1. No category

MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
kirjoittaja:
Tekn. lis. Matti Sundquist, Sundcon Oy
otsikko:
Ohjelmistotyökalun Sistema käyttö koneiden turvatoimintojen suunnittelussa
julkaisupäivä: 12.4.2010
Artikkelin sisällysluettelo:
1
Johdanto ................................................................................................................................................ 2
1.1
Toiminnallinen turvallisuus ........................................................................................................... 2
1.2
Ohjelmistotyökalu Sistema ........................................................................................................... 2
1.2.1
Standardeihin perustuvien työkalujen edut .............................................................................. 2
1.2.2
Sistema-ohjelmistotyökalu........................................................................................................ 3
1.2.3
Työkalun ominaisuuksia ........................................................................................................... 3
1.2.4
Työkalun käyttäminen .............................................................................................................. 3
2
Turvatoiminnot ....................................................................................................................................... 3
3
Säädösten vaatimukset ......................................................................................................................... 4
4
Ohjausjärjestelmien turvallisuusstandardit ............................................................................................ 4
5
4.1
Toiminnallisen turvallisuuden perusstandardi IEC 61508 ............................................................ 4
4.2
Toiminnallisen turvallisuuden standardi IEC 62061 koneille ........................................................ 5
4.3
Yksinkertaistettu menetelmä koneiden ohjausjärjestelmien suunnitteluun ISO 13849 ................ 5
4.4
Ohjausjärjestelmästandardien IEC 62061 ja ISO 13849-1 soveltamisalat................................... 6
Standardin ISO 13849-1 mukainen suunnittelumenetelmä ................................................................... 6
5.1
Lähtökohdat.................................................................................................................................. 6
5.2
Riskin arviointi ja vaadittava suoritustaso..................................................................................... 7
5.3
Saavutetun suoritustason arviointi ............................................................................................... 8
5.3.1
Suoritustaso PL ........................................................................................................................ 8
5.3.2
Nimetyt rakenteet (Cat.) ........................................................................................................... 9
5.3.3
Keskimääräinen vaarallinen vikaantumisaika MTTFd ............................................................. 11
5.3.4
Diagnostiikan kattavuus DCavg................................................................................................ 12
5.3.5
Yhteisvikaantuminen CCF...................................................................................................... 12
5.3.6
Saavutetun suoritustason määrittäminen ............................................................................... 12
Metalliteollisuuden
Standardisointiyhdistys
ry
●
PL
10,
Koneturvallisuuden verkkojulkaisu: http://www.metsta.fi/koneturvallisuus
1 (13)
00131
Helsinki
●
email:
[email protected]
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
1 Johdanto
1.1 Toiminnallinen turvallisuus
Koneita ohjataan yhä enemmän ohjelmoitavalla elektroniikalla. Siten koneen turvallisuus riippuu yhä
enemmän ohjausjärjestelmän toteuttamista ohjaustoiminnoista. Sitä osuutta kokonaisturvallisuudesta,
joka riippuu järjestelmän oikeasta toiminnasta, kutsutaan toiminnalliseksi turvallisuudeksi (Functional
Safety).
Toiminnallisen turvallisuuden standardien mukaisesti toiminnallisen turvallisuuden oikea toiminta riippuu
kolmesta osa-alueesta:
a) Sähköisten, elektronisten tai ohjelmoitavien elektronisten
turvatoiminnot kuten valoverhon aikaan saama pysäytystoiminto.
järjestelmien
toteuttamat
b) Muuhun teknologiaan perustuvat järjestelmät, esimerkiksi mekaaninen jarru.
c) Ulkoiset riskin vähennysmenetelmät, esimerkiksi vaarallisten koneiden sijoitus erilliseen tilaan.
Standardit ISO 61508 (perusstandardi) [1] ja IEC 62061;2005 (koneet) [2] keskittyvät sähköisiin,
elektronisiin tai ohjelmoitaviin elektronisiin järjestelmiin, mutta standardit viittaavat myös kokonaisriskin
vähentämiseen. Standardi ISO 13849:2007 [3] käsittelee kaikkia eri teknologioita, jota käytetään
turvatoimintojen toteuttamiseen.
Kun ohjaustoimintoja toteutetaan elektronisilla järjestelmillä, on ongelmaksi tullut turvallisuuteen liittyvän
ohjaustoiminnon oikea toiminta eri tilanteissa ja kyseisen ohjaustoiminnon luotettavuus. Siten
toiminnallisen turvallisuuden varmistaminen on paitsi tekninen ongelma, myös laadunhallintakysymys.
Tässä artikkelissa keskitytään koneen ohjausjärjestelmän toteuttamien turvatoimintojen (ks. edellä kohta
a) suunnitteluun ja arviointiin ja erityisesti ohjelmistotyökalun Sistema käyttöön turvatoiminnon
luotettavuuden varmistamisessa.
Sistema-työkalu ei korvaa sitä osaamista, jota tarvitaan ohjaustoimintojen suunnittelussa. Sisteman
soveltamisalaan kuuluvien luotettavuusteknisten vaatimusten lisäksi standardissa ISO 13849-1 on useita
muitakin turvallisuuteen liittyviä vaatimuksia, jotka ohjausjärjestelmän suunnittelijan on otettava huomioon.
Siten turvallisuuteen liittyvän ohjausjärjestelmän suunnittelijan olisi Sistema-työkalun käytön ohessa
tutustuttava kyseiseen standardiin.
