Kohderyhmä: Toiminnanharjoittajat, tuotantolaitoksen turvallisesta toiminnasta vastaavat henkilöt ja käytönvalvojat.
Kuvaus: Oppaan tavoite on antaa turva-automaatiojärjestelmän suunnittelusta, toteutuksesta ja ylläpidosta tietoa, jonka avulla järjestelmän luotettavuutta ja kykyä vastata tarvittavaan riskinvähennystarpeeseen voidaan arvioida.
Julkaisupäivämäärä: 22.12.2021
Tuotantolaitoksissa, niiden prosesseissa ja laitteissa on erilaisia riskejä prosessiolosuhteiden, kemikaalien vaaraominaisuuksien ja määrien mukaan. Tässä oppaassa keskitytään erityisesti sellaisiin vakaviin onnettomuusriskeihin, joita on tarkoitus hallita erillisen turva-automaatiojärjestelmän avulla. Turva-automaatio on yksi keino suojautua onnettomuuksilta ja täten yksi tärkeä osa-alue tuotantolaitoksen onnettomuusriskien hallinnassa. Kun prosessissa sattuu vaarallinen tapahtuma, meidän on tiedettävä, että sen hallitsemiseksi tehty automaatiojärjestelmä pystyy luotettavasti saattamaan prosessin takaisin turvalliseen tilaan tai pysymään siinä. Oppaan tavoite on antaa turva-automaatiojärjestelmän suunnittelusta, toteutuksesta ja ylläpidosta sellaista tietoa, jonka avulla järjestelmän luotettavuutta ja kykyä vastata tarvittavaan riskinvähennystarpeeseen voidaan arvioida.
Opas on ensisijaisesti suunnattu toiminnanharjoittajille, tuotantolaitoksen turvallisesta toiminnasta vastaaville henkilöille ja käytönvalvojille. Oppaan eri osissa voi olla hyödyllistä tietoa myös erilaisille asiantuntijoille, kuten kunnossapitohenkilöille, turvallisuusasiantuntijoille, automaatioinsinööreille ja -suunnittelijoille.
Turva-automaatiolla tarkoitetaan sellaisia turvatoimintoja, jotka on tarkoitus suorittaa käyttöautomaatiosta (ohjausjärjestelmästä) erillisessä turva-automaatiojärjestelmässä. Teollisuusprosessin ohjausjärjestelmässä voi olla myös erilaisia automaattisia hälytyksiä, lukituksia tai suojaustoimintoja. Näitä toimintoja ei kuitenkaan katsota turva-automaatioksi, mutta ne ovat osa prosessin riskien hallintaa ja yhtä lailla myös niiden toiminnasta on huolehdittava.
Oppaassa käsitellään teollisten prosessien, kuten energialaitosten, kemian- ja sellutehtaiden, turva-automaatiota, jolla on tarkoitus hallita lämpötilasta, paineesta tai kemikaaleista aiheutuvia vaaroja. Oppaassa selostetaan turva-automaation eri elinkaaren vaiheisiin liittyviä vaatimuksia ja toimenpiteitä, joilla pyritään varmistamaan turva-automaation luotettava toiminta aina riskien arvioinnista suunnitteluun ja toteutukseen sekä ylläpitotoimiin ja lopulta käytöstä poistoon. Oppaassa kerrotaan kemikaaliturvallisuus- ja painelaitesäädösten turva-automaatiolle asettamista vaatimuksista sekä lyhyesti myös automaation kyberturvallisuudesta.
Prosessiteollisuuden turva-automaatiolle on luotu kansainvälinen standardisarja SFS-EN / IEC 61511 (osat 1–3), jossa on kattavasti kerrottu, miten toiminnallinen turvallisuus saavutetaan. Standardissa ei määritetä yksityiskohtaisia turva-automaatiojärjestelmän suunnittelu- ja toteutusohjeita, vaan se on eräänlainen kehys, jonka puitteissa turva-automaation eri elinkaaren vaiheessa tulee toimia. Standardin noudattamisen yksityiskohtaiset toteutustavat määritetään projekti- ja laitoskohtaisesti. Tässä oppaassa viitataan standardiin IEC 61511 ja sen ”kattostandardiin” SFS-EN / IEC 61508, mutta oppaassa ei määritetä tai selosteta standardien vaatimuksia.
Vaatimusten tunteminen on tärkeää, vaikka turva-automaatiojärjestelmä hankittaisiin osana kokonaisvaltaista laitostoimitusta (ns. avaimet käteen, EPC-toimitukset). Hankittu laitteisto on aikanaan siirrettävä loppukäyttäjälle, jonka on huolehdittava turva-automaation luotettavuudesta.
Tämä opas korvaa Tukesin aikaisemmin vuonna 2007 julkaiseman oppaan ”Turva-automaatio prosessiteollisuudessa”. Uudessa oppaassa on aikaisempaan verrattuna pyritty enemmän kuvaamaan prosessilaitoksen turva-automaation elinkaaren eri vaiheisiin liittyviä toimenpiteitä ja vaatimuksia.
2 Oppaassa käytetyt lyhenteet ja termit
Käyttö- ja perusautomaatiojärjestelmä (BPCS, basic process control system) tarkoittaa järjestelmää, jonka ensisijaisena tarkoituksena on pitää prosessi normaalilla toiminta-alueella. Käyttö- ja perusautomaatiojärjestelmässä voidaan toteuttaa prosessin suojaustoimintoja, kuten lukituksia tai hälytyksiä, mutta siinä ei voida toteuttaa turvatoimintoja, joiden eheystaso on 1 tai suurempi.
Suojakerros kuvaa prosessiin luotuja varautumisia tai riskinhallintakeinoja. Samalle vaaralle tai riskille on yleensä määritelty useampi suojakerros. Turva-automaatio on yksi esimerkki suojakerroksesta.
Turvatoiminto eli turva-automaatiotoiminto (SIF, safety instrumented function) on turva-automaatiojärjestelmässä toteuttava toiminto tai suojaus, jolla on tarkoitus saavuttaa turvallinen tila tai eh-käistä tunnistettu vaarallinen tapahtuma.
Turva-automaatiojärjestelmä tai turva-automaatio (TAJ, SIS, safety instrumented system) tarkoittaa automaatiojärjestelmää, jota käytetään toteuttamaan yksi tai useampi turvatoiminto. Turva-automaatiojärjestelmään kuuluvat turvatoiminnoille määritellyt mittalaitteet, logiikkaosat ja toimilaitteet, myös kaikki liitännät ja virtalähteet.
Turvallisuuden eheystaso (TET, SIL, safety integrity level) kuvaa turvatoiminnolle asetettua vaatimus- ja luotettavuustasoa. Se määritetään koko turvatoiminnolle, ei yksittäisille laitteille. Tasoja on yhdestä neljään (1–4), joista neljäs on vaativin.
Riskinvähennyskyky (RRF, Risk Reduction Factor) kuvaa suojakerroksen suorituskykyä. Riskinvähennyskyky on suoraan verrannollinen eheystasoon.
Turvatoiminnon vikaantumistodennäköisyys (PFDavg, the average probability of failure on demand) on laskennallinen arvo sille, että turvatoiminto epäonnistuu. Jos turvatoiminnon esiintymistiheyden arvioidaan olevan suurempi kuin kerran vuodessa, käytetään arvoa PFH (vikaantumistodennäköisyys tunnissa, probability of failure on demand per hour).
Turva-automaation turvallisuusvaatimukset (SRS, safety requirements specification) tarkoittavat jokaisesta turvatoiminnosta tehtyä määrittelyä tai erittelyä, joka sisältää tarkat vaatimukset turvatoiminnosta ja siitä, miten haluttu turvatoiminnon eheystaso saavutetaan. Näiden tietojen avulla turva-automaatiojärjestelmä voidaan suunnitella ja varmistaa sen vaatimustenmukaisuus.
Turva-automaatiojärjestelmän elinkaari sisältää turva-automaation toteutukseen liittyvät toimenpiteet, jotka tapahtuvat ajanjaksona, joka alkaa projektin konseptivaiheesta ja päättyy, kun mikään turvatoiminnoista ei ole enää käytettävissä.
Turvallisuussuunnitelma on koonti koko elinkaaren aikana suoritettavista toimenpiteistä, joilla toiminnallinen turvallisuus varmistetaan. Turvallisuussuunnitelmaan on määriteltävä eri toimenpiteiden vastuuhenkilöt ja dokumentointivaatimukset. Sitä on päivitettävä koko elinkaaren ajan.
Toiminnallisen turvallisuuden arviointi (FSA, functional safety assessment) on arviointiprosessi, jossa pyritään selvittämään, onko turva-automaation toteutuksessa noudatettu määriteltyjä toimintatapoja ja täyttääkö se asetetut vaatimukset. Arviointia varten tarvitaan turva-automaatiota koskeva dokumentaatio ja siihen yleisesti sisältyy myös havainnointia paikan päällä.
Satunnainen vikaantuminen tarkoittaa vikaantumista, joka liittyy itse laitteeseen ja voi tapahtua aikaan nähden täysin satunnaisesti. Satunnaista vikaa ei täysin voida poistaa, mutta sen todennäköisyyteen voidaan vaikuttaa (SFS-EN 61511-1 kohta 3.2.59).
Systemaattinen vikaantuminen tarkoittaa vikaantumista, joka tapahtuu heti, jos olosuhteet tai mahdollista-vat tekijät ovat olemassa. Systemaattinen vika voidaan poistaa, jos se tunnistetaan (SFS-EN 61511-1 kohta 3.2.81).
Yhteisvikaantuminen tarkoittaa kahden tai useamman laitteen tai komponentin samanaikaista vikaantumista samasta syystä.
Vikasietoisuus (HFT, hardware fault tolerance) kuvaa turvatoiminnon kykyä toimia satunnaisvikojen ilmetessä.
