MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy kirjoittaja: Tekn. lis. Matti Sundquist, Sundcon Oy otsikko: Ohjelmistotyökalun Sistema käyttö koneiden turvatoimintojen suunnittelussa julkaisupäivä: 12.4.2010 Artikkelin sisällysluettelo: 1 Johdanto ................................................................................................................................................ 2 1.1 Toiminnallinen turvallisuus ........................................................................................................... 2 1.2 Ohjelmistotyökalu Sistema ........................................................................................................... 2 1.2.1 Standardeihin perustuvien työkalujen edut .............................................................................. 2 1.2.2 Sistema-ohjelmistotyökalu........................................................................................................ 3 1.2.3 Työkalun ominaisuuksia ........................................................................................................... 3 1.2.4 Työkalun käyttäminen .............................................................................................................. 3 2 Turvatoiminnot ....................................................................................................................................... 3 3 Säädösten vaatimukset ......................................................................................................................... 4 4 Ohjausjärjestelmien turvallisuusstandardit ............................................................................................ 4 5 4.1 Toiminnallisen turvallisuuden perusstandardi IEC 61508 ............................................................ 4 4.2 Toiminnallisen turvallisuuden standardi IEC 62061 koneille ........................................................ 5 4.3 Yksinkertaistettu menetelmä koneiden ohjausjärjestelmien suunnitteluun ISO 13849 ................ 5 4.4 Ohjausjärjestelmästandardien IEC 62061 ja ISO 13849-1 soveltamisalat................................... 6 Standardin ISO 13849-1 mukainen suunnittelumenetelmä ................................................................... 6 5.1 Lähtökohdat.................................................................................................................................. 6 5.2 Riskin arviointi ja vaadittava suoritustaso..................................................................................... 7 5.3 Saavutetun suoritustason arviointi ............................................................................................... 8 5.3.1 Suoritustaso PL ........................................................................................................................ 8 5.3.2 Nimetyt rakenteet (Cat.) ........................................................................................................... 9 5.3.3 Keskimääräinen vaarallinen vikaantumisaika MTTFd ............................................................. 11 5.3.4 Diagnostiikan kattavuus DCavg................................................................................................ 12 5.3.5 Yhteisvikaantuminen CCF...................................................................................................... 12 5.3.6 Saavutetun suoritustason määrittäminen ............................................................................... 12 Metalliteollisuuden Standardisointiyhdistys ry ● PL 10, Koneturvallisuuden verkkojulkaisu: http://www.metsta.fi/koneturvallisuus 1 (13) 00131 Helsinki ● email: standard@metsta.fi MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy 1 Johdanto 1.1 Toiminnallinen turvallisuus Koneita ohjataan yhä enemmän ohjelmoitavalla elektroniikalla. Siten koneen turvallisuus riippuu yhä enemmän ohjausjärjestelmän toteuttamista ohjaustoiminnoista. Sitä osuutta kokonaisturvallisuudesta, joka riippuu järjestelmän oikeasta toiminnasta, kutsutaan toiminnalliseksi turvallisuudeksi (Functional Safety). Toiminnallisen turvallisuuden standardien mukaisesti toiminnallisen turvallisuuden oikea toiminta riippuu kolmesta osa-alueesta: a) Sähköisten, elektronisten tai ohjelmoitavien elektronisten turvatoiminnot kuten valoverhon aikaan saama pysäytystoiminto. järjestelmien toteuttamat b) Muuhun