SIL Osa 3: Systemaattinen kyvykkyys
SIL-toteutus edellyttää turvallisuustoiminnon suunnittelulta kolmen standardissa määritellyn, tarkan kriteerin täyttämistä. Tämä tekstiosa keskittyy numeroon 3 – Systemaattinen kyvykkyys.
Mitä on toiminnallinen turvallisuus?
Toiminnallinen turvallisuus on potentiaalisesti vaarallisten olosuhteiden aktiivista tunnistamista, joka johtaa suojaavien mekanismien tai toimintojen vaatimuksiin, jotta vältetään tai vähennetään mahdollisten vaarallisten tapahtumien vaikutukset.
Muodostaen osan ohjauksen alaisten laitteiden (Equipment under Control, EUC) kokonaisturvallisuudesta, toiminnallinen turvallisuus keskittyy elektroniikkaan ja siihen liittyvään ohjelmistoon.
IEC 61508 on kansainvälinen standardi “Sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus”. Toiminnallisen turvallisuuden kattostandardina se muodostaa pohjan monille toimialakohtaisille johdannaisille, kuten IEC 61511 prosessiteollisuudelle.
Turvallisuuden elinkaari -mallia noudattaen standardit muodollistavat toiminnallisen turvallisuuden hallintaa ja antavat tapoja ja tekniikoita suunnitella turva-automaatiojärjestelmiä (Safety Instrumented Systems, SIS) ja vastaavia toimintoja (Safety Instrumented Functions, SIF).
IEC 61511 Turvallisuuden elinkaari
Turvallisuuden elinkaaren avainelementti on turvallisuusvaatimusten erittelyn (Safety Requirement Specification, SRS) luonti. Perustuen elinkaaren vaara- ja riskiarviointivaiheista saatavaan tietoon, tämä dokumentti toimii turvallisuusjärjestelmän suunnittelun toiminnallisuuden, eheyden ja validoinnin pohjana.
Mitä on SIL?
Turvallisuusvaatimusten erittely (SRS) dokumentoi kaikkien jäännösriskien vähennystarpeen tason, mitä vaaditaan turvallisuusjärjestelmän suunnittelulta, ja määrittää vastaavan tavoiteltavan SIL-tason.
Turvallisuuden eheystaso (Safety Integrity Level, SIL) on turvallisuustoiminnon antama suhteellinen riskinvähennyksen taso. SIL-tasoja on määritelty neljä erillistä, 1…4, joista SIL 4 tarjoaa korkeimman turvallisuuden eheystason ja vastaavan riskinvähennyskertoimen (Risk Reduction Factor, RRF).
SIL | Riskinvähennyskerroin – RRF |
4 | > 10.000...≤ 100.000 |
3 | > 1.000...≤ 10.000 |
2 | > 100...≤ 1.000 |
1 | >10...≤ 100 |
Kuinka tietty SIL-taso saavutetaan?
SIL-toteutus vaatii turvatoiminnon suunnittelun täyttävän kolme erityistä kriteeriä standardin mukaisesti.
Nämä tiukat kriteerit ovat: satunnainen laitteiston eheys, arkkitehtuurin rajoitteet ja systemaattinen kyvykkyys.
Tämä tekstiosa keskittyy numeroon 3 – Systemaattinen kyvykkyys (Systematic Capability). Tietoja kahdesta muusta saat klikkaamalla näitä linkkejä: satunnainen laitteiston eheys ja arkkitehtuurin rajoitteet.
PR electronics tarjoaa valikoiman SIL-sertifioituja laitteita moniin SIL-sovelluksiin.
Mitä on systemaattinen kyvykkyys?
IEC 61508-2010 määrittelee systemaattisen kyvykkyyden seuraavasti:
"Luottamuksen mitta (ilmaistuna asteikolla SC 1 … SC 4), että elementin systemaattinen turvallisuuden eheys täyttää määritetyn turvallisuuden eheystason (SIL) vaatimukset määritetyn elementin turvatoiminnon suhteen, kun elementtiä sovelletaan vaatimusten mukaisten nimikkeiden järjestelmäkäsikirjassa määritettyjen ohjeiden mukaisesti."
Systemaattiset viat ovat ensisijaisesti tulosta inhimillisistä virheistä. Olipa kyseessä turvatoiminnon rakenne, suunnittelu, käyttö tai ylläpito, systemaattisia vikoja voi ilmestyä tietynlaisissa olosuhteissa.
Systemaattiset viat ovat usein syytä sopimattoman laitteen tai komponentin määrittelystä, virheistä käyttö- tai ylläpitotoimenpiteissä tai ohjelmavioista. Systemaattiset viat ilmaantuvat, kunnes aiheuttava juurisyy suunnitellaan uudelleen.
Systemaattinen eheys voidaan siksi määritellä systemaattisten virheiden vastaiseksi puolustustasoksi.
