Turvallisuus prosessien suunnittelussa ja käyttöönotossa

Samankaltaiset tiedostot
Turvallisuus prosessien suunnittelussa ja käyttöönotossa

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa

Riskin arviointi. Peruskäsitteet- ja periaatteet. Standardissa IEC esitetyt menetelmät

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa

Teollisuusautomaation standardit. Osio 5:

KONEAUTOMAATION LAATU JA TURVALLISUUS Marko Varpunen

Teemat. Vaativien säätösovellusten käyttövarmuus automaation elinkaarimallin näkökulmasta Tampere. Vaativat säätösovellukset

Toiminnallinen turvallisuus

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. 1. Luennon aiheesta yleistä 2. Putkisto- ja instrumentointikaavio 3. Poikkeamatarkastelu

Teollisuusautomaation standardit. Osio 2:

Teollisuusautomaation standardit. Osio 3:

NESTE ENGINEERING SOLUTIONS

Copyright by Haikala. Ohjelmistotuotannon osa-alueet

ABB Drives and Controls, Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

Mika Kaijanen. Special Adviser /Automation Tel GSM mika.kaijanen@poyry.fi

Turvallisuusseminaari Silja-Line

Ohjelmiston testaus ja laatu. Ohjelmistotekniikka elinkaarimallit

Standardi IEC Ohjelmisto

Ohjelmistotuotanto vs. muut insinööritieteet. (Usein näennäinen) luotettavuus ja edullisuus

ida IEC61508 turvastandardi ja sen merkitys prosessiteollisuudelle Dr. William M. Goble exida Sellersville, PA USA

VTT EXPERT SERVICES OY VTT EXPERT SERVICES LTD.

ASAF seminaari Vaatimusten hallinta turvallisuuteen liittyvän järjestelmän suunnittelussa Tapio Nordbo / Enprima Oy.

Turvallisuus prosessien suunnittelussa ja käyttöönotossa

Turvallisuus prosessien suunnittelussa ja käyttöönotossa. Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa

Teollisuusautomaation standardit. Osio 6:

Ohjelmistotekniikka - Luento 2

Esimerkki Metson ESD-ventiilidiagnostiikasta (osaiskutesti)

Ohjelmistotekniikka - Luento 2 Jouni Lappalainen

Standardit IEC (perustandardi) ja IEC (prosessit)

ISO 9001:2015 JÄRJESTELMÄ- JA PROSESSIAUDITOIN- NIN KYSYMYKSIÄ

TOIMINNALLINEN MÄÄRITTELY MS

Toimilohkojen turvallisuus tulevaisuudessa

Vaaran ja riskin arviointi. Toimintojen allokointi ja SIL määritys. IEC osa 1 kohta 7.4 ja 7.6. Tapio Nordbo Enprima Oy 9/2004

LCP päästöjen valvonta miksi sitä tarvitaan?

IEC osa 4, ed. 2

STUK:n vaatimukset automaation suunnittelulle ja toteutukselle

Tietojärjestelmän osat

Ydinvoimalaitosten automaatio

Onnistunut Vaatimuspohjainen Testaus

Merlin Systems Oy. Kommunikaatiokartoitus päätöksenteon pohjaksi. Riku Pyrrö, Merlin Systems Oy

Standardisointikatsaus

Johdantoluento. Ohjelmien ylläpito

PAINELAITTEEN OSTAJAN MUISTILISTA

OS AUTOMATION OY. 7DYRLWH

ISO Standardisarja Eräitä ulottuvuuksia Kari Komonen

Pöytäkirja 1 1(6) Sisäinen NESTE OIL, PORVOON TUOTANTOLAITOKSET TURVALLISUUDEN EHEYSTASOMÄÄRITYS. Aika. Paikka. Läsnä. Jakelu.

Ohjelmointitekniikka lyhyesti Survival Kit 1 Evtek KA ELINKAARIMALLEISTA

Tässä tiivistelmässä standardi tarkoittaa standardia SFS-EN

Ohjelmistoarkkitehtuuriin vaikuttavia tekijöitä. Kari Suihkonen

Jatkuvatoiminen monitorointi vs. vuosittainen näytteenotto

Projektin suunnittelu

ITK130 Ohjelmistojen luonne

Laitteiden ja järjestelmien kelpoistaminen ydinvoimarakentamisessa

Testausdokumentti. Kivireki. Helsinki Ohjelmistotuotantoprojekti HELSINGIN YLIOPISTO Tietojenkäsittelytieteen laitos

PERINTEISEN JA YDINVOIMALAITOSAUTOMAATIO EROJA ASAF teemapäivä 3 - ydinvoimalaitosautomaatio

Teollisuusautomaation standardit. Osio 4:

Layer of Protection Analysis (LOPA)

Tarjouspyyntö ja tarjouksen tekeminen

Ohjelmistojen suunnittelu

Lehtori, DI Yrjö Muilu, Centria AMK Ydinosaajat Suurhankkeiden osaamisverkosto Pohjois-Suomessa S20136

Standardin IEC testaustekniikoista. V-malli vai ketterämpi prosessi?

Potilasturvallisuuden johtaminen ja auditointi

Ohjelmistoprosessit ja ohjelmistojen laatu Kevät Ohjelmistoprosessit ja ohjelmistojen laatu. Projektinhallinnan laadunvarmistus

2. päivä. Etätehtävien purku Poikkeamat. Poikkeamat Auditoinnin raportointi Hyvän auditoijan ominaisuudet Harjoituksia

Prosessiautomaatiota LabVIEW lla NI Days NI Days LabVIEW DCS 1

Testauksen hallinta Testaustyökalut Luento 7 Antti-Pekka Tuovinen

LCS Elinkaaripalvelut Luotettavuuden ja tuottavuuden parantaminen. April, 2017

Kunnossapitopäällikön tekemä ensimmäisen vaiheen auditointi

Toiminnallisen turvallisuuden arviointi

Älykkään vesihuollon järjestelmät

Käytettävyysanalyysi

Turvallisuus koneautomaatiossa

Takki. Lisää ot sik k o osoit t am alla. Nyt se sopii, tai sitten ei. Jussi Vänskä Espotel Oy. vierailuluentosarja OTM kurssi

IEC Sähköisten/eletronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus

PFD laskennan taustoja

Peter Huggare, ABB Oy, Power Generation, Pohjois-Suomen koulutusverkosto Vierailu

Riippumattomat arviointilaitokset

SYSTEMAATTINEN RISKIANALYYSI YRITYKSEN TOIMINTAVARMUUDEN KEHITTÄMISEKSI

Uudistuneet YVL-ohjeet

PROJEKTI- HALLINNAN KÄSIKIRJA

YVL E.7, YDINLAITOKSEN SÄHKÖ- JA AUTOMAATIOLAIT- TEET, LUONNOS L2

Teknisten järjestelmien riskin arviointi teemapäivä Turvallisuusjaos (ASAF) / STUK. Sovellusesimerkkejä / KATTILALAITOKSET

Teollisuusautomaation standardit Osio 9

Anlix Engineering & Innovation Electricity & Fire Safety

Testaaminen ohjelmiston kehitysprosessin aikana

Turva-automaation suunnittelu

Esimerkki Metson ESDventtiilidiagnostiikasta. (osaiskutesti) SAS Turvajaoston teemapäivä Jari Kirmanen

POHJOIS-KARJALAN AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma. Mikael Partanen VAATIMUSMÄÄRITTELYT

