ASAF seminaari 7.10.2004 Vaatimusten hallinta turvallisuuteen liittyvän järjestelmän suunnittelussa Tapio Nordbo / Enprima Oy Toteutussuunnittelu Hierarkinen vaatimusten johtaminen, lähteenä lait, standardit, asiakas speksit, riskianalyysit ja turvallisuussuunnitelma Toiminnallinen vaatimus SW vaatimus HW vaatimus Vaatimusten allokointi kullekin suunn. työlle Testien ja tarkastusten suunnittelu Täyttymisen valvonta Työn tarkastus, FAT, SAT, Assessment Evaluation
Lähde Laki 1 Oltava turvallinen, on turv. jos oleelliset vaatim täytetty, täyttyvät jos standardien mukainen Yhtiön politiikka 2 Sallittu riskikerroin 1/D on 0.33 = yksi kuolema per 30 300 vuotta kun vaadetiheys on 1 vuosi Riskianalyysi ja allokointi 3 Riskin vähennyksen keino on.. Riskianalyysi ja allokointi 4 Riskinvähennys tehdään SIS avulla Riskianalyysi ja allokointi 5 Riskinvähennyksen oltava SIL2 IEC 6 Oltava yhden vian sietoinen Suunnittelijan ratkaisu 7 Käytetään 2oo3 rakennetta IEC 8 Piilevät viat on paljastettava määräaikaiskoestuksella SIL analyysi 9 väli on 2 vuotta tai alle IEC 10 Käytetään vikaturvallista signaalia, vaarallisia vikoja < 50% Suunnittelijan ratkaisu 11 Käännetään ma signaali tarvittaessa IEC 12 Turvallisuus pidettävä kunnossa myös prosessin käyttöjakson aikan Kunossapidon arvio 13 Vikojen toteutskelpoinen korjausaika on 48 h SIL analyysi 14 Tarvittava vikadiagnostiikan kattavuus on 90% Suunnittelijan ratkaisu 15 Mittausten keskinäinen poikkeama hälytetään Kunnossapito hälytys toteutettava laukaisevana SIS järjestelmässä, jos ei viaksietoinen ja jos 16 17 jatkuvan vaateen järjestelmä Ei päde tässä tapauksessa Kunnossapito hälytys voidaan esittää DCS järjestelmässä, jos vaadetiheys on riittävän 18 harva tai on vikasietoinen SIS hälyttää 1oo3 poikkeamat, DCS esittää 19 hälytyksen valvomossa Suunnittelijan ratkaisu 20 Poikkeamat viestialueesta hälytetään Kunnossapito hälytys toteutettava laukaisuna SIS järjestelmässä, jos ei vikasietoinen ja jos IEC, toteutuspapa 21 22 jatkuvan vaateen järjestelmä Ei päde Kunnossapito hälytys voidaan esittää DCS järjestelmässä, jos vaadetiheys on riittävän IEC, toteutuspapa 23 harva tai on vikasietoinen Suunnittelijan ratkaisu 24 Hierarkinen vaatimusten johtaminen SIS hälyttää poikkeamat viestialueesta, DCS esittää hälytyksen valvomossa
Toiminnallinen vaatimus Raketeellisen määrittelyn malli houkuttelee kirjoittamaan tietyllä kaavalla T-1 Poikkeavista ma signaaleista hälytetään Liittyy: Vaatimus 19 ja 24 Mikä/kuka tekee SIS turvalogiikan on, milloin tekee kun ma tulosignaali poikkeeaa 4.. 20 ma alueelta, tai yksikin mittaus poikkeaa kolmen mediaanista yli 10% asetettava päälle mikä on tekemisen kohde DCS järjestelmään menevä ko. yksilöllinen hälytyssignaali tekemisen rajoitukset jokaisen suoritussyklinsä aikana mistä tiedosta lukemalla AI-kortilta tuleva arvo ja vikabitti mihin vaikutetaan ja kirjoittamalla hälytys modbus väylän lähtösignaaliin. Verifiointi ja koestus kuvattu Verifiointi Liittyvät piirit DCS järjestelmä jatkuvasti lukee kunnossapito hälytykset SIS järjestelmästä 200 ms jaksolla käyttäen aikaleimaamatonta modbus protokollaa ja generoiden tarvittaessa prioriteeti 2 hälytyksen päävalvomossa. Toiminto todetaan FATssa kullekin piirille erikseen Toimivuus todennetaan määrävälein simuloimalla signaalia ja lukemalla DCS hälytys LAD10CL001, LAD10CL002, LAD10CL003
SW-vaatimusmäärittely 1 SW-1 Analogiaviestin käsittely valvoo ma alueelta poikkeamat Liittyy: T-1 Mikä/kuka tekee Analogiasignaalin input FB lohko milloin tekee jokaisella toiminta syklillä monitoroi tulevaa ma signaalia mikä on tekemisen kohde ja muodostaa kunnossapitohälytyksen _boolanallinefault tekemisen rajoitukset - mistä tiedosta käyttäen tulokanavan vikabitti tietoa ja muodostaen tulosignaalista 3.8 ma rajavalvonnan ohjelmallisesti mihin vaikutetaan sekä anttaa ulos lähtösignaalinaan ko. tiedon boolanallinefault Verifiointi1 Verifiointi2 Verifiointi3 Koskee fb lohkoja fb-kaavio tarkastetaan ja globaalimuutt.käyttämättömyys varmistetaan Toiminto todetaan Off-Line testillä, blackbox totuustaulukko Toiminto todetaan FATssa On-Line testillä, blackbox totuustaulukko fb lohkoa ei määräaikaiskoesteta, jos fb-lohkoon ei tehdä muutoksia fbanaloginputlinear fbanaloginputsqrt
