SIL Osa 1: Satunnainen laitteiston eheys

 

Mitä on toiminnallinen turvallisuus?

Toiminnallinen turvallisuus on potentiaalisesti vaarallisten olosuhteiden aktiivista tunnistamista, joka johtaa suojaavien mekanismien tai toimintojen vaatimuksiin, jotta vältetään tai vähennetään mahdollisten vaarallisten tapahtumien vaikutukset.

Muodostaen osan ohjauksen alaisten laitteiden (Equipment under Control, EUC) kokonaisturvallisuudesta, toiminnallinen turvallisuus keskittyy elektroniikkaan ja siihen liittyvään ohjelmistoon.

IEC 61508 on kansainvälinen standardi “Sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus”. Toiminnallisen turvallisuuden kattostandardina se muodostaa pohjan monille toimialakohtaisille johdannaisille, kuten IEC 61511 prosessiteollisuudelle.

Turvallisuuden elinkaari -mallia noudattaen standardit muodollistavat toiminnallisen turvallisuuden hallintaa ja antavat tapoja ja tekniikoita suunnitella turva-automaatiojärjestelmiä (Safety Instrumented Systems, SIS) ja vastaavia toimintoja (Safety Instrumented Functions, SIF).

 

IEC 61511 Turvallisuuden elinkaari

 

Turvallisuuden elinkaaren avainelementti on turvallisuusvaatimusten erittelyn (Safety Requirement Specification, SRS) luonti. Perustuen elinkaaren vaara- ja riskiarviointivaiheista saatavaan tietoon, tämä dokumentti toimii turvallisuusjärjestelmän suunnittelun toiminnallisuuden, eheyden ja validoinnin pohjana.

 

 

Mitä on SIL?

Turvallisuusvaatimusten erittely (SRS) dokumentoi kaikkien jäännösriskien vähennystarpeen tason, mitä vaaditaan turvallisuusjärjestelmän suunnittelulta, ja määrittää vastaavan tavoiteltavan SIL-tason.

 

Turvallisuuden eheystaso (Safety Integrity Level, SIL) on turvallisuustoiminnon antama suhteellinen riskinvähennyksen taso. SIL-tasoja on määritelty neljä erillistä, 1…4, joista SIL 4 tarjoaa korkeimman turvallisuuden eheystason ja vastaavan riskinvähennyskertoimen (Risk Reduction Factor, RRF).

 

SIL	Riskinvähennyskerroin – RRF
4	> 10.000...≤ 100.000
3	> 1.000...≤ 10.000
2	> 100...≤ 1.000
1	>10...≤ 100

 

 

Kuinka tietty SIL-taso saavutetaan?

SIL-toteutus vaatii turvatoiminnon suunnittelun täyttävän kolme erityistä kriteeriä standardin mukaisesti.

Nämä tiukat kriteerit ovat: satunnainen laitteiston eheys, arkkitehtuurin rajoitteet ja systemaattinen kyvykkyys.

 

Tämä tekstiosa keskittyy numeroon 1 – Satunnainen laitteiston eheys (Random Hardware Integrity). Tietoja kahdesta muusta saat klikkaamalla näitä linkkejä: arkkitehtuurin rajoitteet ja systemaattinen kyvykkyys.

 

 

PR electronics tarjoaa valikoiman SIL-sertifioituja laitteita moniin SIL-sovelluksiin.

 

 

Mitä on satunnainen laitteiston eheys?

Satunnainen laitteiston eheys liittyy satunnaisiin laitteiston vikaantumisiin. Jos turvallisuusjärjestelmät olisivat 100% luotettavia, silloin jäännösriskit olisi vähennetty nollaan ja kaikki järjestelmät olisivat 100% turvallisia.

Tämä ei ole saavutettavissa, niinpä meidän on ilmaistava määrällisesti turvallisuustoiminnon vikaantumisen todennäköisyys, kun sitä tarvitaan. Kun ymmärrämme tämän, pystymme määrittämään riskinvähennystason, jonka se todennäköisesti tarjoaa.

