Tekninen yhteenveto
Keskeiset havainnot:

Artikkeli esittelee SFS-EN IEC 61508 -standardin perustana riskin minimoinnin metodologialle ja SIL-tason määrittämiselle koko järjestelmän elinkaaren ajan. Se tuo esiin yhteydet toimialakohtaisiin standardeihin (mm. EN 5012x, SFS-EN 61511, IEC 61513, DO-178C/DO-254) sekä esimerkkejä sovelluksista.

  • SFS-EN IEC 61508 on yleiskäyttöinen toiminnallisen turvallisuuden perusstandardi E/E/PE-järjestelmille.
  • Määrittelee neljä pilaria: turvallisuuden elinkaaren, SIL-tasot, turvallisuuden hallinnan ja dokumentaation.
  • Se voidaan mukauttaa monille toimialoille: koneisiin, rautatiealaan, prosessiteollisuuteen, energia-alaan (myös ydinenergiaan) ja automaatioon.
  • Koneissa se tukee standardien SFS-EN 62061 ja SFS-EN ISO 13849-1 mukaista lähestymistapaa (riskinarviointi, eheys, redundanssi).
  • Korostaa kanavien riippumattomuuteen liittyviä vaatimuksia, yhteisvikojen syiden välttämistä sekä töitä suorittavien henkilöiden pätevyyttä.

SFS-EN IEC 61508 (engl. IEC 61508) on standardi, jota pidetään usein muiden toimialakohtaisten toiminnallista turvallisuutta käsittelevien asiakirjojen ”perustana”. Se määrittelee periaatteet riskin minimoimiseksi ohjausjärjestelmissä, jotka perustuvat sähköiseen, elektroniseen tai ohjelmoitavaan elektroniikkaan (E/E/PE). Sen vaatimukset nojaavat neljään peruspilariin:

  1. Turvallisuuden elinkaari (Safety Lifecycle)
    – alustavasta konseptista ja vaarojen analysoinnista aina järjestelmän käytöstä poistamiseen.
  2. Turvallisuuden eheystasot (SIL)
    – turvallisuustoiminnoille määritettävät tasot, joilla asetetaan luotettavuusvaatimukset.
  3. Toiminnallisen turvallisuuden hallinta
    – selkeästi määritellyt roolit, vastuut, verifiointimenettelyt ja osaamisen arvioinnit.
  4. Dokumentointi
    – kaikkien olennaisten tietojen ja raporttien laatiminen, säilyttäminen ja päivittäminen käyttöä ja mahdollisia tarkastuksia varten.

Nämä lähtökohdat tekevät 61508:sta standardin, joka ei rajoitu vain yhteen sektoriin. Päinvastoin – se on suunniteltu mukautettavaksi eri toimialojen erityispiirteisiin: koneteollisuudesta rautatie- ja ilmailualaan, aina energiantuotantoon (myös ydinenergiaan) sekä prosessiautomaatioon.

Soveltaminen eri toimialoilla

Koneet ja tuotantolinjat: SFS-EN 62061 sekä SFS-EN ISO 13849

Koneiden suunnittelussa ja tuotantolinjoissa viitataan usein seuraaviin standardeihin:

  • SFS-EN 62061 – ”Koneiden turvallisuus – Koneiden sähköisten, elektronisten ja ohjelmoitavien elektronisten ohjausjärjestelmien toiminnallinen turvallisuus”,
  • SFS-EN ISO 13849-1 – standardi, jossa kuvataan ”Performance level” (PL) -käsite.

Molemmat standardit perustuvat pitkälti 61508:n käsitteisiin, erityisesti riskien arvioinnissa, turvallisuuden eheystason määrittämisessä sekä redundanssiperiaatteissa.

Käytännön esimerkkejä:

  • Automaattinen pakkauslinja: käytämme valoverhoja ja hätäpysäytyslaitteita sekä suunnittelemme ohjausjärjestelmän niin, että säteen katketessa koneet pysähtyvät välittömästi turvallisella tavalla.
  • Yhteistyörobotit (cobotit): lisävaatimuksia ihmiskosketukseen reagoimiselle, usein SIL 2- tai SIL 3 -taso huomioiden.

61508 antaa yleisen menetelmäpohjan, ja 62061/13849-1 täsmentävät, miten riskianalyysi ja yksittäisten turvallisuustoimintojen toteutus koneessa tehdään vaihe vaiheelta.

Rautatiet: EN 5012x -sarja

Rautatiealalla keskeisiä standardeja ovat:

  • EN 50126 (RAMS – Reliability, Availability, Maintainability, Safety),
  • EN 50128 (rautatieohjelmistot),
  • EN 50129 (elektroniset järjestelmät rautatiesignaloinnissa).

Jokainen näistä viittaa turvallisuusvaatimusten näkökulmasta 61508:n kaltaisiin perusperiaatteisiin. Käytössä ovat myös SIL-tasot (yleensä 0–4) sekä tiukat vaatimukset järjestelmien riippumattomuudelle (kanavien redundanssi) ja häiriönsietokyvylle (yhteiset vikasyyt).