Onnistunut SAP-projekti laadunvarmistuksen keinoin

Lyhyt yhteenveto ohjelmistovaatimuksista standardissa ISO

Prosessiautomaatiota LabVIEW lla NI Days NI Days LabVIEW DCS 1

Simulation and modeling for quality and reliability (valmiin työn esittely) Aleksi Seppänen

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Varavoimakoneiden hyödyntäminen taajuusohjattuna häiriöreservinä ja säätösähkömarkkinoilla

Suunnitteluvaihe prosessissa

TARKASTUSMENETTELYLLÄ SAVUNPOISTO HALLINTAAN. 10_12_2009_Timo Salmi

Mikko Hollmén Kiinteistöjohtaja, PSSHP Sairaalatekniikan päivät

LAATU, LAADUNVARMISTUS JA f RISKIEN HALLINTA JOUNI HUOTARI ESA SALMIKANGAS PÄIVITETTY

Vaatimustenhallinta. Exit

Standardit tietoturvan arviointimenetelmät

Transkriptio:

Turvallisuus prosessien suunnittelussa ja käyttöönotossa Moduuli 2 Turvallisuus prosessilaitoksen suunnittelussa 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia Moduuli 2: Turvallisuus prosessilaitoksen suunnittelussa Turvallisuuteen liittyvä automaatio Luento 9 Haasteita turvallisuusautomaatiolle nykyisten järjestelmien vanheneminen uusien järjestelmien monikerroksisuus uusien järjestelmien hajautus/integrointi uusien järjestelmien elinkaaren hallinta

Nykyisten järjestelmien vanheneminen Uusien järjestelmien hajautus/integrointi toimintavarmuus, laatu huoltovarmuus, varaosien saanti yhteensopivuus uusien järjestelmien kanssa kiinnostavuus, osaaminen turvallisuusvaatimusten kehittyminen riippuvuuksien kasvu yhteensopivuus, rajapinnat yhteisvikaantuminen tiedonsiirron haavoittuvuus Uusien järjestelmien monikerroksisuus perusjärjestelmä ja sovellus luotettavuuden osoittaminen monimutkaisuus versiohallinta 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

Uusien järjestelmien elinkaaren hallinta Automaatio osana laitoksen elinkaarta RAKENNUSTEKNIIKKA PROSESSITEKNIIKKA AUTOMAATIO HENKILÖSTÖ Esitutkimusprojekti Prosessin esitutkimus Automaation esitutkimus suunnittelutiedon hallinta Esisuunnitteluprojekti Suunnittelupäätös laadunhallinta, dokumentointi muutosten hallinta standardointi Suunnittelu- ja toteutusprojekti Alustava prosessisuunnittelu Investointipäätös Prosessin - toteuttava prosessisuunnittelu - laite- ja laitossuunnittelu - hankinta - toteutus - tekninen kelpoistus - prosessikelpoistus Automaation esisuunnittelu Automaation - perussuunnittelu - suunnittelu - toteutus - asennus - toiminnallinen testaus - tekninen kelpoistus Laitoksen tuotannollinen käyttö Tuotannon aloitus Automaation käyttö ja ylläpito Lähde: Laatu Automaatiossa, parhaat käytännöt. Automaation elinkaarimalli Elinjaksolla (life time) tarkoitetaan tuotteen ajallista jaksoa järjestelmän ideoinnista sen lopulliseen käytöstä poistoon. Elinkaarimalli (life cycle model) on kuvaus, joka sisältää tuotteelle elinjakson aikana tehtävät, toimenpiteet, dokumentit, etapit ja niiden väliset riippuvuudet. Tyypillisiä vaiheita automaatiolle ovat määrittely, suunnittelu, toteutus, asennus, käyttöönotto, tuotanto ja käytöstä poisto Elinkaarimalliin sisällytetään myös tuotteeseen kohdistuvat laadunvalvonnan toimenpiteet kuten katselmukset, tarkastukset, testit, verifiointi, validointi ja kelpoistus. ETAPIT Testausten arviointi Lopullinen kelpoistussuunnitelma Suunnittelupäätös Sopimus Toteutuslupa Toteutuskatselmukset Toimitushyväksyntä Mekaaninen valmius Luovutus Käyttöönotto Tuote- ja prosessikehitys 1 MÄÄRITTELY - esisuunnittelu - perussuunnittelu 2 SUUNNITTELU - ohjelmiston ja laitteiston arkkitehtuuri - toteutuksen yksityiskohdat Elinkaarimalli VAIHEET TULOKSET LAATUTOIMET Tarve automaatiolle Esitutkimus 3 TOTEUTUS - ohjelmointi ja valmistus - moduuuli-, integrointija tehdastestit (FAT) 4 ASENNUS - toimitus ja asennus - asennustarkastukset - laitteistotestaus 5 TOIMINNALLINEN TESTAUS - kylmätestaus - kuumatestaus 6 KELPOISTUS - automaatio - prosessi 7 TUOTANTO - ylläpito - muutokset Purkaminen Käyttäjävaatimukset Toiminnallinen kuvaus Sopimukset TLJ-projekti Ohjelmisto- ja moduulikuvaukset Laitekuvaukset Testaussuunnitelmat Sovellusohjelmat Laitteet Testausraportit Testausraportit Lopulliset (as-built) kuvat Testausraportit Testausarvio Kelpoistusraportit Pöytäkirjat Muutosehdotukset Tarkastusraportit Laatupolitiikka Laatujärjestelmä Määrittelykatselmukset Kelpoistussuunnitelma Toimittajien auditointi Suunnittelukatselmukset Tarkastukset Tarkastukset Tarkastukset Uudelleen kelpoistukset Lähde: Laatu Automaatiossa, parhaat käytännöt.

Vaatimusten Elinkaarimallin käsitteitä Laitossuunnittelun spiraalimalli Laatutavoitteet, -politiikka Prosessi Käyttäjät määrittely Käyttäjävaatimukset Laadunvarmistus Asiakas Toimittaja Riippumaton taho Laadunvarmistussuunnitelma Prosessit Prosessijärjestelmä ja toimintaympäristö Asiakas Toimintojen määrittely Toimittaja Asiakas Toiminnallinen kuvaus Toteutuskuvaukset Järjestelmän suunnittelu Toimittaja Dokumentit Etapit Tuotteet Aineiston määrä ja konkreettisuus kasvavat Kriittisten kohteiden toteutettavuus Toteuttaminen Muutosehdotukset Hyväksytty suunnittelukatselmus Suunnitteluvaihe Määrittelyvaihe Asennusvalmis Toimittaja automaatiojärjestelmä Hyväksytyt tehdastestit Toteutusvaihe Aika Hyväksytty suunnittelukatselmus Hankinnat Projektisuunnittelu Suunnitteluvaiheet (kierrokset) Automaatio Organisaatio Lähde: Laatu Automaatiossa, parhaat käytännöt. Lähde: Prosessin hallinta - automaation tehtäväkuvaus, 1992. TODENTAMINEN Todentaminen ja kelpoistaminen Mahdollisuudet Vaatimukset Toiminta Toteutus Testaus Tarpeet KELPOISTAMINEN Lähde: Laatu Automaatiossa, parhaat käytännöt. Riskitason määrittely Riskitarkasteluilla kartoitetaan ja tunnistetaan riskit. Erilaisia näkökulmia taloudelliset arvot turvallisuusarvot ympäristöarvot Riskitarkasteluilla voidaan määritellä kussakin tapauksessa kyseeseen tuleva sallittu riskitaso. Vaatimustaso voidaan määritellä kvalitatiivisesti tai kvantitatiivisesti.