1.2 Ohjelmistotyökalu Sistema
1.2.1 Standardeihin perustuvien työkalujen edut
Siirryttäessä yhdenmukaisten suunnittelu- ja kelpuutusmenetelmien käyttöön saadaan välitöntä etua
kone- ja laitevalmistajille turvallisuuden varmistamisessa koska
•
voidaan välttää suunnitteluvirheitä, koska työkalujen avulla edetään askel kerrallaan ja käydään
läpi kohta kohdalta tärkeimpien vaatimusten täyttyminen
•
yhdenmukaisten käsitteiden käyttö vähentää väärinkäsityksiä ja karkeita virheitä, jotka voisivat olla
vakavia etenkin toiminnallisen turvallisuuden ja luotettavuuden varmistamisen kannalta
•
yhdenmukaisten menetelmien käyttö lisää eri ratkaisujen vertailukelpoisuutta
•
työkalut tekevät automaattisesti sekä määrällisiä että toiminnallisia mielekkyystarkasteluita ja
laskemia, jolloin vältetään laskuvirheitä
•
dokumenttien laadinta helpottuu, mikä on ensiarvoista toiminnallisen turvallisuuden
käytönaikaiseen varmistamiseen ja muutostöihin
•
dokumenttien avulla vaatimustenmukaisuuden varmistaminen helpottuu niin asiakkaiden kuin
viranomaistenkin suuntaan.
2 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
1.2.2 Sistema-ohjelmistotyökalu
Sistema-ohjelmistotyökalu [4] on Saksassa työturvallisuuden tutkimuslaitoksessa IFA (Institut für
Arbeitsschutz [5], ent. BGIA) kehitetty ja sen ylläpitämä tietokoneavusteinen suunnittelumenetelmä, joka
on tarkoitettu koneiden turvallisuuteen liittyvien ohjausjärjestelmien suunnitteluun. Menetelmä perustuu
kaikilta osin standardiin ISO 13849-1.
Työkalua kehitetään edelleen ja siihen otetaan jatkossa mukaan myös järjestelmän kelpuutuksen
menetelmät. Lähitulevaisuudessa työkalusta tehdään verkkokäyttöinen versio. Työkalu on julkaistu
saksan, englannin ja osittain ranskan kielillä. Se on parhaillaan käännettävänä espanjan, italian, japanin
ja ruotsin kielille. Suomenkielisen käännöksen on tehnyt Sundcon Oy, joka vastaa myös ohjelmiston
suomenkielisen version ylläpidosta. Mahdollisista virheistä ja puutteista pyydetään ilmoittamaan:
www.sundcon.fi.
Työkalu on ns. freeware eli vapaasti ladattavissa rekisteröitymällä Sistema/BGIA-verkkosivuilla työkalun
käyttäjäksi.
Tämä
koskee
myös
suomenkielistä
versiota.
Työkalun
osoite
on
http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp [4]. Työkalun käyttö on käyttäjän vastuulla.
Järjestelmävaatimukset:
•
Windows 2000, Windows XP tai Windows VistaMS
•
Internet Explorer 5.0 tai uudempi
•
30 MB vapaata levytilaa
•
Suositeltava näytön tarkkuus 1024 x 768 tai suurempi.
Turvallisuuteen liittyvien ohjaustoimintojen suunnitteluun standardin ISO 13849-1 avulla ja Sistematyökalun käytön helpottamiseksi on nykyisin saatavilla hyviä aineistoja, mm.:
−
SFS:n käsikirjassa 93-6 [6] on koneiden ohjausjärjestelmiä koskevien standardien lisäksi laajahko
suomenkielinen kuvaus standardissa ISO 13859-1 [3] esitettävästä suunnittelumenetelmästä ja
siihen liittyviä ohjeita.
−
IFA (ent. BGIA) on laatinut ohjekirjan, jossa selostetaan luotettavuustekniikan perusteita, kuvataan
Sistema-työkalun toimintaperiaatteet ja annetaan ohjeita sen käytöstä. Kirjan liitteenä on
esimerkkejä eri ratkaisuista eri vaatimustasoille ja kuvauksia siitä, miten niiden luotettavuutta on
arvioitu Sisteman avulla. Kirjan voi ladata ilmaiseksi IFA:n verkkosivulta (www.bgia.de/sistema)
saksan- tai englanninkielisenä.
1.2.3 Työkalun ominaisuuksia
Sistema-työkaluun kuuluu myös 37 malliesimerkkiä eri turvapiireistä ja –tekniikoista ja niiden
suunnittelusta Sistema-työkalun avulla. Järjestelmässä annetaan myös linkit useiden eri valmistajien
komponenttikirjastoihin.
Sistema-työkalun
avulla
voidaan
suunnittelun
kuluessa
vertailla
välittömästi
erilaisia
ohjausjärjestelmäratkaisuja ja tehdä niiden välillä järjestelmän optimointia. Työkalun avulla voidaan
tunnistaa luotettavuuden kannalta heikoimmat lenkit. Tällöin voidaan parannusmenetelmät kohdentaa
tarkasti ja näin nopeuttaa hankkeiden toteuttamista ja säästää kustannuksia. Työkalu suorittaa hankalat
luotettavuustekniset laskelmat Markovin dynaamisten mallien avulla ns. nimetyille rakenteille (designated
architectures), jotka ovat samoja arkkitehtuuriluokkia (kategoriat, Cat.) kuin vanhassa kumotussa
standardissa EN 954-1.
