Vuoden 2016 uusitussa painelaitelaissa on säilytetty vaatimus erityisen vaaran arvioinnin laatimisesta kattilalaitoksessa, kun kattilan teho on tiettyä rajaa suurempi tai jos kyseessä on maan alle sijoitettava kattilalaitos. Vaatimus koskee sekä höyry- että kuumavesikattiloita.
Tässä oppaassa esitetään vaaran arvioinnin sisältövaatimukset ja kuvataan, miten arviointi laaditaan.
Opas korvaa vuonna 1999 laaditun oppaan. Keskeisiä muutoksia aiempaan ovat
Terminologian selkeyttäminen. Lainsäädännön termi ”Vaaranarviointi” tarkoittaa dokumenttia, jossa on kuvattu tämän oppaan mukaiset sisällöt. Osa vaaranarviointia on (prosessi)riskinarviointi. Lisäksi tulee arvioida kyberriskejä.
Turvallisuusjohtamisen periaatteiden lisääminen vaaran arviointiin. 2000-luvulla on ymmärretty organisatorisen turvallisuuden, turvallisuuden johtamisen ja turvallisuuteen sitoutumisen merkitys prosessiturvallisuudessa. Kattilalaitokset ovat enemmän prosessilaitoksia kuin yksinkertaisia painelaitteita, joten niihin liittyy prosessiturvallisuusriskejä, joiden hallinnassa turvallisuusjohtamisella on merkitystä. Mikäli kattilalaitos on osa Seveso-laitosta, riittää todeta, että kattilalaitoksella noudatetaan toimintaperiaateasiakirjassa tai turvallisuusselvityksessä kuvattuja periaatteita.
Riskinarvioinnille asetettavat minimivaatimukset. Vaaranarvioinnissa esitetyt prosessiriskinarvioinnit ovat olleet hyvin vaihtelevan tasoisia. Nyt riskinarvioinnissa edellytetään selkeästi tiettyjä minimikriteereitä kattavuuden, systematiikan ja dokumentaation osalta. Lisäksi kuvataan, miten jaksottaisen käytönvalvonnan mahdollinen riskilisä tulee huomioida ja raportoida.
TLJ-järjestelmien kuvausvaatimus on nykyaikaistettu ja saatettu lain vaatimusten tasalle. On kuvattava, mitä vaatimuksia järjestelmille asetetaan ja miten varmistutaan siitä, että nämä vaatimukset toteutuvat. Tarkastelu jakautuu tapauksiin, joissa erillistä turva-automaatiota ei (perustellusti) ole, turva-automaatio on standardin IEC61511 mukainen tai turva-automaatio ei ole standardin mukainen.
Yhteinen katselmointivaatimus. Käytönvalvojan tosiasiallisen toimintamahdollisuuksien takaamiseksi, omistajan pitämiseksi tietoisena turvallisuuden tasosta sekä asiakirjan toimivuuden ja hyödynnettävyyden lisäämiseksi vaaranarviointi ja laitoksen turvallisuustilanne tulee katselmoida vuosittain käytönvalvojan, omistajan/haltijan edustajan ja kunnossapidosta vastaavan tahon kesken.
Vaaranarvioinnin laadinta edellyttää puheena olevan laitoksen tuntemusta sekä osaamista ainakin seuraavilta aloilta:
Kattilalaitosten riskit yleisesti
Prosessiriskinarviointimenetelmät
Turvallisuusjohtaminen
Turva-automaation ja sen taustalla olevien standardien ja määräysten tuntemus
Kyberturvallisuus.
Oppaan linjausten pohjalta myös tarkastuslaitokset voivat arvioida vaaran arvioinnin riittävyyttä ja asianmukaisuutta sekä antaa korjaavaa palautetta entistä paremmin.
Oppaan ovat laatineet Tukesin ohjauksessa Gaia Consulting Oy, Sweco Finland Oy ja FINPOC Oy.
2 Kattilalaitoksen vaaranarviointivaatimus ja sen tulkinta
2.1 Lainsäädännössä kuvatut sisältövaatimukset
Vaaran arviointia edellytetään painelaitelain 65.1 §:n mukaan seuraavilta kattilalaitoksilta:
kattilalaitos, jossa on painelaiterekisteriin rekisteröitävä höyrykattila, jonka teho on yli 6 megawattia
kattilalaitos, jossa on painelaiterekisteriin rekisteröitävä kuumavesikattila, jonka teho on yli 15 megawattia tai
kattilalaitos, joka sijoitetaan maan alle.
Vaaranarvioinnissa tulee kuvata seuraavaa:
1) Kattilalaitoksen käyttöön liittyvät vaaratilanteet ja olosuhteet, joissa onnettomuus on mahdollinen
2) Kattilalaitoksen käyttötekniikasta aiheutuvat vaaratilanteet ja
3) Kuvaus tyypillisistä ja suurimmista mahdollisista vaaratilanteista sekä niihin johtavista käyttövirheistä, virhetoiminnoista, laitteiden vikaantumisista ja vaurioista ja muista syistä.
Vaaran arvioinnissa tunnistettuihin vaaratilanteisiin on varauduttava ja selvitettävä niistä vaaran arvioinnissa edellä säädetyn lisäksi vähintään:
4) (2. mom. nro 1) miten vaaratilanteiden ehkäisemiseen on varauduttu kattilalaitoksen normaalikäytön ja korjaus- ja huoltotöiden sekä erilaisten häiriötilanteiden yhteydessä
5) (2. mom. nro 2) millaisiin toimenpiteisiin tehtyjen selvitysten johdosta on ryhdytty ja
6) (laissa 2. mom. nro 3) millaisia suojausjärjestelmiä tunnistettujen vaarojen estämiseksi tai niiden seuraamusten pienentämiseksi on tarkoitus käyttää, mitä järjestelmien toiminnoilta ja luotettavuudelta vaaditaan ja miten näiden vaatimusten täyttyminen on varmistettu.
2.2 Lainsäädännön sisältövaatimukset käytännössä
Riskianalyysimenetelmät ja terminologia ovat kehittyneet paljon sinä aikana, kun vaaran arvioinnin laadintavelvoite on ollut olemassa. Nykykielenkäytössä
Kohdat 1-3 tarkoittavat kattilalaitoksen prosessiriskinarviointia. Sen suorittamista opastetaan oppaan luvussa 4. On huomattava, että kyseessä ei ole työturvallisuusriskinarviointi.
Kohta 4 edellyttää paitsi teknisten suojausten ja suojausjärjestelmien myös organisatorisen turvallisuuden, turvallisuuden johtamisen ja kyberturvallisuuden kuvaamista
Kohta 5 viittaa kaikkiin niihin toimenpiteisiin, joihin on päätetty ryhtyä turvallisuustilanteen kehittämiseksi. Näitä ovat erilaiset kehittämissuunnitelmat, joita on tarkoitus käsitellä johdon katselmoinnin yhteydessä
Kohta 6 viittaa erityisesti turva-automaatioon, sille asetettuihin vaatimuksiin ja sen varmistamiseen, miten vaatimusten täyttyminen on varmistettu. Passiiviset suojausjärjestelmät katetaan paljolti käytön ja kunnossapidon yhteydessä.
Myös kattilalaitoksiin kohdistuvat uhat ovat laajentuneet huomattavasti. Erityisiä muutoksia ovat tietoturva- ja kyberuhat, ilmastonmuutoksen seuraukset ja tarkoituksellisen vahingoittamisen mahdollisuuden huomattava kasvu.
Keskeinen sisäinen muutos on rajapintojen huomattava lisääntyminen laitoksen sisällä. Yhden organisaation sijaan omistaja, käytönvalvoja, kunnossapito ja jopa käyttötoiminta saattavat edustaa erillisiä yrityksiä. Lain vaatimukset täyttäviä käytönvalvojia on vaikea saada ja henkilöstövaihtuvuus on suurta. Tiedonkulku rajapinnoissa on yleensä vaikeaa ja eri yrityksillä on erilaiset tavoitteet. Voimalaitososaamisen ja turvallisuuden varmistaminen edellyttää paitsi varautumista ulkoisiin uhkiin myös sisäistä koordinointia ja sitouttamista yhteiseen turvallisuuteen sekä henkilö- että yritystasolla. On siis selvää, että kattilalaitoksen turvalliseen toimintaan tarvitaan huomattavan paljon enemmän kuin teknisiä riskitarkasteluja.
2.3 Muu lainsäädäntö
Painelaitelaki on painelaitteita koskeva yleislaki, jota sovelletaan lähtökohtaisesti laitteisiin, joissa ylipaineesta voi aiheutua vaaraa. Painelaitteiden käyttöön ja sijoittamiseen liittyy myös monia muita riskejä ja vaaratilanteita, jotka eivät ole lähtöisin painelaitteiden ylipaineesta tai joissa ylipaine yhdistyy muuhun riskitekijään. Tällaisia riskitekijöitä voivat olla esim. kemikaalien käsittelystä aiheutuvat reaktiot, tulipalot tai digitaaliset käyttöhäiriöt ja niihin varautumista ohjaavat monet muut säädökset ja ohjeet. Keskeisiä muita säädöksiä ovat mm.
Pelastuslain 379/2011 15§ ja pelastussuunnitelman laatimis- ja ylläpitovelvollisuus
Ympäristöministeriön asetus 848/2017 rakennusten paloturvallisuudesta
Kemikaaliturvallisuuslaki 390/2005
ATEX-direktiivi räjähdysvaarallisista tiloista ja sen kansallinen implementointi; räjähdyssuojausasiakirjan laatimis- ja ylläpitovelvollisuus
Kyberturvallisuuslaki (tätä kirjoitettaessa HE 57/2024; lailla pannaan toimeen EU:n NIS2-direktiivi) tiettyjen laitosten osalta. Osa tämän oppaan kattamista kattilalaitoksista on lain piirissä. Tällöin kyberuhille ja tietoturvalle asetetaan erityisiä vaatimuksia, jotka ovat erittäin vaativia.
Painelaiteturvallisuus ja sen vaatimukset tulee koordinoida muiden lakien vaatimusten kanssa. Esimerkiksi paineenpurkautuminen saattaa vaatia tiettyjä ovien avautumissuuntia, kun taas hätäpoistumisratkaisuissa avautumissuuntien haluttaisiin olevan toisenlaisia. Mahdolliset ristiriitaiset vaatimukset eri lainsäädännöistä on tunnistettava ja ratkaistava. Painelaiteturvallisuuden tulee pääsääntöisesti olla etusijalla.
2.4 Vaaranarvioinnin laadinta
Vaaranarviointi laaditaan yhteenvetäväksi dokumentaatioksi laitoksen turvallisuudesta ja sen hallinnasta. Vaaranarviointi laaditaan laitokselle itselleen hyödynnettäväksi turvallisuuden kehittämisessä. Vaaranarvioinnin tarkastaa painelaitetarkastaja määräaikaistarkastusten yhteydessä.
Painelaitelaki määrittelee vaaranarvioinnin laadintavastuun. Lisäksi lain mukaan omistajan tulee antaa tosiasialliset mahdollisuudet käytönvalvojalle toteuttaa tehtäväänsä ja käytönvalvojan tulee pitää omistaja ajan tasalla laitoksen turvallisuustilanteesta. Uudistetun vaaranarvioinnin keskeinen tarkoitus on reagoida edellä kuvattuihin sisäisiin muutoksiin ja samalla varmistaa, että painelaitelain velvoitteet omistajan ja käytönvalvojan tiedonvaihdosta toteutuvat. Vaaranarviointiin sisältyvän prosessiriskinarvioinnin keskeinen tehtävä puolestaan on reagoida tapahtuneisiin uhkamallien muutoksiin sekä hahmottaa näin laitoksen teknistä turvallisuustilannetta.
Nyt vaaranarvioinnissa vaaditut sisällöt poikkeavat merkittävästi aiemmasta. Vaaranarvioinnissa vaaditaan kuitenkin pääasiassa kuvattavaksi asioita, joiden tulisi olla kunnossa koko ajan. Vaaranarvioinnin laadinta on siis eräitä osioita lukuun ottamatta paljolti olemassa olevan dokumentaation kokoamista.
Vaaranarvioinnin ja siihen liittyvän riskinarvioinnin laadinta tai päivitys erityisesti sijoitettaessa kattilalaitosta haavoittuvaan ympäristöön on aloitettava jo silloin kun laitosta tai suuria muutoksia suunnitellaan. Jo hankintavaiheessa omistajalla tulee olla riittävä ymmärrys siitä, millaista laitosta ollaan hankkimassa ja mitä turvallisuusvaatimuksia siihen liittyy. Mahdolliselta projektinvalvontapalvelulta (owner’s engineer) tulee edellyttää painelaiteturvallisuuden ja tämän vaaranarvioinnin sisältöjen syvällistä ymmärrystä. Jo suunnitteluvaiheessa tulevalla laitoksen käytönvalvojalla tai muutostöiden yhteydessä nykyisellä käytönvalvojalla tulee olla mahdollisuus vaikuttaa turvallisuusratkaisuihin. Näin autetaan kaikkia osapuolia ymmärtämään vastuunsa ja kehittämään turvallisuutta silloin, kun peruslaatuisia ratkaisuja tehdään.
3 Vaaranarvioinnin vaaditut sisällöt
3.1 Vaaranarvioinnin sisällöt
Vaaranarvioinnissa tulee esittää seuraavat sisällöt:
Johdanto ja vaaranarvioinnin tarkoitus
Kattilalaitoksen kuvaus
Kattilalaitoksen ympäristön kuvaus
Vaaratilanteiden ehkäisemisen periaatteet
Turvallisen toiminnan päämäärät
Organisaatio ja toiminnan ohjaus
Käytön ja kunnossapidon hallinta
Räjähdyssuojaus
Muutosten hallinta
Turvallisuustilanteen seuranta
Suunnittelu hätätilanteiden varalta
Laitoksen turva-automaatio ja sen vaatimustenmukaisuus
Automaatiojärjestelmien yleiskuvaus
Automaatiojärjestelmiin liittyvät sopimuksella sovitut kiinteät ja järjestelmään etäyhteydellä pääsevät kumppanuudet ja kumppaneiden keskeiset tehtävät
Turva-automaatiojärjestelmien yleiskuvaus, keskeiset tehtävät ja tekninen toteutus
Järjestelmille asetetut vaatimukset, ja vaatimusten täyttymisen varmistaminen.
Tietoturva- ja kyberriskien hallinta
Kattilalaitoksen riskinarviointi ja johtopäätökset
Riskinarvioinnin toteutus
Arvioinnin päivittämisen periaatteet
Jaksottaisen käytönvalvonnan riskilisä
Tulokset
Riskienhallinnan kehityssuunnitelma
Yleisen katselmoinnin perusteet
Johtopäätökset ja allekirjoitukset
Liitteet laatijan harkinnan mukaan, esimerkiksi
Prosessiriskinarviointi
Riskienhallinnan kehittämissuunnitelma
Turva-automaation vaatimustenmukaisuustarkastelu
Käyttö- ja turva-automaation kyberriskinarviointi ja kyberturvallisuuden kehittämissuunnitelma.
Kunkin alakohdan sisällöt kuvataan seuraavissa alaluvuissa.
3.2 Alakohtien sisällöt
3.2.1 Johdanto ja vaaranarvioinnin tarkoitus
Tarkoitus: Kuvataan dokumentin tarkoitus ja se, miten dokumenttia on tarkoitus hyödyntää kattilalaitoksen turvallisuuden varmistamisessa.
Luvussa kuvataan: 1 Dokumentin tarkoitus 2 Dokumentin hyödyntäminen turvallisuuden varmistamisessa (esim. yhteydenpito rajapintojen yli, koulutus, perehdytys ja vastaavat) 3 Dokumentin laadintaan ja ylläpitoon osallistuvat tahot 4 Pääasiallisen vastuullisen (yleensä käytönvalvoja) nimi.
Yleiskuvaus tarkasteltavasta kattilalaitoksesta ja sen toiminnasta, esimerkiksi kattilalaitoksen tyyppi, teho, polttoaine, varapolttoaine, yleiset tekniset tiedot, käyttötapa, miehitys, valvonta, ohjausmahdollisuudet, huollon ja kunnossapidon järjestelyt
Toimintaan ja turvallisuuteen välittömästi liittyvät organisaatiot ja niiden yhteyshenkilöiden yhteystiedot ja vastuut; vähintään
Omistaja/haltija, vastuuhenkilö ja yhteystiedot
Käytönvalvonnan tarjoaja, vastuuhenkilö ja yhteystiedot
Käyttöpalvelun tarjoaja, vastuuhenkilö ja yhteystiedot
Kunnossapidon tarjoaja, vastuuhenkilö ja yhteystiedot
Laitoksella käytettävät kemikaalit ja niiden määrät
Kattilalaitoksen liitynnät prosesseihin ja käyttökohteisiin
Listaus kattilalaitoksen oleellisesta teknisestä ja turvallisuusdokumentaatiosta ja dokumentaation säilytyspaikasta sekä ylläpidon periaatteista.
3.2.3 Kattilalaitoksen ympäristön kuvaus
Tarkoitus: Yleiskuvan antaminen laitosta ympäröivistä riskikohteista riskinarvioinnin tueksi, mahdollisten dominovaarojen selvittämiseksi ja maankäytön suunnittelun ohjaamiseksi laitoksen ympäristössä.
Luvussa kuvataan:
Kattilalaitoksen sijainti
Karttakuva noin 200 metrin säteellä laitoksen ympärillä, johon on merkitty laitoksen keskeiset vaaralliset alueet. Näitä ovat mm.
Polttoainevarastot
Kemikaalivarastot, keskeiset siirtolinjat ja käyttöpaikat
Muut paikat, joissa voi kehittyä nopea tulipalo tai muu vaara
Räjähdyssuojattujen alueiden sijainnit
Heikot nurkat, heikennetyt seinät, räjähdysluukut ja muut paineenhallinnan hätäratkaisut
Muut nopeaa vaaraa aiheuttavat kohteet vaara-alueineen.
Jos kattilalaitos on osa muuta prosessilaitosta:
Lähimmät toiminnot
Mahdolliset vaaraa kattilalaitokselle tai sen apujärjestelmille aiheuttavat toiminnot
Toiminnot, joissa onnettomuudet kattilalaitoksella voisivat saada aikaan merkittävän onnettomuuden
Keskeiset maankäyttömuodot ja toiminnot laitoksen ympärillä 200 m säteellä luokiteltuna (karkeasti) seuraavasti:
Herkät vaikeasti evakuoitavat kohteet kuten koulut, päiväkodit, sairaalat, vanhainkodit ja vastaava
Asutus
Palvelut ja kokoontumispaikat (kaupat, urheilukentät ja vastaavat)
Toimistotyöpaikat
Teollinen tuotanto.
3.2.4 Vaaratilanteiden ehkäisemisen periaatteet
Tarkoitus: Kuvataan, miten turvallisuusjohtamista toteutetaan kattilalaitoksessa.
Huom. Mikäli kattilalaitos on osa toimintaperiaateasiakirja- tai turvallisuusselvitysvelvollista Seveso-laitosta ja kattilaa operoi sama taho kuin muuta laitosta, voidaan luvussa viitata laitoksen toimintaperiaateasiakirjaan tai turvallisuusselvitykseen. Allekirjoituksillaan omistaja ja käytönvalvoja vakuuttavat, että samoja periaatteita noudatetaan kattilalaitoksessa. Luvun sisällöissä voidaan hyödyntää myös Tukes-ohjeita 10/2015 Toimintaperiaateasiakirja ja 22/2021 Turvallisuusselvitys.
Luvussa kuvataan:
1. Turvallisen toiminnan päämäärät ja periaatteet
Kuvataan yleiset kattilalaitoksen prosessiturvallisuuteen liittyvät päämäärät sekä toimintatavat näiden päämäärien saavuttamiseksi.
2. Organisaatio ja toiminnan ohjaus
Kuvataan laitoksen toimintaan osallistuvat organisaatiot ja niiden vastuut prosessiturvallisuuden tuottamisessa kattilalaitoksella.
Kuvataan ne käytännöt, joilla kattilalaitoksessa toteutetaan mainittuja turvallisuusvastuita
Kuvataan keskeiset laitoksen sisäiset ja ulkoiset rajapinnat (esimerkiksi käyttöyritys-kunnossapitoyritys; käyttöyritys-automaatiotoimittaja), keskeiset tiedonvaihtotarpeet sekä käytännöt, joilla varmistetaan tiedon kulku rajapintojen yli
Kuvataan, miten laitoksen ja sen prosessien sekä laitteiden turvallista käyttöä ja kunnossapitoa, käytön poikkeustilanteita, vaaratilanteita, hätäpysäytyksiä, seisokkeja ja kohtuudella odotettavissa olevia muita erityistilanteita koskevat menettelytavat on ohjeistettu ja koulutettu ja miten niiden toteutumista valvotaan. Kuvataan erityisesti
Yleisohjeistusten olemassaoloa ja sisältöjä sekä kouluttamista normaaliin toimintaan, ylös- ja alasajoon sekä yleisimpiin normaalista poikkeaviin tilanteisiin (erilaiset havaitut poikkeamat ja vaaratilanteet, hälytykset ja hätäpysäytykset)
Ennakkohuolto- ja kunnossapitojärjestelmää, jossa tulee huomioida myös laitoksen ikääntyminen
Työlupamenettelyitä ja kulunvalvontaa
Alihankkijoiden perehdytystä, käyttöä ja yhteistoimintaa
Noudatettavia tietoturvaperiaatteita ja niiden kouluttamista henkilöstölle
Miten turvallisuustilanteen seuranta ja tuloksiin reagoiminen toteutetaan (ks. kohta 5):
Miten organisaatio käyttää turvallisuuden seurannan mittareita ja kehittää mittaristoa
Miten tapahtuneiden onnettomuuksien ja läheltä piti -tilanteiden sekä suunnittelemattomien alasajojen, turva-automaation laukeamisen ja muiden prosessihäiriöiden raportointi ja dokumentointi on järjestetty
Miten onnettomuuksien ja vakavien läheltä piti -tilanteiden tutkinta on järjestetty ja miten turvallisuutta kehitetään tulosten pohjalta.