Sallitun riskitason saavuttaminen Sallittuun riskitasoon pyritään käyttämällä riskinvähennyskeinoja esim: prosessisuunnittelu perusautomaation toiminnot säädöt, hälytykset, manuaaliset toiminnot rajoitukset ja lukitukset turvatoiminnot mekaaniset suojat häiriö- ja hätätilanneohjeet Luotettavuusanalyyseja käytetään osoittamaan sallitun riskitason saavuttaminen Suojautumistasot onnettomuuksien varalle Kunnalliset pelastussuunnitelmat Laitoksen turvallisuussuunnitelmat Rakenteellinen suojaus (suoja-altaat, ojitukset) Rakenteellinen suojaus (mekaanisesti toimivat) Autom aattiset turvalukitukset (suo jaukset) Kunnalliset väestönsuojelusuunnitelm at Kriittiset hälytykset, kriittisten toimintojen valvonta, manuaalinen ohjaus Prosessin ohjaus, hälytykset ja valvonta Prosessisuunnittelu Riskin suuruuden arviointi Riskien hallinnan vaiheet Kohteen määrittely PROSESSIN RISKIT ILMAN RISKIN VÄHENNYSTÄ - TALOUDELLISET MENETYKSET - HENKILÖVAHINGOT - YMPÄRISTÖVAHINGOT Vaarojen tunnistaminen ARVIOINNIN KOHTEET: 1. SUUNNITTE- LUPROSESSI 2. TEKNISET RATKAISUT 3. TESTAUS JA YLLÄPITO RISKIN VÄHENNYS PROSESSISUUNNITTELUN AVULLA RISKIN VÄHENNYS PERUSAUTOMAATION TOIMINNOILLA: OHJAUKSET, SÄÄDÖT RISKIN VÄHENNYS KRIITTISTEN HÄLYTYSTEN JA VALVONNAN AVULLA: MANUAALISET TOIMENPITEET RISKIN VÄHENNYS PERUSAUTOMAATION TOIMINNOILLA: OHJAUKSET, SÄÄDÖT Parannusehdotukset Seurausten arviointi Onnettomuuksien mallintaminen Todennäköisyyksien arviointi RISKIN VÄHENNYS ULKOISILLA KEINOILLA: FYYSISET JA MEKAANISET SUOJAT, HÄTÄTILANNEOHJEET, YM. Kokonaisriskin arviointi Riskien hallinta

Luotettavuusanalyysit Luotettavuusanalyyseilla pyritään myös osoittamaan sallitun riskitason saavuttaminen. Kvalitatiiviset analyysit ja mallien laadinta tuovat järjestelmien arviointiin suunnittelulle rinnakkaisen näkökulman, joka auttaa tunnistamaan järjestelmien heikkoja kohtia ja tuottamaan parannusehdotuksia. Esimerkiksi kvantitatiivista vikapuuanalyysia, joka edellyttää tietoja vikataajuuksista, voidaan käyttää tapahtumien todennäköisyyksien laskentaan. Syntyneet luotettavuusvaatimukset pitäisi voida ilmaista esim. järjestelmää koskevina suunnittelusääntöinä. Fault in sending the signal A Vikapuuesimerkki Missing start-up signal for diesel generator >= 1 Fault in tra nsmission of the signal Broken conductor Fault in circuit B1 Faulty reception of the signal Fault in control module & Fa ile d a utoma tic sta rt-up of emergency generator Fault in circuit B2 >= 1 Missing fue l Blocke d intake Fault in diesel generator >= 1 B >= 1 Mechanical fault in diesel generator C No fuel Vikapuu FMEA:n kirjauslomake esim. FMEA FOR DIGITAL SAFETY FUNCTIONS VTT PROJECT: reliability analysis of a safety automation system Inspected by: JÄRJESTELMÄVIKA Approved by: JA ITEM FUNCTION FT.Ref FAILURE MODE FAILURE CAUSE EFFECT OF FAILURE COMPENSATION REMARKS, SAFETY FUNCTION OF FAILURE etc. Hardware/power Software/signal Hardware/power Software/signal KANAVA 3 VIALLA KANAVA 1 VIALLA KANAVA 2 VIALLA TAI EI LÄHTÖSIGNAALIA KORTILTA 1 EI LÄHTÖSIGNAALIA KORTILTA 2 Lähde: VTT Symposium 147, 1995.

Luotettavuusanalyysin tulokset malli suojaussignaalin ja vikapuutapahtumien välisistä kytkennöistä auttaa ymmärtämään järjestelmän vikaantumismekanismeja toimintatodennäköisyys turvatoimille eri ratkaisujen vertailut testivälin määrittäminen järjestelmän vikaantumistavat, -syyt ja seuraukset hyvä evidenssi eheystasosta osa suojausjärjestelmän hyväksymiskäytäntöä 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia Ohjausjärjestelmien vikajakauma Automaatioprojektin alkupään tehtäviä ja tiedonvaihtoa (1) Muutokset käytön aikana 20 % Käyttö ja huolto 15 % Asennus ja koestus 6 % Suunnittelu ja toteutus 15 % Määrittely 44 % ESI- SUUNNITTELU PERUS- SUUNNITTELU ASIAKAS Prosessikuvaus Haastattelut Automaatioaste Käyttäjävaatimukset Kustannukset (ja hyödyt) Projektisuunnittelu Investointipäätös Toimintojen määrittely Hankinnan valmistelu Tarjousvertailu ja toimittajan valinta Toimitusvalvonta keskustelut budjettikysely budjettitarjous tarjouspyyntö neuvottelut sopimus ajotapakeskustelut tarjous TOIMITTAJA Markkinointi Tajouksen laatiminen Projektin perustaminen Järjestelmä- ja toteutussuunnittelu Lähde: Out of control, HSE, Iso-Britannia.

Automaatioprojektin alkupään tehtäviä ja tiedonvaihtoa (2) Esisuunnitteluvaiheessa syntyvät ns. käyttäjävaatimukset. Tallennetaan myös syyt ja tarpeet automaatiohankkeelle. Perussuunnitteluvaiheessa vaatimukset tarkentuvat toiminnalliseksi kuvaukseksi (esim. ohjelmiston suhteen). Vaatimusten jäsentely helpottaa työtä. Sovelluksenn vaatimusmäärittely Määrittelyn hierarkia Järjestelmän 1 vaatimusmäärittely Laitteiston vaatimusmäärittely Perusjärjestelmän vaatimusmäärittely Periaatetason vaatimusmäärittely Ohjelmiston vaatimusmäärittely Laitteiden hankintamäärittelyt Laitteen 2.1 vaatimusmäärittely Ohjelmiston 2.1 vaatimusmäärittely Järjestelmän 2 vaatimusmäärittely Laitteen 2.2 vaatimusmäärittely Eri hierarkiatasoja periaatetason vaatimusmäärittely esim. käyttäjävaatimukset Automaatiolta vaadittavia ominaisuuksia järjestelmien vaatimusmäärittelyt perusjärjestelmän vaatimukset sovelluksen vaatimukset laitteiden vaatimusmäärittelyt hankintamäärittelyt laitteen vaatimusmäärittely ohjelmistojen vaatimusmäärittelyt sovellusohjelmistot perusohjelmistot sulautetut ohjelmistot yhtenäisyys ymmärrettävyys yksikäsitteisyys täydellisyys johdonmukaisuus toteen näytettävyys muutettavuus jäljitettävyys ylläpidettävyys

