Sisällysluettelo

Tiivistelmä

SIL (Safety Integrity Level, suom. TET = Turvallisuuden eheystaso) on turvallisuuteen liittyvälle sähköiselle ohjausjärjestelmälle kohdennettaville turvallisuuteen liittyville ohjaustoiminnoille turvallisuuden eheyden vaatimusten määrittelemiseksi luotu laskentatapa. Jotta jokin laite tai järjestelmä saisi jonkin SIL-luokituksen, on sen läpäistävä IEC 61508 standardin mukaisesti sekä järjestelmä- että laitteistotestit. Testeissä lasketaan laitteiston ja järjestelmän todennäköisyys vikaantumiselle, eli tehdään vikaantumislaskenta. Turvallisuuden eheystaso määrittelee turvatoiminnon luotettavuuden. Turvallisuuden eheystaso 1 on matalin/heikoin ja eheystaso 4 korkein/paras.

Turvallisuuden eheystaso määritellään toiminnoille, ei järjestelmälle. Jos järjestelmä toteuttaa useampia turvatoimintoja, on turvallisuuden eheystason valittava vaativimman turvatoiminnon mukaisesti. Tämä on huomioitava kun esim. turvalogiikkaa hankittaessa tai ohjausyksikköä suunniteltaessa.

Historiaa ja taustatietoja miksi näihin tapoihin on päädytty

IEC 61508 standardin kehittyminen alkoi mekaanisista ja pneumaattisista ohjauslaitteista, jolloin turvalaitteet olivat ilman toiminnallisuutta olevia mekaanisia varolaitteita. 80-luvulla ruvettiin kehittämään hajautettuja ohjausjärjestelmiä (DCS), jotka pystyivät huolehtimaan kokonaisen teollisuuslaitoksen kaikista ohjaus- ja säätötoiminnoista. Ohjausjärjestelmien ja prosessien kehittyessä ja monimutkaistuessa haluttiin myös toiminnallisuutta sisältäviä turvatoimintoja, eikä vain varolaitteita. Usein varolaitteiden laukeaminen pysäytti koko laitoksen toiminnan ja varolaitteeseen oli tehtävä huolto ennen kuin laitos voitiin taas käynnistää. Näin yleistyivät turvatoiminnot, jotka ohjasivat järjestelmän tai laitoksen turvalliseen tilaan ennen varolaitteiden toimintaa.

Turvatoiminnot oli mahdollista toteuttaa aluksi relekytkennöillä, mutta järjestelmien monimutkaistuessa syntyi tarve lisää toiminnallisuutta sisältäville turvatoiminnoille. Releiden sijaan jouduttiin käyttämään elektroniikkaa sisältäviä laitteita, joissa toimintoja ohjasi ohjelmisto. Turvalaitteiden luotettavuuden varmistamiseksi useat maat ryhtyivät kehittämään 80-luvulla kansallisia käytäntöjä. Syyskuussa 1985 IEC perusti työryhmän, jonka tarkoituksena oli selvittää onko mahdollista kehittää yleinen standardi ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien kehitystyötä varten. Selvityksissä kävi ilmi, että kansainvälinen työ olisi käynnistettävä, jotta saataisiin yhtenäinen menettelytapa turvallisuuteen liittyvien järjestelmien kehitystyö luotua.

Standardien kehitystyön käynnistyttyä syntyi vuonna 1995 luonnos standardista IEC 1508. Tästä ei tosin julkaistu valmista versiota, vaan sitä kehitettiin kokemusten perusteella paremmaksi, jolloin vuosina 1998 ja 2000 julkaistiin standardi IEC 61508. Uusi standardi toi riskiarvioon perustuvan turvallisuuden varmistamisen sekä erilaisia riskitasoja vastaavat turvallisuuden eheyden tasot (SIL, suom. TET).

Vuonna 1996 ISA (Instrument Society of America) sääti standardit luokittelemaan turvajärjestelmiä Yhdysvaltojen prosessiteollisuudessa monien työtapaturmien johdosta. Tästä syntyi standardi ISA S84.01, jonka Safety Integrity Levels (SIL) esitteli. International Electrotechnical Commission (IEC) sääti teollisuusriippumattoman standardin, IEC 61508, joka auttoi määrittelemään turvallisuutta ohjelmoitavissa elektronisissa turvallisuus-järjestelmissä. Näiden standardien kombinaatio on ajanut teollisuuden tavoittelemaan instrumentoinneissa ratkaisuja, jotka parantavat luontaista turvallisuutta teollisuuden prosesseissa. Samalla huomattiin, että optimoituna SIL:lin keskeiset parametrit paransivat luotettavuutta sekä käytettävyysaikaa kyseisille prosesseille. Vuonna 2010 IEC 61508 standardista julkaistiin toinen painos.