3. Räjähdyssuojaus
Kuvataan, miten laitoksen räjähdyssuojaus on järjestetty. Lisätietojen osalta voidaan viitata räjähdyssuojausasiakirjaan. Tarvittaessa voidaan hyödyntää Tukesin opasta ”Räjähdysvaarallisten tilojen turvallisuus”. Jos räjähdysvaaraa ei jostain syystä arvioida olevan, tämä voidaan todeta perusteluineen vaaranarvioinnissa.
Erityisesti kuvataan
Keskeiset tilaluokitellut alueet (voidaan viitata räjähdyssuojausasiakirjaan ja kuvata alueet sanallisesti)
Miten varmistetaan, että tilaluokitelluille alueille ei asenneta tai viedä sinne sopimattomia laitteita
Räjähdyssuojausasiakirjan ajan tasalla pitämisen periaatteet ja viimeisin asiakirjan päivittämisaika.
4. Muutosten hallinta
Kuvataan menettelyt, joita noudatetaan, kun tehdään muutoksia. Menettelyissä otetaan huomioon pysyvien muutosten lisäksi tilapäiset ja kiireelliset muutokset.
Menettelyiden kuvauksessa selvitetään
Mitä tarkoitetaan muutoksella
Mitä muutokset kattavat (laitteisto, prosessi, menettelyt ja ohjeet, ohjelmistot, käyttöautomaatio, turva-automaatio, henkilöstö)
Minkä tyyppisiä ja -suuruisia muutoksia menettelyt kattavat
Kenen vastuulle muutosten hyväksyntä kuuluu
Kuka muutokset toteuttaa (suunnittelu, rakentaminen, tarkastukset)
Laitteistojen, putkistojen, rakennusten sekä turvajärjestelyiden ja turva-automaation suunnittelussa ja sijoituksessa noudatettavat perusteet (lainsäädäntö, standardit, ohjeet, spesifikaatiot)
Miten erilaisiin muutoksiin liittyvät riskit arvioidaan ja miten arvioinnin tulokset otetaan huomioon
Miten muutokset dokumentoidaan
Ohje siitä, mitkä muutokset vaativat yhteistyötä tarkastuslaitoksen kanssa
Miten järjestetään tiedotus ja koulutus muutoksista, erityisesti muutoksista käyttö- ja turva-automaatioon.
5. Turvallisuustilanteen seuranta
Kuvataan, miten kattilalaitoksen prosessiturvallisuustilannetta ja turvallisuuspäämäärien toteutumista arvioidaan.
Kutakin turvallisuuspäämäärää kuvaamaan valitaan sellainen soveltuva joukko jälkikäteis- ja ennakoivia indikaattoreita, joilla arvioidaan saatavan riittävä kuva laitoksen turvallisuustilanteesta.
Tyypillisiä taaksepäin katsovia indikaattoreita ovat mm.
läheltä piti-tilanteiden tai onnettomuuksien lukumäärä aikayksikössä
suunnittelemattomien alasajojen, turva-automaation laukeamisen, muiden prosessitason poikkeamien, prosessihäiriöiden ja vaaratilanteiden lukumäärä aikayksikössä.
Ennakoivia mittareita ovat mm.
turvallisuuskriittisten laitteiden tarkastusten ja ennakkohuoltojen toteutuminen aikataulussa
Yllä olevat mittarit ovat esimerkkejä. Valittavien mittareiden valinnan tulee perustua laitoksen omaan riskinarviointiin ja turvallisuuspäämääriin (ks. kohta 1) dokumentoidulla tavalla. Apuna mittareiden valitsemisessa voidaan käyttää Tukesin opastaa ”Prosessiturvallisuus ja sen mittaaminen”.
Osana turvallisen toiminnan periaatteita ja päämääriä (kohta 1) tulee lisäksi kuvata,
miten organisaatio käyttää mittareita ja kehittää mittaristoa.
miten tapahtuneiden onnettomuuksien ja läheltä piti -tilanteiden sekä suunnittelemattomien alasajojen, turva-automaation laukeamisen ja muiden prosessihäiriöiden raportointi ja dokumentointi on järjestetty
miten onnettomuuksien ja vakavien läheltä piti -tilanteiden tutkinta on järjestetty ja miten turvallisuutta kehitetään tulosten pohjalta.
6. Suunnittelu hätätilanteiden varalta
Kuvataan, miten kattilalaitoksen pelastussuunnitelma pidetään ajan tasalla ja miten pelastustaitojen ylläpito ja harjoittelu on järjestetty.
Kun laitos on jaksottaisessa käytönvalvonnassa, laitoksen pelastussuunnitelmasta tulee lisäksi käydä ilmi
miten toiminta onnettomuustilanteessa käynnistetään
mikä on kenttähenkilön vasteaika saapua paikalle
miten ohjauspaikalla toimitaan onnettomuustilanteen aikana
kaikki relevantit yhteystiedot.
3.2.5 Laitoksen turva-automaatio ja sen vaatimustenmukaisuus
Tarkoitus: Kuvataan lainsäädännön vaatimusten mukaisesti järjestelmät, niille asetetut vaatimukset, vaatimustenmukaisuuden osoittaminen ja vaatimusten täyttymisen varmistaminen.
Huom. Lähtökohtaisesti kattilalaitosten turva-automaation tulee olla standardin IEC61511 mukainen, jolloin turvallisuuden kannalta tärkeää on varmistaa, että standardia noudatetaan. Oleellisia kysymyksiä ovat tällöin käyttö, kunnossapito (turva-automaation koestukset) ja muutosten hallinta. Mikäli laitoksen turva-automaatiojärjestelmät eivät ole yo. standardin mukaisia, on syytä tarkastella lisäksi turva-automaation kattavuutta ja sille asetettujen vaatimusten taustaa ja riittävyyttä. Joissakin tapauksissa erillistä turva-automaatiota ei tarvita; tämän on kuitenkin harvinaista vaaranarviointivaatimuksen kokoluokan laitoksissa. Tällöin annetaan perusteet sille, miksi turva-automaatiota ei ole, sekä arvio laitoksen turvallisuuden tasosta.
Luvussa kuvataan:
Käyttö- ja turva-automaatiojärjestelmien yleiskuvaus.
Automaatioon liittyvät sopimuksella sovitut kumppanuudet ja kumppaneiden keskeiset tehtävät.
Turva-automaatiojärjestelmien yleiskuvaus, keskeiset tehtävät ja tekninen toteutus
Järjestelmille asetetut vaatimukset, ja vaatimusten täyttymisen varmistaminen seuraavasti:
a. Jos laitoksella on standardin IEC61511 mukaisesti toteutettu turva-automaatio: Kuvataan:
Standardin mukaisen dokumentaation ylläpitokäytännöt ja -vastuut sekä turvakansion sijainti
Yhteenveto kahden viime vuoden aikana turva-automaatioon tai muuhun määriteltyyn varautumiseen kohdentuneista muutoksista ja viittaus standardimukaiseen muutosten hallinnan dokumentaatioon
Yhteenveto kahden viime vuoden aikana turva-automaatioon tai muuhun määriteltyyn varautumiseen kohdentuneista muutoksista
Yhteenveto edellisen vaaranarvioinnin päivittämisen jälkeen tapahtuneista turva-automaation laukeamisista ja niiden syynselvityksestä sekä tehdyistä korjauksista sekä yhteenveto keskeisistä havainnoista käyttötilanteissa
Turva-automaation koestusprosessi ja sen vastuut:
Koestusaikataulutus
Kuka huolehtii koestuksen tilaamisesta ja toteuttamisesta
Miten koestukset toteutetaan
Miten koestuspöytäkirjat käsitellään
Miten poikkeamat käsitellään
On huomioitava erityisesti myös se turva-automaatio, joka liittyy paineturvallisuuteen vain välillisesti, esimerkiksi polttoaineiden käsittelyyn
Miten laitoksen automaatiojärjestelmiä koskevia kansallisia ja kansainvälisitä säädösvaatimuksia sekä mahdollisia järjestelmätoimittajien haavoittuvuusraportteja seurataan ja miten niihin reagoidaan; kuvaus siitä miten viimeisimpien säädösvaatimusten ja haavoittuvuusraporttien sisällöt on huomioitu toiminnassa.
Standardin mukaiseen turva-automaatioon liittyen lisätietoja on saatavilla Tukesin oppaassa ”Turva-automaatio prosessiteollisuudessa”.
b. Jos laitoksella ei ole standardin IEC61511 mukaista turva-automaatiota (esim. iäkkäät laitokset) Kuvataan:
Turva-automaation kattavuus. Listataan turva-automaation SIL-vaateelliset toiminnot ja verrataan sitä vaaranarvioinnissa laadittuun systemaattiseen prosessiriskinarviointiin. Arvioidaan, onko turva-automaatio riittävän kattava, erityisesti sitä, osoittaako prosessiriskinarviointi puuttuvia turva-automaation toimintoja. Mikäli näin on, esitetään suunnitelma ja aikataulutus puuttuvien turva-automaatiotoimintojen lisäämisestä.
Kunkin turvatoiminnon SIL-vaateen tausta, eli mihin spesifikaatioon tai vastaavaan perustuen toiminnon SIL-vaade on aikanaan valittu. Arvioidaan kunkin SIL-vaateen perustelu ja riittävyys.
Turva-automaation dokumentaation ylläpitokäytännöt ja -vastuut
Yhteenveto edellisen vaaranarvioinnin päivittämisen jälkeen tapahtuneista turva-automaation laukeamisista ja niiden syynselvityksestä sekä tehdyistä korjauksista sekä yhteenveto keskeisistä havainnoista käyttötilanteissa.
Yhteenveto edellisen vaaranarvioinnin päivittämisen jälkeen tapahtuneista turva-automaation laukeamisista ja niiden syynselvityksestä sekä tehdyistä korjauksista sekä yhteenveto keskeisistä havainnoista käyttötilanteissa
Yhteenveto kahden viime vuoden aikana turva-automaatioon tai muuhun määriteltyyn varautumiseen kohdentuneista muutoksista
Turva-automaation koestusprosessi ja sen vastuut:
Koestusaikataulutus
Kuka huolehtii koestuksen tilaamisesta ja toteuttamisesta
Miten koestukset toteutetaan
Miten koestuspöytäkirjat käsitellään
Miten poikkeamat käsitellään
On huomioitava erityisesti myös se turva-automaatio, joka liittyy paineturvallisuuteen vain välillisesti, esimerkiksi polttoaineiden käsittelyyn.
Miten laitoksen automaatiojärjestelmiä koskevia kansallisia ja kansainvälisitä säädösvaatimuksia sekä mahdollisia järjestelmätoimittajien haavoittuvuusraportteja seurataan ja miten niihin reagoidaan; Kuvaus siitä miten viimeisimpien säädösvaatimusten ja haavoittuvuusraporttien sisällöt on huomioitu toiminnassa.
Lyhyt kuvaus siitä, onko turva-automaatio tarkoitus saattaa standardin IEC61511 mukaiseksi tai vastaavalle tasolle, ja jos niin milloin (aiemmin hyväksyttyjä laitteistoja ja järjestelyjä ei vaadita päivitettäväksi)
c. Jos laitoksella on riskinarviointiin perustuen tai muuten todettu, että SIL-vaateita ja erillistä turva-automaatiota ei ole:
Perustelu turva-automaation puuttumiselle
Arvio laitoksen turvallisuustasosta.
Lyhyt kuvaus siitä, onko turva-automaatiota tarkoitus asentaa ja jos niin milloin (aiemmin hyväksyttyjä laitteistoja ja järjestelyjä ei vaadita päivitettäväksi)
Kaikissa teksteissä voidaan nojautua ja viitata olemassa olevaan ajantasaiseen dokumentaatioon niin, että samoja sisältöjä ei tarvitse pitää yllä useassa paikassa. Dokumentaation on kuitenkin oltava olemassa ja ajantasaista. Lisätietoa näistä sisältövaatimuksista on luvussa 5.
3.2.6 Tieto- ja kyberturvallisuuden hallinta
Tarkoitus: Kuvataan, miten kyberturvallisuutta toteutetaan laitoksessa.
Huom. Mikäli kattilalaitos on NIS2-direktiivin/kyberturvallisuuslain (ei vielä voimassa tätä kirjoitettaessa) mukainen kriittisen tai erittäin kriittisen toimialan laitos, voidaan viitata ko. lain velvoitteiden puitteissa laadittuun dokumentaatioon.
Luvussa kuvataan:
a) Mikäli kattilalaitosta koskevat kyberturvallisuuslain velvoitteet, tulee luvussa kuvata, miten velvoitteet on laitoksella toteutettu ja dokumentoitu. Dokumenttien on oltava olemassa ja ajantasaisia.
b) Mikäli laitosta eivät koske kyberturvallisuuslain, edellytetään automaation ja turva-automaation kyberriskinarviointia, josta on käytävä ilmi.
Kaikki reitit ja tavat, joita kautta laitoksen automaation tai turva-automaatioon voidaan vaikuttaa, mukaan lukien esimerkiksi fyysinen pääsy, automaation päivitysreitit ja -menettelyt ja tietoverkkoon auki olevat yhteydet.
Kunkin reitin osalta aiheutettavissa olevat vaarat automaatiolle ja turva-automaatiolle sekä edelleen laitoksen painelaiteturvallisuudelle
Suojaustoimet, joilla merkittäväksi arvioitujen reittien hyödyntäminen estetään
Toimet, joilla mahdollinen kyberriskin realisoituminen havaitaan
Toimet, joilla automaation turvallisuus pidetään ajan tasalla (esim. päivitykset, haavoittuvuusjulkistusten seuraaminen)
Toimet, joilla henkilöstön kyberturvallisuusosaamista pidetään yllä ja kehitetään
Toimet, joilla kyberturvallisuuden tasoa arvioidaan.
Tarkempi ohjeistus on luvussa 6.
3.2.7 Kattilalaitoksen riskinarviointi ja johtopäätökset
Tarkoitus: kuvataan, miten riskinarviointi on suoritettu, mitkä ovat keskeiset prosessiturvallisuusriskit ja miten turvallisuutta aiotaan parantaa arvioinnin perusteella.
Luvussa kuvataan:
Riskinarvioinnin toteutus. Kuvataan, miten ja millä menetelmällä riskinarviointi on toteutettu, mitkä ovat olleet lähtötiedot, miten niitä on hyödynnetty, miten arviointi käytännössä järjestettiin, keitä osallistui, sekä muu tieto, jota tarvitaan arvioinnin laadun arvioimiseksi. Huom. riskinarviointi on suoritettava systemaattisella menetelmällä ja dokumentoitava selkeästi. Riittävä systemaattisuuden taso on HAZID-menetelmässä, jonka soveltamista kuvataan luvussa 4. Luvussa 4 kuvataan myös riskinarvioinnin yleiset laadintaperiaatteet, joita tulee noudattaa. Riskinarviointi voi perustua myös laitetoimittajien HAZOP-tarkasteluille. Vaaranarvioinnissa tulee kuitenkin huolehtia siitä, että eri laitekokonaisuuksien HAZOP-tarkastelut tai esimerkiksi konedirektiivin mukaiset vaaratarkastelut on yhdistetty yhdeksi (tai useammaksi) ajantasaiseksi riskinarvioinniksi, jossa on otettu huomioon käyttötapa, käyttöympäristö ja laitekokonaisuuksien väliset vaikutukset. Valmistajan tai laitetoimittajan riskinarvioinnit sinänsä eivät ole tässä tarkoitettuja riskinarviointeja.
Jaksottaisen käytönvalvonnan riskilisä. Jos laitos on jaksottaisessa käytönvalvonnassa tai harkitaan siirtymistä jaksottaiseen käytönvalvontaan, on kuvattava lisäksi seuraavat asiat
Kuvaus jaksottaisen käytönvalvonnan teknisestä järjestämisestä
Kuvaus ohjauspaikka- ja valvontakäyntimenettelyistä
Arvioinnin päivittämisen periaatteet. Kuvataan, missä tapauksissa ja milloin arviointi päivitetään, miten päivitys tehdään, kuka päivittämisestä vastaa ja keiden siihen oletetaan osallistuvan.
Tulokset. Kuvataan keskeiset kuvailevat ja määrälliset tulokset riskinarvioinnista. Listataan keskeiset riskit ja arvotetaan niiden merkitys laitoksen prosessiturvallisuudelle.
Riskienhallinnan kehityssuunnitelma. Kuvataan aikataulu ja vastuut esimerkiksi keskeisten ei-hyväksyttyjen riskien saattamiseksi hyväksyttäviksi sekä koholla olevien riskien seuraamiseen ja tarvittaessa pienentämiseen. Jos vaaranarvioinnin sisällöt eivät vastaa tämän oppaan sisältövaatimuksia, laaditaan aikataulutettu ja vastuutettu suunnitelma vaaranarvioinnin saattamiseksi ajan tasalle. Suunnitelma voidaan esittää helpommin päivitettävissä olevana liitteenä.
3.2.8 Yhteisen katselmoinnin periaatteet
Tarkoitus: Kuvataan, miten käytönvalvoja, omistaja, käytön edustaja, kunnossapidon edustaja ja mahdolliset muut keskeiset toimijat laitoksella ottavat säännöllisesti kantaa laitoksen prosessiturvallisuuden tasoon ja turvallisuusjohtamisen toimivuuteen.
Huom. Keskeinen haaste kattilalaitosten prosessiturvallisuudessa ovat useat toimijat ja niiden väliset rajapinnat. Lisäksi keskeinen turvallisuustekijä on omistajan ja muiden tahojen sitoutuminen. Vaikka kattilalaitoksen käytönvalvojalla on merkittävä vastuu laitoksen turvallisuudesta, on turvallisuuden perustuttava yhteistyölle. Omistajan on annettava riittävät resurssit turvallisuuden ylläpitämiseen ja kehittämiseen, käytön ja kunnossapidon on ymmärrettävä vastuunsa, ja turvallisuuden tilasta on oltava yhteinen käsitys. Katselmoinnissa on tarkoitus, että käytönvalvoja, omistaja, käyttäjä, kunnossapito-organisaatio ja sekä mahdolliset muut oleelliset organisaatiot yhdessä ottavat kantaa asetettujen prosessiturvallisuustavoitteiden saavuttamiseen sekä arvioivat organisaation toimivuutta ja resurssien riittävyyttä suhteessa turvallisuustavoitteisiin.
Osiossa kuvataan:
Yhteisen katselmuksen osallistujat, taajuus (vähintään kerran tarkastuslaitoksen tarkastusvälin aikana) ja järjestämistapa
Katselmuksessa käsiteltävät asiat. Esimerkkejä:
Luvun 2 mukaisten turvallisuusvastuiden ja toiminnan ohjauksen toteutuminen
Turvallisuusjohtamisen prosessien toteutuminen (esim. muutostenhallinta, päivitykset, investoinnit)
Turvallisuusindikaattoreiden kehitys ja johtopäätökset
Turvallisen toiminnan päämäärien toteutumisen arviointi
Aiemmin todettujen kehittämistarpeiden eteneminen
Uudet operatiiviset kehittämistarpeet
Turvallisuusjohtamisen kehittämistarpeet
Toimenpiteistä sopiminen: miten katselmoinnissa todetut turvallisuusjohtamisen puutteet korjataan, miten heikkouksia kehitetään ja miten todettuja vahvuuksia hyödynnetään.
Katselmointien dokumentointi. Katselmuksista on pidettävä pöytäkirjaa, joka kaikkien osapuolten on allekirjoitettava.
3.2.9 Johtopäätökset ja allekirjoitukset
Tarkoitus: Muodostetaan käsitys laitoksen turvallisuustasosta ja sitoudutaan siihen.
Osiossa kuvataan
Yhteiset päätelmät laitoksen turvallisuustasosta, turvallisuusjohtamisen toimivuudesta ja turvallisuusjohtamisen päämäärien saavuttamisesta
Keskeiset kehittämistarpeet ja vastuut
Käytönvalvojan, omistajan, käyttötoiminnasta vastaavan ja kunnossapitotoiminnasta vastaavan tahon allekirjoitukset.
3.2.10 Liitteet
Vaaranarviointi voi sisältää mm. seuraavat liitteet:
Prosessiriskinarviointi (ks. luku 4)
Riskienhallinnan kehittämissuunnitelma (ks. luku 4.5)
Turva-automaation vaatimustenmukaisuustarkastelu (ks. luku 3.2.5)
Käyttö- ja turva-automaation kyberriskinarviointi ja kyberturvallisuuden kehittämissuunnitelma.
Riskinarvioinnin tavoitteena varmistaa, että laitoksen prosessiturvallisuusriskit ovat hyväksyttävällä tasolla. Tämä tapahtuu käytännössä tunnistamalla kattilalaitoksen toimintaan liittyvät paineeseen ja lämpöön sekä niiden tuotantoon liittyvät prosessiriskit sekä arvioimalla niiden mahdolliset seuraukset ja varautumisen riittävyys.
B. Fyysinen rajaus
Riskinarviointi tulee ulottaa kattilalaitoksen niihin osiin ja toimintoihin, joissa tapahtuvista häiriöistä, toimintovirheistä, poikkeamista, vikaantumisista ja vastaavista voi aiheutua vahinkoa kattilalaitoksessa tai sen ympäristössä oleville henkilöille tai omaisuudelle. Mikäli polttoaine tai muita kemikaaleja varastoidaan tai käytetään kattilalaitoksella tai sen välittömässä (etäisyydellä jolta onnettomuusvaikutus voi välittyä laitokseen) läheisyydessä, tarkastellaan myös niiden vastaanoton, varastoinnin, siirron ja käytön riskejä. Myös mahdollisiin erillisiin painelaitteisiin liittyvät riskit on kartoitettava.
C. Tarkasteltavat riskityypit
Lainsäädännön perusteella riskinarvioinnissa on otettava huomioon henkilö- ja omaisuusriskit. Henkilöiden osalta on otettava huomioon laitoksella työskentelevät ja laitoksen ulkopuoliset henkilöt. Omaisuusvahinkoja tulee tarkastella laitoksen lisäksi sitä ympäröivien alueiden ja rakenteiden osalta. Myös toiminnan keskeytymisestä mahdollisesti aiheutuvat henkilö- tai omaisuusvahinkojen mahdollisuus on otettava huomioon; esimerkiksi jätevoimalassa jätteenpolton pitkäaikainen keskeytyminen aiheuttaa tarpeen hoitaa jätehuolto toisella tavalla (huomioiden myös kunnan valmiussuunnittelu), tai kaukolämmöntuotannon keskeytyminen pakkaskaudella ja varajärjestelmien pettäminen saattaa aiheuttaa merkittäviä terveyshaittoja asiakkaille.