teknologiaan perustuvat järjestelmät, esimerkiksi mekaaninen jarru. c) Ulkoiset riskin vähennysmenetelmät, esimerkiksi vaarallisten koneiden sijoitus erilliseen tilaan. Standardit ISO 61508 (perusstandardi) [1] ja IEC 62061;2005 (koneet) [2] keskittyvät sähköisiin, elektronisiin tai ohjelmoitaviin elektronisiin järjestelmiin, mutta standardit viittaavat myös kokonaisriskin vähentämiseen. Standardi ISO 13849:2007 [3] käsittelee kaikkia eri teknologioita, jota käytetään turvatoimintojen toteuttamiseen. Kun ohjaustoimintoja toteutetaan elektronisilla järjestelmillä, on ongelmaksi tullut turvallisuuteen liittyvän ohjaustoiminnon oikea toiminta eri tilanteissa ja kyseisen ohjaustoiminnon luotettavuus. Siten toiminnallisen turvallisuuden varmistaminen on paitsi tekninen ongelma, myös laadunhallintakysymys. Tässä artikkelissa keskitytään koneen ohjausjärjestelmän toteuttamien turvatoimintojen (ks. edellä kohta a) suunnitteluun ja arviointiin ja erityisesti ohjelmistotyökalun Sistema käyttöön turvatoiminnon luotettavuuden varmistamisessa. Sistema-työkalu ei korvaa sitä osaamista, jota tarvitaan ohjaustoimintojen suunnittelussa. Sisteman soveltamisalaan kuuluvien luotettavuusteknisten vaatimusten lisäksi standardissa ISO 13849-1 on useita muitakin turvallisuuteen liittyviä vaatimuksia, jotka ohjausjärjestelmän suunnittelijan on otettava huomioon. Siten turvallisuuteen liittyvän ohjausjärjestelmän suunnittelijan olisi Sistema-työkalun käytön ohessa tutustuttava kyseiseen standardiin. 1.2 Ohjelmistotyökalu Sistema 1.2.1 Standardeihin perustuvien työkalujen edut Siirryttäessä yhdenmukaisten suunnittelu- ja kelpuutusmenetelmien käyttöön saadaan välitöntä etua kone- ja laitevalmistajille turvallisuuden varmistamisessa koska • voidaan välttää suunnitteluvirheitä, koska työkalujen avulla edetään askel kerrallaan ja käydään läpi kohta kohdalta tärkeimpien vaatimusten täyttyminen • yhdenmukaisten käsitteiden käyttö vähentää väärinkäsityksiä ja karkeita virheitä, jotka voisivat olla vakavia etenkin toiminnallisen turvallisuuden ja luotettavuuden varmistamisen kannalta • yhdenmukaisten menetelmien käyttö lisää eri ratkaisujen vertailukelpoisuutta • työkalut tekevät automaattisesti sekä määrällisiä että toiminnallisia mielekkyystarkasteluita ja laskemia, jolloin vältetään laskuvirheitä • dokumenttien laadinta helpottuu, mikä on ensiarvoista toiminnallisen turvallisuuden käytönaikaiseen varmistamiseen ja muutostöihin • dokumenttien avulla vaatimustenmukaisuuden varmistaminen helpottuu niin asiakkaiden kuin viranomaistenkin suuntaan. 2 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy 1.2.2 Sistema-ohjelmistotyökalu Sistema-ohjelmistotyökalu [4] on Saksassa työturvallisuuden tutkimuslaitoksessa IFA (Institut für Arbeitsschutz [5], ent. BGIA) kehitetty ja sen ylläpitämä tietokoneavusteinen suunnittelumenetelmä, joka on tarkoitettu koneiden turvallisuuteen liittyvien ohjausjärjestelmien suunnitteluun. Menetelmä perustuu kaikilta osin standardiin ISO 13849-1. Työkalua kehitetään edelleen ja siihen otetaan jatkossa mukaan myös järjestelmän kelpuutuksen menetelmät. Lähitulevaisuudessa työkalusta tehdään verkkokäyttöinen versio. Työkalu on julkaistu saksan, englannin ja osittain ranskan kielillä. Se on parhaillaan käännettävänä espanjan, italian, japanin ja ruotsin kielille. Suomenkielisen käännöksen on tehnyt Sundcon Oy, joka vastaa myös ohjelmiston suomenkielisen version ylläpidosta. Mahdollisista virheistä ja puutteista pyydetään ilmoittamaan: www.sundcon.fi. Työkalu on ns. freeware eli vapaasti ladattavissa rekisteröitymällä Sistema/BGIA-verkkosivuilla työkalun käyttäjäksi. Tämä koskee myös suomenkielistä versiota. Työkalun osoite on http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp [4]. Työkalun käyttö on käyttäjän vastuulla. Järjestelmävaatimukset: • Windows 2000, Windows XP tai Windows VistaMS • Internet Explorer 5.0 tai uudempi • 30 MB vapaata levytilaa • Suositeltava näytön tarkkuus 1024 x 768 tai suurempi. Turvallisuuteen liittyvien ohjaustoimintojen suunnitteluun standardin ISO 13849-1 avulla ja Sistematyökalun käytön helpottamiseksi on nykyisin saatavilla hyviä aineistoja, mm.: − SFS:n käsikirjassa 93-6 [6] on koneiden ohjausjärjestelmiä koskevien standardien lisäksi laajahko suomenkielinen kuvaus standardissa ISO 13859-1 [3] esitettävästä suunnittelumenetelmästä ja siihen liittyviä ohjeita. − IFA (ent. BGIA) on laatinut ohjekirjan, jossa selostetaan luotettavuustekniikan perusteita, kuvataan Sistema-työkalun toimintaperiaatteet ja annetaan ohjeita sen käytöstä. Kirjan liitteenä on esimerkkejä eri ratkaisuista eri vaatimustasoille ja kuvauksia siitä, miten niiden luotettavuutta on arvioitu Sisteman avulla. Kirjan voi ladata ilmaiseksi IFA:n verkkosivulta (www.bgia.de/sistema) saksan- tai englanninkielisenä. 