Lepovirtaperiaate (fail-safe) on menetelmä hallita järjestelmän vikaantumista. Virran katketessa järjestelmä siirtyy turvalliseen tilaan.
Tehdashyväksyntätesti (FAT, factory acceptance testing) tarkoittaa yleensä järjestelmätoimittajan tiloissa suoritettavaa testiä, jossa todetaan järjestelmän vaatimustenmukaisuus ennen toimitusta asennuspaikalle.
Laitoshyväksyntätesti (SAT, site acceptance testing) on tuotantolaitoksen käyttöönoton yhteydessä tehtävä hyväksyntätesti (SAT-testi), kun laiteasennukset on saatu valmiiksi. Testillä varmistetaan, että turvatoiminnot toteutuvat kaikilta osin määritellyllä tavalla. Testiä kutsutaan myös turva-automaation kelpuutukseksi.
3 Turva-automaatio osana onnettomuuksien ehkäisyä
Tuotantolaitoksella on tehtävä kaikki tarpeellinen onnettomuuksien ehkäisemiseksi. Turva-automaatio ei kuitenkaan ole ensisijainen riskinhallintakeino, vaan sitä käytetään normaalisti vasta, kun muut keinot on käytetty. Hyvin tehty riskien arviointi yhdistettynä prosessi- ja automaatiosuunnitteluun mahdollistaa tehokkaan riskien hallinnan. Säädösten päävaatimus turva-automaation osalta on, että turva-automaation luotettavasta toiminnasta huolehditaan sen koko elinkaaren ajan.
Prosessiteollisuuden turva-automaatiota koskevat erityisesti seuraavat säädöskohdat:
Kemikaaliturvallisuuslaki 390/2005 10 §: onnettomuuksien ehkäisemiseksi on tehtävä kaikki tarpeelliset toimet ja ne on toteutettava suunnitelmallisella ja järjestelmällisellä tavalla.
Painelaitelaki 1144/2016 5 §: painelaite on suunniteltava ja valmistettava, sitä on hoidettava ja käytettävä ja se on tarkastettava niin, ettei se vaaranna kenenkään terveyttä, turvallisuutta eikä omaisuutta.
Valtioneuvoston asetus vaarallisten kemikaalien teollisen käsittelyn ja varastoinnin turvallisuusvaatimuksista 856/2012 50 § (ns. automaatiopykälä) edellyttää, että prosessissa on järjestelmä, jolla vaaratilanne voidaan havaita riittävän ajoissa sekä estää tai rajoittaa tapahtuman seuraukset mahdollisimman vähäisiksi. Pykälässä mainitaan myös turva-automaatio yhtenä turvajärjestelmänä, mutta siinä ei suoraan vaadita sen käyttämistä, jos onnettomuuksien seuraukset voidaan estää tai rajoittaa muilla keinoilla. Turva-automaation suunnittelussa on huomioitava riippumattomuus käyttöautomaatiosta sekä turvatoimintojen luotettavuus. Lisäksi pykälässä vaaditaan, että turva-automaatio tai muut turvajärjestelmät ovat tarvittaessa käytettävissä myös onnettomuustilanteessa. Voi siis olla tarve suojata laitteita tai huomioida onnettomuusvaikutukset järjestelmän sijoituksessa.
Toiminnanharjoittaja voi turva-automaation osalta osoittaa säädösvaatimusten toteutumisen noudattamalla standardissa IEC 61511-1 esitettyjä kuhunkin elinkaaren vaiheeseen sidottuja vaatimuksia. Elinkaarimallin avulla turva-automaatioon liittyviä vaatimuksia ja toimenpiteitä voidaan käsitellä järjestelmällisellä tavalla.
Seuraava kuva antaa yleiskuvan turva-automaation eri elinkaaren vaiheisiin liittyvistä toimenpiteistä ja vaatimuksista. Kaikki elinkaaren vaiheet on toteutettava suunnitellusti määritettyjen kriteerien mukaisesti pätevien ja nimettyjen henkilöiden tai tahojen tekemänä. Esitetty malli on yksinkertaistettu standardissa esitetystä.
Elinkaarimalli ja sen vaiheisiin liittyvät vaatimukset sekä kussakin vaiheessa tavoitellut lopputulokset
Elinkaarivaihe 0. Konsepti, laitoksen suunnittelu ja hankinta
Olennaiset vaatimukset ja kuvaus
Turva-automaation suunnittelu on yhdistettävä laitoksen muun suunnittelun kanssa.Säädökset, standardit ja muut tekniset spesifikaatiot on otettava huomioon.
Merkittävät vaarat tulee tunnistaa heti suunnittelun alkuvaiheessa. Turva-automaation tarpeesta voidaan päättää vasta, kun perussuunnitteluvaihe on edennyt riittävän pitkälle ja riskeihin varautumisesta on päätetty. Riskien hallinta alkaa huolellisesta suunnittelusta (luontainen turvallisuus).
Toiminnanharjoittajan (tilaajan) on määriteltävä turva-automaation eri elinkaaren vaiheeseen liittyvät vaatimukset ja luotava järjestelmälliset toimintatavat. Ne on myös viestittävä tehokkaasti hankkeen osapuolille (turvallisuussuunnitelma = suunnitelma laitoksen eri elinkaaren vaiheen vaatimuksista ja toimintatavoista).
Elinkaarimallin noudattaminen on ehdoton edellytys luotettavan ja tehokkaan turva-automaatiojärjestelmän toteutukselle.
Luvitustarpeen selvittäminen ja lupahakemuksen tekeminen vaarallisten kemikaalien käsittelyn ja varastoinnin osalta.
Tavoite tai lopputulos
Laitoksen sijoituspaikka, lay-out, virtaus- ja PI-kaaviot, laite- ja toimintakuvaukset
Turva-automaation turvallisuussuunnitelma
Toiminnallisen turvallisuuden arvioijan valinta
Hankinta- ja kumppanuussopimukset
Lupahakemus Tukesille kemikaalilaitoksista
Painelaitteeseen liittyviä vaatimuksia
Turva-automaatiojärjestelmän toimittajalla on oltava laadunhallintajärjestelmä ja toimittajan on tunnettava ja sovellettava perusstandardin IEC 61508 vaatimuksia
Riippumaton kolmas osapuoli tekee toiminnallisen turvallisuuden arvioinnin; arviointi tulee aloittaa elinkaaren alusta lähtien
Painelaitteita suojaavan turva-automaation osalta arvioinnin tekee ilmoitettu laitos
Elinkaarivaihe 1. Vaarojen tunnistaminen ja riskien arviointi
Olennaiset vaatimukset ja kuvaus
Riskianalyysin avulla on selvitettävä jokaisen onnettomuusskenaarion (vaarallisen tapahtuman) todennäköisyys ja seuraukset.
Prosessihäiriöiden tunnistamiseen ja riskien arviointiin on suositeltavinta käyttää poikkeamatarkastelua (HAZOP) tai muuta systemaattista riskinarviointimenetelmää.
Mikäli riskin suuruus ei ole hyväksyttävällä tasolla, määritetään ko. riskin hallitsemiseksi riskinvähennyskeinot.
Riskien arvioinnissa on tunnistettava myös mahdolliset haavoittuvuudet verkon kautta tai paikallisesti tapahtuville hyökkäyksille ja arvioitava niiden merkitys onnettomuuksien ehkäisyn kannalta (kyberturvallisuus).
Turva-automaatiossa toteutettavat turva-toiminnot on tunnistettu
Painelaitteeseen liittyviä vaatimuksia
Painelaitteiden ja laitekokonaisuuden riskinarviointi (ks. PED:n soveltamisohje H-04, ISO/IEC Guide 51 ja PSK 4917)
Riskinarviointi tehdään yhteistyössä toiminnanharjoittajan ja valmistajan kanssa
Painelaitteen tai laitekokonaisuuden valmistaja vastaa riskinarvioinnista
Elinkaarivaihe 2. Riskinvähennystoimenpiteiden kohdentaminen ja eheystaso
Olennaiset vaatimukset ja kuvaus
Riskianalyysin jälkeen on päätettävä, mitä skenaarioita (vakavimmat tai ne, joihin liittyy automaatiotoimintoja) on tarkasteltava tarkemmin, jotta voidaan selvittää niiden hallitsemiseksi suunniteltujen suojakerrosten riskinvähennyskyky ja riippumattomuus toisistaan esim. LOPA-analyysillä.
Riskin pienentäminen enemmän kuin kymmenkertaisesti edellyttää turva-automaatiota.
Suojakerrosten tulee olla riippumattomia toisistaan eivätkä ne saa vikaantua samasta syystä (yhteisvikaantuminen).
Tavoite tai lopputulos
Onnettomuusskenaarioon liittyvät suojakerrokset on määritelty ja niiden riippumattomuus on osoitettu (esim. LOPA-raportti)
Kunkin turvatoiminnon riskinvähennystarve ja eheystaso on määritetty
Turvatoiminnon kuvaus (mittaus, syy-seuraus/logiikan kuvaus, toiminto) ja kriteerit onnistuneelle toiminnalle. Turvatoiminnon määrittelyyn ja turvallisuusvaatimuksiin liittyy esim. koestusväli, lepovirtaperiaate, vasteajat, erilaiset poikkeavat tilanteet (alas-/ylösajot), ympäristö-olosuhteet. Katso tarkemmin IEC 61511-1 kohta 10.3.2.
Jokainen turvatoiminto on kuvattava yksityiskohtaisesti ja se on voitava kohdentaa tunnistettuun onnettomuusskenaarioon tai häiriötapahtumaan.
Tavoite tai lopputulos
Turvatoiminnon tarkat vaatimukset ja kuvaus (suojaus-/lukituskaavio, tekninen spesifikaatio)
Eheystason todennus
vikaantumistaajuuslaskelmat, PFDavg- tai PHF-arvot
arkkitehtuurivaatimukset (HFT)
systemaattinen kyvykkyys (SC)
Elinkaarivaihe 4. Suunnittelu ja toteutus
Olennaiset vaatimukset ja kuvaus
Turva-automaatio suunnitellaan määrittelyvaiheen vaatimusten mukaisesti. Eri laitteet ja ohjelmistot yhdistetään turva-automaatiojärjestelmäksi.