Sisällön jäsentämisen tärkeys Toiminnalliset vaatimukset näkyvät käyttävälle Yleisissä ja yrityskohtaisissa standardeissa ja ohjeissa on valmiita sapluunoita hankintojen vaatimusmäärittelyn tekemiseksi. Vaatimusmäärittelyn jäsentäminen helpottaa dokumentin tekemistä. Toimintaperiaatteet Laitos ja järjestelmä Prosessikuvaus, ajotavat, hallintaperiaatteet Ohjattavasta prosessista aiheutuvat vaatimukset Vaatimukset toiminnoille Suunnitteluarvot, suorituskyky, kapasiteetti, toimintalogiikka, automaatioaste, ohjaustapa, ohjauspaikka, ym. Muista järjestelmistä aiheutuvat vaatimukset Ympäristö, rakennus, prosessi, Yhteensopivuus, rajapinnat, riippuvuudet, sähkö, automaatio tiedonsiirto, logistiikka, lay-out, ym. Toimintojen luokittelu Kriittisyys, turvaluokitus, eheystaso Automaattinen käynnistys, priorisointi, turvallinen vikaantuminen, ym. Vaatimusmäärittelyn sisältö esimerkki sisällysluetteloksi: johdanto perustelut automaatiohankkeelle automatisoitavan prosessin tai kohteen yleiskuvaus toiminnalliset vaatimukset automaatiolle ei-toiminnalliset vaatimukset automaatiolle suunnittelu- ja valmistusprosessiin liittyvät vaatimukset asennus-, käyttöönotto- ja käyttövaiheeseen liittyvät vaatimukset turvallisuusvaatimukset rajoittavat tekijät Ei-toiminnalliset vaatimukset ovat menettelytapoja Projekti- laatu- ja kelpoistussuunnitelma Määrittelyvaihe Suunnitelmien ja ohjeiden laadinta Toimittajan valvonta Toimittajan toimintaprosessit Viranomaishyväksynnät Aineiston tuottaminen, aikataulutus Suunnittelu- ja toteutusprosessi Laatu, V&V, kelpoistaminen Testit, analyysit, käyttökokemukset Laatu, V&V, kelpoistaminen Käyttövaiheen vaatimukset Ylläpito Toimittajan valinta, tarkastukset, auditoinnit Valvonta, tarkastukset, auditoinnit Standardit ja ohjeet, suunnitteluperiatteet ja säännöt, työkalut, ohjeistus Järjestelmän testaus, luotettavuusanalyysit, tyyppihyväksynnät Koulutus, ohjeistus, tietoturvallisuus

Turvallisuuden kannalta oleellisia asioita (1) kriittiset toiminnot eri käyttötiloissa turvallisuusvaatimukset toiminnoille laitteisto- ja ohjelmistokokoonpano projektisuunnitelma ja laatusuunnitelma kelpoistussuunnitelma kuvaus suunnitteluprosessista, -säännöistä, - menetelmistä ja -työkaluista 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimin- tojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia Turvallisuuden kannalta oleellisia asioita (2) luotettavuusvaatimukset ja -analyysit, muut analyysit testaus- ja tarkastusvaatimukset, itsediagnostiikka tyyppitestit käyttökokemukset ylläpitovaatimukset, käyttöikä Määritelmiä (1) Perus/käyttöautomaatio: normaalit säädöt ja ohjaukset voi aiheuttaa häiriöitä prosessiin ei turvallisuuden eheysvaatimuksia Turvallisuuteen liittyvä automaatio: yleensä suojaukset ja lukitukset estää vaaralliseen tilaan joutumista kohdistuu turvallisuuden eheysvaatimuksia

Määritelmiä (2) Lukituksilla estetään vaaratilanteiden synty /KLTK. Suojauksilla saatetaan laitos vaaratilanteista turvalliseen tilaan /KLTK. Kemianteollisuudessa lukitus määritellään vaihtelevasti. Turvallisuuteen liittyvä järjestelmä (TLJ) vie prosessin turvalliseen tilaan tai pitää sen siinä (turvatoiminnat), saavuttaa yksin tai muiden TLJ:ien kanssa tarpeellisen turvallisuuden eheyden tason. Hierarkiataso Turvallisuuteen liittyvät järjestelmät Käyttöautomaatio Valmistuksen ohjaus Perusautomaatio, prosessin ohjausjärjestelmät Turvallisuuteen liittyvät järjestelmät Vaadittu turvallisuustaso Lähde: Laatu Automaatiossa, parhaat käytännöt. Määritelmiä (3) Toiminnallinen turvallisuus TLJ:n kyky hoitaa tarpeelliset turvatoiminnat ohjattavan prosessin saamiseksi turvalliseen tilaan tai pitämiseksi siinä (toimintojen riittävyys). Turvallisuuden eheys Todennäköisyys sille, että TLJ hoitaa vaadittavat turvatoiminnat tyydyttävästi määritetyissä olosuhteissa ja ajanjaksona (järjestelmän luotettavuus). Turvallisuuden eheystaso Turvallisuuden eheyden mitta. Tasoja on neljä, TET 1...4, joista TET 1 on alin ja TET 4 ylin. Suunnittelusäännöt Suunnittelusäännöt ovat deterministisiä sääntöjä, joita tulee noudattaa tietyissä eheystasoissa tai luokissa. Deterministiset säännöt ovat ennalta määrättyjä suunnitteluperiaatteita, joiden avulla saadaan vikaantumistaajuus pysymään tietyn tason alapuolella. Suunnittelusääntöjä saa mm. standardeista ja ohjeista.

Vikaantumistodennäköisyys Standardi IEC 61508 rinnastaa toisiinsa vikaantumistodennäköisyyden ja eheystason - tämä on vaikeasti osoitettavissa. Vikaantumistodennäköisyys määritellään käyttökokemusten (vikahistorian) perusteella. Yhteisvikaantuminen Riippumattomuus, liittyminen muihin järjestelmiin Riippumattomuuden keinot: Fyysinen erotus Suunnittelusääntöjä turvatoiminnoille (2) Toiminnallinen erotus galvaaninen erotus diversiteetti Ulkoinen (esim. tulipalo) tai sisäinen (esim. ohjelmisto) vika ei saa aiheuttaa kaikkien redundanttisten kanavien toimintojen menettämistä. Muut toiminnot, järjestelmät tai redundanssit eivät vaikuta turvatoimintoa suorittavaan järjestelmään tai redundanssiin. Keino estää vian siirtyminen ja yhteisvikaantuminen. Välimatka tai este Järjestelmien ja laitteiden erotus esim. sähköisesti eri virtapiireihin (esim. rele, erotusmuuntaja) erilainen toteutustapa (esim. ohjelmisto) Suunnittelusääntöjä turvatoiminnoille (1) Suunnittelusääntöjä turvatoiminnoille (3) Toimintojen priorisointi Turvatoiminnon signaalit käynnistävät toiminnon huolimatta muista ohjauksista Yksittäisvikakriteeri Yksittäinen vika järjestelmässä ei saa aiheuttaa sitä,ettei turvatoiminto toteudu Redundanttisuus Järjestelmässä on useampia toisistaan riippumattomia kanavia, jotka toteuttavat saman toiminnon samanaikaisesti Vian siirtyminen Vika ei saa siirtyä järjestelmästä toiseen tai redundanssista toiseen Testattavuus Informaatio operaattorille turvatoimintojen tilasta Operaattorin toimenpiteet Käyttöliittymät, valvomot Automaattinen käynnistys Toimintojen loppuunsaattaminen Järjestelmä on testattavissa käytön aikana Järjestelmän toimintoja voidaan valvoa käytön aikana Operaattorilla on mahdollisuus käynnistää turvatoiminnot Laitoksella on paikka, josta operaattori voi suorittaa tarvittavat toimenpiteet Turvatoiminnot käynnistyvät automaattisesti mittauksista Turvatoimintoja ei voi pysäyttää ennen, kuin ne on suoritettu loppuun (voi olla poikkeuksia)