1.2.3 Työkalun ominaisuuksia Sistema-työkaluun kuuluu myös 37 malliesimerkkiä eri turvapiireistä ja –tekniikoista ja niiden suunnittelusta Sistema-työkalun avulla. Järjestelmässä annetaan myös linkit useiden eri valmistajien komponenttikirjastoihin. Sistema-työkalun avulla voidaan suunnittelun kuluessa vertailla välittömästi erilaisia ohjausjärjestelmäratkaisuja ja tehdä niiden välillä järjestelmän optimointia. Työkalun avulla voidaan tunnistaa luotettavuuden kannalta heikoimmat lenkit. Tällöin voidaan parannusmenetelmät kohdentaa tarkasti ja näin nopeuttaa hankkeiden toteuttamista ja säästää kustannuksia. Työkalu suorittaa hankalat luotettavuustekniset laskelmat Markovin dynaamisten mallien avulla ns. nimetyille rakenteille (designated architectures), jotka ovat samoja arkkitehtuuriluokkia (kategoriat, Cat.) kuin vanhassa kumotussa standardissa EN 954-1. 1.2.4 Työkalun käyttäminen 2 Turvatoiminnot Koneen toiminnallista turvallisuutta voidaan lisätä ensisijaisesti varmistamalla, että koneen käyttöön liittyvien ohjaustoimintojen toiminta (tai toimimattomuus) ei voi aiheuttaa vaaraa ja tekemällä ne riittävän luotettaviksi (esim. odottamattoman käynnistyksen estäminen). Usein tämä ei riitä, jolloin tarvitaan koneeseen erikseen henkilöturvallisuuden vuoksi lisättävä turvatoimintoja, esimerkiksi suojusten kytkentä 3 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy koneen toimintaan (interlocking). Turvatoiminnolla tarkoitetaan tässä näitä kaikkia turvallisuuteen liittyviä ohjaustoimintoja. Toiminnalliseen turvallisuuteen kuuluu kaksi lähtökohtaa: 1. Turvatoimintojen oikea toiminta, joka perustuu riskin arvioinnin tuloksiin ja vaatimusmäärittelyyn. Turvatoiminnoilla estetään ei-toivottuja toimintoja. 2. Turvatoimintojen luotettavuus, joka perustuu riskin arvioinnin tuloksista johdettuihin suoritustasoihin (Performance Level, PL, standardi ISO 13849-1, [3]) tai turvallisuuden eheyden tasoihin (Safety Integrity Level, SIL, standardi IEC 62061, [2]). Toiminnallisen turvallisuuden varmistamiseen kuuluu laitteistoa ja ohjelmistoa koskevien vaatimusten sekä systemaattisten virheiden välttämisen vaatimukset (mm. suunnitteluvirheet). 3 Säädösten vaatimukset Uudessa konedirektiivissä (2006/42/EY, [7]) ja sitä vastaavassa valtioneuvoston asetuksessa koneiden turvallisuudesta (koneasetus VNa 400/2008, [8]), jotka tulivat pakottavana voimaan 29.12.2009, esitetään koneiden hallintajärjestelmiä koskevia yleisiä vaatimuksia. Koneasetuksen vaatimukset ohjausjärjestelmälle: • • • • • • • • Turvallisuus ja luotettavuus (mm. toimintavaatimukset) Hallintalaitteet (mm. ergonomiset vaatimukset) Käynnistäminen (mm. odottamattoman käynnistyksen estämisen toimenpiteet) Pysäytys (mm. turvalliseen tilaan saattaminen) Toimintatavan valinta (mm. turvatoiminnot automaattisesti mukana) Energiansyötön häiriöt (mm. tehonsyötön valvonta) Ohjauspiirin häiriöt (mm. ohjausjärjestelmän luotettavuus) Ohjelmistot (mm. ohjelmistokehitys) Koneturvallisuusstandardeissa esitetään tarkempia teknisiä vaatimuksia, joiden avulla voidaan tulkita konedirektiiviä ja koneasetusta. Työtapaturmatilastojen mukaan automaattisilla koneilla sattuneiden vakavien ja kuolemaan johtaneiden työtapaturmien syiden suurin ryhmä on automaattisten koneiden odottamaton käynnistyminen. Automaattisen koneen odottamaton käynnistyminen voi johtua: 1 Suunnitteluvirheestä: riskin arvioinnissa, vaatimusmäärittelyssä tai toteutuksessa on puutteita tai virheitä. 2 Satunnaisvikaantumisista: ohjausjärjestelmä ei täytä sille riskin arvioinnin perusteella vaadittavaa suoritustasoa PL tai turvallisuuden eheyden tasoa SIL. Ensimainittu eli suunnitteluvirheet tai -puutteet ovat huomattavasti useammin tapaturman syynä kuin satunnaisvikaantumiset. Siten toiminnallisen turvallisuuden hallintaan ja koneen suunnitteluprosessiin olisi kiinnitettävä aikaisempaa enemmän huomiota. 