VAASAN YLIOPISTO TEKNILLINEN TIEDEKUNTA SÄHKÖTEKNIIKKA Hanna-Kaisa Kemppainen YDINVOIMALAN OHJELMISTOPOHJAISTEN SÄHKÖ- JA AUTOMAA- TIOJÄRJESTELMIEN KELPOISTUSPROSESSIMALLI Diplomityö, joka on jätetty tarkastettavaksi diplomi-insinöörin tutkintoa varten Vaasassa 1.10.2014 Työn valvoja Professori Kimmo Kauhaniemi Työn ohjaaja DI Matti Vaaheranta Työn tarkastaja Professori Timo Vekara 1 ALKULAUSE Tein diplomityöni Teollisuuden Voima Oyj:n (TVO) Olkiluodon sähkötekniikan toimis- tossa. Aihe oli mielenkiintoinen ja moniulotteinen, mikä teki siitä myös haastavan. Eri- tyisen mielenkiintoista oli havaita miten laajasta kokonaisuudesta kelpoistuprosessissa on kyse ja miten monet organisaatiot osallistuvat prosessin eri vaiheisiin. Työni aiheesta, ohjauksesta, neuvoista ja kannustuksesta haluan kiittää esimiestäni ja ohjaajaani Matti Vaaherantaa. Lisäksi kiitos kuuluu TVO:n työntekijöille, jotka auttoi- vat ja neuvoivat minua kelpoistusprosessimallia kehittäessäni. Haluan kiittää myös Vaasan yliopiston valvojaani, professori Kimmo Kauhaniemeä, saamastani opastuksesta ja neuvoista. Lämmin kiitos kuuluu poikaystävälleni, perheelleni ja ystävilleni saamastani tuesta ja kannustuksesta opintojen sekä tämän työn aikana. Rauma 13.8.2014 Hanna-Kaisa Kemppainen 2 SISÄLLYSLUETTELO ALKULAUSE 1 SYMBOLI- JA LYHENNELUETTELO 4 TIIVISTELMÄ 6 ABSTRACT 7 1 JOHDANTO 8 1.1 Työn tausta 9 1.2 Teollisuuden Voima Oyj 10 1.3 Työn tavoitteet ja rajaus 11 1.4 Tutkimusmenetelmä 12 1.5 Työn rakenne 14 2 YDINVOIMALAT JA TURVALLISUUS 15 2.1 Ydinvoimalan toimintaperiaate 15 2.2 Ydinturvallisuus 16 2.2.1 Riski- ja turvallisuusanalyysi 17 2.2.2 Turvallisuussuunnittelu 19 2.2.3 Turvallisuusjärjestelmien suunnittelu 22 2.2.4 Turvallisuusjärjestelmät 24 2.3 Ohjelmistopohjaiset järjestelmät ja laitteet 27 3 OHJELMISTOPOHJAISEN JÄRJESTELMÄN KELPOISTAMINEN 29 3.1 Kelpoistussuunnitelma 30 3.2 Kelpoistusmenetelmät 31 3.3 Standardit ja YVL-ohjeet 33 3.3.1 Noudatettavat YVL-ohjeet 34 3.3.2 Noudatettavat standardit 35 3.4 Vaatimustenhallinta ja vaatimusmäärittely 38 3.5 Konfiguraationhallinta 42 3.5.1 Versionhallinta 44 3.5.2 Muutostenhallinta 45 3.6 Laatusuunnitelma 46 3.7 Dokumentointi 47 3.8 Kelpoistusproseduuri 48 4 KELPOISTUSPROSESSIMALLIN KEHITTÄMINEN 51 4.1 Valmis kelpoistuprosessimalli 52 4.1.1 Esiselvitysvaihe 53 4.1.2 Projektin suunnitteluvaihe 54 4.1.3 Perussuunnitteluvaihe 55 4.1.4 Toteutussuunnitteluvaihe 56 4.1.5 Toteutus- ja käyttövaihe 57 3 5 KELPOISTUSPROSESSIMALLIN TOIMIVUUDEN OSOITTAMINEN 59 5.1 Tapaus 1: Ultraäänivirtausmittari. 59 5.2 Tapaus 2: Suojarele 62 5.3 Tapaus 3: Päähöyryputken säteilynmittausjärjestelmä 63 5.4 Tapaus-tarkastelujen yhteenveto 64 6 YHTEENVETO 66 LÄHDELUETTELO 69 LIITTEET 84 Liite 1. Mikael Eklöfin kehittämä lisensointiprosessimalli. 84 Liite 2. Testimetodit standardista IEC 60880. (Muokattu lähteestä IEC 60880 2013: 185–189.) 85 Liite 3. Kaavio standardissa IEC 60880 esitetystä kelpoistuksesta. (Muokattu lähteestä IEC 60880 2006: 117.) 89 Liite 4. Kelpoistusprosessimalli 90 4 SYMBOLI- JA LYHENNELUETTELO ALARA As Low As Reasonably Achieavable AGR Advanced Gas-Cooled Reactor, kaasujäähdytteinen grafiittimoderoitu reaktori BWR Boiling Water Reactor, kiehutusvesireaktori CI Cinfiguration Item, konfiguraatioyksikkö CM Configuration Management, konfiguraationhallinta COTS Components Off the Shelf, ”suoraan hyllyltä” otettavat tuotteet DID Defence-In-Depth, syvyyspuolustus periaate ETA Ennakkotarkastusaineisto EYT Ei ydinteknisesti turvallisuusluokiteltu FBR Fast Breeder Reactor, hyötyreaktori GCR Gas Cooled Reaktor, kaasujäähdytteinen reaktori HCM Hardware Configuration Management, laitteiston konfiguraation- hallinta HWR Heavy Water Reactor, raskasvesireaktori IAEA International Atomic Energy Agency, kansainvälinen atomiener- giajärjestö ICRP International Commission on Radiological Protection, kansainvälinen säteilyturvakeskus IEC International Elecrotechnical Commission, kansainvälinen sähköalan standardiorganisaatio IEEE Institute of Electrical And Electronics Engineering, kansainvälinen tekniikan alan järjestö ISO International Organization for Standardization, kansainvälinen standardijärjestö ITP Inspection and Testing Plan, tarkastus- ja testaussuunnitelma LOCA Loss Of Coolant Accindent, jäähdytteenmenetysonnettomuus LWR Light Water Reactor, kevytvesireaktori OL1 Olkiluodon voimalaitosyksikkö 1 OL2 Olkiluodon voimalaitosyksikkö 2 OL3 Olkiluodon voimalaitosyksikkö 3 OL4 Olkiluodon voimalaitosyksikkö 4 PRA/ PSA Probabilistic Risk/Safety Assessment, todennäköisyyspohjainen riski- 5 analyysi PWR Pressurized Water Reactor, painevesireaktori RBMK Reaktor Bolshoy Moshchnosti Kanalnyy, Neuvostoliiton aikainen grafiittimoderoitu paineputkireaktori RE Requirement Engineering, vaatimustenhallinta SAHARA Safety As High As Reasonably Achievable SAM Severe Accident Management, vakavien onnettomuuksien hallinta SCM Software Configuration Management, ohjelmiston konfiguraation- hallinta SFS Suomen Standardisoimisliitto ry SIL Safety Integrity Level, turvallisuuen eheyden taso STUK Säteilyturvakeskus TET Turvallisuuden eheyden taso TVO Teollisuuden Voima Oyj TVONS TVO Nuclear Services Oy VCS Version Control System, versionhallintajärjestelmä WTC World Trade Center YVL Ydinvoimalaitos 6 VAASAN YLIOPISTO Teknillinen tiedekunta Tekijä: Hanna-Kaisa Kemppainen Diplomityön nimi: Ydinvoimalan ohjelmistopohjaisten sähkö- ja auto- maatiojärjestelmien kelpoistusprosessimalli Valvoja: Professori Kimmo Kauhaniemi Ohjaaja: Diplomi-insinööri Matti Vaaheranta Tarkastaja: Professori Timo Vekara Tutkinto: Diplomi-insinööri Oppiaine: Sähkötekniikka Opintojen aloitusvuosi: 2009 Diplomityön valmistumisvuosi: 2014 Sivumäärä: 91 TIIVISTELMÄ Teollisuuden voima Oyj:lle (TVO) turvallisuuskriittisen ajattelun noudattaminen niin ydinvoimakäytössä kuin järjestelmien kunnossapidossa on tärkeä Voimalaitoksen toi- minnan turvallisuus taataan jo suunnitteluvaiheessa noudattamalla säädettyjä lakeja sekä viranomaisten laatimia määräyksiä ja ohjeita, joita noudatetaan myös ydin-voimalan käytössä. Ydinvoimalan järjestelmien ja laitteiden turvallisuus, luotettavuus ja sopivuus tarkoitettuun tehtävään todetaan kelpoistuksen avulla. Diplomityössä perehdyttiin kelpoistusprosessin etenemiseen sekä standardeihin ja Sätei- lyturvakeskuksen laatimiin uusiin YVL (ydinvoimalaitos) -ohjeisiin, joita kelpoistuk- sessa tulee noudattaa. Tavoitteena oli luoda TVO:n käyttöön ohjelmistopohjaisille säh- kö- ja automaatiojärjestelmille tarkoitettu kelpostusprosessimalli, jota pystyttäisiin hyö- dyntämään myös muissa sovelluksissa tapauskohtaiset muutokset huomioiden. Kelpois- tusprosessimalli luotiin helpottamaan kelpoistuksen etenemisen seurantaa sekä selkeyt- tämään kelpoistuksen eri vaiheissa toteuttettavien tehtävien roolijakoa. Kelpoistusprosessimallin toimivuutta testattiin kolmella case-tyyppisellä testillä, joiden avulla prosessimallin toimivuus laitteelle, ohjelmapohjaiselle laitteelle sekä järjestelmäl- le saatiin selvitettyä. Tarkastelukohteina olivat suojarele, ultraäänivirtausmittari ja pää- höyryputken säteilynmittausjärjestelmä. Tarkasteluista saatujen tulosten perusteella voi- daan todeta kelpoistusprosessimallin täyttävän tehtävänsä. Joitakin muutoksia prosessi- malliin kuitenkin oli tehtävä, jotta se soveltuisi paremmin esimerkiksi yksittäisille lait- teille. Kehitetty kelpoistusprosessimalli noudattaa YVL E.7 -ohjetta ollen linjassa mui- den TVO:n prosessimallien kanssa. AVAINSANAT: Kelpoistusprosessimalli, ohjelmistopohjainen järjestelmä, ydinturval- lisuus 7 UNIVERSITY OF VAASA Faculty of technology Author: Hanna-Kaisa Kemppainen Topic of the Thesis: Qualification Process Model for Programmable Electrical and Automation systems of Nuclear Pow- er Plant Supervisor: Professor Kimmo Kauhaniemi Instructor: M. Sc. Tech. Matti Vaaheranta Evaluator: Professor Timo Vekara Degree: Master of Science in Elctrical Egineering Major of Subject: Electrical Engineering Year of Entering the University: 2009 Year of Completing the Thesis: 2014 Pages: 91 ABSTRACT Following safety critical thinking in the nuclear power plant’s use and in the mainte- nance of its systems is important for Teollisuuden Voima Oyj (TVO). The safety of the nuclear power plant is guaranteed already in the design stage by following the relevant laws, specifications and rules composed by authorities. These are also followed in the use of the nuclear power plant. The safety, reliability and suitability of a nuclear power plant’s system for its intended purpose and its conformance to the aforementioned rules are proved by qualification. This thesis explored how the qualification process proceeds and the standards that have to be obeyed. It also investigated the new YVL-guidelines composed by Finnish Radia- tion and Nuclear Safety Authority, and how they have to be applied to the qualification process. The goal was to provide TVO with a qualification process model for pro- grammable electrical and automation systems, which could be also used in other appli- cations by taking their differences into account on a case-by-case basis. The qualifica- tion process model was created for ease of monitoring a system’s advancement in the qualification process and to clarify the division of labour in the different stages of the qualification process. The qualification process was tested using three case-type tests, which demonstrated the suitability of process for qualifying programmable and non-programmable devices as well as larger systems. Among the test targets were a relay, an ultrasound flow meter and a radiation measurement system of main steampipe. According to results of the test, the qualification process model works as it should. However, some changes had to be done so it would be more suitable to, for example, the individual devices. The qualifica- tion process model follows YVL E.7 -reference and is also in line with other TVO's process models. KEYWORDS: Qualification process model, programmable system, nuclear safety 8 1 JOHDANTO Ydinvoimaa alettiin käyttää sähköntuotantoon 1950-luvulla. Maailman ydinvoimaloiden kapasiteetti kasvoi noin 1 GW:stä yli 100 GW:hen tultaessa 1970-luvulle. Kapasiteetin kasvuun ovat vaikuttaneet sähkönkäytön lisääntyminen sekä 1970-luvulla tapahtunut öljykriisi, jolloin ydinvoimaa lisäämällä pyrittiin öljyriippumattomuuteen. Tultaessa vuoteen 2011 maailmalla oli käytössä 436 ydinreaktoria, joiden yhteinen kapasiteetti oli 370 GW. Kuvassa 1 voidaan nähdä ydinvoimaloiden yhteisen kapasiteetin kehitys vuo- silta 1995–2012. European Nuclear Societyn (2014) mukaan ydinvoimaloiden yhteinen kapasiteetti on kasvanut vuoteen 2014 mennessä 372 GW:iin. Tästä kapasiteetista Suo- men voimalaitokset tuottivat noin 2,8 GW, josta Olkiluodon kummankin käyvän voima- laitoksen nettoteho on 880 MW ja Loviisan voimalaitosten nettoteho puolestaan 496 MW. (Kessler 2012: 1−2; Vattenfall 2014; TVO 2014e; European Nuclear Society 2014; Henriksson 2012.) Kuva 1. Maailman ydinvoimaloiden yhteisen kapasiteetin kehittyminen vuosina 1995–2012. (Muokattu lähteestä European Nuclear Society 2014.) Ydinvoiman historiaan kuuluu myös kolme suurta ydinvoimalaonnettomuutta (Three Mile Island, Tšernobil ja Fukushima), joista on otettu oppia ydinturvallisuuteen. Viran- omaiset ovat uudistaneet ohjeitaan ja määräyksiään muun muassa näiden onnettomuuk- 9 sien myötä, jotta ydinvoimaloiden turvallisuus pystyttäisiin takaamaan paremmin eikä vastaavia onnettomuuksia tapahtuisi enää. (Vattenfall 2014.) Jotta ydinvoimalan toiminta olisi turvallista ja luotettavaa, tulee järjestelmien ja sen lait- teiden ja ohjelmistojen luotettava ja turvallinen toiminta pystyä takaamaan. Turvallisen toiminnan osoittamisessa käytetään kelpoistusta, jonka tarkoituksena on osoittaa tuot- teen täyttävän sille asetetut vaatimukset. (Wang, Azarian & Pecht 2008.) Tässä työssä keskitytään kelpoistamiseen ja kelpoistusprosessimallin kehittämiseen. Kehitettävän kelpoistusprosessimallin testaukseen käytetään ohjelmistopohjaista ultraäänivirtausmit- taria, suojarelettä sekä päähöyryputken säteilymittausjärjestelmää. Näiden avulla pyri- tään tarkastelemaan prosessimallin