Suunnittelusääntöjä turvatoiminnoille (4) Automaatioaste Turvallinen vikaantuminen Itsediagnostiikka Mittausten esittäminen Sähkönsyötöt Apuenergia Merkinnät Järjestelmän vikaantuessa se käynnistää turvatoiminnot Järjestelmässä on kattava itsediagnostiikka, joka hälyttää järjestelmän viasta tai laukaisee turvatoiminnot Turvatoimintoja käynnistäviä mittauksia voidaan valvoa Varmennettu sähkönsyöttö Apuenergian kadotessa järjestelmä asettuu laitoksen kannalta turvalliseen tilaan Järjestelmän laitteet on merkitty selkeästi automaation ja ihmisen työnjaon ja yhteistyön määrittely prosessin eri kohteissa Mietitään, mitä prosessiin kuuluvia tehtäviä tehdään ihmisten voimin ja mitkä tehtävät tehdään automaation avulla. Tehdään usein myös kokemusperäisesti esim. mittapisteluettelon laatimisen yhteydessä. Suunnittelusääntöjä turvatoiminnoille (5) Riskin pienentäminen Ylikytkennät Ohjelmistot Järjestelmä suunnitellaan siten, ettei testaamisessa tarvita ylikytkentöjä standardeissa esim. IEC 61508 on esitetty vaatimuksia suunnittelumenetelmille perusohjelmiston kelpoistaminen perustuu suunnitteluprosessin dokumentointiin, erilaisiin testeihin ja analyyseihin sovelluksen kelpoistaminen perustuu projektin aikaiseen suunnittelukäytäntöön verifiointi ja validointikäytäntöihin. ohjelmistotyökalujen kelpoistaminen yleensä standardityökalut Riski on vaarallisen tapahtuman taajuuden ja seurausten vakavuuden funktio, R = f(p, C). Mietitään, minkä luotettavuustason automaatio tarvitaan pienentämään riski sallitulle tasolle, eli vaaratilanteen seuraukset eivät toteudu riittävällä todennäköisyydellä. On olemassa kvalitatiivisia ja kvantitatiivisia menetelmiä, joilla määritetään luotettavuustavoite automaatiotoiminnolle.

Toimintojen luokittelun toteutus Joissakin prosesseissa toimintojen turvallisuusluokittelun suositus on sovittu laitostyypeittäin, esim.: YVL turvaluokat, höyrykattilan suojaustoiminnot, soodakattilan suojaustoiminnot. Automaatiotoiminnon luokka seuraa prosessin luokkaa (mitä toimintoa automaatio palvelee). Sovellettavia standardeja IEC 61508 määrittelee turvallisuuden eheystasot, TET 1-4 (SIL 1-4) automaatiolle, sekä antaa vaatimuksia niille. Standardi DIN V 19250 määrittelee 8 vaatimusluokkaa automaatiolle. Vaatimukset ovat standardeissa DIN V VDE 0801 (vastaa IEC 61508) ja DIN V 19251. Kattilalaitosstandardi KLTK G10 määrittelee taulukon toimintojen luokittelulle eheystasoihin sekä antaa vaatimuksia kattilasuojalle. Toimintojen luokkien määrittely esimerkiksi käyttäen apuna vikapuuanalyysia (esim. psa-mallit). vaatii lähtötietoina laitteiden vikataajuuksia. erilaisten taulukoiden ja graafien avulla kokemusperäisesti. Hyväksyttyjä ratkaisuja Eri luokkiin on saatavissa esim. ohjelmoitavia logiikkoja (TLJ), jotka ovat tarkastuslaitosten hyväksymiä. Suomessa vaaditaan kattilasuojalle eheystaso 2, pari konseptia on TTK:n hyväksymiä (Metso Automation, Honeywell) TÜV on hyväksynyt useita logiikkoja COTS (Commercial-off-the-self) eheystasoille 2-3. Eri valmistajia (ks. TÜV:n kotisivut). Hyväksynnät koskevat perusjärjestelmää (laitteisto ja ohjelmisto). Sovellus pitää vielä erikseen hyväksyttää projektin aikana.

TARKASTELUN KOHDE: Prokutamiinitehdas (rajapinta) TEHTÄVÄTYYPPI AUTOMAATION ROOLI IHMISEN ROOLI Ennakointi Tuotannon suunnittelu Automaatioaste Tuotantosuunnitelman teko To im in to Esimerkki lomakepohjasta P aikalliso hjaus tai käsin Kaukoohjaus, valvomo A utom aattinen käynnistys Järjestelmä Raaka-aineiden hankinta Prosessin tilan mittaus Raaka-aineiden ja tuotteiden laatu Päästöt Päätöksenteko Korjaavat toimenpiteet Valvonta Toteutuneen raportointi Varaston valvonta ja kulutuksen raportointi Tietojen tallennus ja esittäminen Säiliöiden pinnat, materiaalitaseet ja kaasuvalvonta Informaation esittäminen keskitetysti Prosessin ohjaus (ks. kuva 5.4) Hälytykset päästöistä Tuotanto- ja panosraportit, raakaaineiden ja hyödykkeiden kulutus, päästöraportti Raaka-aineiden tilaukset Näytteiden otto ja analysointi Valvonta kentällä Päättäminen Toimenpiteet (ks. kuva 5.4) Päästöjen ja toimitusten valvonta Kirjanpito Poikkeustilanteiden hallinta Päästöt ja onnettomuudet Informaation esittäminen ja prosessin suojaus Tilanteen selvittäminen, korjaavat toimenpiteet, tiedottaminen ja henkilösuojelu Lähde: Prosessin hallinta - automaation tehtäväkuvaus, 1992. Esimerkki: Katalyytin sekoituksen automaatioaste TARKASTELUN KOHDE: Katalyytin sekoitus TEHTÄVÄTYYPPI AUTOMAATION ROOLI IHMISEN ROOLI Ennakointi Tynnyrin vaihto Kehotus tynnyrin vaihtamiseen Katalyyttitynnyrin noutaminen ja vaihtaminen tarvittaessa Aloitusvalmius Aloitusehtojen tarkistus Tarkistus valvomosta panosta aloitettaessa Prosessin tilan mittaus Annostellut ainemäärät, pinnat ja Silmämääräinen tarkistus sopivin laitteiden toiminta välein Päätöksenteko Sekoitussekvenssi, sekoitusaika Sekvenssin käynnistyminen Ohjaustoimenpiteet Venttiilit, pumppu ja sekoitin Valvonta Tynnyrin paikallaan olo, pinnat, aineiden Seuranta valvomossa siirtyminen, aikavalvonta Toteutuneen raportointi Käytetty katalyytti ja liuotin, valmis-tieto Kirjanpito käytetyistä katalyyttitynnyreistä Keskeytys, hälytykset ja näytöt Poikkeustilanteiden hallinta Tilanteen selvittäminen Lähde: Prosessin hallinta - automaation tehtäväkuvaus, 1992. Luokitteluesimerkki VAAROJEN TUNNISTAMINEN JA ARVIOINTI Kohde: Firma X:n höyrykattilalaitos (tulitorvi-tuliputkikattila, polttoaineena raskas polttoöljy, 15 MW) Tarkasteltava kokonaisuus: Poltto ja höyryn tuotanto Osallistujat: Veikko Vetäjä (puheenjohtaja), Anja Apunen (sihteeri), Taito Tietäväinen, Tuomo Tuumivainen Vaaraa aiheuttava tilanne syyt tapahtumaketju 3. Tulipesätussahdus polttimen sytyttämisen yhteydessä johtuen siitä, että öljyn virtausmäärä on liian suuri. Polttimen yhdyssäädin ei ole minimiliekkiasennossa, esim. rajakatkaisija- tai asennusviasta johtuen. 4. Ulospuhallusputken tai ulospuhallusventtiilin vuoto ulospuhalluksen yhteydessä. Vastaavan tyyppinen vaaratilanne esiintyy kattilavesinäytteenoton yhteydessä. Seuraukset henkilövahingot omaisuusvahingot Henkilövahinkojen todennäköisyys hyvin pieni. Jos henkilövahinkoja syntyy, ne ovat lieviä. Rakenteellisten vaurioiden mahdollisuus (lähinnä polttimelle). Polttimen kiinnityksen heikentyminen. Polttimen irtoaminen hyvin epätodennäköistä. Yksi henkilö vaarassa saada palovammoja (lähinnä käsiin). Palovammat todennäköisesti lieviä, mutta myös vakavat palovammat mahdollisia. Ei omaisuusvahinkoja. Nykyinen varautuminen käyttö ja kunnossapito ohjeistus automaatio- ja suojausjärjestelmät Polttimen kunnossapito, yhdyssäätimen kunto tarkastetaan vuosihuolloissa. Käynnistys tehdään yleensä automaatiojärjestelmän kautta. Ulospuhallusputkiston ja venttiilin kunnon tarkkailu kuukausihuoltojen yhteydessä. Ulospuhalluksen suoritustapa (voimakkaiden lämpöshokkien välttäminen). Luokitus T H O R Analyysin pvm: 15., 18. ja 22.6. Sivu: 3(7) Toimenpideehdotukset ja kommentit 2 1 1-2 4-6 Maalataan lattiaan polttimen etupuolelle merkintä vaarallisesta alueesta. Vastuuhenkilö T. Tuumivainen, aikataulu 07/2000. Selvitetään voidaanko logiikkaan rakentaa suojaus sytytysöljyvirtauksen rajoittamiseksi. T. Tietäväinen, aikataulu 12/2000. 2 1-2 Selvitetään onko ulospuhallukseen liittyvä ohjeistus asianmukainen. Maalataan ulospuhallusputken läheisyyteen varoitus vaaratilanteesta. Vastuuhenkilö T. Tuumivainen, aikataulu 07/2000. T = tapahtuman todennäköisyys (1-5), H = henkilövahinkojen vakavuus (1-5), O = omaisuusvahinkojen vakavuus (1-5), R = vaaratilanteen merkittävyys ( riski ) Lähde: Opas kattilalaitoksen vaaran arvioimiseksi, VTT 2000. Seuranta