4 Ohjausjärjestelmien turvallisuusstandardit 4.1 Toiminnallisen turvallisuuden perusstandardi IEC 61508 2000-luvun alkuvuosina valmistuneessa toiminnallisen turvallisuuden yleisessä perusstandardissa IEC 61508 osat 1…7 [1] esitetään vaatimuksia ja ohjeita sähköisten, elektronisten ja ohjelmoitavien elektronisten ohjausjärjestelmien toiminnallisen turvallisuuden suunnitteluun, toteutukseen, 4 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy käyttöönottoon sekä käyttöön ja kunnossapitoon. Standardissa esitetään järjestelmällinen ja elinkaaritarkasteluun perustuva lähestymistapa, joka soveltuu kaikkien eri alojen tekniseen turvallisuuteen liittyviin järjestelmiin. Eri aloille on valmisteltu ja edelleenkin valmistellaan tämän perusstandardin mukaisia sovellusstandardeja Näissä kaikissa IEC:n standardeissa toiminnallisen turvallisuuden vaatimukset turvatoiminnoille esitetään turvatoimintojen turvallisuuden eheyden tasojen avulla (Safety Integrity Level, SIL). 4.2 Toiminnallisen turvallisuuden standardi IEC 62061 koneille Sovellusstandardi koneille (IEC 62061 [2]) on suppeampi kuin perusstandardi IEC 61508. Standardissa IEC 62061 esitetään lähestymistavat, vaatimukset ja menetelmät turvatoimintojen toiminnan ja luotettavuuden varmistamiseksi. Näissä menetelmissä otetaan huomioon sähköisen, elektronisen ja ohjelmoitavan elektronisen ohjausjärjestelmän laitteiston satunnaisten ja systemaattisten vikaantumisten sekä yhteisvikaantumisten todennäköisyydet ja niiden seuraukset sekä kuvataan proseduurit turvallisuuteen liittyvien ohjelmistojen kehittämiseen. Laitteiston vikatarkastelut perustuvat vikatarkasteluihin (esim. vika- ja vaikutusanalyysi tai vikapuuanalyysi). Standardin IEC 62061 luotettavuustarkastelut perustuvat todennäköisyyslaskentaan ja se soveltuu erityisesti koneisiin liitettävien turvajärjestelmien suunnittelijoille, kuten koneiden automaatiojärjestelmien suunnittelijoille, koneiden turvallisuuteen liittyvien sähköisten, elektronisten ja ohjelmoitavien elektronisten ohjausjärjestelmien ja niiden komponenttien (laitteistot ja ohjelmistot) suunnittelijoille ja toteuttajille. Standardi on tarkoitettu asiantuntijoille, joilla on kokemusta luotettavuustekniikasta sekä todennäköisyyslaskennasta. Standardin käyttö edellyttää, että käytettävissä on riittävästi tietoja järjestelmään kuuluvien osien tai komponenttien vikaantumisominaisuuksista. Huom. Standardin IEC 62061 määritelmä alajärjestelmästä (subsystem, SB) vastaa standardin ISO 13849-1 määritelmää turvallisuuteen liittyvästä ohjausjärjestelmän osasta (Safety Related Parts of Control System, SRP/CS). 4.3 Yksinkertaistettu menetelmä koneiden ohjausjärjestelmien suunnitteluun ISO 13849 Nykyaikaisten ohjausjärjestelmien laajuuden ja monimutkaisuuden johdosta myös niiden todentamis- ja kelpuutusproseduurit ovat varsin työläitä. Standardin IEC 62061 todennäköisyyslaskentaan perustuvien menetelmien käyttö voi olla tavallisille koneenrakentajille vaikeata ilman ulkopuolista apua. Standardissa ISO 13849-1:2008 [3] esitettävä yksinkertaistettu menetelmä on tarkoitettu helpottamaan koneiden ohjausjärjestelmien suunnittelua, todentamista ja kelpuutusta. Standardi EN ISO 13849-1 on hyväksytty EU:n konedirektiiviin liittyväksi yhdenmukaistetuksi EN-standardiksi, joten sen mukaisesti suunniteltujen ja valmistettujen ohjausjärjestelmien oletetaan täyttävän myös konedirektiivin olennaiset terveys- ja turvallisuusvaatimukset. Standardi ISO 13849-1 on täysin uudistettu versio vanhasta CENin standardista EN 954-1 vuodelta 1996, joka on kumottu, mutta jonka asema yhdenmukaistettuna uuteen konedirektiiviin liittyvänä standardina loppuu 31.12.2011. Standardi ISO 13849-1 on tarkoitettu koneiden suunnittelijoille ja niille, jotka yhdistävät ohjausjärjestelmiä koneeseen sekä muille, jotka ovat mukana turvallisuuteen liittyvän ohjausjärjestelmän suunnittelussa, toteutuksessa ja ylläpidossa. Standardi sopii varsinkin tilanteisiin, joissa koneenrakentaja toteuttaa turvatoimintoja valmiista laite- ja ohjelmistokomponenteista ja joiden luotettavuuden on niiden alkuperäinen valmistaja jo varmistanut ja useimmiten myös osoittanut sertifioinnilla. Standardin käyttö edellyttää luotettavuustekniikan perusteiden osaamista, mutta se ei edellytä todennäköisyyslaskennan matemaattisten menetelmien erityisosaamista. ISO 13849-standardisarjaan kuulu myös jo aikaisemmin julkaistu ohjausjärjestelmien kelpuutusta käsittelevä standardi ISO 13849-2 [9], joka koskee standardin ISO 13849-1 mukaisesti suunnitellun ohjausjärjestelmän kelpuutusta. Siinä on laaja liiteosa, jossa esitetään turvallisuuden perusperiaatteet ja erilaisiin teknologioihin kuuluvien komponenttien tietoja (muun muassa komponenttien vikamuotoja). Standardi EN ISO 13849-2 on parhaillaan uusittavana vastaamaan uusittua standardia ISO 13849-1. 