Lyhenteet

• T₁ = Proof test interval (h)
• MTBF = Mean time between failures (hour)
• MTTR = Mean time to restoration (hour)
• MRT = Mean repair time (hour)
• DC = Diagnostic coverage
• β = The fraction of undetected failures that have a common cause
• β_D = Of those failures that are detected by the diagnostic tests, the fraction that have a common cause
• β_DU = Dangerous Failure rate (per hour) of a channel in a subsystem
• PFD_G = Average probability of failure on demand for the group of voted Channels
• PFD_S = Average probability of failure on demand for the sensor subsystem
• PFD_L = Average probability of failure on demand for the logic subsystem
• PFD_FE = Average probability of failure on demand for the final element subsystem
• PFD_SYS = Average probability of failure on demand of a safety function for the E/E/PE safety-related system
• PFH_G = Probability of failure per hour for the group of voted channels
• PFH_S = Probability of failure per hour for the sensor subsystem
• PFH_L = Probability of failure per hour for the logic subsystem
• PFH_FE = Probability of failure per hour for the final element subsystem
• PFH_SYS = Probability of failure per hour of a safety function for the E/E/PE safety-related system
• λ = Total Failure rate (per hour) of a channel in a subsystem
• λ_D = Dangerous failure rate (per hour) of a channel in a subsystem, equal to 0,5 λ
• λ_DD = Detected dangerous failure rate (per hour) of a channel in a subsystem
• λ_DU = Undetected dangerous failure rate (per hour) of a channel in a subsystem
• λ_SD = Detected safe failure rate (per hour) of a channel in a subsystem
• t_CE = Channel equivalent mean down time (hour)
• t_GE = Voted group equivalent mean down time (hour)
• t_CE’ = Channel equivalent mean down time (hour)
• t_GE’ = Voted group equivalent mean down time (hour)
• T₂ = Interval between demands (h)
• K = Fraction of the success of the auto test circuit in the 1oo2D system
• PTC = Proof Test Coverage

SIL-käyttö eri turvallisuusmäärittelyissä

Seuraavat standardit käyttävät SIL:liä luotettavuuden mittaukseen ja/tai riskin vähennykseen.

• ANSI/ISA S84
• IEC EN 61508
• IEC 61511
• IEC 61513 (Ydinteollisuus)
• IEC 62061 (Koneturvallisuus)
• EN 50128 (Rautatie sovellus - ohjelmisto rautateiden hallintaan ja suojaukseen)
• EN 50129 (Rautatie sovellus - turvallisuuteen liittyvät elektroniset järjestelmät)
• EN 50402 (Kiinteät kaasunvalvontajärjestelmät)
• ISO 26262 (Autoteollisuus)
• MISRA (Yleisohje turva-analysointiin, mallinnukseen ja autoteollisuuden sovellusten ohjelmointiin)
• Defence Standard 00-56 Issue 2 - onnettomuusseuraus

SIL-tason määritteleminen

SIL:lillä (Safety Integrity Level) määritellään suhteellinen taso riskinvähennyksessä, jonka turvatoiminto tuottaa tai määrittää tavoitetason riskin vähentämisessä. Yksinkertaistettuna, SIL on turvatoimintojen laskentataso.

Vaatimukset tiettyyn SIL tasoon eivät ole johdonmukaisia kaikkien turvastandardien kanssa. Euroopan Toimintavarmuus standardit, jotka pohjautuvat IEC 61508 standardiin, määrittävät neljä SIL tasoa. SIL 4 on vaativin ja SIL1 kevyin. SIL määritellään perustumaan määrällisiin ja laadullisiin tekijöihin, kuten kehitysprosessiin ja turvallisuuden elinkaaren hallintaan.