TLJ-riskinvähennyksen periaate Consequence of hazardous event Frequency of hazardous event EUC and the EUC control system C F np EUC risk Risk (R np ) = F np x C F np Safety-related protection system required to achieve the necessary risk reduction Necessary risk reduction ( R) Risk < R t where R t = F t X C Safety integrity of safety-related protection system matched to the necessary risk reduction F p Lähde: IEC 61508 Tolerable risk target Riskiparametrikuvauksia Parametri Kuvaus Seuraus C Vaarasta todennäköisesti seuraava tapaturmien keskimääräinen lukumäärä. Tämä lasketaan keskimääräisellä henkilöluvulla alttiilla alueella, kun alueella oleskellaan ottaen huomioon vaarallisen tapahtuman aiheuttama haavoittuvuus. Oleskelu F Todennäköisyys, että alttiilla alueella oleskellaan. Tämä määrätään laskemalla se osa ajasta, jolloin alueella oleskellaan. Vaaran välttämistodennäköisyys P Todennäköisyys, että alttiina olevat henkilöt pystyvät välttämään vaaran, jos TLJ ei toimi vaadittaessa. Tämä riippuu siitä, että on riippumattomia alttiina olevien henkilöiden varoitusmenetelmiä ja käsikäyttöisiä menetelmiä vaaran estämiseen tai pakomahdollisuuksia. Vaadetaajuus W Vaarallisen tapahtuman lukumäärä vuodessa, jos ei ole TLJ:tä. Tämä voidaan määrittää huomioimalla kaikki vikaantumiset, jotka voivat johtaa ko. vaaraan ja laskemalla niiden esiintymisen kokonaistaajuus. Lähde: IEC 61508 Riskin vähennysestimaatin aloituskohta Yleinen kaavio (käytännön toteutuksissa voi riskigraafi olla ko. sovelluksille spesifinen) IEC 61508, riskigraafi C A C B C C C D F A F B FA F B F A F B PA PB PA PB PA PB PA PB X1 X 2 X 3 X 4 X 5 X 6 W 3 W 2 W 1 a --- --- 1 a --- 2 1 a 3 4 b 2 3 4 1 2 3 Yleisen riskigraafin esimerkkikalibrointi C = Seuraus F = Oleskelun taajuus ja alttiinaolon aika P = Vaaran välttämistodennäköisyys W = Ei-toivotun tapahtuman todennäköisyys --- = Ei turvallisuusvaatimuksia a = Ei erityisiä turvallisuusvaatimuksia b = Yksittäinen TLJ ei ole riittävä 1, 2, 3, 4 =Turvallisuuden eheydeyden taso Lähde: IEC 61508 Lähde: IEC 61508

Eheystasoista TET-menettelyssä havaitut ongelmat TLJ:n määrittäminen oikealle TET:lle Tapahtuman esiintymistodennäköisyyden arviointi hankalinta. TET:n allokointi ohjelmistolle IEC 61508 esittää, että allokointi TLJ:n tasolta osajärjestelmiin ja ohjelmistoille tapahtuisi todennäköisyyspohjaisesti. TET:n täyttymisen osoittaminen Ohjelmistolle ja systemaattisille virheille pätisi hyviksi todetut suunnittelu-, analyysi- ja testausmenetelmät, ns. deterministinen tapa. Lähde: IEC 61508 Eheystasomenettelyn hyödyntäminen - taustaa Turvallisuuden eheystason (TET) käsite on monissa standardeissa. suunnittelua ja arviointia helpottava menettelytapa, josta hyötyvät sekä järjestelmän hankkijat että valmistajat TET ilmaisee miten toimintavarma ja/tai käyttövarma järjestelmä ja toiminto on. TET:in perusteella valitaan myös tasolle sopivat suunnittelu- ja arviointimenetelmät TET:in perusteella asiakas osaa päätyä sopivaan järjestelmään Kriittiset toiminnot Riskianalyysi tunnistaa vaaratekijät ja kriittiset toiminnot: asiakkaan valmisteelle, järjestelmän käyttäjille, liiketaloudelle, ympäristölle. Kriittiset toiminnot periytyvät suunnitteluun, toteutukseen, testaukseen, kelpoistukseen.

