyttökokemukset. Ohjelmiston kelpoistaminen on oma tieteenhaaransa. suunnittelun laatu, luotettavuustekniikan menetelmät, ohjelmistometriikat, testityökalut Kelpoistamisen kohteet Kelpoistamisen organisointi Kelpoistamalla todetaan laite tai järjestelmä soveltuvaksi käyttötarkoitukseensa. Kelpoistuksen kohteena on: perusjärjestelmän laitteisto ja ohjelmisto (esim. COTS), projektissa syntyvä sovellus, Kelpoistuksen kohteena on sekä laitteisto, että ohjelmisto. Kelpoistaminen jakaantuu koko automaation elinkaaren ajalle, oltava mukana esim. projektiaikataulussa. Loppukäyttäjä on vastuussa kelpoistamisesta. Toimittaja tuottaa kelpoistamiseen tarvittavaa tietoa järjestelmästä. Viranomainen tai muut osapuolet voivat käyttää riippumatonta arviointia.

19 Kelpoistamisen vaiheet (1) suunnittelu- ja kehitysprosessin kelpoistaminen: perusjärjestelmän menettelyt sovelluksen menettelyt Kelpoistamisen ajoitus projektissa Perusjärjestelmän suunnitteluprosessi aloitus tilaus asennuslupa käyttölupa Perusjärjestelmän sertifiointi Evidenssi Evidenssi Käyttökokemukset Projektin esisuunnittelu Evidenssi Perussuunnittelu Evidenssi valmistusvaiheen kelpoistaminen: järjestelmän ja laitteiden valmistuksen laadunvalvonta järjestelmätestaus tyyppitestit Suunnittelu Valmistus ja kokoonpano Asennus Käyttöönotto Käyttö Kelpoistaminen jne. Kelpoistussuunnitelma Vaiheet 1...n Kelpoistamisen vaiheet (2) asennusvaiheen kelpoistaminen: vastaanotto asennus laitteistotestaus toiminnallinen ja suorituskyvyn kelpoistaminen: käyttöönotto FAT SAT tuotannonaikaisen kelpoisuuden ylläpito: määräaikaiskokeet ja -tarkastukset Kelpoistussuunnitelman tarkoitus Kelpoistussuunnitelman avulla kuvataan, miten automaatiojärjestelmä osoitetaan käyttötarkoitukseensa sopivaksi ja riittävän luotettavaksi projektin eri vaiheissa. Suunnitelma sisältyy lisensiointimenettelyyn (viranomaishyväksyntä). Laatiminen toteutetaan yhdessä toimittajan kanssa. Voidaan käyttää konsulttia apuna. Valvotaan ja ohjataan korkean luotettavuuden ja laadun syntymistä. Suunnitelma tarkentuu matkan varrella.

20 Kelpoistamisen evidenssi suunnitteluprosessi yleisesti (auditoinnit) ja tuotekohtaisesti (tuotekohtainen dokumentointi) testaukset suunnittelun ja valmistuksen aikaiset testit, tyyppitestit ja käyttöönottotestit. analyysit standardien mukaisuus luotettavuus- ja turvallisuusanalyysit sekä toiminnallinen analyysi käyttökokemukset aikaisemmat kelpoistukset, käyttöprofiili Ohjelmiston kelpoistamisen toteutus Arvioidaan erikseen perusohjelmisto ja sovellus. suunnitteluprosessi ohjelmistotuotteet ohjelmointityökalut Käytetään rinnakkain useita eri menetelmiä. testaukset analyysit käyttökokemukset Hyödynnetään aikaisemmat sertifioinnit. Ohjelmiston kelpoistaminen Kahta eri tyyppiä ohjelmistoa COTS software valmiita yleiskäyttöisiä ohjelmistoja Automaatiojärjestelmät ja ohjelmoitavat logiikat systeemiohjelmisto ja konfiguroitavat toimilohkomodulit Standardien IEC ja IEC lähestymistavat ovat samankaltaisia eivätkä täysin sovellu nykyisille järjestelmille. Syynä on erot perusohjelmiston ja sovellusohjelmiston suunnitteluprosesseissa (esim. työkalut, kirjastomodulit). Ohjelmiston laatu aikaisemmat kokemukset samanlaisesta ohjelmistosta tuotekohtainen arviointi suunnitteluprosessin arviointi resurssit

21 Staattiset analyysit Arvioidaan ohjelmistoa ilman sen suorittamista. Koodin tarkastukset esim. tiimityönä staattiset analysaattorit ohjelmistometriikat suunnittelu- ja toteutusprosessin arviointimenetelmät Dynaamisesta testauksesta testauksen tyypit Black box testaus testataan vaatimusten toteutumista ohjelmiston toteutus on monimutkaisempi White box testaus testataan ohjelmistototeutusta (käskyjä, polkuja) kattavuus parempi, kuin black box testissä testausmetriikat monimutkaisuus, testien kattavuus, valmiusaste vikautumisväli (MTTF), vikataajuus, kumulatiivinen vikaprofiili Dynaaminen testaus Suoritetaan ohjelmaa ja verrataan haluttuun lopputulokseen. testauksen vaiheet oleellista perusjärjestelmän kehityksen aikana Sovelluksen testaukseen projektin aikana on rajoitetusti aikaa. Testien suunnittelu ja dokumentointi on tärkeää. Tilastollinen testaus Tilastollinen testaus on satunnaistestauksen erikoistapaus. Käytetään satunnaista testitapausjoukkoa. Testitapauksissa otetaan huomioon järjestelmän sisäänmenojen todennäköisyysjakauma. vaiheet: testitapausten generointi testausprosessi luotettavuuden analysointi testitulosten pohjalta