Turvatoiminnon on oltava riippumaton käyttöautomaation suojaustoiminnosta ja muista saman skenaarion suojakerroksista. Järjestelmätasolla yhteisvikaantumisia voivat aiheuttaa esim.
Laitteisiin kohdistuvat ulkoiset tekijät, kuten lämpötila, likaantuminen, korroosio
Yhteiset komponentit, materiaalit, käyttöhyödykkeet, laitteiden sijoituspaikat ja muut suunnitteluvirheet.
Huomioi kyberturvallisuus.
Suunnittele käyttö- ja kunnossapitokäytännöt ja ota niissä huomioon inhimillisen virheen mahdollisuus.
Tavoite tai lopputulos
Laitevalinnat laitesertifikaattien (suositeltava) tai aikaisemman käytön perusteella →laitespesifikaatiot, -tiedot
Mahdollinen lisäanalyysi, että yhteisvikaantuminen on luotettavasti estetty
FAT-koestusraportti
Testaussuunnitelmat sekä käyttö- ja kunnossapito-ohjeet
Painelaitteeseen liittyviä vaatimuksia
Varolaitteille on laadittu yhdenmukaistettuja standardeja, esim. SFS-EN 764-7, SFS-EN 12952-11 ja SFS-EN 12953-9
Ilmoitettu laitos arvioi turva-automaation vaatimustenmukaisuuden valmistajan valitseman moduulin mukaisesti (yleensä moduuli G)
Elinkaarivaihe 5. Asennus, testaaminen ja käyttöönotto
Olennaiset vaatimukset ja kuvaus
Laitteet asennetaan paikalleen suunnitellusti varmistaen, että kaikki laitteet on kytketty oikein, niissä ei ole vaurioita ja ne ovat toiminnassa. Laitteisto voidaan kelpuuttaa eli suorittaa SAT-testit.
TAJ:n arvioinnin jälkeen turva-automaatiojärjestelmä CE-merkitään. Mikäli TAJ on osa laitekokonaisuutta, CE-merkintää ei erikseen edellytetä.
Valmistajalla on velvollisuus osoittaa, että TAJ ja/tai laitekokonaisuus täyttävät painelaitesäädösten (PED) turvallisuusvaatimukset
Rekisteröitävän painelaitteen 1-määräaikaistarkastuksessa hyväksytty tarkastuslaitos varmistaa, että CE-merkitty turva-automaatio on asianmukainen ja arvioitu
Elinkaarivaihe 6. Käyttö ja ylläpito
Olennaiset vaatimukset ja kuvaus
Operaattoreiden on ymmärrettävä, miten turvatoiminto toimii ja millaisia vaaroja varten se on suunniteltu.
Käyttövaiheessa on ylläpidettävä turvatoimintojen eheystaso oikeilla operointikäytänteillä sekä säännöllisillä testauksilla ja tarkastuksilla.
Turva-automaatiojärjestelmään tehtävien korjausten jälkeen turvatoiminnot on aina testattava.
Turva-automaation toimintaa seurataan ja mitataan (ennakoivat hälytykset, aktivoitumiset, viat, testaukset).
Tavoite tai lopputulos
Ohjeet hälytys-, vika- ja ohitustilanteissa
Määräaikaistestausraportit ja kunnossapitodokumentaatio
Prosessiturvallisuusmittarit ja havainnot turva-automaation toiminnasta
Painelaitteeseen liittyviä vaatimuksia
Rekisteröitävään painelaitteeseen liittyvän turva-automaation (varolaitteen) tarkastukset ja asianmukaisuus todetaan määräaikaistarkastusten yhteydessä
Elinkaarivaihe 7. Muutosten hallinta
Olennaiset vaatimukset ja kuvaus
Muutoksen hallinnalla varmistetaan, että muutoksen vaikutukset turva-automaation toimintaan ja hallittavaan riskiin voidaan arvioida.
Elinkaarivaiheissa on palattava taaksepäin aina siihen saakka, minne muutos vaikuttaa eli yleensä aina riskien arviointiin asti.
Muutoksen hallintaa tarvitaan esim. turvatoimintoa muutettaessa, laitetyypin vaihtuessa, lukitusarvojen, testaustapojen ja niiden aikataulujen muutoksissa tai prosessiolosuhteiden muuttuessa.
Tavoite tai lopputulos
Muutoksenhallintamenettely
Muutoksenhallintalomakkeet ja dokumentaation päivittäminen
Mahdolliset arvioinnit tai sisäiset auditoinnit muutoksen hallinnan noudattamisesta
Painelaitteeseen liittyviä vaatimuksia
Painelaitteen muutoksessa on noudatettava painelaitesäädösten mukaisia muutosmenettelyjä ja kokonaan uusitun osalta asianmukaista moduulia. Muutoksesta on oltava yhteydessä tarkastuslaitokseen.
Muutosten tarkastuksen tekee tarkastuslaitoksen automaatioasiantuntija
Tarkastuslaitos tarkastaa, että turva-automaation liittämisen laitoskohtainen toteutus on asianmukainen
Elinkaarivaihe 8. Käytöstä poisto
Olennaiset vaatimukset ja kuvaus
Käytöstä poiston vaikutukset on arvioitava.
Jäljelle jäävä turva-automaation toiminnallisuus on varmistettava.
Tavoite tai lopputulos
Muutoksen hallinta
Testauspöytäkirjat
4 Turvallisuusjohtamisjärjestelmä ja turva-automaatio
Turva-automaatio on huomioitava osana tuotantolaitoksen turvallisuusjohtamisjärjestelmää. Sille on määriteltävä selkeät ja ymmärrettävät turvallisuusvaatimukset sekä luotava toimintatavat, joilla osoitetaan turvallisuusvaatimusten toteutuminen elinkaaren aikana. Näin on toimittava, koska vakavat onnettomuudet eivät yleensä ole johtuneet yksittäisestä laiteviasta, vaan onnettomuuden taustalla on ollut useampia tekijöitä, kuten puutteita suunnittelussa, kunnossapidossa ja operointitoimenpiteissä. Järjestelmällisillä toimintatavoilla ehkäistään muuten piiloon jäävien tai tunnistamattomien virheiden tai puutteiden syntymistä. Hyvin oleellista on huomioida turva-automaatio osana tuotantolaitokselle luotuja toimintatapoja.
Dokumentointi
Standardissa IEC 61511-1 turva-automaation eri elinkaaren vaiheisiin liittyvien toimenpiteiden ja niiden tuotokset kokoavasta dokumentista käytetään nimitystä ”turvallisuussuunnitelma”. Sen tarkoitus on helpottaa asiakirjojen hallintaa ja antaa yleiskuva vaadittavista toimenpiteistä. Turvallisuussuunnitelmaa on päivitettävä elinkaaren edetessä, kun toimenpiteet etenevät ja asiakirjoja valmistuu. Vaarallisten kemikaalien tuotantolaitoksen on kuvattava lupahakemuksessaan laitoksen toteutusperiaatteet. Turvallisuussuunnitelma on osa tätä kuvausta.
Esimerkki turvallisuussuunnitelman sisällöstä taulukkomuodossa.
Elinkaaren vaihe, toimenpide
Tavoite
Viite suunnitelman kohtaan
Lähtötiedot
Tuotos
Vastuuhenkilö tai -taho
Tarvittavat työkalut tai menetelmät
Tavoiteaikataulu
Dokumentointi on välttämätöntä, jotta tuotantoprosessiin luotujen turvatoimintojen eheys voidaan todentaa (verifioida) eli varmistaa, että kukin elinkaaren vaihe on tehty oikein ennen siirtymistä seuraavaan.
Dokumentointi on tärkeää myös projektinhallinnan kannalta, koska turva-automaatioprojektit voivat olla laajoja useita toimijoita sisällään pitäviä. Tiedonhallinta auttaa eri osapuolia ymmärtämään tehtävänsä ja tietojenvaihto helpottuu. Dokumentointia ja tiedonhallintaa helpottavat esim. sähköiset palvelinhakemistot, asiakirjanhallintajärjestelmät tai digitaaliset mallit. Dokumentoinnin eri versioiden (revisiointi) on oltava tunnistettavissa.
Henkilöstön tehtävät ja vastuualueet
Turva-automaation toteuttaminen ja ylläpito vaativat toiminnanharjoittajan eri organisaatioiden sekä ulkopuolisten palvelu- ja laitetoimittajien välistä koordinointia. Jokaisen turva-automaation kanssa tekemisissä olevan henkilön on tiedettävä, mistä on kysymys. Onnettomuuksien ehkäisyn näkökulmasta on myös tärkeää, että turva-automaation kanssa tekemisissä olevat henkilöt tietävät, minkälaisen onnettomuusvaaran ehkäisemiseksi turvatoiminto on tehty.
Henkilöiden tai tehtävien osaamisvaatimukset on määriteltävä. Turva-automaatiojärjestelmällä tulee olla nimetyt vastuuhenkilöt, jotka huolehtivat sen elinkaaren mittaisesta ylläpidosta. Operaattoreilla on oltava ohjeet kyseisen turvatoiminnon aktivoituessa (prosessin häiriötilanteessa) sekä turvatoimintojen vika- ja poikkeustilanteissa.
Toiminnallisen turvallisuuden arvioiminen
Toiminnanharjoittajan on arvioitava, ovatko eri elinkaaren vaiheissa määritellyt toimenpiteet tehty hyväksyttävällä tavalla ja saavuttaako turva-automaatio vaaditun eheystason. Tarkastus- tai testausraportit eivät ole riittävä osoitus turva-automaation luotettavuudesta tai vaatimustenmukaisuudesta, vaan arvioinnissa on huomioitava kaikki elinkaaren vaiheet kokonaisuudessaan. Arviointi on aloitettava heti elinkaaren alusta eli riskien arvioinnista lähtien. Mahdollisimman aikaisin todetut puutteet on paljon helpompi korjata ja ottaa huomioon verrattuna tilanteeseen, jossa laiteasennukset ovat jo pitkällä.
