Murphy Kanunu'na Kulak Verin: SCADA ile Uzaktan Kontrolde Aşırıya Kaçmayın

Teknoloji Seçimi: Uygulama Alanlarına Göre Dikkatli Değerlendirme

Her teknolojinin, optimum performans sergilediği, kısmen verimli olduğu ve kesinlikle uygun olmadığı uygulama alanları mevcuttur. Özellikle gelişiminin erken aşamalarındaki teknolojiler için, potansiyel olumsuz veya yetersiz kullanım senaryolarını öngörmek ve bunlardan kaçınmak genellikle zordur. Bu durum, teknoloji entegrasyonunda risk analizi ve kapsamlı değerlendirmenin önemini vurgulamaktadır...

Teknolojiler olgunlaştıkça, zorlu saha deneyimleri bazı uygulama alanlarının teknolojiye uygunluğunu net bir şekilde ortaya koyar. Bu teknik makalede, kontrol ve veri toplama (SCADA) sistemlerine olan bağımlılığın, belirli uygulamaların işleyişi üzerindeki etkilerini ele alacağız. SCADA'nın kritik altyapı ve endüstriyel süreçlerdeki rolü tartışılmaz olsa da, her uygulamanın mutlak SCADA bağımlılığı gerektirip gerektirmediği veya alternatif, daha esnek çözümlerin mümkün olup olmadığı incelenecektir.

Murphy Kanunu SCADA Sistemlerinde de İşler: Kritik Bağımlılıklardan Kaçınma

Murphy Kanunu, teknolojide de kendini gösterir: Bir dilim tereyağlı ekmeğin düşüşü gibi, uzaktan kumanda ve veri toplama sistemleri de kritik anlarda arızalanma eğilimindedir. Bir mesajın mutlaka iletilmesi gerektiği veya finansal süreklilik için hayati önem taşıyan bir verinin aktarıldığı tam o anda sistemin çökeceğinden neredeyse emin olabilirsiniz.

Ne kadar test ederseniz edin, sistemin her parçasını değerlendirin, performans kontrolleri yapın veya uzmanlara danışın; bu gerçeği değiştirmez. Yazarın deneyimleriyle de kanıtlandığı gibi, bakım teknisyenlerinin "Bu sistem kesinlikle güvenilir olmalı, buraya geldiğimden beri hiç bozulmadı!" demesi bile nihai başarısızlığı engellemez.

İnanın: Kritik bir işlevi yerine getirmek için bir uzaktan kumanda veya veri toplama sistemine bağımlıysanız, sistem başarısız olacaktır. İşlev ne kadar kritikse, başarısızlık o kadar hızlı ve felaketle sonuçlanacaktır.

Yıllar içinde yapılan değerlendirmeler, SCADA sistemlerine entegre edilebilecek sinyallerin potansiyel sorun alanlarını belirlemiştir. Her endüstrinin kendine özgü sinyal ihtiyaçları olsa da, genel sinyal türleri oldukça tutarlıdır.

Ancak, iki tür sinyal SCADA'ya bağımlı olacak şekilde tasarlanmamalıdır:

• Güvenlik enstrümanlı sistemler: Bu sistemler, insan hayatını veya çevreyi koruyan kritik güvenlik fonksiyonlarını içerdiğinden, SCADA bağımlılığından kaçınılmalıdır.

• Faturalandırma veya vergi ödemeleri için kullanılan ürün ölçüm sistemleri: Bu tür sistemler, denetim izleri gerektiren finansal verileri işlediği için SCADA'ya bağımlı olmamalıdır.

Bu alanlarda SCADA'ya aşırı bağımlılık, potansiyel olarak yıkıcı sonuçlara yol açabilir. Sisteminizi tasarlarken bu Murphy Kanunu'nu aklınızda tutmanız, beklenmedik arızaların önüne geçmede size yardımcı olacaktır.

Güvenlik Enstrümanlı Sistemler: Kritik Koruma Katmanı

Herhangi bir bileşenin arızalanması sonucunda halkın, çalışanların yaralanma riski veya ekipman/çevreye zarar verme potansiyeli taşıyan tüm prosesler, Güvenlik Enstrümanlı Sistemlerle (SIS) donatılmalıdır. SIS'ler, normal kontrol sistemlerini geçersiz kılmak ve devre dışı bırakmak üzere özel olarak tasarlanmıştır.