1.2.4 Työkalun käyttäminen
2 Turvatoiminnot
Koneen toiminnallista turvallisuutta voidaan lisätä ensisijaisesti varmistamalla, että koneen käyttöön
liittyvien ohjaustoimintojen toiminta (tai toimimattomuus) ei voi aiheuttaa vaaraa ja tekemällä ne riittävän
luotettaviksi (esim. odottamattoman käynnistyksen estäminen). Usein tämä ei riitä, jolloin tarvitaan
koneeseen erikseen henkilöturvallisuuden vuoksi lisättävä turvatoimintoja, esimerkiksi suojusten kytkentä
3 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
koneen toimintaan (interlocking). Turvatoiminnolla tarkoitetaan tässä näitä kaikkia turvallisuuteen liittyviä
ohjaustoimintoja.
Toiminnalliseen turvallisuuteen kuuluu kaksi lähtökohtaa:
1. Turvatoimintojen oikea toiminta, joka perustuu riskin arvioinnin tuloksiin ja vaatimusmäärittelyyn.
Turvatoiminnoilla estetään ei-toivottuja toimintoja.
2. Turvatoimintojen luotettavuus, joka perustuu riskin arvioinnin tuloksista johdettuihin
suoritustasoihin (Performance Level, PL, standardi ISO 13849-1, [3]) tai turvallisuuden eheyden
tasoihin (Safety Integrity Level, SIL, standardi IEC 62061, [2]).
Toiminnallisen turvallisuuden varmistamiseen kuuluu laitteistoa ja ohjelmistoa koskevien vaatimusten
sekä systemaattisten virheiden välttämisen vaatimukset (mm. suunnitteluvirheet).
3 Säädösten vaatimukset
Uudessa konedirektiivissä (2006/42/EY, [7]) ja sitä vastaavassa valtioneuvoston asetuksessa koneiden
turvallisuudesta (koneasetus VNa 400/2008, [8]), jotka tulivat pakottavana voimaan 29.12.2009, esitetään
koneiden hallintajärjestelmiä koskevia yleisiä vaatimuksia.
Koneasetuksen vaatimukset ohjausjärjestelmälle:
•
•
•
•
•
•
•
•
Turvallisuus ja luotettavuus (mm. toimintavaatimukset)
Hallintalaitteet (mm. ergonomiset vaatimukset)
Käynnistäminen (mm. odottamattoman käynnistyksen estämisen toimenpiteet)
Pysäytys (mm. turvalliseen tilaan saattaminen)
Toimintatavan valinta (mm. turvatoiminnot automaattisesti mukana)
Energiansyötön häiriöt (mm. tehonsyötön valvonta)
Ohjauspiirin häiriöt (mm. ohjausjärjestelmän luotettavuus)
Ohjelmistot (mm. ohjelmistokehitys)
Koneturvallisuusstandardeissa esitetään tarkempia teknisiä vaatimuksia, joiden avulla voidaan tulkita
konedirektiiviä ja koneasetusta.
Työtapaturmatilastojen mukaan automaattisilla koneilla sattuneiden vakavien ja kuolemaan johtaneiden
työtapaturmien syiden suurin ryhmä on automaattisten koneiden odottamaton käynnistyminen.
Automaattisen koneen odottamaton käynnistyminen voi johtua:
1 Suunnitteluvirheestä: riskin arvioinnissa, vaatimusmäärittelyssä tai toteutuksessa on puutteita tai
virheitä.
2 Satunnaisvikaantumisista: ohjausjärjestelmä ei täytä sille riskin arvioinnin perusteella vaadittavaa
suoritustasoa PL tai turvallisuuden eheyden tasoa SIL.
Ensimainittu eli suunnitteluvirheet tai -puutteet ovat huomattavasti useammin tapaturman syynä kuin
satunnaisvikaantumiset. Siten toiminnallisen turvallisuuden hallintaan ja koneen suunnitteluprosessiin olisi
kiinnitettävä aikaisempaa enemmän huomiota.
4 Ohjausjärjestelmien turvallisuusstandardit
4.1 Toiminnallisen turvallisuuden perusstandardi IEC 61508
2000-luvun alkuvuosina valmistuneessa toiminnallisen turvallisuuden yleisessä perusstandardissa IEC
61508 osat 1…7 [1] esitetään vaatimuksia ja ohjeita sähköisten, elektronisten ja ohjelmoitavien
elektronisten
ohjausjärjestelmien
toiminnallisen
turvallisuuden
suunnitteluun,
toteutukseen,
4 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
käyttöönottoon sekä käyttöön ja kunnossapitoon. Standardissa esitetään järjestelmällinen ja
elinkaaritarkasteluun perustuva lähestymistapa, joka soveltuu kaikkien eri alojen tekniseen turvallisuuteen
liittyviin järjestelmiin. Eri aloille on valmisteltu ja edelleenkin valmistellaan tämän perusstandardin
mukaisia sovellusstandardeja
Näissä kaikissa IEC:n standardeissa toiminnallisen turvallisuuden vaatimukset turvatoiminnoille esitetään
turvatoimintojen turvallisuuden eheyden tasojen avulla (Safety Integrity Level, SIL).