Toiminnallisen turvallisuuden arviointi (FSA) on standardissa IEC 61511-1 määritelty toimenpide, jolla pyritään osoittamaan, että määriteltyjä toimintatapoja ja vaatimuksia on noudatettu. Se on jaksotettu viiteen eri elinkaaren vaiheeseen: turva-automaation vaatimusmäärittelyn, suunnittelun, käyttöönoton, käytönaikaiseen ja muutosten jälkeen tapahtuvaan arviointiin. Toiminnallisen turvallisuuden arviointi on muista toimenpiteistä kuten suunnittelusta, todentamisesta tai toiminnallisen turvallisuuden testeistä (ns. FAT- ja SAT-testit) riippumaton erillinen menettely. Arviointi on suoritettava loppuun ja sen havainnot on otettava huomioon ennen kuin laitos voidaan ottaa käyttöön. Arviointi on tehtävä myös säännöllisin väliajoin käyttövaiheen aikana.
Erittäin tärkeää on määritellä arvioinnin laajuus ja se, miten se tehdään. Standardin IEC 61511-1 noudattaminen on osoitettava siten, että standardin ”kohdasta 5 kohtaan 19 esitetyistä vaatimuksista jokainen on täytetty määritellyn kriteeristön mukaisesti ja näin ollen jokaisen kohdan tavoitteet on täytetty” (IEC 61511-1 kohta 4). Tämä ei välttämättä ole helppo tehtävä, vaikka turva-automaatiossa olisi vain yksi turvatoiminto. Oleellista on kuitenkin osoittaa, että elinkaarimallia on noudatettu ottaen huomioon tarkasteltavan turvatoiminnon eheystasovaatimus. Tällöin huomioidaan niin elinkaaren eri vaiheisiin määritellyt toimenpiteet ja työprosessit kuin yksittäiset laitevaatimukset. Toiminnallisen turvallisuuden arviointi on aina subjektiivista, ja siihen vaikuttavat dokumentaation laatu tai arvioijan tai arviointiryhmän osaaminen. Arviointi on tehtävä suunnitelmallisesti ja se on aloitettava heti elinkaaren alusta lähtien. Arvioijalla on oltava käytössä elinkaaren aikana tuotettu dokumentaatio ja hänelle on annettava mahdollisuus seurata testauksia. Arviointiraportit on tallennettava ja ne on voitava tarvittaessa esittää Tukesille tai tarkastuslaitokselle.
Toiminnallisen turvallisuuden tulee arvioida riippumaton kolmas osapuoli. Riippumaton osapuoli voi olla tarkastuslaitos, mutta se voi olla myös suunnitteluun ja toteutukseen osallistumaton henkilö tai organisaatio. Riippumattomuuden aste on standardissa IEC 61511-1 kytketty erityisesti projektin laajuuteen, vaativuuteen ja turvatoimintojen eheystasoon. Riippumattomuus ja arvioijan pätevyysvaatimukset on määriteltävä esimerkiksi turvallisuussuunnitelmassa.
Turva-automaation toimintaa painelaitteen tai laitekokonaisuuden varolaitteena sekä siihen liittyviä säädösvaatimuksia ja arviointia on käsitelty kappaleessa 11.
5 Vaarojen tunnistaminen ja riskien arviointi (Elinkaarimallin vaihe 1)
Turva-automaatio on yksi osa laitoksen riskienhallintakokonaisuutta, joka koostuu luontaisen turvallisuuden valinnoista (esim. vähiten vaaraa aiheuttavat kemikaalit, matalat lämpötilat, matalat paineet), sijoitussuunnittelusta, rakennemateriaalien valinnoista, teknisistä suojakerroksista (esim. varoventtiilit, varoaltaat, käyttöautomaation toimintarajat ja lukitukset), hallinnollisista menettelyistä (ohjeistus, koulutus) sekä pelastustoiminnasta onnettomuuden aikana. Turva-automaatiota pidetään yleisesti viimeisenä keinona, jolla tunnistettu riski voidaan tuoda hyväksyttävälle tasolle. Turva-automaatio on myös yleensä kallein ja resurssi-intensiivisin riskienhallintakeinoista, joten muiden riskienhallintakeinojen riittävyys on tarpeen tutkia riskinarvioinnissa ennen turva-automaation hankintaa. Seuraavassa kuvassa on esitetty ns. sipulimalli, jossa kuvataan turva-automaation sijoittuminen osana laitoksen riskienhallinnan kokonaisuutta.
Kuva: Prosessin suojakerrokset, ns. sipulimalli tai LOPA-malli
*Huomautus! Tässä voidaan esittää useampia erillisiä suojakerroksia, mutta ne eivät välttämättä ole toisistaan riippumattomia. Esim. hätäseispiiri on yleensä riippumaton käyttöautomaatiosta.
Riskinarvioinnin laatiminen
Riski muodostuu tapahtuman todennäköisyydestä ja seurauksista. Riskinarvioinnin laatimiseksi on oltava riittävät tiedot prosessin vaaroista, laitteistosta sekä prosessin toiminnasta (suunnitteluperusteet). Riskinarviointityö edellyttää riittävien resurssien varaamista ja osaavan arviointiryhmän kokoamista.
Prosessilaitoksen riskinarvioinnissa suositellaan käytettäväksi HAZOP-tarkastelua, joka on yleisesti teollisuudessa käytetty menetelmä prosessin poikkeamien ja vaaratilanteiden tunnistamiseksi, tai muuta systemaattista riskin- tai vaaranarviointimenetelmää.
Riskinarvioinnin toteuttamiseksi toiminnanharjoittajalla tulee olla riskimatriisi, jossa on määritetty hyväksyttävän tai siedettävän riskin taso. Siedettävä riski tarkoittaa riskin suuruutta, jolle kaikki tunnistetut riskit pyritään pienentämään riskienhallintakeinojen avulla. Siedettävälle riskille ei ole olemassa yleistä määritelmää, vaan se on aina prosessi-, yritys- tai toimialakohtainen. Seuraavassa kuvassa on esitetty onnettomuusriskin pienentäminen neljän suojakerroksen avulla siedettävälle tasolle.
Kuva: Suojakerrosten vaikutus riskiin
Prosessin riskinarvioinnin tavoitteena on
tunnistaa prosessin poikkeamat, niiden syyt ja seuraukset,
tunnistaa olemassa olevat varautumiset onnettomuusskenaarion todennäköisyyden pienentämiseksi,
arvioida riskin suuruus ja riskinvähentämisen tarve ja
määrittää riittäviä toimenpiteitä riskin pienentämiseksi siedettävälle tasolle.
Mikäli riskinarvioinnissa tunnistetaan automaatiolla toteutettavia suojaustoimintoja, pitää arvioida niiden eheystaso. Eheystason määrittäminen toteutetaan esimerkiksi LOPA-tarkastelussa. Toiminnanharjoittajan tulee valita skenaariot LOPA-tarkasteluun – tyypillisesti LOPA-tarkasteluun valitaan ainakin vakavimmat onnettomuusskenaariot. Turva-automaation elinkaaren näkökulmasta on tiedettävä, mihin onnettomuusskenaarioon turvatoiminto on määritetty ja toteutettu.
6 Riskinvähennystoimenpiteiden kohdentaminen ja turvatoimintojen eheystaso (vaihe 2)
Riskianalyysin tuloksena on selvitetty prosessiriskit ja määritelty riskinvähennyskeinot. Jotta riskinvähennyskeino voidaan lukea itsenäiseksi suojakerrokseksi, sen on täytettävä seuraavat vaatimukset:
Kyettävä estämään tai vähentämään onnettomuuden vaikutuksia (toimittava suunnitellulla tavalla)
Riippumaton muista suojakerroksista ja alkutapahtumasta (toimittava itsenäisesti)
Oltava todennettavissa ja testattavissa (toimintakunto voidaan osoittaa)
Turva-automaatiojärjestelmässä toteuttavan turvatoiminnon tarve ja eheystaso riippuvat muiden suojakerrosten riskinvähennyskyvystä. Vähintään eheystasoa 1 olevat turvatoiminnot tulee toteuttaa käyttöautomaatiosta erillisessä turva-automaatiojärjestelmässä. Eheystaso taas on suoraan verrannollinen tarvittavaan riskinvähennyksen suuruuteen. Käyttöautomaatio tai siihen liittyvät hälytykset ja operaattoritoiminnot voivat antaa enintään kymmenkertaisen riskinvähennyksen. Hälytysten ja operaattoritoimintojen osalta on aina varmistettava, että operaattori voi suorittaa toimenpiteen oikein, oikea-aikaisesti ja itseään vaarantamatta.
Riskien kvantifioimiseen ja suojakerroksen riippumattomuuden tarkasteluun käytetään yleisesti ns. LOPA-menetelmää (Layer Of Protection Analysis), joka on semikvantitatiivinen riskinarviointimenetelmä. Lähtötie-dot LOPA-tarkasteluun saadaan, kun vaarat on ensin tunnistettu (esim. HAZOP). LOPAssa onnettomuuden todennäköisyys lasketaan alkutapahtuman todennäköisyyden ja suojakerrosten riskinvähennyskyvyn perusteella. Näin saatua onnettomuusriskiä verrataan siedettävän riskin tasoon. LOPAn etuna on, että siinä on arvioitava myös muiden suojakerrosten (esim. operaattoritoiminnon) kyvykkyyttä. Eheystasotarkasteluun käytetään myös riskigraafi- tai kvantitatiivisia menetelmiä. Eri menetelmiä on esitelty ja eheystason määrittämiseen on annettu ohjeita standardisarjan IEC 61511 osassa 3 (61511-3).
