Tiivistelmä

SIL (Safety Integrity Level) on laitteen tai järjestelmän turvallisuuden mittaamiseen määritelty käytäntö. Jotta jokin laite tai järjestelmä saisi jonkin SIL-luokituksen, on sen läpäistävä IEC 61508 standardin mukaisesti sekä järjestelmä- ja laitteistotestit. Testeissä lasketaan laitteiston ja järjestelmän todennäköisyys vikaantumiselle, eli tehdään vikaantumislaskenta.

Historiaa ja taustatietoja miksi näihin tapoihin on päädytty

Vuonna 1996 ISA (Instrument Society of America) sääti standardit luokittelemaan turvajärjestelmiä Yhdysvaltojen prosessiteollisuudessa monien työtapaturmien johdosta. Tästä syntyi standardi ISA S84.01, jonka Safety Integrity Levels (SIL) esitteli. Tämän jälkeen International Electrotechnical Commission (IEC) sääti teollisuusriippumattoman standardin, IEC 61508, joka auttoi määrittelemään turvallisuutta ohjelmoitavissa elektronisissa turvallisuus-järjestelmissä. Näiden standardien kombinaatio on ajanut teollisuuden tavoittelemaan instrumentoinneissa ratkaisuja, jotka parantavat luontaista turvallisuutta teollisuuden prosesseissa. Sivutuotteena huomattiin, että optimoituna SIL:lin keskeiset parametrit paransivat luotettavuutta sekä käytettävyysaikaa kyseisille prosesseille.

Lyhenteet

• T₁ = Proof test interval (h)
• MTBF = Mean time between failures (hour)
• MTTR = Mean time to restoration (hour)
• MRT = Mean repair time (hour)
• DC = Diagnostic coverage
• β = The fraction of undetected failures that have a common cause
• β_D = Of those failures that are detected by the diagnostic tests, the fraction that have a common cause
• β_DU = Dangerous Failure rate (per hour) of a channel in a subsystem
• PFD_G = Average probability of failure on demand for the group of voted Channels
• PFD_S = Average probability of failure on demand for the sensor subsystem
• PFD_L = Average probability of failure on demand for the logic subsystem
• PFD_FE = Average probability of failure on demand for the final element subsystem
• PFD_SYS = Average probability of failure on demand of a safety function for the E/E/PE safety-related system
• PFH_G = Probability of failure per hour for the group of voted channels
• PFH_S = Probability of failure per hour for the sensor subsystem
• PFH_L = Probability of failure per hour for the logic subsystem
• PFH_FE = Probability of failure per hour for the final element subsystem
• PFH_SYS = Probability of failure per hour of a safety function for the E/E/PE safety-related system
• λ = Total Failure rate (per hour) of a channel in a subsystem
• λ_D = Dangerous failure rate (per hour) of a channel in a subsystem, equal to 0,5 λ
• λ_DD = Detected dangerous failure rate (per hour) of a channel in a subsystem
• λ_DU = Undetected dangerous failure rate (per hour) of a channel in a subsystem
• λ_SD = Detected safe failure rate (per hour) of a channel in a subsystem
• t_CE = Channel equivalent mean down time (hour)
• t_GE = Voted group equivalent mean down time (hour)
• t_CE’ = Channel equivalent mean down time (hour)
• t_GE’ = Voted group equivalent mean down time (hour)
• T₂ = Interval between demands (h)
• K = Fraction of the success of the auto test circuit in the 1oo2D system
• PTC = Proof Test Coverage

SIL-käyttö eri turvallisuusmäärittelyissä

Seuraavat standardit käyttävät SIL:liä luotettavuuden mittaukseen ja/tai riskin vähennykseen.

