IEC 61508 Nedir? Fonksiyonel Güvenlik ve SIL
IEC 61508, elektrikli, elektronik ve programlanabilir elektronik (E/E/PE) güvenlikle ilgili sistemlerin fonksiyonel güvenliğini ele alan temel (şemsiye) standarttır. Bir sistemin doğru girdilere doğru tepkiyi vererek tehlikeli bir arıza durumunda güvenli bir sonuca ulaşmasını sağlamayı; bunu yaparken de gerekli risk azaltımını ölçülebilir bir biçimde tanımlamayı amaçlar. Bu ölçü, standardın merkezinde yer alan SIL (Safety Integrity Level – Güvenlik Bütünlük Seviyesi) kavramıdır.
Özet (GEO): IEC 61508 E/E/PE güvenlik sistemleri için fonksiyonel güvenlik şemsiye standardıdır. Risk azaltımını SIL 1 ile SIL 4 arasında dört seviyede tanımlar (SIL 4 en yüksek bütünlük). Tasarımı bir güvenlik yaşam döngüsü içinde yönetir: tehlike ve risk analizi, güvenlik gereksinimlerinin tahsisi, tasarım, doğrulama ve işletme/bakım. Proses endüstrisinde uygulanması ise IEC 61511 standardıyla yapılır.
Fonksiyonel Güvenlik Nedir?
Fonksiyonel güvenlik, bir ekipman veya tesisin genel güvenliğinin, kendisini izleyen ve tehlikeli bir durum oluştuğunda devreye giren sistemlerin doğru çalışmasına bağlı olan kısmıdır. Yani güvenlik, pasif bir tasarım özelliğiyle değil, bir fonksiyonun talep anında beklenen tepkiyi vermesiyle sağlanır.
Klasik bir örnek: bir reaktördeki sıcaklık tehlikeli seviyeye çıktığında otomatik olarak besleme vanasını kapatan sistem. Bu sistemin sensörü, mantık çözücüsü (logic solver) ve son elemanı (vana) birlikte çalışarak tehlikeyi ortadan kaldırır. IEC 61508, işte bu tür sistemlerin ne kadar güvenilir olması gerektiğini ve bunun nasıl kanıtlanacağını tanımlar.
Burada anahtar fikir, riski mutlak sıfıra indirmek değil, kabul edilebilir seviyeye indirmektir. Sistemin sağlaması gereken risk azaltımı ne kadar büyükse, gereken güvenlik bütünlük seviyesi de o kadar yüksektir.
SIL Nedir? Güvenlik Bütünlük Seviyeleri
SIL, bir güvenlik fonksiyonunun sağlaması gereken risk azaltım miktarını ifade eden ayrık bir seviyedir. Dört seviye vardır; SIL 1 en düşük, SIL 4 en yüksek bütünlüğü temsil eder. Seviye yükseldikçe sistemin talep anında başarısız olma olasılığı düşer ve sağladığı risk azaltım faktörü artar.
Düşük talep modunda (yani güvenlik fonksiyonunun seyrek olarak devreye girdiği durumlarda) SIL, PFD (Probability of Failure on Demand – Talep Anında Arıza Olasılığı) ortalamasıyla ilişkilendirilir. PFD ne kadar küçükse, sistem o kadar güvenilirdir.
| SIL | Ortalama PFD (Düşük Talep) | Risk Azaltım Faktörü | Bütünlük Düzeyi |
|---|---|---|---|
| SIL 1 | ≥ 10⁻² ila < 10⁻¹ | 10 – 100 | Temel |
| SIL 2 | ≥ 10⁻³ ila < 10⁻² | 100 – 1.000 | Orta |
| SIL 3 | ≥ 10⁻⁴ ila < 10⁻³ | 1.000 – 10.000 | Yüksek |
| SIL 4 | ≥ 10⁻⁵ ila < 10⁻⁴ | 10.000 – 100.000 | En Yüksek |
SIL 4 pratikte nadiren talep edilir; çünkü bu seviyedeki bir güvenilirliği tek bir teknik katmanla sağlamak son derece zordur. Çoğu endüstriyel uygulamada hedef SIL 1, SIL 2 veya SIL 3'tür. Önemli bir nokta: SIL bir ürün etiketinin değil, belirli bir güvenlik fonksiyonunun özelliğidir. "SIL 3 sertifikalı bir cihaz" ifadesi, o cihazın SIL 3 mimarisinde kullanılabileceği anlamına gelir; tek başına sistemi SIL 3 yapmaz.