toimivuutta ja soveltuvuutta erilaisille ohjelmisto- pohjaisille tuotteille 1.1 Työn tausta Tämä diplomityö on tehty Teollisuuden Voima Oyj:lle (TVO), jolle ydinvoimalaitosten turvallisen ja luotettavan toiminnan varmistaminen on yhtiön toiminnan pääkriteeri. Ydinvoimalan turvallisuutta on ylläpidettävä sekä kehitettävä jatkuvasti, jotta voimalan järjestelmät laitteineen ja ohjelmistoineen pysyisivät ajan tasalla. Kehityksessä on huo- mioitava aikaisemmat käyttökokemukset, tekniikan kehittyminen ja turvallisuustutki- mustulokset sekä lainsäädännöt ja viranomaisen ohjeet. (Työ- ja elinkeinoministeriö 2010: 9–13; TVO 2014 f.) Viime vuosikymmenten aikana sähkö- ja automaatiotekniikka ovat kehittyneet ja auto- maatiolaitteissa nojataan enemmän ohjelmoitavaan elektroniikkaan. Lisäksi ohjelmisto- tuotteet ja -tekniikka ovat kehittyneet muun tekniikan rinnalla ja tarjoavat uusia mahdol- lisuuksia. Tekniikan kehittymisen myötä ydinvoimaloiden vanhalla tekniikalla toimivat järjestelmät ja niiden laitteistot ovat haastavia ylläpitää, koska varaosien saatavuus ja tekninen tuki ovat heikentyneet. Tämän takia ydinvoimalan järjestelmiä ja laitteistoja on jouduttu uusimaan ikääntymisen lisäksi. Osa uusista järjestelmistä ja laitteista on ohjel- mistopohjaisia, joissa toiminnot toteutetaan ajamalla suorittimella ohjelmakoodi. Osa 10 ohjelmistopohjaisista järjestelmistä ja laitteista ei kuitenkaan ole uudelleen ohjelmoita- vissa valmistuksen jälkeen. (YVL E.7 2013: 28; Halminen 2001: 8.) Uudet turvallisuusluokkien 2 ja 3 järjestelmät ja laitteet on todettava luotettaviksi ja so- veltuviksi niille suunniteltuun käyttöympäristöön, mikä toteutetaan kelpoistamalla. Oh- jelmistopohjaisten laitteiden kelpoistaminen on haastavaa, sillä ohjelmiston testaaminen on vaikeaa monien testitapausten ansiosta. Turvallisuuskriittisten järjestelmien ja lait- teiden luotettavuus on kuitenkin pystyttävä todistamaan, minkä takia ohjelmistopohjais- ten järjestelmien ja laitteiden ohjelmistokehitykseltä vaaditaankin korkealaatuista suun- nittelutyötä. Järjestelmien kelpoistamisen onnistumisen takaamiseksi on noudatettava paitsi viranomaisen määräyksiä myös soveltuvia standardeja, joiden avulla suunnittelu- työ ja tuotteen kelpoistus toteuttavat kaikki vaaditut vaatimukset. (VTT 2003: 12; Kasu- rinen 2013: 10–13; Halminen 2001: 8.) 1.2 Teollisuuden Voima Oyj Teollisuuden Voima Oyj (TVO) on vuonna 1969 perustettu listaamaton julkinen osake- yhtiö, jota perustamassa oli 16 suomalaista teollisuus- ja ydinvoimalaitosyhtiötä. Tällä hetkellä TVO:n omistajuus jakautuu kuuden yhtiön kesken, jotka ovat Pohjolan Voima Oy, Fortum Power and Heat Oy, Oy Mankala Ab, EPV Energia Oy, Kemira Oyj sekä Karhu Voima Oy. Näistä TVO:n suurin omistaja on Pohjolan Voima, jonka konserniin kuuluvat myös TVO:n tytäryhtiöt TVO Nuclear Services Oy (TVONS), Olkiluodon Ve- si ja Perusvoima sekä yhteistyöyritys Posiva Oy. Posiva Oy rakentaa muun muassa For- tumin ja TVO:n ydinvoimaloiden ydinjätteiden loppusijoitusonkaloa. (Yli-Nikkilä 2012: 9; Posiva 2014; TVONS 2014; TVO 2014d.) TVO:n tarkoituksena on tuottaa omistajilleen sähköä omakustannushintaan. Sähköä yh- tiö tuottaa kahdella omistamallaan ydinvoimalaitoksella, Olkiluoto 1 (OL1) ja Olkiluoto 2 (OL2), jotka sijaitsevat Olkiluodon voimalaitosalueella. Voimalaitosyksiköiden kau- pallinen käyttö aloitettiin vuosina 1979 (OL1) ja 1982 (OL2). OL1 ja OL2 ovat mo- lemmat kiehutusvesireaktorilaitoksia (Boiling Water Reactor, BWR). Näiden rinnalle rakennetaan kolmatta voimalaitosyksikköä, Olkiluoto 3 (OL3), joka on painevesireakto- 11 rilaitos (Pressurized Water Reactor, PWR). Olkiluodon voimalaitosalueen kolmen lai- tosyksikön lisäksi suunnitteilla on Olkiluoto 4 (OL4). Vuoden 2010 heinäkuussa edus- kunta vahvisti valtioneuvoksen myönteisen periaatepäätöksen OL4:n rakentamisesta. (TVO 2013a: 5; Yli-Nikkilä 2012: 9.) 1.3 Työn tavoitteet ja rajaus Työn tarkoituksena on kehittää TVO:lle kelpoistusprosessimalli, jota käytettäisiin osoi- tettaessa ohjelmistopohjaisen järjestelmän ja sen laitteiston sekä ohjelmiston luotetta- vuus ja toimivuus tarkoitetussa käyttöympäristössä. Kelpoisusprosessimallia tulisi voida soveltaa tarvittaessa myös ei-ohjelmistopohjaisille sähkö- ja automaatiolaitteille ja -järjestelmille tapauskohtaiset muutokset huomioiden, esimerkiksi vaativuusaste. Työs- sä selvitetään kelpoistuksen kannalta tärkeät standardit ja noudatettavat YVL-ohjeet, joita on noudatettava laitoksella käyttöönotettavien järjestelmien ja sen laitteiden kel- poistuk-sessa. Erityisesti tutkittavana ovat ohjeet ja vaatimukset, jotka vaikuttavat vaa- timusmäärittelyyn, kelpoistusprosessin etenemiseen ja itse kelpoistukseen. Kelpoistusprosessimallin tehtävänä on helpottaa kelpoistusprosessin toteuttamista ja auttaa vaiheiden ja etenemisen seurannassa. Lisäksi kelpoistusprosessimallin avulla sel- vennetään roolien jakoa TVO:n, viranomaisen ja toimittajan välillä sekä TVO:n sisäi- sessä suunnittelussa. Prosessimallin tehtävä on auttaa alusta alkaen hahmottamaan, mitä dokumentteja tulee laatia ja lähettää viranomaiselle. Tässä työssä keskitytään turvallisuuskriittisiin ohjelmistopohjaisiin sähkö- ja automaa- tiojärjestelmiin. Lisäksi kelpoistusprosessimallissa pääpaino on TVO:n tehtävissä ja suunnittelussa eikä niinkään esimerkiksi toimittajan suunnittelutyössä, vaikka mallin avulla pyritään varmistamaan myös toimittajan työnlaadun olevan halutulla tasolla. 12 1.4 Tutkimusmenetelmä Tutkimusmenetelmiä ja erilaisia lähestymistapoja on useita ja ne soveltuvat erilaisille tutkimuskohteille. Esimerkiksi metodologisia tutkimusotteita ovat kuvassa 2 esitetyt tutkimusotteet, joista tässä diplomityössä sovelletaan konstruktiivista tutkimusotetta. Alun perin konstruktiivinen tutkimus kehitettiin liiketalouden alalle, mutta sitä on alettu soveltaa yhä enemmän myös teknisillä aloilla, lääketieteessä sekä matematiikassa laajan potentiaalinsa takia. Se on innovatiivista, kokeellista ja soveltavaa tutkimusta, jossa hyödynnetään aikaisempaa teoreettista tietämystä tutkittavasta ongelmasta. Ratkaisu ongelmaan pyritään löytämään kehitettävän konstruktion avulla. Konstruktio voi olla esimerkiksi malli, kaavio tai suunnitelma. Sen tärkein tavoite on toimivuus. (Rohweder & Virtanen 2008: 11; Eskelinen 2010: 17; Aho 2006: 5−6; Lukka 2001; Lauronen 2003: 3.) Kuva 2. Metodologisen tutkimuksen eri tutkimusotteet. (Lukka 2001.) Konstruktiivisessa tutkimuksessa on hieman päätöksentekometodologisen tutkimuksen piirteitä. Molemmissa muun muassa teoreettinen päättely ja analysointi ovat tärkeässä roolissa konstruktiota kehitettäessä. Erona näillä menetelmillä on, että konstruktiivisessa tutkimuksessa halutaan testata kehitetyn konstruktion käytännön toimivuutta. Lisäksi konstruktiiviseen tutkimusotteeseen sisältyy myös käsiteanalyyttisiä tutkimuksen piir- teitä. Käsiteanalyyttinen tutkimus on kuvailevaa ja teoriapainotteista tutkimusta, jossa pyritään määrittämään tutkimuksen keskeinen käsite. Se piirteet näkyvät konstruktiivi- 13 sessa tutkimuksessa erityisesti tutkimusaiheen ja käsitteiden määrittelyssä. (Aho 2006: 5−6; Alanko 2010: 12; Metsävainio 2013: 19; Lukka 2001; Lauronen 2003: 3; Eskeli- nen 2010: 17.) Konstruktiivinen tutkimus on rinnastettavissa tapaustutkimukseen eli case-tutkimukseen yhtenäisten piirteiden ansiosta. Konstruktiivisessa tutkimuksessa muun muassa kehite- tyn ratkaisun toimivuus testataan tapaustutkimukselle ominaisesti vain muutamalla tut- kimuskohteella. Lisäksi konstruktiivisessa tutkimuksessa käytetään tapaustutkimuksen tavoin havainnointia, haastatteluja ja arkistojen analysointia tiedon keruussa. Lukka (2001) kuitenkin huomauttaa, että konstruktiivisessa tutkimuksessa pyritään tekemään teoreettisia johtopäätöksiä empiiriseen työhön perustuen. Tutkimukselle ominaista on- kin selvittää, miten ennalta tiedetty päämäärä voitaisiin saavuttaa. Lisäksi konstruktiivi- selle tutkimukselle keskeiset elementit ovat kuvan 2 mukaisesti tosielämän ongelmaan keskittyminen, teorian kytkeminen osaksi kehitettävää konstruktiota, konstruktion tes- taaminen käytännössä sekä tutkimuksesta saadun teoreettisen kontribuution kytkeminen osaksi teoriaa. (Aho 2006: 5−6; Lukka 2001; Lauronen 2003: 3) Kuva 3. Konstruktiivisen tutkimusotteen ydinpiirteet. (Lukka 2001.) Aineisto kelpoistusprosessimallin kehittämiseen kerätään aikaisempien kokemuksien, aihetta koskevan teorian, standardien ja uusien YVL-ohjeiden avulla. Tällä tavoin pyri- tään määrittämään keskeisin käsite, kelpoistus, sekä ymmärtämään tutkimuskohdetta. Lisäksi huolella kootun teorian avulla varmistetaan kehitettävän prosessimallin lopputu- loksen laadullisuus ja toimivuus. Näiden lisäksi konstruktioon vaikuttavat myös idea valmiista kelpoistusprosessimallista sekä sille esitetyt vaatimukset ja tavoitteet. Kehite- 14 tyn kelpoistusprosessimallin toimivuutta käytännössä arvioidaan valittujen, kolmen ta- pauskohtaisen tarkastelun avulla sekä analysoimalla saatuja tuloksia. Tarkastelujen yh- teydessä toteutetaan myös haastattelu, jossa pyritään selvittämään tarkasteluun osallis- tuneen henkilön mielipide mallin toimivuudesta ja kehittämistarpeista. Toimivan ja on- nistuneen konstruktion piirteitä ovat helppokäyttöisyys, yksinkertaisuus sekä asianmu- kaisuus (Blinnikka 2002: 5). Tältä työltä ei odoteta teoreettista kontribuutiota olemassa olevaan teoriaan. 1.5 Työn rakenne Työssä perehdytään aluksi lyhyesti Olkiluodon ydinvoimalayksiköiden toimintaan ja hieman tarkemmin voimalaitosten turvallisuuden varmistamiseen muun muassa riski- analyysien ja turvallisuussuunnittelun avulla. Tavoitteena on antaa yleiskäsitys ydin- voimalaitoksen toiminnasta, toiminnan turvallisuuden varmistamisesta ja siihen liitty- vistä, noudatettavista turvallisuus- ja vaatimusmääräyksistä, jotka tulee huomioida niin kelpoistusprosessissa kuin voimalaitoksen toiminnassa. Tämän jälkeen selvitetään kelpoistukseen kuuluvat elementit kuten kelpoistusmenetel- mät sekä vaatimusmäärittelyt, jotka on huomioitava kelpoistusprosessissa. Tarkoitukse- na on antaa yleinen kuva siitä, mitä kaikkea tulee huomioida kelpoistusprosessissa, ja miten moniulotteinen prosessi on. Työssä pyritään myös selventämään, mikä rooli itse kelpoistuksella on koko prosessissa. Mallin testaamisesta kerrotaan kolmen esimerkkitapausten avulla. Tarkasteluihin on va- littu suojarele, ultraäänivirtausmittari ja päähöyryputken säteilynmittausjärjestelmä. Näiden avulla pyritään selvittämään, miten hyvin luotu kelpoistusprosessimalli soveltuu tehtäväänsä kussakin tarkastelutapauksessa. Saatujen tulosten perusteella voidaan poh- tia, miten prosessimallia voisi kehittää tulevaisuudessa. Ennen tarkasteluja esitellään kelpoistusprosessimalli ja kerrotaan sen kehittämisestä ja kehityksen aikana ilmenneistä haasteista. Lopuksi nivotaan koko työ yhteen sekä kerrotaan näkemyksiä ja parannuseh- dotuksia tulevaisuutta varten. 15 2 YDINVOIMALAT JA TURVALLISUUS Maailmalla kaupalliseen käyttöön suunniteltuja ja rakennettuja voimalaitosreaktoreita on seitsemää eri tyyppiä, jotka voidaan luokitella muun muassa hidastimen, polttoaineen tai jäähdytteen mukaan. Yleisimpiä reaktorityyppejä ovat painevesireaktori ja kiehutus- vesireaktori, joista käytetään yhteistä nimitystä kevytvesireaktori (Light Water Reactor, LWR). Muita käytössä olevia reaktoreita ovat muun muassa raskasvesijäähdytteinen reaktori (Heavy Water Reactor, HWR), kaasujäähdytteinen grafiittimoderoitu reaktori (Advanced Gas-Cooled Reactor, AGR), kaasujäähdytteinen reaktori (Gas Cooled Reac- tor, GCR), hyötyreaktori(Fast Breeder Reactor, FBR) sekä Neuvostoliitossa kehitetty grafiittimoderoitu paineputkireaktori (Reaktor Bolshoy Moshchnosti Kanalnyy, RBMK) (Kessler 2012: 73−108; TVO 2014c; World Nuclear Association 2010: STUK 2013e.) Reaktorien tehtävänä on tuottaa lämpöä polttoaineesta. Lämpö saadaan reaktoreissa ta- pahtuvalla fissioreaktiolla, jota ylläpidetään ja säädetään. Vikatilanteissa reaktiota pyri- tään hidastamaan tai pysäyttämään. Vaikka fissioreaktio saadaan pysäytettyä, reaktoria joudutaan jäähdyttämään noin vuoden ajan, sillä polttoainesauvoissa tapahtuvasta kor- kea-aktiivisesta halkeamisesta syntyvä lämpöenergia kykenee sulattamaan reaktoriyti- men. (Honkanen 2013; Kessler 2012: 4−6.) Vikatilanteiden varalle ydinvoimalat on va- rustettu moninkertaisilla turvallisuustoiminnoilla ja turvallisuuslaitteilla, joiden avulla voimalaitosten ydinturvallisuus pystytään takaamaan. Tässä luvussa perehdytään kevytvesireaktorivoimalaitosten toimintaperiaatteeseen ly- hyesti sekä käydään läpi ydinturvallisuuteen liittyviä tekijöitä, joiden avulla varmiste- taan ydinvoimaloiden turvallinen ja luotettava toiminta. Lisäksi osiossa keskitytään oh- jelmistopohjaiseen tekniikkaan, jonka käyttöön ydinvoimaloissa siirrytään vähitellen. 