• ANSI/ISA S84
• IEC EN 61508
• IEC 61511
• IEC 61513 (Ydinteollisuus)
• IEC 62061 (Koneturvallisuus)
• EN 50128 (Rautatie sovellus - ohjelmisto rautateiden hallintaan ja suojaukseen)
• EN 50129 (Rautatie sovellus - turvallisuuteen liittyvät elektroniset järjestelmät)
• EN 50402 (Kiinteät kaasunvalvontajärjestelmät)
• ISO 26262 (Autoteollisuus)
• MISRA (Yleisohje turva-analysointiin, mallinnukseen ja autoteollisuuden sovellusten ohjelmointiin)
• Defence Standard 00-56 Issue 2 - onnettomuusseuraus

SIL-tason määritteleminen

SIL:lillä (Safety Integrity Level) määritellään suhteellinen taso riskinvähennyksessä, jonka turvatoiminto tuottaa, tai määrittää tavoitetaso riskin vähentämisessä. Yksinkertaistettuna, SIL on turvatoimintojen laskentataso.

Vaatimukset tiettyyn SIL tasoon eivät ole johdonmukaisia kaikkien turvastandardien kanssa. Euroopan Toimintavarmuus standardit, jotka pohjautuvat IEC 61508 standardiin, määrittävät neljä SIL tasoa. SIL 4 on vaativin ja SIL1 kevyin. SIL määritellään perustumaan määrällisiin ja laadullisiin tekijöihin, kuten kehitysprosessiin ja turvallisuuden elinkaaren hallintaan.

IEC 61508 määrittää SIL:lin käyttäen vaatimuksia kahdesta laajasta kategoriasta: laiteturvallisuuden oikeellisuus ja järjestelmäturvallisuuden oikeellisuus. Laitteen tai järjestelmän täytyy vastata määrityksiin molemmissa kategorioissa saadakseen jonkin SIL:lin.

SIL-vaatimukset laiteturvallisuudelle perustuu laitteen todennäköisyyspohjaiselle analyysille. Saadakseen tietyn SIL:lin, laitteen täytyy vastata vaatimuksiin maksimaalisesta todennäköisyydestä vaarallisille vikaantumisille ja vähimmäisturvallisuudesta. Vaarallisen vikaantumisen konsepti täytyy olla tinkimättömästi määritelty järjestelmälle, yleensä rajoitusvaatimusten muodossa, joiden oikeellisuus tarkistetaan järjestelmän kehityksen aikana. Itse vaatimukset vaihtelevat riippuen järjestelmän mahdollisesta kysynnästä, laitteen monimutkaisuudesta, ja käytetyistä kahdennustavoista.

PFD ja RRF vähäisen kysynnän ja jatkuvan kysynnän käytössä eri SIL:leille löytyvät IEC 61508 standardista.

Vikaantumislaskennan kaavoja ja esimerkkejä

1oo1 rakenne

Yksikanavainen arkkitehtuuri, jossa mikä tahansa vaarallinen vika johtaa häiriöön turvatoiminnossa.

1oo2 rakenne

Kaksikanavainen arkkitehtuuri, jossa vain toisen kanavan tarvitsee olla vaikuttuneena ennen kuin turvatoiminto voi tapahtua. Molemmissa kanavissa pitää olla vaarallinen vika ennen kuin turvatoimintoon tulee häiriö.

2oo2 rakenne

Kaksikanavainen arkkitehtuuri, jossa molempien kanavien pitää olla vaikuttuneena ennen kuin turvatoiminto voi tapahtua.

1oo2D rakenne

Lorem ipsum

2oo3 rakenne

Arkkitehtuuri, jossa kolme kanavaa on kytketty rinnan enemmistöäänestysmenettelyllä. Ulostulosignaalin tila ei muutu jos vain yksi kanava antaa muista kanavista poikkeavan tuloksen.

Riskigraafi

IEC 61508

IEC 61508 on kansainvälinen teollisuudessa sovellettu standardi. Se on tarkoitettu periaatteelliseksi turvallisuusstandardiksi sovellettavaksi kaikille teollisuuden aloille. IEC 61508 määrittää toiminnallisen turvallisuuden osana kokonaisturvallisuutta.

Standardi kattaa koko turvallisuuden elinkaaren ja alakohtaisten standardien kehittäminen voi vaatia tulkintaa. Standardi on alkuperältään prosessinohjausteollisuudesta.

