SIL, Osa 2: Arkkitehtuurin rajoitteet

 

Mitä on toiminnallinen turvallisuus?

Toiminnallinen turvallisuus on potentiaalisesti vaarallisten olosuhteiden aktiivista tunnistamista, joka johtaa suojaavien mekanismien tai toimintojen vaatimuksiin, jotta vältetään tai vähennetään mahdollisten vaarallisten tapahtumien vaikutukset.

Muodostaen osan ohjauksen alaisten laitteiden (Equipment under Control, EUC) kokonaisturvallisuudesta, toiminnallinen turvallisuus keskittyy elektroniikkaan ja siihen liittyvään ohjelmistoon.

IEC 61508 on kansainvälinen standardi “Sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus”. Toiminnallisen turvallisuuden kattostandardina se muodostaa pohjan monille toimialakohtaisille johdannaisille, kuten IEC 61511 prosessiteollisuudelle.

Turvallisuuden elinkaari -mallia noudattaen standardit muodollistavat toiminnallisen turvallisuuden hallintaa ja antavat tapoja ja tekniikoita suunnitella turva-automaatiojärjestelmiä (Safety Instrumented Systems, SIS) ja vastaavia toimintoja (Safety Instrumented Functions, SIF).

 

IEC 61511 Turvallisuuden elinkaari

 

Turvallisuuden elinkaaren avainelementti on turvallisuusvaatimusten erittelyn (Safety Requirement Specification, SRS) luonti. Perustuen elinkaaren vaara- ja riskiarviointivaiheista saatavaan tietoon, tämä dokumentti toimii turvallisuusjärjestelmän suunnittelun toiminnallisuuden, eheyden ja validoinnin pohjana.

 

 

Mitä on SIL?

Turvallisuusvaatimusten erittely (SRS) dokumentoi kaikkien jäännösriskien vähennystarpeen tason, mitä vaaditaan turvallisuusjärjestelmän suunnittelulta, ja määrittää vastaavan tavoiteltavan SIL-tason.

 

Turvallisuuden eheystaso (Safety Integrity Level, SIL) on turvallisuustoiminnon antama suhteellinen riskinvähennyksen taso. SIL-tasoja on määritelty neljä erillistä, 1…4, joista SIL 4 tarjoaa korkeimman turvallisuuden eheystason ja vastaavan riskinvähennyskertoimen (Risk Reduction Factor, RRF).

 

SIL	Riskinvähennyskerroin – RRF
4	> 10.000...≤ 100.000
3	> 1.000...≤ 10.000
2	> 100...≤ 1.000
1	>10...≤ 100

 

 

Kuinka tietty SIL-taso saavutetaan?

SIL-toteutus vaatii turvatoiminnon suunnittelun täyttävän kolme erityistä kriteeriä standardin mukaisesti.

Nämä tiukat kriteerit ovat: satunnainen laitteiston eheys, arkkitehtuurin rajoitteet ja systemaattinen kyvykkyys.

 

Tämä tekstiosa keskittyy numeroon 2 – Arkkitehtuurin rajoitteet (Architectural Constraints). Tietoja kahdesta muusta saat klikkaamalla näitä linkkejä: satunnainen laitteiston eheys ja systemaattinen kyvykkyys.

 

 

PR electronics tarjoaa valikoiman SIL-sertifioituja laitteita moniin SIL-sovelluksiin.

 

 

Mitä ovat arkkitehtuurin rajoitteet?

Tarkkojen ja luotettavien vikaantumistaajuustietojen saanti sähkö/elektroniikka- ja ohjelmoitavista elektroniikkalaitteista oli aiemmin erittäin vaikeaa. Riittämätön kenttävikojen mittaaminen ja raportointi yhdessä valmistajien ylioptimististen vikaantumistaajuustietojen kanssa saattoi tehdä näihin oletuksiin pohjautuvista suunnitelmista usein sopimattomia ja turvattomia.

Tämän korjaamiseksi toiminnallisen turvallisuuden standardit ottivat käyttöön vaadittavasta SIL-tasosta riippuvat arkkitehtuurin rajoitteet. Laitteiston vikasietoisuutta (hardware fault tolerance, HFT) käytetään täydentämään saatua vikataajuutta paremman eheyden saamiseksi turvajärjestelmärakenteeseen.

 

Laitteiston vikasietoisuus on redundanttielementtien lisäys, joka sallii vikoja, esim. 1oo1 = HFT0, 1oo2=HFT1.

Standardin IEC 61511 viimeisin julkaisu tarjoaa 3 reittiä turvatoiminnon arkkitehtuurin rajoitteiden tyydyttämiseksi:

 

• IEC 61508 reitti 1H
• IEC 61508 reitti 2H
• IEC 61511 11.4.5 … 11.4.9 osa 11 (johdettu IEC 61508 reitistä 2H)

 

IEC 61508 reitti 1H

Tämä reitti on ensisijaisesti uusille laitteille, joista ei ole historiadataa. Vaadittu laitteiston vikasietoisuus perustuu laitetyyppiin ja turvallisten vikaantumisten osuuden laskentaan.

Laitetyyppejä on määritelty 2, tyypit A ja B. Tyypin A yksinkertaisilla laitteilla on helposti ymmärrettävät vikaantumistilat, kun taas tyypin B monimutkaiset laitteet usein sisältävät mikroprosessoreita/ohjelmistoa.

Turvallisten vikaantumisten osuus (Safe Failure Fraction, SFF) on turvallisten ja vaarallisten havaittujen vikojen prosenttiosuus kaikista vioista.

 

 

 

Standardeissa esitetyt taulukot näyttävät SIL-tavoitetasoon perustuvat pienimmät laitteiston vikasietoisuudet.

 

IEC 61508 reitti 1H taulukko

 

 

 

IEC 61511 v IEC 61508 reitti 2H

Standardin IEC 61511 taulukko arkkitehtuurin rajoitteista perustuu IEC 61508 reitti 2H -tapaan.

 

IEC 61511 – HFT-vaatimukset SIL-tason mukaan

 

Standardin IEC 61508 toiseen painokseen (-2010) lisätty reitti 2H määrittelee laitteiston vikasietoisuuden HFT perustuen historialliseen kentän luotettavuusdatan laatuun.

Standardin IEC 61508 mukaan käytetyn datan laadun tulee perustua kentältä saatuun palautteeseen samanlaisessa sovelluksessa ja ympäristössä käytetystä laitteesta; ja perustua julkaistujen standardien (esim. IEC 60300-3-2 tai ISO 14224) mukaan kerättyyn dataan; ja olla arvioitu seuraavien kriteerien mukaan:

 

• kenttäpalautteen määrä;
• ja asiantuntija-arvion käyttö;
• ja tarvittaessa erityisten testien suoritus.

 

Datan luottamustason on oltava myös korkea (90%) tyydyttääkseen IEC 61508-2010 reitin 2H vaatimukset.

IEC 61511 osan 11.4.9 mukaan "vikaantumistapojen laskennassa käytetyn luotettavuusdatan tulisi olla määritelty vähintään tilastollisen luotettavuuden 70 % ylärajalla"

Vaikka sekä IEC 61508 reittiä 2H että IEC 61511 voidaan käyttää, on tärkeää ymmärtää, dokumentoida ja arvioida näiden tapojen tyydyttämiseksi käytetty tausta-aineisto.

Turvatoiminnon arkkitehtuurin rajoitteiden selvittäminen ei itsessään todista SIL-tavoitetta saavutetuksi. Myös satunnainen laitteiston eheys ja systemaattinen kyvykkyys on huomioitava.