2.1 Ydinvoimalan toimintaperiaate Suomen ydinvoimaloiden reaktorit ovat kevytvesireaktoreita, joissa veden tehtävänä on toimia hidasteena ja jäähdyttimenä. Kevytvesireaktoreiden toimintaperiaate vastaa ta- vanomaisen höyryvoimalaitoksen toimintaa, jossa vesihöyryn avulla pyöritetään turbii- 16 nia. Se puolestaan pyörittää samalla akselilla olevaa sähkögeneraattoria, jonka tehtävänä on muuttaa turbiinista saatavan liike-energia sähköenergiaksi. Voimalaitoksien erona on veden höyrystymiseen tarvittavan lämpöenergian syntyminen. Höyryvoimaloissa läm- pöenergia saadaan polttoaineen, kuten öljyn tai hiilen polttamisella. Ydinvoimaloissa lämpöenergia syntyy fissio- eli halkeamisreaktiosta ja kontrolloidulla fissioiden ketjure- aktiolla. Fissioreaktiossa polttoaineena käytettävää uraania pommitetaan neutroneilla, jotka osuessaan uraaniytimeen halkaisevat sen kahdeksi pienemmäksi atomiytimeksi. Näitä kutsutaan fissiotuotteiksi. Reaktiosta vapautuu lämpöenergian ja fissiotuotteiden lisäksi lisää neutroneja, jotka kykenevät halkaisemaan uusia uraaniytimiä. (Eurasto, Hy- värinen, Järvinen, Standberg & Sjöblom 2004: 26−28; Korpelainen 2000; Korpelainen 2008; TVO 2013a: 7; TVO 2009: 10.) Kevytvesireaktoreiden erot ovat rakenteellisia. Painevesireaktorilla on primääripiiri ja sekundäärispiiri, kun taas kiehutusvesireaktorilla on ainoastaan primääripiiri. Lisäksi painevesireaktorissa on höyrystin, joka puuttuu kiehutusvesireaktorista, sillä vesi höy- rystyy jo kiehutusvesireaktorin reaktorissa. Painevesireaktorin etu kiehutusvesireakto- riin on sen helpompi ohjattavuus jäähdytteeseen liuotettavalla boorihapolla sekä reakto- rin yläosasta säätösauvoilla, koska kaikki vesi on reaktorin primääripiirissä nesteenä korkean paineen ansiosta. Höyrystimessä paineistettu vesi siirtyy sekundääripiiriin, jos- sa vesi höyrystyy matalamman paineen ansiosta. Höyrystimen ansiosta paine- vesireaktorissa tapahtuu lämpöhäviöitä jonkin verran enemmän kuin kiehutusvesireak- torissa ennen höyryn kulkeutumista turbiiniin. (Eurasto yms. 2004: 48−49; Kessler 2012: 75−100; STUK 2013e.) 2.2 Ydinturvallisuus Ydinturvallisuuden katsotaan maailmanlaajuisesti olevan päävaatimus rauhanomaisen ydinenergian käyttöön. Ydinturvallisuus ja sen suunnittelu perustuvat lainsäädäntöjen (ydinenergialaki), säädösten ja ohjeiden noudattamiseen. Esimerkiksi Suomen ydin- energialaissa (990/1987) 6§:ssa on määritelty, ettei ydinvoimalan käytöstä saa aiheutua minkäänlaisia vahinkoja ihmisille, ympäristölle tai omaisuudelle (Finlex 2014). Asetet- 17 tuja säädöksiä ja ohjeita ylläpitävät paikalliset ja kansainväliset viranomaiset, jotka myös valvovat, että ohjeet ja kansalliset säädökset ovat päivitetty ydinvoimaloissa ja niitä noudatetaan kaikessa toiminnassa. (Koutaniemi, Reponen, Salminen, Sandberg & Varjoranta 2004: 356–359; Hölttä 2012: 14−15.) Suomessa ydinvoimatoimintaa ja säteilyturvallisuutta valvova viranomainen on Säteily- turvakeskus (STUK). Kansainvälisellä tasolla rauhanomaisen ydinenergian käyttöä edis- tämässä on Kansainvälinen atomienergiajärjestö (International Atomic Energy Agency, IAEA) ja kansainvälisellä tasolla yleistä säteilyturvallisuutta edistämässä on Kansainvä- linen säteilysuojakeskus (International Commission on Radiological Protection, ICRP). Virastot harjoittavat yhteistyötä keskenään ja yhdessä ydinvoimaloiden kanssa. (Paile 2002: 152; Hölttä 2012: 14−15; IAEA 2014; ICRP 2014.) Teollisuuden Voima Oyj noudattaa toiminnassaan viranomaisten määräyksiä ja turvalli- suuskriittistä ajattelumallia, jonka tavoitteena on varmistaa ydinvoimaloiden turvallinen ja luotettava toiminta heti suunnittelusta lähtien. Ydinvoimaloissa turvallisuussuunnitte- lu ja turvallisuustoimintojen suunnittelu lähtee reaktorisydämen suunnittelusta. Häiriöti- lanteiden varalle ydinvoimala on varustettu moninkertaisilla turvallisuusjärjestelmillä ja -laitteilla, joiden tehtävänä on ehkäistä häiriö- ja onnettomuustilanteiden syntyminen ja lieventää mahdollisesta onnettomuudesta syntyviä seurauksia. Lisäksi vikoja pyritään ennaltaehkäisemään turvajärjestelmien ja suunnittelun lisäksi laitteiston huollolla, testa- uksilla, koulutetun henkilökunnan ja toimintaohjeiden avulla. Erityisesti vakavat onnet- tomuudet, kuten jäähdytteenmenetysonnettomuus (Loss of Coolant Accident, LOCA), huomioidaan aina ydinvoimalan suunnittelussa. (Isolankila, Järvinen, Keskinen, Nieme- lä, Ojanen, Rantala, Sandberg, Tiippana, Valtonen, Virolainen & Åstrand. 2004: 91−92; TVO 2013a: 51; Koskiniemi 2005: 3.) 2.2.1 Riski- ja turvallisuusanalyysi Riskianalyysien avulla tuodaan esille ne asiat, jotka vaikuttavat negatiivisesti aiottuun toimintaan ja sen onnistumiseen. Riski- ja turvallisuusanalyysit ovatkin tärkeä osa ydin- voimalan turvallisuussuunnittelua ja turvallista toimintaa. Ydinvoiman turvallisuus- suunnittelussa noudatetaan todennäköisyyspohjaista riskianalyysia (Probabilistic 18 Risk/Safety Assessment, PRA/PSA) ja determinististä turvallisuusanalyysia yhdessä käy- tettynä. (Sistonen 2012: 19; Hölttä 2012: 17; YVL A.7: 4.) PRA-analyysi on alun perin kehitetty ydinvoimalan turvallisuussuunnitteluun, mutta myöhemmin sitä on alettu soveltaa laajemmin myös muilla tekniikan alueilla, kuten oh- jelmistojen kehityksessä. Myös NASA (National Aeronautics and Space Administrati- on) käyttää PRA-analyysiä riskienhallinnassaan. PRA-analyysin avulla voidaan tarkas- tella laajoja teknisiä järjestelmiä ja keskittyä tutkimaan tärkeimpien turvallisuuslaittei- den, järjestelmien sekä toimintojen luotettavuutta. PRA-analyysin mallit perustuvat useimmiten joko vikapuu- tai tapahtumapuumenetelmään, josta on esitettynä esimerkki kuvassa 4. Lisäksi PRA-analyysissä arvioidaan onnettomuuksien esiintymistodennäköi- syyttä ja -taajuutta. PRA-analyysissä tavoitteena on tunnistaa erilaisten teknisten järjes- telmien häiriöistä aiheutuvat onnettomuudet. (Isolankila ym. 2004: 126−135; Heikkilä 2007: 14−16; YVL A.7: 8; Apthorpe 2001; NEA 2002; NASA 2014.) Kuva 4. Esimerkki PRA-analyysin tapahtumapuusta. (NEA 2002.) Deterministinen turvallisuusanalyysi täydentää PRA-analyysiä. Deterministisessä tur- vallisuusanalyysissa kyse on häiriöiden ja onnettomuuksien analysoinnista, jossa tietyt viat, kuten LOCA, oletetaan tapahtuvaksi huolimatta vikojen todennäköisyydestä. Ana- lyysillä osoitetaan, että vikojen varalle suunnitellut turvallisuustoiminnot täyttävät niille osoitetut tehtävät ja vaatimukset. Hyvä esimerkki deterministisen analyysin käytöstä on turvallisuusjärjestelmien suunnittelu, jossa käytetään erilaisia deterministisen analyysin 19 menetelmiä. Näitä ovat moninkertaisuusperiaate, erilaisuusperiaate ja erotteluperiaate. (Isolankila ym. 2004: 96−97, 126; Heikkilä 2007: 16; NEA 2002.) 2.2.2 Turvallisuussuunnittelu Turvallisuussuunnittelu perustuu vikatilanteisiin ja onnettomuustilanteisiin varautumi- seen. Turvallisuussuunnittelussa pyritään varmistaman ydinvoimalan turvallinen, luotet- tava ja häiriötön toiminta erilaisten ja monikertaisten turvallisuusjärjestelmien ja toimin- tojen avulla. Lisäksi turvallisuussuunnittelun tähdätään voimalaitoksen vikasievoisuu- teen, eli turvallisuustoimintojen toimivuuteen niille asetettujen vaatimusten mukaisesti tilanteesta riippumatta. Toiminnon on saatettava voimala hallittuun tilaan ja pidettävä laitos tuossa tilassa, vaikka järjestelmässä ilmenisi vika. (Hölttä 2012: 15−16; Isolankila ym. 2004: 95−96.) Turvallisuussuunnittelu pohjautuu vikojen ja häiriöiden ennakoimisen lisäksi viran- omaisten säätämien lakien ja ohjeiden noudattamiseen. Näitä ohjeita päivitetään maail- malta saatavan ydinturvallisuuteen ja ydinvoimalan käyttöön liittyvän uuden tiedon myötä. Myös onnettomuusraportit ovat tärkeitä tietolähteitä turvallisuussuunnittelulle. Erityisesti kolme suurinta ydinvoimalaonnettomuutta, Three Mile Island vuonna 1979, Tšernobil vuonna 1986 ja Fukushima vuonna 2011, ovat opettaneet ja antaneet paljon tietoa, jotta vastaavat onnettomuudet voitaisiin välttää tulevaisuudessa. Myös muut ta- pahtumat maailmalla, kuten World Trade Center (WTC) -isku vuonna 2001 on vaikut- tanut ydinvoimalan turvallisuuden ja turvallisuussuunnittelun ohjeisiin. Esimerkiksi OL3-voimalaitoksen kaksiseinäisen suojarakennuksen teräsbetoninen ulkorakenne on suunniteltu kestämään matkustajalentokoneiden törmäyksen ja sisäinen seinä on varus- tettu teräsvuorauksella. Suojarakennus on esitettynä kuvassa 6 b), jossa esitellään OL3:n vapautumisesteet. (Hölttä 2012: 15–16; Karjunen, Suksi & Tossavainen 2004: 219−220; Isolankila ym. 2004: 97; TVO 2009: 21.) Myös uusituissa YVL-ohjeissa esitetään muutamia pääperiaatteita, joita edellytetään turvallisuussuunnittelusäädöksiltä. Näitä ovat syvyyssuuntainen turvallisuusperiaate tai syvyyspuolustusperiaate (Defence-In-Depth, DID), moninkertaiset vapautumisesteet, erilaisuusperiaate (diversiteetti, diversity), rinnakkaisperiaate (redundanssi, redundancy) 20 ja erottelu. Lisäksi turvallisuussuunnittelussa noudatetaan myös SAHARA (Safety As High As Reasonbly Achievable) -periaatetta. Periaatteen tavoitteena on saada turvalli- suustaso niin korkeaksi kuin käytännössä on mahdollista. (Hölttä 2012: 9, 15−6; Isolan- kila ym. 2004: 91, 95–106; STUK YVL B.1 2013: 11−14.) Lueteltujen menetelmien lisäksi turvallisuustavoitteiden täyttyminen edellyttää myös ALARA (As Low As Reasonably Achievable) -periaatetta, jota käytetään säteilyaltistus- rajoista. Niiden on oltava ydinvoimalaitoksen normaalikäytön aikana niin alhaiset kuin on mahdollista saavuttaa käytännöllisillä toimilla. ALARA-periaatteesta käytetään myös nimitystä optimointiperiaate. (STUK 2007; Isolankila ym. 2004: 91.) Syvyyssuuntainen puolustusperiaate on ydinvoimaloissa yksi turvallisuuden perusta. Sen puolustustasot on luokiteltavissa viiteen peräkkäiseen, toisiaan tukevaan tasoon ku- van 5 mukaisesti. Puolustustasoista kaksi ensimmäistä ehkäisevät onnettomuuksia ja loppujen tehtävänä on suojata laitosta, sen käyttäjiä sekä ympäristöä onnettomuuksien vaikutuksilta. Lisäksi tasojen on oltava toisistaan mahdollisimman riippumattomia. Täl- löin yhden tason menetys ei haittaa muiden puolustustasojen toimintaa. Tasojen riippu- mattomuus perustuu toiminnalliseen erotteluun erilaisuusperiaatteeseen ja moninkertai- siin vapautumisesteisiin. Erilaisuusperiaatteesta ja toiminnallisesta erottelusta kerrotaan enemmän kappaleessa 2.2.3. (Ahonen 2011: 11; Valtonen 2011; YVL B.1 2013: 11.) Vapautumisesteiden avulla estetään radioaktiivisten aineiden pääsy ympäristöön. Esteitä ovat polttoaine, primääripiiri ja suojarakennus. Kuvan 6 mukaisesti vapautumisesteet voi- daan jakaa vieläkin yksityiskohtaisemmin. Ensimmäisenä vapautumisesteenä on rakenteel- taan keraaminen polttoaine, joka on kaasutiiviissä, metallisessa polttoainesauvassa. Keraa- misenpolttoaineen metalliset polttoainesauvat ovat toinen vapautumiseste. Kolmantena es- teenä on reaktorin paineastia ja siihen liittyvien putkien sekä venttiilien muodostama tiivis, paineenkestävä jäähdytyspiiri eli primääripiiri. Neljäntenä vapautumisesteenä on reaktoria ympäröivä, paineen kestävä ja kaasutiivis suojarakennus. (Isolankila ym. 2004: 97; TVO 2013a: 52; TVO 2014b.) 21 Kuva 5. Syvyyssuuntaisen puolustusperiaatteen toimintaperiaate. (Ahonen 2011: 13.) Uloimpana esteenä on reaktorirakennus, jonka tulee suojata reaktoria ulkoisilta suojateki- jöiltä. WTC-iskun jälkeen koettiin tärkeäksi paitsi rakentaa OL3 voimalaitosyksiköstä tör- mäyskestävä, mutta myös selvittää OL1 ja OL2 voimalaitoksien törmäyskestävyys. Lai- tosyksiköiden alkuperäisiin vaatimuksiin törmäyskestävyys ei kuulunut, joten selvityksessä on analysoitu teräsbetonirakenteen vahvuutta, joka selvityksessä todettiin kestäväksi. (Iso- lankila ym. 2004: 97; TVO 2013a: 52; TVO 2014b.) 22 Kuva 6. Moninkertaiset vapautumisesteet Olkiluoto 1 ja Olkiluoto 2 voimalaitosyk- siköissä (a) ja Olkiluoto 3 voimalaitosyksikössä (b). (Muokattu alkuperäisis- tä lähteistä TVO 2013a: 51 ja TVO 2010: 41.) OL3-laitoksen ensimmäiset vapautumisesteet ovat samat kuin OL1- ja OL2- voimalaitoksilla. Tämän lisäksi OL3-laitoksessa on varauduttu maanjäristyksiin reakto- rirakennuksen perustuksena olevalla, kolme metriä paksulla teräsbetonilaatalla. Pohja- laatan päälle on rakennettu kuva 6 b) mukaisesti kaksiseinäinen ja kaasutiivis reaktorin suojarakennus. (TVO 2009: 21; TVO 2010: 41.) 