5 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy Huom. Standardin ISO 13849-1 määritelmä turvallisuuteen liittyvästä ohjausjärjestelmän osasta vastaa standardin IEC 62061 määritelmää alajärjestelmästä. 4.4 Ohjausjärjestelmästandardien IEC 62061 ja ISO 13849-1 soveltamisalat Standardia ISO 13849-1 voidaan soveltaa, jos vaadittu riskin pienentäminen on vähäistä tai ohjausjärjestelmän osuus riskin pienentämisessä on vähäinen. Standardi sopii myös tilanteisiin, joissa turvatoiminnolla on kiinteästi langoitettu varmistus ja/tai varmistuksissa on muutoin pitkälle viety erottelu (divergenssi). Standardiin voidaan nojautua myös kun ohjausjärjestelmän osina käytetään luotettavasti sertifioituja osia (laite- tai ohjelmistomoduuleja). Muussa tapauksessa sovelletaan standardia IEC 62061. Molempien standardien johdannossa on taulukko, jossa esitetään tarkempia suosituksia standardien soveltamisaloista. Tämä taulukko tullaan poistamaan molemmista standardeista ja korvaamaan teknisellä raportilla ISO/TR 23849 [10]. Raportissa esitetään erot molempien standardien välillä ja osoitetaan laskentaesimerkillä, että standardeilla on hyvä yhteensopivuus. Raportti tullaan julkaisemaan standardina. Standardin IEC 62061 soveltamisalaan kuuluvat vain sähköiset, elektroniset ja ohjelmoitavat elektroniset ohjausjärjestelmät. Muilla teknologioilla toteutettuja ohjausjärjestelmän osia voidaan suunnitella standardin ISO 13849-1 avulla ja myös käyttää näitä osia suoraan standardin IEC 62061 avulla suunnitellun järjestelmän alajärjestelminä. Standardin ISO 13849-1 soveltamisalaan kuuluvat kaikilla eri teknologioilla toteutetut ohjausjärjestelmät (sähköiset, elektroniset, ohjelmoitavat elektroniset, hydrauliset, pneumaattiset, mekaaniset ohjausjärjestelmät). Standardin IEC 62061 avulla suunniteltuja alajärjestelmiä voidaan käyttää suoraan standardin ISO 13849-1 avulla suunnitellun ohjausjärjestelmän osina. Siten esimerkiksi logiikkayksikköjen tai valosähköisen turvalaitteen valmistaja saattaa käyttää suunnittelussa myös standardia IEC 62061 ja koneenrakentaja, joka asentaa sertifioituja turvalogiikoita tai valoverhoja konejärjestelmään, voi mieluummin käyttää standardeja ISO 13849-1 ja -2. 5 Standardin ISO 13849-1 mukainen suunnittelumenetelmä 5.1 Lähtökohdat Standardi ISO 13849-1 sisältää ohjausjärjestelmän suunnitteluprosessin lähtien riskin arvioinnista järjestelmän kelpuutukseen. Standardin ISO 13849-1 keskeiset kohdat - suunnitteluprosessin kuvaus - ohjausjärjestelmän toteuttamien turvatoimintojen ominaisuudet - riskin arviointi - ohjausjärjestelmän turvallisuuteen liittyvien osien vaatimusten ja niiden suoritustasojen määrittäminen - turvatoimintojen suorituskyvyn arviointimenetelmä - ohjelmiston kehittäminen, konfigurointi ja parametrointi - testaukset - kelpuutuksen periaatteet - järjestelmän dokumentointi - muutosten hallinta - sovellusesimerkkejä Kuten standardissa IEC 62061 myös tässä standardissa luokitellaan vaatimukset turvatoiminnolle kyseiseltä toiminnolta vaadittavan riskin pienentämisen mukaisesti. Turvallisuuteen liittyvä luotettavuus esitetään tässä standardissa suoritustasojen avulla (Performance Level, PL), jotka vastaavat likimain standardissa IEC 62061 esitettäviä turvallisuuden eheyden tasoja, SIL (kuva 1). 6 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy Kuva 1 Suoritustasojen PL ja turvallisuuden eheyden tasojen SIL suurimmat sallitut keskimääräisen vaarallisen vikaantumisen todennäköisyydet tuntia kohden PFHd [1/h], joka on myös vikataajuus. Sen käänteisluku MTTFd [vuotta] ilmaisee keskimääräisen vaarallisen vikaantumisajan PFHd -arvo on turvatoiminnon epäluotettavuutta mittaava arvo, jossa vikaantumisen ohella otetaan huomioon myös muita sen luotettavuuteen vaikuttavia ja tavallisesti sitä parantavia ominaisuuksia kuten järjestelmän redundanssi (kahdennukset) ja diagnostiikka. Huom. MTTFd -arvo on yksittäisen fyysisen komponentin tai kanavan testauksen tai kokemuksen perusteella saatu arvo. 5.2 Riskin