Littyvät vaatimukset ja liitoksen tyyppi kuvattu SW-2 2oo3 äänestyslohko valvoo ja vertailee ma signaalit Liittyy:T-1, Vaatii SW-1 Mikä/kuka tekee Analogiasignaalien 2oo3 äänestyslohko milloin tekee jokaisella toiminta syklillä monitoroi tulevaa ma signaalia ja valvoo keskinäiset poikkeamat mikä on tekemisen kohde ja muodostaa kunnossapitohälytyksen _booldiagnosticalarm tekemisen rajoitukset kun poikkeama on ollut 60s päällä mistä tiedosta käyttäen fbanaloginput lohkojen Line-monitoring tietoa ja vertailemalla tulokanavia mediaaniarvoon ja hälyttämällä yli 10% (alueesta)poikkeamista. mihin vaikutetaan sekä anttaa ulos lähtösignaalinaan ko.poikkeama tiedon booldiagnosticalarm Verifiointi1 fb-kaavio tarkastetaan ja globaalimuutt.käyttämättömyys varmistetaan Verifiointi2 Toiminto todetaan Off-Line testillä, blackbox totuustaulukko Verifiointi3 Toiminto todetaan FATssa On-Line testillä, blackbox totuustaulukko Koskee fb lohkoja fb lohkoa ei määräaikaiskoesteta, jos fb-lohkoon ei tehdä muutoksia fb2oo3_analoginputlinear fb2oo3_analoginputsqrt
SW-3 Vikabitit on kytketty tulokorteilta ohjelmaan Liittyy:T-1, Vaatii SW-1 ja SW-2 Mikä/kuka tekee Sovellustason ohjelma fbmain milloin tekee joka suoritussyklillä siirtää analogiatulokorttien vikabitit ja tuloarvon mikä on tekemisen kohdeviestien käsittelyn lohkoille tekemisen rajoitukset viiveettä mistä tiedosta käyttäen analogiakortin vikabitti-muuttuujaa mihin vaikutetaan ja kytkien sen viestinkäsittelyn tulosignaaliin boolanalfault Verifiointi1 Verifiointi2 Verifiointi3 Koskee fb lohkoa fb-kaavio tarkastetaan ja globaalimuutt.käyttämättömyys varmistetaan Toiminto todetaan Off-Line testillä, blackbox totuustaulukko Toiminto todetaan FATssa On-Line testillä, blackbox totuustaulukko Toiminto määräaikaiskoestetaan vain jos sovellustasolla on tehty muutos ko. fb lohkossa fbmain
SW-4 Äänestyslohkon täytettävä vikasietoisuusehto tulojen osalta Liittyy:Vaatimus 7 Mikä/kuka tekee Äänestyslohko milloin tekee joka suoritussyklillä antaa laukaisevan signaalin (false) ulos vaikka yhdessä tulossa olisi epäkelpoa vaaralliseen tilaan (ei-laukaisevaan) jäänyttä tietoa jos muut tulot ilmaisevat laukaisua. mikä on tekemisen kohde tekemisen rajoitukset viiveettä mistä tiedosta käyttäen lohkon sisäänmenoon kytkettyjä loogisia arvoja mihin vaikutetaan tulostamalla lohkon lähtöön bool_2oo3_ok Verifiointi1 Verifiointi2 Verifiointi3 Koskee fb lohkoa fb-kaavio tarkastetaan ja globaalimuutt.käyttämättömyys varmistetaan Toiminto todetaan Off-Line testillä, blackbox totuustaulukko Toiminto todetaan FATssa On-Line testillä, blackbox totuustaulukko Toiminto määräaikaiskoestetaan vain jos sovellustasolla on tehty muutos ko. fb lohkossa fb2oo3, fb2oo3_analoginputlinear, fb2oo3_analoginputsqrt
Vaatimusten allokointi Kohde Nro Otsikko fb2oo3_analoginputlinear SW-2 Lohko valvoo ja vertailee tulosignaalt SW-4 Äänestyslohkon täytettävä vikasietoisuusehto tulojen osalta SW-5 Signaalien toimisuunta käännettävissä fb2oo3_analoginputsqrt SW-2 SW-4 SW-5 Lohko valvoo ja vertailee tulosignaalt Äänestyslohkon täytettävä vikasietoisuusehto tulojen osalta Signaalien toimisuunta käännettävissä fb2oo3 SW-4 Äänestyslohkon täytettävä vikasietoisuusehto tulojen osalta fbanaloginputlinear SW-1 Analogiaviestin käsittely valvoo ma alueelta poikkeamat fbanaloginputsqrt SW-1 Analogiaviestin käsittely valvoo ma alueelta poikkeamat fbmain SW-3 Vikabitit on kytketty tulokorteilta ohjelmaan