Esimerkki:

  • Junaliikenteen ohjaus: törmäysvaaran ilmetessä jarrut aktivoituvat automaattisesti. Jos tällainen järjestelmä on luokiteltu SIL 4 -tasolle, sen on täytettävä erittäin tiukat luotettavuusvaatimukset ja testausmenettelyt EN 50128/50129:n mukaisesti.

Prosessiteollisuus: SFS-EN 61511

Kun kyse on kemianteollisuuden laitoksista, petrokemiasta, jalostamoista tai kaasunkäsittelylaitoksista, tukeudutaan standardiin SFS-EN 61511, joka pohjautuu suoraan 61508:aan mutta keskittyy nimenomaan niin sanottuihin SIS-järjestelmiin (Safety Instrumented Systems).

  • Suunnittelemme turvasilmukat (SIF – Safety Instrumented Function) ja määritämme SIL-tason kullekin niistä.
  • Käytämme prosessivaarojen analysoinnissa usein HAZOP-menetelmää.
  • Varmistamme, että antureilla ja toimilaitteilla on riittävä luotettavuus ja että ne testataan säännöllisin väliajoin.

Ydinenergia: IEC 61513

Kun vikaantumisriski voi merkitä uhkaa laajoille alueille (ydinvoimalat), toiminnallisen turvallisuuden standardit ovat vieläkin tiukempia.

  • IEC 61513 (Puolassa siihen viitataan joskus nimellä PN-IEC 61513) määrittelee ydinvoimalaitoslohkojen suojaus- ja ohjausjärjestelmiä koskevat vaatimukset.
  • Edellytetään monikanavaista redundanssia (esim. 2oo3, 2oo4 – ”two out of three” jne.) sekä erittäin tiukkaa ohjelmistosuunnittelun hallintaa.

Ilmailu: DO-178C / DO-254

Vaikka ilmailussa ei sovelleta suoraan 61508:aa, perusajatus on yhtenevä. Asiakirjat DO-178C (lentokoneohjelmistoille) ja DO-254 (laitteistolle) määrittelevät kriittisyystasot A–E virheen seurausten perusteella (lievistä haittavaikutuksista aina lentokoneen tuhoutumiseen). Analyysin, redundanssin, testauksen ja konfiguraationhallinnan menetelmät ovat käytännössä hyvin samankaltaisia kuin 61508:ssa – painopisteenä kuitenkin avionikan sertifioinnin yksityiskohtaiset säännöt.

SFS-EN IEC 61508: Periaatteet ja niiden käytännön merkitys

  1. Turvallisuuden elinkaari
    • Kattaa vaiheet: konseptin määrittelystä yksityiskohtaiseen suunnitteluun (laitteisto, ohjelmisto) sekä asennukseen, vastaanottoihin, käyttöön ja muutoksiin.
    • Näin ei tyydytä yhteen projektin lopussa tehtävään auditointiin, vaan turvallisuutta on arvioitava ja todennettava koko käyttöiän ajan.
  2. Turvallisuuden eheystasot (SIL)
    • Tasoja on neljä: SIL 1 – vähiten vaativa; SIL 4 – vaativin.
    • Kukin taso määrittää vaarallisen vikaantumisen todennäköisyyden sallitut rajat (esim. PFD harvoin kutsuttavassa toimintatavassa).
  3. Riskin arviointi ja dokumentointi
    • Ennen suunnittelun aloittamista on tiedettävä, mitä vaaroja on olemassa ja missä laajuudessa.
    • Dokumentaatio (analyysit, kuten HAZOP, FMEA, vikapuu) muodostaa järjestelmän selkärangan – tarkastuksessa tai auditoinnissa voit osoittaa suunnittelupäätöstesi perustelut.
  4. Riippumattomuus ja redundanssi
    • Redundanssi on tehokasta vain, jos kaksi (tai useampi) kanava ei vikaannu samanaikaisesti samasta syystä (yhteisen syyn viat).
    • Korkea SIL edellyttää useimmiten eri teknologioita, erillisiä sähkönsyöttöjä jne.
  5. Osaamisen hallinta
    • Turvallisuusjärjestelmien suunnittelusta ja ylläpidosta vastaavilla henkilöillä on oltava tehtävään pätevyys ja riittävä kokemus (standardi korostaa tätä nimenomaisesti).

Mitä SFS-EN 61508:n soveltamisesta saadaan

  1. Vähemmän vikoja ja seisokkeja – paremman riskienhallinnan ja vikojen aiemman havaitsemisen ansiosta.
  2. Säädöstenmukaisuus – asiakkaat, tarkastajat ja vakuutusyhtiöt edellyttävät usein sertifiointia tällaisten standardien mukaan.
  3. Luottamuksen kasvu – 61508 / 61511 / 62061 / EN 5012x:n mukaisesti suunniteltuja järjestelmiä pidetään luotettavampina.
  4. Pitkän aikavälin tehokkuus – vaikka käyttöönotto voi olla kallista, se auttaa pienentämään onnettomuuksista tai oikeudellisista ongelmista aiheutuvia mahdollisia menetyksiä.