arviointi ja vaadittava suoritustaso Turvallisuuteen liittyvän ohjausjärjestelmän kelpuutuksessa on osoitettava, että turvatoimintojen saavuttamat suoritustasot PL täyttävät riskin arvioinnin tulosten perusteella määritetyn vaadittavan suoritustason, PLr. Koneen kokonaisriskin pienentäminen tehdään tavallisesti paitsi suojuksilla (esim. aitaukset, mekaaniset lukitukset) ja varolaitteilla (esim. mekaaniset varoventtiilit), myös turvatoiminnoilla (esim. valoverho, ohjelmalliset lukitukset). Riskiä voidaan siten pienentää sekä ohjausjärjestelmästä riippumattomilla että siitä riippuvilla toimenpiteillä. Turvatoiminnon vaatimustaso riippuu vain sen riskin suuruudesta, joka on tarkoitus pienentää kyseisen turvatoiminnon avulla (ks. kuva 2). Kuva 2 Turvatoimintojen aikaansaama riskin pienentäminen riippuu kokonaisriskistä ja turvatoimintojen osuudesta riskin pienentämisessä (standardin ISO 13849-1 kuva 2) Sekä standardin ISO 13849-1 että Sistema-työkalun mukaisesti vaadittava suoritustaso PLr voidaan määrittää suoraan riskigraafilla (kuva 3). 7 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy Kuva 3 Riskigraafi vaadittavan suoritustason PLr määrittämiseksi (standardin ISO 13849-1 liite A.2) Standardissa ISO 13849-1 on ohjeita riskitekijöiden S, F ja P valintaan. Tämä riskigraafi on lähtökohtana myös Sistema-työkalussa määritettäessä suunnittelun alussa turvatoiminnolta vaadittavaa suoritustasoa PLr. Vaadittava suoritustaso voidaan määrittää myös standardin IEC 62061 pisteytysmenetelmän avulla, jolloin riskiparametrien avulla saadaan ensin vaadittava turvallisuuden eheyden taso SIL ja sitten kuvan 2 taulukosta saadaan vastaava vaadittava suoritustaso PLr. 5.3 Saavutetun suoritustason arviointi 5.3.1 Suoritustaso PL Standardin ISO 13849-1 mukainen turvatoiminnon saavuttaman suoritustason arviointi (PL) eroaa standardista IEC 62061 (SIL). Standardissa 13849-1 esitetään yksinkertaistettu menetelmä, jota voi käyttää turvatoiminnon saavuttaman suoritustason arviointiin ilman hankalaa todennäköisyyslaskentaa. Menetelmä perustuu kahteen keskeiseen parametriin (MTTFd, DCavg), yhteisvikaantumisten CCF tarkistamiseen ja yleisesti käytössä oleviin rakenteisiin (nimetyt rakenteet, luokat, Cat), joiden avulla kyseisen alajärjestelmän suoritustaso saadaan arvioitua. Alajärjestelmän suoritustason arviointiin tarvittavat tiedot – keskimääräinen vaarallinen vikaantumisaika (Mean Time To Dangerous failure, MTTFd) – keskimääräinen diagnostiikan kattavuus (Average Diagnostic Coverage, DCavg) – yhteisvikaantuminen (Common Cause failure, CCF) kahden (tai useamman) kanavan järjestelmässä – nimetyt rakenteet (luokat, Cat.) Muita huomioon otettavia tekijöitä – turvatoiminnon käyttäytyminen järjestelmän ollessa vikaantunut – turvallisuuteen liittyvä ohjelmisto – systemaattiset vikaantumiset – järjestelmän kyky suorittaa turvatoiminto ennakoitavissa olevissa ympäristöolosuhteissa. Standardissa ISO 13849-1 esitetään vaiheittain etenevä yksinkertaistettu proseduuri ohjausjärjestelmän suunnitteluun ja järjestelmän saavuttaman suoritustason arviointiin. 8 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy Sistema-työkalussa ylimpänä tasona on projekti, joka voidaan missä suunnitteluvaiheessa tahansa tallentaa käyttäjän omalle koneelle. Projektiin kuuluvat tarkasteltavat turvatoiminnot, joita kutakin erikseen toteuttava järjestelmä mallinnetaan alajärjestelmien muodostamaksi sarjamuotoiseksi rakenteeksi. Rakennetta kehitetään edelleen alemmille tasoille kuvassa 4 esitettävän hierarkian mukaisesti. Huom. Standardissa ISO ohjausjärjestelmän osiksi. 13849-1 näitä alajärjestelmiä kutsutaan turvallisuuteen liittyvän Ohjaustoimintojen suorituskyvyn PL arviointimenetelmän vaiheet Sistema-työkalun avulla 1. Järjestetään turvatoiminnot (5.3.2 ja kuva 4) kuvaamalla niitä toteuttava hierarkia kuvaamalla - turvatoiminto alajärjestelmien avulla - alajärjestelmät nimettyjen rakenteiden mukaisten kanavien avulla - kanavat lohkojen avulla - lohkot elementtien avulla 2. Määritetään MTTFd- ja DCavg -arvot sekä tarkistetaan CCF (5.3.3, 5.3.4 ja 5.3.5). 3. Määritetään alajärjestelmien saavuttama suoritustaso nimettyjen rakenteiden avulla (nimettyjen rakenteiden suoritustasot on standardissa laskettu valmiiksi)(5.3.6). 4. Tarkistetaan saavutettu suoritustaso ja verrataan sitä vaadittavaan suoritustasoon (5.3.6) 5. Tarkistetaan systemaattiset virheet (ohjelmisto, ympäristötekijät yms., standardin ISO 13859-1 liite G). 