22 Testien suunnittelu testisuunnitelma yhteys kelpoistussuunnitelmaan organisointi ja vastuut aikataulu testattavat piirteet testitapaukset testien kuvaus ja proseduurit ympäristö ja mittalaitteet testispesifikaatio testivaatimukset ja kriteerit Käyttökokemukset periaatteessa paras mahdollinen evidenssi ohjelmiston ja järjestelmän luotettavuudesta heijastaa järjestelmän käyttäytymistä paremmin, kuin testaaminen tarkkaa informaatiota järjestelmistä ja tapahtumista on vaikea saada ohjelmistoversiot ovat ongelmana Käyttökokemukset saatava pitkältä ajalta vähintään yhtä vaativasta ympäristöstä kuin lopullinen asennusympäristö. Luotettavuus riippuu ohjelmoitavan järjestelmän käyttöprofiilista ja sisäisestä tilasta. Testien raportointi testien raportointi testipöytäkirjat tapahtumakuvaus muutostarpeet tehdyt muutokset vaikutus testisuunnitelmaan hyväksynnät yhteenvetoraportti tulosten yhteenveto poikkeamat turvallisuusarviointi toimenpiteet hyväksynnät Evidenssien yhdistäminen Päätöksenteko ohjelmoitavan järjestelmän luotettavuudesta perustuu erilaisten evidenssien yhdistämiseen ja painotukseen. Nykyisin ongelmasta yritetty selvitä Bayesin verkkojen avulla (Bayes Belief Networks, BBN). Painokertoimien ja todennäköisyyksien määritys vaatii laajaa kokemusta. Työkaluilla voidaan organisoida evidenssiä, mutta niillä ei voi hankkia sitä.

23 Bayes Belief Networks,, BBN Graafinen malli todennäköisyyspohjaisten muuttujien riippuvuuksista. Voidaan päivittää, kun uutta evidenssiä ilmaantuu. Voidaan yhdistää kvalitatiivista ja kvantitatiivista evidenssiä sekä asiantuntija-arvioita. Voidaan yhdistää ennusteita (prior probability) ja laskettuja arvoja (posterior probability). Herkkyystarkastelut, missä luotettavuutta kannattaa parantaa. Pienetkin verkot ovat työläitä. Verkkoja muodostetaan HUGIN - työkalulla. P(X) X P(Y/X) Y P(V/Y) V P(Z/X) Z P(W/Z) W Kelpoistamisen yhteenveto (2): Sovelluksen kelpoistaminen Kelpoistaminen tehdään projektin aikana katselmukset ja laatuauditoinnit projektin vaiheiden todentaminen (verifiointi ja validointi) suunnittelusäännöt ja -menetelmät riippumattomat arvioinnit suunnittelukatselmukset testaus tehtaalla ja laitospaikalla (FAT, SAT) asennusten tarkastukset muutosmenettelyt analyysit (laitteisto, ohjelmisto, luotettavuus, standardit) kelpoistuksen tulosaineiston hyväksyntä Kelpoistamisen yhteenveto (1): Perusjärjestelmän kelpoistaminen Kelpoistaminen tehdään etukäteen tietylle turvallisuustasolle (esim.tet2-4) suunnitteluprosessin laatu yleisesti tuotekohtaiset suunnittelusäännöt ja -menetelmät suunnittelutyökalut riippumattomat arvioinnit testit ja tarkastukset (moduulitestit, integrointitestit ym.) analyysit (laitteisto, ohjelmisto, luotettavuus, standardit) käyttökokemukset Tekijänoikeudet Tämä aineisto on kaikkien vapaasti käytettävissä opetustarkoituksiin.tekijät toivovat materiaalia käytettäessä noudatettavan hyvää viittaustapaa. Jos materiaaliin tehdään muutoksia, ei ole suotavaa käyttää ALARP-logoa. Aineistossa esitetyt tulkinnat ovat tekijöiden omia näkemyksiä, ellei toisin ole mainittu. Tekijät eivät vastaa aineiston käytöstä mahdollisesti aiheutuvista vahingoista. Palaute Otamme mielellämme vastaan palautetta tästä materiaalista. Kysymyksiin vastaavat Anna-Mari Heikkilä ja Yngve Malmén. VTT Tuotteet ja tuotanto, Tampere Anna-Mari.Heikkila@vtt.fi Yngve.Malmen@vtt.fi Kiitos!