Turva-automaatiotoiminnot (SIF), jotka toimivat “harvojen vaateiden (Low Demand)” -moodissa, käyttävät keskimääräistä vikaantumistodennäköisyyttä vaateesta (Average Probability of Failure On Demand, PFDavg), luotettavuutta kuvaavana mittalukuna, kun taas “tiheiden vaateiden (High Demand)”- tai “jatkuvan toiminnan (Continuous Demand)” -moodin SIF käyttää mittalukua vikaantumistodennäköisyys tunnissa (Probability of Failure per Hour, PFH).

 

Taulukko 4 standardissa IEC 61511 kertoo kuinka nämä arvot vertautuvat riskinvähennyskertoimeen (RRF), jota tarjotaan Low Demand SIF-toiminnoille:

SIL	Riskinvähennyskerroin – RRF	PFDavg -alue
4	> 10.000...≤ 100,000	≥ 10-5 < 10-4
3	> 1.000...≤ 10,000	≥ 10-4 < 10-3
2	> 100...≤ 1.000	≥ 10-3 < 10-2
1	>10...≤ 100	≥ 10-2 < 10-1

IEC 61511 - Taulukko 4

 

 

Taulukko 5 näyttää vastaavat arvot High/Continuous Demand SIF-toiminnoille:

SIL	Vikaantumistodennäköisyys tunnissa – PFH
4	> 10-9 ≤ 10-8
3	> 10-8 ≤ 10-7
2	> 10-7 ≤ 10-6
1	> 10-6 ≤ 10-5

IEC 61511 - Taulukko 5

 

 

Turva-automaatiotoiminnon PFD_avg -arvon laskentaan tarvitaan analyysiä sen osatekijöistä. Tyypillinen SIF koostuu anturialijärjestelmästä, logiikkasuorittimesta ja loppuelementtialijärjestelmästä.

 

Esimerkkejä SIF-komponenteista alla:

 

 

Vikaantumisanalyysitekniikoita, kuten FMEDA (Failure Modes Effects and Diagnostics Analysis), käytetään laajasti määrittelemään yksittäisten laitteiden vikamoodeja ja diagnostiikkakykyjä.

 

 

Vikaantumistaajuustiedot voidaan yhdistää lisämuuttujiin laskettaessa todennäköisyyttä vikaantumiselle tiettynä tapahtuma-aikana.

 

Vaikka PFD-laskentaan on olemassa yksinkertaisia yhtälöitä, saadaan tuloksesta sitä tarkempi ja turvallisempi mitä enemmän laskentaan sisällytetään muuttujia.

 

PFD-laskennassa huomioitavia muuttujia:

Muuttuja	Lähde
Device failure rates (eg λDU, λDD)	Yleensä valmistajan toimittamana, FMEDA-raportista
Mission Time (MT)	Loppukäyttäjä määrittelee
Proof Test Interval (TI)	Loppukäyttäjä määrittelee
Proof Test Coverage (CPT)	Loppukäyttäjä määrittelee tai valmistaja ohjeistaa
Proof Test Duration	Loppukäyttäjä määrittelee
Mean Time to Restore (MTTR)	Loppukäyttäjä määrittelee
Common Cause Failures (CCF)	Beeta-kerroin, huomioitava redundanssia käytettäessä

 

Esimerkki: Low Demand -moodin PFD_avg -kaava

 

 

 

Turva-automaatiotoiminnon PFD_avg on kaikkien alijärjestelmien PFD_avg -arvojen summa

 

Anturialijärjestelmä	Logiikkasuoritin	Loppuelementti
1,5 x 10-3	8,6 x 10-5	1,8 x 10-2

Kokonaisarvo SIF PFD_avg = 1,9 x 10^-2  = SIL

 

 

High- tai Continuous Demand -moodin SIF käyttää PFH-arvoa (Probability of Failure per Hour) laskennassa

 

 

 

Tavoitteena olevan PFDavg/PFH-arvon saavuttaminen turvallisuustoiminnolle ei itsessään takaa tavoitteena olevan SIL-tason saavuttamista. Lisäksi on huomioitava arkkitehtuurin rajoitteet ja systemaattinen kyvykkyys.