5.3.2 Nimetyt rakenteet (Cat.) Standardin nimetyt rakenteet perustuvat vanhan kumotun standardin EN 954-1 vastaaviin luokkiin B, 1, 2, 3 ja 4 (Categories), ks. kuva 4. Kuva 4 Nimetyt rakenteet (luokat, Cat: B, 1, 2, 3 ja 4) Kuvassa 5 on esimerkki tyypillisestä kolmen alajärjestelmän rakenteesta, joilla kaikilla on erilaiset nimetyt rakenteet ja myös saavutetut suoritustasot PL voivat olla erilaiset. 9 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy Kuva 5 Kolmen sarjamuodossa olevan alajärjestelmän lohkokaaviokuvaus (standardin kuva H.2). Ensimmäinen alajärjestelmä kuuluu nimettyyn rakenteeseen 1 (valvottu kanava), toinen kuuluu nimettyyn rakenteeseen 4 (kahdennetut valvotut kanavat) ja kolmas kuuluu nimettyyn rakenteeseen 1 (hyvin koetellut komponentit, ks. ISO 13849-2) Sistema-työkalussa muodostetaan ohjausjärjestelmän arkkitehtuuri rakentamalla turvatoimintoa toteuttava ohjausjärjestelmä hierarkkisesti ylhäältä alaspäin: 1. Turvatoiminto kuvataan toiminnallisilla lohkoilla, jossa turvatoimintoa toteuttavat sarjamuotoisesti yhdistetyt alajärjestelmät (esimerkiksi anturit, logiikka, kontaktorit) 2. Alajärjestelmät sovitetaan nimettyihin rakenteisiin (luokat, Cat). Tämä on perusedellytyksenä standardin käytölle ja voi joskus edellyttää joko ohjausjärjestelmän rakenteen muuttamista tai siirtymistä standardin IEC 62061 käyttöön. 3. Nimetyt rakenteet muodostuvat kanavista, jotka ovat turvasignaalin yksikäsitteisiä kulkureittejä. Koska luokissa 3 ja 4 turvatoiminto voi edetä kahdennettuja kanavia pitkin, rinnakkaiset kanavat on ”symmetrisoitava”, mikä tapahtuu automaattisesti Sistema-työkalun toimesta. 4. Kanavat puolestaan muodostuvat toisiinsa sarjamuotoisesti yhdistetyistä lohkoista (tyypillisesti laitteita). Sama lohko/laite voi toteuttaa eri turvatoimintoja. 5. Lohkoissa voi olla eri tavoin yhdistettyjä elementtejä (tyypillisesti komponentteja). Kuvassa 6 esitetään Sistema-työkalun hierarkkinen rakenne. 10 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy Kuva 6 Sistema-työkalussa esitettävä hierarkia: PR=projekti, SF=turvatoiminto, SB=alajärjestelmä, CH/TE = kanava/testikanava, BL=lohko, EL=elementti Sistema-työkalu laskee automaattisesti alajärjestelmän parametrien MTTFd- ja DCavg -arvot alhaalta ylöspäin. Vaihtoehtoisesti ennalta annetut arvot (esim. laitevalmistajien antamat arvot) voidaan syöttää suoraan mille tasolle tahansa. Kun alajärjestelmän nimetty rakenne (luokka, Cat) on valittu, Sistematyökalu laskee alajärjestelmän saavuttaman suositustason PL. 5.3.3 Keskimääräinen vaarallinen vikaantumisaika MTTFd Suoritustason määrittämisen lähtökohtana ovat komponenttitiedot. Komponenttitietojen ensisijaisuusjärjestys 1. Käytetään valmistajan antamia tietoja. Valmistajan antamat tiedot ovat muita vaihtoehtoja tarkemmat, koska ne koskevat valmistajan itsensä valmistamia ja mahdollisesti testaamia osia tai komponentteja. 2. Käytetään julkisia tietokantoja, esim. Internetissä. Standardin ISO 13849-1 lopussa liitteessä ”Kirjallisuus, Tietokantoja” on viittaukset kahdeksaan erilaiseen tietokantaan. 3. Käytetään standardin liitteissä C esitettäviä karkeita likiarvoja. Niitä on tulkittava vain suuntaaantavina eikä niitä ei ole syytä käyttää ilman tarkempaa arviointia komponentin ominaisuuksista ja niiden soveltuvuudesta kyseisen turvatoiminnon toteutukseen. 4. Valitaan komponentin MTTFd -arvoksi 10 vuotta. Tämä on mahdollista vain yksinkertaisissa järjestelmissä, joissa turvatoimintojen suoritusvaatimukset ovat vähäisiä. Standardissa ISO 13949-1 esitetään yksinkertainen ”komponenttien laskenta menetelmä” yksittäisen kanavan MTTFd -arvon laskemiseen siihen kuuluvien komponenttien MTTFd -arvojen avulla. Ohjausjärjestelmän yksikanavaisten alajärjestelmien MTTFd -arvo on sama kuin sen yksittäisen kanavan MTTFd-arvo. Kahden rinnakkaisen kanavan muodostaman ohjausjärjestelmän osan kanavat on symmetrisoitava (ks. ISO 13849-1 liite D.2). Ohjausjärjestelmän osien MTTFd -arvot luokitellaan karkeasti kolmeen luokkaan: matala, keskimääräinen ja korkea. Sistema-työkalussa alajärjestelmien MTTFd -arvot lasketaan suoraan näiden parametrien ja nimettyjen rakenteiden avulla. Sistema-työkalu tekee nämä laskelmat ja kanavien symmetrisoinnin automaattisesti ja tarkemmin. Sistema-työkalussa on myös mahdollista, että suunnittelija antaa tiedossa olevat parametrien arvot suoraan mille hierarkiatasolle tahansa. Muutoin Sistema-työkalu laskee alemmilta tasoilta parametrien arvot sen yläpuolella oleville hierarkiatasoille. 