IEC61511 – Vaatimukset ja niiden määrittäminen
Automaatiojärjestelmän suunnittelu ja toteutus
Standardissa iec61511 on määritelty jokaiselle turva-automaatiosysteemille omat vaatimukset. Jokaiselle turvatoiminnolle järjestelmässä on määrätty omat turvallisuustaso(SIL= safety integrity level) ja ohjeet suunnitteluun. Jokaisella osa-alueella tulee olla luokitus. Standardi määrittelee muun muassa erot eri järjestelmäosien välillä, jotta jokainen järjestelmä toimisi oikein vaaratilanteissa. Kun järjestelmän osat pidetään omina kokonaisuuksinaan, voidaan niitä tarvittaessa muuttaa ja huoltaa vaivatta. Vaaratilanteen arviointi on myös helpompaa osien ollessa erillään. Jos yleisissä laitteissa ilmenee ongelma, tulee analyysi tehdä koko vaara-asteen määrittämiseksi. Vaara-aste määritellään yleisten osien ja muiden vaaran lähteiden summasta. Turva-automaation turvallisuustasojen(SIS) ja yleisen suunnittelusysteemin(BPCS) rajapinnan voi määritellä monella eri tavalla. Molemmissa voidaan käyttää samaa teknologiaa erikseen tai kahta tai useampaa eri systeemiä. Suunnittelu helpottuu, jos käytetään samaa systeemiä. Se myös vähentää huoltoriskien määrää. Tosin eri teknologiaa käytettäessä voidaan turvallisuustaso nostaa ylimmälle tasolle, kun taas samaa teknologiaa käytettäessä, voidaan turvata alemmat tasot. Suunnittelussa on 4 aluetta, jossa turvallisuustasojen ja yleisen suunnittelusysteemin ero tulee huomioida. Nämä neljä ovat anturit, kenttälaitteet, logiikka ja johdotus.
Kenttälaitteille tulee tarkentaa erottelua, jos sama laite käyttää sekä SIS:ää sekä BPCS:ä. Jos anturi rikkoutuu, eri systeemien välille tulee ristiriita joka aiheuttaa vaaratilanteen. Samalla anturilla voi käyttää molempia systeemejä vain, jos ne toimivat tarpeeksi tehokkaasti ja nopeasti. Tämä on kuitenkin todella vaikea täyttää jo alhaisimmassakin turva-luokassa.
Kenttälaitteiden kohdalla asia on samankaltainen. Jos venttiiliä ohjataan molemmilla systeemeillä, se saattaa lopettaa toimintansa turvaohjauksen ristiriidan takia. Vain jos molempia järjestelmiä käytetään peräkkäin, ne voivat toimia oikein.
Johdotus on yleisesti molemmille systeemeille omansa. Mahdollisessa onnettomuudessa samoilla johdotuksilla olevat järjestelmät kytkeytyisivät molemmat pois päältä. Johtoja vetäessä tulee noudattaa huolellisuutta ja tarkkuutta, ettei tulevaisuudessakaan tapahdu sekaannuksia.
Jokaisella työntekijällä on oma roolinsa turvallisuuden kannalta. Standardissa määritellään analyysi työntekijän luotettavuudelle, jotta virheet ja viat voidaan huomata ja korjata ajallaan. Kun tiedetään mitä työntekijä tekee, saadaan eroteltua koneen toiminnan häiriöt inhimillisestä erheestä. HRA eli ihmisen luotettavuusanalyysi on tarkoitettu tunnistamaan tilanteet, joissa ihmiset tekevät virheitä. Ihmisen tekemiä virheitä voivat olla kalibroinnissa tulleet virheet, huollon yhteydessä tehdyt virheet tai suunnitteluvaiheessa tehdyt virheet.
SIS:lle tulee asettaa uudelleenkäynnistystä varten omat asetukset. Jos laitteet käynnistyvät itsestään virheen jälkeen, voivat työntekijät ja laitteisto olla vaarassa. Yleisesti ainoastaan manuaalinen uudelleenkäynnistys pitäisi olla mahdollinen.
Manuaalinen käynnistys ja sammutus ovat irrallaan turva-systeemeistä, jotta koneen voi sammuttaa hätätilanteessa. Jos on tarpeen, hätäpysäytyksen voi asettaa osaksi turvalogiikkaa.
Hardwaren virhetoleranssin suunnittelussa perinteinen tapa on, että virhe ei aiheuta laitteen toiminnon menettämistä. Systeemien suunnittelussa on käytössä sama lähestymistapa turvasysteemille, jotta laitteet ovat tarpeeksi kestäviä satunnaisia ongelmia vastaan.
Komponenttien valinnassa vaatimuksena on, että sekä IEC61511-, IEC61508-2 ja IEC61508-3- standardit täytetään. Toinen vaihtoehto on käyttää komponentteja ja systeemejä, jotka ovat käytössä toisessa samanlaisessa kokonaisuudessa. Laitteiden tulee molemmissa tapauksissa täyttää seuraavat vaatimukset: komponentin tulee olla tarpeeksi luotettava saavuttaakseen vaarallisten vikojen indeksin, täyttää arkkitehtuuriset rajoitteet ja on tarpeeksi kestävä.
Vain harvat kenttälaitteet on suunniteltu standardien IEC61508-2 ja -3 mukaan. Suunnittelijoiden tulee siis luottaa vahvasti käytössä testaukseen. Käyttäjillä on yleensä valmiit listat laitteista, jotka toimivat testattu käytössä- periaatteella. Jos listaa ei ole, käyttäjän tulee toteuttaa analyysi, jolla todetaan laitteiden riittävä toimivuus ja varmuus. Mitä monimutkaisempi laite on kyseessä, sitä vaikeampi se on todeta hyväksi. Kenttälaitteille on laadittu yleiset ohjeet, jotka tulee täyttää. Niihin kuuluvat toiminnallisuus, toimintasäde, prosessin asetukset ja prosessiin liitettävyys. Logiikkapuolelle on myös omat ohjeet, joihin kuuluu hardwaren suunnittelu, softwaren konfiguraatio, käyttösofta, I/O-konfigurointi, vaste-aika ja prosessin vaatimustaso. Kaikille laitteille tulee myös selvittää ympäristövaikutukset ja EMC.
Operaattorin käyttöliittymään, jolla kommunikoidaan operaattorin ja turvasysteemin välillä, tulee kuulua videonäyttö, paneeli, johon kuuluu napit ja kytkimet, kuulutuslaite, printteri tai jokin näiden yhdistelmä. Näyttö voi toimia sekä SIS:n että PBCS:n kanssa samanaikaisesti ainoastaan näyttämään tietoja. Hätätilanteessa näytön tulisi toimia turvallisuusvaatimusten mukaan. On tärkeää, että näyttö varoittaa operaattoria mahdollisessa vikatilanteessa. Kytkinpaneelien tulee olla helposti saavutettavissa. Ne tulee olla järjestetty mahdollisimman selkeästi. Printterien ei tule olla kytkettynä turvajärjestelmän niin, että ne aiheuttavat haittaa muulle systeemille. Printterin pitää toimia koko ajan, ettei sen toiminta aiheuta tärkeän datan menettämistä.
Käyttöliittymien, joita käytetään hardware- ja software-kehitykseen ja muuntamiseen sekä näyttämään turvasysteemin diagnostiikkaa, tulisi pystyä näyttämään kaikkien turvasysteemin komponenttien tilat.