Tarkasteluun voidaan yhdistää lisäksi ympäristö- ja muut kuin yllä mainitut keskeytysriskit. Ympäristöriskinarvioinnilla voidaan tarvittaessa tukea ympäristövaikutusten hallintaa. Onnettomuuden seurauksena syntyvät keskeytysvahingot voivat usein olla huomattavasti merkittävämpiä kuin varsinaiset omaisuusvahingot. Tämä pätee erityisesti silloin, kun kyseessä on kattilalaitos, joka liittyy johonkin jatkuvasti käynnissä olevaan teollisuusprosessiin.
D. Tarkasteltavien seurausten suuruusluokka
Jotta riskinarviointi ei paisuisi hallitsemattomasti, se kohdennetaan lainsäädännön mukaisiin vakaviin vaaratilanteihin. Tallaisina pidetään
riskejä, joiden seurauksena ihminen/ihmiset voivat vammautua pysyvästi tai menettää henkensä.
riskejä, joiden taloudelliset seuraukset laitokselle tai lähiympäristölle ovat kattilalaitoksen omistajan riskinottokykyyn suhteutettuna merkittäviä.
Myös laajemmat arvioinnit ovat mahdollisia. Työturvallisuusriskit eivät yleisesti ottaen ole prosessiturvallisuusriskejä, mutta prosessiturvallisuusriskit voivat olla työturvallisuusriskejä.
E. Tarkasteltavat riskien aiheuttajat
Riskien aiheuttajina on tarkasteltava vähintään teknisiä ja organisatorisia virhetoimintoja sekä niiden yhdistelmiä, ulkoisia uhkia esimerkiksi ilmastonmuutokseen ja luonnononnettomuuksiin liittyen, käyttöhyödykkeiden häiriötöntä saamista, sekä tarkoituksellista ulkopuolista vaikuttamista kuten ilkivaltaa, terrorismia, hybridivaikuttamista ja kyberuhkia.
F. Tarkasteltavat käyttötilanteet
Riskinarvioinnissa riskejä on tarkasteltava vähintään seuraavissa käyttötilanteissa:
normaali käyttö
ylös/alasajo
Kohtuullisesti odotettavissa olevat valmistajan ohjeiden vastaiset käyttötilanteet (esim. polttoainetoimittajan erehdyksessä toimittama väärä polttoaine tms.)
Käynninaikaiset vika- ja häiriötilanteet esim. pumppu- ja puhallintoiminnot ja -häiriöt, venttiilivikaantumiset, turva- ja väärät toimintasuunnat
Hätä-seis, nopea pysäytys; ilma- tai polton TLJ-lukitukset, pikapysäytys, pikatyhjennys
NET-toimet (NET=Nollaenergiatila)
Lisäksi on huomioitava vähintään seuraavien tekijöiden vaikutus:
Käyttöprofiili – kuinka usein ja miten pitkään laitos on toiminnassa
Toistuvien ylös- ja alasajojen aiheuttamat haasteet; laitevauriot, lämpölaajentumiset/jäähtymiset, vaikutus tuentohin ja kannatuksiin
Henkilöstön vaihtuvuus, osaaminen ja jaksaminen sekä varautuminen henkilöstömuutoksiin
Käyttökuorma – käyttöaste ja kuormitustaso
Onko laitos jaksottaisessa käytönvalvonnassa (tästä oma ohjeensa luvussa 4.6).
4.2 Riskinarviointimenetelmä
Riskinarviointi on suoritettava systemaattisella menetelmällä ja dokumentoitava selkeästi. Riittävä systemaattisuuden taso on HAZID-menetelmässä, jonka soveltamista kuvataan tässä oppaassa. Oppaan liitteinä on HAZID-menetelmään liittyviä tavanomaiselle voimakattilalaitoksille tyypillisiä osituksia ja avainsanalistoja sekä esimerkkejä tunnistetuista ongelmista. Myös muita menetelmiä voidaan käyttää, kunhan dokumentointi osoittaa miten arviointi on tehty, ketkä arvioinnin ovat tehneet, miten kattava arviointi on, millaista systematiikkaa on seurattu ja mihin toimiin arvioinnin pohjalta on ryhdytty. Riittävästi dokumentoituja jo olemassa olevia arviointeja ei ole tarpeen kirjoittaa uudestaan, kunhan ne vastaavat sisällöiltään yllä kuvattuja tavoitteita, rajauksia ja sisältöjä.
Riskiarvioinnin tavoitteena on saada selkeä kuva laitoksella vallitsevista riskeistä riittävän tarkalla tasolla, ja todeta niihin varautuminen, tai määrittää jatkotoimenpiteet ja vastuuhenkilöt. Systemaattinen riskienarviointi vaatii osallistujilta laitos- ja prosessituntemusta sekä aikaa, mutta vastineeksi siitä muodostuu turvallisuusajattelua vahvistava dokumentti, joka kertoo siitä, että laitoksella halutaan kiinnittää huomioita turvalliseen työn tekemiseen ja kestävään toimintaan.
4.3 Arvioinnin suorittaminen
Kuvassa 1 on esitettynä esimerkki riskinarvioinnin suorittamisesta.
Kuva 1. Kuvaus riskinarviointiprosessin kulusta. Prosessi on tässä kuvattu lineaarisena, mutta käytännössä se on jatkuva; riskinarviointi on päivitettävä säännöllisesti ja erityisesti muutosten yhteydessä.
4.3.1 Nykytilaselvitys
Laitos ja sen ympäristö on tunnettava
Onnistuneen riskienarvioinnin edellytyksenä on se, että arviointitilaisuuteen osallistuvat tuntevat laitoksen ja sen ominaispiirteet. Seurasten arvioinnin kannalta on tärkeää tuntea myös laitosta ympäröivä alue. Vaaranarvioinnin ensimmäisissä luvuissa on tätä varten laitoksen yleiskuvaus riittävin kohdetiedoin.
Käytettävissä on oltava riittävä dokumentaatio
Riskienarviointi tulee perustaa mahdollisuuksien mukaan laitoksesta olevaan dokumentaatioon, jotta mahdolliset riskeihin varautumiset tai niiden puutteet ovat kirjallisesti osoitettavissa. Tästä syystä onkin tärkeää, että dokumentaatio on ajan tasalla ja riskienarvioinneissa käytetään dokumenttien viimeisimpiä versioita, jotta kaikki muutokset tulevat myös arvioitua.
Mitä laitoksella ja toimialalla on tapahtunut aiemmin?
Nykyiselläänkin vaaranarviointi edellyttää pitämään kirjaa laitoksella sattuneista tapaturmista ja läheltä piti -tapahtumista. Nämä ovat erinomaista empiriaa kyseisen laitoksen riskeistä ja vaaranaiheuttajista, joten ne ovat syytä huomioida riskienarvioinneissa. Sattuneiden vaara- ja lähetä piti -tilanteiden perusteella voidaan myös tunnistaa ne paikat, jossa näiden tilainteiden esiintymisen taajuus on suuri.
Jos riskinarviointi tehdään uudesta kattilasta, josta ei ole olemassa onnettomuus- tai tapaturmatilastoja, voidaan hyödyntää yleisiä tilastoja tai tietotaitoa kyseenomaisen kattilatyyppiin liittyvistä tyypillisistä ja suurimmista vaaratilanteista (esimerkiksi kattilatoimittajan ja kattilayhteisöjen antamien tietojen pohjalta).
Liitteessä 4 on kuvattu erilaisten kattilatyyppien eräitä mahdollisia poikkeamia, joita voidaan hyödyntää tarkastelussa. Kuvatut vaaratilanteet eivät ole tarkastuslistoja, joista pelkästään huolehtimalla voitaisiin taata laitoksen turvallisuus.
4.3.2 Riskinarviointiin järjestäytyminen
Arviointi tulee järjestää riittävän kattavana ryhmätyönä. Riskiarviointiin osallistuvalta henkilöstöltä edellytetään aihepiirin asiantuntemusta ja käyttö- sekä kunnossapitokokemusta, jotta laitoksen käyttöön ja siihen liittyvien konkreettisten tapahtumien riskit tulisi huomioitua.
Työssä on oltava kattilalaitoksiin ja riskinarviointimenetelmiin perehtynyt vetäjä ja kirjuri, jotta asiantuntijat voivat keskittyä riskien tunnistamiseen ja niiden toimenpidesuunnitelmiin. Riskinarvioinnin vetäjä huolehtii myös työn aikataulutuksesta ja siitä, että riskinarviointi saavuttaa sille asetetut tavoitteet.
Riskiarvioinnin järjestämiseen tulee varata riittävät resurssit – työ vaatii useita henkilötyöpäiviä käytännössä. Asiantuntemusta ei missään tapauksessa saa ulkoistaa. Vaikka usein riskinarviointiprojekti tilataan konsultilta, asiantuntemuksen on lähtökohtaisesti tultava kohteena olevalta laitokselta. Mikäli tämä ei kuitenkaan jostain syystä ole mahdollista (esim. äkilliset henkilöstövaihdokset), on asiantuntemusta riskinarviointiin hankittava ulkopuolelta riittävästi.
4.3.3 Riskinarviointi
Systemaattiseen riskienarviointiin on olemassa useita menetelmiä. Menetelmä voidaan valita vapaasti, mutta systematiikan ja kattavuuden on vertauduttava vähintään ns. HAZID-menetelmää (Hazards Identification Study) tarkasteluun. Kuvaamme tässä ko. menetelmän.
4.3.3.1 HAZID-menetelmä
HAZID-menetelmä on kvalitatiivinen vaarojen tunnistamisen perusmenetelmä, jota käytetään potentiaalisten vaarojen ja uhkien tunnistamiseen prosessissa ja sen ulkopuolelta. Menetelmässä laitos ositetaan alajärjestelmiksi ja osiksi, joihin kohdistuvia vaaroja ideoidaan tyypillisesti avainsanalistojen avulla. Liitteessä 1 on kuvattu tyypillisen voimakattilan ositus HAZID-tarkastelua varten. liitteessä 2 on kuvattu tyypillisiä asiasanoja, joita tarkastelussa voidaan hyödyntää. Jokaiselle laitokselle on tehtävä oma ositus ja avainsanasto; esimerkit on tarkoitettu tukemaan tätä työtä.
Liitteessä 3 on esimerkki riskinarviointipohjasta.
HAZID-menetelmä koostuu seuraavista osakokonaisuuksista
Riskinarvioinnin määrittely luvun 4.1 mukaisesti
Laitoksen ositus
Todennäköisyys- ja seurausasteikkojen määrittely sekä riskin hyväksyttävyyden määrittely
Soveltuvien avainsanojen valinta
Riskien tunnistaminen ja arviointi
Avainsanalistoja käyttäen ideoidaan osa kerrallaan riskejä
Tunnistetaan riskin aiheuttaja ja seuraus
Arvioidaan asteikkoja käyttäen riskin todennäköisyys ja seuraus
Listataan olemassa olevat suojaustoimet
Arvioidaan todennäköisyys ja seuraus huomioiden että suojaustoimet toimivat
Listataan ei-hyväksyttävät riskit ja ideoidaan niille suojaustoimia
Jos riskitasossa on epävarmuuksia, suoritetaan tarkempia riskianalyysejä
Raportoidaan työ
Riskinarvioinnin suorittaminen
Keskeiset tulokset
Riskienhallinnan kehittämissuunnitelma, jossa määritetään tarvittavat lisäsuojaustoimenpiteet toteutusvastuineen ja aikatauluineen niille havaituille riskeille, joilla ei ole riittävää varautumista.
4.3.3.2 Muita riskinarvioinnissa tarkasteltavia asioita
HAZID-menetelmän eräs heikkous on, että erikseen tarkasteltavien osien vaikutuksia toisiinsa ei välttämättä huomata. Tämän vuoksi riskejä arvioitaessa on myös varauduttava arvioimaan vaikutusketjuja eli riskiskenaarioita, joissa onnettomuus syntyy erilaisista tapahtumaketjuista. Riskinarvioinnissa on raportoitava, miten ristikkäisvaikutuksia on tunnistettu ja arvioitu sekä sisällytetty tuloksiin.
Dominoriskien arviointi
Onnettomuus yhdessä paikassa laitosta voi aiheuttaa toisen onnettomuuden. Usein suunnittelussa pyritään estämään onnettomuuksien eskaloituminen ja dominovaikutukset, mutta riskinarvioinnissa tulee tarkastella ja raportoida yllä kuvatun lisäksi ainakin kvalitatiivisesti
Kattilalaitoksen sisäisiä onnettomuuden välittymisen mahdollisuuksia ja sitä tasoa, jolla välittymistä on estetty
Onnettomuuden välittymisen mahdollisuutta muihin saman kokonaisuuden prosesseihin, esimerkiksi soodakattilan riskien seurauksia sellutehtaalle.
Onnettomuuden välittymisen mahdollisuutta lähialueen muille toimijoille. Voiko esimerkiksi iso räjähdys tai höyrypurkaus kattilalaitoksella rikkoa ja sytyttää lähellä sijaitsevan toisen toimijan polttoainesäiliön?
Suojaustoimien riittävyyden arviointi
HAZID ja muut menetelmät pyrkivät kertomaan kunkin havaitun riskin vakavuuden ja taajuuden, joita pyritään suojaustoimilla pienentämään. Yleensä prosessiturvallisuus lähtee siitä, että riskejä vastaan on aina useampia suojaustoimia.
Kvalitatiivisessa tarkastelussa on tärkeää varmistaa, että riskienhallintatoimia on riittävästi ja että ne ovat riippumattomia. Riippumattomuus tarkoittaa, että ne toimivat vaikka toinen suojaustoimi pettäisi. Toisistaan riippuvat suojaustoimet ovat oleellisesti yksi suojaustoimi, sillä ne eivät tarjoa redundanssia.
Se, mikä on riittävää, riippuu yksittäisen suojaustoimen toimintatodennäköisyydestä, suojaustoimien riippumattomuudesta ja yrityksessä sekä yhteiskunnassa hyväksytystä riskitasosta. Yleisesti ei voida ottaa kantaa suojaustoimien riittävyyteen. Hyvin todennäköisesti kuitenkaan yksi suojaustoimi seurauksiltaan tai todennäköisyyksiltään katastrofaalista riskiä vastaan ei riitä.
Riskinarvioinnissa tulee esittää miten ja millä perustein suojaustoimien riittävyyttä ja riippumattomuutta on arvioitu.
Mikäli prosessista on laadittu HAZOP-tarkastelu esimerkiksi valmistuksen yhteydessä, voidaan sen perusteella tehdä tarkempi LOPA-tarkastelu (Layers Of Protection Analysis). LOPA-tarkastelu määrittää tarkasteltavalle riskille vaadittavan turvavaatimustason, SIL-tason (Safety Integrity Level). SIL-taso kertoo, montako toisistaan riippumatonta suojauskerrosta vaaditaan kyseisen tason saavuttamiseen. Vaaranarviointiin liittyvässä prosessiriskinarvioinnissa, jota tässä kuvataan, ei vaadita kvantitatiivisia tarkasteluja.
Turva-automaatio suojaustoimena
Kun tekniset ja organisatoriset riskienhallintatoimet eivät riitä, tarvitaan turva-automaatiota. Standardin IEC61511 mukaan toimittaessa turva-automaation turvatoiminnot ja niiden SIL-vaateet mitoitetaan prosessiriskitarkastelujen ja LOPA-tarkastelun avulla. Vanhemmissa laitoksissa turvatoimintojen SIL-vaateet perustuvat aiempiin ohjeisiin, esimerkiksi Kattilalaitosten turvallisuuskomitean ohjeeseen automaatiosta. Tällöin SIL-vaateet voivat olla yksinkertaisesti ohjeessa annettuja.
Turva-automaation toiminta on kattilalaitoksessa ymmärrettävä riittävällä tasolla. Käyttö-organisaation ja käytönvalvojan on riittävällä tasolla ymmärrettävä, mitä turvatoimintoja turva-automaatiossa on ja mitä ne estävät. Jotta turva-automaatio suojaustoimena on hyväksyttävä, on huolehdittava turva-automaation pitämisestä toimintakunnossa säännöllisin ja jäljitettävissä olevin testauksin, ja tarvittaessa on luonnollisesti ryhdyttävä korjaustoimiin.
Jos laitoksen turva-automaatio ei ole standardin IEC61511 mukainen, on turva-automaation toiminnot, SIL-vaateen tausta ja kunnossapito esitettävä erillisen dokumentaation mukaan luvun 3 (ks. myös luku 5) mukaisesti.
4.4 Riskinarvioinnin yhteenveto ja toimenpiteet
Tunnistetut ei-hyväksyttävät riskit kerätään riskilistaksi, jossa jokaiselle riskille annetaan toteutettavat suojaustoimet, vastuutaho ja aikataulu. Lisäksi kuvataan riskienhallintaprosessi, riskinarvioinnin ylläpidon ja päivittämisen periaatteet sekä arvioidaan riskinarvioinnin kattavuutta ja toimivuutta.
Näin muodostuu riskienhallinnan kehityssuunnitelma.
4.5 Dokumentointi
Hyväkään riskiarviointi ei paranna laitoksen turvallisuutta, jos sitä ei dokumentoida asianmukaisesti ja siinä kirjattuja toimenpiteitä ei seurata systemaattisesti. Dokumentoinnilla voidaan myös osoittaa se, että riskiarviointi on tehty ja siinä havaittuihin riskeihin on puututtu. Hyvin dokumentoitu riskiarvio on myös vaivattomampi päivittää, kun muutoksista on pidetty kirjaa. Laitoksen yleinen dokumentaationhallinta helpottaa myös riskiarvioinnin tekoa.
Riskienarviointi olisi suositeltavaa viedä tiettyyn paikkaan ja liittää kaikki sen tekohetkellä sen laatimiseen käytetty aineisto arvioinnin liitteeksi. Näin toimimalla riskiarvioon voidaan palata ja jälleen myös muutokset ovat helpommin päivitettävissä.
4.6 Lisätoimet jaksottaisessa käytönvalvonnassa
Jaksottaisesta käytön valvonnasta säädetään painelaitelaissa ja asetuksessa painelaitteiden turvallisuudesta. Jaksottaisen käytönvalvonnan edellytyksenä on, että kattilalaitoksen vaaran arvioinnissa on huomioitu jaksottaista käytön valvontaa koskevat vaatimukset. Valmistajille vaatimuksia on esim. standardin EN 12972-7 luvussa 7.
Muita lainsäädännöstä suoraan tulevia vaatimuksia ovat:
Kattilassa on oltava jaksottaiseen valvontaan tarvittavat varmistetut varojärjestelmät, jotka luotettavasti, automaattisesti ja turvallisesti estävät sallittujen käyttö- tai raja-arvojen ylittymisen tai alittumisen ja tarvittaessa automaattisesti ohjaavat kattilan turvalliseen tilaan
Ohjauspaikalta on oltava varmennettu yhteys kattilalaitokselle.
Käyttöturvallisuuteen vaikuttavien laitteiden ja laitejärjestelmien on tarvittaessa pysäytettävä kattilalaitoksen kattilat, kun järjestelmään tulee sellainen käyttöhäiriö tai vakava poikkeama, joka edellyttää kattilan pysäyttämistä.
Kattilalaitoksen ohjauspaikan laitteistolla on voitava valvoa ja ohjata turvallisuuden kannalta keskeisiä käyttöarvoja sekä ohjata kattila turvalliseen tilaan.
Nykyisin jaksottaiseen käytön valvontaan tarkoitetut laitokset suunnitellaan tähän ajotapaan. On kuitenkin paljon paineita siirtää aiemmin jatkuvassa käytönvalvonnassa olleita laitoksia jaksottaiseen käytönvalvontaan. Samaan aikaan on tapahtunut paljon muutoksia:
Polttoaineet ovat muuttuneet haastavammiksi.
Käytön optimointia tehdään enemmän, jolloin ylös- ja alasajot ja muut erityistilanteet lisääntyvät; lähtökohtaisesti jaksottaiseen käytönvalvontaan myös otetaan laitoksia, joita käynnistetään ja pysäytetään usein.
Voimalaitosalan osaaminen vähenee ja organisaatiot kapenevat.
Käytönvalvontaa / siihen liittyviä toimintoja ulkoistetaan.
Siirtyminen jaksottaiseen käytönvalvontaan edellyttää tarkastuslaitoksen muutostarkastusta, jossa mm. vaaranarviointi ja muut lainsäädännön mukaiset tekijät tarkastetaan.
Tukes on antanut linjauksen jaksottaisen käytön valvonnan teknisestä toteutuksesta 2.2.2022. Linjaus on tämän oppaan liitteenä.
Säilötyt laitokset
Kattilalaitos voidaan säilöä odottamaan käynnistystä matalapaineiseen tilaan.
Märkäsäilönnässä kattilassa on vesitäyttö ja pieni höyryllä tai typellä aikaansaatu paine (voidaan puhua myös typpisäilönnästä).
Kuivasäilönnässä kattila on tyhjennetty vedestä ja paineeton.
Tukesin tulkinnan mukaan märkäsäilötty laitos on aktiivinen painelaite. Mikäli tällainen laitos halutaan siirtää jaksottaiseen käytönvalvontaan, on noudatettava lain menettelyjä.
Lainsäädännön määritelmät
Jatkuvassa käytönvalvonnassa
Ohjauspaikalla on jatkuvasti laitoksen tunteva ja laitoksen toiminnan osaava henkilö (kutsutaan tässä operaattoriksi), joka seuraa ja ohjaa laitosta.
Valvontakäyntejä (kenttäkierroksia) tekee (yleensä toinen henkilö) valmistajan ohjeiden mukaisesti, käytännössä muutaman tunnin välein; kutsutaan tässä kenttähenkilöksi.
Käyttäjän (kenttähenkilön tai operaattorin) pitää päästä laitokselle viiden minuutin kuluessa siitä, kun häiriötilanne on havaittu.