11 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy 5.3.4 Diagnostiikan kattavuus DCavg Standardissa ISO 13849-1 annetaan suuntaa-antavia arvoja diagnostiikan kattavuudelle liitteessä E ja sama esitetään aputaulukkona Sistema-työkalussa. Sistema-työkalu laskee alajärjestelmän keskimääräisen diagnostiikan kattavuuden laitteiden tai komponenttien diagnostiikan kattavuuksien avulla standardin ISO 13849-1 liitteissä E.2 ja I.4.2 esitettävän kaavana avulla. Sistema-työkalu tekee nämä laskelmat automaattisesti käytettävissä olevien tietojen mukaisesti alemmilta tasoilta ylöspäin. 5.3.5 Yhteisvikaantuminen CCF Sistema-työkalussa esitetään sellaisenaan standardissakin oleva arviointimenetelmä yhteisvikaantumiselle. Menetelmässä esitetään erilaisille yhteisvikaantumisen estämisen toimenpiteiden toteuttamiselle painotettujen pistearvoja. Tavoitteena on saada 65 pistettä sadasta. Kuva 7 Yhteisvikaantumisten estämisen kriteerien otsikot (toimenpiteet) ja painotetut pistearvot (standardi ISO 13849-1 liite F) Sekä standardissa ISO 13849-1 että Sistema-työkalussa annetaan tarkemmat ohjeet pistearvojen valinnasta. 5.3.6 Saavutetun suoritustason määrittäminen Lopuksi arvioidaan koko turvatoiminnon suoritustaso PL yhdistämällä sarjamuodossa olevat alajärjestelmät, jolloin turvatoiminnon saavuttama suoritustaso PL on enintään alimmalla suoritustasolla olevan alajärjestelmän mukainen tai sitä alempi (ks. ISO 13849-1 taulukko 11). Sistema-työkalussa tämä tapahtuu automaattisesti laskemalla ja lopputulos on siten tarkempi. Sistema-työkalu esittää tulokset välittömästi päivitettynä näytöllä. Jos sarjamuotoisessa rakenteessa on paljon alajärjestelmiä peräkkäin, huononee luotettavuus erityisesti huonoimpien komponenttien vaikutuksesta. Tämä otetaan standardissa ISO 13849-1 huomioon taulukon 11 avulla. Sistema-työkalu ottaa tämän näkökohdan automaattisesti huomioon laskennan yhteydessä. Lopuksi tarkistetaan, että saavutettu suoritustaso PL on vähintään samalla tasolla kuin riskin arvioinnista saatu vaadittava suoritustaso PLr. Lopputulos ilmoitetaan esimerkiksi muodossa ”ISO 13849-1 Luokka x PL y”. 12 (13) MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy Viiteluettelo1 [1] SFS-EN 61508-0…7 Sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien toiminnallinen turvallisuus (7 osaa) (IEC 61508) [2] SFS-EN 62061 Koneturvallisuus. Turvallisuuteen liittyvien sähköisten, elektronisten ja ohjelmoitavien elektronisten ohjausjärjestelmien toiminnallinen turvallisuus (IEC 62061) [3] SFS-EN ISO 13849-1 Koneturvallisuus. suunnitteluperiaatteet (ISO 13849-1) [4] Software-Assistent SISTEMA - Safety Integrity Software Tool for the Evaluation of Machine Applications; A Tool for the Easy Application of the Control Standard EN ISO 13849-1 http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp [5] IFA (ent. BGIA) Institute for Occupational Safety and Health of the German Social Accident Insurance (IFA) http://www.dguv.de/ifa/en/index.jsp [6] SFS-käsikirja. Koneiden turvallisuus. Ohjausjärjestelmät. 2. uudistettu painos. 2008 [7] 2006/42/EY EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI, annettu 17 päivänä toukokuuta 2006, koneista ja direktiivin 95/16/EY muuttamisesta (uudelleen laadittu) [8] VNa 400/2008 Valtioneuvoston asetus koneiden turvallisuudesta [9] SFS-EN ISO 13849-2 Koneturvallisuus. Turvallisuuteen liittyvät ohjausjärjestelmien osat. Osa 2: Kelpuutus (ISO 138492) [10] SFS 5972 EHD (ISO/TR 23849:2010 ja IEC/PAS 61810-2) Opastusta standardien ISO 13849-1 ja IEC 62061 soveltamiseksi koneen turvallisuuteen liittyvien ohjausjärjestelmien suunnittelussa (Guidance on the application of ISO 13849-1 and IEC 62061 in the design of safety-related control systems for machinery) (julkaistaan 2010) [11] SFS-käsikirja 93-6 Koneiden turvallisuus. Osa 6: Ohjausjärjestelmät Turvallisuuteen 1 liittyvät ohjausjärjestelmien osat. Osa 1: Yleiset Tarkemman tiedot voimassa olevista SFS- ja EN- ja ISO-standardeista sekä SFS-käsikirjoista löytyy SFS-verkkokaupasta: http://sales.sfs.fi/ ja SFS-käsikirjojen osalta myös osoitteesta: http://www.sfs.fi/julkaisut/sfs_julkaisut/sfs_kasikirjat/ 13 (13)
© Copyright 2024