Turvallisuuden eheystasojen erot voidaan karkeasti selittää periaatteellisella tasolla näin;

• SIL 1: Melko helppo saavuttaa noudattamalla laadukkaita toimintatapoja ja dokumentoimalla työvaiheet hyvin.
• SIL 2: Ei merkittävästi eroa SIL1 vaatimuksista, mutta vaatii hieman tarkempaa suunnittelua ja enemmän todentamista sekä testaamista.
• SIL 3: Vaatii merkittävästi enemmän työtä kuin SIL2. Työvaiheissa on paljon todentamista ja lopputulos täytyy kelpuuttaa. Erikoismenetelmiä on käytettävä jonkin verran.
• SIL 4: Vaatii erittäin paljon työtä ja myös formaalien menetelmien käyttöä. Osaamista on vaikea löytää ja työ on kallista. Yleensä SIL4-tason vaatimuksia yritetään välttää, tai asia ratkaistaan muilla menetelmillä.

Projekteissa on hyvä huomata, että valittu SIL/TET-taso vaikuttaa merkittävästi kustannuksiin.

IEC 61508 määrittää SIL:lin käyttäen vaatimuksia kahdesta laajasta kategoriasta: laiteturvallisuuden oikeellisuus ja järjestelmäturvallisuuden oikeellisuus. Laitteen tai järjestelmän täytyy vastata määrityksiin molemmissa kategorioissa saadakseen jonkin SIL:lin.

SIL-vaatimukset laiteturvallisuudelle perustuu laitteen todennäköisyyspohjaiselle analyysille. Saadakseen tietyn SIL:lin, laitteen täytyy vastata vaatimuksiin maksimaalisesta todennäköisyydestä vaarallisille vikaantumisille ja vähimmäisturvallisuudesta. Vaarallisen vikaantumisen konsepti täytyy olla tinkimättömästi määritelty järjestelmälle, yleensä rajoitusvaatimusten muodossa, joiden oikeellisuus tarkistetaan järjestelmän kehityksen aikana. Itse vaatimukset vaihtelevat riippuen järjestelmän mahdollisesta kysynnästä, laitteen monimutkaisuudesta, ja käytetyistä kahdennustavoista.

PFD (Probability of Failure on Demand) ja RRF (Risk Reduction Factor) vähäisen ja jatkuvan kysynnän käytössä eri SIL:leille löytyvät määriteltyinä IEC 61508 standardista tai tästä.

Vikaantumislaskennan kaavoja ja esimerkkejä

1oo1 rakenne

Yksikanavainen arkkitehtuuri, jossa mikä tahansa vaarallinen vika johtaa häiriöön turvatoiminnossa.

1oo2 rakenne

Kaksikanavainen arkkitehtuuri, jossa vain toisen kanavan tarvitsee olla vaikuttuneena ennen kuin turvatoiminto voi tapahtua. Molemmissa kanavissa pitää olla vaarallinen vika ennen kuin turvatoimintoon tulee häiriö.

2oo2 rakenne

Kaksikanavainen arkkitehtuuri, jossa molempien kanavien pitää olla vaikuttuneena ennen kuin turvatoiminto voi tapahtua.

1oo2D rakenne

Arkkitehtuuri, jossa kaksi rinnan kytkettyä kanavaa. Molempien kanavien toimiessa normaalisti molempien kanavien pitää olla vaikuttuneena ennen kuin turvatoiminto voi tapahtua. Lisäksi, jos diagnostiikkatestit havaitsevat vikaa jommassa kummassa kanavassa, lähdön tila noudattaa viattoman kanavan tilaa.

Jos diagnostiikkatestit havaitsevat vian tai ristiriitaa molemmissa kanavissa jota ei voida sallia, lähtö menee turvalliseen tilaan.

Jotta ristiriita voitaisiin havaita kanavien välillä, jompi kumpi kanava voi määrittää toisen kanavan tilan toisesta kanavasta riippumattomin keinoin.

2oo3 rakenne

Arkkitehtuuri, jossa kolme kanavaa on kytketty rinnan enemmistöäänestysmenettelyllä. Ulostulosignaalin tila ei muutu jos vain yksi kanava antaa muista kanavista poikkeavan tuloksen.

Riskigraafi

IEC 61508

IEC 61508 on kansainvälinen teollisuudessa sovellettu standardi. Se on tarkoitettu periaatteelliseksi turvallisuusstandardiksi sovellettavaksi kaikille teollisuuden aloille. IEC 61508 määrittää toiminnallisen turvallisuuden osana kokonaisturvallisuutta.

Standardi kattaa koko turvallisuuden elinkaaren ja alakohtaisten standardien kehittäminen voi vaatia tulkintaa. Standardi on alkuperältään prosessinohjausteollisuudesta.