Systemaattisen turvallisuuden eheyden osoittaminen
IEC 61511 sallii 2 tapaa osoittaa systemaattinen kyvykkyys:
- IEC 61508 -sertifioitujen laitteiden käyttö
- aiemmalla käytöllä perustelu
IEC 61508 -sertifioitujen laitteiden käyttö
Vaadittavan SIL-tason mukaan, IEC 61508 asettaa tiukkoja vaatimuksia rakenteelle, vikojen välttämiselle ja laitetestaukselle. Tällä varmistetaan, että valmistaja seuraa tiukkaa ja toistettavaa prosessia täysin vastuullisesti ja dokumentaatio mukaan lukien.
Valmistajille tarjotaan valikoima taulukoita sopivan tekniikan ja toimenpiteiden mukaan seurattavaksi, ja siten sopivan SIL-tason mukaisuuden osoittamiseksi.
Tekniikka/toimenpide |
Katso |
SIL 1 | SIL 2 | SIL 3 | SIL 4 |
Ohjelmajärjestyksen valvonta | A.9 | HR low |
HR low |
HR medium |
HR high |
Viantunnistus on-line-valvonnalla | A.1.1 | R low |
R low |
R medium |
R high |
Testit redundanttilaitteistolla | A.2.1 | R low |
R low |
R medium |
R high |
Prosessorin testaus: vakio testiyhteysportti ja boundary-scan -arkkitehtuuri | A.2.3 | R low |
R low |
R medium |
R high |
Koodisuojaus | A.6.2 | R low |
R low |
R medium |
R high |
Monipuolinen laitteisto | B.1.4 | - low |
- low |
R medium |
R high |
IEC 61508-2010 Taulukko A.15 – Tekniikat ja toimenpiteet laitteistosuunnittelusta aiheutuvien systemaattisten vikojen valvomiseksi
Yllä on esimerkki taulukoista, jotka kukin keskittyvät tiettyyn suunnittelunäkökohtaan.
Vaaditun SIL-tason mukaan kunkin tekniikan/toimenpiteen kohdalla mainitaan, onko se Pakollinen (Mandatory, M), Erittäin suositeltava (Highly Recommended, HR), Suositeltava (Recommended, R) tai Ei suositeltava (Not Rcommended, NR). Taulukossa mainitaan myös toimenpiteen vaadittu tehokkuus systemaattisia vikoja vastaan.
IEC 61508 -sertifioitujen laitteiden on täytynyt käydä läpi akkreditoidun kolmannen osapuolen suorittama, kaikkia yhdenmukaisuuden vaatimuksia koskeva auditointi, mikä varmistaa, että SIL-tasolle sopivaa suunnittelua, testausta ja dokumentaation tekniikoita sekä toimenpiteitä on käytetty.
SIL-sertifikaattien tulisi osoittaa asiaankuuluva SC-taso.
Aiemmalla käytöllä perustelu
Saattaa olla yleisesti hyväksyttyä, että tapaus on käytöltään luotettava, jos tietyillä käyttäjillä on laaja kokemus laitteesta, sekä riittävän vähän vikaantumisia.
Kuitenkin tämän täysin perustelemiseksi voidaan olettaa, että käyttäjällä on oltava robusti järjestelmä KAIKKIEN vikojen ja vikamoodien dokumentoimiseksi, mukaan lukien tiukka versiovalvonta laitteista ja ohjelmistoversioista, jotka saattaisivat vaikuttaa aiempaan kokemukseen. Lisäksi datan yhdenmukaisuuden varmistamiseksi on kaikkien uusien ehdotettavien sovellusten tapahduttava historiallisen datan kanssa samanlaisissa käyttöolosuhteissa.
IEC 61511 osa 11.5.3 määrittelee vaatimukset laitevalinnalle aiemman käytön perustelua käytettäessä.
"On oltava olemassa asianmukaiset todisteet siitä, että laitteet ovat sopivia turva-automaatiojärjestelmässä käytettäviksi, mukaan lukien:
- valmistajan laadun, johdon ja kokoonpanohallintajärjestelmien arviointi
- laitteiden riittävä tunnistus ja erittely
- osoitettu suorituskyky laitteista samanlaisissa käyttöympäristöissä
- käyttökokemuksien määrä."
Korkeammat SIL-tasot asettavat lisävaatimuksia aiemman käytön perusteluille, erityisesti, jos mukana on ohjelmistoja.
Aiemman käytön perustelun täysi todistaminen voi olla vaikeaa loppukäyttäjälle. Monet loppukäyttäjät hyödyntävätkin IEC 61508 - sertifioitujen laitteiden kasvavaa määrää osoittaakseen systemaattisen kyvykkyyden.
Systemaattisen kyvykkyyden osoittaminen ei itsessään todista SIL-tavoitetta saavutetuksi. Myös satunnainen laitteiston eheys ja arkkitehtuurin rajoitteet on huomioitava.