Normal kontrol sisteminin temel amacı, prosesin çalışma parametrelerini izlemek ve bu parametreleri belirlenen sınırlar içinde tutmak için gerekli ayarlamaları yapmaktır. Bu sayede, üretilen ürünün önceden tanımlanmış spesifikasyonlara uyması sağlanır. Daha da önemlisi, prosesin ve ilgili ekipmanın sızıntı, yanma, patlama gibi durumlarla karşılaşmaması, insanlarla veya çevreyle potansiyel olarak zararlı bir temasa geçmemesi hedeflenir.

Ancak, normal kontrol sistemi her zaman düzgün çalışmayabilir. İşte tam da bu noktada SIS'ler devreye girerek, olası bir arıza durumunda güvenliği sağlamak için hayati bir koruma katmanı oluşturur. SIS'ler, beklenmedik durumlar veya normal kontrol sisteminin yetersiz kaldığı anlar için bir nevi "son savunma hattı" görevi görür.

Normal kontrol sistemlerinin beklenen performansı sergileyememesinin çeşitli teknik nedenleri bulunmaktadır. Bunlar arasında mekanik arızalar (örn., sensör hataları, aktüatör kilitlenmeleri), hammadde spesifikasyonlarındaki sapmalar, enerji tedarikinde kesintiler veya dalgalanmalar ve operatör tarafından tanımlanan setpoint hataları sayılabilir. Bu faktörlerin herhangi biri veya kombinasyonu, prosesin güvenli çalışma sınırlarının dışına çıkmasına neden olabilir. Güvenlik Enstrümanlı Sistemler (SIS), bu tür potansiyel tehlikeli durumları önlemek amacıyla üç temel tasarım özelliği üzerine inşa edilmiştir.

Aşağıdaki görsel, Güvenlik Enstrümanlı Sistemlerin (SIS) üç temel tasarım özelliğini hiyerarşik bir yapıda göstermektedir. En üstte genel başlık olan "GÜVENLİK ENSTRÜMANLI SİSTEMLERİN (SIS) TEMEL TASARIM ÖZELLİKLERİ" yer almaktadır. Bunun altında, üç ana madde dairesel veya kutu şekillerinde düzenlenmiştir ve her bir madde bir ok ile genel başlığa bağlanmaktadır. Her bir madde şunları içermektedir:

1. ARIYORUMSAZLIK (Fault Tolerance): Bu madde, sistemin tek bir arızaya rağmen işlevselliğini sürdürebilme yeteneğini vurgulamaktadır. İkon olarak yedekli donanım veya birbirine bağlı birden fazla bileşen görseli kullanılabilir. Kısa bir açıklama olarak "Tek Arızaya Karşı Dayanıklılık" ifadesi eklenebilir.

2. GÜVENİLİRLİK (Reliability): Bu madde, sistemin belirli bir süre boyunca hatasız çalışma olasılığını ifade etmektedir. İkon olarak bir dişli çark mekanizması veya bir zaman çizelgesi üzerinde "yüksek çalışma süresi" anlamına gelen bir gösterge kullanılabilir. Kısa bir açıklama olarak "Uzun Süreli Hatasız Çalışma" ifadesi eklenebilir.

3. GÜVENLİK BÜTÜNLÜĞÜ (Safety Integrity): Bu madde, sistemin gerekli güvenlik fonksiyonlarını belirtilen koşullar altında gerçekleştirme olasılığını temsil etmektedir. İkon olarak bir kalkan veya bir onay işareti içinde "SIL" (Safety Integrity Level) ifadesi yer alabilir. Kısa bir açıklama olarak "Gerekli Güvenlik Fonksiyonlarını Doğru Yerine Getirme Olasılığı" ifadesi eklenebilir.

4. 
   

Her bir ana madde, kolay anlaşılması için kısa ve öz bir açıklama ile desteklenmektedir. Görselin genelinde teknik bir görünüm sağlamak amacıyla sade renkler ve çizgiler kullanılacaktır.

Şekil 1 – Güvenlik ekipmanlı sistemlerin üç ana tasarım özelliği

• Normal kontrol sistemini geçersiz kılabilmelidir.

• Normal kontrollerle bileşenleri paylaşmamalıdır.

• Mümkün olduğunca basit olmalıdır.