4.2 Toiminnallisen turvallisuuden standardi IEC 62061 koneille
Sovellusstandardi koneille (IEC 62061 [2]) on suppeampi kuin perusstandardi IEC 61508. Standardissa
IEC 62061 esitetään lähestymistavat, vaatimukset ja menetelmät turvatoimintojen toiminnan ja
luotettavuuden varmistamiseksi. Näissä menetelmissä otetaan huomioon sähköisen, elektronisen ja
ohjelmoitavan elektronisen ohjausjärjestelmän laitteiston satunnaisten ja systemaattisten vikaantumisten
sekä yhteisvikaantumisten todennäköisyydet ja niiden seuraukset sekä kuvataan proseduurit
turvallisuuteen liittyvien ohjelmistojen kehittämiseen. Laitteiston vikatarkastelut perustuvat vikatarkasteluihin (esim. vika- ja vaikutusanalyysi tai vikapuuanalyysi).
Standardin IEC 62061 luotettavuustarkastelut perustuvat todennäköisyyslaskentaan ja se soveltuu
erityisesti
koneisiin
liitettävien
turvajärjestelmien
suunnittelijoille,
kuten
koneiden
automaatiojärjestelmien
suunnittelijoille,
koneiden
turvallisuuteen
liittyvien
sähköisten,
elektronisten ja ohjelmoitavien elektronisten ohjausjärjestelmien ja niiden komponenttien
(laitteistot ja ohjelmistot) suunnittelijoille ja toteuttajille. Standardi on tarkoitettu asiantuntijoille,
joilla on kokemusta luotettavuustekniikasta sekä todennäköisyyslaskennasta. Standardin käyttö
edellyttää, että käytettävissä on riittävästi tietoja järjestelmään kuuluvien osien tai komponenttien
vikaantumisominaisuuksista.
Huom. Standardin IEC 62061 määritelmä alajärjestelmästä (subsystem, SB) vastaa standardin ISO
13849-1 määritelmää turvallisuuteen liittyvästä ohjausjärjestelmän osasta (Safety Related Parts of Control
System, SRP/CS).
4.3 Yksinkertaistettu menetelmä koneiden ohjausjärjestelmien suunnitteluun ISO 13849
Nykyaikaisten ohjausjärjestelmien laajuuden ja monimutkaisuuden johdosta myös niiden todentamis- ja
kelpuutusproseduurit ovat varsin työläitä. Standardin IEC 62061 todennäköisyyslaskentaan perustuvien
menetelmien käyttö voi olla tavallisille koneenrakentajille vaikeata ilman ulkopuolista apua.
Standardissa ISO 13849-1:2008 [3] esitettävä yksinkertaistettu menetelmä on tarkoitettu helpottamaan
koneiden ohjausjärjestelmien suunnittelua, todentamista ja kelpuutusta. Standardi EN ISO 13849-1 on
hyväksytty EU:n konedirektiiviin liittyväksi yhdenmukaistetuksi EN-standardiksi, joten sen mukaisesti
suunniteltujen ja valmistettujen ohjausjärjestelmien oletetaan täyttävän myös konedirektiivin olennaiset
terveys- ja turvallisuusvaatimukset. Standardi ISO 13849-1 on täysin uudistettu versio vanhasta CENin
standardista EN 954-1 vuodelta 1996, joka on kumottu, mutta jonka asema yhdenmukaistettuna uuteen
konedirektiiviin liittyvänä standardina loppuu 31.12.2011.
Standardi ISO 13849-1 on tarkoitettu koneiden suunnittelijoille ja niille, jotka yhdistävät ohjausjärjestelmiä
koneeseen sekä muille, jotka ovat mukana turvallisuuteen liittyvän ohjausjärjestelmän suunnittelussa,
toteutuksessa ja ylläpidossa. Standardi sopii varsinkin tilanteisiin, joissa koneenrakentaja toteuttaa
turvatoimintoja valmiista laite- ja ohjelmistokomponenteista ja joiden luotettavuuden on niiden
alkuperäinen valmistaja jo varmistanut ja useimmiten myös osoittanut sertifioinnilla. Standardin käyttö
edellyttää luotettavuustekniikan perusteiden osaamista, mutta se ei edellytä todennäköisyyslaskennan
matemaattisten menetelmien erityisosaamista.
ISO 13849-standardisarjaan kuulu myös jo aikaisemmin julkaistu ohjausjärjestelmien kelpuutusta
käsittelevä standardi ISO 13849-2 [9], joka koskee standardin ISO 13849-1 mukaisesti suunnitellun
ohjausjärjestelmän kelpuutusta. Siinä on laaja liiteosa, jossa esitetään turvallisuuden perusperiaatteet ja
erilaisiin teknologioihin kuuluvien komponenttien tietoja (muun muassa komponenttien vikamuotoja).
Standardi EN ISO 13849-2 on parhaillaan uusittavana vastaamaan uusittua standardia ISO 13849-1.
5 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
Huom. Standardin ISO 13849-1 määritelmä turvallisuuteen liittyvästä ohjausjärjestelmän osasta vastaa
standardin IEC 62061 määritelmää alajärjestelmästä.
4.4 Ohjausjärjestelmästandardien IEC 62061 ja ISO 13849-1 soveltamisalat
Standardia ISO 13849-1 voidaan soveltaa, jos vaadittu riskin pienentäminen on vähäistä tai
ohjausjärjestelmän osuus riskin pienentämisessä on vähäinen. Standardi sopii myös tilanteisiin, joissa
turvatoiminnolla on kiinteästi langoitettu varmistus ja/tai varmistuksissa on muutoin pitkälle viety erottelu
(divergenssi). Standardiin voidaan nojautua myös kun ohjausjärjestelmän osina käytetään luotettavasti
sertifioituja osia (laite- tai ohjelmistomoduuleja). Muussa tapauksessa sovelletaan standardia IEC 62061.