P = pieni K = keskinkertainen S = suuri VAATIVUUS Kriittisyyden määrittelyperiaate P K S MERKITTÄVYYS P 1 2 K S 1 2 2 2 2 2 3 Standardeja ja ohjeita (1) IEC 61508, Functional safety of electrical/electronic, programmable electronic safety related systemsosat 1-7 IEC 880 Software for computers in the safety systems of nuclear power plants KLTK:n suojeluohje G10 Soodakattilayhdistys: Suositus turvaautomaatiolle (tekeillä) Suomen automaatioseura ry: Laatu automaatiossa parhaat käytännöt Lähde: Laatu Automaatiossa, parhaat käytännöt. Kriittisyyden periytyminen Standardeja ja ohjeita (2) M V M V = Merkittävyys = Vaativuus Prosessikohde Hallintatehtävä Automaatiotoiminto Osajärjestelmä M V Piirteet M V Käyttökokemukset Monimutkaisuus M V Automaatiotuotteet Kokoonpano Toimintaympäristö TTK: Ohjelmoitavien turvallisuuteen liittyvien ohjausjärjestelmien arviointiohjeet. TTKsuositus 1-1994 ANSI/ISA 84.02 (1996), Application of Safety Instrumented Systems for the Process Industries Systems DIN Standardit 19250 ja 0801 ANSI/IEEE 830 (1993) Guide for software requirement specifications Lähde: Laatu Automaatiossa, parhaat käytännöt.

Standardeja ja ohjeita (3) ISO 9000 Quality management and assurance standards ISO 9000-3 (Ohjelmistot) Software standardit: IEEE 934, 982, 983, 1008, 1012, 1016, 1028, 1042, 1058, 1059, 1061, 1074, 1228 IEC 61131-1(1992), Programmable controllers Draft: IEC 61511 (standardin 61508 sovellusstandardi prosessiteollisuuteen) 1. Luennon aiheesta yleistä 2. Automaation elinkaarimalli 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia Standardeja ja ohjeita (4) IEC 61513 (2000) Nuclear power plants - Instrumentation and control systems important to safety - general requirements for systems IAEA TRS no.282 (1988), Manual on quality assurance for computer software related to nuclear power plants IAEA TRS no.367 (1994), Software important to safety in nuclear power plants IAEA TRS no.384 (1999), Verification and validation of software related to nuclear power plant instrumentation and control Kelpoistamisen kohteet Kelpoistamalla todetaan laite tai järjestelmä soveltuvaksi käyttötarkoitukseensa. Kelpoistuksen kohteena on: perusjärjestelmän laitteisto ja ohjelmisto (esim. COTS), projektissa syntyvä sovellus, Kelpoistuksen kohteena on sekä laitteisto, että ohjelmisto.

Kelpoistaminen Kelpoistus tehdään tietylle tasolle. Tarkastuslaitokset ovat apuna. Pohjana ovat standardit ja ohjeet. Kelpoistukseen liittyviä menetelmiä: suunnitteluprosessin laatu testaaminen analyysit käyttökokemukset. Ohjelmiston kelpoistaminen on oma tieteenhaaransa. suunnittelun laatu, luotettavuustekniikan menetelmät, ohjelmistometriikat, testityökalut Kelpoistamisen vaiheet (1) suunnittelu- ja kehitysprosessin kelpoistaminen: perusjärjestelmän menettelyt sovelluksen menettelyt valmistusvaiheen kelpoistaminen: järjestelmän ja laitteiden valmistuksen laadunvalvonta järjestelmätestaus tyyppitestit Kelpoistamisen organisointi Kelpoistaminen jakaantuu koko automaation elinkaaren ajalle, oltava mukana projektiaikataulussa. Loppukäyttäjä on vastuussa kelpoistamisesta. Toimittaja tuottaa kelpoistamiseen tarvittavaa tietoa järjestelmästä. Viranomainen tai muut osapuolet voivat käyttää riippumatonta arviointia. Kelpoistamisen vaiheet (2) asennusvaiheen kelpoistaminen: vastaanotto asennus laitteistotestaus toiminnallinen ja suorituskyvyn kelpoistaminen: käyttöönotto FAT SAT tuotannonaikaisen kelpoisuuden ylläpito: määräaikaiskokeet ja -tarkastukset

Kelpoistamisen ajoitus projektissa Kelpoistussuunnitelman rakenne Perusjärjestelmän suunnitteluprosessi aloitus tilaus asennuslupa käyttölupa Perusjärjestelmän sertifiointi Evidenssi Evidenssi Käyttökokemukset Projektin esisuunnittelu Evidenssi Perussuunnittelu Evidenssi Suunnittelu jne. Valmistus ja kokoonpano Asennus Käyttöönotto Käyttö Kelpoistaminen kelpoistuksen yleiskuvaus kelpoistuskohteet ja periaatteet kelpoistuksen vaiheet kelpoistuksen organisointi kelpoistuksen hyväksyntä Kelpoistussuunnitelma Vaiheet 1...n Kelpoistussuunnitelman tarkoitus Kelpoistussuunnitelman avulla kuvataan, miten automaatiojärjestelmä osoitetaan käyttötarkoitukseensa sopivaksi ja riittävän luotettavaksi projektin eri vaiheissa. Suunnitelma sisältyy lisensiointimenettelyyn (viranomaishyväksyntä). Laatiminen toteutetaan yhdessä toimittajan kanssa. Voidaan käyttää konsulttia apuna. Valvotaan ja ohjataan korkean luotettavuuden ja laadun syntymistä. Suunnitelma tarkentuu matkan varrella. Kelpoistamisen evidenssi suunnitteluprosessi yleisesti (auditoinnit) ja tuotekohtaisesti (tuotekohtainen dokumentointi) testaukset suunnittelun ja valmistuksen aikaiset testit, tyyppitestit ja käyttöönottotestit. analyysit standardien mukaisuus luotettavuus- ja turvallisuusanalyysit sekä toiminnallinen analyysi käyttökokemukset aikaisemmat kelpoistukset, käyttöprofiili

Ohjelmiston kelpoistaminen Kahta eri tyyppiä ohjelmistoa COTS software valmiita yleiskäyttöisiä ohjelmistoja Automaatiojärjestelmät ja ohjelmoitavat logiikat systeemiohjelmisto ja konfiguroitavat toimilohkomodulit Standardien IEC 61508 ja IEC 60880 lähestymistavat ovat samankaltaisia eivätkä täysin sovellu nykyisille järjestelmille. Syynä on erot perusohjelmiston ja sovellusohjelmiston suunnitteluprosesseissa (esim. työkalut, kirjastomodulit). Ohjelmiston laatu - Perusohjelmisto aikaisemmat kokemukset samanlaisesta ohjelmistosta tuotekohtainen arviointi prosessin arviointi resurssit Ohjelmiston kelpoistamisen toteutus Arvioidaan erikseen perusohjelmisto ja sovellus. suunnitteluprosessi ohjelmistotuotteet ohjelmointityökalut Käytetään rinnakkain useita eri menetelmiä. testaukset analyysit käyttökokemukset Hyödynnetään aikaisemmat sertifioinnit. Ohjelmiston laatu - Sovellusohjelmisto aikaisemmat kokemukset samanlaisesta ohjelmistosta tuotekohtainen arviointi prosessin arviointi resurssit tilastollinen testaaminen

Staattiset analyysit Testien suunnittelu Arvioidaan ohjelmistoa ilman sen suorittamista. Koodin tarkastukset esim. tiimityönä staattiset analysaattorit ohjelmistometriikat suunnittelu- ja toteutusprosessin arviointimenetelmät testisuunnitelma yhteys kelpoistussuunnitelmaan organisointi ja vastuut aikataulu testattavat piirteet testitapaukset testien kuvaus ja proseduurit ympäristö ja mittalaitteet testispesifikaatio testivaatimukset ja kriteerit Dynaaminen testaus Suoritetaan ohjelmaa ja verrataan haluttuun lopputulokseen. testauksen vaiheet oleellista perusjärjestelmän kehityksen aikana Sovelluksen testaukseen projektin aikana on rajoitetusti aikaa. Testien suunnittelu ja dokumentointi on tärkeää. Testien raportointi testien raportointi testipöytäkirjat tapahtumakuvaus muutostarpeet tehdyt muutokset vaikutus testisuunnitelmaan hyväksynnät yhteenvetoraportti tulosten yhteenveto poikkeamat turvallisuusarviointi toimenpiteet hyväksynnät