Jaksottaisessa käytönvalvonnassa on kaksi mahdollisuutta:
A. yli 20MW höyrykattilat, joissa kiinteää polttoainetta tai tulipesään varastoitunut energia voi vaurioittaa kattilaa, tai muu yli 40 MW höyrykattila
Ohjauspaikalla on jatkuvasti laitoksen tunteva ja laitoksen toiminnan osaava henkilö.
Valvontakäyntejä (kenttäkierroksia) tehdään enintään 24 h välein.
Aikarajaa käyttäjän pääsemiselle laitokselle häiriötilanteessa ei ole.
B. Muut kattilat:
Ohjauspaikka ei ole jatkuvasti miehitetty.
Valvontakäyntejä tehdään enintään 84 h välein.
Aikarajaa käyttäjän pääsemiselle laitokselle häiriötilanteessa ei ole.
Lisäksi valmistaja saattaa antaa valvontakäynneille jonkun muun aikamääreen, jota luonnollisesti on noudatettava.
Jaksottaisen käytön valvonnan vaikutus turvallisuuteen
Arvioitaessa jaksottaisen käytönvalvonnan merkitystä turvallisuuden kannalta on arvioitava ainakin kahta kysymystä:
Miten turvallisuustaso heikkenee vaihtoehdoissa A ja B (tai valmistajan ilmoittamissa kenttäkierrosväleissä) verrattuna jatkuvaan käytönvalvontaan. Valvonnan ja erityisesti kenttäkierrosten väheneminen antaa periaatteessa poikkeamille mahdollisuuden kehittyä huomaamatta vaaratilanteiksi ja edelleen onnettomuuksiksi. Toisaalta vaara- tai onnettomuustilanteessa vasteet voivat viivästyä, millä voi esimerkiksi tulipalotilanteessa olla merkittävä vaikutus.
Miten etäohjauspaikan ja -yhteyden kyberturvallisuus järjestetään. Ohjauspaikan järjestäminen kauas laitoksesta vaatii tietoliikenneratkaisua, joka voi toimia kyberhyökkäyksen kohteena. Myös ohjauspaikka itsessään voi olla haavoittuvampi kuin laitoksella oleva ohjauspaikka.
Turvallisen toiminnan kannalta keskeistä on arvioida vaaranarvioinnissa, miten suuri järjestelystä koituva toiminnallinen ja tekninen turvallisuustason heikennys on, miten automaatio kompensoi sitä, miten kyberriskit hallitaan ja onko heikennys hyväksyttävä.
Kun arvioidaan jaksottaisen käytönvalvonnan turvallisuustasoa ja sen hyväksyttävyyttä, tulisi selvittää myös, millaisia ovat keskeisten riskien seuraukset. Tähän vaikuttaa merkittävästi ympäristön haavoittuvuus. Kun laitos on syrjässä ja keskeytysriskit pieniä, onnettomuuden seuraukset ovat pienemmät. Jos laitos sijaitsee paikalla, jossa pahasta onnettomuudesta voisi aiheutua seurauksia työntekijöille tai lähialueen ihmisille, tai toiminnan keskeytyminen aiheuttaisi esimerkiksi kaukolämmön toimittamisen päättymisen talvipakkasella ennakoimattomaksi ajaksi tai kriittisen tuotantolaitoksen seisahtumisen, tulee arvioida jaksottaisen käytönvalvonnan hyödyn ja mahdollisten seurausten suhdetta tarkkaan.
Ohjauspaikka- ja valvontakäyntikäytäntöjen merkitys turvallisuustasolle
Edellä kuvatussa jaksottaisen käytön valvonnan mahdollisuudessa A ohjauspaikkakäytännöissä ei ole eroa, mutta valvontakäynnit tapahtuvat todennäköisesti harvemmin. Jaksottaisen käytön valvonnan mahdollisuudessa B ohjauspaikka ei ole miehitetty ja valvontakäynnit tapahtuvat vielä harvemmin. Monet jaksottaisen käytönvalvonnan laitokset ovat miehittämättömiä.
Koulutettu ja kokenut operaattori voi nähdä ohjauspaikan erilaisista prosessisuureiden trendinäytöistä ja vastaavista aluillaan olevat laitoksen toiminnan muutokset, jotka saattavat viitata kehittymässä olevaan poikkeamaan, joka voi kehittyä vaaratilanteeksi. Lisäksi joissakin tilanteissa nopea ohjaustoiminta saattaa estää vaaratilanteen kehittymisen hallitusti. Kun ohjauspaikka ei ole jatkuvasti miehitetty, luotetaan täysin automaation ja turva-automaation toimintaan ja siihen, että operaattori saa hälytykset.
On huomattava, että automaation standardit eivät ota kantaa siihen, onko käytön valvonta jatkuvaa vai jaksottaista, joten edes uusissa laitoksissa ei standardeja noudatettaessa mitenkään automaattisesti synnytetä moninkertaistettua automaation turvallisuustasoa.
Valvontakäynneillä kenttähenkilö havainnoi laitosta usein eri aistein; esimerkiksi äänet kertovat laakerivioista, savukaasuvuodoista tai vastaavista ja hajut kertovat savukaasuvuodoista, polttoainevuodoista tai kytöpaloista. Aistihavaintojen automaattinen analyysi tai välittäminen ohjauspaikalle kuvaa ja usein heikkolaatuista ääntä lukuun ottamatta on mahdotonta. Erilaisia resonansseihin ja vastaaviin perustuvia ennakoivan kunnossapidon järjestelmiä on yritetty toteuttaa paljon, mutta ne ovat paljolti jääneet lupauksiksi. Valvontakäyntejä ei yleensä voida luotettavasti korvata ohjauspaikalle siirretyllä informaatiolla.
Jos havaitaan mahdollinen vaaratilanne, operaattorin tulee saada siitä hälytys riittävän varmasti. On oltava sovittuna, kuka menee paikan päälle laitokseen tutkimaan tilannetta. Jos laitos on miehittämätön, käytännössä on sovittava jonkun osapuolen, tyypillisesti valvontakäyntejä tekevän (kunnossapidosta vastaavan sekä laitoksen prosessista ja käytöstä ymmärtävän) tahon, kanssa päivystyskäytännöstä ja palvelun tasosta. Laitosta on pystyttävä lähestymään turvallisesti, ja yleensä jonkinlainen parityö on tarpeen. Myös kommunikaatiosta ohjauspaikan ja valvontakäynnin välillä sekä toiminnasta hätätilanteissa on syytä sopia.
Mikäli vaaratilanne eskaloituu onnettomuudeksi, on laitoksen pelastussuunnitelmassa kuvattava vähintään vastuut, yhteystiedot, kommunikaatio ja päivystäjän toiminta onnettomuustilanteessa pelastuslaitoksen apuna sekä annettava kriisiviestintäohjeet. On myös arvioitava, millainen vasteaika tarvitaan.
Etävalvonnan ja -ohjaamisen toteuttamisen riskit
Käytännössä jaksottainen käytönvalvonta tarkoittaa usein, että ohjauspaikka sijaitsee merkittävällä etäisyydellä itse laitoksesta. Tukesin linjauksen mukaan ohjauspaikan tulee olla kiinteä osoitteellinen paikka, sen tulee sijaita Suomessa, eikä se voi olla matkapuhelin tai kannettava tietokone.
Alun perin laitosten automaatiojärjestelmien suunnitteluperusteena on ollut se, että järjestelmiin ei ole minkäänlaista pääsyä laitosten ulkopuolelta. Digitalisaatio ja digitaaliset yhteydet ovat kuitenkin kehittyneet merkittävästi viime vuosikymmeninä, ja nykyisin kaikki keskeiset automaatiojärjestelmätoimittajat tarjoavat erilaisia etäratkaisuja.
Tietoturvan kannalta etäratkaisut ovat aina riskialttiimpia kuin paikallisratkaisut, sillä etäyhteys kasvattaa kyberhyökkäyspintaa tai haavoittuvuutta. Tietoliikenneyhteys järjestelmän palvelimen, toimilaitteiden ja automaation kenttälaitteiden muodostaman kokonaisuuden ja ohjauspaikan välillä on haavoittuva, mikä voi aiheuttaa sen, että järjestelmä ei ole käytettävissä, (saatavuus), tieto on väärää tai väärennettyä (eheys) tai tiedot järjestelmästä joutuvat vääriin käsiin (luottamuksellisuus). Myös tiedon kiistämättömyydellä voi olla oma merkityksensä.
Vaaranarviointiin sisällytettäviä näkökulmia
Harkittaessa laitoksen saattamista jaksottaiseen käytönvalvontaan, tai laitoksen ollessa jaksottaisessa käytönvalvonnassa, tulee siis vaaranarvioinnissa kuvata toimenpiteen soveltuvuutta huomioiden ainakin laitoksen toteutus, automaation taso (tiukennukset olemassa oleviin lakeihin (1144/2016) ja standardeihin (mm. IEC12952; IEC61508; IEC61511)), jotka määrittävät turva-automaation tason lähtökohtaisesti jatkuvassa käytönvalvonnassa oleville laitoksille), sijaintipaikka ja etäratkaisun tietoturvallisuus pelkän varmennuksen lisäksi.
Jaksottaisen käytönvalvonnan laitoksissa tai laitoksissa, joissa suunnitellaan jaksottaista käytönvalvontaa, vaaranarvioinnin riskinarviointiin tulee sisällyttää luku ”Jaksottaiseen käytönvalvontaan liittyvät riskit” seuraavin sisällöin:
1. Kuvaus jaksottaisen käytönvalvonnan teknisestä järjestämisestä
Ohjauspaikan sijainti ja varustelu
Kuvaus käytettävästä tietoliikenneyhteydestä ja sen varmentamisesta
Perusteltu arvio tietoliikenneyhteyden kyberturvallisuudesta (saatavuus, eheys, luottamuksellisuus, ks. myös luku 6)
Kuvaus laitoksen automaatiosta ja perusteltu arvio sen lainmukaisuudesta eli kyvystä kompensoida puuttuvaa ohjauspaikkamiehitystä ja harvempia kenttäkierroksia.
Yhteydet hätäkeskukseen.
2. Kuvaus ohjauspaikka- ja valvontakäyntimenettelyistä
Ohjauspaikan miehittämisen periaatteet ja henkilöstön osaamisvaatimukset
Hälytysten ja etäkäyttöjen järjestäminen
Valvontakierrosten suorittaminen
Toiminta hälytyksen tai muun vaaratilanteen sattuessa: toimet ja niiden käynnistäminen ohjauspaikalla, toimet ja niiden käynnistäminen laitoksella, ohjauspaikan ja kenttähenkilön yhteydenpidon periaatteet tai muu parityöjärjestely
Kuvaus miten toimista on sovittu (sovittu palvelutaso, muut sopimukset, työtehtävät)
Käytönvalvojan rooli.
3. Arvio jaksottaisen käytönvalvonnan riskeistä
Poimitaan riskinarvioinnista keskeiset vaaratilanteet, jotka saattavat jäädä huomaamatta ja kehittyä onnettomuuksiksi
Arvioidaan onnettomuuksien todennäköisyystaso
Arvioidaan onnettomuuksien seuraukset laitokselle, laitoksen työntekijöille ja ympäröiville alueille
Arvioidaan keskeytysriskit
Arvioidaan parityöskentelyn tarve, todennäköisyys (esiintymistiheys) sekä vaarat, mikäli toteutetaan yksintyöskentelynä.
Perusteltu käytönvalvojan, omistajan ja valvontakäynneistä sekä päivystyskäynneistä vastaavien tahojen yhteinen päätelmä jaksottaisen käytönvalvonnan riskilisästä, sen kompensoinnista ja nettoriskien hyväksyttävyydestä
Arvio laitoksen soveltuvuudesta jaksottaiseen käytönvalvontaan.
Lisäksi tulee huomioida liitteenä olevan Tukesin linjauksen sisällöt jaksottaisen käytönvalvonnan järjestämisestä. Laitoksen pelastussuunnitelmaan tulee lisätä ainakin seuraavat kohdat:
miten toiminta onnettomuustilanteessa käynnistetään
mikä on päivystäjän vasteaika saapua paikalle pelastuslaitoksen avuksi
miten ohjauspaikalla toimitaan
kaikki tarpeelliset yhteystiedot.
5 Turva-automaation vaatimustenmukaisuus
5.1 Taustaa
Laitoksen turvallisuus koostuu useista turvallisuuskerroksista. Turvakerrokset voidaan jakaa kahteen eri kategoriaan, riskiä ehkäiseviin sekä seurauksia rajoittaviin toimenpiteisiin (kuva 2).
Kuva 2. Prosessiturvallisuuden kerroksia.
Toimenpiteet sisältävät sekä operaattorin toimintoja, digitaalisia toimintoja (sekä käyttö- että turva-automaatio toiminnot), mekaanisia turvalaitteita sekä passiivisia turvamekanismeja.
Turvakerrosten määrä todennetaan riskiarvioinnissa. Näin varmistetaan, että suunnitelluilla riskienvähennysmetodeilla päästään hyväksyttyyn riskitasoon.
Kattilalaitoksen turva-automaatiotoimintojen suunnittelun tulee perustua prosessin riskinarviointiin. Yleensä käytetään HAZOP (Hazard and operability study) tai LOPA (Layers of Protection Analysis) -menetelmiä. Riskiarviointien perusteella valitaan suojauskertoimena käytetyt automaatiotoiminnot tarkempaan SIL (Safety Integrity Level) -määrittelyyn, jossa suojauskertoimien itsenäisyys arvioidaan uudelleen ja tarkemmin (Yleensä käytetty riskigraafi- tai LOPA-menetelmää). Tämän perusteella toiminnoille joko saadaan tai ei saada SIL-vaade, so. kerroin, jolla turva-automaation tulee pienentää tapahtuman todennäköisyyttä. Mikäli toiminnolle tulee SIL vaade (SIL 1 – SIL4 taso), toiminto on toteutettava käyttöautomaatiosta erillisessä turva-automaatiojärjestelmässä ja toteutettava IEC61511-standardin mukaisesti.
Turva-automaation suunnittelun tueksi on julkaistu Tukes-ohje Turva-automaatio prosessiteollisuudessa. Käytännössä kaikissa kattilalaitoksissa, joita vaaranarviointivaatimus koskee, on toteutettu käyttöautomaatiosta erillinen turva-automaatio. Seuraavassa turva-automaatiolla tarkoitetaan paitsi itse automaatiojärjestelmää myös sen antureita ja toimilaitteita so. turvatoimintoja.
Uudet laitokset on suunniteltu ja dokumentoitu standardin IEC61511 mukaisesti tai sitä vastaavalla tavalla. Tällöin turva-automaation perusteet tulevat tehdyistä HAZOP- tai LOPA-tarkasteluista dokumentoidusti, ja vaaranarvioinnissa tuodaan esiin sen dokumentaatio ja se, miten standardin vaatimusten mukaiset käytön, kunnossapidon ja muutosten hallinnan toimet on toteutettu.
Käytön osalta pyydetään kuvaamaan, miten turva-automaation laukeamistilanteet käsitellään. Turva-automaation laukeaminen kertoo, että ilman turva-automaation toimintaa prosessi olisi voinut edetä vaaratilanteeseen henkilöstölle, ympäristölle tai omaisuudelle. Kuvataan, miten turva-automaation laukeamistilanteet raportoidaan ja miten niitä seurataan.
Kunnossapidon kannalta oleellista on, miten määräaikaiskoestukset toteutetaan, kuka niistä vastaa, miten koestusten tuloksia tarkastellaan ja kuinka mahdolliset poikkeamat dokumentoidaan ja käsitellään. Painelaitetarkastuksissa yleensä kiinnitetään huomiota paineturvallisuuteen suoraan liittyviin turva-automaatiotoimintoihin. On tärkeää, että myös välillisesti painelaitteisiin ja apulaitteisiin liittyvät turva-automaatiotoiminnot katetaan.
Standardinmukaisen muutostenhallinnan läpivalaisemiseksi pyydetään kuvaamaan, millaisia automaatiomuutoksia on viimeisten kahden vuoden aikana tehty (ks. esim, https://tukes.fi/prosessiturvallisuusjarjestelma/muutosten-hallinta). On varmistettava, että muutostenhallintadokumentaatio on ajan tasalla.
Monen tiedon osalta vaaranarvioinnissa voidaan viitata standardin mukaiseen dokumentaatioon, jolloin vältetään saman tiedon kirjaamista kahteen eri dokumenttiin ja sitä kautta myöhemmin ristiriitaisen tiedon määrää.
Vaaranarvioinnin yhteydessä sovelletaan periaatetta, jonka mukaan aiemmin hyväksytyt järjestelmät ovat edelleen hyväksyttyjä. On kuitenkin selvää, että turva-automaation läpivalaisu on jäänyt kattilalaitosturvallisuudessa viime vuosina taka-alalle. Kaikkein turvattomin turvajärjestely on sellainen, jonka luullaan olevan olemassa ja toimivan tarvittaessa, mutta jota ei ole tai joka ei toimi. Edellä luvussa 5.2.1 kuvatun lisäksi vaaranarvioinnissa on syytä selvittää turva-automaation kattavuus ja luotettevuusvaateet.
Iäkkäämmissä laitoksissa turva-automaation turvallisuuden lähtökohta on kattavuus, joka sillä oletetaan olevan. Kohdalla halutaan varmistua siitä, että turva- automaatio todella kattaa kaikki ne esiin tulleet prosessiriskit, joissa se mainitaan turvatoimena. Pahimmillaan erilaisten henkilöstömuutosten ja vaillinaisen dokumentaation takia asia voi olla epäselvä. Samalla voidaan arvioida kokemukseen perustuen, onko turva-automaation kattavuus riittävä. Tyypillisesti laitoksessa on SIL-vaateellisia toimintoja korkeintaan muutamia kymmeniä.
Seuraava turvatoiminnon keskeinen vaatimus on, että sen on suunniteltu toimivan riittävän luotettavasti suhteessa riskiin, jota sillä pienennetään. Aikanaan turva-automaation SIL-vaateet (eli todennäköisyys, jolla turvalaite toimii, kun sitä tarvitaan) on saatu erilaisista spesifikaatioista ja standardeista, eikä SIL-määrittelyä välttämättä ole suoritettu. Näitä vaateiden lähtökohtia ei tarvitse päivittää, mutta on tärkeää varmistua siitä, että SIL-vaateille on jokin peruste. Samalla voidaan arvioida myös, onko SIL-vaade riittävä ja onko laitteiston käyttöikä yleisesti hyväksyttävä.
Käytön osalta pyydetään kuvaamaan, miten turva-automaation laukeamistilanteet käsitellään. Turva-automaation laukeaminen kertoo, että ilman turva-automaation toimintaa prosessi olisi voinut edetä vaaratilanteeseen henkilöstölle, ympäristölle tai omaisuudelle. Kuvataan, miten turva-automaation laukeamistilanteet raportoidaan ja miten niitä seurataan.
Kunnossapidon kannalta oleellista on, miten määräaikaiskoestukset toteutetaan, kuka niistä vastaa, miten koestusten tuloksia tarkastellaan ja kuinka mahdolliset poikkeamat dokumentoidaan ja käsitellään. Painelaitetarkastuksissa yleensä kiinnitetään huomiota paineturvallisuuteen suoraan liittyviin turva-automaatiotoimintoihin. On tärkeää, että myös välillisesti painelaitteisiin ja apulaitteisiin liittyvät turva-automaatiotoiminnot katetaan.
Standardinmukaisen muutostenhallinnan läpivalaisemiseksi pyydetään kuvaamaan, millaisia automaatiomuutoksia on viimeisten kahden vuoden aikana tehty. On varmistettava, että muutostenhallintadokumentaatio on ajan tasalla.
Monen tiedon osalta vaaranarvioinnissa voidaan viitata olemassa olevaan dokumentaatioon, jolloin vältetään saman tiedon kirjaamista kahteen eri dokumenttiin ja sitä kautta myöhemmin ristiriitaisen tiedon määrää.
Vaikka turva-automaatiota ei vaadita uusittavaksi, on ennakoivan turvallisuuden kannalta tärkeää luoda käsitys siitä, millaisia suunnitelmia turva-automaation päivittämisen suhteen laitoksella on. Merkittävien prosessimuutosten tai automaatiouusinnan yhteydessä turva-automaatio on saatettava standardin mukaiselle tasolle.
5.3 Turvakansio
Turvakansio on koko turva-automaatiojärjestelmän toiminnallisen turvallisuuden dokumentaation kokoava paikka, jossa on tallennettuna ajantasainen dokumentaatio. Turvakansio voi olla joko perinteinen mappi tai sähköinen turvakansiojärjestelmä, josta dokumentaatiota tarvitsevat löytää ajantasaisen dokumentaation helposti ja nopeasti. Turvakansio tulee olla koottuna kaikista turva-automaatiojärjestelmistä, oli ne toteutettu sitten kohdan 5.2.1 tai 5.2.2 mukaisesti.
Seuraavassa kuvataan kyberturvallisuuden riskienhallintaa yleisesti. Kuvaus perustuu tietoturvariskien hallinnan yleisesti käytössä oleviin toimintatapoihin sekä syksyllä 2024 käytettävissä olleisiin toimialayhteisöjen ja viranomaisten materiaaleihin. Kuvaus on tarkoitettu kyberriskinarvioinnin laadinnan tueksi laitoksille, jotka eivät ole kyberturvallisuuslain alaisia. Kuvausta voidaan hyödyntää kuitenkin myös näissä laitoksissa.
6.2 Tiivistelmä
Seuraavassa on kuvattu tiivis ohje vaaranarvioinnin sisältövaatimusten mukaisten sisältöjen laadintaan.
1. Selvitetään kaikki reitit ja tavat, joita kautta laitoksen automaation tai turva-automaatioon voidaan vaikuttaa, mukaan lukien esimerkiksi fyysinen pääsy, automaation päivitysreitit ja -menettelyt ja tietoverkkoon auki olevat yhteydet.
Kuvataan laitoksen toiminnan kannalta keskeiset palvelut, järjestelmät, prosessit ja henkilöt, mukaan lukien mahdollisen jaksottaisen käytönvalvonnan ohjauspaikan tietoliikenneyhteys.