Güvenlik Enstrümanlı Sistemlerin Otonomisi ve "KISS" İlkesi

Güvenlik Enstrümanlı Sistemlerin (SIS) temel tasarım prensiplerinden biri, normal kontrol sisteminden bağımsız olarak işlev görebilmesidir. Bu özerklik, normal kontrol sisteminde eş zamanlı çoklu arızalar meydana gelse bile prosesin güvenli durumda tutulmasını sağlar. SIS'in bütünlüğünün, normal kontrol sisteminin bileşenlerinin sürekli operasyonuna bağlı olmayacak şekilde tasarlanması, her iki sistemin birleşik güvenilirliğini kayda değer ölçüde artırır.

SIS tasarımında, ABD ordusunun "KISS (Keep It Simple, Stupid! – Basit Tut, Aptal!)" ilkesi kritik bir öneme sahiptir. Bu prensibe uyarak, minimum sayıda parça, elektrik kontağı ve talimat kullanarak tasarlanan bir SIS, operasyonel performansı açısından her zaman daha üstün olacaktır. Karmaşıklığın azaltılması, arıza modlarının minimize edilmesine ve sistemin öngörülebilirliğinin artırılmasına doğrudan katkıda bulunur.

Şekil 2 – SCADA kullanan güvenlik sistemleri çok karmaşık hale gelir

SCADA ve Güvenlik Enstrümanlı Sistemler: Bağımsızlık ve Risk Yönetimi

Güvenlik Enstrümanlı Sistemlerin (SIS) tasarımında kritik öneme sahip son iki koşul (güvenilirlik ve güvenlik bütünlüğü), SCADA sistemlerinin SIS'e entegrasyonuna karşı güçlü bir argüman oluşturur.

Kontrol sisteminin sürekli çalışmasını sağlamak adına, SIS'e özgü sensör ve aktüatörlerin SCADA'ya bağlanması teorik olarak mümkün görünse de, yalnızca SIS için ikinci bir Uzak Terminal Ünitesi (RTU), ayrı bir iletişim sistemi veya Ana Terminal Ünitesi (MTU) kurmak genellikle pratik veya ekonomik değildir. Şekil 2'de de görüldüğü gibi, bu tür bir entegrasyon basit bir sistemde bile karmaşıklığı artırabilir.

"Basit tutmak" (KISS prensibi) nispeti bir kavram olsa da, kalifiye tasarımcıların çok azı SCADA'nın bir SIS için yeterince basit bir unsur olduğunu iddia edecektir. Bu durum, SCADA'nın coğrafi olarak yayılmış sistemlerin güvenliğini artırmak için kullanılamayacağı anlamına gelmez. 

Örneğin, boru hatları genellikle giriş ve çıkış ölçümlerinin karşılaştırılması ve farkın belirli bir eşiği aşması durumunda hat üzerindeki blok vanaların kapatılmasıyla sızıntılara karşı korunur. Ancak bu, yerel bir sahadaki SIS'in algılama, mantık ve çalıştırma özelliklerinin SCADA sistemine bağımlı olmaması gerektiği anlamına gelir.

Esasında, bir SCADA sistemi tarafından kontrol edilecek ve izlenecek bir sürecin tasarımında, SCADA'nın olası her arıza türünün sonucu daima değerlendirilmelidir. Bu değerlendirmeler, "yüksek riskli" olarak sınıflandırılabilecek belirli arızaları ortaya çıkaracaktır.

Risk, arıza olasılığı ile arızanın sonucunun çarpımı olarak ölçülür. Eğer olasılık yüksek ancak sonuç ihmal edilebilir düzeydeyse, risk yüksek değildir. Benzer şekilde, olasılık sıfıra yaklaşıyor ancak sonuç yüksekse, risk yine yüksek değildir.

Ancak, bazı durumlarda arıza olasılığı makul derecede yüksek olacak ve arızanın sonuçları ciddi olacaktır. Bu tür koşullar, yüksek riskli bir duruma işaret eder ve bu alanlarda SCADA'ya olan kritik bağımlılıktan kaçınmak hayati önem taşır.

Bu değerlendirmeler ışığında, SIS'in bağımsızlığını korumak ve potansiyel riskleri en aza indirmek için SCADA entegrasyonu konusunda nelere dikkat etmek gerekir?

Şekil 3, Genel riski belirlemek için bu yöntemin bir matrisini göstermektedir.