SFS-EN IEC 61508: Yleisimmät virheet ja sudenkuopat

  1. Puutteellinen yhteisen syyn vikojen analyysi: redundantti järjestelmä voi pettää, jos kanavilla on sama sähkönsyöttö tai yhteinen tietoväylä.
  2. Rajoittuminen yhteen SIL-sertifioituun komponenttiin: se, että anturilla tai ohjaimella on SIL 2/3 -sertifikaatti, ei automaattisesti tarkoita, että koko järjestelmä on samalla tasolla – ratkaisevaa on kokonaisarkkitehtuuri (anturit, kaapelointi, ohjelmisto, toimilaitteet).
  3. Määräaikaistestien puute: harvoin toimivissa järjestelmissä testaus todellisissa olosuhteissa on välttämätöntä. Ilman sitä ei ole varmuutta, että turvatoiminto toimii kriittisellä hetkellä.
  4. Muutosten vaiheen sivuuttaminen: jos muutat edes pientä osaa ohjelmistosta tai vaihdat venttiilin, osa turvallisuuden elinkaaren vaiheista on tehtävä uudelleen – erityisesti muutoksen vaikutusanalyysi.
  5. Osaamisen laiminlyönti: suunnittelijasta kunnossapidon henkilöstöön – jokainen tarvitsee asianmukaisen koulutuksen, jotta toiminnallisen turvallisuuden periaatteita osataan noudattaa.

SFS-EN 61508 on lähtökohta, ja toimialakohtaiset standardit (SFS-EN 61511, 62061, EN 5012x, IEC 61513, DO-178C/254 jne.) sovittavat sen periaatteet kunkin teollisuudenalan erityispiirteisiin. Sinulle, turvallisuusjärjestelmien suunnittelijana tai käyttäjänä, tämä tarkoittaa:

  • Selkeät ja johdonmukaiset ohjeet siihen, miten lähestyä riskianalyysiä, SIL-tason määrittämistä ja järjestelmien testausta.
  • Tarve laatia yksityiskohtainen dokumentaatio – testipöytäkirjoista henkilöstön pätevyysmerkintöihin.
  • Suurempi varmuus siitä, että toteutetut ratkaisut täyttävät kansainväliset standardit ja ovat hyväksyttäviä asiakkaille sekä valvontaviranomaisille.

Lopulta, vaikka prosessi voi olla kallis ja aikaa vievä, SFS-EN 61508:n (tai sen ”johdannaisten”) asianmukainen käyttöönotto tarkoittaa pienempää onnettomuusriskiä, vakaampaa laitoksen toimintaa sekä parempaa mainetta alalla. Nämä standardit eivät siis ole ”turhaa paperityötä”, vaan tehokas työkalu, jolla voidaan suojata henkeä, terveyttä ja omaisuutta.

SFS-EN IEC 61508 – toiminnallisen turvallisuuden yleispätevä perusta

Tämä on standardi, joka määrittelee periaatteet riskin minimoimiseksi sähkö-, elektroniikka- tai ohjelmoitavaan tekniikkaan (E/E/PE) perustuvissa ohjausjärjestelmissä. Sitä pidetään usein toiminnallisen turvallisuuden toimialakohtaisten standardien perustana.

Standardi perustuu turvallisuuden elinkaariajatteluun, SIL-tasoihin, toiminnallisen turvallisuuden hallintaan sekä dokumentointiin. Näiden osa-alueiden tarkoituksena on varmistaa johdonmukainen lähestymistapa konseptista aina järjestelmän käytöstä poistamiseen asti.

SIL (1–4) ovat turvallisuuden eheyden tasoja, jotka määritetään turvallisuustoiminnoille ja jotka määrittävät luotettavuusvaatimukset. SIL 1 on vähiten tiukka ja SIL 4 tiukin.

Koneiden alueella standardin 61508 periaatteita kehitetään muun muassa standardeissa SFS-EN 62061 ja SFS-EN ISO 13849-1, ja prosessiteollisuudessa standardissa SFS-EN 61511 SIS- ja SIF-järjestelmiä varten. 61508 antaa yleisen menetelmällisen viitekehyksen, ja toimialakohtaiset standardit täsmentävät käyttöönoton vaatimuksia.

Suunnitteluanalyysien ja -päätösten dokumentointi mahdollistaa valittujen ratkaisujen perusteltavuuden osoittamisen auditoinnin tai tarkastuksen yhteydessä. Standardi korostaa myös tarvetta selkeästi määritellyille rooleille sekä turvallisuusjärjestelmiä suunnittelevien ja ylläpitävien henkilöiden pätevyydelle.

Jaa: LinkedIn Facebook