2.2.3 Turvallisuusjärjestelmien suunnittelu Turvallisuusjärjestelmien suunnittelussa tavoitteena on varmistaa turvallisuuden kannal- ta tärkeiden toimintojen tapahtuminen luotettavasti, jotta vältyttäisiin vakavilta onnet- tomuuksilta. Suunnittelussa tulee myös varautua onnettomuuksiin. Tällöin toimintojen, 23 joiden tehtävä on lieventää onnettomuuden aiheuttamia seurauksia, on toimittava luotet- tavasti ilman häiriöitä. Turvajärjestelmien suunnittelussa noudatetaan muutamia pääpe- riaatteita, jotka auttavat pääsemään tavoitteisiin. Käytettyjä periaatteita ovat kappaleessa 2.2.2 mainitut rinnakkaisuusperiaate, erotteluperiaate ja erilaisuusperiaate. Kuvassa 7 selvennetään näiden periaatteiden ajatusta ja toimintaideaa vikatilanteiden varalle. Kuva 7. Turvallisuusjärjestelmien suunnittelussa käytettyjen periaatteiden toiminta- periaate. (TVO 2013a: 52.) Erotteluperiaate koostuu fyysisestä ja toiminnallisesta erottelusta. Fyysisellä erottelulla tarkoitetaan turvallisuusjärjestelmien rinnakkaisten ja toisiaan täydentävien osajärjes- telmien sijoittamista eri tiloihin. Poikkeustapauksissa erottelu voidaan toteuttaa sijoit- tamalla osajärjestelmät riittävän kauaksi toisistaan siten, että kutakin osajärjestelmää ympäröi suojarakenne. Toiminnallisessa erottelussa vältetään rinnakkaisten ja toisiinsa liittyvien järjestelmien vuorovaikutus. Esimerkiksi sähkö- ja automaatiojärjestelmät on erotettu toisistaan sähköisesti ja toiminnallisesti. (Koskiniemi 2005: 5; Isolankila ym. 2004: 103−104.) Rinnakkaisuusperiaatteessa turvallisuusjärjestelmä jaetaan useisiin rinnakkaisiin ja toi- siaan korvaaviin osajärjestelmiin. Osajärjestelmät suorittavat samaa toimintoa, joten niiden on kyettävä toteuttamaan turvallisuustoimintonsa riippumatta siitä, onko jokin 24 yksittäinen laite järjestelmästä vioittunut tai huollon takia poissa käytöstä. Tätä kutsun- taan N+2 -vikakriteeriksi, jonka täyttämiseksi kutakin toimintoa kohden on neljä rin- nakkaista laitetta. Näistä jo kaksi riittää varmistamaan turvallisuusjärjestelmän käynnis- tymisen ja ohjaamisen. Toisin sanoen N+2 -vikakriteeri tarkoittaa, ettei yksi vikasignaa- li aiheuta välttämättä vikatoimintojen laukaisua. (Hölttä 2012: 16; Koskiniemi 2005: 4; Isolankila ym. 2004: 102.) Erilaisuus- eli diversiteettiperiaatteella tarkoitetaan saman turvallisuustoiminnon toteut- tamista eri toimintaperiaatteisiin ja mekanismeihin perustuvilla järjestelmillä ja laitteil- la. Tällä tavoin parannetaan turvallisuustoiminnon luotettavuutta ja vältetään yhteisvih- kojen mahdollisuus. Hyvä esimerkki diversiteetistä on reaktorin sammuttaminen säätö- sauvoilla ja boorihappoliuoksella. Sama turvallisuustehtävä, reaktorin sammuttaminen, pystytään suorittamaan kahdella eri tavalla. (Koskiniemi 2005: 6; Hölttä 2012: 16; Iso- lankila ym. 2004: 104.) 2.2.4 Turvallisuusjärjestelmät Ydinvoimaloiden järjestelmät ja laitteet jaetaan turvallisuusluokkiin niiden turvalli- suusmerkityksen mukaan. STUK:n laatimassa YVL B.2 -ohjeessa määritellään turvalli- suusluokat 1-3 ja EYT (ei ydinteknisesti turvallisuusluokiteltu), joista turvallisuusjärjes- telmät voidaan ryhmitellä turvallisuusluokkiin 2, 3 tai EYT. Mitä korkeampi turvalli- suusluokka on, sitä tärkeämpi järjestelmä on laitoksen turvallisuuden kannalta. Turvalli- suusluokka kertoo, mitkä asetetut vaatimukset ja ominaisuudet järjestelmä tai laite täyt- tää. Samalla se kertoo myös, kuinka paljon vaaditaan suunnittelulta, valmistukselta ja kunnossapidolta. Esimerkiksi turvallisuusluokan 2 järjestelmät on suunniteltu ehkäise- män vahinkoja onnettomuustilanteissa. Niiden avulla laitos saatetaan hallittuun tilaan ja pidetään siinä kunnes turvalliseen tilaan siirtyminen voidaan varmistaa. (YVL B.2 2013: 3−6; Halminen 2001: 13.) Ydinvoimaloiden turvallisuusjärjestelmät kuuluvat tärkeytensä vuoksi turvallisuusluok- kaan 2 tai 3. Turvallisuusjärjestelmät on Olkiluodon laitosyksiköissä jaettu yksittäisvi- kaantumisen varalle neljään rinnakkaiseen osajärjestelmään, jotka ovat fyysisesti eri ti- loissa. Niiden tärkein tehtävä on ehkäistä häiriö- ja vikatilanteiden syntyminen sekä 25 varmistaa, etteivät seuraukset pääse leviämään. Prosessinmittausjärjestelmä, reaktorin- suojausjärjestelmä, pikasulkujärjestelmät ja hätäjäähdytysjärjestelmät ovat voimalaitos- ten keskeisimmät turvallisuusjärjestelmät. Lisäksi OL1:n ja OL2:n reaktoreissa tärkei- siin turvallisuusjärjestelmiin kuuluu myös SAM (Severe Accident Management) -suodatin, jonka tehtävänä on alentaa kiehutusvesireaktorissa painetta vakavan onnet- tomuuden aikana. (Halminen 2001: 18; Koskiniemi 2005: 7; TVO 2013a: 52; TVO 2010: 41; Canadian Nuclear Safety Commission 2006: 1.) Prosessimittausjärjestelmä mittaa ja valvoo reaktorin toiminnan kannalta tärkeitä suurei- ta, esimerkiksi painetta, virtaamaa, pinnan tasoa ja sähkönjohtavuutta. Järjestelmän tur- vallisuustehtävänä on toimittaa tarvittavat signaalit hälytysjärjestelmälle ja suojausjär- jestelmälle mitattujen arvojen saavuttaessa ennalta määritellyt raja-arvot normaalien käyttöarvojen ulkopuolella. Reaktorinsuojausjärjestelmä puolestaan käynnistää reakto- rin turvallisen sammuttamisen ja siihen liittyvät toiminnot, kuten pikasulkujärjestelmät. Lisäksi järjestelmän tehtävänä on estää käyttöhäiriöiden ja mahdollisten onnettomuusti- lanteiden kehittyminen. (Halminen 2001: 18.) Ydinvoimalan reaktorin pikasulku voidaan suorittaa kahdella menetelmällä. Ensisijai- sesti reaktori pyritään sammuttamaan säätösauvoilla. Ne työnnetään reaktoriin joko hyd- raulisesti tai sähkömekaanisen järjestelmän avulla. Jos pikasulku säätösauvojen avulla epäonnistuu, hätäbooraus käynnistyy, jolloin boorivettä pumpataan reaktorin jäähdytys- veteen. Näin saadaan reaktorin veden booripitoisuus nousemaan ja fissioreaktio pysäh- tymään. Boorivesi on kuitenkin toissijainen vaihtoehto, koska sen käytön jälkeen reak- torin paineastia täytyy puhdistaa. (TVO 2008: 43; Koskiniemi 2005: 6) Olkiluodon voimala-alueen käyvien reaktoreiden hätäjäähdytysjärjestelmä koostu apu- vesisyöttöjärjestelmästä ja reaktorin sydämen ruiskutusjärjestelmästä, joista apu- vesisyöttöjärjestelmä toimii korkeapaineessa ja reaktorisydämen ruiskutusjärjestelmä matalapaineessa. Molemmat järjestelmät on suunniteltu ylläpitämään reaktoripaineasti- an vesitasapainoa jäähdytteenmenetysonnettomuudessa. Apuvesisyöttöjärjestelmän avulla pystytään pitämään reaktorinsydän veden peitossa, mikäli veden syöttöjärjestel- mä ei ole toiminnassa. Sen avulla pystytään syöttämään vettä kovassakin paineessa. Re- aktorisydämen ruiskutusjärjestelmää aletaan käyttää vasta reaktorin paineen laskettua 26 riittävän alas. Järjestelmä suojaa reaktoria ylikuumenemiselta apuvesisyöttöjärjestelmän ja ulospuhallusjärjestelmän kanssa reaktorisydämen yläpuolisessa putkikatkossa. (TVO 2013a: 52; Halminen 2001: 19; Koskiniemi 2005: 7) Olkiluodon voimala-alueen rakenteilla olevan OL3-laitoksen reaktorin hätäjäähdytysjär- jestelmä koostuu matala- ja keskipaineisesta hätäjäähdytysjärjestelmästä, typellä pai- neistetuista paineakuista sekä reaktorin suojarakennukseen sijoitetuista hätäjäähdytys- vesialtaista. Lisäksi voimalaitoksen turvatoimissa on varauduttu reaktorisydämen sula- miseen rakentamalla reaktorin sydänsulalle leviämisalue, jossa sulan annetaan jäähtyä. OL3:n keskeisimmät turvallisuustoiminnot on esitettynä kuvassa 8 olevasta laitoksen poikkileikkauksesta. (TVO 2008: 43; TVO 2009: 21−22.) Kuva 8. Olkiluoto 3:n keskeisimmät turvallisuustoiminnot. (TVO 2008: 42.) Onnettomuustilanteiden varalle ydinvoimalaitosyksiköiden sähkönsaanti on turvattu usealla eri tavalla, muun muassa hätäjäähdytys- ja jälkilämmönpoistojärjestelmille. Pää- generaattorin ollessa pois käytöstä, saadaan sähkö joko toiselta laitosyksiköltä tai valta- 27 kunnan sähköverkosta joko 400 kV:n tai 110 kV:n sähköverkosta. Lisäksi laitoksilla on neljä dieselgeneraattoria, jotka käynnistyvät automaattisesti sähkönmenetystilanteessa. Dieselgeneraattoreiden avulla pystytään syöttämään sähköä laitosyksiköltä toiselle nii- den välisen yhteyden kautta turvallisuuden kannalta olennaisille järjestelmille. Olki- luodossa on myös varavoimalaitos, kaasuturbiinilaitos, jonka avulla voidaan syöttää sähköä laitosyksiköille joko maakaapeliyhteyden tai 110 kV sähköaseman kautta. Näi- den varmistusten lisäksi sähköä voidaan saada suoraan joko Harjavallan vesivoimalai- toksilta tai Paneliankosken Voiman 20 kV:n verkosta erikoisjärjestelyillä. Lisäksi akku- varmennetut järjestelmät saavat sähköä akustoilta. OL3-laitos tulee valmistuttuaan saa- maan kuusi dieselgeneraattoria ja se tullaan liittämään OL1:n ja OL2:n kanssa samaan sähkönsyöttörenkaaseen. (Koskiniemi 2005: 7; TVO 2014b; TVO 2013a: 36; TVO 2010: 41.) 2.3 Ohjelmistopohjaiset järjestelmät ja laitteet Ohjelmistopohjaista tekniikkaa käytetään nykyään enenevässä määrin ydinvoimaloiden sähkö- ja automaatiojärjestelmissä ja -laitteissa. Ajan kuluessa ja tekniikan kehittyessä vanhan, käytössä olevan tekniikan osaaminen heikkenee ja varaosien saanti vähenee, sillä niiden tekeminen ei ole tekniikan kehittymisen myötä enää kannattavaa. Varaosien puutteiden myötä ydinvoimaloiden vanhat laitteet ja järjestelmät on korvattava uusilla laitteilla, jotka voivat sisältää ohjelmistoa. (Halminen & Nevalainen 2007: 559.) Ohjelmistopohjainen tekniikan myötä laitteiden ja järjestelmien käytöstä on tullut hel- pompaa ja joustavampaa. Ohjelmiston avulla saadaan toteutettua halutut toiminnot sekä laitteistojen huolto ja kunnossapito on nopeampaa. Lisäksi ohjelmoitava tekniikka mah- dollistaa järjestelmien ja laitteiden turvallisuuden parantamisen. Ohjelmistopohjaisten järjestelmien ja laitteiden turvallisuus ja luotettavuus on kuitenkin pystyttävä osoitta- maan ydinvoimakäyttöä varten. Perinteisesti tähän on käytetty kelpoistamista, mutta se on havaittu vaikeaksi ja suuritöiseksi ohjelmistoille. Lisäksi ohjelmiston testaaminen on haastavaa ja melkein mahdotonta useiden testitapausten ansiosta. Testauksessa käytettä- viä työkaluja on useita samoin ohjelmiston suunnittelutyökaluja. Tähän mennessä ydin- 28 voimaloiden turvallisuuskriittisten laitteiden ja järjestelmien ohjelmiston turvallisuus ja luotettavuus on pystytty takaamaan yhtenäisellä ja hallitulla suunnittelu- ja kehityspro- sessilla, joka tarkastetaan luvanhaltijan toimesta. Jotta ohjelmistopohjaisten laitteiden turvallisuutta ja luotettavuutta saataisiin parannettua, ohjelmiston testausmenetelmiä ja - työkaluja on kehitettävä muun suunnittelu- ja kehitysprosessin rinnalla. (Halminen ym. 2007: 559; Kasurinen 2013:19.) Ohjelmistopohjaiset laitteet voidaan luokitella ohjelmiston perusteella. Se voi olla alusta asti kehitettävä uusi ohjelmisto tai valmis tuote, joka on valmiiksi asennettu laitteeseen. Laitteeseen valmiiksi asennettuihin ohjelmistoihin on vaikea vaikuttaa, mutta useimmi- ten niihin pystytään lisäämään ohjelmistosovelluksia asiakkaan tarpeiden ja käyttötar- koituksen mukaan. Esimerkiksi automaatiojärjestelmissä ja -laitteissa ohjelmistot voi- daan rakentaa laitealustan ohjelmistosta, joihin pystytään lisäämään asiakkaan toiveiden mukaisia ohjelmistosovelluksia. Ohjelmistosovelluksien lisäämismahdollisuudet kui- tenkin riippuvat paljon kyseessä olevasta laitteesta ja järjestelmästä. Tilattaessa ohjel- mistopohjaista laitetta ydinvoimalaan on tiedettävä minkä tyyppinen ohjelmisto laittees- sa on. Tämä vaikuttaa muun muassa laitteen varaosien tilaukseen sekä huoltoon. (Webs- ter 2008.) 