Turvallisuuden elinkaaressa on 16 vaihetta mitkä voidaan jakaa karkeasti kolmeen ryhmän seuraavasti

1. Vaiheet 1-5 kattavat analysointia
2. Vaiheet 6-13 kattavat toteutumista
3. Vaiheet 14-16 kattavat toimintaa

Kaikki vaiheet ovat mukana järjestelmän turvatoimintojen toimintalinjoissa

Standardissa on seitsemän osaa:

• Osat 1-3 sisältävät standardin vaatimukset
• Osat 4-7 ovat ohjeistuksia ja esimerkkejä kehittäjille ja siten informatiivisia.

Keskeistä standardille ovat riskin ja turvallisuuden käsitteet. Riski on taajuuden funktio (tai todennäköisyys) vaaralliselle tapahtumalle ja tapahtuman seurauksien vakavuudelle. Riskiä vähennetään siedettävälle tasolle soveltamalla turvatoimintoja, jotka koostuvat E/E/PES ja/tai muista tekniikoista. 

Hyödyt ja haitat

SIL:lin käyttö tuo luonnollisesti paljon ongelmia. Ongelmat voidaan summata seuraavasti:

• Ei yhdenmukaista määritelmää eri SIL:liä hyödyntävien standardielinten kesken.
• Prosessituotantopainotteiset mittarit johtuen SIL:listä
• SIL:lin arvio perustuu luotettavuuden arvioon
• Järjestelmien monimutkaisuus, varsinkin ohjelmistojärjestelmissä, tekee SIL-arvioinnista hyvin vaikean. Joissain tapauksissa arviointi muuttuu mahdottomaksi.

Näistä ongelmista johtuen voidaan teollisuudessa törmätä virheellisiin lausuntoihin kuten ”Tämän järjestelmän SIL on X, siksi että sen kehityksessä käytettiin prosessia, jota käytettiin järjestelmässä jonka SIL on X” tai SIL-konseptin käyttö väärässä asiayhteydessä kuten ”Tämä on SIL 3 lämmönvaihtojärjestelmä” tai ”Tämä järjestelmä on SIL 2”.

IEC 51608 -standardin mukaan SIL-konsepti täyttyy suhteuttaa järjestelmän vaarallisille vikaantumisasteille, eikä vain vikaantumisasteelle tai tietyn komponentin vikaantumisasteelle, kuten ohjelmiston. Vaarallisten vikatyyppien määritteleminen turvallisuusanalyysissä on olennainen osa vikaantumisasteen asianmukaiseen arviointiin.

Hyötypuoliksi voidaan mainita etenkin se, ettei johtajien tarvitse neljästä SIL:stä ymmärtää kuin perus-asiat, jolloin säästetään johdon tarve uppoutua SIL:lien yksityiskohtiin mahdollistaen kuitenkin puhumisen siitä. Suurimmaksi hyötypuoleksi voidaan kuitenkin laskea työtapaturmien huomattava vähentyminen, mikä on merkki standardien toimivuudesta.

Lähteet

• Inspecta Prosessiteollisuuden turva-automaatio ja IEC 61511 -kansio
• Historiaa ja taustatietoja: https://www.jlab.org/accel/ssg/safety/Functional%20Safety%20and%20SIL.pdf
• Lyhenteet ja kaavat: http://www.61508.org/wp-content/uploads/2013/03/IMC-Teesside-2012-SIL-Calculations-Easy-or-Difficult.pdf
• SIL-tason määrittäminen, Hyödyt ja haitat: http://en.wikipedia.org/wiki/Safety_Integrity_Level
• IEC 61508: http://en.wikipedia.org/wiki/IEC_61508
• https://www.automation.siemens.com/mdm/default.aspx?Language=en&GuiLanguage=en&DocVersionID=14539628939&TopicID=11433678091&Highlight=SIL%2520calculation&ShowMsg=false&Query=SIL%2520calculation
• http://www.iceweb.com.au/sis/Hima/HIMA%20-%20Comparison%20of%20PFD%20Calculation.pdf
• http://koti.mbnet.fi/asaf/IEClaskenta.pdf
• https://noppa.aalto.fi/noppa/kurssi/ke-107.4700/luennot/KE-107_4700_prosessien_riskit.pdf
• http://www.documentation.emersonprocess.com/groups/public_valvesprodlit/documents/training_info/sis_training_course_1.pdf
• http://www.mtl-inst.com/images/uploads/datasheets/App_Notes/AN9030.pdf