Turvatoiminnon eheystaso (Safety Integrity Level SIL) määritetään koko turvatoiminnolle, ei yksittäiselle lait-teelle. Eheystasoilla (SIL-tasoilla 1–4, joista 4. taso on vaativin) kuvataan turvatoiminnon vaativuutta. Vaadittava eheystaso saadaan riskien arvioinnin tuloksena tarvittavana riskinvähennyskykynä. Seuraavassa taulukossa näkyy turvatoiminnon eheystason, riskinvähennyskyvyn ja vikaantumistodennäköisyyden suhde.
Taulukko: Eheystason suhde riskinvähennyskykyyn ja vikaantumistodennäköisyyteen
Turvatoiminto on toiminto, joka on tehty tunnistamaan vaarallinen tapahtuma ja estämään häiriön eteneminen onnettomuudeksi, toisin sanoen palauttamaan prosessi automaattisesti turvalliseen tilaan. Turva-automaatiojärjestelmään kuuluvat mittalaitteet, joiden avulla automaatio tekee havaintoja, ja toimilaitteet, kuten venttiilit, joiden avulla automaatio tekee turvatoiminnon. Automaation tietotekniikka tai sähköinen ohjaus (logiikkaosa) suorittaa määritellyt algoritmit. Turvatoiminto voi olla esimerkiksi säiliön ylitäytönesto (pumpun pysäytys pintarajasta) tai reaktorin paineenalennus (venttiilin avaus painearvosta).
Turvatoimintoon liittyvät laitteet ja niiden toiminnan kuvaus yhdessä eheystasovaatimuksen kanssa muodostavat turvatoiminnon määrittelyn (vaatimusten määrittely, Safety Requirements Specification SRS). Määrittelyssä on huomioitava kaikki seikat, joilla varmistetaan turvatoiminnon onnistuminen ja estetään vaaralliset vikaantumiset (esim. lepovirtaperiaate, prosessiolosuhteiden huomioiminen jne.). Myöskin ylläpidon kannalta oleelliset vaatimukset (esim. tarkastusmenettelyt aikatauluineen) on pyrittävä määrittelemään mahdollisimman aikaisessa vaiheessa. Näiden tietojen avulla koko turva-automaatiojärjestelmä voidaan suunnitella. Turvatoiminnot on määritelty, kun jokainen turvatoiminto on yksilöity ja kuvattu dokumentoidusti. Huolellisesti tehty määrittely auttaa turvatoimintojen ylläpidossa koko elinkaaren aikana.
1. Vikaantumistodennäköisyys tai vikaantumistaajuuden tavoitetaso (PFDavg = Propability of Failure on Demand tai PFH jatkuvien vaateiden toimintatavassa). Tämä arvo liittyy laitteiden ja ohjelmistojen satunnaisen vikaantumisen todennäköisyyteen. Arvo on puhtaasti laskennallinen laitetoimittajan ilmoittama tai yleisiin (geneerisiin) vikaantumistodennäköisyyksiin perustuva. Satunnaiset virheet ovat laitevikoja ja, vaikka ne ilmenevät satunnaisesti, vian ilmestymisen todennäköisyys voidaan laskea. Satunnaisen vian mahdollisuutta ei voi kokonaan poistaa. Vikaantumistodennäköisyys on laskettava koko turvatoiminnolle.
Huomautus! Esimerkiksi SIL2-tason mittalaite, logiikka ja toimilaite eivät välttämättä tarkoita sitä, että koko turvatoiminto täyttää SIL2-tason vikaantumistaajuusvaateen. On huomioitava, että myös toimintoon mahdolliset liittyvät muut laitteet (lähettimet, erottimet/jakajat, apu-laitteet, asennonosoittimet, varavoimalähteet jne.) ja tekijät (koetusväli, redundanssi + yhteisvikaantumisen mahdollisuus jne.) vaikuttavat vikaantumisen todennäköisyyteen.
2. Vikasietoisuus (HFT = Hardware Fault Tolerance, HFT=N-M). Esim. HFT=1 tarkoittaa, että järjestelmä sietää yhden vaarallisen vikaantumisen ja tämä voidaan toteuttaa esimerkiksi arkkitehtuurilla 1oo2 tai 2oo3. Äänestysarkkitehtuurin (MooN) luomisella järjestelmään saadaan lisää vikasietoisuutta, mutta se vaikuttaa myös vikaantumistodennäköisyyteen (PFDavg-arvoon).
3. Systemaattinen kyvykkyys (Systematic Capability SC1...4), joka kuvaa laitteiden valmistuksen laadukkuutta ja on laitevalmistajan kvalitatiivinen arvio systemaattisen virheen estämisessä.
Huomautus! Laitevalmistajan antama vakuutus systemaattisesta kyvykkyydestä ei kokonaan poista systemaattisen virheen mahdollisuutta. Niitä voi edelleen syntyä kaikissa elinkaaren vaiheissa, niin riskien arvioinnissa, suunnittelussa kuin käytössä tai testaamisessa.
Ennen turva-automaation laitteisto- ja ohjelmistosuunnitteluun etenemistä on todennettava, että laaditulla määrittelyllä todella ylletään vaadittuun eheystasoon. Tähän on olemassa kaupallisia ohjelmistoja (SIL verification tools). Mikäli todennuksen tuloksena ilmenee tarvetta muuttaa järjestelmää, on muutoksista informoitava suunnittelijoita. Turvatoimintojen tulee olla mahdollisimman yksinkertaisia, ettei lisätä järjestelmän monimutkaisuutta ja systemaattisen virheen mahdollisuutta, eikä aiheuteta haasteita ylläpitovaiheeseen.
8 Suunnittelu ja toteuttaminen (vaihe 4)
Turva-automaation suunnitteluvaiheessa luodaan lopullinen järjestelmäarkkitehtuuri instrumenteista logiikkaosiin ja aina toimilaitteisiin saakka. Lopulliset automaatiokuvaukset ja yksityiskohtaiset suunnitelmat (esim. I/O-määrittelyt, piiri- ja johdotuskaaviot, virransyötöt, piirin valvonnat ja suojaukset, laitetiedot, PI-kaaviot, käyttöliittymät jne.) tehdään valmiiksi. Suunnittelu vaatii hyvää yhteistyötä prosessi-, automaatio- ja sähkösuunnittelun kesken, jotta eri järjestelmät saadaan integroitua yhteen. Lopullisen arkkitehtuurin luomisessa voidaan hyödyntää erilaisia malleja, valmiita logiikkakaavioita, laitevalmistajien tietoja yms.
Standardissa IEC 61511-1 ei kielletä käyttö- ja turva-automaation integrointia keskenään, mutta tästä ei saa seurata toiminnallisen turvallisuuden vaarantuminen. Nykyteknologia hyödyntää yleisesti järjestelmien integrointia. Mikäli turva-automaatioon liitetty laite, jota myös käyttöautomaatio hyödyntää, voi vaarantaa turvatoiminnon toteutumisen, integrointia ei voi tehdä. Mikäli onnettomuusskenaarioon liittyy useampia riippumattomia turvatoimintoja (suojakerroksia), tällöin nämä toiminnot eivät voi jakaa samoja mitta- ja toimilaitteita. Turva-automaatiotoiminnon on oltava riippumaton muista suojakerroksista ja alkutapahtumasta (häiriöstä).
Turva-automaatiojärjestelmän toteutuksessa on pyrittävä hyödyntämään ns. lepovirtaperiaatetta (fail-safe), jossa laite ilman energiaa (työvirtaa) ohjautuu turvalliseen tilaan (auki/kiinni) tai aiheuttaa hälytyksen.
Järjestelmiin on mahdollista luoda erilaisia ominaisuuksia, kuten fyysistä erottelua, monimuotoisuutta (diversiteettiä) ja diagnostiikkaa (esim. eri mittalaitteilta tulevien lukemien vertaaminen), turvatoimintojen vaarallisten vikaantumisen estämiseksi ja/tai havaitsemiseksi. Standardin IEC 61511-1 kohdassa 3.2.81 todetaan:
Samankaltaiset laitteet, jotka on suunniteltu, asennettu, käytetty, toteutettu ja ylläpidetty samalla tavalla, todennäköisesti sisältävät samat viat. Siten ne ovat alttiita yhteisvikaantumisille, kun tietyt olosuhteet esiintyvät.”
Vastaavasti kohta 11.2.10:
”Turva-automaatiojärjestelmä ei saa käyttää laitetta, jota käyttö- ja perusautomaatiojärjestelmä käyttää, jos laitteen vikaantuminen voi johtaa sekä turva-automaatiotoiminnon vaateeseen että turva-automaatiotoiminnon vaaralliseen vikaantumiseen, ellei ole suoritettu analyysia, joka vahvistaa kokonaisuuden riskin olevan hyväksyttävä.”
Yhteisvikaantumisen mahdollisuutta on tarkasteltava ja otettava huomioon turva-automaation toteutuksessa. Yhteisvikaantumisen todennäköisyys on oltava suhteessa vaadittuun eheystasoon (riittävän pieni verrattuna eheystasoon).
Yhteisvikaantumisen tarkastelemisessa ja estämisessä on huomioitava (soveltaen IEC 61511-1 3.2.6. ja IEC 61508-6 liite D):
ulkoiset tekijät esim. lämpötila, kosteus, värinät, ylijännite, lika, tulipalo, korroosio. Sopivien laitteiden valinta edellyttää tietoa prosessin ja ympäristön olosuhteista. Laitteiden sijoittamiseen on kiinnitettävä erityisesti huomiota (luotettava mittaustulos, toimintakyvyn säilyminen onnettomuustilanteessa)
suunnitteluvirheet esim. suunnittelu-, ohjelmointi-, kokoonpano- tai asennusvirhe (yhteiset komponentit, tekninen määrittely, materiaalivalinta, laitteiden sijainti, käyttöhyödykkeiden saanti, järjestelmän monimutkaisuus, kyberturvallisuus)
käyttö- ja kunnossapitotoimet esim. puutteellinen ohjeistus ja menettelyt, unohdukset ja muut inhimilliset virheet, käyttöliittymät.