29 3 OHJELMISTOPOHJAISEN JÄRJESTELMÄN KELPOISTAMINEN Ydinvoimalaitoksen turvallisuuskriittisten järjestelmien kelpoistamisella on tärkeä rooli niiden kehitysprosessissa. Sen avulla osoitetaan järjestelmän, sen ohjelmiston ja laittei- den toimivan halutulla tavalla. Kelpoistamisen avulla osoitetaan asetettujen vaatimus- ten, niin toiminnallisten kuin ei-toiminnallisten, toteutuminen luotettavasti ilman ei- toivottuja toimintoja, joista aiheutuu vain haittaa ja pahimmillaan häiriötilanteita. Kel- poistaminen on kuitenkin osa isompaa prosessia, kuten laitosmuutostyöprosessia tai lu- vitusprosessia, josta tehty prosessimalli on esitettynä liitteessä 1. Liitteestä laatikko qua- lification material elaboration kuvaa kelpoistusmateriaalia, joka välitetään luvanhalti- jalle. (Wang ym. 2008.) Kelpoistaminen jakaantuu järjestelmän ja sen ohjelmiston ja laitteiden elinkaaren ajalle jokaisen elementin ja komponentin suunnittelusta koko järjestelmän toiminnallisiin tes- teihin ja suorituskykytesteihin. Tällä tavoin varmistetaan jokaisen suunnittelu- ja toteu- tusvaiheen noudattavan virmanomaisen asettamia ohjeita ja standardeja, joihin myös itse kelpoistusprosessi pohjautuu. (VTT 2003.) Kelpoistuksesta vastuussa on aina luvanhaltija, jolle viranomainen on myöntänyt luvan ydinenergialain mukaiseen ydinenergian käyttöön. Luvanhaltijan vastuulla on varmistaa kelpoistuksen toteuttaminen laadittujen testisuunnitelmien ja laatusuunnitelman mukai- sesti. Laitostoimittajan tehtävänä on toimittaa järjestelmästä kelpoistukseen tarvittavaa tietoa luvanhaltijalle. (VTT 2003.) Tässä osiossa käsitellään kelpoistukseen liittyviä tärkeitä tekijöitä, kuten kelpoistus- suunnitelma sekä yleisimmät kelpoistusmenetelmät. Lisäksi esitellään kelpoistuksessa noudatettavat standardit ja ohjeet sekä käsitellään vaatimusmäärittelyn, konfiguraation hallinnan ja dokumentoinnin merkitystä kelpoistusprosessille. Lopuksi esitellään ylei- nen kelpoistusproseduuri, eli miten kelpoistamisprosessi yleisesti etenee. 30 3.1 Kelpoistussuunnitelma Kelpoistussuunnitelma laaditaan kelpoistettavalle turvallisuusluokan 2 tai 3 järjestele- mälle, laitteelle tai ohjelmistolle. Se on järjestelmä tai laitekohtainen dokumentti, jossa kuvataan tarkasti, miten järjestelmän tai laitteen osoitetaan soveltuvan käyttötarkoituk- seensa ja täyttävän asetetut turvallisuusvaatimukset. Ohjelmoitavan järjestelmän kel- poistussuunnitelmaan on kuuluttava niin perusjärjestelmän kelpoistussuunnitelma kuin sovelluksen ohjelmiston kelpoistus. (YVL E.7 2013: 12−13, 22; VTT 2003.) Kelpoistussuunnitelmaa laadittaessa ja tarkistettaessa on varmistettava kaikkien turvalli- suusvaatimusten tulevan testatuiksi ja analysoiduiksi. Siinä tulee ilmetä, mitä kelpois- tusmenetelmää tai menetelmien yhdistelmää kelpoistuksessa käytetään sekä kelpoistuk- seen osallistuvat organisaatiot. Lisäksi suunnitelmassa tulee esittää kelpoistuksessa so- vellettavat standardit sekä suunnittelussa ja toteutuksessa käytettävät työkalut. Suunni- telmasta on käytävä myös ilmi järjestelmälle, laitteelle tai ohjelmistolle asetetut luotet- tavuusvaatimukset sekä niiden turvallisuusmerkitys voimalaitokselle. Jos kyseessä on turvallisuusluokan 2 järjestelmä tai laite, tulee kelpoistussuunnitelmasta ilmetä menette- lytapa, jolla riippumaton asiantuntija-arvioija arvioi kelpoistustoimenpiteiden hyväksyt- tävyyden. (YVL E.7 2013: 12; Hietikko, Alanen & Tiusanen 1996: 15; Urunga, Sözbir, Özyildirim 2013.) Kelpoistussuunnitelman sisältö poikkeaa riippuen siitä, onko tuote uusi, alusta asti kehi- tettävä vai onko se standardituote. Jos tuote kehitetään alusta alkaen, tulee suunnitel- masta käydä ilmi jokainen suunnittelu- ja toteutusprosessi sekä vaiheiden jälkeen tehtä- vät tarkastukset ja arvioinnit. Lisäksi kelpoistussuunnitelmalla pystytään vaikuttamaan tuotteen kehitykseen ja sille asetettaviin vaatimuksiin. Mikäli tuote on standardituote, sen kehitykseen tai vaatimuksiin ei voida vaikuttaa enää kelpoistussuunnitelmassa. Täl- löin se tulee kelpoistaa niille ominaisuuksille, jotka sillä jo on. Standardituotteen kel- postussuunnitelmassa on huomioitava, miten osoittaa sen soveltuvan tarkoitettuun käyt- tötarkoitukseen sekä tuotteen täyttävän käyttötarkoituksesta sille kohdistuvat vaatimuk- set. (Halminen 2001: 29.) 31 Kelpoistussuunnitelma on laadittava luvanhaltijan ohjeiden mukaisesti ja dokumentin laatimisesta vastaa luvanhaltija. Suunnitelma lähetetään toimittajalle ja siitä on käytävä ilmi toimittajalta kelpoitusprosessin aikana ja itse kelpoistuksessa odotettavat tehtävät. Kelpoistussuunnitelmassa tulee olla myös kirjattuna kaikki kelpoistukseen vaikuttavat tekijät, kuten vaatimukset, jotta kelpoistusprosessin jokainen vaihe pystyttäisin toteut- tamaan ja sen etenemistä olisi helpompi seurata. Kelpoistussuunnitelma päivitetään kel- poistusprosessin edetessä tarpeen vaatiessa. Suunnitelman päivittymiseen voi vaikuttaa esimerkiksi vaatimusmäärittelyjen muuttuminen, joka vaikuttaa kelpoistukseen, tai jo- kin muu kelpoistusprosessiin vaikuttava tekijä, jolla on vaikutusta suunnitelmaan, kuten tilanne, jossa kelpoistussuunnitelmassa havaitaan puutteita tai tehdastestit epäonnistu- vat. Kaikki kelpoistussuunnitelmat, niin järjestelmä- kuin laitekohtaisetkin, tulee välit- tää viranomaiselle. Siinä on käytävä ilmi laadittavat soveltuvuusarviot. (YVL E.7 2013: 12−13; VTT 2003; Hietikko ym. 1996: 15; Piensalo 2013: 10−11.) 3.2 Kelpoistusmenetelmät Kelpoistamisen avulla osoitetaan alkuperäisten vaatimusten toteutuminen. Se voidaan toteuttaa joko testeillä, vertaamalla saatuja testituloksia dokumentoituihin tuloksiin tai näiden yhdistelmänä. Tyypillisesti järjestelmän kelpoistaminen suoritetaan erillisissä vaiheissa. Ensin testataan järjestelmän yksittäiset komponentit tai osajärjestelmien ko- koonpanot, jonka jälkeen testataan vasta koko järjestelmä. (IEC 61513 2011: 71; IEC 60780 1998: 19−21; Havuajo 2012: 32.) Yleisimpiä käytettyjä kelpoistusmenetelmiä yksittäisille komponenteille ja osajärjestel- mien kokoonpanoille ovat tyyppitestit tai tyyppihyväksynnät, toiminnalliset testit, ana- lyysit, käyttökokemukset, jatkuva kelpoistaminen tai mainittujen menetelmien yhdis- telmä. Ohjelmistojen kelpoistaminen pelkän testin avulla on erittäin haastavaa, minkä takia sen laatu pyritään osoittamaan pääasiassa laadukkaalla kehitystyöllä sekä muun muassa analyysien avulla. Käytettävästä menetelmästä huolimatta kelpoistamisessa on noudatettava viranomaisten laatimia ohjeita, erityisesti sähkö- ja automaatiokomponent- tien sekä turvallisuusluokiteltujen laitteiden ohjelmien kelpoistukseen laadittua YVL 32 E.7 -ohjetta sekä kelpoistusta koskevia IEC standardeja esimerkiksi IEC 60780. (IEC 60780 1998: 19–21; Havuajo 2012: 32; IEC 61513 2011: 71; YVL E.7 2013: 13–17.) Osajärjestelmille ja komponenteille valittavaan kelpoistusmenetelmään vaikuttavat use- at eri tekijät, erityisesti järjestelmän ja sen laitteiden käyttöolosuhteet, vanheneminen sekä vikojen alkutapahtumat. Näiden tekijöiden lisäksi on kyettävä osoittamaan, että kelpoistukseen valittu menetelmä tai menetelmien yhdistelmä on riittävän kattava ja vaativa osoittamaan järjestelmän ja laitteiden täyttävän asetetut vaatimukset. (YVL E.7 2013: 13; Halminen 2001: 22; Yli-Nikkilä 2012: 25.) Yleisimmin kelpoistuksessa käytetty menetelmä on tyyppitesti, jossa käytetään laitteen käyttöolosuhteita vastaavia simuloituja olosuhteita osoittamaan järjestelmän täyttävän asetetut vaatimukset. Testin aikana simuloidaan laitteen käytöstä sen käyttöympäristös- sä ja häiriötilanteissa sekä mitataan sen suorituskykyä. Lisäksi tyyppitesteissä selvite- tään ikääntymisen aiheuttamia haittoja laitteelle. Ohjelmoitavan tekniikan tyyppitesta- uksen on katettava niin ohjelmisto kuin laitekin. Tyyppitestejä täydentämässä käytetään joskus käyttökokemuksia, jotka eivät ole yksin riittävä kelpoistusmenetelmä. Niiden avulla pystytään kuitenkin selvittämään yleiskuva järjestelmän ja sen laitteiden toimin- nasta todellisessa käyttökohteessa. Lisäksi käyttökokemukset kuvaavat hyvin järjestel- män ja sen laitteiden käyttäytymistä käyttöympäristössään, esimerkiksi käyttökokemuk- sien perusteella voidaan selvittää järjestelmän ja sen laitteiden vikaantumishistoria. (IEC 60780 1998: 17–19; YVL E.7 2013: 16–17; VTT 2003.) Mikäli toiminnallisten ja suorituskykyvaatimusten täyttymistä ei kyetä osoittamaan tyyppitestien ja käyttökokemuksien avulla, käytetään analyysejä. Tämä menetelmä tar- vitsee kelpoistettavaa laitetta tai järjestelmää kuvaavan mallin, joka perustuu todistetta- viin testien tuloksiin, käyttökokemuksiin, fysikaalisiin lakeihin tai näiden yhdistelmiin. Myös analyysit voivat olla osa yhdistettyä kelpoistusmenetelmää. Analyysien avulla kelpoistamista käytetään muissa kelpoistusmenetelmissä tukena, jos esimerkiksi koko tai jokin muu käytännön vaatimus rajoittaa tyyppitestin suorittamista. (IEC 60780 1998: 19; YVL E.7 2013: 16.) 33 Jatkuvaa kelpoistusta puolestaan käytetään edellä mainittujen kelpoistusmenetelmien antaessa järjestelmälle ja sen laitteille haluttua lyhyemmän käyttöajan. Toteutustavat menetelmässä ovat toistuva toimiva laitteen testaus ja sen korvaaminen uudella. Lisäksi laitteen rinnalle voidaan asentaa toinen yksilö, joka poistetaan ennen kuin kelpoistetun käyttöaika päättyy. Rinnalle asennettavan laitteen on oltava tyyppitestattu, jotta laitteille voitaisiin määrittää lisää käyttöaikaa. (IEC60780 1998: 21.) Valitusta kelpoistusmenetelmästä riippumatta testien tulokset on raportoitava ja doku- mentoitava. Tällä tavoin voidaan osoittaa järjestelmän soveltuvan suorittamaan vaaditut toiminnot, täyttävät vaatimusmäärittelyt sekä soveltuvan suunniteltuun käyttötarkoituk- seen. Tehtyjen testien tulosten dokumentoinnin on oltava kattava, yksiselitteinen ja tar- kastettavassa muodossa muun muassa viranomaisille esitettäväksi ja liitettäväksi lopul- liseen soveltuvuusarvioon. (Halminen 2001: 23; Yli-Nikkilä 2012: 25.) 3.3 Standardit ja YVL-ohjeet Kelpoistuksessa on noudatettava viranomaisten asettamia YVL-ohjeita sekä standardeja. Standardit ovat kuitenkin vain suosituksia, eivät lakeja. Niiden avulla esitetään suositus, miten jokin asia, tässä tapauksessa kelpoistus, tulisi toteuttaa. Standardien avulla pysty- tään luomaan yhtenäinen toiminta sekä arvioimaan yritysten toimintaa. (SFS 2014a; SFS 2014b.) YVL-ohjeet puolestaan ovat perustuslain, ydinenergialain (990/1987), ydinenergia-asetusten (161/1988) ja valtioneuvoston asetusten (717/2013) mukaisia yk- sityiskohtaisia turvallisuusvaatimuksia, joissa esitetyt vaatimukset tulee toteuttaa ja niitä tulee noudattaa niin ydinvoimalan toiminnassa kuin laitteistojen uusinnoissa. YVL- ohjeissa voidaan viitata noudatettaviin standardeihin, ohjeistoihin ja lakeihin. Standardit ja YVL-ohjeet täydentävät toisiaan tehden kelpoistusprosessista laadukkaan sekä var- mistaen, että lopputuloksena ovat vaatimukset täyttävä järjestelmä, jonka laitteisto ja ohjelmisto on testattu määritettyjen vaatimusten ja menetelmien mukaisesti. (Koutanie- mi ym. 2004: 356; YVL E.7 2013: 5.) 