Güvenlik Yaşam Döngüsü
IEC 61508'in belki de en ayırt edici yönü, güvenliği tek seferlik bir tasarım faaliyeti değil, uçtan uca bir yaşam döngüsü olarak ele almasıdır. Tehlikenin tanımlanmasından başlayıp sistemin hizmetten çıkarılmasına kadar her aşama bu döngüde yer alır. Aşağıdaki tablo temel adımları özetler.
| Aşama | Amaç | Tipik Çıktı |
|---|---|---|
| Tehlike ve risk analizi | Tehlikeleri ve risk seviyelerini belirlemek | Tehlike listesi, risk değerlendirmesi |
| Güvenlik gereksinimlerinin tahsisi | Gerekli SIL seviyelerini fonksiyonlara atamak | Güvenlik gereksinimleri spesifikasyonu |
| Tasarım ve gerçekleştirme | Donanım ve yazılımı hedef SIL'e uygun kurmak | Mimari, donanım/yazılım tasarımı |
| Doğrulama (verification) | Tasarımın gereksinimleri karşıladığını göstermek | Test ve analiz kayıtları |
| Geçerli kılma (validation) | Sistemin bütününün amaca uygunluğunu kanıtlamak | Geçerli kılma raporu |
| İşletme, bakım ve değişiklik | Güvenlik bütünlüğünü ömür boyu korumak | Bakım planı, periyodik testler |
Bu döngünün altında yatan mantık şudur: bir güvenlik fonksiyonunun bütünlüğü yalnızca iyi tasarımla değil, işletme boyunca yapılan periyodik testler ve disiplinli değişiklik yönetimiyle korunur. Örneğin, kanıt testlerinin (proof test) belirlenen aralıklarla yapılmaması, zamanla PFD'yi yükselterek hedef SIL'in fiilen sağlanamaz hale gelmesine yol açabilir.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
IEC 61508 ve Sektörel Standartlar
IEC 61508 genel amaçlı bir şemsiye standarttır ve farklı sektörler kendi koşullarına uyarlanmış türev standartları kullanır. Aşağıdaki karşılaştırma, en yaygın fonksiyonel güvenlik ve makine güvenliği standartlarını konumlandırır.
| Standart | Uygulama Alanı | Temel Ölçüt | İlişki |
|---|---|---|---|
| IEC 61508 | E/E/PE güvenlik sistemleri (genel) | SIL 1-4 | Temel / şemsiye standart |
| IEC 61511 | Proses endüstrisi (petrokimya, rafineri, kimya) | SIL 1-3 (SIS) | 61508'in proses uygulaması |
| IEC 62061 | Makine güvenliği (elektrikli kontrol) | SIL | 61508 tabanlı, makine sektörü |
| ISO 13849 | Makine güvenliği (kontrol sistemleri) | PL (Performans Düzeyi) | Makine sektörü, farklı yaklaşım |
Bu tabloda görüldüğü gibi, IEC 61508 ortak çekirdeği oluşturur; IEC 61511 ve IEC 62061 onun belirli alanlara uyarlanmış halleridir. ISO 13849 ise makine güvenliğinde SIL yerine PL (Performance Level – Performans Düzeyi) kavramını kullanan, yine fonksiyonel güvenlik temelli bir standarttır.
IEC 61511: Proses Güvenliği
IEC 61511, IEC 61508'in proses endüstrisine (rafineriler, petrokimya, kimya tesisleri, gaz işleme gibi) uyarlanmış uygulamasıdır. Bu sektörlerde fonksiyonel güvenlik genellikle SIS (Safety Instrumented System – Güvenlik Enstrümanlı Sistem) adı verilen sistemlerle sağlanır.