Turvallisuuden elinkaaressa on 16 vaihetta mitkä voidaan jakaa karkeasti kolmeen ryhmän seuraavasti

1. Vaiheet 1-5 kattavat analysointia
2. Vaiheet 6-13 kattavat toteutumista
3. Vaiheet 14-16 kattavat toimintaa

Kaikki vaiheet ovat mukana järjestelmän turvatoimintojen toimintalinjoissa

Standardissa on seitsemän osaa:

• Osat 1-3 sisältävät standardin vaatimukset
• Osat 4-7 ovat ohjeistuksia ja esimerkkejä kehittäjille ja siten informatiivisia.

Keskeistä standardille ovat riskin ja turvallisuuden käsitteet. Riski on taajuuden funktio (tai todennäköisyys) vaaralliselle tapahtumalle ja tapahtuman seurauksien vakavuudelle. Riskiä vähennetään siedettävälle tasolle soveltamalla turvatoimintoja, jotka koostuvat E/E/PES ja/tai muista tekniikoista. 

Hyödyt ja haitat

SIL:lin käyttö tuo luonnollisesti paljon ongelmia. Ongelmat voidaan summata seuraavasti:

• Ei yhdenmukaista määritelmää eri SIL:liä hyödyntävien standardielinten kesken.
• Prosessituotantopainotteiset mittarit johtuen SIL:listä
• SIL:lin arvio perustuu luotettavuuden arvioon
• Järjestelmien monimutkaisuus, varsinkin ohjelmistojärjestelmissä, tekee SIL-arvioinnista hyvin vaikean. Joissain tapauksissa arviointi muuttuu mahdottomaksi.

Näistä ongelmista johtuen voidaan teollisuudessa törmätä virheellisiin lausuntoihin kuten ”Tämän järjestelmän SIL on X, siksi että sen kehityksessä käytettiin prosessia, jota käytettiin järjestelmässä jonka SIL on X” tai SIL-konseptin käyttö väärässä asiayhteydessä kuten ”Tämä on SIL 3 lämmönvaihtojärjestelmä” tai ”Tämä järjestelmä on SIL 2”.

IEC 51608 -standardin mukaan SIL-konsepti täyttyy suhteuttaa järjestelmän vaarallisille vikaantumisasteille, eikä vain vikaantumisasteelle tai tietyn komponentin vikaantumisasteelle, kuten ohjelmiston. Vaarallisten vikatyyppien määritteleminen turvallisuusanalyysissä on olennainen osa vikaantumisasteen asianmukaiseen arviointiin.

Hyötypuoliksi voidaan mainita etenkin se, ettei johtajien tarvitse neljästä SIL:stä ymmärtää kuin perus-asiat, jolloin säästetään johdon tarve uppoutua SIL:lien yksityiskohtiin mahdollistaen kuitenkin puhumisen siitä. Suurimmaksi hyötypuoleksi voidaan kuitenkin laskea työtapaturmien huomattava vähentyminen, mikä on merkki standardien toimivuudesta.

Lähteet

• Inspecta Prosessiteollisuuden turva-automaatio ja IEC 61511 -kansio
• Historiaa ja taustatietoja: https://www.jlab.org/accel/ssg/safety/Functional%20Safety%20and%20SIL.pdf
• Lyhenteet ja kaavat: http://www.61508.org/wp-content/uploads/2013/03/IMC-Teesside-2012-SIL-Calculations-Easy-or-Difficult.pdf
• SIL-tason määrittäminen, Hyödyt ja haitat: http://en.wikipedia.org/wiki/Safety_Integrity_Level
• IEC 61508: http://en.wikipedia.org/wiki/IEC_61508
• https://www.automation.siemens.com/mdm/default.aspx?Language=en&GuiLanguage=en&DocVersionID=14539628939&TopicID=11433678091&Highlight=SIL%2520calculation&ShowMsg=false&Query=SIL%2520calculation
• http://www.iceweb.com.au/sis/Hima/HIMA%20-%20Comparison%20of%20PFD%20Calculation.pdf
• http://koti.mbnet.fi/asaf/IEClaskenta.pdf
• https://noppa.aalto.fi/noppa/kurssi/ke-107.4700/luennot/KE-107_4700_prosessien_riskit.pdf
• http://www.documentation.emersonprocess.com/groups/public_valvesprodlit/documents/training_info/sis_training_course_1.pdf
• http://www.mtl-inst.com/images/uploads/datasheets/App_Notes/AN9030.pdf