34 3.3.1 Noudatettavat YVL-ohjeet Vuonna 2000 tehty perustuslain uudistus aiheutti muutostarpeita ydinenergialakiin ja ydin-energia-asetuksiin, joista aiheutui YVL-ohjeisiin uudistuksia. STUK:n laatimat YVL-ohjeiden uudistus saatiin valmiiksi vuoden 2013 lopulla. Uudet YVL-ohjeet ovat vanho-ja johdonmukaisempia, tiukempia ja parantavat ydinvoimalaitosten turvallisuutta suo-messa. Uudet YVL-ohjeet tulevat automaattisesti voimaan uusiin ydinvoimalaitok- siin. Vanhempiin, käytössä olevien voimalaitosten osalta STUK kertoo, miten uusittua tai uutta ohjetta tullaan noudattamaan kuultuaan ensin asianomaisia. (Plit 2013; STUK 2014; Koutaniemi 2009.) Uudet YVL-ohjeet koostuvat viidestä ohjeryhmästä A, B, C, D ja E, jotka käsittelevät ydinvoimalan eri osa-alueita. Esimerkiksi ryhmän A ohjeet liittyvät ydinvoimalaitoksen turvallisuuden hallintaan, ryhmän B ohjeet puolestaan ydinvoimalan ja sen järjestelmien suunnitteluun ja ryhmän E ohjeet käsittelevät ydinvoimalaitoksen rakenteita ja laitteita. Kelpoitusprosessissa noudatetaan uusista YVL-ohjeista erityisesti YVL E.7 -ohjetta, mutta myös YVL B.1, YVL B.2, YVL A.8 sekä YVL A.7 -ohjeita. YVL E.7 -ohjeessa asetetaan yleiset vaatimukset sähkö- ja automaatiolaitteiden sekä kaapeleiden vaati- musmäärittelylle, valinnalle, hankinnalle ja laadunhallinnalle. Lisäksi ohjeessa asetetaan ohjeet sähkö- ja automaatiojärjestelmien kelpoistukselle sekä ohjelmistopohjaisten tur- vallisuusluokiteltujen laitteiden ohjelmiston kelpoistukselle. (YVL E.7 2013; STUK 2014.) Ydinvoimalan turvallisuusluokkien määritelmät on YVL B.2 -ohjeessa, jossa esitellään perusteet turvallisuusluokkien 1, 2, 3, EYT järjestelmille ja järjestelmän laitteistolle se- kä kuvaa soveltumisperusteet. EYT-luokasta voidaan eriyttää vielä EYT/STUK, johon kuuluvat laitteet ja järjestelmät, jotka ovat olleet vanhoissa YVL-ohjeissa turvallisuus- luokassa 4. Näitä ovat esimerkiksi paloturvallisuusjärjestelmät ja -laitteet. Lisäksi oh- jeessa määritellään maanjäristysluokat, joihin ydinvoimalan järjestelmät, rakenteet ja laitteet on myös luokiteltu turvallisuusluokkien lisäksi. YVL B.1 -ohjeessa puolestaan keskitytään turvallisuussuunnitteluun. Ohjeessa esitetään perusvaatimukset, joita sitten yksityiskohtaistetaan ja täydennetään YVL E.7 -ohjeessa. (YVL B.1 2013; YVL B.2 2013) 35 Ydinvoimaloiden todennäköisyyspohjaiseen riskianalyysiin ja riskien hallintaan liittyvät määräykset esitetään YVL-ohjeessa A.7. Ohjeessa esitetään yleiset vaatimukset PRA- analyysiin ja sen dokumentointiin. Ohjetta sovelletaan edellä esitellyssä YVL B.1 - ohjeessa riskianalyysien määrittelyssä ja laatimisessa. YVL A.7 -ohjeen lisäksi YVL A -sarjasta myös ohje A.8 tulee huomioida kelpoistusprosessissa. YVL A.8 -ohje asettaa vaatimukset ikääntymisen hallintaan. YVL A.8 -ohjetta sovelletaan muun muassa YVL B.1 -ohjeessa sekä YVL E -sarjan ohjeissa, jotka koskevat ydinvoimalaitoksen raken- netta ja laitteita. Esimerkiksi YVL E.7 -ohjeessa on kokonainen kappale, joka käsittelee ikääntymisen hallintaa. Tuon kappaleen kohdissa viitataankin ohjeeseen YVL A.8. (YVL A.7 2013; YVL B.1 2013;YVL A.8 2013.) STUK:n laatimat uudet YVL-ohjeet tulevat automaattisesti voimaan suunniteltaville ydinvoimaloille, kuten OL4. Ohjeet eivät ole vielä käytössä Olkiluodon käyvissä ydin- voimalaitoksissa, sillä käynnissä on kuulemiskierros, jossa tarkastellaan, täyttääkö TVO YVL-ohjeissa asetetut vaatimukset ja määräykset. Kuulemiskierros kestää noin vuoden, jonka jälkeen STUK tekee päätöksen, miltä osin uudet YVL-ohjeet tulevat voimaan 3.3.2 Noudatettavat standardit International Elecrotechnical Commission (IEC) on julkaissut joukon ydinvoimalaitos- ten turvallisuutta käsitteleviä standardeja, joita hyödynnetään kelpoistusprosessissa. Tässä kappaleessa esitellään yleisimmät kelpoistusrosessissa noudatettavat standardit sekä alueet, joihin ne asettavat määrityksiä ja vaatimuksia. Standardi tarkoittaa normia, joka on standardointijärjestön määrittämä. Virallisia stan- dardeja laativat viralliset standardointijärjestöt joita IEC:n lisäksi ovat International Or- ganization for Standardization (ISO), Institute of Electrical And Electronics Enginee- ring (IEEE) ja suomalainen Suomen Standardisoimisliitto ry (SFS). Järjestöjen laatimia standardeja voidaan hyödyntää monella tekniikan alalla, myös kelpoistusprosessissa. Ne asettavat vaatimuksia niin itse kelpoistusprosessin kelpoistusmenetelmille kuin kelpois- tettavalle järjestelmälle ja sen ohjelmistolle sekä laitteistolle, jotta prosessi suunnittelus- ta käyttöön toteutuisi laadukkaasti. Kuitenkaan mikään standardi ei yksin riitä katta- maan koko prosessia, vaan useat standardit täydentävät toisiaan. 36 Standardi IEC 60780 (1998) esittelee ydinvoimaloiden sähkölaitteiden yleisen kelpois- tusprosessin ja kelpoistusmenetelmät, joita käytetään kelpoistuksessa. Se asettaa vaati- mukset menetelmien toteuttamiseen sekä tarkemmat määritykset kelpoistunanalyysien tekemiseen. Standardissa käsitellään myös kelpoistukseen ja saatuihin tuloksiin liittyvää dokumentointia. (IEC 60780 1998; Yli-Nikkilä 2012: 24; Halminen 2001: 24.) Standardi IEC 61226 (2009) esittelee luokittelumenettelyn etenemisen ja määrittelee ydinvoimaloiden turvallisuustoimintoja suorittaville automaatiojärjestelmille ja -laitteille luokittelun kategorioihin. Luokittelu puolestaan asettaa vaatimukset järjeste- lemien ja laitteiden suunnittelulle. Standardi esittää turvallisuuskategoriat A, B ja C se- kä luokittelemattoman esittäen samalla niiden rajat. Määritellyt kategoriat vastaavat YVL B.2:ssa määritettyjä turvallisuusluokkia 2, 3 ja EYT STUK. Turvallisuusluokkien ja kategorioiden vastaavuus on esitetty taulukossa 2, joka on sivulla 38. (IEC 61226 2009; Yli-Nikkilä 2012: 24.) Standardi IEC 60880 (2006) on vuonna 1986 julkaistun IEC 60880 standardin ja vuon- na 2000 julkaistun IEC 60880-2 standardin yhdistelmä. Se käsittelee ydinvoimalan oh- jelmistopohjaisten järjestelmien ohjelmistoa ja määrittää vaatimuksia ohjelmiston kehi- tyksen vaiheisiin. Se asettaa määritelmiä jokaiseen vaiheeseen suunnittelusta testauk- seen sekä kelpuutukseen, joka on osa kelpoistusta, kuten kappaleen 3.8 kuvassa 13 (si- vulla 50) havainnollistetaan. Erityisesti standardin taulukossa E.4.2, joka on esitetty liit- teessä 2, käsitellään tarkasti testausmetodeja, joiden avulla ohjelmistot pyritään osoitta- maan luotettaviksi ja toimiviksi riippumatta ohjelmiston kehitystavasta tai testausmene- telmästä. Lisäksi standardissa asetetaan vaateita myös ohjelmistonkehitystyökaluille. Sen tähtäimenä on auttaa kehittämään mahdollisimman laadukas ohjelmisto. Standardi kuitenkin käsittelee turvallisuus kategorian A järjestelmän ohjelmistoja. Siksi Standardi IEC 62138 (2004) täydentää sitä, sillä se esittelee vastaavat asiat kuin IEC 60880, mutta turvallisuus kategorioiden B ja C järjestelmille. Näiden standardien myötä saadaan koottua vaatimukset ohjelmiston kehittämiseen ja kelpoistukseen. (IEC 60880 2006; IEC 62138 2004; Yli-Nikkilä 2012: 24; Halminen 2001: 24.) Esiteltyjen standardien lisäksi kelpoistusprosessissa tulisi noudattaa standardia IEC 61513 (2011), joka asettaa yleiset vaatimukset ydinvoimaloiden turvallisuusjärjestelmil- 37 le, jotka voivat koostua analogisista laitteista, ohjelmistopohjaisista laitteista tai näiden yhdistelmistä. Standardissa korostetaan ydinvoimalaitosten turvallisuustavoitteita, jotka ovat edellytyksenä tuotteen kattavan arkkitehtuurin suunnittelussa. Standardin liitteessä esitetään myös sen yhtäläisyys standardin IEC 61508 kanssa. (IEC 61513 2011; Yli- Nikkilä 2012: 24; Halminen 2001: 24.) Standardi IEC 61508 (2010) koostuu seitsemästä osasta. Se esittää tarkat vaatimukset kaikille tekniikoille toiminnallisesta turvallisuudesta. Esimerkiksi standardin osassa 3 määritetään ohjelmistoa koskeva vaatimukset. Lisäksi standardissa esitetään vaara- ja riskianalyysien arviointimenetelmän, jonka tulosten perusteella saadaan määritettyä tur- vallisuuden neljä eheyden tasoa (TET tai Safety Integrity Level, SIL), jotka ovat esitet- tynä taulukossa 1. (IEC 61508-1 2010; IEC 61508-2; IEC 61508-3; Yli-Nikkilä 2012: 22.) Taulukko 1. Vikojen todennäköisyys. (Pepperl+Fuchs 2007: 14.) Turvallisuuden eheyden taso (TET/SIL) Harvojen vaateiden toi- mintatapa (Keskimääräinen epäonnistumisen todennäköisyys suunnitellun toi- minnon toteuttamisessa vaaditta- essa) Tiheiden vaateiden tai jatkuvan toiminnan käyttötapa (Vaarallisen vikaantumisen toden-näköisyys tuntia kohti) 4 ≥ 10 -5 … < 10 -4 ≥ 10 -9 … < 10 -8 3 ≥ 10 -4 … < 10 -3 ≥ 10 -8 … < 10 -7 2 ≥ 10 -3 … < 10 -2 ≥ 10 -7 … < 10 -6 1 ≥ 10 -2 …< 10 -1 ≥ 10 -6 … < 10 -5 SIL-luokkien vastaavuutta turvallisuusluokkiin ei ole esitetty standardeissa, mutta SIL- luokat 3, 2 ja 1 voidaan karkeasti arvioida vastaamaan standardissa IEC 61226 määritel- tyjä luokkia A, B ja C. Turvallisuusluokkien, -kategorioiden ja SIL-luokkien vastaavuu- det on esitetty taulukossa 2. 38 Taulukko 2. Turvallisuusluokkien ja turvallisuuden eheyden tasojen vastaavuus. (YVL B.2 2013: 5; STUK 2010: Wahlström 2011; YVL 2.1 2000: 5, vanhentunut.) Turvallisuusluokka Turvallisuus kategoria Turvallisuuden eheyden taso 2 (+3 onnettomuus- insturmentit) A 3 3 B 2 EYT/STUK C 1 EYT Kelpoisuksessa on huomioitava myös standardi IEC 60987. Standardi käsittelee laitteis- toja, joihin ohjelmisto asennetaan. Se määrittää vaatimukset uuden laitteiston kehityk- sen sekä valmiiden ohjelmistopohjaisten laitteiden, kuten COTS (Component Off the Shelf) -laitteistojen arvioinnin. Erityisen laitteistoläheiset laiteohjelmat (firmware), tulee myös arvioida IEC 60987 -standardin mukaisesti. Muissa ohjelmistotapauksissa on noudatettava edellä esiteltyjä standardeja IEC 60880 ja IEC 62138. (IEC 60987 2013; Halminen 2001: 24.) 3.4 Vaatimustenhallinta ja vaatimusmäärittely Vaatimustenhallinta (Requirement Engineering, RE) mielletään eräänlaiseksi kattopro- sessiksi, joka sisältää vaatimusten hallintaan liittyviä toimintoja ja tehtäviä. Esimerkiksi konfiguraationhallinta, versionhallinta ja muutostenhallinta ovat vaatimustenhallinnan toimintoja, joista kerrotaan enemmän kappaleessa 3.5. Vaatimustenhallinta voidaan ja- kaa aliprosesseihin, kuten vaatimusmäärittelyyn (Requirement Development), suppeam- paan vaatimustenhallintaan (Requirement Management) sekä verifiointiin (verification) ja validointiin (validation) seuraavan sivun kuvan 9 mukaisesti. (Kallio 2008: 22; Vii- tasalo 2014; Wiegers 2000.) Vaatimusten validoinnin avulla tarkastetaan, että kootut vaatimukset ovat johdonmukai- sia ja tarkkoja. Verifioinnilla puolestaan todennetaan vaatimusten toteutuminen. Vali- 39 dointi ja verifiointi toteutetaan yleensä prosessin loppuvaiheessa. Vaatimusmäärittelystä kerrotaan tarkemmin kappaleessa 3.4.1. (Lintula 2004: 13–14; Wiegers 2000.) Kuva 9. Vaatimustenhallinnan aliprosessit. (Muokattu lähteestä Viitasalo 2014). Vaatimustenhallinta on suunnitteluperusteiden hallintaa, joka jakaantuu kehittävän tuot- teen elinkaaren jokaiseen vaiheeseen. Sen tehtävän on ylläpitää vaatimusmäärittelyyn koottuja vaatimuksia, jotka muuttuvat ja kehittyvät prosessin edetessä. Kallio (2008: 22) muistuttaa työssään, että ohjelmistoilla vaatimukset voivat muuttua käyttöönoton jäl- keen, jolloin vaatimusten muuttamisesta tulee kallis prosessi. Siksi virheelliset ja van- hentuneet vaatimukset olisi hyvä havaita mahdollisimman aikaisessa vaiheessa, jolloin virheellinen vaatimus saadaan korjattua taloudellisemmin. (SoftQA 2009; Kallio 2008: 22; Ludens 2011.) Jotta vaatimuksia ja niiden riippuvuuksia voidaan pitää helposti ajan tasalla, vaati- mustenhallintaan on kehitetty apuvälineeksi vaatimustenhallintatyökaluja. Nämä kui- tenkin jakavat mielipiteitä. Muun muassa Ruhe, Eberlein & Pfahl (2002) kehuvat vaa- timusten-hallintatyökalujen auttavan tuotteen laadun kehittämisessä, kun taas Heindl & Biffl (2005) esittävät, etteivät ne takaa hyvää tulosta esimerkiksi vaatimusten jäljitettä- vyy-dessä. (Kallio 2008: 22–23, 35; Ludens 2011; Ruhe, Eberlein & Pfahl 2002: 159; Heindl & Biffl 2005: 60, 68.) 