Kuvataan järjestelmiin kohdistuvat mahdollisina pidetyt uhat. Uhat voidaan jakaa esimerkiksi kahteen kategoriaan, tahattomat ja tahalliset teot. (ks. luku 6.3.3)
2. Kunkin reitin osalta aiheutettavissa olevat vaarat automaatiolle ja turva-automaatiolle sekä edelleen laitoksen painelaiteturvallisuudelle
Selvitetään, mitä haittaa tunnistetut uhat voivat eri reittien kautta aiheuttaa laitokselle (ks. luku 6.3.3).
3. Suojaustoimet, joilla merkittäväksi arvioitujen reittien hyödyntäminen estetään
Merkittäviä ovat reitit, joiden kautta on mahdollista saada aikaan riskejä, jotka luvun 4 mukaisilla riskiasteikoilla nousevat riskinä tai vaikutuksiltaan korkealle.
Kuvataan, millaisin suojaustoimin uhkia vastaan näillä reiteillä on suojauduttu (ks. luku 6.4.3).
4. Toimet, joilla mahdollinen kyberriskin realisoituminen havaitaan
Kuvataan, miten verkkoa valvotaan ja kuka valvonnasta vastaa.
Kuvataan mahdollisesti käytössä olevia verkonvalvontajärjestelmiä.
Kuvataan, miten verkkotapahtumia kerätään ja analysoidaan (ks. luku 6.4.4).
5. Toimet, joilla automaation turvallisuus pidetään ajan tasalla (esim. päivitykset, haavoittuvuusjulkistusten seuraaminen)
Kuvataan riskienhallinnan toimintamallia (luku 6.3) ja erityisesti vastuita yo. toimien osalta.
6. Toimet, joilla henkilöstön kyberturvallisuusosaamista pidetään yllä ja kehitetään
Kuvataan, miten automaatioympäristössä työskenteleville järjestetään koulutusta, joka kattaa toimijan ympäristön erityspiirteet ja uhat.
Kuvataan, miten kyberturvallisuuskulttuuria kehitetään (ks. luku 6.4.1).
7. Toimet, joilla kyberturvallisuuden tasoa arvioidaan
Miten tapahtuneita kyberturvallisuustapahtumia arvioidaan.
Arvioidaan riskienhallinnan vaikuttavuutta (ks. luku 6.3.5).
6.3 Riskienhallinnan toimintamalli
Toimijan tulee arvioida automaatioympäristönsä kyberturvallisuusriskejä käyttäen riskienhallintamallia. Riskienhallintamallissa tunnistetaan, analysoidaan, arvioidaan ja käsitellään automaation viestintäverkkoihin ja tietojärjestelmiin kohdistuvia riskejä. Myös näiden fyysiseen ympäristöön kohdistuvia riskejä tulee arvioida.
Kyberturvallisuuden riskienhallintamalliin on useita kehyksiä ja standardeja, esimerkiksi NIST Risk Management Framework (NIST RMF) tai ISO/IEC 27005. Valitusta kehyksestä riippumatta metodologia on hyvin samankaltainen:
Valmistelu
Riskiarvioinnin kohteiden tunnistaminen
Uhkien tunnistaminen ja arviointi
Riskien käsittely
Riskienhallinnan vaikuttavuuden arviointi
Riskienhallintamallin tulee olla integroituna muuhun toimijan riskienhallintaan, kuten esimerkiksi kokonaisriskienhallintaan ja prosessiriskinarviointeihin. Kyberriskien hallinnan tulee olla osa jatkuvaa toimintaa. Toimenpiteitä tulee myös katselmoida säännöllisesti, esimerkiksi vuosikellon mukaan, sekä merkittävien muutosten tai merkittävien poikkeamien yhteydessä.
6.3.1 Valmistelu
Kyberriskien hallintaprosessin tulee olla vastuutettu ja dokumentoitu osana toimijan hallintotapaa. Tässä vaiheessa myös sitoutetaan johto ylläpitämään ja kehittämään menetelmiä muuttuvassa toimintaympäristössä. Vaikka laitoksen omat prosessit pysyisivät muuttumattomina vuosia, toimijan muussa toimintaympäristössä (ulkoisissa ja sisäisissä) tapahtuu muutoksia, joiden vaikutusta tulee arvioida säännöllisesti.
6.3.2 Riskiarvioinnin kohteiden tunnistaminen
Toimijan tulee tunnistaa laitoksen toiminnan kannalta keskeiset palvelut, järjestelmät, prosessit ja henkilöt. Näille tulee määritellä luottamuksellisuuteen, eheyteen ja saatavuuteen liittyvät tarpeet.
Järjestelmien arvioiminen riskienhallinnan näkökulmasta voidaan toteuttaa kahdella pääasiallisella tavalla riippuen järjestelmän luonteesta ja kriittisyydestä.
Järjestelmää arvioidaan kokonaisuutena, jolloin sen toimintaa tarkastellaan yhtenä integroituna yksikkönä, katselmoiden esimerkiksi automaatiojärjestelmää. Tässä lähestymistavassa analysoidaan järjestelmän kokonaistoimintaa ja sen vaikutusta organisaation prosesseihin, sekä tunnistetaan järjestelmätason riskejä, jotka voivat vaikuttaa koko järjestelmän toimintaan. Kokonaisvaltainen arviointi on hyödyllinen, kun järjestelmä on monimutkainen ja sen osat ovat vahvasti riippuvaisia toisistaan.
Analyyseissä voidaan tunnistaa yksittäisiä kriittisiä laitteita, jotka voivat aiheuttaa ns. single point of failure -tilanteen. Tämä tarkoittaa, että laite on niin keskeinen järjestelmän toiminnalle, että sen häiriö tai vika aiheuttaa merkittävän riskin koko prosessille. Tällaisissa tapauksissa analysoidaan kunkin kriittisen laitteen vikaantumisen mahdollisia seurauksia ja kehitetään erityisiä toimenpiteitä ja varajärjestelmiä näiden laitteiden varalle. Erityistä huomiota tulee kiinnittää laitteisiin, jotka ovat osa prosessiturvallisuuden kontrolleja.
Käytännössä hyvä riskienhallinta yhdistää molemmat lähestymistavat. Järjestelmä arvioidaan kokonaisuutena sen yleisen toiminnan ja vaikutusten ymmärtämiseksi, jonka lisäksi tunnistetaan mahdolliset kriittiset yksittäiset laitteet tai komponentit, ja analysoidaan erikseen näiden kriittisten osien riskit ja niiden vaikutukset koko järjestelmään.
6.3.3 Uhkien tunnistaminen ja arviointi
Järjestelmien ja laitteiden lisäksi tulee tunnistaa toimintoihin kohdistuvat uhat. Uhat voidaan jakaa esimerkiksi kahteen kategoriaan, tahattomat ja tahalliset teot. Tahattomiin tekoihin kuuluu erilaiset vahingot, kuten konfiguraatiovirhe tai huolimattomuudesta aiheutunut vesivahinko. Nämä ovat huomattavasti yleisempiä uhkia kuin tahalliset teot, ja usein myös helpommin kontrolloitavissa. Tahallisiin tekoihin kuuluu esimerkiksi tuhopoltto ja kyberhyökkäykset. Uhka-arvioissa tulee muistaa huomioida sekä sisäisiä, että ulkoisia tekijöitä.
Uhkien tunnistamisen yhteydessä toimijan tulee arvioida niiden todennäköisyyttä ja vaikutuksia. Todennäköisyyttä arvioidessa kannattaa kerätä tietoja eri lähteistä, esimerkiksi laitteen keskimääräinen vikaantumisväli tai onko toimijalla itsellään tai toimialalla tapahtunut vastaavia tapahtumia aikaisemmin. Arvioidessa tahallisia tekoja tulee huomioida myös uhkatekijältä vaadittava tahtotila ja kyvykkyys sekä mahdolliset motiivit.
Vaikutustenarvioinnissa voidaan tehdä esimerkiksi vaikutusanalyysi tai skenaariopohjaisia arviointeja, jossa luodaan kuvitteellisia uhkaskenaarioita, sekä pohditaan niiden seurauksia ja vaikutusta organisaation toimintaan. Vaikutusten arvioinnin yhteydessä on arvioitava, aiheutuuko laitoksen painelaiteturvallisuudelle vaaraa kyseisessä analyysissä tai skenaariossa.
Kattilalaitosten uhkien tunnistamisen yhteydessä on kiinnitettävä erityistä huomiota siihen, että uhkien tunnistaminen pitää sisällään automaatio- ja turva-automaatiojärjestelmää koskevat uhat. Uhkamallinnuksessa tulisi selvittää laitoksen dokumentaatiosta reitit, joiden kautta on mahdollista päästä käsiksi näihin järjestelmiin. Pääsyn lisäksi tulee selvittää mitä haittaa toiminnalle on, mikäli jokin komponentti on poissa käytöstä esimerkiksi vikaantumisen tai palvelunestohyökkäyksen vuoksi. Yleisiä reittejä automaatio- ja turva-automaatiojärjestelmiin ovat esimerkiksi fyysinen pääsy, eri toimittajien huoltoyhteydet tai sisäiset huolto- ja hallintayhteydet. Suunniteltujen yhteyksien lisäksi tulisi automaation arkkitehtuuria tarkastella kriittisesti esimerkiksi verkkojen eriyttämisen näkökannasta ja millaisia uhkia aiheutuu, jos esimerkiksi toimijan normaali IT-verkko vaarantuu. Myös tukeviin järjestelmiin, kuten kamera- ja kulunvalvonta tulee kiinnittää huomiota, mikäli ne mahdollistavat siirtymisen verkosta toiseen.
Turvallisuuskriittisten suojajärjestelmien digitalisoituminen ja näiden etäseurannan yleistyminen ja jopa tahattoman etähallinnan mahdollistaminen luovat uusia haasteita uhkien tunnistamisen näkökannasta. Kohteiden ja uhkien tunnistaminen vaatii monialaisen ryhmän yhteistyötä, sillä tavoitteena on varmistaa, että turvallisuuskriittiset järjestelmät pysyvät luotettavina ja toimintakykyisinä myös kasvavien kyberuhkien edessä.
Säännöllinen arviointi ja päivitys ovat välttämättömiä, sillä sekä teknologia että uhkaympäristö kehittyvät jatkuvasti. Näin varmistetaan, että suojatoiminnot pysyvät ajan tasalla ja tehokkaasti suojattuina kyberuhkia vastaan.
6.3.4 Riskien käsittely
Kyberriskejä voidaan hallita eri tavoin. Riski voidaan
hyväksyä
todennäköisyyttä tai vaikutuksia voidaan pienentää
siirtää toiselle sopimussuhteella kuten vakuuttamalla (tosin teknisissä järjestelmissä tämä on harvoin mahdollista)
poistaa kokonaan luopumalla esimerkiksi vanhentuneen järjestelmän käytöstä.
Riskiä ei voi jättää huomioimatta, riskin hyväksyminen on tietoinen päätös.
Riskienhallinnan toimenpiteiden tulee olla dokumentoitua. Dokumentoinnista tulee selvitä
valitut toimenpiteet
riskien omistajat, jotka vastaavat toimenpiteiden toteutumisesta ja seuraavat niiden vaikuttavuutta
jäännösriskin hyväksymisen perusteet.
Arviointien yhdenmukaistamiseksi toimijalla kannattaa olla riskienkäsittelyn tukena dokumentoitu riskienkäsittelykriteeristö, kuten riskimatriisi. Kriteeristön perusteella riskejä saadaan myös tärkeysjärjestykseen.
Riskienhallinnan perusteella syntyvät toimenpiteet tulee soveltuvin osin kouluttaa henkilöstölle, alihankkijoille, palveluntarjoajille ja yhteistyökumppaneille.
6.3.5 Riskienhallinnan vaikuttavuuden arviointi
Riskienhallinnan vaikuttavuutta ja ajantasaisuutta tulee arvioida säännöllisesti toimijalle sopivaa mittaristoa käyttäen esimerkiksi itsearviointina tai riippumattoman palveluntarjoajan kanssa. Riskienhallinnan toimenpiteiden arvioinnissa olisi huomioitava myös toimialakohtainen sääntely ja alan yleiset toimintaperiaatteet.
6.4 Kyberturvakäytännöt ja -toimet
Kyberturvakäytännöillä tarkoitetaan toimintatapoja, joilla toteutetaan viestintäverkkoja ja tietojärjestelmien turvallisuutta. Nämä jakautuvat erilaisiin konkreettisiin suojaustoimiin, jotka voidaan jakaa kolmeen pääkategoriaan: organisatoriset, fyysiset ja tekniset suojaustoimet.
Organisatoriset suojaustoimet keskittyvät hallinnollisiin ja johtamisen käytäntöihin, jotka tukevat tieto- ja kyberturvallisuutta. Näihin kuuluvat esimerkiksi tietoturvapolitiikat ja -ohjeistukset, henkilöstön koulutus ja tietoisuuden lisääminen, vastuiden ja roolien määrittely, riskienhallintaprosessit, tietoturvapoikkeamien hallintamenettelyt ja säännölliset auditoinnit ja arvioinnit
Fyysiset suojaustoimet suojaavat toimijan fyysisiä resursseja ja tiloja luvattomalta pääsyltä ja ympäristöuhilta. Näitä ovat esimerkiksi kulunvalvonta ja lukitusjärjestelmät, valvontakamerat ja vartiointi, lämpötilan ja kosteuden hallinta automaatiotilassa, ja varavirtajärjestelmät.
Tekniset suojaustoimet ovat teknologiapohjaisia ratkaisuja, jotka suojaavat tietojärjestelmiä ja dataa. Näihin lukeutuvat esimerkiksi pääsynhallinta ja käyttäjätunnistus, salausteknologiat, palomuurit ja tunkeutumisen estojärjestelmät (IPS), liikenteen valvonta, haittaohjelmien torjunta, lokien hallinta ja monitorointi, tietojen varmuuskopiointi ja palautus sekä ohjelmistojen päivitykset ja haavoittuvuuksien hallinta.
Tehokas tietoturva edellyttää näiden kaikkien suojaustoimityyppien tasapainoista yhdistelmää. Organisatoriset suojaustoimet luovat perustan ja ohjaavat toimintaa, fyysiset suojaustoimet suojaavat konkreettisia resursseja, ja tekniset suojaustoimet varmistavat digitaalisen ympäristön turvallisuuden. Yhdessä nämä muodostavat kattavan tietoturvan hallintajärjestelmän.
Suojaustoimet voidaan jakaa myös niiden toiminnon mukaan. Kyberturvallisuuden osalta esimerkiksi NIST Cybersecurity Framework 2.0 käyttää seuraavaa toimintojen jaottelua:
Hallinto (Govern)
Tunnistaminen (Identify)
Suojaaminen (Protect)
Havaitseminen (Detect)
Reagointi (React)
Palautuminen (Recover)
Kyberturvallisuuden hallinnan toiminnot vertautuvat esimerkiksi palontorjuntaan:
hallinnossa tehdään päätös, miten tulipaloihin suhtaudutaan sekä määritellään politiikat ja selvitetään hätänumerot
tämän jälkeen tunnistetaan mitä kohteita halutaan suojata tulipaloilta, minkä jälkeen mietitään keinoja tärkeiden kohteiden suojaamiseksi.
Koska se ei aina onnistu, tehdään toimia, joilla tulipalot havaitaan mahdollisimman nopeasti
kun sellainen havaitaan, voidaan reagoida ja toteuttaa esimerkiksi poistuminen tiloista.
lopuksi toiminta palautetaan normaaleille urille tavalla tai toisella.
6.4.1 Hallinto
Hallinto-toiminnon päätavoite on luoda kyberturvallisuuden perusta, joka ulottuu muihin toimintoihin. Riskienhallinnan näkökulmasta tässä toiminnossa määritellään vastuut, poikkeukset ja toimintamallit, eli asiat, joita riskienhallinta vaatii toteutuakseen.
Kattilalaitoksen vaarojen pienentämisen kannalta toimijalla tulisi olla kirjalliset, perustason tietoturvakäytännöt. Yleisiä tietoturvakäytäntöjä voivat ovat esimerkiksi
Laitteiden ja järjestelmien inventointikäytäntö, jossa kuvataan prosessi automaatioympäristön kriittisten laitteiden, järjestelmien ja datan tunnistamiseksi, luetteloimiseksi ja luokittelemiseksi. Tätä tietoa hyödynnetään mm. riskiarvioinneissa ja käynnissäpidossa
Päivitysten ja haavoittuvuuksien hallintakäytäntö, jossa määritellään prosessit automaatioympäristön päivittämiselle
Tietoturvatietoisuuden koulutus, jossa kuvataan, miten automaatioympäristössä työskenteleville järjestetään koulutusta, joka kattaa toimijan ympäristön erityspiirteet ja uhat
Verkon segmentointi- ja etäkäyttökäytännöt, jossa kuvataan, miten automaatioverkko eriytetään muista verkoista ja mitkä ovat hyväksytyt tavat ottaa etäyhteys. Myös toteutus pitää kuvata verkkodokumentaatioon. Samassa dokumentaatiossa voidaan kuvata mihin ei saa järjestää etäyhteyttä missään tilanteessa esimerkiksi siitä koituvien erityisten riskien vuoksi
Automaatioympäristön luottamuksellisten tietojen käsittelyn säännöt, joissa kuvataan kuinka esimerkiksi yksityiskohtaisia kuvauksia prosesseista tai turva-automaatiosta tulee käsitellä.
Eri käytännöt on kommunikoitava oikeille kohderyhmille, kuten omille työntekijöille ja yhteistyökumppaneille. Käytäntöjä ja niiden soveltuvuutta toimintaympäristöön tulee tarkastella säännöllisesti.
6.4.2 Tunnistaminen
Tunnistaminen-toiminnon päätavoite on kehittää toimijan ymmärrystä kyberturvallisuusriskien hallinnasta suhteessa sen järjestelmiin, ihmisiin, omaisuuteen, dataan ja kyvykkyyksiin. Tämä toiminto auttaa toimijaa ymmärtämään sen kriittiset resurssit ja niihin liittyvät kyberturvallisuusriskit. Tunnistaminen-toiminto on katettu aikaisemmin kappaleessa 6.3.2.
6.4.3 Suojaaminen
Suojaaminen-toiminnon päätavoite on kehittää ja toteuttaa asianmukaiset suojatoimenpiteet, jotka varmistavat toimijan kriittisten palveluiden jatkuvuuden. Tavoitteena on luoda monitasoinen puolustus, joka vaikeuttaa hyökkääjien toimintaa ja pienentää onnistuneiden hyökkäysten vaikutuksia. Alla on esimerkkejä suojautumistoimista.
Verkkojen segmentointi
Toimijan tulee eriyttää tunnistamansa haavoittuvat tai kriittiset järjestelmät vähintään loogisella tasolla toisistaan. Verkkojen välinen liikenne tulisi rajoittaa vähimpien oikeuksien periaatteiden mukaisesti.
Toimijalla saattaa esimerkiksi olla tarve automaatiojärjestelmän tai sen osan etähallinnalle. Tällöin automaation hallintatyöasema voidaan eristää omalle verkkoalueelleen, johon pääsy sallitaan vain tietyille laitteille. Lisäksi hallintatyöasemalle pääsy on rajoitettava ennalta määritetyistä sijainneista. Näin toimija ei avaa koko automaatioverkkoaan tarpeettomasti kolmansille osapuolille, ja tarvittavat toimenpiteet voidaan tehdä vain luotetulta työasemalta.
Haittaohjelmilta suojautuminen
Automaatioympäristöt voivat olla erityisen alttiita haittaohjelmille, koska niiden hidas päivityssykli ja legacy-järjestelmien laaja käyttö tekevät niistä haavoittuvia. Haittaohjelmat voivat aiheuttaa tuotantokatkoksia ja laitevaurioita, joten suojautuminen on välttämätöntä järjestelmien luotettavuuden, turvallisuuden ja jatkuvuuden varmistamiseksi.
Haittaohjelmasuojauksissa voi esiintyä omia haasteita tai vähintään manuaalista työtä, esimerkiksi haittaohjelmatunnisteiden päivittämisessä ilman internetyhteyttä. Lisäksi automaation normaalin toiminnon virheellinen tunnistaminen haittaohjelmaksi ja sen automaattinen poistaminen tai karanteeniin laittaminen voi aiheuttaa omia riskejään. Näiden haasteiden vuoksi on hyvä selvittää asia tarvittaessa automaatiojärjestelmän toimittajan tuella. Heillä on usein suosituksia hyväksytyistä tuotteista ja menetelmistä päivitysten jakeluun.
Salasanakäytännöt ovat keskeinen osa tehokasta pääsynhallintaa. Vahvojen salasanojen käyttö, säännölliset salasanojen vaihdot ja monivaiheinen tunnistautuminen parantavat järjestelmän turvallisuutta. Automaatioympäristöissä on erityisen tärkeää varmistaa, että oletussalasanat on vaihdettu, salasanat ovat riittävän monimutkaisia ja niitä ei jaeta käyttäjien kesken.
Nimettyjen tunnusten käyttö on toinen tärkeä osa pääsynhallintaa automaatiojärjestelmissä. Jokaisella käyttäjällä tulisi olla oma yksilöllinen tunnus, mikä mahdollistaa tarkan seurannan ja vastuullisuuden. Tämä käytäntö myös auttaa rajaamaan pääsyoikeuksia tarkemmin kunkin käyttäjän roolin ja vastuiden mukaan.
Normaalien käyttäjätunnusten lisäksi korotettujen oikeuksien hallintaan on kiinnitettävä erityistä huomiota. Pääkäyttäjätunnusten tai muiden korkean tason käyttöoikeuksien väärinkäyttö voi aiheuttaa merkittäviä vahinkoja. Tämän vuoksi on tärkeää noudattaa vähimpien oikeuksien periaatetta, jossa käyttäjille annetaan vain ne oikeudet, joita he tarvitsevat työtehtäviensä suorittamiseen. Korotettujen oikeuksien käyttöä tulisi myös valvoa ja auditoida säännöllisesti.
Päivitysten ja haavoittuvuuksien hallinta
Automaatiojärjestelmien ohjelmistopäivitykset ovat keskeinen osa järjestelmän elinkaaren hallintaa ja turvallisuuden ylläpitoa. Päivityksillä pyritään parantamaan tietoturvan tasoa korjaamalla haavoittuvuuksia, ja ne voivat myös olla tarpeen uusien ominaisuuksien käyttöönottoa varten.
Haasteina esiintyvät usein yhteensopivuusongelmat, jotka vaativat huolellista testausta. Myös mahdolliset käyttökatkokset voivat muodostaa ongelman, mikäli järjestelmää ei ole kahdennettu.
Haasteista huolimatta järjestelmiä tulisi päivittää mahdollisuuksien mukaan hallinnollisissa toimissa määriteltyjen ohjeistusten rajoissa. Ohjeistuksessa voidaan esimerkiksi määritellä, kuinka päivitysten julkaisuja seurataan ja kenen toimesta, sekä luokitella päivitykset niiden kriittisyyden mukaan kolmeen asteeseen: kriittiset (päivitettävä kuukauden sisällä), normaalit (odotetaan huoltokatkoa) ja matalat (ei uhkaa laitoksen kriittisiä komponentteja). Mikäli kriittisiä päivityksiä ei voida asentaa määritellyssä ajassa, asia on otettava huomioon riskiarvioinneissa, ja järjestelmä tulisi suojata muilla menetelmillä, kuten eristämällä se verkosta.
Järjestelmien kovennus
Toimijalla tulee olla käytännöt järjestelmien kovennukselle. Kovennus tarkoittaa prosessia, jossa järjestelmien tietoturvaa parannetaan minimoimalla mahdollisia haavoittuvuuksia ja rajoittamalla hyökkäyspinta-alaa.
Kovennusprosessi kattaa useita keskeisiä toimenpiteitä. Näihin kuuluvat esimerkiksi tarpeettomien palveluiden ja ohjelmistojen poistaminen järjestelmistä, käyttöoikeuksien tiukka rajaaminen vähimpien oikeuksien periaatteen mukaisesti, sekä oletussalasanojen vaihtaminen ja vahvojen salasanakäytäntöjen käyttöönotto. Lisäksi on tärkeää päivittää järjestelmät aja tasalle, rajoittaa verkkoliikenne vain välttämättömiin yhteyksiin ja tehostaa lokien keruuta ja valvontaa.
Kovennustoimenpiteet on testattava huolellisesti ennen tuotantoympäristöön viemistä, jotta varmistetaan, etteivät ne häiritse kriittisiä prosesseja. On myös olennaista dokumentoida kaikki tehdyt muutokset.
Järjestelmien kovennus ei ole kertaluontoinen toimenpide, vaan jatkuva prosessi, joka vaatii säännöllistä arviointia ja päivittämistä uhkaympäristön muuttuessa.
6.4.4 Havaitseminen
Havaitseminen-toiminnon päätavoite on mahdollistaa turvallisuustapahtumien nopea havaitseminen ja analysointi. Automaatioympäristössä tämä on kriittistä, sillä nopea reagointi voi estää vakavat häiriöt tuotantoprosesseissa, tai ainakin mahdollistaa hallitun alasajon. Käytännössä toimijan tulisi seurata verkon ja automaatiojärjestelmän tilan lisäksi esimerkiksi fyysistä ympäristöä ja ihmisten toimintaa, unohtamatta toimitusketjussa olevia toimijoita, kuten ulkoistettua automaation ylläpitokumppania.
Viestintäverkkojen valvonta
Riskiarviointien perusteella voi olla suositeltavaa käyttää tunkeutumisen havaitsemisjärjestelmää (Intrusion Detection System, IDS) myös automaatioverkossa. Tämä seuraa verkkoliikennettä passiivisesti ja ilmoittaa mahdollisesta haitallisesta verkkoliikenteestä.
Tunkeutumisen estojärjestelmää (Intrusion Prevention System, IPS) ei yleensä suositella automaatioympäristöissä, koska vääristä hälytyksistä käynnistyvät toimen voivat estää kriittistä liikennettä.
On huomioitava, että IDS-järjestelmä tarvitsee pääsyn kaikkeen relevanttiin verkkoliikenteeseen voidakseen analysoida sitä uhkien varalta. Tämä tarkoittaa, että verkkoarkkitehtuurissa on huomioitava liikenteen peilaus tai jakaminen IDS-järjestelmälle strategisissa pisteissä. Solmupisteissä, kuten kytkimissä ja reitittimissä, on oltava kyky ohjata tai kopioida liikennettä IDS-sensoreille ilman, että se vaikuttaa verkon normaaliin toimintaan.
Tapahtumakirjausten kerääminen ja analysointi
Kriittisistä toiminnoista tulee kerätä tapahtumakirjauksia eli lokitietoja. Lokitiedot ovat keskeisiä esimerkiksi turvallisuuden valvonnassa, vianselvityksessä, käyttäjätoiminnan seurannassa ja tapahtumien jälkiselvittelyssä. Lokitietojen keräämisen tulee olla suunnitelmallista ja dokumentoitua. Pitkällä aikavälillä lokitietojen analysointi mahdollistaa trendien seuraamisen ja mahdollisten ongelmien ennakoinnin.
Lokitiedot tulee varmuuskopioida paikkaan, jossa esimerkiksi omat työntekijät, hyökkääjä tai haittaohjelmat eivät pysty muokkaamaan niitä.
6.4.5 Reagointi
Reagointi-toiminnon päätavoite on varmistaa nopea ja tehokas toiminta havaittujen kyberturvallisuustapahtumien yhteydessä. Tässä pyritään minimoimaan poikkeamien vaikutukset toimijan kriittisiin kohteisiin hyödyntämällä ennalta suunniteltuja ja harjoiteltuja toimintamalleja.
Tehokkaan viestinnän ja koordinoinnin merkitys korostuu poikkeamatilanteissa sekä organisaation sisällä että ulkoisten sidosryhmien kanssa. On myös tärkeää muistaa jatkuvan oppimisen ja kehittymisen merkitys tapahtumien jälkianalyysin avulla.
Varautuminen poikkeamiin
Toimijalla tulee olla kirjalliset käytännöt, jotka kuvaavat muun muassa ilmoitusvelvollisuudet (GDPR, NIS2, muu lainsäädäntö), ajantasaiset yhteystiedot, yhteydenottokanavat ja toimintaohjeet poikkeamien hallitsemiseksi.
6.4.6 Palautuminen
Palautuminen-toiminnon päätavoite on varmistaa organisaation kyky palauttaa normaalit toiminnot ja palvelut mahdollisimman nopeasti ja tehokkaasti kyberturvallisuustapahtuman jälkeen. Tämä toiminto kattaa kaikki suunnitelmat, prosessit ja toimenpiteet, joita tarvitaan järjestelmien, tietojen ja toimintojen palauttamiseksi normaalitilaan. Palautuminen-toiminto huomioi myös liiketoiminnan jatkuvuuden, maineenhallinnan ja sidosryhmäviestinnän kriisitilanteissa.
Varmuuskopiointi
Tuotantoympäristöissä varmuuskopiointi kattaa esimerkiksi ohjelmistokonfiguraatiot ja ohjauslogiikat. Näiden tietojen säännöllinen ja luotettava varmuuskopiointi mahdollistaa nopean palautumisen erilaisista häiriötilanteista, kuten laitteistovikojen, ohjelmistovirheiden tai kyberturvallisuuspoikkeamien aiheuttamista ongelmista.
Toimijalla tulee olla käytännöt varmuuskopioiden ottamiseksi ja palauttamiseksi sekä varmuuskopioiden elinkaaren hallinnalle. Käytäntöjä tulee testata säännöllisesti erityisesti palauttamisen osalta. Elinkaarenhallinnassa tulee tarvittaessa ottaa huomioon lainsäädännön vaatimukset esimerkiksi säilytysvelvollisuuden osalta. Varmuuskopioiden tulee olla suojattuja vähintään samoilla vaatimuksilla kuin alkuperäinen data.
Liitteet
Liite 1 Tyypillinen voimakattilan alajärjestelmäjaottelu HAZID-tarkastelua varten
(Jokaiselle laitokselle on laadittava oma ositus; tätä listaa ei voi käyttää suoraan tarkastelussa)
A Polttoainejärjestelmät
PA-vastaanotto
Polttoaine
PA-varasto
PA-kuljetin
PA-seula
PA-murska
PA-päiväsiilo
PA-Syöttölaitteet
PA-syöttötorvi
Sytytyspoltin
Kuormapoltin
Petilanssit
Petihiekkajärjestelmä
B. Kattila/painerunko
Tulipesä
Arinat
Tulitorvet
Tuliputket
Lieriö
sisäisenkierronputket
Tulistimet
Höyrystimet/konvektiot
Ekonomaiserit
Muuraukset
Eristeet
Luukut
Varoventtiilit
Ulospuhallukset
Heikennettynurkka/ paineenpurku
Ilmaukset / tyhjennykset
C. Putkistot
Höyry/kuumavesiputket
Lauhdeputket
Syöttövesiputket
Demi-, talous- ja lisävesiputket
Kemikaaliputket
Omakäyttöputket, esim. glykolivesiputket
Paineilmaputket
Palovesiputket
Öljyputket
Kaasuputket
Paineenpurkuputket/Varoventtiilit
Äänenvaimentimet
D. Apujärjestelmät
Kattilavesi
Syöttövesisäiliö
Ulospuhallusjärjestelmät (JUP – UP)
SNCR ja SCR järjestelmät
Lauhdesäiliö
Kemikaalisäiliöt
Syöttövesipumput
Pneumaattiset lähettimet
Lauhdepumput
Palovesipumput
Muut pumput
Ruiskut ja reduktioasemat
Lämmönvaihtimet
E. Turbiinit
Turbiini
Turbiini apujärjestelmät
F. Palamisilmajärjestelmät
Kanavistot
Puhaltimet
LUVO (palamisilman esilämmittimet)
Höyrylämmitys
Syöttöpisteet kattilaan
Kiertokaasu
Palkeet
G. Savukaasukanavistot
Savukaasukanava
SK-puhallin
Palkeet
H. Tuhkajärjestelmät ja nuohous
Tuhkasuppilot
sulkusyöttimet/pellit
Tuhkakuljettimet
Jäähdytyspiirit
Tuhkakontit
Nuohoimet
I. Savukaasunkäsittely
Syklonit
Pesurit
Sähkösuodin/Letkusuodin
Piippu
J. Rakennus ja HVAC
Teräsrakenteet
Kuorirakenteet
Perustukset
Hoitotasot
Huoltoalueet
Heikennetty seinä
Tuloilma
Poistoilma
Jäähdytys
korvausilma
Palontorjunta mm. sprinklerit
Lämmitys/ sulana pito
J. Infra ja kulkujärjestelyt
Hulevedet
Palojätevedet
Lumi
Kulkutiet
Poistumistiet
Ajoreitit
K. Sähkökattilaspesifit osat
Muuntamo
Syöttökaapelit
Elektrodit
Liite 2 Avainsanoja Hazid-tarkasteluun
(Jokaiselle laitokselle on laadittava oma avainsanalista; tätä listaa ei voi käyttää suoraan tarkastelussa)
A. Virtaus ja pinnankorkeus
Ei virtausta/matala/korkea/ käänteinen virtaus
Vuoto
Korkea pinta
Matala pinta
Kuivakäynti
Lappoaminen
B. Paine
Korkea/matala paine
Yli/alipaine
Paineisku
C. Lämpötila
Korkea/matala lämpötila
Jäätyminen
Liian nopea lämpötilan muutos
D. Kemikaalit
Väärä kemikaali
Kemiallinen reaktio
Korroosio
Kontaminaatio
Vuoto, vapautuminen
E. Sähkö
Sähkökatko
Oikosulku
Ylikuormitus
Sähköisku
Maadoitusongelma
Kaasuntuotto
F. Mekaaniset
Mekaaninen vika
Tärinä
Kuluminen
Väsyminen
Eroosio
G. Ohjaus
Instrumenttivika
Virheellinen lukema
Kalibrointivirhe
Ohjelmistovirhe
Ihmisen virhe: väärä tieto, väärä teko, väärä ajoitus, väärä järjestys, jää tekemättä
Liite 4 Kattilalaitoksen käyttöön liittyviä vaaratilanteita
Tukimateriaalia kattilalaitoksen prosessiriskinarvioinnin suorittamiseen. Tukimateriaali ei ole tarkoitettu tarkastuslistoiksi, joka huomioimalla voitaisiin täydellisesti varmistua laitoksen teknisestä turvallisuudesta.
1 Taustaa ja liitteen tarkoitus
Tämä on liite Tukes-oppaaseen ”Opas kattilalaitoksen vaaran arvioinnin laatimiseksi” Liitteen tehtävä on tukea laitosten prosessiriskinarviointia. Liitteessä esitetyt asiat eivät ole tarkastuslistoja, jotka kuvaisivat vain ja ainoastaan prosessiriskinarvioinnissa huomioitavat asiat. Liitteessä esitettyjä vaaroja ei yleensä voida suoraan siirtää laitoksen riskilistaksi.
Liite perustuu edelliseen oppaaseen ja sitä on täydennetty erityisesti sähkökattiloiden ja jätteenpolton osalta.
2 Yleisiä vaaroja
2.1 Tulipalot
Tulipalo on mahdollinen kaiken tyyppisillä polttoaineilla (kiinteät polttoaineet, kaasu, öljy)
Riski on suurin palokuormaa muodostavilla polttoaineilla (pölyävät kiinteät polttoaineet)
Kaasun ja öljyn kohdalla vaaratilanne on käytännössä seurausta putkiston tai siihen liittyvien laitteiden, esim. poltinventtiilien vuodosta. Öljyn kohdalla vaaratilanne voi esiintyä myös säiliön vuodon yhteydessä
Sytytyslähteinä voivat toimia esimerkiksi:
Polttoaineen joukossa olevien vieraiden esineiden, sähkölaitteiden tai kunnossapitotöiden aiheuttamat kipinät
Kuumat pinnat
Tupakointi
Laakereiden ym. pyörivien koneenosien kuumeneminen (kitkalämpö);
Polttoaineen joukossa olevat kytypalot jne.
Käytöllä ja kunnossapidolla on keskeinen rooli vaaratilanteen välttämisessä:
Myös teknisillä varautumiskeinoilla (savu- ja paloilmaisimet, automaattiset palohälyttimet, sprinkleri- ja inertointijärjestelmät) on huomattava merkitys vaaratilanteen havaitsemisessa ja sen seurausten rajoittamisessa
Tulipalon seuraukset voivat vaihdella huomattavastikin. Omaisuusvahinkojen kannalta seurauksena voi pahimmillaan olla laitoksen täydellinen tuhoutuminen
Omaisuusvahinkojen kannalta miehittämättömät laitokset ovat huonommassa asemassa tulipalon havaitsemisviiveestä johtuen
Henkilövahinkojen kannalta on tilanne vakavin, jos vaaratilanne syntyy esimerkiksi kunnossapitotöiden yhteydessä ja työntekijät jäävät loukkuun kuljetintunneliin tai johonkin vastaavaan kattilalaitoksen osaan. Tulipalon alkuvaiheen sammutukseen liittyy myös mahdollisuus merkittäviin henkilövahinkoihin (ei tunnisteta tilanteen vakavuutta)
Kattilalaitoksen räjähdysriskit on tullut jo pitkään huomioida räjähdyssuojausasiakirjassa. Räjähdyssuojausasiakirja on tullut laatia työpaikoille, joilla käsitellään palavia nesteitä, kaasuja tai pölyjä siinä määrin, että näiden aineiden käsittelyyn liittyy tavanomaisissa toimintaolosuhteissa sekä ennakoitavissa toimintahäiriöissä ja vikatilanteissa mahdollisuus vaarallisen räjähdyskelpoisen ilmaseoksen muodostumiseen. Velvoite perustuu valtioneuvoston asetukseen (576/2003).
Alla on esitetty pöly- ja kaasuräjähdyksiin liittyviä näkökulmia esimerkiksi räjähdyssuojausasiakirjan päivittämisen tueksi. Apua räjähdyssuojausasiakirjan laadintaan ja ylläpitoon saa myös Tukesin oppaasta ”ATEX-starttipaketti”.
2.2.2 Pölyräjähdykset
Vaaratilanteen syntymisen edellytyksenä on sopivan pöly-ilmaseoksen muodostuminen ja sytytyslähteen olemassaolo. Kuivat, pölymäiset polttoaineet (puupöly, turvepöly) muodostavat suurimman riskin
Vaaratilanne voi syntyä myös märkiä, ei-pölymäisiä polttoaineita, kuten esimerkiksi kuorta tai palaturvetta käytettäessä. Polttoaineen käsittelyn yhteydessä muodostuu hienojakoista pölyä, joka pinnoille laskeutuessaan kuivuu räjähdyskelpoiseksi
Räjähdyskelpoinen pöly-ilmaseos voi muodostua esimerkiksi kuljetinjärjestelmän käynnistyksen yhteydessä
Vaaratilanteen seuraukset ovat sitä vakavammat, mitä hienojakoisempaa ja kuivempaa pöly on
Pölyräjähdystilanteessa ilmenee usein useampia perättäisiä räjähdyksiä. Jälkiräjähdykset ovat yleensä huomattavasti voimakkaampia kuin edeltävät räjähdykset
Yleensä pölyräjähdystilanteessa syntyy myös tulipalo
Sytytyslähteinä voivat toimia esimerkiksi:
sähkölaitteiden, kunnossapitotöiden tai polttoaineen joukossa olevien vieraiden esineiden aiheuttamat kipinät
kuumat pinnat
tupakointi
laitteiden kuumeneminen (kitkalämpö)
polttoaineen joukossa olevat kytypalot
takatuli kattilasta jne.
Käytöllä ja kunnossapidolla on keskeinen rooli vaaratilanteen välttämisessä:
Myös teknisillä varautumiskeinoilla (myllyjen, pölyputkistojen tms. inertointijärjestelmät, paineenpurkausluukut jne.) on huomattava merkitys vaaratilanteen välttämisessä tai sen seurausten rajoittamisessa
Pölyräjähdyksen seurauksena syntyy käytännössä aina omaisuusvahinkoja, jotka voivat olla hyvinkin huomattavia. Jos henkilövahinkoja syntyy, ne ovat yleensä hyvin vakavia
Vaaratilanne voi esiintyä käytännössä lähinnä kaasun tai polttoöljyn kohdalla
Tyypillinen tilanne on kattilaan päässeen kaasun räjähtäminen käynnistyksen tai palamishäiriön yhteydessä. Myös kattilaan vuotanut ja höyrystynyt öljy voi räjähtää vastaavassa tilanteessa
Yleisimmät tilanteet, joissa vaaraa esiintyy ovat seuraavat:
Polttoaineen syöttö keskeytyy lyhyeksi aikaa ja liekki sammuu. Liekin syttyessä uudestaan kaasutilaan kerääntynyt polttoaineseos syttyy
Polttoaineseosta kerääntyy tulipesään yhden tai useamman polttimen liekin sammuessa. Kerääntynyt polttoaineseos syttyy kipinästä, muusta sytytyslähteestä tai polttimien sytytysyrityksestä johtuen
Polttoainetta vuotaa pesään, kun polttimia ei ole käytössä (myös huoltojen aikana)
Ilman syöttö keskeytyy kokonaan tai osittain, jolloin syntyy ilman vähyyden vuoksi sammuva seos
Kaasuräjähdys voi syntyä kattilassa myös kiinteätä polttoainetta käytettäessä. Polttoaine voi kaasuuntua palamishäiriön tms. seurauksena tai kattilaan voi muodostua räjähdyskelpoinen kaasu-ilmaseos esimerkiksi ns. vesi-kaasureaktion seurauksena. Tilanne on seurausta veden pääsystä kattilaan
Vaaratilanteen syntymisen edellytyksenä on sopivan kaasu-ilmaseoksen muodostuminen ja sytytyslähteen olemassaolo, tai riittävän korkea kaasu-ilmaseoksen lämpötila (itsesyttyminen)
Kaasuräjähdys voi esiintyä myös kattilan ulkopuolella laitteisto- tai putkistovuodon seurauksena. Kattilan ulkopuoliseen kaasuräjähdykseen liittyy yleensä myös tulipalo.
Sytytyslähteinä voivat toimia esimerkiksi
kuumat pinnat
takatuli kattilasta
sähkölaitteiden tai kunnossapitotöiden aiheuttamat kipinät tai tupakointi
Käytöllä ja kunnossapidolla on keskeinen rooli vaaratilanteen välttämisessä:
kaasu- ja öljyputkistojen sekä niihin liittyvien laitteiden kunnossapito, tarkastukset
sytytyslähteiden minimointi
oikeat työtavat liittyen esimerkiksi kaasuputkiston tyhjentämiseen kunnossapitoa varten
Myös teknisillä varautumiskeinoilla (esim. liekinvalvonta, kaasuilmaisimet, kattilan paineenpurkausluukut tms.) ja suojauksilla (esim. kattilan tuuletus käynnistyksen yhteydessä) on huomattava merkitys vaaratilanteen välttämisessä tai sen seurausten rajoittamisessa
Kaasuräjähdyksen seurauksena syntyy käytännössä aina omaisuusvahinkoja, jotka voivat olla hyvinkin huomattavia. Jos henkilövahinkoja syntyy, ne ovat yleensä hyvin vakavia
Vaaratilanne on mahdollinen kaiken tyyppisillä kattiloilla
Vaaratilanne on yleensä seurausta kattilan riittämättömästä vedensaannista ja kuivakiehuntasuojan toimimattomuudesta tai puuttumisesta
Kuiviinkiehuminen voi joissakin tapauksissa olla mahdollista myös kuivakiehuntasuojan toimimisesta huolimatta. Esimerkiksi arinakattiloilla lämmöntuotanto ja palaminen voivat jatkua tulipesässä melko pitkäänkin polttoainesyötön katkaisemisen jälkeen. Samoin leijukattiloilla pedin korkea lämpösisältö voi olla vaikuttamassa kuiviinkiehumiseen
Kattilan vedenpuutteen voi aiheuttaa esimerkiksi
Kattilan vedenpinnan korkeuden säätimen vikaantuminen (juuttuminen yläasentoon), jolloin kattilaan tulee riittämättömästi vettä
Syöttövesipumpun, varapumpun tai niihin liittyvien laitteiden toimintahäiriö
Syöttövesisäiliön ja kattilan (lieriön) välisen putkilinjan vuoto
Raju vesivuoto kattilaputkistossa tai kattilan vaipassa. Vesivuotoihin liittyy usein voimakkaiden painevaikutusten mahdollisuus. Putkivuodon syitä:
kiertohäiriö
putkien syöpyminen tai kuluminen
kerrostumat putkissa
hitsausvirheet
materiaali- ja lämpökäsittelyvirheet
nuohouksen kuluttava vaikutus
mekaaniset vauriot.
Kuivakiehuntasuojan toimimattomuuden voi aiheuttaa mm.
kattilakivi tms. epäpuhtaudet
kattilaveden kuohuminen
kuivakiehuntasuojan anturin väärä sijoituspaikka
se että kuivakiehuntasuojaan liittyvien laitteiden ominaisuuksia on muutettu
Kuivakiehuntasuojan toimintakykyisyydellä ja sen toimintakykyisyyden varmistamisella (toimintatestit, tarkastukset, kunnossapito) on keskeinen rooli vaaratilanteen ehkäisemisessä
Myös toimenpiteillä, joiden tarkoituksena on varmistaa kattilan vedensaanti kaikissa tilanteissa, on ratkaiseva merkitys vaaratilanteen välttämisessä; syöttövesipumpun ja sen varapumpun kunnosta huolehtiminen, sähkönsyötön varmistaminen, putkistojen esim. syöttövesisäiliön ja lieriön välisen putkilinjan kunnosta huolehtiminen jne.
Kuiviinkiehumisen seuraukset voivat vaihdella huomattavasti. Omaisuusvahinkojen kannalta seurauksena voi pahimmillaan olla koko laitoksen täydellinen tuhoutuminen, esim. kuiviinkiehumista seuranneen tulipalon johdosta. Kattilalaitoksen täydellinen tuhoutuminen on todennäköisempää miehittämättömillä laitoksilla tulipalon havaitsemisviiveen takia
Vaikka kuiviinkiehumisen seuraukset rajoittuisivat vain kattilaan, kyseessä on yleensä vakava vaurio, sillä kattilaputket voivat palaa tai kattilan sisäosat kokea voimakkaita muodonmuutoksia. Usein kattila tuhoutuu korjauskelvottomaksi
Henkilövahinkojen mahdollisuus kuiviinkiehumiseen yhteydessä liittyy lähinnä kuiviinkiehumista seuraavaan tulipaloon tai kattilaräjähdykseen, jos kuivaksi päässeeseen kattilaan ruvetaan liian aikaisin syöttämään vettä.
2.4 Vesi- ja höyryvuodot, kattila- ja paineastiaräjähdykset
Onnettomuus voi olla seurausta esimerkiksi syöttövesisäiliön, lieriön, kattilan vaipan, keittoputkiston, tulistinelementtien tai kattilaan liittyvien höyryputkistojen vaurioitumisesta
Vesiputkikattiloilla keittoputkiston ja tulistinelementtien vuodot ovat yleisempiä, lieriön vuodot harvinaisempia
Suurvesitilakattiloilla tulitorven ja tuliputkien vuodot ovat yleisempiä, vaipan vuodot ovat harvinaisia
Keittoputkiston vuoto voi olla seurausta esimerkiksi kierto- tai virtaushäiriöstä (kerrostumat putkissa, hitsausjätteet), tulistinelementin vuoto voi olla seurausta esimerkiksi nuohoimen väärästä sijainnista
Tulitorven repeäminen tyypillisesti seurausta tulitorven paikallisesta ylikuumenemisesta. Tämä voi olla seurausta liekin ”kääntymisestä” tulitorvessa esimerkiksi tulitorveen pudonneista muurauksista johtuen tai polttoaineen epäpuhtaasta palamisesta (tulitorveen kertyy nokea)
Tuliputken repeäminen on seurausta esimerkiksi putken pinnalle kertyneestä kattilakivestä (aiheuttaa paikallisen ylikuumenemisen). Ongelma on yleensä seurausta puutteellisesta vesienkäsittelystä
Höyryputken puutteellisesta vesityksestä johtuen putkeen jäänyt vesi voi höyrystyessään aiheuttaa merkittävää tuhoa höyrylinjalle (käynnistyksen yhteydessä). Vastaavanlainen onnettomuus voi syntyä veden hallitsemattomasta pääsystä tulistimeen (lieriön höyrynkuivauslaitteiden vaurioituminen, säätö- tai lukituslaitteiden vikaantuminen jne.)
Vakavimmat seuraukset aiheutuvat silloin, kun vuodon seurauksena kattilahalliin tai kattilan sisään vapautuu lyhyessä ajassa suuri määrä vettä tai höyryä, jolloin vuodon aiheuttamat painevaikutukset voivat olla hyvin voimakkaat
Vesi- ja höyryvuotojen seuraukset voivat vaihdella huomattavasti. Omaisuusvahinkojen kannalta seurauksena voi pahimmillaan olla koko laitoksen täydellinen tuhoutuminen (painevaikutukset)
Jos henkilövahinkoja syntyy, ne ovat yleensä vakavia tai hyvin vakavia. Myös silloin, kun varsinaisia painevaikutuksia ei synny tai silloin kun ne ovat lieviä syntyvät henkilövahingot ovat yleensä vakavia. Korkeapaineisten höyryputkien vuodot ovat vaarallisia henkilöturvallisuuden kannalta, koska kuuma höyry syrjäyttää ilman hapen sisätiloissa nopeasti ja aiheuttaa samalla palovamman vaaran. Pienemmissä vuototilanteissa henkilövahinkojen vaara liittyy lähinnä siihen, kun vuotoa yritetään tukkia jollakin tavoin, ilman että kattilaa ajetaan alas (palovammojen mahdollisuus)
Keskeisellä sijalla vesi- ja höyryvuotojen välttämisessä on kattilaputkiston paikallisten ylikuumenemisten välttäminen, kattilaveden laadusta huolehtiminen (kerrostumien välttäminen), putkiston kunnosta huolehtiminen (tarkastukset) ja oikeat käyttötavat (esim. vesitykset).
2.5 Kiinteiden polttoaineiden käsittelyyn ja käyttöön liittyviä muita vaaratilanteita
Kytypalosta aiheutuvien savukaasujen aiheuttama tukehtumisvaara (esim. varastosiiloissa)
Varastosiiloissa ja kuljettimissa käytettyjen inertisointikaasujen aiheuttama tukehtumisvaara esimerkiksi kunnossapitotöihin tai tarkastuksiin liittyen
Holvaantuneen polttoaineen purkamiseen liittyvät vaarat (alle jääminen)
Puristumis- ja putoamisvaarat mm. kuljettimissa ja polttoainesäiliöissä
Tuhkan (pohja- ja lentotuhka) käsittelyyn liittyvät vaaratilanteet, kuuman tuhkan aiheuttamat palovammat ja tulipalot
Kuumien pintojen aiheuttamat palovamman vaarat
Arinan tuhoutuminen laitteiden kuten esimerkiksi arinasylinterien toimintahäiriöiden seurauksena
Leijukattilan petin sintrautuminen palamishäiriöiden seurauksena.
2.6 Kaasumaisten ja nestemäisten polttoaineiden käsittelyyn ja käyttöön liittyviä muita vaaratilanteita
Kaasuvuodosta tai polttoaineen höyrystymisestä aiheutuva tukehtumisvaara (esim. polttoainesäiliössä)
Kuuman polttoöljyn aiheuttamat palovammat liittyen putkiston vuotoihin tai esimerkiksi kunnossapitotöihin (suodattimen vaihto)
Polttoaineen ihokosketukseen liittyvä (kemiallinen) ärsytysvaara.
2.7 Tarkastuksiin, kunnossapitoon yms. liittyviä vaaratilanteita
Useampia kattiloita käsittävällä kattilalaitoksella syöttövettä, höyryä tai savukaasua pääsee kunnossapidon tai tarkastuksen kohteena olevaan kattilaan toisesta, käynnissä olevasta kattilasta
Kattilan polttimen/polttimien käynnistyminen kattilan huollon yhteydessä, kun työntekijöitä on kattilan sisällä
Vaarallisten kemikaalien (esim. peittauskemikaali) käsittelyssä sattuu vahinko
3 Huomioitavia vaaratilanteita - öljyn poltto
3.1 Polttoöljyn vastaanotto, varastointi ja siirtoputkisto
Öljyn purkupaikka liikenteellisesti hankalassa paikassa (ajoväylän liukkaus, muu liikenne jne.)
Keskenään sekoituskelvottomille polttoöljylaaduille käytetään samoja säiliöitä ja putkistoja
Öljyn purkuun käytetään heikkokuntoisia letkuja
Täyttöaukon kansi, tyhjennysputkien sulkulaitteet jne. eivät ole lukittuja (ilkivalta)
Räjähdyskelpoisen seoksen muodostuminen säiliöön; säiliöön lisätään palamista edistävää lisäainetta, säiliöön joutuu vahingossa toista öljylaatua (palautuskierto)
Öljysäiliön ylitäytön estin tai hälytin ei toimi tai puuttuu kokonaan
Öljysäiliön valuma-allas vuotaa, viemärikaivon käsiventtiili jäänyt auki
Valuma-altaan vuotovalvonta puuttuu tai vikaantunut
Säiliön ilmaputki tukkeutunut (putkeen päässeen veden jäätyminen, vieras esine tms.).
Kattilahuoneen yhteydessä mahdollisesti oleva ns. päiväsäiliö liian lähellä tulipesää tai muita kuumia pintoja
Päiväsäiliön alla kuumia on putkia tai kanavia, mutta ei suojausta mahdolliselta vuotavan öljyn kosketukselta.
3.2 Polttoöljyn esilämmitys
Öljyn lämpötila on liian korkea; lämpötilan mittaus puuttuu tai on epäkunnossa, ylärajan ylityksestä ei saada hälytystä, ei automaattista ylilämpökatkaisua; esilämmityslämpötila asetettu öljyn laatuun nähden liian korkeaksi (polttoöljylaadun vaihto, raskas polttoöljy → kevyt polttoöljy); sähkökäyttöisen esilämmittimen kärjet vahingoittuvat
Polttoöljyn lämpötila öljyn paineeseen verrattuna on liian korkea; polttoöljyn joukossa olevan veden, alhaisessa lämpötilassa kiehuvien hiilivetyjen tms. höyrystyminen, palamishäiriöt
(Sähköisen) esilämmittimen pintalämpötila on liian korkea, esilämmitin ei ole kokonaan polttoöljypinnan alapuolella
Esilämmittimen varoventtiilien purkausputkia ei ole suunnattu turvalliseen paikkaan
Lauhteen joukkoon pääsee öljyä.
3.2.1 Polttoöljyputkisto ja siihen liittyvät laitteet (suodattimet, pumput)
Putkien, tiivisteiden ja muiden putkiston osien kestävyys painetta, lämpötilaa, aineiden kemiallista vaikutusta, korroosiota jne. vastaan on puutteellinen
Putkien tuenta on puutteellista (värähtely)
Polttoöljyä ei suodateta riittävästi, suodatinelementit vaihdetaan liian harvoin
Kierrätysputkista tai polttimilta palaava öljy johdetaan liian lähelle pumpun imupuolelle, pumpulle tulevan öljyn lämpötila liian korkea
Polttoöljypumpulla ei ole riittävää hätäpysäytysmahdollisuutta
Polttoöljyputkiston ylipaineen estävät varolaitteet puuttuvat, ovat vääränlaiset tai riittämättömät
Polttoöljyjärjestelmässä on erilaisia virityksiä, esim. letkuja käytetään kohteissa, joissa niiden käyttö on kielletty
Letkuasennuksissa on liian pieniä kaarevuussäteitä
Letkujen ylikuumeneminen (puutteellinen suojaus)
Letkujen kunnonvalvontaan ei riittäviä edellytyksiä (letkut eivät esim. näkyvissä)
Huoltotyö (suodattimen vaihto, pumpun korjaus) tehdään vahingossa väärälle kohteelle; puutteelliset merkinnät.
3.2.2 Polttoöljyn ja palamisilman sulkulaitteet, öljypoltinlaitteisto
Sulkulaitteet eivät sulkeudu tai sulkeutuvat puutteellisesti poltinhäiriön tms. tilanteen yhteydessä
Sulkulaitteet avautuvat, vaikka prosessin tila edellyttäisi sulkulaitteiden kiinni pysymistä (öljyn lämpötila liian korkea tms.)
Polttoöljyn ja palamisilman suhde on väärä, polttimilla ei ole poltinkohtaista ilman paineen tai määrän mittausta
Palaminen epätäydellistä johtuen esim. polttimien vikaantumisesta (polttimen akselin vaurioituminen tms.)
Putkisto tai sen tukirakenteet vaurioituvat mekaanisesti kaivamisesta, rakennustöistä, routimisesta tms. johtuen (maanalainen putkisto)
Putkisto vaurioituu ajoneuvon törmäyksestä, iskusta tms. johtuen
Putkisto syöpyy tai pääsee ylikuumenemaan
Putkisto vaurioituu tai vuotaa materiaali- tai asennusvirheiden tai vääränlaisten liitosten takia
Putkiliitosten toteutustapa väärä, käytetty kierreliitoksia tai laippoja vaikka putken nimelliskoko tai putkiston paine edellyttäisivät hitsausliitoksia
Liitännöissä varusteisiin ja laitteisiin väärä toteutustapa, käytetty kierreliitoksia, vaikka putken nimelliskoko tai putkiston paine edellyttäisivät laippaliitoksia
Putkisto joutuu alttiiksi liian suurille jännityksille, tärinälle, lämpöliikkeille, paineiskuille tms.
Putkisto tukkeutuu tai pääsee jäätymään
Kaasuputkistossa on virityksiä (esim. letkuja käytetään kohteissa, joissa niiden käyttö on kielletty, letkut liian pitkiä tms.)
Letkuasennuksissa liian pieniä kaarevuussäteitä (taittuminen, murtuminen)
Huolto- tai muutostöitä tehdään kaasuputkelle, jota ei ole tyhjennetty ja huuhdeltu kunnolla; putkistoa ei ole suunnittelu huuhdeltavaksi, ohjeistus on puutteellista
Huolto- tai muutostöitä tehdään väärälle putkiston osalle tai laitteistolle puutteellisista merkinnöistä johtuen
Huuhtelu- ja paineenpoistoputkien kautta pääsee purkautumaan kaasua muualle kuin ulkotilaan
Huuhtelu- ja paineenpoistoputket mitoitettu liian pienelle ylipaineelle
Esimerkiksi sytytyskaasuna käytettävän nestekaasun pullojen sijoitus ei ole asianmukainen, pullot on sijoitettu esim. kattilarakennuksen sisäpuolelle tai liian lähelle sytytyslähteitä tai kuiluja tai kanavia (polttoaineen kertyminen mahdollista)
Ilmaa kevyempää kaasua käytettäessä kattilalaitoksen välitasojen tai katon alapuolisissa tiloissa ei ole ulos johdettua tuuletusputkea, riittävää tuuletusta tai hälyttäviä kaasuilmaisimia
Kaasun vuotoilmaisimien sijoittelussa ei ole riittävästi otettu huomioon kaasun leviämisreittejä ja keräytymisalueita tai vuotoilmaisimien huoltoa ja koestusta
Ilmaa raskaampaa kaasua käytettäessä kattila sijoitettu maanpinnan alapuolelle, kattilan läheisyydessä on syvennyksiä, kanavia ja kuiluja tai tuuletus on riittämätön
Putkiston tiiveyttä ei muisteta tarkistaa painekokeella esim. korjauksen jälkeen
Varusteiden merkinnät ovat puutteellisia (tunnus, virtaussuunta, käyttötarkoitusta osoittavat kilvet)
Kaasun tulojohdossa olevan sulkuventtiilin (paloventtiili) sulkeminen ei onnistu (apuenergia puuttuu, käsin sulkeminen ei onnistu)
Polttimien (poltinryhmien) pikasulkuventtiilit eivät saa automaatiojärjestelmältä sulkeutumiskäskyä (esim. tilanteessa, jossa kaasun paine tai virtaus ei ole haluttujen arvojen välillä)
Polttimien (poltinryhmien) pikasulkuventtiilit eivät sulkeudu, sulkeutuvat puutteellisesti tai sulkeutuvat liian hitaasti, lähinnä poltinta olevan pikasulkuventtiilin sulkeutumisaika > 1 sekunti
Pikasulkuventtiilit eivät ole toisistaan riippumattomia
Pikasulkuventtiilien välissä oleva paineenpoistoventtiili on mitoitukseltaan liian pieni
Polttimella ei ole vähintään yhtä käsin suljettavaa venttiiliä. Itsesulkeutuva pikasulkuventtiili voidaan katsoa käsikäyttöiseksi, jos apuenergian syöttö voidaan keskeyttää käsin polttimen luota
Käsin suljettavan venttiilin sulkemiseksi venttiiliä täytyy kiertää enemmän kuin kaksi kierrosta
Putkistossa ei ole paineensäätöventtiilin jälkeistä varolaitetta (silloin kun paineensäätöventtiilin jälkeinen putkiosuus on mitoitettu alemmalle painetasolle kuin tätä edeltävä putkiosuus)
Kaasun suodatus on puutteellista tai puuttuu kokonaan
Kaasun esilämmitys tai putkiston saattolämmitys on puutteellista, putkiston eristys on puutteellinen.
4.3 Polttimet ja liekinvalvonta, erilaiset käyttötilanteet
Sytytyspolttoaineen venttiili ei sulkeudu tai sulkeutuu huonosti, vaikka sytytyspoltin ei syty varmuusaikansa kuluessa
Sytytyspolttimella on vain yksi automaattinen pikasulkuventtiili, vaikka sytytyspolttimen teho edellyttäisi kahta venttiiliä.
Polttimen pääkaasuventtiili avautuu, vaikka sytytyspolttimen liekki ei pala.
Sytytysenergia on liian pieni
Polttimen kaasuventtiili (tai sytytyspolttoaineen venttiili) ei sulkeudu tai sulkeutuu huonosti, vaikka pääliekki ei syty varmuusaikansa kuluessa
Polttimen varmuusaika on liian pitkä
Kaasun ja palamisilman suhde on väärä; valvonnan vikaantuminen, valvonta ei riippumaton säädöstä
Ilmamäärä on liian pieni, mutta ei kuitenkaan niin pieni, että se aiheuttaisi liekin sammumisen ja sitä kautta liekinvalvojan toimimisen; kaasua pääsee palamattomana tulipesään.
Useamman polttimen järjestelmässä, jossa palamisilma säädetään yhteisesti, polttimia ei ole varustettu poltinkohtaisilla ilman sulkulaitteilla
Sytytyspolttimella ja pääpolttimella yhteinen liekinvartija, vaikka tälle ei olisi edellytyksiä
Liekinvalvontajärjestelmä ei turvallisesti vikaantuva (liekinvalvontajärjestelmään tulleesta viasta huolimatta järjestelmä ei pysäytä kaasun polttoa)
Liekinvalvonta ohitettu esimerkiksi liekinvalvontalaitteeseen tulleen vian vuoksi
(Käsikäyttöisten) venttiilien, peltien, luukkujen tms. asentoa ei tarkasteta ennen käynnistystä
Tulipesä tuuletetaan puutteellisesti epäonnistuneiden sytytysyritysten jälkeen; liian lyhyt tuuletusaika, liian pieni ilmavirta.
5 Huomioitavia vaaratilanteita - karkean polttoaineen poltto
5.1 Syöttölaitteet
Kattilaan syötettävässä polttoaineessa on suuria laatuvaihteluita (pölymäisen polttoaineen määrä ajoittain suuri) tai polttoaineen sekaan pääsee kuivaa, pölymäistä polttoainetta; siivousjätteet pannaan kuljettimien vietäväksi tms.
Polttoaineen syöttö- ja polttolaitteet aiheuttavat hienojakoisen polttoaineen muodostumista tai polttoaineen runsasta pölyämistä
Kuljetinlaitteissa on käytetty palavia rakenneaineita
Polttoaineen valuminen arinalle tai pakkosyöttölaitteille on katkonaista tai epäjatkuvaa; syöttötorvien huono rakenne (riittämätön päästö) tms.
Syötön ollessa keskeytyneenä pesään avautuvat syöttölaitteet ovat eristämättä tulipesästä tiiviillä sulkulaitteilla
Pesään avautuvien syöttölaitteiden sulkulaite sijaitsee niin, että sen ulkopuolella oleva polttoaine pääsee kuumenemaan ja syttymään
Kuumien savukaasujen tai kipinöiden pääsyä (tyhjiin) syöttötorviin ei ole estetty riittävästi; esimerkiksi torveen sijoitetulla yhdellä, mieluimmin kahdella peräkkäisellä vastapainopellillä tai sulkusyöttimellä
Savukaasupuhaltimen pysähtyminen ajon aikana, veto väärään suuntaan
Syöttölaitetta (esim. syöttösuppiloa) ei ole pesty riittävän puhtaaksi pölymäisestä polttoaineesta laitteelle tehtävän hitsaus- tai muun kipinöitä aiheuttavan korjaustyön ajaksi, ei riittävää sammutusvalmiutta tai palovartiointia
Polttoainetorvia ei ole varustettu täytöksen ilmaisevilla näkölaseilla tai mittaus-/hälytyslaitteilla
Savukaasukuivatuksessa savukaasun happipitoisuus on liian korkea (esimerkiksi seisokkitilanteessa), polttoaineessa esiintyy kytemistä tai palopesäkkeitä.
5.2 Polttolaitteet (kiinteät ja liikkuvat arinat)
Palamislämpötila ei ole riittävä jatkuvan liekin varmistamiseksi
Tulipesä on liian pieni täydellisen palamisen aikaansaamiseksi tai palamiskaasujen jäähdyttämiseksi (lentotuhka voi päästä sulassa muodossa jälkitulipinnoille)
Polttolaitteessa poltetaan liian matalalämpöarvoista polttoainetta ja/tai palamisilma tuodaan virheellisesti; palamiskelpoisten kaasujen syntyminen mahdollista, räjähdysvaara
Polttolaitteessa poltetaan liian korkealämpöarvoista polttoainetta ja arina vahingoittuu
Arinan kaltevuus on polttoaineelle sopimaton, polttoaine vyöryy
Tulipesän tarkastusluukkujen määrä on liian pieni tai ne on sijoitettu väärin; polttoaineen kulkua ja palamista ei mahdollista seurata.
Toisioilmaa käytetään liian vähän tai se ei sekoitu riittävän hyvin polttokaasuihin, sekoittuminen tapahtuu liian kaukana palavasta polttoainekerroksesta; häiriöitä kaasuuntuneen polttoaineen palamisessa, kaasuräjähdyksen mahdollisuus
Palamisilman virtausvastus arinassa polttoainekerroksessa syntyvään virtausvastukseen verrattuna on liian pieni; polttoaineen pölyäminen, kraaterinmuodostus
Tukipolttoaineen syötössä / palamisessa esiintyy katkoja.
Huonosti palavaa karkeaa polttoainetta yritetään polttaa yksin, vaikka poltto edellyttäisi tukipolttoaineen käyttöä
Arinalaitteet on jätetty suojaamatta, kun kattilaa käytetään muilla polttoaineilla ilman arinaa.
5.2.1 Erilaiset käyttötilanteet
Tulipesä tuuletetaan puutteellisesti; liian lyhyt tuuletusaika, liian pieni ilmavirta
Polttoainetta yritetään sytyttää ilman tukiliekkiä, vaikka polttoaineen laatu edellyttäisi sitä
Polttoainetta on kostutettu palavilla nesteillä syttymisen varmistamiseksi
Tulipesään syötetään käynnistyksen yhteydessä karkean polttoaineen mukana pölyävää polttoainetta ennen kuin normaali ajotilanne on saavutettu ja inerttikaasuja on kehittynyt riittävästi
Tukiliekki sytytetään, kun palaminen arinalla on huonoa/epätäydellistä ja tulipesään on kertynyt mahdollisesti räjähdyskelpoinen kaasuseos
Palamisilmamäärää säädetään äkillisesti
Polttoaineen syöttö- ja polttolaitteiden toimintaa ei tarkkailla riittävästi
Toisioilmaa pienennetään liian nopeasti ensiöilman pienentämisen jälkeen; syntyvien palamiskelpoisten kaasujen palaminen epävarmaa
Arinapoltto haittaa puuttuvan tai liian vähäisen toisioilman vuoksi toisen samanaikaisesti poltettavan polttoaineen palamista riistämällä polttimien palamisilmasta happea
Kuonan sammuttimiin kerääntyvää palamiskelpoista polttoainetta ei poisteta riittävän usein
Tuhkasuppiloissa oleva palamiskelpoinen polttoaine pääse yhteyteen palamisilman kanssa
Arina kolataan tai tuhkasuppilot tyhjennetään käynnin aikana (tuhkan poisto käsin) ja työtä suoritettaessa ei käytetä kipinöintiä ja kuumuutta kestävää suojavaatetusta
Arinalle ja/tai polttoaineen syöttölaitteille jää polttoainetta pysäytyksen yhteydessä
Vettä ruiskutetaan palavaan tai hehkuvaan polttoainekerrokseen sen sammuttamiseksi tai jäähdyttämisen jouduttamiseksi, vesikaasun muodostuminen mahdollista
Arinanalusilmapeltejä, savusolia tai tuhkasuppiloiden luukkuja avataan pysäytyksen jälkeen ennen kuin kattila on riittävästi jäähtynyt; uudelleen syttyminen, nokipalovaara
6 Huomioitavia vaaratilanteita – pölymäisen polttoaineen käyttö
6.1 Polttoaineen vastaanotto (esitetyt asiat lähinnä turpeen käyttöön liittyviä)
Ajoneuvojen jarrujen kuumeneminen, kuumat pakokaasut, kipinöinti (puuttuvat tai vialliset kipinäsuojat)
Toimitettavan polttoaineen seassa on kytypaloja, turve on liian kuivaa. Polttoaineen laadunvalvonta vastaanoton yhteydessä on puutteellista
Tupakointi vastaanottoasemalla; laitoksen oma henkilökunta, polttoainerekkojen autonkuljettajat, ulkopuoliset korjaushenkilöt
Polttoturvetta vastaanotettaessa turvepölyä leviää runsaasti vastaanottoaseman ympäristöön, pudotuskorkeus on liian suuri. Purkausasema, seulomo, murskaamo jne. ovat riittämättömästi katettuja
Pysyvästi miehitettyjä valvomo- ja sosiaalitiloja ei ole erotettu vastaanottoaseman tiloista riittävän lujarakenteisilla seinärakenteilla
Turpeen vastaanottoaseman rakennuksissa on käytetty palavia materiaaleja
Vastaanottoaseman seinät ja muut rakenteet keräävät pölyä; seinät eivät ole riittävän sileitä, rakenteiden ulkonemat eivät ole riittävän kaltevia
Vastaanottoaseman tilat ja laitteet ovat vaikeasti puhdistettavia, ei vesipesumahdollisuutta
Kaapelihyllyjä tai esimerkiksi öljyputkia on sijoitettu vastaanottorakennusten sisäpuolelle
Vastaanottoaseman ajotasot ja kulkutiet ovat liukkaita
Seulalle jäävien kappaleiden poistaminen on vaikeaa, poistamiseen ei ole varauduttu
Vastaanoton ja varastosiilon välisiä kuljetintunneleita ei ole erotettu muista tiloista paloväliseinillä
Pitkiä, suljettuja kuljetintunneleita ei ole osastoitu ja varustettu savunpoistomahdollisuudella
Turvepölyä leviää runsaasti ympäristöön vastaanottoaseman linjoja käynnistettäessä.
6.2 Käyttövarastot (turpeen varasto- ja syöttösiilot, puupölyn puskuri- ja välisäiliöt)
Puupölyä varastoidaan yhdessä muiden polttoaineiden esimerkiksi hiilen, turpeen tai karkearakeisemman puujätteen kanssa
Siilon sijoitus rakennuksen sisäpuolelle tai muiden rakennusten läheisyyteen ei täytä asetettuja vaatimuksia, siilon sisäinen sammutusjärjestelmä, inertisointi, sprinklaus, paineenkevennys, palo-osastointi
Siilojen rakennemateriaaleina on käytetty helposti syttyviä tai palokuormaa lisääviä materiaaleja
Polttoainesiiloihin on sijoitettu ylimääräisiä, muita kuin siilon käytön, valvonnan ja hoidon kannalta välttämättömiä laitteita
Polttoainepöly pääsee holvaantumaan säiliöihin, ulkonemat sisäseinissä, puutteellinen lämpöeristys
Holvaantumisen estolaitteet aiheuttavat vaarallista pölyämistä, holvaantumisen purkamiseen käytetään paineilmapuhalluksia
Säiliöihin liittyvien kuljettimien ja putkistojen liittymäkohdat ovat puutteellisesti tiivistettyjä
Pölyä pääsee kerääntymään siilojen eristeisiin
Siiloihin liittyviä kuljettimia tai putkistoja ei ole varustettu sprinkleri- tai muilla vastaavilla laitteilla
Pölysiilon paineenpurkausaukot ovat väärin mitoitettuja tai räjähdyspaineen purkautuminen tapahtuu vaarallisen suuntaan. Räjähdyspaine suuntautuu kohti kulku- tai pelastusteitä tai purkautumisalueelle on sijoitettu joitakin toimintoja (esim. työpisteitä), vaikka vain väliaikaisestikin, purkauskohtaa ja -suuntaa ei ole merkitty selkeästi siiloon ja sen ympäristöön.
6.3 Pölynerotuslaitteet (pölynerotuslaitteita käytetään lähinnä puupölyn yhteydessä)
Puupöly puhalletaan suoraan puupölysäiliöön ilman tarkoitukseen soveltuvaa, oikein mitoitettua erotinta
Erottimen ja säiliön välissä ei ole sulkusyötintä
Erotin on sijoitettu liian lähelle kulku- ja pelastusteitä tai palavia rakenteita
Erottimen ilmanpoistoaukko on liian lähellä savupiippua
Lämmityslaitteet aiheuttavat erotuslaitteiden liiallista lämpenemistä
6.4 Puupölyn kuljetinlaitteet (syöttöruuvit, kolakuljettimet, kuljetusputkistot, syöttö- ja mahdolliset paineennostopuhaltimet)
Puupölyn varsinaiseen siirtokuljetukseen käytetään jotakin muuta kuljetustapaa kuin pneumaattista kuljetusta
Ruuvikuljettimen ruuvi hankaa kaukalon seinämään
Ruuvin laakerointia ei ole toteutettu kaukalon päiden ulkopuolella
Laakereihin pääsee kerääntymään pölyä
Kolakuljettimet eivät ole rakenteeltaan teräslevykoteloituja
Kuljettimissa esiintyy osien välisestä hankauksesta johtuen vaarallista lämpenemistä
Putkistossa olevat käyrät ovat liian jyrkkiä ja tehty kulutusta heikosti kestävästä materiaalista, kuljetusputkistossa on käytetty paljon laippaliitoksia
Kuljetusputkiston etäisyys palaviin rakenneosiin on liian pieni
Kuljetusputkiston yhteyteen on vedetty sähkökaapeleita
Kuljetusputkistossa ei ole takaiskuläppää ja/tai räjähdysaukkoa, takaiskuläppä ja/tai räjähdysaukko on asennettu liian kauaksi tulipesästä
Takaiskuläppä ei sulkeudu puhaltimen pysähtyessä
Takaiskuläpän asennosta ei ole helposti näkyvää osoitusta laitoksen käyttäjälle
Kaasut purkautuvat takaiskuläpän yhteydessä olevasta räjähdysaukosta vaaralliseen suuntaan.
Kuljetusputkeen ei ole sijoitettu läpivalaistua tarkastusikkunaa polttoaineen tulon tarkkailua varten, tarkastusikkuna on sijoitettu käytön kannalta hankalaan paikkaan
Puupölyn purkaus säiliöstä on epätasaista
Puupölyn annostelu tapahtuu syöttöpuhaltimen imupuolelle
Purkauslaitteen ja ejektorin välissä ei ole asianmukaista sulkusyötintä
Pöly pääsee lämpenemään paineennostopuhaltimessa, tai puhaltimessa syntyy kipinöitä
Syöttöpuhaltimen imuputken pää on suunnattu pölyräjähdyksen kannalta vaaralliseen suuntaan
Pöly-ilmaseoksen nopeus putkistossa on liian alhainen.
6.5 Polttoturpeen siirto- ja käsittelylaitteet (kola-, hihna- ja ruuvikuljettimet, sulkusyöttimet, seulat, murskat jne.)
Pneumaattista kuljetusta käytetään jyrsinpolttoturpeen siirtoon myös muissa kohteissa kuin pölynvalmistus- ja polttolaitteissa
Kuljetusjärjestelmän komponentit on valmistettu palavista materiaaleista. Hihnakuljettimilla käytetään tavallisia hihnalaatuja, ei palamista ylläpitämättömiä ns. anti-flame tyyppisiä hihnalaatuja
Kuljettimilta, seuloilta, murskilta ja muilta laitteilta leviää ympäristöön runsaasti pölyä.
Kuljettimet, seulat jne. ovat riittämättömästi koteloituja ja puutteellisesti tiivistettyja
Hihnakuljettimien hihnanopeus tai niiden kuormausaste on liian suuri
Hihnakuljettimia ei ole varustettu asianmukaisilla kaavareilla ja hihnaharjoilla sekä riittävän tilavilla syöttö- ja purkusuppiloilla
Pölyn poisto ja poiskuljettaminen on hankalaa; kuljettimien runkorakenteet keräävät pölyä, valaistus ja työvälineet ovat puutteellisia tai niitä ei ole olemassa
Ei vesipesumahdollisuutta, vesipesu ei mahdollista talvella jne.
Kuljettimilta, seuloilta, murskilta ja muilta laitteilta joudutaan usein poistamaan tukoksia; tukosten poisto tehdään huolimattomasti, poistettu polttoaine jätetään kasoille laitteiden ympäristöön
Seulalla muodostuu hankauslämpöä
Kiilahihnavälityksiä käytetään kohteissa, joissa esiintyy runsasta pölyämistä
Laakereiden ylikuumeneminen johtuen esim. puutteellisesta voitelusta. Koteloituja laitteita, kolakuljettimia, sulkusyöttimiä jne. ei ole varustettu ulkopuolisella laakeroinnilla
Ruuvi pääsee hankaamaan ruuvikourun seinämään
Sulkusyötintä käytetään huonosti seulotulle polttoaineelle. Polttoaineen mukana tulevat vieraat esineet (kivet, kannot tms.) aiheuttavat kipinöintiä
Murskaimessa esiintyy kipinöintiä tai ylikuumenemista. Ennen murskainta ei ole raudanerotinta tai murskaimessa ei ole suunnanvaihtoautomatiikkaa, joka toimisi kappaleiden kiilautuessa telaan
Polttoturve pääsee virtaamaan ruuvikuljettimessa tai lokerosyöttimessä väärään suuntaan; kahden sulkulaitteen yhdistelmässä molemmat sulkulaitteet (venttiilit) ovat samanaikaisesti auki
Kuljettimien inertointi- tai sammutusjärjestelmä on puutteellinen tai puuttuu kokonaan
Seulaa ei ole varustettu CO-ilmaisimella kuumenemisen ja mahdollisen syttymisen varalta
Seulaa ja siihen liittyvää murskainta ei ole varustettu kipinänilmaisulla
Sulkulaitetta, jossa sulkulaitteen toisella puolella voi olla korkea lämpötila, ei ole varustettu jäähdytyksellä tai vesisumutusmahdollisuudella
Kuljetusjärjestelmän pysäytyksessä kuljettimiin, suppiloihin jne. jää polttoturvetta
Kuljetusjärjestelmässä ei ole varatyhjennysmahdollisuutta
Seulonnan tai murskauksen ruuhkia puretaan laitteen käydessä
Syöttötorvet on eristetty puutteellisesti (palovamman vaara)
Turvepölyä pääsee esim. vesipesun yhteydessä syöttötorven eristyksiin (puutteellinen pintalevytyksen tiiviys).
6.6 Polttolaitteet, tulipesä, savukaasukanavat:
Pölyn syttymistä ja palamista ei ole varmistettu
Poltin on sijoitettu tulipesän seinälle sellaiseen kohtaan, missä tulipesän lämpötila on (ajoittain) riittämätön pölysuihkun välittömälle syttymiselle
Poltin sijoitettu väärin, kuuma pölyliekki pääsee vahingoittamaan muurauksia tai arinaa
Pöly ei ehdi palamaan täydellisesti ennen ensimmäisiä konvektiopintoja, savukaasujen lämpötila tulipesän loppuosassa ylittää tuhkan pehmenemispisteen
Tulipesää ei ole varustettu tarkoituksenmukaisesti sijoitetuilla ja suunnatuilla tarkkailuluukuilla
Palamisilman määrä on liian pieni tai palamisilma ja pöly eivät sekoitu riittävän tehokkaasti
Pölyilmaseoksen nopeus polttimella on liian pieni, takatuli
Pölyn syöttö polttimille ei lakkaa, vaikka tukiliekki/pölyliekki sammuu.
Polttoaineen palakoko (isot kappaleet sekä kuiva ja hieno pöly – palamaton materiaali, palaminen syöttöpöydällä)
Polttoaineen kuiva-aineen ja lämpöarvon vaihtelu (erittäin korkea lämpöarvo, rengasmurske, kyllästetty puu vrt. jäinen polttoaine)
Polttoaineen tuhkapitoisuus, alumiini (ilmakanaviston tukkeumat)
Muut jätejakeet (mm. CCA-puu – palaminen/palamisprofiili&korroosio)
Lietteet – polttoaineen läpäisy palamattomana, epätäydellinen palaminen – korkeat CO-pitoisuudet
Polttoaineen syöttö- ja polttolaitteet:
Hienojakoinen polttoaine syöttölaitteiston ympäristössä (mm. palokuorma, biologiset vaarat)
Ilmalukon toimivuus, ns. takatulivaara
Polttoaineen jumittumiset syöttölaitteistoon, palamisen katkonaisuus
Kuumien savukaasujen tai kipinöiden pääsyä (tyhjiin) syöttötorviin ei ole estetty riittävästi; esimerkiksi torveen sijoitetulla yhdellä, mieluimmin kahdella peräkkäisellä vastapainopellillä tai sulkusyöttimellä
Savukaasupuhaltimen pysähtyminen ajon aikana, veto väärään suuntaan
Takatulisuoja on riittämätön – Kipinöitä / liekki pääsee jätebunkkerin puolelle
Polttoainetorvia tai -suppiloa ei ole suunniteltu ns. takatulisuojalla
Polttoainetorvia ei ole varustettu täytöksen ilmaisevilla mittaus- /hälytyslaitteilla.
Polttoainetorvia ei ole varustettu riittävällä sammutuslaitteistolla.
Kunnossapitotyöt (riittämätön pesu hitsaus- tai muille kipinöille, ei riittävää sammutusvalmiutta tai palovartiointia):
jätteen käsittely (palavat ja räjähtävät olosuhteet)
syöttölaitteet (esim. syöttösuppilo).
7.2 Pohjakuona ja kattilatuhka
Pohjatuhka:
Syöttösuppilon jumitilanne, kuuman (myös kytevän sekä sulassa muodossa olevan) kuona-polttoaineseoksen poisto. Kytevän polttoaineen räjähdysmäinen palo luukkujen aukaisussa (happipitoinen ilma).
Tulipesä on liian pieni täydellisen palamisen aikaansaamiseksi tai palamiskaasujen jäähdyttämiseksi (lentotuhkan kulkeutuminen sulassa muodossa jälkitulipinnoille, savukaasun ominaisuudet).
Tuhkan kertyminen lämpöpinnoille, lämpötilaprofiilin siirtyminen – korrodoivat olosuhteet, mahdollinen voimakas korroosio ja riski lämpöpinnan räjähdysmäiseen vuotoon
Sintraantumis ja aggloremoitusmisriskit.
7.3 Polttolaitteet (kiinteät ja liikkuvat arinat)
Arinan kunto, vesijäähdytyksen vuodot, höyrystyminen (erityisen nopea höyrystiminen, savukaasumäärät)
Palamislämpötila ei ole riittävä jatkuvan liekin varmistamiseksi, polttolaitteen ja/tai tulipesän huono rakenne tms.
Jätteenpolton vaatima lämpötila, tukipolttoaineella loppuun poltto seisakkiin
Arinalle ja/tai polttoaineen syöttölaitteille jää polttoainetta pysäytyksessä
Korrodoivat olosuhteet, keittoputkistoa suojaavan rakenteen kunto (muuraukset, pinnoitukset), räjähdysmäinen höyrystyminen ja tulipesäräjähdyksen vaara.
Kuumakloorikorroosioriskin havaitseminen
Raskasmetallikorroosioriskin havaitseminen
Polttolaitteessa poltetaan liian matalalämpöarvoista polttoainetta ja/tai palamisilma tuodaan virheellisesti; palamiskelpoisten kaasujen syntyminen mahdollista, räjähdysvaara
Polttolaitteessa poltetaan liian korkealämpöarvoista polttoainetta, arinan vahingoittuminen
Arinan kaltevuus polttoaineelle sopimaton – vyöryminen, liian nopea läpäisy, palamaton polttoaine –kuonasammuttimen käyttöongelmat, kuonan TOC-pitoisuus
Tulipesän tarkastusluukkujen tai -kameroiden sijoittelu väärin; palamisen valvonta ei mahdollista seurata
Toisioilmaa käytetään liian vähän tai se ei sekoitu riittävän hyvin polttokaasuihin, sekoittuminen tapahtuu liian kaukana palavasta polttoainekerroksesta; häiriöitä kaasuuntuneen polttoaineen palamisessa, kaasuräjähdyksen mahdollisuus
Palamisilman virtausvastus arinassa polttoainekerroksessa syntyvään virtausvastukseen verrattuna on liian pieni: primääri-ilma ei läpäise polttoainepatjaa – polttoaine palamattomana läpi kuonasammuttimille
Tukipolttoaineen syötössä tai palamisessa esiintyy katkoja (poltonvalvonta SFS-EN 12952-8)
Polttoainetta yritetään sytyttää ilman tukiliekkiä, vaikka polttoaineen laatu edellyttäisi sitä (poltonvalvonta SFS-EN 12952-8)
Polttoainetta on kostutettu palavilla nesteillä syttymisen varmistamiseksi – liian nopea tai räjähdysmäinen palaminen tulipesässä
Tulipesään syötetään käynnistyksen yhteydessä karkean polttoaineen mukana pölyävää polttoainetta ennen kuin normaali ajotilanne on saavutettu ja inerttikaasuja on kehittynyt riittävästi
Polttoaineen syöttö- ja polttolaitteiden toimintaa ei tarkkailla riittävästi
Toisioilmaa pienennetään liian nopeasti ensiöilman pienentämisen jälkeen; syntyvien palamiskelpoisten kaasujen palaminen epävarmaa – ilma-/polttoainesuhteen valvonta
Arinapoltto haittaa puuttuvan tai liian vähäisen toisioilman vuoksi toisen samanaikaisesti poltettavan polttoaineen palamista riistämällä polttimien palamisilmasta happea
Kuonan sammuttimiin kerääntyvää palamiskelpoista polttoainetta ei poisteta riittävän usein (kuonasammuttimien pyörinnän valvonta)
Arina kolataan tai tuhkasuppilot tyhjennetään käynnin aikana (tuhkan poisto käsin) ja työn suorittamiseen ei riittävää varautumista (työohjeet, käyttötoimet, suojavaatetus).
8 Huomioitavia vaaratilanteita – Sähkökattilat
8.1 Sähköturvallisuus
Muuntajan suojarakenteiden tulee olla riittävät
Syöttökaapeleiden taivutussäteiden tulee noudattaa valmistajan ohjeita.
Korkeajännitepuolen kytkentäpisteiden suojaaminen
Tilojen ovissa on suositeltava olla turvalukot niin, että oven avaaminen ajaa kattilan alas turvatoimintona
Kojeiston suojareleiden laukaisumäärittelyt tulee tehdä huolella/asiantuntijan toimesta.
Elektrodien ja painerungon asianmukaiset erotukset
Kattila tulee maadoittaa asianmukaisesti
Kattilan päämuuntajatyypin sopivuus kohdemaan sähköverkkoon tulee tarkistaa.
8.2 Painerunko
Ylösajossa kattilan lämpötila nousee liian nopeasti
