Vikasietoisuus tarkoittaa koneen kykyä jatkaa toimintaansa mekaanisen tai sähköisen vian ilmetessä. Turva-automaatiolaitteilta vaaditaan suurta sietokykyä vikaantumisille, jotta turva-automaatiojärjestelmä voi luotettavasti pysäyttää tai muutoin saattaa koneen tai prosessin turvalliseen tilaan häiriö- tai vaaratilanteessa. Vikasietoisuuden vähimmäisvaatimukset on määritetty prosessin turvallisuuden eheystason (TET, eng. SIL) mukaan. Turva-automaatiojärjestelmän (TAJ) sisäänrakennettua vikasietoisuutta voidaan parantaa redundanssilla niin, että kaikkien rinnakkaisten suojauskanavien laitteiden ja järjestelmien toiminta tulee varmuudella todetuksi.

Toimimattomasta turva-automaatiojärjestelmästä voi seurata vakavia henkilö-, ympäristö- tai omaisuusvahinkoja

sisällysluettelo

TLJ/TAJ vaatimusmäärittely

• Edellytys manuaaliselle alasajolle
• Edellytys TLJ/TAJ resetoimiselle alasajon jälkeen
• Edellytys sähköjen päälle- ja poiskytkemisestä

• Vikatilat ja muu suunniteltu käytös TLJ/TAJ:lle (esim. hälytykset ja automaattinen sammutus)

• Ei lainkaan erikoisvaatimuksia TLJ/TAJ:n käynnistämiseen tai uudelleen käynnistämiseen

• Kaikki käyttöliittymät TLJ:n ja minkä tahansa muun systeemin välillä (???)

• Kuvaus jokaisesta toimintatilasta tehtaan operaatioissa ja tunnistus turvalaitteiden toiminnoista joka toimintatilassa

• Äärirajat kaikista ympäristön olosuhteista, joille TAJ voi altistua, täytyy tunnistaa. Tämä voi sisältää: lämpötilan, kosteuden, epäpuhtaudet, maadoitukset, sähkömagneettiset häiriöt (EMI/RFI), värinät, sähköstaattiset purkaukset (ESD), sähköisen alueen luokitukset, tulvat, salamaniskut ja muut vastaavat.
• Tunnistus normaaleille ja epänormaaleille tiloille koskien koko tehdasta (esim. tehtaan käynnistys) ja yksittäisiä operaatioita (kuten laitehuolto, mittarien kalibrointi tai korjaus). Ylimääräiset turvatoiminnot voivat olla vaadittuja näiden tilojen toteuttamiseksi.
• Määrittely vaatimuksista jokaisella turvatoiminnolla, jotka vaaditaan selviytymiseen vakavasta onnettomuudesta, esim. venttiilin vaadittu toimivuusaika tulipalossa

Ohjelmistosovelluksen turvavaatimukset

• • Vaatimukset ohituksille, estoille ja sivuuttamisille mukaanlukien niiden poistaminen

  • Selitys jokaisesta vaaditusta toimenpiteestä, kun TAJ:ssä havaitaan turvatila

  • Keskimääräinen aika huoltotoimenpiteille TLJ liityen, ottaa huomioon matka-ajan, sijainnin, varaosatilanteen, huoltosopimukset ja ympäristörajoitteet

  • Tunnistus TAJ:n lähdöissä vaarallisille kombinaatioille, joita pitää välttää

  • Ohjelmiston vaatimusmäärittely on johdettu turvavaatimusmäärittelystä ja TAJ:n valitusta arkkitehtuurista
    
    

TLJ/TAJ suunnittelu

Vikasietoisuusvaatimukset

Turvallisuustoimintoja (SIF) varten on antureilla, logiikoilla ja päätelaitteilla (final elements) oltava vikasietoisuuden vähimmäisvaatimukset (eng. HFT, hardware fault tolerance).

Taulukko 1 - Ohjelmoitavien logiikoiden (PE logic solvers) vikasietoisuuden vähimmäisvaatimukset

Taulukko 2 - Vikasietoisuuden vähimmäisvaatimukset antureille ja muille turvalaitteille pl.ohjelmoitavat logiikat

Kaikille alisysteemeille, pl. ohjelmoitavat logiikat, vikasietoisuuden vähimmäisvaatimusta taulukossa 2 voidaan pienentää yhdellä, mikäli kaikki seuraavat ehdot toteutuvat:

• Laitteen komponentit ovat todettu toimiviksi
• Laite sallii vain prosessikohtaisten parametrien, kuten mittausalueen tai ylä- ja alahäiriörajojen säädön
• Laitteiston prosessikohtaisten parametrien säätö on suojattu esimerkiksi salasanalla tai jompilla
• Toiminnolla on alle 4 SIL/TET vaatimus