40 Kallio (2008: 35–36) huomauttaa työssään, etteivät vaatimustenhallintatyökalut ole riippuvaisia kehityskohteestaan, joten ne eivät kykene tarjoamaan sille riittävää tukea. Hänen mukaansa riittävän tuen puute heikentää muun muassa vaatimusanalyysiä. Tilan- ne on kuitenkin vähitellen korjautumassa, sillä työkaluja on kehitetty antamaan kehitys- kohdekohtaista tukea. Nämä työkalut eivät ole vielä yleistyneet teollisuudessa, koska kohdealueiden mallintaminen on haastavaa riittävän tarkalla tasolla. Lisäksi tuotteiden nopean kehittymisen myötä mallien ajan tasalla pitäminen on vaikeaa. (Kallio 2008: 35– 36; Ruhe ym. 2005: 159.) Vaatimusten hallinta ei ole kuitenkaan pelkästään dokumenttien hallintaa. Vaatimusten ylläpitämisen lisäksi vaatimustenhallinta on ihmisten välistä viestintää ja pyrkimystä päästä yhteisymmärrykseen kehitettävästä tuotteesta. Kommunikoinnissa apuna käyte- tään alusta alkaen vaatimusmäärittelyä. (SofQA 2009.) Kiviluoto (2013: 33) kuvaa työssään vaatimusmäärittelyn olevan prosessi, jossa tunnis- tetaan sidosryhmät ja tärkeimmät tarpeet. Vaatimusmäärittelyn avulla luodaan perusta suunnittelulle ja hankinnalle, joten se tulee laatia prosessin alusta alkaen huolella ja oi- kein. Vaatimusten kerääminen dokumenttiin on vaatimusmäärittelyssä kaikkein kriitti- sin työvaihe, sillä vaatimusmäärittelystä on käytävä ilmi järjestelmän, sen ohjelmiston ja laitteiden tärkeimmät toiminnot, vaatimukset, rajoitteet sekä standardit. Jotta haluttuun lopputulokseen päästäisiin, esitetään vaatimusmäärittelyssä, miten järjestelmän ja lait- teiden toiminnallisuus saavutetaan. Tämän perusteella vaatimusmäärittelyä voidaan ku- vata prosessin navigaatiokartaksi. (Kaskela 2005; Kiviluoto 2013: 33; Sininen meteoriit- ti 2014; Ruuska 2012: 10; Stinson 2012; Wiegers 2000; Halminen 2001: 31–32.) Jotta vaatimusmäärittelyn laadinta voidaan aloittaa, ratkaistava toiminnallinen ongelma tulee ymmärtää. On siis selvitettävä ohjelmistopohjaisen järjestelmän ja sen laitteiston käyttötarkoitus ja käyttöolosuhteet. Lisäksi ydinvoimalaan tulevan järjestelmän vaati- musmäärittelyssä on huomioitava ydinvoimalalle ominaiset työolosuhteet, laitospaikkaa koskevat vaatimukset sekä luotettavuusvaatimukset. Myös rajapinnat muihin voimalai- toksen järjestelmiin on määriteltävä sekä huomioitava kelpoistettavan järjestelmän tur- vallisuusluokan asettamat vaatimukset muiden sitä koskevien rajoitusten, tavoitteiden ja standardien asettamien vaatimusten lisäksi. Laadittavasta vaatimusmärittelystä on käy- 41 tävä ilmi myös noudatettavat viranomaisen asettamat ohjeet. Näiden pohjalta on ohjel- mistopohjaiselle järjestelmälle ja sen laitteistolle asetettava toiminnalliset ja ei- toiminnalliset vaatimukset. Kun kaikki vaatimukset on koottu, ne tulee analysoida. Ana- lysoinnin avulla tarkastetaan ovatko kaikki vaatimukset jäljitettävissä, ovatko ne perus- teltuja ja puuttuuko jokin järjestelmän, sen ohjelmiston tai laitteen toiminnan kannalta olennainen vaatimus. Tämän jälkeen vaatimusmäärittely dokumentoidaan ja lopuksi se katselmoidaan, eli vaatimusmäärittelyn tarkastetaan olevan dokumentoitu oikein. (Ruuska 2012: 11–12; Stinson 2012; YVL E.7 2013: 8; Halminen 2001: 31–32.) Navigaatiokartan lisäksi vaatimusmäärittely voidaan kuvailla projektin osapuolten väli- seksi kommunikaatiovälineeksi. Sen avulla kaikki asetetut tavoitteet ja rajaukset ovat selvillä projektiin osallistuvien eri organisaatioiden välillä. Tämän takia vaatimusmää- rittelyn laadinnassa on panostettava paitsi täsmällisyyteen, mutta myös selkeyteen ja yksiselitteisyyteen, jotta epäselvyyksiltä, väärinymmärryksiltä ja virheiltä vältyttäisiin. Lisäksi vaatimusmäärittelyn on oltava muokattavissa, koska vaatimukset muuttuvat ja kehittyvät useista eri syistä prosessin edetessä. Esimerkiksi tarpeet muuttuvat, jolloin tulee uusia vaatimuksia ja osa jää tarpeettomiksi kuten kuvassa 10 havainnollistetaan. Muutetut vaatimukset on lisättävä vaatimustenmäärittelydokumenttiin, jonka on todettu olevan hyvä apuväline prosessin riskien hallinnassa. Lisäksi se antaa hyvän pohjan jär- jestelmän suunnittelusta toteutukseen, sillä jokaiselle vaiheelle tärkeät rajoitteet ja nou- datettavat vaatimukset sekä ohjeet on esitettynä vaatimusmäärittelyssä. (YVL E.7 2013: 8; Kiviluoto 2013: 33; Sofokus 2014; Kallio 2008: 23; Halminen 2001: 31–32.) Vaatimusmäärittely on tärkeä myös järjestelmän, sen laitteiden ja ohjelmien turvallisuu- den kannalta. Jotta turvallisuus pystyttäisiin takaamaan jokaisessa prosessin vaiheessa, on vaatimusmäärittely laadittava oikein ja huolella sekä pidettävä ajan tasalla. Siinä tu- lee esittää kelpoistettavaa järjestelmää, laitetta tai ohjelmaa koskevat turvallisuusvaati- mukset, joissa on ilmettävä myös turvallisuusluokitus ja sen asettamat vaatimukset. Näiden, niin kuin muidenkin vaatimusmäärittelyssä esitettyjen vaatimusten ja rajoittei- den, on oltava jäljitettävissä. (YVL E.7 2013: 8; Kiviluoto 2013: 48; Halminen 2001: 31–32.) 42 Kuva 10. Vaatimusten kehittyminen prosessin edetessä. (Muokattu lähteestä Viitasalo 2014.) Vaatimusmäärittelyn hyvin jäljitettävistä vaatimuksista on hyötyä erityisesti, kun suun- nitellaan järjestelmän laitteistoon muutoksia tai etsitään markkinoilta poistuneelle kom- ponentille korvaavaa tuotetta. (Halminen 2001: 32.) 3.5 Konfiguraationhallinta Konfiguraatio tarkoittaa ominaisuuksia tai kokonaisuutta, joka muodostuu fyysisistä komponenteista. Se tarkoittaa myös versiota puhuttaessa ohjelmistotuotteista ja doku- menteista. Jos jokin järjestelmän ominaisuus tai asetettu vaatimus muuttuu, muuttuu samalla sen konfiguraatio. Tätä varten on olemassa konfiguraationhallinta (configurati- on management, CM), jonka tehtävänä on hallita konfiguraatioissa tapahtuvia muutok- sia eri osa-alueiden muodostavien toimintojen avulla. Konfiguraation osa-alueet ovat identifiointi (identificaton), versionhallinta (version control), muutostenhallinta (change control), tilatiedon ylläpito (status reporting) sekä konfiguraation tarkastus (configura- tion check). Versionhallinnasta ja muutostenhallinnasta kerrotaan enemmän kappaleissa 3.4.1 ja 3.4.2. (Ranta 2008: 5; Aho 2009: 14; Ren, Xing, Quan & Zhao 2010: 118; IEC 61508-3 2010: 13–14.) 43 Konfiguraationhallinnalle ei kuitenkaan löydy täysin yksiselitteistä määritelmää, sillä asiantuntijat ja standardit esittävät sille omia, toisistaan hieman poikkeavia määritelmiä. Esimerkiksi Tichyn (2008: 1) mukaan konfiguraationhallinnalla pyritään hallitsemaan monimutkaisien systeemien kehitystä. Iivosen työssä (2011: 9–10) puolestaan esitetään muun muassa standardin ISO 10007:n näkemys, jonka mukaan konfiguraationhallinta sisältää tekniset ja organisatoriset toimenpiteet tuotteen konfiguraation ja informaation tunnistamiseksi, ohjaamiseksi, valvomiseksi ja auditoimiseksi. Aho (2009: 15) puoles- taan esittelee työssään sandardin ANSI/EIA-649-A 2004 määritelmän, jonka mukaan konfiguraationhallinta on prosessi, jonka tehtävänä on varmistaa, että tuotteen ominai- suudet vastaavat sen vaatimuksia ja konfiguraation informaatiota koko elinkaaren ajan. (Seppänen 2000: 1; Iivonen 2011: 9–10; Tichy 2008: 1; IEC 61508-3 2010: 13–14; Aho 2009: 15.) Määritelmissä on samoja elementtejä eri sanoin. Niiden avulla saa hyvän kokonaisku- van konfiguraation tehtävästä ja merkityksestä prosessissa. Sen lisäksi, että konfiguraa- tionhallinta määritetään prosessiksi, se on jonkin muun prosessin, kuten kelpoistuspro- sessin tärkeä tukitoiminto. Se on mukana tuotteen jokaisessa elinkaaren vaiheessa ku- vassa 11 esitetyn esimerkin mukaisesti. Kuvan esimerkki soveltuu paitsi kelpoistuspro- sessiin, mutta myös mihin tahansa tuotteen suunnittelu- ja testausprosessiin. (Seppänen 2000: 1; Iivonen 2011: 9-10; Tichy 2008: 1; IEC 61508-3 2010: 13–14; Aho 2009: 44.) Konfiguraationhallinta on iso kokonaisuus, joka muodostuu alalajeista, jotka myös koostuvat viidestä osa-alueesta. Alalajit ovat muun muassa ohjelmiston konfiguraation- hallinta (software configuration management, SCM) ja laitteiston konfiguraationhallinta (harware configuration management, HCM). Näiden erottamisessa toisistaan on epä- selvyyksiä. Ohjelmiston konfiguraationhallinta on monimutkaisten ohjelmistojen kehi- tyksen ja elinkaarenhallintaa, joka sulautuu jokaiseen ohjelmistokehityksen vaiheeseen. Laitteiston konfiguraationhallinnassa puolestaan keskitytään laitteiden kehityksen ja elinkaaren hallintaan. (Tichy 2008: 1; Farah 2013; Niemelä 2006: 1.) 44 Kuva 11. Esimerkki konfiguraationhallinta ohjelmistopohjaisen järjestelmän kehitys- prosessissa. (Muokattu lähteestä California Division 2014.) Jotta suuria kokonaisuuksia, kuten kelpoistusprosessia, olisi helpompi hallita konfigu- raationhallinnalla, jaetaan järjestelmä yksittäin tunnistettaviin, riittävän pieniin kokonai- suuksiin. Näistä kokonaisuuksista käytetään nimitystä konfiguraatioyksikkö (configura- tion item, CI). Ne voivat olla osajärjestelmiä, komponentteja, laitteita tai ohjelmia. Kon- figuraatioyksiköitä käytetään paitsi helpottamassa suurien kokonaisuuksien hallintaa, mutta myös mittaamaan edistymistä ja laatua alkuperäisen suunnitelman ja lopullisen tuotteen välillä. (Iivonen 2011: 11; Aho 2009: 15; YVL B.1 2013: 7.) 3.5.1 Versionhallinta Versionhallinta (version control tai revision control) on dokumenttien, ohjelmistojen ja tietokoneelle tallennettujen tiedostojen muutosten hallintaa koko tuotteen elinkaaren ajan. Sitä pidetään välttämättömänä toimintona ohjelmistotuotannossa niin isoissa kuin pienissäkin projekteissa. Menetelmän kehittäminen on lähtöisin tarpeesta palata aikai- sempiin versioihin kehityksen tai suunnittelun jumiuduttua, tai halutessa paikantaa vir- heitä ja ongelmia edellisistä versioista. Lisäksi haluttiin projektin jokaisen jäsenen ole- 45 van ajan tasalla viimeisimmästä julkaistusta versiosta sekä helpottaa projektin sisäistä kommunikointia ja yhteistyötä. Perinteisesti versionhallintaa käytetään ohjelmistopro- jekteissa, jossa se hallitsee paitsi dokumentaatioita, mutta myös konfiguraatiotiedostoja sekä lähdekoodia. (Kettunen 2009: 13; Git 2014; Yeates 2013; Aho 2009: 21; Majuri 2006: 8–14.) Halminen (2001: 34–35) korostaa ydinvoimalaitoksien versionhallinnan roolin tärkeyttä laitteiden ja niiden varaosien valinnassa, sillä varaosaksi kelpuutetaan ainoastaan kel- poistettu versio vastaavasta tuotteesta. Jotta samaa tuotetta pystyttäisiin tilaamaan vara- osiksi, on pystyttävä selvittämään laitteiden ja ohjelmistojen versiot. Uusien versioiden myötä laitteen ja ohjelmiston testaukseen voi tulla muutoksi, joiden takia onkin tärkeää, että toimittajan versionhallinta on ajan tasalla. (Halminen 2001: 35–37.) Versionhallinnan avulla voidaan myös tallentaa muutokset tiedostoon tai tiedostoihin, jotta myöhemmin voitaisiin palata tarkastelemaan haluttua versiota. Jotta edellisten ver- sioiden tarkastelu olisi mahdollista, versionhallinnassa käytetään versionhallintajärjes- telmiä (Version Control Systems, VCS). Ne ovat erillisiä ohjelmistoja ja niiden avulla tiedoston tai koko projektin voi palauttaa edelliseen tilaan. Lisäksi sen avulla voidaan tarkastella, millaisia muutoksia esimerkiksi edelliseen versioon on tehnyt, kuka on vii- meksi tehnyt muokkauksia, millaisia ongelmia on havaittu ja mikä on ongelmien mah- dollinen aiheuttaja sekä kuka ongelman on esitellyt. Tällä tavoin tehdyt muutokset ovat jäljitettävissä ja tehdyille ratkaisuille löytyy perustelut. (Kettunen 2009: 13–20; Yeates 2013; Git 2014; Lenkkeri 2013.) 3.5.2 Muutostenhallinta Muutostenhallinta (change control) on häilyvä käsite. Useimmiten sillä tarkoitetaan prosessissa tapahtuvien muutosten seuraamista, ennakointia, tunnistamista, arviointia ja hallintaa läpi prosessin. Jokainen tehtävä muutos täytyy määritellä, harkita ja hyväksyä ennen sen toteuttamista. Tällä tavalla pyritään välttämään tarpeettomat muutokset, jotka veisivät vain aikaa, rahaa ja työvoimaa. Muutostenhallinnan avulla mahdollistetaan on- 46 nistunut prosessi sekä varma ja laadukas ohjelmistokehitys. (Rouse 2011; Haughey 2011; Majuri 2006: 9.) Muutostenhallinta on välttämättömyys prosessista ja sen koosta huolimatta. Se ei ole osa vain yhtä prosessia, vaan myös kaikkia siihen liittyviä prosesseja. Sitä käytetään muun muassa prosessin konfiguraationhallinnan, vaatimustenhallinnan lisäksi projek- tinhallinnassa. Sen avulla taataan prosessin ja järjestelmän jatkuva kehitys, kun tärkeitä muutoksia tehdään esimerkiksi vaatimuksiin tai järjestelmän tai ohjelmiston suunnitte- luun ja kehitykseen. Tehtävät muutokset tulee dokumentoida, jotta niitä pystytään seu- ramaan sekä jäljittämään. (Haughey 2011; Carman 2013.) 