Molempien standardien johdannossa on taulukko, jossa esitetään tarkempia suosituksia standardien
soveltamisaloista. Tämä taulukko tullaan poistamaan molemmista standardeista ja korvaamaan teknisellä
raportilla ISO/TR 23849 [10]. Raportissa esitetään erot molempien standardien välillä ja osoitetaan
laskentaesimerkillä, että standardeilla on hyvä yhteensopivuus. Raportti tullaan julkaisemaan standardina.
Standardin IEC 62061 soveltamisalaan kuuluvat vain sähköiset, elektroniset ja ohjelmoitavat elektroniset
ohjausjärjestelmät. Muilla teknologioilla toteutettuja ohjausjärjestelmän osia voidaan suunnitella
standardin ISO 13849-1 avulla ja myös käyttää näitä osia suoraan standardin IEC 62061 avulla
suunnitellun järjestelmän alajärjestelminä.
Standardin ISO 13849-1 soveltamisalaan kuuluvat kaikilla eri teknologioilla toteutetut ohjausjärjestelmät
(sähköiset, elektroniset, ohjelmoitavat elektroniset, hydrauliset, pneumaattiset, mekaaniset
ohjausjärjestelmät). Standardin IEC 62061 avulla suunniteltuja alajärjestelmiä voidaan käyttää suoraan
standardin ISO 13849-1 avulla suunnitellun ohjausjärjestelmän osina.
Siten esimerkiksi logiikkayksikköjen tai valosähköisen turvalaitteen valmistaja saattaa käyttää
suunnittelussa myös standardia IEC 62061 ja koneenrakentaja, joka asentaa sertifioituja turvalogiikoita tai
valoverhoja konejärjestelmään, voi mieluummin käyttää standardeja ISO 13849-1 ja -2.
5 Standardin ISO 13849-1 mukainen suunnittelumenetelmä
5.1 Lähtökohdat
Standardi ISO 13849-1 sisältää ohjausjärjestelmän suunnitteluprosessin lähtien riskin arvioinnista
järjestelmän kelpuutukseen.
Standardin ISO 13849-1 keskeiset kohdat
- suunnitteluprosessin kuvaus
- ohjausjärjestelmän toteuttamien turvatoimintojen ominaisuudet
- riskin arviointi
- ohjausjärjestelmän turvallisuuteen liittyvien osien vaatimusten ja niiden suoritustasojen
määrittäminen
- turvatoimintojen suorituskyvyn arviointimenetelmä
- ohjelmiston kehittäminen, konfigurointi ja parametrointi
- testaukset
- kelpuutuksen periaatteet
- järjestelmän dokumentointi
- muutosten hallinta
- sovellusesimerkkejä
Kuten standardissa IEC 62061 myös tässä standardissa luokitellaan vaatimukset turvatoiminnolle
kyseiseltä toiminnolta vaadittavan riskin pienentämisen mukaisesti. Turvallisuuteen liittyvä luotettavuus
esitetään tässä standardissa suoritustasojen avulla (Performance Level, PL), jotka vastaavat likimain
standardissa IEC 62061 esitettäviä turvallisuuden eheyden tasoja, SIL (kuva 1).
6 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
Kuva 1 Suoritustasojen PL ja turvallisuuden eheyden tasojen SIL suurimmat sallitut
keskimääräisen vaarallisen vikaantumisen todennäköisyydet tuntia kohden PFHd [1/h], joka on
myös vikataajuus. Sen käänteisluku MTTFd [vuotta] ilmaisee keskimääräisen vaarallisen
vikaantumisajan
PFHd -arvo on turvatoiminnon epäluotettavuutta mittaava arvo, jossa vikaantumisen ohella otetaan
huomioon myös muita sen luotettavuuteen vaikuttavia ja tavallisesti sitä parantavia ominaisuuksia kuten
järjestelmän redundanssi (kahdennukset) ja diagnostiikka.
Huom. MTTFd -arvo on yksittäisen fyysisen komponentin tai kanavan testauksen tai kokemuksen
perusteella saatu arvo.
5.2 Riskin arviointi ja vaadittava suoritustaso
Turvallisuuteen liittyvän ohjausjärjestelmän kelpuutuksessa on osoitettava, että turvatoimintojen
saavuttamat suoritustasot PL täyttävät riskin arvioinnin tulosten perusteella määritetyn vaadittavan
suoritustason, PLr.
Koneen kokonaisriskin pienentäminen tehdään tavallisesti paitsi suojuksilla (esim. aitaukset, mekaaniset
lukitukset) ja varolaitteilla (esim. mekaaniset varoventtiilit), myös turvatoiminnoilla (esim. valoverho,
ohjelmalliset lukitukset).
Riskiä voidaan siten pienentää sekä ohjausjärjestelmästä riippumattomilla että siitä riippuvilla
toimenpiteillä. Turvatoiminnon vaatimustaso riippuu vain sen riskin suuruudesta, joka on tarkoitus
pienentää kyseisen turvatoiminnon avulla (ks. kuva 2).
Kuva 2 Turvatoimintojen aikaansaama riskin pienentäminen riippuu kokonaisriskistä ja
turvatoimintojen osuudesta riskin pienentämisessä (standardin ISO 13849-1 kuva 2)
Sekä standardin ISO 13849-1 että Sistema-työkalun mukaisesti vaadittava suoritustaso PLr voidaan
määrittää suoraan riskigraafilla (kuva 3).