Laitevalmistajat käyttävät sertifikaatteja (ulkopuolista arviointia) osoittamaan, että niillä on tarkat laadunhallintamenettelyt ja että valmistettu laite täyttää eheystason mukaiset vaatimukset. Standardin IEC 61508-2 liitteessä D (safety manual) on esitetty, mitä tietoja laitteesta on dokumentoitava ja vaaditaan laitteen liittämiseksi turva-automaatiojärjestelmään. Yleisesti laitevalmistajalla tulee olla laatujärjestelmä, laitteesta on oltava tarkat tiedot/spesifikaatiot ja aiempaa näyttöä/kokemusta laitteen toiminnasta vastaavissa prosessiolosuhteissa. Mikäli laitteella ei ole osoitusta vaatimustenmukaisuudesta, joudutaan laitteen hyväksyttävyys perustelemaan ”aikaisemman käytön perusteella”. Tämä on haastava tehtävä, koska se vaatii pitkältä ajalta tietoa laitteiden käytöstä eri olosuhteissa ja tapahtuneista vioista. Laitteiden osalta on huomioitava myös muut vaatimukset, kuten ATEX räjähdysvaarallisten tilojen osalta.
Turva-automaatiojärjestelmän tehdaskoestukset (FAT-testit) tehdään tämän vaiheen lopussa, kun turva-automaatiojärjestelmä on valmis. Koestaminen on tehtävä suunnitelmallisesti ja dokumentoidusti. Suunnitteluvaiheessa tehtävien muutosten vaikutukset laitteiston turvallisuudelle on arvioitava.
9 Asennus, testaaminen ja käyttöönotto (vaihe 5)
Tärkeintä turva-automaatiojärjestelmän asentamisessa ja käyttöönotossa on, että sitä varten luodaan omat asennus- ja testaussuunnitelmat, jotka huomioivat turva-automaatiolle määritellyt turvallisuusvaatimukset. Laitteiden ja asennusten vastaanotto- tai luovutusmenettely auttavat laadunvarmistuksessa.
Kun laiteasennukset ja asennustarkastukset on tehty valmiiksi, on järjestelmä vielä kertaalleen varmistettava tai kelpuutettava (SAT-testit), että järjestelmä toimii myös kuljetuksen ja asennuksen jälkeen todellisessa ympäristössään. Testaamista varten laaditaan kirjallinen suunnitelma, jossa määritellään tehtävät, aikataulut, vastuuhenkilöt, yksityiskohtaiset testausmenetelmät ja kriteerit testien hyväksyttävyydelle. Turva-automaation turvatoiminnot on käyttöönottovaiheessa testattava aina alusta loppuun. Pelkkä ohjelmistologiikan testaus tai yksittäisen laitteen testaaminen valmistajan ohjeiden mukaan ei riitä. Turva-automaation täysi toiminnallisuus on varmistettava, ennen kuin laitos voidaan ottaa käyttöön tai kemikaaleja voidaan ottaa laitteistoon sisään. Testauksiin mahdollisesti liittyvien tilapäisten asennusten ja ohitusten poistaminen on varmistettava huolellisesti ennen käyttöönottoa.
Laitoksen käyttöönottovalmiudesta päätettäessä on huomioitava:
Kaikki turva-automaatioon määritellyt turvatoiminnot on testattu alusta loppuun (ilmaisimista logiikan kautta toimilaitteille, myös kaikki toimintoon liittyvät komponentit).
Testauksissa havaitut poikkeamat on selvitetty ja tarvittavat muutokset on tehty hyväksytysti loppuun.
Henkilökunta on saanut riittävän koulutuksen ja pätevyysvaatimukset täyttyvät.
Turva-automaation kyberturvallisuus on varmistettu.
Laitemerkintöjen (positiomerkinnät) ja turva-automaatiota koskevien asiakirjojen oikeellisuus on todennettu.
Kaikki ohitukset turvatoiminnoissa (suojauksissa) on poistettu tai normalisoitu.
Toiminnallisen turvallisuuden arvioinnit on suoritettu.
10 Käyttö ja ylläpito (vaihe 6)
Siirryttäessä käyttövaiheeseen on oleellisinta varmistaa, että operointi- ja kunnossapitohenkilöstö tuntee ohjattavaan prosessiin liittyvät vaarat ja niiden ehkäisemiseksi tehdyt suojakerrokset, myös turvatoiminnot. Seuraavat osa-alueet tulee olla määriteltynä ja ohjeistettuna:
Operaattorit tuntevat turvatoimintoihin liittyvät onnettomuusskenaariot (ymmärrys riskistä)
Turvatoimintoja koskeva ohjeistus (miten toimitaan vikatilanteissa tai laitteiston ilmoittaessa häiriöstä)
Mahdollisiin ohituksiin liittyvät vaatimukset (menettelytavat, luvat, ohjeistukset)
Huomautus! Ohituksia on aina pyrittävä välttämään. Turvatoiminnon ohittamisella voi olla merkittäviä vaikutuksia laitoksen riskitasoon ja sen kompensoiminen voi olla vaikeaa. Hyvä käytäntö on arvioida riskitason nousu, määritellä korvaavat toimenpiteet ohituksen ajaksi ja se, että esim. käytönvalvoja valtuuttaa ohituksen. Ohituksista ja niihin liittyvistä toimenpiteistä on pidettävä kirjaa.
Määräaikaistestausten ja -tarkastusten suorittaminen huomioiden kaikki turva-automaatioon liittyvät laitteet
Säännöllisellä kunnossapidolla varmistetaan, että turva-automaatio toimii tositilanteessa halutulla tavalla. Testaamisella pyritään erityisesti etsimään sellaisia vikoja, joita järjestelmän itsediagnostiikka ei kykene havaitsemaan tai jotka eivät ole tulleet ilmi käytön aikana. Testaamisessa on huomioitava järjestelmätoimittajan tai laitevalmistajan antamat ohjeet testauksista (safety manual). Testaamisella ja tarkastuksilla voidaan paljastaa myös erehdyksessä tehdyt ”luvattomat” muutokset turvatoimintoon.
Testausväleillä on vaikutusta laitteiden vikaantumistodennäköisyyteen: jos laitteita ei testata määritellyssä ajassa, ei turvatoiminto enää välttämättä täytä vaadittua eheystasoa.
Testaaminen on pyrittävä suorittamaan mahdollisimman primäärisesti eli tekemällä testausolosuhteista mahdollisimman paljon todellisten prosessiolosuhteiden kaltaisia. Näin testaamisella voidaan luotettavammin paljastaa vaaralliset viat. Mikäli jokaista turvatoimintoa ei testata erikseen tai testausta ei tehdä alusta loppuun, tulee arvioida testauksen kattavuutta ja sen vaikutusta toiminnalliseen turvallisuuteen. Tunnistamalla se, mitkä turvatoiminnot liittyvät mihinkin laitteistoihin tai laitteiston osiin, voidaan testaamisen suorittamista yksinkertaistaa niin, että kaikkia turvatoimintoja ei erikseen testata. Jos testaamisessa tarvitaan ohituksia tai muita erotuksia, on niihin sisältyviä inhimillisen virheen mahdollisuuksia arvioitava ja ne on huomioitava työohjeistuksessa.
Testaamisen lisäksi turva-automaatiojärjestelmän laitteet on tarkastettava vähintään silmämääräisesti, ettei niissä ole puutteita (esim. irtonaisia kansia/pultteja/kaapeleita, ruostetta tms.) tai muita viitteitä vajaakuntoisuudesta, jotka voisivat aiheuttaa laitteeseen vian seuraavalla käyntijaksolla. Laitteiden tarkastaminen on huomioitava laitteiden ennakkohuollossa. Mikäli turva-automaatiojärjestelmään kuuluviin laitteisiin tai ohjelmistoihin tehdään korjauksia tai päivityksiä, on turvatoiminnot aina testattava toiminnan varmistamiseksi.
Testaamisessa ja tarkastamisessa on huomioitava seuraavat asiat:
Turvatoiminnon turvallisuusvaatimukset (myös koestusväli, vasteaika yms. spesifiset vaatimukset)
Mittalaitteet (testimenetelmä on sovitettava mittalaitteen tyypille tai toimintaperiaatteelle)
Logiikan eli ohjelmiston testaaminen
Toimilaitteet (esim. venttiili ja sitä käyttävä moottori/solenoidi, kytkinlaite).
Huomautus! Venttiileitä on monia erilaisia, jolloin testatessa on tunnettava venttiilin rakenne ja sen tyypillisiä vikoja, tukkeentumisia yms. puutteita. Testauksen tuloksena voidaan ilmoittaa esim. sulkeutuiko venttiili, sulkeutuiko se tiiviisti, missä ajassa venttiili sulkeutui. Venttiili on tyypillisesti turvatoiminnon herkimmin vikaantuva osa.
Turvatoimintoon liittyvien muiden laitteiden, kuten lähettimien, kaapelointien, instrumentti-ilman, virransyötön, tiedonsiirtoyhteyksien, erottimien, hälytysten, diagnostiikan yms. lisälaitteiden /-toimintojen kunto
Testauksiin liittyvät testilaitteet ja niiden kalibrointi
Testauksiin liittyvien riskien tarkastelu (huomioiden myös mahdolliset ohitukset)
Dokumentointi (suoritetun testauksen yksilöivä tunnus tai tarkastuskohde, päivämäärä, henkilöt, tulokset)
Kunnossapidon laatu on paljolti kiinni organisaation osaamisesta. Tuntemalla laitteiden vikaantumismekanismit voidaan kunnossapitokäytännöt suunnitella paremmin. Testausten ja tarkastusten suorittamisesta on keskusteltava ajoittain mahdollisten kehitysehdotusten löytämiseksi. Turvatoiminnon eheystason tulee vaikuttaa myös kunnossapitotoimintojen laadukkuuteen.