3.6 Laatusuunnitelma Laatusuunnitelman avulla taataan paitsi koko kelpoitusprosessin, mutta myös kelpoistet- tavan tuotteen laatu. Suunnitelmassa tulee olla kuvattuna yksityiskohtaisesti laatuvaati- mukset ja laadunvarmistamista varten käytettävät menetelmät. Tällä tavoin pyritään välttämään virheitä ja riskejä. Suunnitelmassa on kuitenkin esitettävä kriittisten tilantei- den varalle, millä tavoin ne tunnistetaan ja ehkäistään. Laatusuunnitelman avulla var- mistetaan prosessin onnistuminen. (YVL E.7 2013: 11–12; YVL B.1 213: 7−8.) Laatusuunnitelma tulee laatia paitsi koko projektille, mutta myös projektissa suunnitel- taville ja määriteltäville turvallisuuskriittisille järjestelmille ja järjestelmä ohjelmistolle sekä laitteille. Se on projektikohtainen sekä järjestelmä-, laite- ja ohjelmistokohtainen dokumentti, josta on käytävä ilmi kaikki vaiheet ja noudatettavat standardit ja ohjeet. Vaikka kehitettävälle tuotteelle on laadittava oma laatusuunnitelma, on se kuvattava yk- sityiskohtaisesti koko prosessin kattavassa laatusuunnitelmassa. Laatusuunnitelman laa- timisessa voidaan hyödyntää asetettuja ohjeita ja standardeja, kuten standardia ISO 10005. (YVL A.3 2013: 13.) Laatusuunnitelmasta on selvittävä jokaisessa prosessin vaiheessa tehtävät toiminnot. Lisäksi dokumentissa on kuvattava jokaisen vaiheen jälkeen tehtävät katselmoinnit, hy- väksymiskriteerit sekä sovellettavat päätöksentekomenettelyt ja vastuut. Laatusuunni- 47 telmassa on kerrottava asiakirjat ja tallenteet, jotka laaditaan jokaisen vaiheen jälkeen. Siitä on myös käytävä ilmi prosessiin osallistuvat organisaatiot ja mahdolliset riippu- mattomat tarkastajat sekä niiden rajapinnat sekä tehtävät. Suunnitelmasta tulee selvitä myös, millä menetelmillä alihankkijoiden valvonta tullaan prosessissa toteuttamaan. (YVL B.1 2013: 7−8; YVL E.7: 11–12.) Laatusuunnitelman tehtävänä on selkeyttää prosessia ja tuoda siihen järjestelmällisyyttä sekä pitää prosessin laatu jokaisessa vaiheessa vaaditulla tasolla. Dokumenttia päivite- tään prosessin edetessä, jotta se pysyisi ajan tasalla. Laatusuunnitelman avulla pystytään selvittämään syntyvien dokumenttien oikeellisuus, sillä suunnitelmassa on oltava esitet- tynä, miten oikeellisuus voidaan osoittaa. (YVL B.1 2013: 7−8; YVL E.7 2013: 11−12.) 3.7 Dokumentointi Dokumentointi on asiakirjojen hallintaa sekä seurannan apuväline. Sen avulla pyritään kuvaamaan järjestelmien, laitteiden ja ohjelmistojen rakennetta ja toimintoja prosessin jokaisessa suunnittelu- ja toteutusvaiheessa. Tossavainen (2007: 13) korostaa työssään dokumentoinnin merkitystä, kun halutaan ymmärtää monimutkaisia kokonaisuuksia esimerkiksi ohjelmiston tai ohjelmakoodin rakennetta. (IEC 61508-1 2010: 13; Tossa- vainen 2007:13.) Dokumentoinnissa on pyrittävä hyvään tarkkuuteen ja yksiselitteisyyteen, sillä se on apuna muutosten huomioimisessa ja dokumenttien ajan tasalla pitämisessä läpi koko prosessin. Se on tärkeä osa järjestelmän ja sen ohjelmiston ja laitteiden elinkaarta. Do- kumentointi on myös tärkeä osa, kun yritetään paikantaa suunnittelussa ja toteutuksessa tehtyjä virheitä. Ilman dokumentteja se olisi melkein mahdotonta. Siksi onkin tärkeää, että dokumentit ovat identifioituja ja dokumentinhallinnan alaisena. Näin varmistetaan, että tarkastelussa on oikea dokumentti ja siitä viimeisin versio. (Tossavainen 2007: 13– 15; IEC 61508-1 2010: 13–14.) Jokainen dokumentti on pystyttävä tarkistamaan oikeanlaiseksi sekä arvostelemaan ja toteamaan hyväksytyksi. Tämä on tärkeää, sillä dokumenttien avulla tulee kelpoistuk- 48 sessa pystyä osoittamaan turvallisuuskriittisten järjestelmien sekä niiden laitteiden täyt- tävän asetetut vaatimukset. Samalla pystytään selvittämään niiden sopivan suunnitel- tuun käyttötarkoitukseen ja käyttöympäristöön. Kuvassa 12 näkyy paitsi esimerkki kel- poistuksen etenemisestä, mutta myös esimerkki viranomaiselle laitettavista dokumen- teista kelpositusprosessin aikana. 3.8 Kelpoistusproseduuri Kelpoistuksessa tarkastellaan tuotteen elinkaaren vaiheiden laatua, jota arvioimalla osoitetaan tuotteen luotettavuus jokaisessa prosessin vaiheessa. Samalla osoitetaan, että ohjelmistopohjainen laite toteuttaa asetetut vaatimukset myös ohjelmiston osalta. Lisäk- si ohjelmoitavan järjestelmän kelpoistuksen on sisällettävä niin perusjärjestelmä kuin sovelluskin. Ohjelmiston kelpoistus on kuitenkin erittäin haastavaa, sillä ohjelmiston täydellinen testaaminen on mahdotonta. Kaikkia vikoja ei pystytä välttämättä havaitse- maan testaamalla, testitapauksia on useita ja viat voivat ilmetä erilaisilla tavoilla, joita ei välttämättä ole osattu odottaa. Tämän takia tuotteen laadukkaalla suunnittelulla ja val- mistuksella on tärkeä rooli kelpoistuksessa testauksen rinnalla. (YVL E.7 2013: 18; Ka- surinen 2013: 19–20.) Kelpoistusprosessi koostuu useista prosessivaiheista, kuten määrittelystä, suunnittelusta ja testauksesta. Kelpoistusprosessissa nämä eri vaiheet kelpuutetaan kuvassa 12 esitetyn esimerkkimallin mukaisesti tehtävien tarkastusten ja testien avulla prosessin edetessä. Kelpoistusprosessi käynnistyy tarpeesta, jolla tarkoitetaan vastaavan tuotteen löytämistä uudesta tekniikasta vanhan tuotteen valmistuksen loputtua, uusien ominaisuuksien li- säämistä tai hajonneen osan korvaamista ehjällä. Tekniikan kehittyessä samanlaista lai- tetta voi olla haastava löytää, jolloin toimittaja ehdottaa vastaavasta laitteesta sopivaa, uudempaa versiota korvaajaksi. (STUK YVL E.7 2013: 30–34; Wahlström 2013; Hal- minen 2001: 26.) 49 Kuva 12. Esimerkki automaatiojärjestelmän kelpoistusprosessin etenemisestä. (Muo- kattu lähteestä Wahlström 2013: 14.) Kelpoistusprosessi etenee samalla tavalla kuin muutkin suunnitteluprosessit. Etenemi- seen kuitenkin vaikuttaa kelpoistettavan tuotteen turvallisuusluokka. Ennen kaikkea kelpoistusprosessin onnistuminen on kiinni alusta asti oikein laaditusta vaatimusmäärit- telystä. Vaatimusmäärittelyn tulee olla riittävän yksityiskohtainen, ennen kuin tuote voidaan valita tilattavaksi. Vaatimusten selvittäminen aloitetaan kartoittamalla korvatta- van tuotteen vaatimukset sekä selvittämällä, onko tuotteelle tullut uusia vaatimuksia. Vaatimusmäärittelystä on selvittävä projekti-, järjestelmä- ja laitekohtaiset vaatimukset. Lisäksi on huomioitava voimalaitoksen yleiset turvallisuusvaatimukset sekä selvitettävä tarvittavista standardeista tulevat vaatimukset, sekä viranomaisvaatimukset joita on noudatettava. Tämän jälkeen voidaan koota vaatimusmäärittely. (YVL E.7 2013: 30.) Vaatimusmäärittelyä päivitetään kelpoistusprosessin edetessä. Niiden on oltava riittävän yksityiskohtaiset siirryttäessä seuraavaan vaiheeseen, jota vasten todennukset tulee teh- dä. Vaatimusmäärittelyjen lisäksi selvitetään alussa myös muut järjestelmää koskevat taustatiedot, joiden pohjalta vaatimusmäärittelyjen kanssa pystytään selvittämään järjes- telmän rakennetta, toimintoja sekä toteutusperiaatteita koskevat alustavat määritykset. 50 Kerättyjen taustietojen ja alustavien suunnitelmatietojen perusteella laaditaan periaate- suunnitelma, joka välitetään viranomaiselle hyväksyttäväksi. Dokumentissa tulee olla YVL E.7 -ohjeen mukaiset tiedot mukana. (YVL E.7 2013: 30.) Suunniteltava järjestelmä on pystyttävä arvioimaan soveltuvaksi sille tarkoitettuun käyt- tökohteeseen ja -ympäristöön. Lisäksi on kyettävä arvioimaan järjestelmän ja sen lait- teiston laatu, jonka pohjalta pystytään toteamaan järjestelmän, sen laitteiden ja ohjelmis- ton suunnittelun olevan tarkoituksen mukaista. Ohjelmistopohjaisten järjestelmien sekä järjestelmän laitteiden arvioinneissa hyödynnetään saatavilla olevia dokumentteja, ja ne on toteutettava yhdenmukaisesti standardin IEC 60880 asettamien vaatimusten kanssa. Arvioinnit suoritetaan järjestelmän suunnittelussa, jossa suunnitellaan myös järjestele- män laitteiden ja ohjelmiston tarkempaa rakennetta. Tuloksena tästä vaiheesta on en- nakkotarkastusaineisto (ETA) sekä alustava soveltuvuusarvio, jotka lähetetään viran- omaiselle YVL E.7 -ohjeen mukaisesti. (IEC 60880 2006: 117; YVL E.7 2013: 30–34.) Suunnitteluvaiheiden lopuksi on toteutusvaihe, jossa tuote valmistetaan. Luvanhaltija valvoo tuotteen valmistusta, integrointia ja tehdastestejä. Säteilyturvakeskus valvoo valmistusta ja tehdastestejä luvanhaltijan kanssa. Lisäksi valvontaan voi osallistua tar- vittaessa kolmas osapuoli. Valvonta toteutetaan tarkastuskäynneillä, joihin toimittaja välittää hyvissä ajoin kutsun luvanhaltijalle, joka välittää kutsun viranomaiselle. Teh- dastestien jälkeen järjestelmän laitteet toimitetaan voimalaitokselle ja ne asennetaan paikoilleen oikeaan käyttöympäristöön. Varsinainen kelpoistus suoritetaan asennuksen jälkeen. Ennen sitä on kuitenkin suoritettava asennustarkastus sekä toiminnalliset testit ja koestus. Näiden avulla testataan laitteiden oikeellisuus. Koekäytössä, joka suoritetaan koestuksen ja toiminnallisten testien jälkeen, testataan koko järjestelmän toimivuutta oikeassa käyttöympäristössään. (YVL E.7 2013: 33–34.) Liitteessä 3 on esitetty standardin IEC 60880 kaavio kelpoistuksesta. 51 4 KELPOISTUSPROSESSIMALLIN KEHITTÄMINEN Kelpoistusprosessimallin avulla esitetään kelpoistusprosessiin kuuluvat vaiheet sekä vaiheiden sisältö. Sen tehtävänä on auttaa hahmottamaan roolijakoa muun muassa TVO:n sisäisessä toiminnassa sekä TVO:n, viranomaisen ja toimittajan välillä. Proses- simallin avulla selviää, missä järjestyksessä tehtävät tulisi tehdä, sekä mitkä tekijät vai- kuttavat toisiinsa. Kelpoistusprosessimallissa myös annetaan esimerkkejä muun muassa siitä, mitä viranomaisaineistot sisältävät sekä, missä vaiheessa prosessia ne tulisi lähet- tää viranomaiselle hyväksyttäväksi. Kelpoistusprosessimallin kehittäminen lähti liikkeelle tarpeesta luoda riittävän yksityis- kohtainen prosessimalli, josta olisi apua prosessin vaiheiden seuraamisessa ja doku- mentteja laatiessa. Prosessimallin luominen aloitettiin käsitteen ”kelpoistus” selvittämi- sestä ja ymmärtämisestä, mitä kelpoistusprosessiin kuuluu. Tässä auttoivat kelpoistusta käsittelevät standardit ja erityisesti YVL-ohjeista YVL E.7 -ohje. Lisäksi keskustelu eri henkilöiden kanssa avarsi näkemystä, miten kelpoistusprosessin tulisi edetä, ja mitä vai- heita siihen pitäisi sisältyä. Myös Wahlstömin tekemistä esityksistä (Wahlström 2013; Wahlström 2011) oli apua kokonaisuuden hahmottamisessa. Yhtenä vaatimuksena kelpoistusprosessimallin kehittämisessä oli saada se yhtenäiseksi muiden TVO:n prosessimallien kanssa. Tässä auttoi TVO:lle kehitetty uusi muutostyö- prosessimalli. Esimerkiksi kelpoistusprosessimallin vaiheet nimettiin vastaaviksi muu- tostyöprosessimallin kanssa. Myös piirustusohjelma QPR, jolla prosessimalli luotiin, helpotti samankaltaisuuden luomisessa ja prosessimallin tekemisessä. Lisäksi piirustus- ohjelman avulla pystytään liittämään linkki TVO:n dokumentteihin ja ohjeisiin, joita voidaan käyttää esimerkiksi mallipohjina viranomaisaineistoja laadittaessa. Kelpoistusmallia kehittäessä aloitettiin yhteistyö Softability Group Oy:n kanssa, sillä huomattiin, että ohjelmistoille tarvittiin tarkemmat ohjeet kelpoistukseen sekä oma ITP (Inspection ad Testing Plan) -suunnitelman mallipohja. Softability Group Oy:n laatima ohje sisältää ohjeita ja tarkastuslistoja kelpoistusprosessimallin eri prosesseihin ja osa- tehtäviin pyrkimyksenä taata laadukas ohjelmiston suunnittelu ja toteutus. Ohjeessa keskitytään erityisesti kelpoistusprosessissa suoritettavaan toimittajan arviointiin ja au- 52 ditointiin sekä ohjelmiston vastaanottoon. Lisäksi ohjeissa keskitytään myös ITP- suunnitelman valvomiseen. Ohjelmiston kelpoistusohjeiden on tarkoitus valmistua syk- syn 2014 aikana. Ohje tullaan liittämään kelpoistusmalliin oikeisiin kohtiin ohjeistuk- seksi. Tähän mennessä ohjeet ovat kutakuinkin valmiina, mutta ITP-suunnitelman mal- lipohjaa hiotaan vielä. Ohjeiden lisäksi on pohdittu, miten kehitteillä ollutta Nuclear SPICE -mallia voitaisiin hyödyntää kelpoistusprosessimallissa. Nuclear SPICE on tur- vallisuuskriittisten järjestelmien ja ohjelmistojen prosessien kyvykkyyden ja ydinvoi- mastandardien mukaisuuden arviointimalli. Toistaiseksi tämän osalta ei ole tehty mitään konkreettista kehitettyyn kelpoistusprosessimalliin. Haasteellista kelpoistusprosessimallin kehittämisessä teki tavoite saada prosessimallista mahdollisimman selkeä, johdonmukainen ja helposti ymmärrettävä, koska prosessimal- lin eri vaiheet sisälsivät useita osioita ja aliprosesseja. Lisäksi oli vaikeaa hahmottaa, mitä kaikkea eri vaiheet sisälsivät, mitä näistä tulisi avata enemmän, ja mitä suunnitel- mia ja dokumentteja eri vaiheissa laaditaan. Suurena apuna tässä oli YVL E.7 -ohjeen liitetiedosto kaaviokuvat sekä saadut neuvot. Kelpoistusprosessimallin kehittämisessä haastavaa oli myös tuoda eri tekniikan alat näkyviin tekemättä kokonaisuudesta epäsel- vää. Erityisesti ohjelmoitavuuden korostaminen prosessimallissa osoittautui haastavak- si. Apua ongelmaan tuli asiantuntijoilta, standardeista, kirjoista sekä artikkeleista, joiden avulla tietämys lisääntyi ja näkemys asiast