7 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
Kuva 3 Riskigraafi vaadittavan suoritustason PLr määrittämiseksi (standardin ISO 13849-1 liite A.2)
Standardissa ISO 13849-1 on ohjeita riskitekijöiden S, F ja P valintaan.
Tämä riskigraafi on lähtökohtana myös Sistema-työkalussa määritettäessä suunnittelun alussa
turvatoiminnolta vaadittavaa suoritustasoa PLr.
Vaadittava suoritustaso voidaan määrittää myös standardin IEC 62061 pisteytysmenetelmän avulla,
jolloin riskiparametrien avulla saadaan ensin vaadittava turvallisuuden eheyden taso SIL ja sitten kuvan 2
taulukosta saadaan vastaava vaadittava suoritustaso PLr.
5.3 Saavutetun suoritustason arviointi
5.3.1 Suoritustaso PL
Standardin ISO 13849-1 mukainen turvatoiminnon saavuttaman suoritustason arviointi (PL) eroaa
standardista IEC 62061 (SIL). Standardissa 13849-1 esitetään yksinkertaistettu menetelmä, jota voi
käyttää turvatoiminnon saavuttaman suoritustason arviointiin ilman hankalaa todennäköisyyslaskentaa.
Menetelmä perustuu kahteen keskeiseen parametriin (MTTFd, DCavg), yhteisvikaantumisten CCF
tarkistamiseen ja yleisesti käytössä oleviin rakenteisiin (nimetyt rakenteet, luokat, Cat), joiden avulla
kyseisen alajärjestelmän suoritustaso saadaan arvioitua.
Alajärjestelmän suoritustason arviointiin tarvittavat tiedot
–
keskimääräinen vaarallinen vikaantumisaika (Mean Time To Dangerous failure, MTTFd)
–
keskimääräinen diagnostiikan kattavuus (Average Diagnostic Coverage, DCavg)
–
yhteisvikaantuminen (Common Cause failure, CCF) kahden (tai useamman) kanavan
järjestelmässä
–
nimetyt rakenteet (luokat, Cat.)
Muita huomioon otettavia tekijöitä
–
turvatoiminnon käyttäytyminen järjestelmän ollessa vikaantunut
–
turvallisuuteen liittyvä ohjelmisto
–
systemaattiset vikaantumiset
–
järjestelmän kyky suorittaa turvatoiminto ennakoitavissa olevissa ympäristöolosuhteissa.
Standardissa ISO 13849-1 esitetään vaiheittain etenevä yksinkertaistettu proseduuri ohjausjärjestelmän
suunnitteluun ja järjestelmän saavuttaman suoritustason arviointiin.
8 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
Sistema-työkalussa ylimpänä tasona on projekti, joka voidaan missä suunnitteluvaiheessa tahansa
tallentaa käyttäjän omalle koneelle. Projektiin kuuluvat tarkasteltavat turvatoiminnot, joita kutakin erikseen
toteuttava järjestelmä mallinnetaan alajärjestelmien muodostamaksi sarjamuotoiseksi rakenteeksi.
Rakennetta kehitetään edelleen alemmille tasoille kuvassa 4 esitettävän hierarkian mukaisesti.
Huom. Standardissa ISO
ohjausjärjestelmän osiksi.
13849-1
näitä
alajärjestelmiä
kutsutaan
turvallisuuteen
liittyvän
Ohjaustoimintojen suorituskyvyn PL arviointimenetelmän vaiheet Sistema-työkalun avulla
1. Järjestetään turvatoiminnot (5.3.2 ja kuva 4) kuvaamalla niitä toteuttava hierarkia kuvaamalla
-
turvatoiminto alajärjestelmien avulla
-
alajärjestelmät nimettyjen rakenteiden mukaisten kanavien avulla
-
kanavat lohkojen avulla
-
lohkot elementtien avulla
2. Määritetään MTTFd- ja DCavg -arvot sekä tarkistetaan CCF (5.3.3, 5.3.4 ja 5.3.5).
3. Määritetään alajärjestelmien saavuttama suoritustaso nimettyjen rakenteiden avulla (nimettyjen
rakenteiden suoritustasot on standardissa laskettu valmiiksi)(5.3.6).
4. Tarkistetaan saavutettu suoritustaso ja verrataan sitä vaadittavaan suoritustasoon (5.3.6)
5. Tarkistetaan systemaattiset virheet (ohjelmisto, ympäristötekijät yms., standardin ISO 13859-1
liite G).
5.3.2 Nimetyt rakenteet (Cat.)
Standardin nimetyt rakenteet perustuvat vanhan kumotun standardin EN 954-1 vastaaviin luokkiin B, 1, 2,
3 ja 4 (Categories), ks. kuva 4.
Kuva 4 Nimetyt rakenteet (luokat, Cat: B, 1, 2, 3 ja 4)
Kuvassa 5 on esimerkki tyypillisestä kolmen alajärjestelmän rakenteesta, joilla kaikilla on erilaiset nimetyt
rakenteet ja myös saavutetut suoritustasot PL voivat olla erilaiset.
9 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
Kuva 5 Kolmen sarjamuodossa olevan alajärjestelmän lohkokaaviokuvaus (standardin kuva H.2).