Turva-automaation toiminnan seuranta
Turvatoimintojen aktivoitumiset, viat ja testaukset on huomioitava tuotantolaitoksen onnettomuuksien ehkäisyn suorituskyvyn mittaamisessa eli ns. prosessiturvallisuusmittareissa. Mittareilla ja toimenpiteiden seurannalla pyritään paljastamaan puutteet tai olosuhteet, jotka pahimmillaan voisivat johtaa onnettomuuteen. Esimerkkejä sopivista mittareista ovat suojausta ennakoivien hälytysten määrä (läheltä piti -tilanteet), turva-toimintojen aktivoitumisten määrä, havaitut viat käytön ja testausten aikana, testausten suorittaminen ajallaan ja vajaatoimisten laitteiden määrä.
11 Muutosten hallinta (vaihe 7)
Turva-automaatioon tehtävät tai siihen vaikuttavat pysyvät ja tilapäiset muutokset on arvioitava ja toteuttava muutoksenhallintamenettelyn mukaisesti. Muutos turva-automaatiossa tarkoittaa, että elinkaarimallin mukaisesti on palattava vaiheissa taaksepäin aina riskien arviontiin saakka, jotta muutoksen vaikutukset riskiin voidaan arvioida sekä varmistaa, että muutoksella ei ole negatiivisia vaikutuksia turvatoiminnon toimintakykyyn.
Muutoksen vaikutusten arviointia helpottaa hyvin laadittu dokumentaatio ja selkeät tiedot prosessista ja turva-automaatiosta. Muutoksen jälkeen tarvittava dokumentaatio (tarvittaessa myös testausohjeet) on päivitettävä ja asianosaisten on perehdyttävä muutokseen. Yksittäisen laitteen korvaaminen vastaavanlaisella uudella laitteella ei välttämättä edellytä muutosten hallintaa, mutta senkin osalta on huolehdittava, että uuden laitteen toiminta tulee hyväksytysti testattua.
Muutoksen hallintaa on tehtävä ainakin seuraavissa muutostilanteissa:
turvatoiminnon muokkaaminen
laitteet ja ohjelmistot (esim. laitetyypin vaihto tai laitteen muokkaaminen)
prosessiparametrimuutokset (esim. hälytys- ja lukitusrajat, mittausaluemuutokset)
huolto- ja tarkastusvälien tai -menetelmien muuttaminen
prosessin operointiolosuhteiden muutokset
muu laitoksen tekniseen dokumentaatioon vaikuttava muutos
Muutoksenhallintamenettelyn tulee sisältää selkeä kuvaus muutosprosessin vaiheista tai kulusta. Muutoksen riskien arviointi tulee tehdä ennen muutoksen hyväksymistä toteutukseen. Hyvän käytännön mukaisesti käytönvalvoja tai muu vastuuhenkilö hyväksyy muutoksen toteutuksen ja sulkemisen varmistaen näin, että muutos toteutetaan tuotantolaitoksella määritellyn toimintatavan mukaisesti.
Kokonaisen turva-automaatiojärjestelmän muutos voi olla myös niin laaja, että se vaatii luvan Tukesilta. Lupatarve kannattaa varmistaa yhdessä Tukesin vastuutarkastajan kanssa. Rekisteröitäviin painelaitteisiin liittyvien muutosten osalta on vastaavasti oltava yhteydessä hyväksyttyyn tarkastuslaitokseen.
12 Käytöstä poisto (vaihe 8)
Käytöstä poisto tulee tehdä samoin kuin muutoksetkin eli vaikutukset arvioiden ja systemaattisia menettelyitä noudattaen. Erityisesti on kiinnitettävä huomiota siihen, jos osa järjestelmää puretaan ja osa säilytetään toiminnassa, jolloin jäljelle jäävän osan toiminnallisuus on osoitettava joko testaamalla siihen jäävät turva-toiminnot tai muulla luotettavalla tavalla, että oikeat osat on purettu. Uuden ja vanhan laitekannan sekä ohjelmistojen integroiminen yhteen kasvattaa riskiä vikaantumisille. Toteutukseen on varattava riittävästi resursseja.
Kun turvallisuuteen liittyvää järjestelmää kuten turva-automaatiota käytetään suojaamaan tuotantolaitoksen tai prosessin painelaitteita tai laitekokonaisuuksia sallittujen raja-arvojen ylitykseltä, katsotaan sen olevan painelaitesäädösten mukainen varolaite (1548/2016 4 §, kohta 2). Tällöin sen tulee täyttää painelaitesäädösten vaatimukset. Raja-arvoja voivat olla esim. laitteen tai laitteiston sallittu käyttöpaine, sisällön lämpötila ja veden pinnan korkeus.
Painelaitteille ja laitekokonaisuuksille tulee tehdä riskinarviointi, jossa tulee mahdollisuuksien mukaan ottaa huomioon painelaitteen tai laitekokonaisuuden elinkaaren aikaiset vaarat ja näistä aiheutuvat riskit. Riskin-arvioinnissa määritetään muiden laitekokonaisuuden laitteiden ohella myös varolaitteiden (varoventtiilit, murtokalvot, turva-automaatio) tarve. Turva-automaation osalta määritetään jokaiselle turvatoiminnoille turvallisuuden eheystaso, jonka perusteella selvitetään, onko suojauksessa tarvetta käyttää turva-automaatiojärjestelmää. Katso tarkempia tietoja oppaan kappaleista 5 ja 6. Vaarojen tunnistaminen ja riskien arviointi.
Turva-automaatiolaitteiden ja -järjestelmän asentamisesta (ja valmistamisesta) vastaa järjestelmän toimitta-ja tai laitekokonaisuuden valmistaja. Laitekokonaisuuden valmistaja vastaa kokonaisuuden vaatimustenmukaisuudesta. Valmistajan on varmistettava liitettävien painelaitteiden, myös turva-automaatiojärjestelmän, asianmukaisuus ja soveltuvuus laitekokonaisuuteen. Uusien painelaitekokonaisuuksien ja turva-automaation vaatimustenmukaisuuden arvioinnissa kolmannen osapuolen arvioinnit ja tarkastukset suorittaa ilmoitettu laitos.
Tuotantolaitoksen tai voimalaitoksen turva-automaatioon sovelletaan yleensä useita EU säädöksiä; PED:n lisäksi kyseeseen voivat tulla esim. pienjännitedirektiivi (LVD), EMC-direktiivi, konedirektiivi (MD) ja ATEX-direktiivi. Myös nämä säädökset tulee asianmukaisesti ottaa huomioon turva-automaation suunnittelussa ja toteutuksessa.
Varolaitteiden luokittelu ja vaatimustenmukaisuuden arviointimenettelyt
Varolaitteet kuten turva-automaatio luokitellaan vaativimpaan luokkaan IV, eikä niille ole erikseen luokittelukuvia. Poikkeuksena on varolaitteen valmistaminen tiettyyn laitteeseen, jolloin luokitus voidaan tehdä suojattavan laitteen luokan mukaan. Luokassa IV on käytettävissä vaatimustenmukaisuuden arviointimenettelyt B+D, B+F, G tai H1. Vaatimustenmukaisuuden arvioinnilla tarkoitetaan prosessia, jossa selvitetään, ovatko painelaitteeseen tai laitekokonaisuuteen liittyvät painelaitedirektiivin (PED 2014/68/EU) liitteen I olennaiset turvallisuusvaatimukset täyttyneet. Arviointimenettelyt esitetään PED:n liitteessä III.
Tyypillisesti turva-automaation arviointiin käytetään G-moduulia (yksikkökohtaiseen tarkastukseen perustuva vaatimustenmukaisuus), kun laitekokonaisuus kootaan yksilöllisesti käyttötarkoituksen mukaan. Sovellettaessa G-moduulia valmistajan valitsema ilmoitettu laitos osallistuu turva-automaation suunnittelu- ja valmistusvaiheiden arviointeihin (myös hyväksyntätestauksiin).
Yhdenmukaistetut standardit
Standardisointijärjestö CEN:n työryhmissä on laadittu painelaitteille ja laitekokonaisuuksille yhdenmukaistettuja EN-standardeja, joissa esitetään laitteiden suunnittelun ja valmistuksen yksityiskohtaiset tekniset ratkaisut ja toteutukset. Varolaitteet ovat keskeisessä osassa painelaitteiden tai laitekokonaisuuksien turvallisuuden varmistamisessa, joten niille on laadittu kattavasti EN-, ISO- ja IEC-standardeja, joita käytetään varolait-teiden mitoituksessa, suunnittelussa ja valmistuksessa.
Yhdenmukaistettujen standardien tai niiden osien, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, katsotaan olevan olennaisten turvallisuusvaatimusten mukaisia siltä osin, kun ne kattavat sovelletut olennaiset turvallisuusvaatimukset ko. standardin ZA-liitteen mukaisessa laajuudessa.
Riskinarvioinnissa määritettyjen automaattisten turvatoimintojen toteutuksen osalta yhdenmukaistetuissa lämmittämättömien painelaitteiden (SFS-EN 764-7) ja kattiloiden (SFS-EN 12952-11 ja SFS-EN 12953-9) varo-laitestandardeissa viitataan standardiin SFS-EN/IEC 61508, jonka kaikkia osia tulee tarvittaessa soveltaa turvallisuuteen liittyvien järjestelmien (turva-automaation) toteutuksessa.
Laitekokonaisuuden arviointi
Laitekokonaisuuden yleinen vaatimustenmukaisuuden arviointimenettely etenee seuraavien periaatteiden mukaisesti:
Laitekokonaisuuden yksittäisten painelaitteiden arviointi, jos niille ei ole aiemmin suoritettu arviointia
Painelaitteiden yhdistämisen arviointi (mm. osien soveltuvuus käyttökohteeseen ja asianmukainen liittäminen, lämpölaajeneminen, loppuarviointi, myös painekoe ja asiakirjojen tarkastus)
Laitekokonaisuuden käyttöarvojen pysyminen sallituissa arvoissa; varo- ja valvontalaitteiden arviointi. Tavoitteena on varmistua siitä, että vaatimuksia painelaitteiden suojaukselle sallittujen rajojen ylittämiseltä noudatetaan kaikilta osin. Myös turva-automaatiojärjestelmän arviointi tulee tehdä (saattaa loppuun) laitekokonaisuuden arvioinnin yhteydessä.
Valmistajan on kiinnitettävä laitekokonaisuutta tarkoittava CE-merkintä (luokat I – IV) ja muut säädösten edellyttämät merkinnät. Sen yhteyteen tulee laitekokonaisuuden arviointimenettelyssä mukana olleen ilmoitetun laitoksen tunnusnumero. CE-merkintä säilytetään niissä painelaitteissa, joissa on jo tämä merkintä silloin, kun ne yhdistetään laitekokonaisuuteen.
Valmistajan on laadittava painelaitteista ja laitekokonaisuudesta käyttö- ja huolto-ohjeet (sisältö ja vaatimukset painelaiteasetuksesta 1548/2016 ja tuotestandardeista) sekä EU-vaatimustenmukaisuusvakuutus ennen markkinoille saattamista tai käyttöönottoa.
14 Turva-automaatiojärjestelmän toteutuksen velvoitteita ja vastuita
Säädökset asettavat turva-automaatiojärjestelmän toteutukseen osallistuville osapuolille tai tahoille erilaisia velvoitteita ja vastuita. Seuraavassa on esitetty eri toimijat ja niiden keskeiset velvoitteet ja vastuut.
Toiminnanharjoittaja (omistaja, haltija, tilaaja)
käytössä menettelyt turva-automaation järjestelmälliseen hallintaan
turvallisuussuunnitelman laatiminen
hankinta ja toimijoiden valinta; huomiota laadunhallintaan ja osaamiseen
vastaa prosessin tai laitoksen riskien arvioinnista
määrittelee TAJ:n turvallisuusvaatimukset toimittajalle
vastaa käytöstä ja kunnossapidosta, käyttäjien osaamisesta
esittää lupahakemuksen tai muutosilmoituksen yhteydessä Tukesille suunnitelmat turva-automaatiojärjestelmän toteutuksen periaatteista ja riittävyydestä suunniteltuun tarkoitukseen
Käyttöhenkilökunta (operaattorit ja kunnossapitohenkilöstö)
käytönaikaisesta toiminnasta vastaaminen TAJ:n toimiessa. Käyttöhenkilökunnan on ymmärrettävä, miten turva-automaatio toimii ja millaisia vaaroja varten se on suunniteltu.
toiminta ohjeiden mukaisesti turva-automaation aktivoituessa (prosessin häiriötilanteessa) sekä turva-automaation vika- ja poikkeustilanteissa
TAJ:n testaamisessa on huomioitava järjestelmätoimittajan tai laitevalmistajan antamat ohjeet
TAJ:n toimittaja/valmistaja
toimittajalla tulee olla käytössään asianmukaiset laadunhallintamenettelyt
osallistuu TAJ:n eri elinkaaren vaiheiden toteutusten arviointeihin
laatii arvioinneista tarvittavat todistukset ja pöytäkirjat
Hyväksytty laitos
tarkastaa painelaitteen määräaikaistarkastuksen yhteydessä, että TAJ täyttää edelleen turvallisuusvaatimukset
suorittaa TAJ:n muutosten arvioinnit
laatii arvioinneista tarvittavat todistukset ja pöytäkirjat
Viranomainen, Tukes
Tukes tarkastaa tuotantolaitoksen ennen käyttöönottoa ja tekee laitoksiin määrä-aikaistarkastuksia. Tarkastuksissa selvitetään, onko turva-automaation toteutus ja kunnossapito säädösten vaatimusten mukaista.
Tukes vastaa painelaitteiden markkinavalvonnasta Suomessa ja valvoo niiden käytön turvallisuutta
15 Turva-automaation kyberturvallisuus
Digitalisaation lisääntyminen ja uusien teknologioiden käyttö voivat altistaa tuotantolaitoksen automaatiojärjestelmät uudentyyppisille uhille ja haavoittuvuuksille. Aikaisemmin täysin erilliset ja suljetut automaatiojärjestelmät onkin yhdistetty yrityksen tietoverkkoon. Reaaliaikaisen tiedon tarve, etäohjaus ja tietojen analysoiminen älykkäillä työkaluilla (AI-työkalut) voivat olla syitä, miksi käyttö- ja turva-automaatiojärjestelmät halutaan kytkeä verkkoon. Ohjelmistojen rooli automaatiossa ylipäätään on kasvanut ja kasvaa. Ohjelmisto-palvelut voivat olla saatavilla pilvipalvelusta.
Vastaavasti kuten prosessin poikkeamia ja häiriöitä etsitään riskianalyyseillä, myös turva-automaatioon liittyvät kyberriskit on kyettävä tunnistamaan ja hallitsemaan. Kyberturvallisuuden saavuttamiseksi tarvitaan turva-automaation erilaisten haavoittuvuuksien ja uhkien tunnistamista sekä niiden seurauksena aiheutuvien vaikutusten arviointia. Turva-automaatiojärjestelmä, kuten koko tuotantolaitoksen automaatio- ja ohjausjärjestelmän kyberhaavoittuvuuksien määrä ja laatu, riippuu pitkälti käytetystä teknologiasta ja siitä, miten järjestelmä on rakennettu tai konfiguroitu sekä miten se on liitetty tietoverkkoihin. Lisäksi on huomioitava koko organisaation osaaminen, yhdessä sovitut käytännöt ja tavat hallita järjestelmiä (pääsy- ja käyttö-oikeuksien hallinta, korjauspäivitysten hallinta, ulkopuoliset yhteydet jne.).
Haavoittuvuuksien tunnistaminen vaatii lähtötilanteen selvittämistä ja sen vertaamista kyberturvallisuuden hyviin käytäntöihin ja standardeihin. Seuraavia lähtötietoja ja toimenpiteitä tarvitaan:
Järjestelmäkokoonpanon, verkkoarkkitehtuurin, käytettyjen liityntöjen ja datayhteyksien kartoittaminen ja näihin liittyvät dokumentit sekä henkilökunnan haastattelut
Tiedetään, mitkä laitteet keskustelevat minnekin ja onko näin ollut tarkoituskin, sekä ymmärretään käyttäjien tarpeet
Automaatio- ja tietoverkkojen jakaminen osiin tai osakokonaisuuksiin
Verkko voidaan jakaa sopiviin osiin (vyöhykkeisiin) ja niiden välisiin datayhteyksiin. Kun kunkin vyöhykkeen merkitys ymmärretään ja tietoturvavaatimukset on määritelty, voidaan päättää, millaista tietoliikennettä vyöhykkeiden välillä sallitaan.
Järjestelmän jakaminen osiin on kustannustehokkaampaa kuin yrittää suojata jokainen laite erikseen. Monilla laitteilla ei välttämättä ole edes kykyä suojautua hyökkäyksiltä.
Haavoittuvuuksien ymmärtäminen on vasta kolikon toinen puoli - toinen puoli on ymmärtää, mikä on vaarassa eli mitä voi tapahtua. Kyberriskianalyysin tekeminen vaatii yhtä lailla monipuolisen arviointiryhmän, niin yrityksen IT-henkilöitä kuin automaation ja prosessiturvallisuuden ymmärtäviä henkilöitä. Kyberriskit voidaan hahmottaa seuraavasti:
Riski (normaalisti) = todennäköisyys x seuraukset
Riski (kyber) = haavoittuvuudet x uhat x seuraukset
Kun haavoittuvuudet on tunnistettu, selvitetään, miten tai kuka pystyy haavoittuvuuksia hyödyntämään. Onko haavoittuvuus esimerkiksi sellainen, että vain ns. insider voi sitä hyödyntää vaiko kenties verkossa toimiva hakkeri tai haittaohjelma? Uhkien todennäköisyyksien arvioinnissa auttavat turvallisuusviranomaisten, kuten kyberturvallisuuskeskuksen, uhka-arviot, käytössä olevat tai suunnitellut kyberturvallisuusohjelmistot ja työkalut (esim. lokien keräys ja hallinta) sekä yritykseen luodut turvakäytännöt.
Seuraukset puolestaan riippuvat siitä, mihin järjestelmän osaan haavoittuvuus ja uhka kohdistuu. Esimerkiksi turva-automaation toimintakyvyttömyys voi johtaa siihen, että järjestelmää ei voida ajaa turvalliseen tilaan ja seurauksena syntyy kemikaalivuoto. Toisaalta turva-automaatio ei ole välttämättä ainoa suojakerros eli sen lamauttamisella ei välttämättä vielä aiheuteta onnettomuutta.
Riski voidaan hahmottaa paremmin, kun se arvioidaan ilman suojakerroksia (unmitigated) ja suojakerrosten jälkeen (mitigated). Toimittaessa edellä kuvatulla systemaattisella tavalla edistetään yrityksen turvallisuuskulttuuria ja ymmärrystä kyberriskeistä ja niiden hallintakeinoista. Samalla lisätään myös laitoksen tuotan-nosta vastaavien henkilöiden ja IT-osaston välistä yhteistyötä.
Standardin IEC 61511-1 kohta 8.2.4 edellyttää, että turva-automaatiojärjestelmälle suoritetaan tietoturvariskien arviointi. Toimimalla edellä kuvatulla tavalla täytetään myös standardin vaatimus. Tietoturvavaatimukset tulee käydä huolellisesti läpi automaatiotoimittajien kanssa ja liittää tietoturvavaatimukset osaksi järjestelmän toimitus-, käyttö- tai ylläpitosopimusta.