Dynaamisesta testauksesta testauksen tyypit Black box testaus testataan vaatimusten toteutumista ohjelmiston toteutus on monimutkaisempi White box testaus testataan ohjelmistototeutusta (käskyjä, polkuja) kattavuus parempi, kuin black box testissä testausmetriikat monimutkaisuus, testien kattavuus, valmiusaste vikautumisväli (MTTF), vikataajuus, kumulatiivinen vikaprofiili Käyttökokemukset periaatteessa paras mahdollinen evidenssi ohjelmiston ja järjestelmän luotettavuudesta heijastaa järjestelmän käyttäytymistä paremmin, kuin testaaminen tarkkaa informaatiota järjestelmistä ja tapahtumista on vaikea saada ohjelmistoversiot ovat ongelmana Käyttökokemukset saatava pitkältä ajalta vähintään yhtä vaativasta ympäristöstä kuin lopullinen asennusympäristö. Luotettavuus riippuu ohjelmoitavan järjestelmän käyttöprofiilista ja sisäisestä tilasta. Tilastollinen testaus Evidenssien yhdistäminen Tilastollinen testaus on satunnaistestauksen erikoistapaus. Käytetään satunnaista testitapausjoukkoa. Testitapauksissa otetaan huomioon järjestelmän sisäänmenojen todennäköisyysjakauma. vaiheet: testitapausten generointi testausprosessi luotettavuuden analysointi testitulosten pohjalta Päätöksenteko ohjelmoitavan järjestelmän luotettavuudesta perustuu erilaisten evidenssien yhdistämiseen ja painotukseen. Nykyisin ongelmasta yritetty selvitä Bayesin verkkojen avulla (Bayes Belief Networks, BBN). Painokertoimien ja todennäköisyyksien määritys vaatii laajaa kokemusta. Työkaluilla voidaan organisoida evidenssiä, mutta niillä ei voi hankkia sitä.

Bayes Belief Networks,, BBN Graafinen malli todennäköisyyspohjaisten muuttujien riippuvuuksista. Voidaan päivittää, kun uutta evidenssiä ilmaantuu. Voidaan yhdistää kvalitatiivista ja kvantitatiivista evidenssiä sekä asiantuntija-arvioita. Voidaan yhdistää ennusteita (prior probability) ja laskettuja arvoja (posterior probability). Herkkyystarkastelut, missä luotettavuutta kannattaa parantaa. Pienetkin verkot ovat työläitä. Verkkoja muodostetaan HUGIN - työkalulla. P(X) X P(Y/X) Y P(V/Y) V P(Z/X) Z P(W/Z) W Kelpoistamisen yhteenveto (2): Sovelluksen kelpoistaminen Kelpoistaminen tehdään projektin aikana katselmukset ja laatuauditoinnit projektin vaiheiden todentaminen (verifiointi ja validointi) suunnittelusäännöt ja -menetelmät riippumattomat arvioinnit suunnittelukatselmukset testaus tehtaalla ja laitospaikalla (FAT, SAT) asennusten tarkastukset muutosmenettelyt analyysit (laitteisto, ohjelmisto, luotettavuus, standardit) kelpoistuksen tulosaineiston hyväksyntä Kelpoistamisen yhteenveto (1): Perusjärjestelmän kelpoistaminen Kelpoistaminen tehdään etukäteen tietylle turvallisuustasolle (esim., TET1-4, TL 2-4) suunnitteluprosessin laatu yleisesti tuotekohtaiset suunnittelusäännöt ja -menetelmät suunnittelutyökalut riippumattomat arvioinnit testit ja tarkastukset (moduulitestit, integrointitestit ym.) analyysit (laitteisto, ohjelmisto, luotettavuus, standardit) käyttökokemukset 1. Luennon aiheesta yleistä 2. Automaation suunnitteluprosessi 3. Automaation vaatimusmäärittely 4. Automaatiotoimintojen luokittelu 5. Automaation kelpoistaminen 6. Esimerkkejä ja harjoituksia

Mitä tapahtui? Mikä meni vikaan? Esimerkkejä Miten se olisi voitu estää? Mikä meni vikaan ja miten se olisi voitu estää? Väärät lähtötiedot suunnittelulle. Paineen kasvaessa seos työntyy ulos varoventtiilin kautta vaatimusmäärittely prosessikuvaus ajotapakeskustelut Säätöpiiri puuttuu, ainoastaan suojaus olemassa defence in depth periaate jäähdytinpiirin suunnittelu uudelleen suojaus ei vie turvalliseen tilaan Esimerkki 1 Esimerkki 2 Reaktorin yläpuolelle on asennettu vesitankki. Jos reaktorin sisältö kuumenee ja reaktio on vaarassa karata, operaattorin on määrä avata kauko-ohjattu venttiili, jotta vesi pääsee virtaamaan maan vetovoiman vaikutuksesta reaktoriin ja jäähdyttää reaktorin sisällön. Reaktori kuitenkin räjähti ja seurannut tulipalo tuhosi yksikön. Varoventtiili Vesi (reaktion pysäyttämistä varten) Kauko-ohjattu venttiili Reaktori An illustrative incident involved a chemical reactor. The programmers were told that if a fault occurred in the plant, they were to leave all controlled variables as they were and to sound an alarm. On one occasion, the computer received a signal telling it that there was a low oil level in a gearbox. The computer reacted as the requirements specified: It sounded an alarm and left the controls as they were. By coincidence, a catalyst had just been added to the reactor, and the computer had just started to increase the coolingwater flow to the reflux condenser. The flow was therefore kept at a low value. The reactor overheated, the relief valve lifted, and the contents of the reactor were discharged into the atmosphere. The operators responded to the alarm by looking for the cause of the low oil level. They established that the level was normal and that the low-level signal was false, but this time the reactor had overheated. Alarm LA Gearbox Catalyst Computer Vapour Reactor Condenser Reflux Vent Cooling water Lähde: Kletz (1983)

Mikä meni vikaan ja miten se olisi voitu estää Virheellinen vaatimusmäärittely turvalukitukset pitää suunnitella oikein suunnittelukatselmukset apuna (suunnittelun todentaminen ja kelpoistaminen) Prosessin ohjaus menetettiin häiriötilanteessa harkitaan suoritetaanko automaattinen toiminto tai hälytys (automaatioaste) Prosessia ei ajettu turvalliseen suuntaan (fail safe) automaattinen alasajo turvalliseen tilaan mietitään turvallinen tila (riskianalyysi) Tekijänoikeudet Tämä aineisto on kaikkien vapaasti käytettävissä opetustarkoituksiin.tekijät toivovat materiaalia käytettäessä noudatettavan hyvää viittaustapaa. Jos materiaaliin tehdään muutoksia, ei ole suotavaa käyttää ALARP-logoa. Aineistossa esitetyt tulkinnat ovat tekijöiden omia näkemyksiä, ellei toisin ole mainittu. Tekijät eivät vastaa aineiston käytöstä mahdollisesti aiheutuvista vahingoista. Palaute Otamme mielellämme vastaan palautetta tästä materiaalista. Kysymyksiin vastaavat Anna-Mari Heikkilä ja Yngve Malmén. VTT Tuotteet ja tuotanto, Tampere Anna-Mari.Heikkila@vtt.fi Yngve.Malmen@vtt.fi Kiitos!

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute