Ohje YVL E.7, Ydinlaitoksen sähkö- ja automaatiolaitteet (15.11.2013)

Säteilyturvakeskus Perustelumuistio 1 (27) Ohje YVL E.7, Ydinlaitoksen sähkö- ja automaatiolaitteet (15.11.2013) 1 Johdanto Ydinvoimalaitoksen sähköjärjestelmiä ja -laitteita käytetään toisaalta sähkötehon tuottamiseen ja syöttämiseen ulkoiseen voimansiirtoverkkoon sekä toisaalta sähkötehon syöttämiseen laitoksen omille järjestelmille ulkoisista ja sisäisistä teholähteistä. Sähköjärjestelmien ja -laitteiden luotettava toiminta on tärkeää laitoksen turvallisuuden varmistamiseksi sekä onnettomuuksien hallitsemiseksi ja onnettomuuksien seurausten lieventämiseksi. Häiriöt sähkölaitteissa heijastuvat helposti laajalle laitoksen muihin järjestelmiin, koska sähkönjakeluverkko on normaalissa käyttötilanteessa kytkeytynyt syöttöpäässä yhteen haarautuen siitä kaikille sähkönkuluttajille. Ydinlaitoksen automaatiojärjestelmät ja -laitteet muodostavat myös laajan kokonaisuuden, jonka luotettava toiminta vaikuttaa ratkaisevasti laitoksen toimintakykyyn sekä normaalikäytön, että häiriöiden ja onnettomuuksien aikana. Häiriöt automaatiolaitteiden toiminnassa saattavat heijastua laajalle, kuten sähkölaitteidenkin tapauksessa, laitoksen muihin järjestelmiin. Häiriöiden leviämisen estämiseksi ja luotettavan toiminnan takaamiseksi sähkö- ja automaatiolaitteiden sekä kaapeleiden on oltava oikein mitoitettuja sekä korkealaatuisia. Laitteiden riittävää laatutasoa ei usein niiden monimutkaisuuden takia voida, varsinkaan ohjelmistopohjaisissa järjestelmissä, varmistaa ainoastaan testaamalla, vaan valmistus- ja suunnitteluprosessien on oltava laadukkaita. Ohjeessa YVL E.7 esitetään ydinlaitosten sähkö- ja automaatiolaitteita sekä kaapeleita koskevia yksityiskohtaisia turvallisuusvaatimuksia sekä STUKin valvontaan ja tarkastuksiin liittyvät menettelyt. Koska sähkö- ja automaatiojärjestelmiä mm. kelpoistus- ja ylläpitomielessä joudutaan usein käsittelemään laitetasolla, annetaan tässä ohjeessa joiltain osin myös järjestelmätason vaatimuksia, vaikka tämä ohje kohdistuu pääasiassa laitetasolle. YVL ohjeiden lisäksi ydinlaitoksen sähkö- ja automaatiojärjestelmiä, -laitteita sekä kaapeleita koskevat myös Suomessa voimassa olevat sähköturvallisuus- ja koneturvallisuusmääräykset, koska YVL-ohjeet asettavat vaatimuksia vain ydinturvallisuuden osalta. Sähkö- ja koneturvallisuuteen liittyvän lainsäädännön noudattamista ydinlaitoksissa valvovat asianomaiset viranomaiset. 2 Soveltamisala Ohjetta YVL E.7 sovelletaan ydinlaitoksen kaikissa elinkaaren vaiheissa ydinlaitosten sähkö- ja automaatiolaitteisiin sekä kaapeleihin. 3 Vaatimusten perustelut 3.1 Ydinenergialaki (990/1987) Ydinenergialain 63 :n 1 momentin 3 kohdan mukaan Säteilyturvakeskuksella on oikeus vaatia, että ydinpolttoaine tai ydinlaitoksen osiksi tarkoitetut rakenteet tai laitteet valmistetaan säteilyturvakeskuksen hyväksymällä tavalla ja velvoittaa luvanhaltija tai sen hakija järjestämään keskukselle tilaisuus riittävästi tarkkailla polttoaineen tai sellaisten rakenteiden tahi laitteiden valmistusta.

Säteilyturvakeskus Perustelumuistio 2 (27) 3.2 Valtioneuvoston asetus (717/2013) VNa (717/2013) 4 :n toisen momentin mukaisesti Turvallisuustoimintoja toteuttavat sekä niihin liittyvät järjestelmät, rakenteet ja laitteet on suunniteltava, valmistettava ja asennettava sekä niitä on käytettävä siten, että niiden laatutaso ja laatutason todentamiseksi tarvittavat arvioinnit, tarkastukset ja testaukset, mukaan lukien ympäristökelpoisuus, vastaavat kohteen turvallisuusmerkitystä. VNa (717/2013) 5 :n ensimmäisen momentin mukaisesti Ydinvoimalaitoksen suunnittelussa, rakentamisessa, käytössä, kunnonvalvonnassa ja kunnossapidossa on varauduttava turvallisuuden kannalta tärkeiden järjestelmien, rakenteiden ja laitteiden ikääntymiseen sen varmistamiseksi, että ne täyttävät laitoksen käyttöiän ajan suunnittelun perustana olevat vaatimukset tarvittavin turvallisuusmarginaalein. VNa (717/2013) 6 :n ensimmäisen momentin mukaisesti Inhimillisten virheiden välttämiseen, havaitsemiseen ja korjaamiseen on kiinnitettävä erityistä huomiota laitoksen koko elinkaaren ajan. Virheiden mahdollisuus on otettava huomioon ydinvoimalaitoksen ja sen käyttö ja kunnossapitotoiminnan suunnittelussa siten, että inhimilliset virheet ja niiden aiheuttamat poikkeamat laitoksen normaalista toiminnasta eivät vaaranna laitoksen turvallisuutta. Inhimillisistä virheistä aiheutuvien yhteisvikojen mahdollisuutta on pyrittävä pienentämään. Inhimillisten virheiden vaikutuksia on rajoitettava käyttäen toiminnallista syvyyssuuntaista turvallisuusperiaatetta. VNa (717/2013) 12 :n toisen momentin mukaisesti Puolustustasojen on oltava toisistaan niin riippumattomia kuin käytännöllisin toimenpitein on mahdollista saavuttaa. Syvyyspuolustuksen tasoilla on käytettävä huolella tutkittua, testattua ja kokemusperäisesti hyväksi todettua korkealaatuista tekniikkaa. Tarvittavat, tilanteen hallintaan saamiseksi tai säteilyhaittojen ehkäisemiseksi tehtävät toimenpiteet on suunniteltava ennalta. Luvanhaltijan organisaation toimintaa järjestettäessä on varmistettava, että häiriöt ja onnettomuudet ehkäistään luotettavasti ja että henkilökunnan toimintaedellytyksistä mahdollisissa häiriö ja onnettomuustilanteissa huolehditaan tehokkain teknisin ja hallinnollisin. VNa (717/2013) 17 :n ensimmäisen momentin mukaisesti Ydinvoimalaitoksen suunnittelussa on otettava huomioon ulkoiset tapahtumat, jotka voivat uhata turvallisuustoimintoja. Järjestelmät, rakenteet ja laitteet on suunniteltava, sijoitettava ja suojattava siten, että mahdollisiksi arvioitujen ulkoisten tapahtumien vaikutukset laitoksen turvallisuuteen ovat vähäisiä. Järjestelmien, rakenteiden ja laitteiden toimintakyky on osoitettava niiden suunnitteluperusteena olevissa laitoksen ulkoisissa ympäristöolosuhteissa. VNa (717/2013) 18 :n ensimmäisen momentin mukaisesti Ydinvoimalaitoksen suunnittelussa on otettava huomioon sisäiset tapahtumat, jotka voivat uhata turvallisuustoimintoja. Järjestelmät, rakenteet ja laitteet on suunniteltava, sijoitettava ja suojattava siten, että sisäisten tapahtumien todennäköisyydet ovat pieniä ja vaikutukset laitoksen turvallisuuteen vähäisiä. Järjestelmien, rakenteiden ja laitteiden toimintakyky on osoitettava niiden suunnitteluperusteena olevissa huonetilojen sisäisissä ympäristöolosuhteissa. VNa (717/2013) 21 :n ensimmäisen momentin mukaisesti Ydinvoimalaitosyksikön rakentamisluvan haltijan on rakentamisen aikana huolehdittava siitä, että laitos rakennetaan ja toteutetaan turvallisuusvaatimusten mukaisesti käyttäen hyväksyttyjä suunnitelmia ja menettelyjä. VNa (717/2013) 21 :n toisen momentin mukaisesti Luvanhaltija vastaa siitä, että laitostoimittaja ja turvallisuuden kannalta tärkeitä palveluja ja tuotteita tuottavat alihankkijat toimivat turvallisuusvaatimusten mukaisesti.

Säteilyturvakeskus Perustelumuistio 3 (27) VNa (717/2013) 22 :n ensimmäisen momentin mukaisesti Ydinvoimalaitosyksikön käyttöönoton yhteydessä luvanhaltijan on varmistettava, että järjestelmät, rakenteet ja laitteet sekä laitos kokonaisuudessaan toimivat suunnitellulla tavalla. VNa (717/2013) 22 :n toisen momentin mukaisesti Käyttöönottovaiheessa luvanhaltijan on huolehdittava siitä, että ydinvoimalaitoksen tulevaa käyttöä varten on olemassa tarkoituksenmukainen organisaatio, riittävästi ammattitaitoista henkilökuntaa ja käyttötarkoitukseensa soveltuva ohjeisto. VNa (717/2013) 26 :n ensimmäisen momentin mukaisesti Ydinvoimalaitoksen turvallisuuden kannalta tärkeiden järjestelmien, rakenteiden ja laitteiden on oltava käyttökuntoisia suunnittelun perustana olevien vaatimusten mukaisesti. Käyttökuntoisuutta ja käyttöympäristön vaikutuksia on valvottava tarkastusten, testien, mittausten ja analyysien avulla. Käyttökuntoisuus on ennakolta varmistettava säännöllisillä huolloilla sekä kunnostamiseen ja korjauksiin on varauduttava käyttökuntoisuuden heikkenemisen varalta. Kunnonvalvonta ja kunnossapito on suunniteltava, ohjeistettava ja toteutettava niin, että järjestelmien, rakenteiden ja laitteiden eheys ja toimintakyky luotettavasti säilyvät koko niiden käyttöiän ajan. VNa (717/2013) 29 :n toisen momentin mukaisesti Johtamisjärjestelmän on katettava kaikki ydinvoimalaitoksen ydin- ja säteilyturvallisuuteen vaikuttavat organisaation toiminnot. Kunkin toiminnon osalta on tunnistettava turvallisuuden kannalta merkittävät vaatimukset ja kuvattava suunnitellut toimenpiteet sen varmistamiseksi, että vaatimukset täytetään. Organisaation prosessien ja toimintatapojen on oltava järjestelmällisiä ja ohjeistettuja. VNa (717/2013) 29 :n neljännen momentin mukaisesti Luvanhaltijan on sitoutettava ja velvoitettava palveluksessaan oleva henkilöstö sekä toimittajat, alihankkijat ja muut turvallisuuteen vaikuttaviin toimintoihin osallistuvat yhteistyökumppanit turvallisuuden ja laadun järjestelmälliseen hallintaan. 3.3 Vaatimusten perustelut aihealueittain Luku 2 Soveltamisala Tätä ohjetta sovelletaan ydinlaitoksen kaikissa elinkaaren vaiheissa ydinlaitosten sähkö- ja automaatiolaitteille sekä kaapeleille. Ohjeessa esitetyt vaatimukset koskevat luvanhaltijoita sekä sähkö-, automaatiolaitteiden ja kaapeleiden toimitusketjuun kuuluvia laitostoimittajia ja valmistajia. Koska sähkö- ja automaatiojärjestelmiä mm. kelpoistus ja ylläpitomielessä joudutaan usein käsittelemään laitetasolla, annetaan tässä ohjeessa joiltain osin myös järjestelmätason vaatimuksia, vaikka ohje kohdistuu pääasiassa laitetasolle. Sähkö- ja automaatiolaitteiden järjestelmätason yleisiä vaatimuksia ja konfiguraation hallintaa on käsitelty tarkemmin ohjeessa YVL B.1. Johtamisjärjestelmävaatimuksia on käsitelty tarkemmin ohjeessa YVL A.3. Ydinlaitoksen rakentamistoimintaa ja käytössä olevien laitosten laitosmuutoksia on käsitelty tarkemmin ohjeessa YVL A.5. Sähkö- ja automaatiolaitteiden ikääntymisen hallintaa on käsitelty tarkemmin ohjeessa YVL A.8. Ohjeessa YVL A.10 on esitetty vaatimuksia käyttökokemusten hyödyntämisestä. Ohjeessa YVL A.11 on esitetty vaatimuksia ydinlaitoksen turvajärjestelyistä. Nämä saattavat tapauskohtaisesti vaikuttaa sähkö- ja automaatiolaitteiden vaatimuksiin esimerkiksi lentokonetörmäysvaatimusten osalta. Ohjeessa YVL A.12 on esitetty vaatimuksia ydinlaitoksen tietoturvallisuudelle.

Säteilyturvakeskus Perustelumuistio 4 (27) Luku 3 Sähkö- ja automaatiolaitteiden sekä kaapeleiden vaatimusmäärittely, valinta ja hankinta Hankinnalla tarkoitetaan tässä toimintaprosessia, joka käsittää laitteen vaatimusten määrittelyn, sopivien laitteiden valinnan, laitteen tilaamisen sekä kelpoistamisen. Prosessi jakautuu tyypillisesti useille eri organisaatioille, kuten suunnittelulle, hankinnalle, laadunhallinta/varmistus-toiminnoille ja laitetoimittajalle. Prosessiin saattaa osallistua myös useita alihankkijoita. Toiminnan on oltava hyvin johdettua ja ohjeistettua, jotta turvallisuus- ja laatuvaatimukset välittyvät eri organisaatioille ja lopputuote on riittävän laadukas turvallisuuskriittiseen käyttöön. Luku 3.1 Yleiset vaatimukset sähkö- ja automaatiolaitteiden vaatimusmäärittelylle, valinnalle ja hankinnalle Luvanhaltijalla on oltava ohjeisto, jossa kuvataan menettelyt, joita käytetään hankittaessa sähkö- ja automaatiolaitteita sekä kaapeleita. Menettelyillä on varmistettava että: laitteen vaatimukset ovat hankintavaiheessa riittävästi tunnistettu ja että järjestelmätason vaatimukset välittyvät laitos- ja järjestelmätasolta oikein laitetasolle hankintavaiheessa on olemassa suunnitelma laitteen kelpoistamisesta tulevaan käyttöönsä (kelpoistussuunnitelma) hankintavaiheessa on käytettävissä kriteerit, joilla voidaan arvioida laitteen kelpoistuksen onnistumismahdollisuuksia laitteen alustava- ja lopullinen soveltuvuusarvio laaditaan oikeissa hankintaprosessin vaiheissa hankittu laite täyttää vaatimuksissa asetetut kriteerit vain laitteen hyväksyttyä konfiguraatiota käytetään laitteen hyväksytty konfiguraatio voidaan tunnistaa. Sähkö- tai automaatiolaitteita valmistetaan harvemmin pelkästään ydilaitoskäyttöä varten. Siksi niiden standardiperusta on painottunut kansainvälisiin teollisuusstandardeihin. Näiden standardien mukaan suunniteltuja ja valmistettuja laitteita voidaan käyttää ydinlaitoksissa, kunhan huomioidaan tarvittavassa laajuudessa seuraavat ydinlaitosten turvallisuuteen vaikuttavat asiat: säteilykestoisuus ja onnettomuusolosuhdekestoisuus tärinä ja maanjäristyskestoisuus luotettavuusvaatimukset mukaan lukien ohjelmiston luotettavuusvaatimukset jännite- ja taajuuskestoisuusvaatimukset kyberturvallisuusvaatimukset laatuvaatimukset. Osa edellä olevan luettelon kohdista on helpointa täyttää käyttämällä kansainvälisiä ydinalan standardeja. Turvallisuusluokan 2 automaatiolaitteiden sekä keskeisen onnettomuusinstrumentoinnin laitteiden yhteydessä tuleekin mahdollisuuksien mukaan käyttää em. standardeja. IEC /EN standardiperheestä löytyvät seuraavat standardit, joita voi sähkö- ja automaatiolaitetasolla soveltaa: IEC EN 60987, Hardware design requirements for computer-based systems IEC EN 60880, Software aspects for computer-based systems performing category A functions IEC EN 62138, Software aspects for computer-based systems performing category B or C functions

Säteilyturvakeskus Perustelumuistio 5 (27) IEC EN 61500, Data communication in systems performing category A functions IEC EN 62566, Development of HDL-programmed integrated circuits for systems performing category A functions IEC 62671, Nuclear power plants - Instrumentation and control important to safety - Selection and use of industrial digital devices of limited functionality IEC 60780, Qualification IEC EN 60671, Surveillance testing. Ydinlaitosten sähkö- ja automaatiolaitteiden ja kaapeleiden suunnittelussa ja toteutuksessa tulee myös ottaa huomioon Suomessa voimassa olevat, muiden viranomaisten kuin STUKin antamat, määräykset. Näitä ovat mm. sähkölaitteistojen turvallisuutta ja sähkötyöturvallisuutta koskevat turvallisuusstandardit ja sähköturvallisuutta valvovien viranomaisten antamat ohjeet (esimerkiksi standardisarja SFS 6000: Pienjännitesähköasennukset, standardi SFS 6001: Suurjännitesähköasennukset ja standardi SFS 6002: Sähkötyöturvallisuus) sekä koneturvallisuutta koskevat määräykset ja ohjeet. Ydinlaitoksen laitteiden tunnistamiseksi tulee suunnitella selkeä merkintäjärjestelmä. Laitoksen sähkö- ja automaatio laitteet ja kaapelit on varustettava kestävästä materiaalista valmistetulla merkintäjärjestelmän mukaisella tunnusmerkinnällä, joka on helposti luettavissa käyttötoimenpiteiden, tarkastusten, huollon ja vianhaun yhteydessä, jotta inhimilliset virheet minimoidaan. Luku 3.2 Vaatimusmäärittely Vaatimusmäärittely kuvaa järjestelmälle (tai laitteelle) asetettavat vaatimukset sellaisella tarkkuudella, että niiden perusteella voidaan päätellä ja kuvata millainen järjestelmän (tai laitteen) halutaan olevan. Vaatimukset koostuvat toiminnallisista ja ei-toiminnallisista vaatimuksista. Järjestelmään kuuluvien laitteiden käyttöpaikkaan liittyvät kelpoistusvaatimukset, järjestelmän perus- ja sovellusohjelmistojen vaatimukset sekä yleiset ohjelmistojen ja laitteiden laadunhallinnan vaatimukset ovat osa järjestelmän vaatimusmäärittelyä. Turvallisuusluokan 2 ja 3 sähkö- ja automaatiolaitteita ja kaapeleita hankittaessa on laadittava vaatimusmäärittely, joka kuvaa tulevassa käyttöpaikassa vaadittavat ominaisuudet ja käytettävät standardit. Vaatimusmäärittelyjä ei vaadita laadittaviksi kaikille mahdollisille käyttöpaikoille erikseen, vaan laitteen valinnan ja hankinnan mahdollistamiseksi. Turvallisuusluokan 2 ja 3 sähkö- tai automaatiolaitteen tai kaapelin käyttöpaikkakohtaisen vaatimusten määrittelyn tulee olla riittävän yksityiskohtainen laitteen soveltuvuuden arviointia varten. Vaatimusten tulee olla yhdenmukaisia laitoksen turvallisuusanalyyseissä tehtyjen oletusten kanssa. Sähkö- tai automaatiolaitteen tai kaapelin vaatimusmäärittelyn laatii tavallisesti järjestelmäsuunnittelija, joka tuntee hyvin käyttöpaikan asettamat vaatimukset, suunnitteluprosessin aikana. Turvallisuusluokassa 2 vaatimusmäärittely on tarkastettava laatijasta riippumattoman tahon toimesta, jotta voidaan varmistua vaatimusmäärittelyn laadusta. Arviointiraportissa tulee esittää arvioinnissa tehdyt havainnot sekä perusteltu johtopäätös. Luvanhaltijan ohjeistossa on esitettävä menettelyt, jolla turvallisuusluokan 2 sähkö- ja automaatiolaitteiden vaatimusmäärittelyn oikeellisuus, kattavuus ja ristiriidattomuus arvioidaan vaatimusmäärittelyn laatijasta riippumattomalla tavalla. Vaatimusmäärittely yleensä tarkentuu suunnittelun edetessä. Lopullisen vaatimusmäärittelyn tulee olla riittävän yksityiskohtainen ja kattava, jotta toteutus on testattavissa tai todennettavissa kyseisiä vaatimuksia vasten. Vaatimusten tulee olla ristiriidattomia ja yksikäsitteisiä. Vaatimusten toteutuminen tulee olla todennettavissa.

Säteilyturvakeskus Perustelumuistio 6 (27) Vaatimusmäärittelyä tulee ylläpitää koko suunnittelu-, valmistus- ja käyttöjakson ajan. Käyttöjakson aikana vaatimusmäärittelyä on merkittävien siihen vaikuttavien muutostöiden yhteydessä päivitettävä, jotta varaosahuolto ja korvaavien komponenttien hankinta ovat mahdollisia. Vaatimusmäärittelyn tarkastaminen muutostöiden yhteydessä on tarpeen myös siksi, että samalla tulee varmistettua, täyttääkö vanha laite muuttuneet käyttöpaikan vaatimukset. Sähkö- ja automaatiolaitteiden sekä kaapeleiden määrittelyä, suunnittelua, toteutusta, kunnossapitoa ja laadunhallintaa koskevien vaatimusten tarkkuus kannatta harkita niin, että ne ovat suhteessa kohteen turvallisuusluokkaan ja -merkitykseen. Vaatimusten tulee olla jäljitettävästi johdettavissa ylemmän tason vaatimuksista. Laitetasolla saattaa olla myös omia laiteteknisiä, ylätason suunnittelusta riippumattomia, vaatimuksia. Laitetason vaatimuksia ovat tyypillisesti: toiminnalliset ja suorituskykyvaatimukset luotettavuusvaatimukset ympäristö- ja käyttöolosuhdevaatimukset liityntävaatimukset muihin laitteisiin ja järjestelmiin määräaikaistestausvaatimukset kunnossapitovaatimukset kyberturvallisuusvaatimukset käyttöikää koskevat vaatimukset. Luku 3.3 Konfiguraation hallinta Konfiguraationhallinta on prosessi, joka luo ja pitää yllä tuotteen ominaisuuksien yhtenäisyyttä sen vaatimusten ja tuotteen konfiguraation informaation kanssa tuotteen elinkaaren ajan (ANSI/EIA-649-A 2004). Konfiguraationhallinnassa on tavoitteena, että pystyttään hallitsemaan tuotteita ja niihin kohdistuvia muutoksia koko niiden elinkaaren ajan. Esimerkiksi tuotetta tuottavan prosessin tulee sisältyä konfiguraationhallintaan, koska tuotetta tuottava prosessi ja siinä tapahtuvat muutokset voivat saada aikaan sellaisia tuotteisiin kohdistuvia muutoksia, jotka vaikuttavat kokonaisuuden toimintaan. Konfiguraationhallinta pitää sisällään kaikki ne toiminnot, jotka liittyvät tuotteen konfiguraation muutosten hallintaan. Versionhallinta on osa konfiguraationhallintaa. Konfiguraationhallinnassa (puolivalmiit tai valmiit) tuotteet järjestetään riittävän pieniin kokonaisuuksiin (konfiguraatioyksiköihin), joissa niitä seurataan ja hallitaan niin, että todistettavasti hyväksytyt tuotekonfiguraatiot pysyvät hallinnassa. Konfiguraatioyksikköön liittyvästä dokumentaatiosta on tultava ilmi mihin konfiguraatioyksikön versioon ja mihin jäädytettyihin perustasoihin dokumentaatio liittyy. Konfiguraationhallinnan toimintoja ovat: konfiguraation tunnistaminen (konfiguraatioyksiköiden määrittäminen ja perustasojen tunnistaminen) muutostenhallinta (sisältäen tuotannon ja toimintaprosessien muutostenhallinnan) tilatiedon hallinta konfiguraationhallinnan auditoinnit ja katselmukset rajapintojen hallinta. Perustaso (baseline) on tuotteen kehitysvaihe, jossa konfiguraatioyksikkö todistetusti toteuttaa sille määritellyt ominaisuudet. Perustason tarkoituksena on olla etenemispiste, jota voidaan mitata ja joka on perusta myöhemmälle työlle. Perustasoja on toteutusprojektissa tyypillisesti useampia, ennen kuin lopullinen tuote on julkaistu.

Säteilyturvakeskus Perustelumuistio 7 (27) Perustasoja on ydinlaitoksissa käytettävä vähintään laitetasolla, järjestelmätasolla ja laitostasolla, jotta eriaikaisesti ja eri organisaatioiden toimesta toteutettavat vaiheet saadaan hallittua. Konfiguraatioyksiköstä voi perustasossa olla samanaikaisesti käytössä vain yksi jäädytetty versio. Jäädytettyihin perustasoihin ei voi tehdä muutoksia. Perustasot sidotaan konfiguraatioyksiköiden elinkaarien vaiheisiin niin, että vähintään jokaisen tuotteen elinkaaren vaiheen päätteeksi konfiguraatioyksiköt jäädytetään perustasoihin kaikilla konfiguraatioyksiköiden hierarkiatasoilla. Muutokset perustasojen välillä on pystyttävä kuvaamaan. Aiempiin perustasoihin on pystyttävä suunnitteluvaiheessa tarvittaessa palaamaan mistä tahansa vaiheesta. Kaikkien perustasoon sisältyvien muutosten on oltava implementoituna ja kaikkien perustasoon liittyvien konfiguraatioyksiköiden on todistettavasti täytettävä vaiheensa mukaiset vaatimukset ennen kuin perustaso voidaan sulkea ja luovuttaa seuraavaan vaiheeseen. Tuote = prosessin tulos (SFS-EN ISO 9000:2005). Yleisiä tuoteluokkia on neljä: palvelut (esim. kuljetus, asennus), tietotuotteet (esim. dokumentit, tietokoneohjelmat), tavaratuotteet (esim. generaattori), prosessoidut materiaalit (esim. voiteluaineet). Tuotteen konfiguraation informaatio = määrittelee vaatimukset tuotteen suunnittelulle, valmistukselle, verifioinnille, käytölle ja tuelle (ISO 10007:2003). Järjestelmien ja laitteiden ja ohjelmistojen versioiden hallitsemiseksi sekä inhimillisten virheiden välttämiseksi dokumentti-, laite- ja ohjelmistoversiot tulee varustaa yksikäsitteisillä tunnisteilla. Konfiguraationhallinnasta on laadittava käytännön toimet kuvaava ohjeisto. Oleellinen osa konfiguraationhallintaa on esittää menettelyt, joilla muutostilanteissa varmistutaan että uusi konfiguraatio täyttää vähintään samat V&V ja laatuvaatimukset, kuin aikaisempikin. Hyvässä konfiguraationhallinnan ohjeistossa ja suunnitelmissa esitetään myös: miten konfiguraationhallinnan johtaminen (kaikkien projektiin liittyvien organisaatioiden kuvaus, vastuiden määrittäminen organisaatioiden sisällä, viittaukset ulkoisiin rajoitteisiin, konfiguraationhallintaan liittyvien prosessien mittaus ja niiden kehittäminen) on järjestetty konfiguraationhallintaan liittyvät aikataulut konfiguraationhallintaan kohdistetut resurssit miten konfiguraationhallinnan suunnitelmaa pidetään yllä samalla kun sitä jatkuvasti projektin edetessä kehitetään. Konfiguraation hallintaa käsitteleviä standardeja ovat mm: ISO 10007, Quality management systems ANSI/EIA-649-A, National Consensus Standard for Configuration Management ANSI/EIA-836A, Confuguration Management Data Exchange and Interoperability IEEE Std 828, Standard for Software Configuration Management Plans Luku 3.4 Soveltuvuusarvio Sähkö- tai automaatiolaitteita suunnitellaan harvoin täysin räätälöidysti tiettyä laitosta ja käyttöpaikkaa varten. Useimmiten laite on jo valmiiksi suunniteltu, valmistajan käyttämien mitoitusarvojen mukaan, ainakin perusominaisuuksiltaan. Laitteen soveltuvuus tulevaan käyttöönsä on arvioitava. Laite on sopiva, mikäli seuraavat ehdot ovat voimassa: Laite täyttää valmistajan antamien tietojen mukaan ominaisuuksiensa ja mitoitusarvojensa puolesta käyttöpaikan vaatimukset valmistajan johtamisjärjestelmä täyttää vaatimukset

Säteilyturvakeskus Perustelumuistio 8 (27) tyyppihyväksynnällä tai tyyppitestauksella voidaan osoittaa koekappaleiden olevan valmistajan antamien ominaisuuksien ja mitoitusarvojen mukaisia valmistajan laadunhallinnan on arvioitu varmistavan, että tuotannosta ulos tulevat laitteet vastaavat tyyppihyväksyttyjä tai testattuja laitteita. Laitteen valinta ja sen soveltuvuuden arviointi rakennettavaan järjestelmään on tavanomaista järjestelmäsuunnittelijan työtä. Laitteiden valinta ja järjestelmän yksityiskohtainen suunnittelu on iteratiivinen prosessi, koska järjestelmää ei yleensä voi suunnitella ilman tietoa järjestelmän laitteista eikä laitteita valita ilman tietoa järjestelmän asettamista vaatimuksista. Turvallisuuskriittisissä kohteissa tämä laitteiden valintaprosessi on dokumentoitava. Dokumentaatio kootaan kahteen eri asiakirjaan, alustavaan ja lopulliseen soveltuvuusarvioon. Alustava ja lopullinen soveltuvuusarvio vaaditaan varaosahankintoja lukuun ottamatta erillisinä dokumentteina, koska niiden dokumentaatio syntyy eri kohdissa suunnittelu- ja toteutusprosessia ja näiden vaiheiden välillä saattaa olla pitkä aikaero. On parempi koota dokumentaatio siinä vaiheessa, kun varsinaista työtä ollaan tekemässä, kuin yrittää koota se myöhemmin. Ideaalitilanteessa laitteen soveltuvuusarvio syntyy hallitun suunnitteluprosessin sivutuotteena ja dokumentaationa. Kaikkien yksittäisten käyttöpaikkojen yleiskäyttöisistä laitteista, kuten painelähettimet, kaapelit tai venttiilitoimilaitteet, ei ole tarpeen tehdä omaa soveltuvuusarviotaan, jos kyetään osoittamaan että laite täyttää vaativimman käyttöpaikan vaatimukset. Soveltuvuusarvio tulee laatia luvanhaltijan johtamisjärjestelmään kuuluvan ohjeen mukaisesti., jotta arviot tulevat tehdyiksi systemaattisella menetelmällä. Luku 3.4.1 Alustava soveltuvuusarvio Alustava soveltuvuusarvio on tulosdokumentti laitteen valintaprosessista, jolla osoitetaan, että laite soveltuu mitoitusarvojensa perusteella tulevaan käyttöpaikkaansa eli täyttää käyttöpaikan vaatimukset. Alustavaan soveltuvuusarvioon kootaan lisäksi seuraavat asiat: kuvaus laitteesta selvitys valmistajasta ja valmistajan edellytyksistä valmistaa tuotetta laatusuunnitelma, mikäli järjestelmäkohtaista laatusuunnitelmaa ei ole tai sitä on täydennettävä kelpoistussuunnitelma, mikäli järjestelmäkohtaista kelpoistussuunnitelmaa ei ole tai sitä on täydennettävä mahdolliset tyyppihyväksyntä tai testausasiat. Alustava soveltuvuusarvio on toimitettava STUKille viimeistään ennen tehdaskokeita. Tosiasiallisesti alustavan soveltuvuusarvion tietojen on oltava suunnittelun ja hankinnan käytettävissä jo ennen laitteen lopullista hankintaa, koska laitteesta ei voi saada paikkaansa pitäviä tarjouksia ilman että toimittajan tiedossa ovat esimerkiksi mahdolliset laatu-, dokumentaatio- ja tyyppitestausasiat. Luku 3.4.2 Lopullinen soveltuvuusarvio Lopullinen soveltuvuusarvio on dokumentti laitteen valmistus ja kelpoistusprosesseista. Arviossa osoitetaan, että tuotannosta tulevat laitteet täyttävät valmistajan ilmoittamat mitoitusarvot. Tämä osoitetaan testien, analyysien ja käytännön tyyppitestien avulla.

Säteilyturvakeskus Perustelumuistio 9 (27) Laadunhallinnan arviointiin tulee liittyä tuotteiden valmistuksen arviointi. Arvioinnin yhteydessä tulee erityisesti kiinnittää huomiota niihin toimenpiteisiin, joilla varmistutaan, että sarjatuotannossa valmistetut tuotteet vastaavat arvioitua tuotetta. Lopulliseen soveltuvuusarvioon kootaan seuraavat asiat: luvanhaltijan perusteltu johtopäätös laitteen kelpuutuksesta käyttöpaikkaansa luvanhaltijan tehdastestien jälkeinen arvio laitteen vaatimustenmukaisuudesta osoitus, että laite on mitoitusarvojensa mukainen (mm. testitulokset ja ohjelmistoarviot) arvio kelpoistustoimenpiteiden riittävyydestä turvallisuusluokassa 2 yhteenveto mahdollisista tehdaskokeiden tuloksista yhteenveto valmistuksen laadunhallinnan tuloksista (ei vaadi sarjavalmisteisista laitteista) turvallisuusluokassa 2 sekä keskeisessä onnettomuusinstrumentoinnissa suunnittelun arviointi sekä valmistuksen laadunhallinnan arviointi mahdolliset poikkeamat alustavassa soveltuvuusarviossa annetuista tiedoista ja niiden hyväksyttävyys. Luku 4 Sähkö- ja automaatiolaitteiden sekä kaapeleiden laadunhallinta Luku 4.1 Yleiset vaatimukset laadunhallinnalle Ohjeessa YVL A.3 asetetaan yleisiä vaatimuksia ydinlaitoksen johtamisjärjestelmälle. Ohjeessa YVL B.1 asetetaan vaatimuksia järjestelmätasolla noudatettavista johtamisjärjestelmiä koskevista menettelyistä. Ohjeessa YVL A.5 asetetaan vaatimuksia ydinlaitoksen rakentamiselle ja käyttöönotolle. Tässä ohjeessa asetetaan yksityiskohtaisempia vaatimuksia sähkö- ja automaatiolaitteiden laadunhallinnalle. Luvanhaltijalla on oltava käytössään menettelyt laadunhallinnan järjestämisestä sähkö- ja automaatiolaitteiden hankinta, suunnittelu-, valmistus-, testaus-, vastaanotto-, asennus- ja käyttöönottovaiheessa. Luvanhaltijalla on päävastuu siitä, että asetettuja laatuvaatimuksia noudatetaan ja että riittävä laatutaso saavutetaan. Luku 4.2 Laadunhallintajärjestelmä Teknisten- ja laatuvaatimusten asianmukainen siirtyminen sähkö- ja automaatiolaitteiden sekä kaapeleiden suunnitteluun, hankintaan, valmistukseen, vastaanottoon ja ylläpitoon osallistuvissa organisaatioissa ja niiden alihankinnoissa tulee varmistaa. Tämän varmistamiseksi tulee luvanhaltijalla olla käytössä laadunhallintamenettelyt, joissa on esitetty järjestelmälliset menettelytavat ydinlaitoksen suunnittelun, rakentamisen ja käytön aikana noudatettavista laatuun vaikuttavista toimista. Rakentamisen aikaisen laadunhallinnan tulee koskea suunnitteluun, valmistukseen, vastaanottoon, asennukseen ja käyttöönottoon osallistuvien osapuolten laadunhallintaa. Käynnissä olevien ydinlaitosten laadunhallinnan tulee kattaa vastaavat toiminnot sekä olemassa olevien laitteiden käyttö, kunnossapito ja muutossuunnittelu. Laadunhallinnan tulee koskea kaikkia toimintoon osallistuvia osapuolia. Korkeatasoinen laadunhallinta on keskeistä erityisesti ohjelmoitavien järjestelmien kelpoisuuden osoittamisessa. Laadunhallintamenettelyillä varmistetaan lisäksi, että laitokselle hankittavien tuotantoerien rakenne ja ominaisuudet vastaavat kelpoistettujen tuotteiden ominaisuuksia.

Säteilyturvakeskus Perustelumuistio 10 (27) Sähkö- ja automaatiolaitteiden sekä kaapeleiden yleisten laadunhallintamenettelyjen lisäksi on turvallisuusluokitellulle laitteelle tai kaapelille oltava viimeistään hankintavaiheessa laatusuunnitelma, jotta kyseisen hankinnan erityisvaatimukset tulevat huomioiduksi. Suunnitelma voi olla osa järjestelmän ja sen laitteiden yhteistä laatusuunnitelmaa. Laatusuunnitelmassa suunnitellaan laitteen tai järjestelmän toteutusprosessi vaiheineen sekä vaiheisiin liittyvät resurssit, vastuut ja valtuudet sekä vaiheiden hyväksymismenettelyt. Laatusuunnitelman sisältö on tyypillisesti lähellä projektisuunnitelman sisältöä ja siinä voidaan kuvata mm: laitevalintaan, -toimitukseen ja -testaukseen osallistuvat organisaatiot vastuineen ja rajapintoineen käytettävät standardit ja ohjeet, myös YVL-ohjeet suunnittelu, toimitus ja testausprosessien vaiheet kunkin vaiheen lähtötietoina käytettävät asiakirjat ja tallenteet ja muut vaihesyötteet kunkin vaiheen tuloksina syntyvät asiakirjat ja tallenteet ja muut vaihetuotteet vaiheiden päätteeksi tehtävät katselmoinnit, mukaan lukien katselmoinnin ajoitus, sisältö ja suorittaja, hyväksymiskriteerit sekä sovellettavat päätöksentekomenettelyt ja -vastuut alihankkijoiden valvonnassa käytettävät menettelyt konfiguraation hallinta ja tuotteiden tunnistamismenettelyt vaatimustenmukaisuuden, muutosten ja toteutuspoikkeamien hallinta hyödynnettävät tukiprosessit ja niihin liittyvät hallinta- ja laatumenettelyt prosessien vastuujako päätöksentekomenettelyt mukaan lukien menettelyt laatusuunnitelman muuttamista varten. Luvanhaltijan on määriteltävä ne menettelytavat, joilla sähkö- ja automaatiolaitteiden sekä kaapeleiden toimittajia arvioidaan, valitaan ja valvotaan. Ennen toimittajien valintaa luvanhaltijan on todettava, että toimitukseen osallistuvilla organisaatioilla on edellytykset korkealaatuiseen toimintaan. Turvallisuusluokan 2 ja 3 sähkö-, automaatiolaitteiden tai kaapeleiden toimittajilla on oltava asianmukainen sertifioitu tai vastaava kolmannen osapuolen riippumattomasti arvioima johtamisjärjestelmä. Tämän lisäksi turvallisuusluokan 2 sähkö-, automaatiolaitteiden tai kaapeleiden toimittajien johtamisjärjestelmän on täytettävä YVL A.3 johtamisjärjestelmää koskevat vaatimukset, tai niiden täyttyminen on osoitettava toimitusta koskevassa laatusuunnitelmassa esitetyin keinoin (ks. YVL A.3 vaatimus 630). Luku 5 Sähkö- ja automaatiojärjestelmien, -laitteiden sekä kaapeleiden kelpoistaminen Luku 5.1 Yleiset vaatimukset kelpoistamiselle Ydinlaitoksen sähkö- ja automaatiojärjestelmät ja niiden laitteet sekä kaapelit tulee kelpoistaa käyttötarkoitukseensa. Kelpoistuksella osoitetaan, että järjestelmät laitteineen ovat niitä koskevien vaatimusten mukaisia. Sähkö- ja automaatiojärjestelmien oikea toiminta riippuu pitkälti niistä laitteista, joista järjestelmä koostuu. Esimerkiksi järjestelmän ja sen yksittäisten laitteiden kelpoistusta on vaikea eriyttää kelpoistettaessa automaatiojärjestelmää turvallisuuskriittiseen käyttökohteeseen. Ohjeen kelpoistusvaatimukset koskevat siksi sekä järjestelmiä että laitteita. Kelpoistuksen suunnitelma sekä kelpoistuksen tulokset esitetään viranomaiselle alustavassa ja lopullisessa soveltuvuusarviossa. Laitteiden ja kaapeleiden kelpoisuus ei yleensä ole voimassa rajattomasti, koska laitteet vanhenevat ja materiaalit, valmistusmenetelmät tai valmistaja saattavat vaihtua. Vanhenemista saattaa esiintyä varastoinninkin aikana, vaikka laite ei olisi ollut käytössä. Laitteille saattaa olla myös määritettynä, joko vaatimustenlaadinnan tai kelpoistustestauksen yhteydessä, käyttöikä

Säteilyturvakeskus Perustelumuistio 11 (27) jolle kelpoistustestit (esimerkiksi LOCA testit) on tehty. Kelpoistuksen tulosaineistossa on ilmoitettava laitteen maksimi varastointi ja käyttöikä, minkä jälkeen kelpoistus tai laite on uusittava. Jäljellä olevaa varastointi ja käyttöikää on seurattava ikääntymisenhallintaohjelman yhteydessä. Luku 5.2 Kelpoistussuunnitelma Luvanhaltijan tulee laatia erityinen järjestelmä- tai laitekohtainen kelpoistussuunnitelma turvallisuusluokan 2 tai 3 järjestelmien, laitteiden ja kaapeleiden soveltuvuuden osoittamiseksi aiottuun käyttötarkoitukseen. Kelpoistussuunnitelman tarkoitus on olla laitteen valinnassa, hankinnassa ja varsinaisissa kelpoistustoimenpiteissä toimintaa ohjaava suunnitelma. Kelpoistus on suunniteltava etukäteen, koska esimerkiksi laitevalmistajan on usein käytännössä mahdoton antaa tarjousta laitteesta, mikäli tarvittavat, mahdollisesti normaalista tuotantoprosessista poikkeavat, kelpoistustoimenpiteet eivät ole tiedossa. Kelpoistussuunnitelman voidaan ajatella eroavan laatusuunnitelmasta siten, että kelpoistussuunnitelma on yhden laatusuunnitelmassa esitettävän osaprosessin, eli kelpoistuksen, suunnitelma. Kelpoistussuunnitelmalta vaadittava yksityskohtaisuus on sidoksissa kelpoistettavan laitteen turvallisuusmerkitykseen, luotettavuusvaatimuksiin ja laiteeseen kohdistuviin rasituksiin. Kelpoistussuunnitelman tulee sisältää aineistoa neljältä osa-alueelta: suunnittelu- ja valmistusprosessi, testit, analyysit ja käyttökokemukset. Mikäli osoittamiseen tarkoitettua aineistoa on vähän jollakin osa-alueella, puute on kompensoitava laajentamalla toisella osa-alueella esitettyä aineistoa. Kelpoistussuunnitelmassa tulee esittää laadittavat soveltuvuusarviot ja siihen tulee liittää myös tiedot mahdollisista aiemmista tyyppihyväksynnöistä ja -testeistä, joita halutaan hyödyntää kelpoisuuden osoituksessa. Kelpoistussuunnitelmassa on esitettävä se menettelytapa, jolla turvallisuusluokan 2 sähkö- ja automaatiojärjestelmän, -laitteiden sekä kaapeleiden kelpoistustoimenpiteiden hyväksyttävyys arvioidaan riippumattomalla tavalla. Arvioinnin voi tehdä luvanhaltijan palveluksessa oleva, suunnittelusta riippumaton asiantuntija tai organisaatioyksikkö. Ydinturvallisuuteen merkittävästi vaikuttavien järjestelmien ja laitteiden sekä kaapeleiden kelpoistuksen arvioinnissa on harkittava riippumattoman organisaation asiantuntija-arvioitsijan käyttämistä. Turvallisuusluokan 2 ohjelmistopohjaisten järjestelmien ja laitteiden suunnittelussa ja toteutuksessa käytettävät ohjelmistotyökalut kuten esimerkiksi kääntäjät, koodigeneraattorit, analysaattorit sekä testausmenetelmät tulee esittää kelpoistussuunnitelmassa. Tämä on tarpeen, jotta ohjelmistokelpoistusprosessi saadaan määriteltyä ja dokumentoitua. Kelpoistussuunnitelma tulee päivittää, mikäli järjestelmän vaatimusmäärittely muuttuu kelpoistukseen vaikuttavalla tavalla tai järjestelmästä saadaan sellaista olennaista tietoa, jolla voidaan katsoa olevan vaikutusta kelpoistussuunnitelmaan. Luku 5.3 Kelpoistukseen kuuluvat testit Kelpoistamiseen kuuluvilla testeillä pyritään osoittamaan, että laite täyttää mitoitusarvonsa. Testeillä voidaan myös tarvittaessa osoittaa, että laite täyttää alkuperäiset mitoitusarvonsa ylittävät tai niistä puuttuvat vaatimukset, esimerkiksi maanjäristysvaatimukset. Testit voidaan tehdä: tyyppitestinä edustavalle otannalle laitteita o valmistuksen laadunhallinnan on oltava tässä tapauksessa niin hyvällä tasolla, että valmistuslinjalta tulevat yksilöt vastaavat tyyppitestattuja yksilöitä

Säteilyturvakeskus Perustelumuistio 12 (27) o valmistuksen laadunhallintaan liittyviä rutiinitestejä ei tässä tapauksessa katsota kelpoistustesteiksi kappaletesteinä kaikille laitteille o valmistuksen laadunhallinnan kypsyyden ei tässä vaihtoehdossa tarvitse olla samalla tasolla kuin edellisessä, mikäli tuotteen laatu on testauksella kelpuutettavissa o kaikki tehtävät testit on katsottava kelpoistamistesteiksi yhdistelmänä edellisestä Testit voidaan jakaa tyyppitesteihin, suunnittelu- ja valmistusprosessin aikana tehtäviin testeihin sekä toteutetulle sähkö tai automaatiojärjestelmälle, -laitteille tai kaapeleille tehtäviin testeihin. Tässä yhteydessä laitteilla tarkoitetaan sekä päälaitetta että sen mahdollisia kenttälaitteita. Tyyppitestejä ovat usein mm. EMC ja ympäristöolosuhdetestit. Suunnittelu- ja valmistusprosessin aikaisia testejä ovat mm. yksikkötestit, integrointitestit ja järjestelmätestit. Ohjelmiston testit jakaantuvat staattisiin ja dynaamisiin testeihin. Suunnittelun ja valmistuksen aikaisilla testeillä varmistutaan siitä, että sähkö- tai automaatiojärjestelmä, -laite tai kaapeli täyttää sille asetetut toiminnalliset ja suorituskykyvaatimukset. Nämä testaukset päättyvät usein tehdaskokeisiin. Tilastollisia testejä voidaan tehdä erityisesti luotettavuustarkastelujen tueksi. Laitospaikalla tehtävällä testauksella varmistetaan asennuksen onnistuminen ja laitteen oikea toiminta lopullisen käyttöpaikan olosuhteissa. Sähkö- ja automaatiojärjestelmän ja siihen kuuluvien laitteiden sekä kaapeleiden kelpoistamistesteille tulee laatia testisuunnitelma. Kyseessä olevan järjestelmän tai laitteen suunnittelusta ja valmistusvaiheesta riippumattomien testaajien tulee tehdä ohjelman mukaiset testit. Riippumattoman testaajan käytön tarkoitus on saada esiin mahdolliset toiminnallisuuden tai testausmenettelyjen puutteet, joita suunnittelija tai valmistuksessa mukana ollut henkilö ei tule havainneeksi, koska hän tuntee tuotteen liian hyvin. Testaajan ei ole tarpeen olla organisatorisesti riippumaton suunnittelusta tai valmistuksesta, sillä usein on mahdotonta löytää tuotteen testaukseen riittävän ammattitaitoista henkilöä organisaatioiden ulkopuolelta. Tuotteelle mahdollisesti tehtävät tyyppihyväksyntätestit ovat poikkeus edellä mainittuun periaatteeseen, koska niissä vaaditaan, että tyyppihyväksyntäorganisaatio on riippumaton tuotteen suunnittelu- tai valmistusorganisaatiosta. Testisuunnitelma, testien hyväksymiskriteerit ja testien tulokset tulee dokumentoida siten, että ne voidaan arvioida riippumattomasti. Tämä on välttämätöntä, jotta voidaan osoittaa, että järjestelmät tai laitteet ovat niitä koskevien vaatimusten mukaisia. Testauksella ja analyyseillä tulee varmistua myös siitä, ettei sähkö- tai automaatiojärjestelmässä tai -laitteissa ole tarkoituksettomia, turvallisuudelle haitallisia toimintoja. Turvallisuusluokan 2 järjestelmän tai laitteen testien riittävyys tulee perustella sekä testien kattavuus tulee analysoida vaatimuksia vasten. Turvallisuusluokan 2 järjestelmissä tai laitteissa ei saa olla tarkoituksettomia, turvallisuudelle haitallisia toimintoja. Periaatteessa kaikkea ylimääräistä monimutkaisuutta tai toiminnallisuutta on vältettävä. Turvallisuudelle haitallisia toimintoja voivat olla esimerkiksi valinnaiset toimintamoodit joita käyttöpaikassa ei tarvita, sovelluksessa käyttämättömät logiikkaosat tai aktiivisena olevat käyttämättömät liitynnät. Tehdastestien jälkeen luvanhaltijan on arvioitava sähkö- tai automaatiojärjestelmän, -laitteen tai kaapelin vaatimusten mukaisuus, ennen kuin tuote voidaan siirtää laitospaikalle. Hankkeen aikataulusuunnittelussa olisi otettava huomioon, että tehdastestien jälkeen mahdollisesti tar-

Säteilyturvakeskus Perustelumuistio 13 (27) vittava muutossuunnittelu ja uusintatestaukset ovat tehtävissä järjestelmän tai -laitteen turvallisuusmerkityksen mukaisin menettelyin. Lopullisessa testauksessa laitospaikalla tulee osoittaa, että sähkö- tai automaatiojärjestelmä, - laite tai kaapelivastaa sille asetettuja toiminnallisia ja suorituskykyvaatimuksia. Testauksessa voidaan osittain käyttää hyväksi simulointia. Lopullinen testaus tulee kuitenkin tehdä laitospaikalla todellisessa toimintaympäristössä. Muutoin ei voida arvioida mm. prosessin, paikallisten ympäristöolosuhteiden ja asennuksen vaikutuksia toimintaan. Luku 5.4 Sähkö- ja automaatiolaitteiden suunnittelu- ja valmistusprosessien arviointi Ydinlaitoksen turvallisuusluokien 2 ja 3 sähkö- ja automaatiolaitteet sekä kaapelit tulee suunnitella, katselmoida ja dokumentoida siten, että suunnittelu- ja valmistusprosessin eri vaiheissa tehtävän dokumentaation perusteella voidaan jälkikäteen varmistua asetettujen vaatimusten siirtymisestä oikein lopulliseen käyttöönotettavaan tuotteeseen. Tämä on tarpeen, koska valmiin tuotteen vaatimustenmukaisuutta on usein mahdotonta todeta jälkikäteen testaamalla. Tuotelaatuun liittyviä prosesseja on arvioitava säännöllisesti, jotta voidaan olla varmoja niiden noudattamisesta ja toimivuudesta. Turvallisuusluokassa 3 arviointi voidaan suorittaa osana normaalia johtamisjärjestelmän mukaista toimintaa. Turvallisuusluokassa 2 prosessien toimivuus on todennettava riippumattomasti. Yhteenveto arvioinnin tuloksista esitetään lopullisen soveltuvuusarvion yhteydessä. Luku 5.5 Yhteensopivuus sähköverkon kanssa Voimansiirtoverkossa ja ydinlaitoksen sisäisissä sähköverkoissa esiintyvien jännitevaihteluiden ja taajuuspoikkeamien vaikutukset ydinlaitoksen laitteisiin on analysoitava ja otettava huomioon laitetta mitoitettaessa ja kelpoistettaessa. Turvallisuusluokiteltujen laitteiden kelpoistuksessa on arvioitava laitteen toiminta ja lämpenemä, kun sen liittimiin vaikuttavat: nimellisvirta ja nimellisjännite jatkuvasti eripituiset alijännitteet laitteen kannalta epäedullisimman taajuuspoikkeaman vaikuttaessa samanaikaisesti eripituiset ylijännitteet laitteen kannalta epäedullisimman taajuuspoikkeaman vaikuttaessa samanaikaisesti nopeat jännitetransientit syöttöjännitteen suurin aaltoisuus sähkötehoa syöttävillä laiteilla oikosulkutilanteet ja kuormien käynnistysvirtapiikit. Arvioinnisssa on otettava huomioon mahdollinen laitteen kuormitustilan muuttuminen syöttöjännitteen ja taajuuden muuttuessa. Esimerkiksi pumppukäytöissä moottorin ottama virta kasvaa syöttöjännitteen laskiessa. Lisäksi on tarkasteltava laitteen käynnistyvyyttä jännitehäiriötilanteissa. Kelpoistaminen jännite- ja taajuuspoikkeamiin voidaan suorittaa joko kokeellisesti tai analyysein. Analyysejä voidaan käyttää kelpoistettaessa sähkömekaanisia laitteita jännite-/taajuushäiriötilanteisiin. Tätä menetelmää käytettäessä on oltava käytettävissä laitteen kokeelliset parametrit nimellistilassa. Elektroniikkaa sisältävien laitteiden toiminnan mallintaminen sisältää niin suuria epävarmuustekijöitä, että niiden kelpoistuksen on perustuttava kokeisiin.

Säteilyturvakeskus Perustelumuistio 14 (27) Laitteen lämpenemä on määritettävä nimellistilassa standardien mukaisin tyyppitestein, jos laitteen häviöteho on niin suuri, että laite voi lämmetä merkittävästi häviötehon vaikutuksesta. Lämpenemää määritettäessä on käytettävä akuston puskuvarausjännitettä akkuvarmennettuun tasasähköverkkoon kytketyille laitteille, koska verkon nimellisjännitettä korkeamman varausjännitteen aiheuttama lämpenemä vaikuttaa oleellisesti laitteen käyttöikään. Lämpenemä on huomioitava kelpoistettaessa laitetta tai kaapelia tulevan käyttöpaikan ympäristöolosuhteisiin. Luku 5.6 Kelpoistaminen ympäristöolosuhteisiin Ydinlaitoksen turvallisuusluokiteltujen sähkö- ja automaatiojärjestelmien, -laitteiden sekä kaapeleiden ympäristöolosuhteet ja -rasitukset kaikissa suunnitelluissa käyttöolosuhteissa sekä varastoinnissa ja kuljetuksissa tulee määritellä. Sähkö- ja automaatiolaitteiden sekä kaapeleiden valintaan ja mitoitukseen vaikuttavia ympäristöolosuhteita ovat tyypillisesti: ympäristön maksimi- ja minimilämpötilat ympäristön maksimi- ja minimikosteus ympäristön maksimi- ja minimipaine, varsinkin reaktorin suojarakennuksen sisällä mekaaniset rasitukset; tärinäkestoisuutta arvioidessa joudutaan tavanomaisesti ottamaan huomioon laitteen asennuspaikasta aiheutuvat värähtelyt (esimerkiksi dieselmoottoreiden apulaitteet) ja ulkoiset tapahtumat (esimerkiksi maanjäristyskestoisuus sekä lentokonetörmäykset) käyttöiän aikana ennen oletettua onnettomuutta kertyvä säteilyannos o säteilyannosta arvioitaessa on otettava huomioon gammasäteilyn lisäksi neutronisäteilyn laitteelle aiheuttamat materiaalivauriot onnettomuusolosuhderasitukset (lämpötila, paine ja säteily) laitteen passiivisten materiaalien materiaalikestävyyden arvioimisen lisäksi on huomioitava, että säteily vaurioittaa elektroniikkapiirejä ja muuttaa puolijohdemuistien sisältöä ympäristön pölyisyys palo- tai räjähdysvaarallisen toimintaympäristön aiheuttamat vaatimukset palokestoisuusvaatimukset toiminta palonsammutusjärjestelmien toiminnan aikana ja jälkeen. Turvallisuusluokitellut sähkö- ja automaatiojärjestelmät, -laitteet sekä kaapelit on suunniteltava siten, että niiden toimintakyky säilyy asetettujen vaatimusten mukaisina koko suunnitellun käyttöiän ajan. Turvallisuusluokiteltujen laitteiden sekä kaapelien kelpoisuus suunnitelluissa ympäristöolosuhteissa ja -rasituksissa tulee osoittaa standardien mukaisten testien ja analyysien avulla. Testien ja analyysien tulee vastata epäedullisimpien mahdollisten käyttö- ja ympäristöolosuhteiden yhteisvaikutuksia. Onnettomuuksissa tarvittavien sähkö- ja automaatiolaitteiden sekä kaapelien rakenteet ja materiaalit on valittava siten, että laitteiden toimintakyky onnettomuuksissa säilyy asetettujen vaatimusten mukaisena niiden koko suunnitellun käyttöiän ajan. Oletetuissa onnettomuustilanteissa tai niiden jälkeen tarvittavien sähkö- ja automaatiolaitteiden sekä kaapelien suorituskyky on osoitettava tyyppitestien avulla. Tyyppitestien on muodostettava yhtenäinen testisarja, jossa samoihin testikappaleisiin kohdistetaan suunnitellun käyttökohteen suunnitteluperusteena olevat käyttö- ja ympäristörasitukset. Ennen onnettomuusolosuhdetestejä koekappaleet tulee vanhentaa keinotekoisesti vastaamaan niiden suunniteltua käyttöikää. Sähkö- ja automaatiolaitteen sekä kaapelin keinotekoinen vanhentaminen tulee tehdä siten, että se kuvaa riittävällä varmuudella todellista vanhenemista. Vanhentaminen tehdään yleensä

Säteilyturvakeskus Perustelumuistio 15 (27) siten, että testikappale vanhennetaan ensin termisesti ja sitten säteilytetään. Seuraavaksi testikappaleelle tehdään mekaaninen rasitustesti ja lopuksi oletettua onnettomuutta kuvaava testi. Oletettua onnettomuutta jäljittelevän testin tulee sisältää onnettomuusolosuhteita vastaava säteilytys ja lämpötilan, paineen ja kosteuden aiheuttamat rasitukset sekä nopeat olosuhteiden muutokset. Testissä käytettävän veden tulee koostumukseltaan vastata onnettomuusolosuhteissa kysymykseen tulevaa vettä. Jos laite tai kaapeli voi jäädä oletetussa onnettomuudessa veden alle ja jos sen on tällöinkin kyettävä toimimaan, toimintakykyisyys tulee osoittaa myös tässä tilanteessa. Testit tulee suunnitella siten, että ne osoittavat riittävällä varmuudella laitteen tai kaapelin toimintakykyisyyden onnettomuusolosuhteissa koko suunnitellun käyttöiän ajan. Jos sähkö-, automaatiolaitteen tai kaapelin tulee toimia vakavissa reaktorionnettomuuksissa, kelpoisuus tähän tulee osoittaa soveltuvalla tavalla. Suojarakennuksessa sijaitsevien laitteiden ja kaapelien kelpoisuus erityisesti vakavan reaktorionnettomuuden aikana esiintyviin korkeisiin lämpötiloihin (ml. mahdolliset vetypalot) tulee osoittaa. Sähkö- tai automaatiolaitteen tai kaapelin tärinäkestoisuuden osoittamiseen liittyvät seismiset testit tai analyysit tulee tehdä ohjeen YVL E.6 mukaisesti. Luku 5.7 Sähkömagneettinen yhteensopivuus Sähkö- ja automaatiojärjestelmien sekä -laitteiden häiriöttömän toiminnan takaa samaan käyttöympäristöön tarkoitettujen laitteiden sähkömagneettinen yhteensopivuus (EMC, Electro- Magnetic Compatibility), joka muodostuu laitteen kyvystä sietää häiriöitä enemmän kuin ympäristössä olevat laitteet niitä päästävät. Ydinlaitoksen turvallisuusluokitellut sähkö- ja automaatiojärjestelmät ja -laitteet sekä niiden kaapeloinnit ja asennukset on suojattava luotettavasti sähkömagneettisten häiriökenttien vaikutuksilta sekä erilaisilta verkko-, radiohäiriöiltä sekä tietoliikenteen aiheuttamilta häiriöiltä. Sähkö- ja automaatiolaitteet sekä niiden kaapeloinnit tulee suunnitella ja asentaa siten, että ne eivät myöskään itse aiheuta haitallisia sähkömagneettisia häiriöitä toimintaympäristöönsä. Sähkö- ja automaatiojärjestelmien, -laitteiden sekä kaapeloinnin suunnittelussa tulee ottaa huomioon mm. seuraavat sähkömagneettiset häiriötyypit: säteilevät radiotaajuiset häiriöt (häiriön päästö ja sieto) johtuvat radiotaajuiset häiriöt (kaapelien kautta syntyvä päästö ja sieto) staattisen sähkön purkauksen sieto (ElectroStatic Discharge, ESD). Turvallisuusluokitelluille sähkö- ja automaatiojärjestelmille sekä -laitteille on määriteltävä EMC-vaatimukset osana suunnitteluprosessia (ks. YVL B.1). Vaatimusmäärittelyn peruslähtökohtana voivat olla teollisuusympäristöä koskevat yleiset kansainväliset EMC-standardit, joiden vaatimuksia on tarvittaessa täydennettävä joidenkin laitteiden sijoituspaikoilla mahdollisesti vallitsevien vaativampien EMC-olosuhteiden mukaan. On otettava huomioon laitteiden altistuminen käyttöympäristössä mahdollisesti esiintyville toistuville nopeille (esimerkiksi induktiivisten kuormien poiskytkentä ja releiden kytkentävärähtelyt) ja suurenergisille (esimerkiksi erilaiset kytkentätransientit ja salama) transienttihäiriöille. Myös muita luonnon tai ihmisen aiheuttamia sähkömagneettisia häiriöitä tulee tarkastella. Esimerkiksi ydinlaitoksessa käytettävien langattomien tiedonsiirto- ja puhelinjärjestelmien sekä korjaus-, huolto- ja mittauslaitteiden häiriönpäästöominaisuudet on tarvittaessa otettava vaatimusmäärittelyssä huomioon.

Säteilyturvakeskus Perustelumuistio 16 (27) Ydinlaitokselle on luotava EMC-vaatimusmäärittelyn ja -kelpoistuksen tueksi radiotaajuustaulukko (ks. YVL B.1), koska radiolaitteiden käyttö on jatkuvasti lisääntynyt. Radiotaajuustaulukossa on lueteltava ydinlaitoksella sallitut radiotaajuudet sekä suurimmat sallitut kenttävoimakkuudet. Taulukossa on suotavaa ilmoittaa myös suurimmat sallitut lähetystehot jollekin määrätylle laitetyypille (esimerkiksi matkapuhelin tai viranomaisverkon puhelin), mutta tällöin on myös ilmoitettava, mihin laskentaolettamuksiin ko. lähetysteho perustuu. Edellä mainitut parametrit voidaan tarvittaessa määrittää myös huone-aluekohtaisesti. Huonealuekohtaisia parametrejä käytettäessä on kuitenkin huomioitava radiotaajuisen tehon siirtyminen alueelta toiselle. Sähkö- ja automaatiojärjestelmien ja -laitteiden vaatimustenmukaisuus on osoitettava standardien mukaisilla EMC-testeillä. Ydinvoimalaitoksen sähkö- ja automaatiojärjestelmien sekä - laitteiden sähkömagneettisilta häiriöiltä suojautumiseen käytettävät menettelyt ja tekniset ratkaisut tulee perustella. Kunkin ydinlaitosyksikön sähkö- ja automaatiojärjestelmien sekä -laitteiden EMColosuhteiden määrittämiseksi on järkevintä tehdä laitosyksikkökohtainen analyysi, jonka perusteella asetetaan yleiset EMC-vaatimukset. Kun käytössä olevan ydinlaitoksen sähkö- ja automaatiojärjestelmiä uusitaan, on kiinnitettävä erityistä huomiota uusien järjestelmien sijoituspaikoissa vallitseviin EMC-olosuhteisiin ja laitteiden EMC-ominaisuuksiin yhteensopivuusongelmien välttämiseksi. Luku 5.8 Kelpoistaminen analyysein Sähkö- ja automaatiojärjestelmien ja -laitteiden kelpoistuksen on sisällettävä toiminnallisten ja suorituskykyvaatimusten kelpuutus analyysien avulla, mikäli vaatimusten täyttymistä ei muilla kelpoistustoimenpiteillä voida osoittaa. Analyysejä voivat vaatia myös laitekohtaiset standardit. Monimutkaisemmille laitteille voidaan joutua tekemään vikaantumistapojen ja vaikutusten analyysi, jota tarvitaan lähtötietona järjestelmätason analyyseille tai PRA-mallille. Yhteisvika-analyysi saattaa olla tarpeen kelpoistettaessa toisiaan erilaisuusperiaatteen mukaisesti korvaavia laitteita. Luku 5.9 Käyttökokemukset Käyttökokemusanalyysillä kasvatetaan luottamusta laitteen laatuun ja toimintavarmuuteen. Analyysiä voidaan käyttää myös täydentämään jotain puutetta laitteen kelpoistuksen muilla osa-alueilla. Analyysin tulos voi yksinkertaisimmillaan olla, ettei laitteesta ole saatavilla käyttökokemustietoja. Laitteen kelpoistaminen pelkästään käyttökokemusten perusteella ei ole mahdollista, vaan kelpoistuksessa on otettava huomioon myös suunnittelu- ja valmistusprosessi, testit ja analyysit luvun 5.2 mukaisesti. Käyttökokemusten tulee olla kerätty määritellyn menetelmän mukaisesti. Keräysprosessin kattavuus, keruuajan pituus ja niiden merkitys tietojen luotettavuuteen tulee arvioida. Käyttökokemusten olisi oltava vastaavasta käyttötavasta (käyttöprofiilista) kuin missä laitetta tullaan ydinlaitoksella käyttämään, jotta tulokset ovat edustavia. Muista laite- ja mahdollisista ohjelmaversioista, kokoonpanoista ja käyttöprofiileista kerättyjen käyttökokemusten hyödyntäminen kelpoistuksessa tulee perustella. Luku 5.10 Tyyppihyväksyntä Seuraavilla kohteilla on oltava tyyppihyväksyntä: Turvallisuusluokan 2 automaatiojärjestelmäalustat

Säteilyturvakeskus Perustelumuistio 17 (27) turvallisuusluokan 2 ohjelmistopohjaisen automaation prioriteettiyksiköt turvallisuusluokan 2 onnettomuusolosuhteisiin kelpoistettavat sähkö- ja automaatiolaitteet ja kaapelit pois lukien moottorit ja venttiilitoimilaitteet, joiden vaatimukset on esitetty YVL E.8 ja E.9 ohjeissa turvallisuusluokan 3 onnettomuusolosuhteisiin tuleva keskeinen onnettomuusinstrumentointi Tyyppihyväksyntää vaaditaan em. laitteilta, koska: Turvallisuusluokan 2 automaatioalustat ovat erittäin monimutkaisia kokonaisuuksia, joiden arvioimiseen ja laadunhallinnan järjestämiseen luvanhaltijan resurssit eivät riitä soveltuvuusarvioinnin yhteydessä prioriteettiyksiköt muodostavat tyypillisesti automaation alimman niin kutsutun yksittäisohjaustason, joka ohjaa kaikkia turvajärjestelmien laitteita turvallisuusluokan 2 automaatioalustojen virhetoiminnallisuus voi saada laitoksen tilaan, jota muut alemman turvallisuusluokan järjestelmät eivät pysty korjaamaan onnettomuusolosuhteisiin tulevien laitteiden testausta ja valmistuksen laadunvalvontaa on suoritettava riippumattomasti, koska virheet näissä tuotteissa saattavat tulla ilmi vasta onnettomuuden aikana, eikä niitä päästä silloin enää korjaamaan. Laitteiden tyyppihyväksyntä perustuu kolmannen osapuolen myöntämää tyyppitarkastustodistukseen, jolla kolmas osapuoli vahvistaa laitteen suunnittelun ja toteutuksen hyväksyttävyyden laitteen mitoitusarvoja vasten. Lisäksi tarvitaan kolmannen osapuolen arvio tuotantoprosessin laadunvarmistukseen perustuvasta tyypinmukaisuudesta tai kolmannen osapuolen myöntämä vaatimuksenmukaisuustodistus, jolla kolmas osapuoli tuotekohtaisen tarkastuksen ja testauksen perusteella vahvistaa valmistettujen laitteiden tyypinmukaisuuden. Tyyppitarkastus ja vaatimuksenmukaisuuden todentaminen on toteutettava soveltaen Euroopan parlamentin ja neuvoston päätöksen 768/2008/EY moduuleja B ja D. Moduulia F on sallittua käyttää moduulin D sijasta. Kolmas osapuoli, jolla on lupa suorittaa laitteen tyyppitarkastus ja tyypinmukaisuuden arviointi, on standardin SFS-EN ISO/IEC 17065 mukainen, sovellettavien standardien vaatimuksenmukaisuuden arviointiin akkreditoitu sertifiointielin tai vastaavaan tehtävään akkreditoitu standardin SFS-EN ISO/IEC 17020 mukainen tarkastuslaitos. Standardin SFS-EN ISO/IEC 17025 mukaista soveltuvaa pätevyyttä edellytetään sertifiointielimeltä tai tarkastuslaitokselta testausten valvomiseksi. Sertifiointielimen tai tarkastuslaitoksen on oltava myös tehtävään soveltuva ilmoitettu laitos. Tyyppitarkastuksia ja tyypinmukaisuuden arviointia suorittavan organisaation akkreditointipäätös on liitettävä osaksi alustavaa soveltuvuusarviota. Jos sama organisaatio suorittaa useita tyyppihyväksyntöjä, voidaan akkreditointipäätös toimittaa vain kerran, mutta alustavassa soveltuvuusarviossa on viitattava aiemmin toimitettuun aineistoon. Kolmannen osapuolen on tyyppitarkastuksessa tarkastettava laite päätöksen moduulin B mukaisena suunnittelutyypin ja tuotantotyypin yhdistelmänä. Tyyppitarkastustodistuksesta tai sen liitteistä on käytävä ilmi kaikki ne tyyppitarkastuksella vahvistetut tiedot (tekninen erittely) ja mahdolliset käyttörajoitukset, joita tarvitaan laitteen hyväksyttävyyden arvioinnissa suunniteltuun käyttöön. Moduulin D mukaan tehdystä laatujärjestelmän hyväksynnästä on liitettävä kolmannen osapuolen laatima dokumentti tyyppihyväksyntädokumentaatioon.

Säteilyturvakeskus Perustelumuistio 18 (27) Tuotekohtaisten tarkastusten ja testien perusteella myönnetystä vaatimuksenmukaisuustodistuksesta, mikäli käytetään päätöksen moduulia F, on käytävä ilmi: toimituserän yksilötunnisteet ja toimituserästä tuotekohtaisesti tarkastettujen laitteiden yksilötunnisteet kolmannen osapuolen tekemät tarkastukset ja valvomat testit (tuotekohtaisen tarkastuksen laajuus) toimituserän vaatimuksenmukaisuuden vahvistamiseksi Vaatimuksenmukaisuustodistuksessa on viitattava tyyppitarkastustodistukseen ja vahvistettava, että toimituserän laitteet vastaavat laitetyyppiä, jolle tyyppitarkastustodistus on myönnetty. Ohjelmistopohjaista tekniikkaa sisältävän laitteen tyyppihyväksynnän tulee kattaa sekä ohjelmiston että laitteiston arviointi. Luku 6 Turvallisuusluokiteltujen laitteiden ohjelmistojen kelpoistus Luku 6.1 Ohjelmistopohjaisten laitteiden erityisvaatimukset Julkaisussa Licensing of safety critical software for nuclear reactors, Common position of seven European nuclear regulators and authorised technical support organisations, Revision 2010 esitetään yksityiskohtaisesti vaatimustasojen välisiä eroja eri turvaluokkaan kuuluvien ohjelmien suunnittelussa ja toteutuksessa sekä ylläpidossa. Julkaisun vaatimukset tulee ottaa soveltuvin osin huomioon automaatiojärjestelmien ja -laitteiden suunnittelussa turvallisuusluokissa 2 ja 3. Turvallisuusluokan 2 tai 3 ohjelmistopohjaisten laitteiden suunnittelussa ja toteutuksessa on noudatettava soveltuvia ydinteknisiä standardeja. Esimerkiksi IEC /EN standardiperheestä löytyvät seuraavat standardit: IEC EN 60987, Hardware design requirements for computer-based systems IEC EN 60880, Software aspects for computer-based systems performing category A functions (soveltuu turvallisuusluokkaan 2) IEC EN 62138, Software aspects for computer-based systems performing category B or C functions (luku 6 soveltuu turvallisuusluokkaan 3). Turvallisuusluokan 2 ohjelmiston suunnittelussa tulee pyrkiä yksinkertaisuuteen ja ohjelman suoritusjaksot tulee määritellä. Järjestelmän rakenteen tulee minimoida yksittäisen ohjelmavirheen vaikutuksen leviäminen. Ohjelmiston ja laitteiston rakenteen tulee olla sellainen, että asetettujen vaatimusten ja oikean toiminnan todentaminen esimerkiksi kelpoistustestien yhteydessä tai korjaus- tai muutostöiden jälkeen on mahdollista. Tehtävän suorittamisen kannalta tarpeettomat ohjelmiston osat tulee tunnistaa sekä niiden turvallisuusmerkitys tulee analysoida ja ottaa huomioon järjestelmän suunnittelussa. Ohjelmistopohjaisen laitteen tai järjestelmän vikautumistavat tulee tunnistaa ja analysoida riittävän pitkälle. Vikaantumistapojen tunnistaminen on välttämätöntä, jotta laitostason analyyseihin, joilla varmistetaan mm. eritapahtumaluokkien hyväksymiskriteerien täyttyminen sekä syvyyssuuntaisen puolustuksen erottelu ja toimivuus, saadaan tarvittavat lähtötiedot. Ohjelmoitavaan järjestelmään ja laitteeseen tulee suunnitella itsediagnostiikka, joka vastaa sen turvallisuusmerkitystä. Turvallisuusmerkitys huomioidaan siten, että itsediagnostiikan kattavuus on riittävä, jotta laitteen tai järjestelmän kokonaisluotettavuus saadaan pidettyä hyväksyttävällä tasolla huomioiden em. kattavuus ja manuaalisesti tehtävien määräaikaiskokeiden