Ensimmäinen alajärjestelmä kuuluu nimettyyn rakenteeseen 1 (valvottu kanava), toinen kuuluu
nimettyyn rakenteeseen 4 (kahdennetut valvotut kanavat) ja kolmas kuuluu nimettyyn
rakenteeseen 1 (hyvin koetellut komponentit, ks. ISO 13849-2)
Sistema-työkalussa muodostetaan ohjausjärjestelmän arkkitehtuuri rakentamalla turvatoimintoa toteuttava
ohjausjärjestelmä hierarkkisesti ylhäältä alaspäin:
1. Turvatoiminto kuvataan toiminnallisilla lohkoilla, jossa turvatoimintoa toteuttavat sarjamuotoisesti
yhdistetyt alajärjestelmät (esimerkiksi anturit, logiikka, kontaktorit)
2. Alajärjestelmät sovitetaan nimettyihin rakenteisiin (luokat, Cat). Tämä on perusedellytyksenä
standardin käytölle ja voi joskus edellyttää joko ohjausjärjestelmän rakenteen muuttamista tai
siirtymistä standardin IEC 62061 käyttöön.
3. Nimetyt rakenteet muodostuvat kanavista, jotka ovat turvasignaalin yksikäsitteisiä kulkureittejä.
Koska luokissa 3 ja 4 turvatoiminto voi edetä kahdennettuja kanavia pitkin, rinnakkaiset kanavat
on ”symmetrisoitava”, mikä tapahtuu automaattisesti Sistema-työkalun toimesta.
4. Kanavat puolestaan muodostuvat toisiinsa sarjamuotoisesti yhdistetyistä lohkoista (tyypillisesti
laitteita). Sama lohko/laite voi toteuttaa eri turvatoimintoja.
5. Lohkoissa voi olla eri tavoin yhdistettyjä elementtejä (tyypillisesti komponentteja).
Kuvassa 6 esitetään Sistema-työkalun hierarkkinen rakenne.
10 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
Kuva 6 Sistema-työkalussa esitettävä hierarkia: PR=projekti, SF=turvatoiminto, SB=alajärjestelmä,
CH/TE = kanava/testikanava, BL=lohko, EL=elementti
Sistema-työkalu laskee automaattisesti alajärjestelmän parametrien MTTFd- ja DCavg -arvot alhaalta
ylöspäin. Vaihtoehtoisesti ennalta annetut arvot (esim. laitevalmistajien antamat arvot) voidaan syöttää
suoraan mille tasolle tahansa. Kun alajärjestelmän nimetty rakenne (luokka, Cat) on valittu, Sistematyökalu laskee alajärjestelmän saavuttaman suositustason PL.
5.3.3 Keskimääräinen vaarallinen vikaantumisaika MTTFd
Suoritustason määrittämisen lähtökohtana ovat komponenttitiedot.
Komponenttitietojen ensisijaisuusjärjestys
1. Käytetään valmistajan antamia tietoja. Valmistajan antamat tiedot ovat muita vaihtoehtoja
tarkemmat, koska ne koskevat valmistajan itsensä valmistamia ja mahdollisesti testaamia osia
tai komponentteja.
2. Käytetään julkisia tietokantoja, esim. Internetissä. Standardin ISO 13849-1 lopussa liitteessä
”Kirjallisuus, Tietokantoja” on viittaukset kahdeksaan erilaiseen tietokantaan.
3. Käytetään standardin liitteissä C esitettäviä karkeita likiarvoja. Niitä on tulkittava vain suuntaaantavina eikä niitä ei ole syytä käyttää ilman tarkempaa arviointia komponentin
ominaisuuksista ja niiden soveltuvuudesta kyseisen turvatoiminnon toteutukseen.
4. Valitaan komponentin MTTFd -arvoksi 10 vuotta. Tämä on mahdollista vain yksinkertaisissa
järjestelmissä, joissa turvatoimintojen suoritusvaatimukset ovat vähäisiä.
Standardissa ISO 13949-1 esitetään yksinkertainen ”komponenttien laskenta menetelmä” yksittäisen
kanavan MTTFd -arvon laskemiseen siihen kuuluvien komponenttien MTTFd -arvojen avulla.
Ohjausjärjestelmän yksikanavaisten alajärjestelmien MTTFd -arvo on sama kuin sen yksittäisen kanavan
MTTFd-arvo. Kahden rinnakkaisen kanavan muodostaman ohjausjärjestelmän osan kanavat on
symmetrisoitava (ks. ISO 13849-1 liite D.2). Ohjausjärjestelmän osien MTTFd -arvot luokitellaan karkeasti
kolmeen luokkaan: matala, keskimääräinen ja korkea.
Sistema-työkalussa alajärjestelmien MTTFd -arvot lasketaan suoraan näiden parametrien ja nimettyjen
rakenteiden avulla. Sistema-työkalu tekee nämä laskelmat ja kanavien symmetrisoinnin automaattisesti ja
tarkemmin.
Sistema-työkalussa on myös mahdollista, että suunnittelija antaa tiedossa olevat parametrien arvot
suoraan mille hierarkiatasolle tahansa. Muutoin Sistema-työkalu laskee alemmilta tasoilta parametrien
arvot sen yläpuolella oleville hierarkiatasoille.
11 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
5.3.4 Diagnostiikan kattavuus DCavg
Standardissa ISO 13849-1 annetaan suuntaa-antavia arvoja diagnostiikan kattavuudelle liitteessä E ja
sama esitetään aputaulukkona Sistema-työkalussa.