Vaihtoehtoisia vikasietoisuusvaatimuksia voidaan käyttää IEC 61508-2 standardin mukaisesti

Komponenttien valinta

• Komponentit ja alisysteemit, joita käytetään osana SIL 1 - SIL 3 tasoisessa TAJ:ssä täytyy olla yhtäpitävä IEC 61508-2 ja IEC 61508-3 standardien kanssa, tai muutoin niiden on oltava yhtäpitävä HFT:n (hardware fault tolerance)  ja aikaisempien käyttövaatimusten kanssa
• Komponentit ja alisysteemit, joita käytetään osana SIL 4 tasoisessa TAJ:ssä täytyy olla yhtäpitävä IEC 61508-2 ja IEC 61508-3 standardien kanssa
• Valittujen komponenttien sopivuus tulee esittää laitteiston sekä siihen sulautetun ohjelmiston valmistajien dokumentaatioissa ja jos mahdollista soveltuva kieli- ja työkaluvalikoima
• Komponenttien ja alisysteemien on oltava yhtenäisiä TAJ/TLJ vaatimusmäärittelyn kanssa
• Kts. Vaatimukset komponenteille

Kenttälaitteet

• Kenttälaitteet tulee valita ja asentaa niin, että prosessista ja olosuhteista johtuvat vioittumiset ja väärät mittaukset ovat minimaaliset. Olosuhteita, jotka tulee ottaa huomioon ovat mm. korroosio, putkien jäätyminen, saostuminen, polymerointi, kiehuminen, lämpötilan ja paineen ääripäät sekä kondensaatio
• Älykkäiden antureiden tulee olla kirjoitussuojattuja,jotta tahaton etämuokkaus estyy, ellei asianmukainen turvallisuustarkastus salli kirjoittamista
• Jokaisella yksittäisellä kenttälaitteella tulee olla oma johdotus järjestelmän tuloon/lähtöön, poislukien seuraavat tilanteet:
  • Useita erillisiä antureita on kytketty sarjassa yhteen tuloon, ja ne kaikki mittaavaat samaa asiaa, esim. moottorin ylikuormituksia
  • Useita päätelaitteita on kytketty yhteen lähtöön
  • Digitaalinen väyläkomunnikointi, jolla on kokonaisvaltainen turvallisuusluokittelu samalla tasolla, kuin sen palvelevalla toiminnolla

Liityntärajapinnat

• TAJ:n kommunikointirajapinnan suunnittelussa täytyy varmistaa, ettei mikään vika kommunikoinnissa pysty estämään TAJ:tä tuomasta prosessia turvalliseen tilaan
• TAJ:n täytyy pystyä kommunikoimaan BPCS:n (Business Planning and Control System) ja oheislaitteiden kanssa, kuitenkin vaikuttamatta turvatoimintoihin (SIF, Safety Instrumented Functions)
• Kommunikointirajapinnan täytyy olla tarpeeksi kestävä sietääkseen sähkömagneettisia häiriöitä mukaanlukien jännitepiikit ilman vakavia vaurioita
• Kommunikointirajapinnan täytyy toimia laitteiden välillä, joilla on eri maapotentiaali

Vikaantumistodennäköisyys

• Todennäköisyys vikaantumiselle jokaisessa turvallisuustoiminnossa pitää olla yhtä suuri tai vähemmän kuin vaatimusmäärittelyssä esitetty. Tämä selvitetään vikaantumislaskennalla

IEC 61508

Kansainvälinen standardi, jota sovelletaan teollisuudessa sisältäen:

• • • Yksityiskohtaiset vaatimukset toiminnallisesta turvallisuudesta kaikille teknisille systeemeille
    • Ohjeita ja ratkaisumalleja automaatiojärjestelmän suunnitteluun
    • Ohjeita ja ratkaisumalleja automaatiojärjestelmän toteutukseen
    • Ohjeita ja ratkaisumalleja automaatiojärjestelmän testaukseen
    • Ohjeita ja ratkaisumalleja automaatiojärjestelmän käyttöönottoon
    • Esityksen yksityiskohtaisesti edellytyksistä saavuttaa tietty turvallisuuden eheyden taso ja vaihtoehtoja siihen
      
      

Lähteet

• Inspecta Prosessiteollisuuden turva-automaatio ja IEC 61511 -kansio
• http://www.tukes.fi/Tiedostot/kemikaalit_kaasu/Turva-automaatio_prosessiteollisuudessa.pdf
• http://www.theseus.fi/bitstream/handle/10024/40745/Loikkanen_Eetu.pdf?sequence=1
• http://en.wikipedia.org/wiki/Fault_tolerance
• http://en.wikipedia.org/wiki/Safety_instrumented_system
• http://en.wikipedia.org/wiki/Spurious_trip_level