Säteilyturvakeskus Perustelumuistio 19 (27) aikaväli ja kattavuus. Mahdollisten itsediagnostiikan vikojen vaikutus toimintaan tulee ottaa suunnittelussa huomioon, jotta järjestelmän käyttäytyminen itsediagnostiikan ohjaamana on hallittua. Turvallisuusluokitellun ohjelmistopohjaisen järjestelmän vaatimusten jäljitettävyys suunnittelu- ja toteutusprosessin eri vaiheissa tulee säilyttää. Toisin sanoen ylempien tasojen vaatimusten siirtymistä prosessien eri vaiheiden läpi on kyettävä seuraamaan ja niiden siirtyminen lopputuotteeseen on oltava mahdollista tarkistaa. Luku 6.2 Perusjärjestelmän ja sovelluksen ohjelmiston kelpoistaminen Ohjelmoitavan järjestelmän kelpoistussuunnitelman tulee sisältää sekä perusjärjestelmän että sovelluksen kelpoistus. Järjestelmäalustoille ja laitteille, joille ei edellytetä tyyppihyväksyntää, tulee tehdä soveltuvan standardin mukaista ohjelmiston arviointia järjestelmälle tai laitteelle asetetun luotettavuustavoitteen perusteella. Arviointiraportissa tulee esittää tarkastuksessa tehdyt havainnot, mahdollisten korjaavien toimenpiteiden tarve sekä perusteltu päätös ohjelmiston hyväksyttävyydestä aiottuun käyttötarkoitukseen. Kelpoistamisessa pyritään osoittamaan ohjelmiston luotettavuus ja oikea toiminta pohjautuen sekä testaukseen että ohjelmiston laatuun vaikuttaviin asioihin. Ohjelmoitavan laatuun vaikuttavia tekijöitä ovat erityisesti korkeatasoinen perusjärjestelmän ja sovelluksen suunnittelu- ja testausprosessi ja toteutukseen osallistuvan henkilöstön pätevyys sekä turvallisuuskriittiseen ohjelmistotuotantoon soveltuvien standardien käyttö. Riippumattomat tarkastukset ja vaatimustenmukaisuuden arvioinnit sekä soveltuvat työkalut ovat olennainen osa korkeatasoista ohjelmistotuotantoprosessia. Luku 6.3 Ohjelmistojen suunnittelumenetelmät ja prosessit Turvallisuusluokan 2 tai 3 ohjelmiston valmistusta varten on määriteltävä elinkaarimalli eri vaiheissa käytettävine menetelmineen soveltuvan standardin mukaisesti. Turvallisuusluokan 2 tai 3 sovelluksen ohjelmistoa suunniteltaessa ja toteutettaessa on huomioitava mahdolliset perusjärjestelmän tyyppihyväksynnässä tai arvioinnissa esitetyt ehdot ja rajoitukset. Rajoitteita voi kohdistua esimerkiksi sallittuihin ohjelmistokomponentteihin, suunnittelumenetelmiin, vikakäyttäytymisen huomiointiin tai lopputuotteen testaukseen. Turvallisuusluokan 2 ohjelmistojen suunnittelu-, valmistus- ja testausprosesseja on kunkin vaiheen toteuduttua arvioitava riippumattomasti niin, että voidaan varmistua asetettujen vaatimusten siirtymisestä oikein lopulliseen käyttöönotettavaan tuotteeseen. Useamman vaiheen riippumaton arvio voidaan tosin tehdä yhdellä kertaa, mikäli menettely on suunniteltu elinkaarimallissa ja siitä ei ole vaaraa lopputuotteen turvallisuudelle. Luku 6.4 Ohjelmistotyökalut Turvallisuusluokan 2 järjestelmien ja laitteiden suunnittelussa ja toteutuksessa käytettyjen ohjelmistotyökalujen käyttökokemusten tulee olla kattavasti ja järjestelmällisesti kerättyjä sekä dokumentoituja. Työkalujen tulee olla konfiguraationhallinnan piirissä. Turvallisuusluokan 3 järjestelmien ja laitteiden suunnittelussa ja toteutuksessa tulee käyttää standardiohjelmistotyökaluja, joiden konfiguraationhallinta, ylläpito ja vikatietojen keruu on dokumentoitu asianmukaisesti. Turvallisuusluokan 2 ohjelmistotyökalujen kelpoistusmenettelyjä määriteltäessä tulee ottaa huomioon mahdollisen työkalusta johtuvan virheen vaikutus ydinlaitoksen turvallisuuteen.

Säteilyturvakeskus Perustelumuistio 20 (27) Mahdollisen ohjelmistotyökalun virheen ilmenemisen yhteydessä noudatettavat menettelyt laitokselle asennettujen järjestelmien luotettavan toiminnan varmistamiseksi tulee dokumentoida. Tämä tarkoittaa käytännössä esimerkiksi sitä, että on olemassa ohjeet ohjelmistotyökalujen tuottamien virheilmoitusten tulkintaan ja menettelyt ohjelmiston aikaisemman kelpoistetun version palauttamiseksi käyttöön tarvittaessa. Luku 6.5 Kyberturvallisuus ja tiedonsiirrollinen erotus Sähkö- ja automaatiojärjestelmien sekä -laitteiden suunnittelussa, käytössä ja kunnossapidossa tulee huolehtia kyberturvallisuustekijöiden huomioon ottamisesta. Luvaton pääsy laitoksen turvallisuuden ja häiriöttömän toiminnan kannalta tärkeisiin tiloihin ja laitteiden mahdollisiin ohjelmistoihin tulee estää riittävien fyysisten, teknisten ja hallinnollisten turvajärjestelyjen avulla. Asiattomien ohjelmanosien asentaminen tulee estää luotettavasti suunnittelun, valmistuksen, käyttöönoton, määräaikaistestien ja kunnossapidon aikana. Luvalliset käynnit kö- ja automaatiojärjestelmien sekä -laitteiden ohjelmistoihin ja käyntien aikana tehdyt muutokset tulee voida jäljittää. Ydinlaitoksen turvallisuuden kannalta keskeisiin ohjelmistopohjaisiin järjestelmiin ei saa olla fyysistä mahdollisuutta muodostaa tiedonsiirtoyhteyttä järjestelmän ulkopuolelta sisäänpäin. Tämä tarkoittaa sitä, että ohjelmallista tiedonsiirron estämistä ulkopuolelta sisäänpäin ei katsota riittäväksi toimenpiteeksi. Tiedonsiirron tulee olla estetty siten, että ei ole olemassa mitään sähköistä tai optista tiedonsiirtoväylää ulkoa sisäänpäin. Ydinlaitoksen turvallisuuden kannalta keskeiset ohjelmistopohjaiset järjestelmät on tunnistettava ja yksilöitävä luvanhaltijan tietoturvamenettelyissä, jotta kyetään asettamaan järjestelmille oikeat tietoturvavaatimukset ja seuraamaan niiden noudattamista. Luku 6.6 Olemassa oleva ohjelmisto Olemassa olevaa ohjelmistoa koskevat samat vaatimukset kuin kehitettävää ohjelmistoa. Suunnitteluprosessin dokumentoinnissa ja toteutuksessa mahdollisesti esiintyviä puutteita voidaan korvata analyysien ja testauksen avulla. Mikäli ohjelmistoa ei esimerkiksi ole suunniteltu ydinteknisten standardien mukaisesti, voidaan muitakin ohjelmistostandardeja käyttää, kunhan arvioidaan mitä toimenpiteitä on tehtävä standardien välisten eroavaisuuksien vuoksi. Korvausmenettelyjen arvioinnissa otetaan huomioon turvallisuusluokan ja -merkityksen mukaiset vaatimukset. Olemassa olevan ohjelmiston soveltuvuusarviointia varten on analysoitava ohjelmiston rakenne ja kerrottava pois käytöstä jätettävät toiminnot. Olemassa olevan ohjelmiston ja järjestelmän dokumentoinnin on oltava sellaista, että laitteen tai ohjelmiston konfiguraation hallitseminen sekä tarvittaessa muutossuunnittelu ovat mahdollisia. Luku 6.7 Ohjelmiston testaus Ohjelmisto testaus tulee suunnitella etukäteen. Turvallisuusluokiteltujen järjestelmien tai laitteiden testisuunnitelman ja käytettävien menettelyjen tulee olla riittäviä järjestelmän tai laitteen turvallisuusmerkitykseen ja luotettavuustavoitteeseen nähden. Ohjelmisto tulee testata myös ydinlaitokselle asennettavassa laitteistossa. Turvallisuusluokkien 2 ja 3 järjestelmän sekä laitteen lopullisen testauksen tulee kattaa kaikki toiminnot ajoituksineen mukaan lukien itsediagnostiikan toiminnot niiltä osin kuin se on käytännössä mahdollista. Ohjelmiston moduulien testauksen tulee sisältää staattisia ja dynaamisia