Sistema-työkalu laskee alajärjestelmän keskimääräisen diagnostiikan kattavuuden laitteiden tai
komponenttien diagnostiikan kattavuuksien avulla standardin ISO 13849-1 liitteissä E.2 ja I.4.2 esitettävän
kaavana avulla. Sistema-työkalu tekee nämä laskelmat automaattisesti käytettävissä olevien tietojen
mukaisesti alemmilta tasoilta ylöspäin.
5.3.5 Yhteisvikaantuminen CCF
Sistema-työkalussa esitetään sellaisenaan standardissakin oleva arviointimenetelmä yhteisvikaantumiselle. Menetelmässä esitetään erilaisille yhteisvikaantumisen estämisen toimenpiteiden
toteuttamiselle painotettujen pistearvoja. Tavoitteena on saada 65 pistettä sadasta.
Kuva 7 Yhteisvikaantumisten estämisen kriteerien otsikot (toimenpiteet) ja painotetut pistearvot
(standardi ISO 13849-1 liite F)
Sekä standardissa ISO 13849-1 että Sistema-työkalussa annetaan tarkemmat ohjeet pistearvojen
valinnasta.
5.3.6 Saavutetun suoritustason määrittäminen
Lopuksi arvioidaan koko turvatoiminnon suoritustaso PL yhdistämällä sarjamuodossa olevat
alajärjestelmät, jolloin turvatoiminnon saavuttama suoritustaso PL on enintään alimmalla suoritustasolla
olevan alajärjestelmän mukainen tai sitä alempi (ks. ISO 13849-1 taulukko 11). Sistema-työkalussa tämä
tapahtuu automaattisesti laskemalla ja lopputulos on siten tarkempi. Sistema-työkalu esittää tulokset
välittömästi päivitettynä näytöllä.
Jos sarjamuotoisessa rakenteessa on paljon alajärjestelmiä peräkkäin, huononee luotettavuus erityisesti
huonoimpien komponenttien vaikutuksesta. Tämä otetaan standardissa ISO 13849-1 huomioon taulukon
11 avulla. Sistema-työkalu ottaa tämän näkökohdan automaattisesti huomioon laskennan yhteydessä.
Lopuksi tarkistetaan, että saavutettu suoritustaso PL on vähintään samalla tasolla kuin riskin arvioinnista
saatu vaadittava suoritustaso PLr. Lopputulos ilmoitetaan esimerkiksi muodossa ”ISO 13849-1 Luokka x
PL y”.
12 (13)
MetSta ry » Verkkojulkaisut » Koneturvallisuus » Artikkelit » Nro 09/2010 » 12.4.2010 » Matti Sundquist, Sundcon Oy
Viiteluettelo1
[1]
SFS-EN 61508-0…7 Sähköisten/elektronisten/ohjelmoitavien elektronisten turvallisuuteen liittyvien järjestelmien
toiminnallinen turvallisuus (7 osaa) (IEC 61508)
[2]
SFS-EN 62061 Koneturvallisuus. Turvallisuuteen liittyvien sähköisten, elektronisten ja ohjelmoitavien elektronisten
ohjausjärjestelmien toiminnallinen turvallisuus (IEC 62061)
[3]
SFS-EN ISO 13849-1 Koneturvallisuus.
suunnitteluperiaatteet (ISO 13849-1)
[4]
Software-Assistent SISTEMA - Safety Integrity Software Tool for the Evaluation of Machine Applications; A Tool for the
Easy Application of the Control Standard EN ISO 13849-1 http://www.dguv.de/ifa/en/pra/softwa/sistema/index.jsp
[5]
IFA (ent. BGIA) Institute for Occupational Safety and Health of the German Social Accident Insurance (IFA)
http://www.dguv.de/ifa/en/index.jsp
[6]
SFS-käsikirja. Koneiden turvallisuus. Ohjausjärjestelmät. 2. uudistettu painos. 2008
[7]
2006/42/EY EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI, annettu 17 päivänä toukokuuta 2006, koneista
ja direktiivin 95/16/EY muuttamisesta (uudelleen laadittu)
[8]
VNa 400/2008 Valtioneuvoston asetus koneiden turvallisuudesta
[9]
SFS-EN ISO 13849-2 Koneturvallisuus. Turvallisuuteen liittyvät ohjausjärjestelmien osat. Osa 2: Kelpuutus (ISO 138492)
[10]
SFS 5972 EHD (ISO/TR 23849:2010 ja IEC/PAS 61810-2) Opastusta standardien ISO 13849-1 ja IEC 62061
soveltamiseksi koneen turvallisuuteen liittyvien ohjausjärjestelmien suunnittelussa (Guidance on the application of ISO
13849-1 and IEC 62061 in the design of safety-related control systems for machinery) (julkaistaan 2010)
[11]
SFS-käsikirja 93-6 Koneiden turvallisuus. Osa 6: Ohjausjärjestelmät
Turvallisuuteen
1
liittyvät
ohjausjärjestelmien
osat.
Osa
1:
Yleiset
Tarkemman tiedot voimassa olevista SFS- ja EN- ja ISO-standardeista sekä SFS-käsikirjoista löytyy
SFS-verkkokaupasta:
http://sales.sfs.fi/
ja
SFS-käsikirjojen
osalta
myös
osoitteesta:
http://www.sfs.fi/julkaisut/sfs_julkaisut/sfs_kasikirjat/
13 (13)