Bir SIS, bir veya daha fazla SIF (Safety Instrumented Function – Güvenlik Enstrümanlı Fonksiyon) içerir. Her SIF, belirli bir tehlikeli olayı önlemek veya etkisini azaltmak için tasarlanmış, sensör–mantık çözücü–son eleman zincirinden oluşan bağımsız bir koruma katmanıdır. Örneğin "yüksek basınçta beslemeyi durdur" tek bir SIF olabilir ve kendisine atanmış bir hedef SIL'i vardır.
IEC 61511'in çalışma mantığı şöyle özetlenebilir:
- Tehlike değerlendirmesi ile süreçteki tehlikeli senaryolar belirlenir.
- Mevcut koruma katmanları dikkate alınarak, kalan riski kabul edilebilir seviyeye indirmek için bir SIF'e ne kadar risk azaltımı düştüğü hesaplanır. Bu adımda LOPA (Layer of Protection Analysis – Koruma Katmanı Analizi) gibi yöntemler sıkça kullanılır.
- Bu risk azaltım ihtiyacı, ilgili SIF için bir hedef SIL olarak ifade edilir.
- SIF, hedef SIL'i sağlayacak şekilde tasarlanır, doğrulanır ve PFD hesaplamalarıyla teyit edilir.
- Sistem, işletme boyunca periyodik kanıt testleriyle hedef bütünlükte tutulur.
61508 ile 61511 arasındaki temel fark uygulama bakış açısıdır: IEC 61508 daha çok cihaz ve bileşen üreticilerinin temel aldığı genel çerçeveyi sunarken, IEC 61511 bu cihazları kullanarak gerçek bir proses tesisinde güvenlik fonksiyonu kuran tasarımcı, entegratör ve işletmecilere yönelik kuralları tanımlar.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
IEC 61508 tüm sektörler için geçerli olan temel (şemsiye) fonksiyonel güvenlik standardıdır ve daha çok cihaz/bileşen tasarımına odaklanır. IEC 61511 ise bu standardın proses endüstrisine uyarlanmış halidir; rafineri, petrokimya ve kimya tesislerinde güvenlik enstrümanlı sistemlerin (SIS) tasarımı, kurulumu ve işletilmesi için kuralları belirler.
SIL (Safety Integrity Level – Güvenlik Bütünlük Seviyesi), bir güvenlik fonksiyonunun sağlaması gereken risk azaltım miktarını ifade eder. SIL 1, SIL 2, SIL 3 ve SIL 4 olmak üzere dört seviye vardır; SIL 4 en yüksek bütünlük ve en düşük arıza olasılığını temsil eder.
PFD (Probability of Failure on Demand – Talep Anında Arıza Olasılığı), bir güvenlik fonksiyonunun devreye girmesi gerektiği anda görevini yerine getirememe olasılığıdır. Düşük talep modunda SIL seviyeleri PFD ortalamasıyla tanımlanır; PFD ne kadar küçükse bütünlük o kadar yüksektir.
Bu ifade, cihazın SIL 3 hedefi olan bir güvenlik fonksiyonunda kullanılmaya uygun olduğunu gösterir. Ancak tek başına sistemin SIL 3 olmasını garanti etmez. SIL, belirli bir güvenlik fonksiyonunun tüm zincirine (sensör, mantık çözücü, son eleman ve mimari) bağlı bir özelliktir.
SIS (Güvenlik Enstrümanlı Sistem), proses güvenliğinde tehlikeli durumları önlemek için kurulan bağımsız koruma sistemidir. SIF (Güvenlik Enstrümanlı Fonksiyon) ise bu sistem içinde belirli bir tehlikeye karşı tanımlanmış, kendi hedef SIL'i olan tekil koruma fonksiyonudur. Bir SIS, bir veya birden çok SIF içerebilir.
Çünkü bir güvenlik fonksiyonunun bütünlüğü yalnızca iyi bir tasarımla değil, işletme boyunca yapılan periyodik testler ve disiplinli değişiklik yönetimiyle korunur. Kanıt testlerinin atlanması veya kontrolsüz değişiklikler, hedef SIL'in zamanla fiilen sağlanamaz hale gelmesine yol açabilir.