Yüksek Riskli Arızalar ve Güvenlik Enstrümanlı Sistemlerle Korunma

Risk değerlendirmesi, günümüzde başlı başına bir mühendislik uzmanlık alanı haline gelmiştir. Bu kritik süreç, prosesin, ekipmanın ve çalışma koşullarının yanı sıra değerlendirme yöntemlerine de hakim uzmanlar tarafından titizlikle yürütülmelidir. Yüksek riskli arızaların belirlenmesinin ardından, bu tür durumlar için yerel güvenlik enstrümanlı sistemler (SIS) kurularak önlemler alınmalıdır. Bu, potansiyel tehlikelerin proaktif bir şekilde yönetilmesini sağlar.

Bu alandaki gereklilikler ve en iyi uygulamalar için referans noktası, Uluslararası Otomasyon Derneği (ISA) tarafından geliştirilen ANSI/ISA-84.01 - Güvenlik Sistemlerinde Kullanım İçin Programlanabilir Elektronik Sistemler standardıdır. Bu standart, SIS'in tasarımı, uygulanması ve bakımı için kapsamlı yönergeler sunarak endüstriyel güvenliğin en üst düzeyde tutulmasına yardımcı olur.

Risk değerlendirmesi süreçlerinizde ANSI/ISA-84.01 standardına uyum sağlamak için hangi adımları izlemeyi planlıyorsunuz?

Uzaktan kumandada kullanılmaması gerekenlere bir örnek

Aşağıdaki örnek, SCADA'nın güvenlikle ilgili bir sistemde yer aldığı az sayıdaki yüksek riskli uygulamadan birini göstermektedir. Burada bile yerel döngü koruması söz konusu olabilir. Bu örnek, bir sıvı hidrokarbon boru hattının giriş ve çıkışını izleyen bir SCADA sistemidir.

Şekil 4 – Sıvı hidrokarbon boru hattındaki SCADA sistemi

Merkezi Terminal Ünitesi (MTU) ile Boru Hattı Sızıntı Tespiti ve Müdahale Mekanizmaları

Merkezi Terminal Ünitesi (MTU) konumunda, boru hattının giriş akışı ile çıkış akışı arasındaki ilişkiyi belirlemek için kritik hesaplamalar yapılır. Giriş akışının çıkış akışından daha fazla ölçülmesi durumunda, MTU bir sızıntı tespit eder. Bu tespitin ardından, sistem iki temel yanıt mekanizmasından birini devreye sokabilir:

1. Otomatik Kapatma: MTU, hattın her iki ucundaki Uzak Terminal Ünitelerine (RTU) otomatik olarak bir mesaj gönderir. Bu mesaj, ilgili blok vanalarının kapanmasına neden olarak boru hattının hızla izole edilmesini sağlar.

2. Operatör Bildirimi ve Manuel Müdahale: Alternatif olarak, MTU operatöre bir alarm mesajı gönderir. Bu durumda, operatör mevcut verileri değerlendirir ve uzaktan kumandalı vanaları kapatarak hattı kapatıp kapatmama konusunda nihai kararı verir.

Bu iki yöntem, boru hattı sızıntılarına karşı hızlı ve etkili bir müdahale sağlamak için tasarlanmıştır. Otomatik kapatma, hızlı reaksiyon gerektiren durumlarda avantaj sağlarken, operatör kontrollü müdahale, daha karmaşık veya belirsiz senaryolarda insan değerlendirmesine olanak tanır.

Tasarımcı, pompanın hatta yağ göndermeye devam etmesine izin vermek yerine, MTU'nun zamanında bir kapatma talimatı göndermeyeceğini varsaymalıdır.

Boru hatlarınız için hangi müdahale mekanizmasının (otomatik mi, manuel mi) daha uygun olduğuna karar verirken hangi faktörleri göz önünde bulundurursunuz?

Şekil 5 – Yerel Kapatma Döngüsü

Yukarıdaki Şekil 5'te gösterildiği gibi, düşük basınca veya basınç düşüşünün değişim hızına dayalı yerel bir kapatma devresi, küçük sızıntıları o kadar hızlı tespit etmeyecek, ancak büyük sızıntılar için koruma sağlayacaktır. Büyük sızıntılar, en ciddi sonuçlara yol açanlardır.

Referans Doküman: SCADA Supervisory Control and Data Acquisition by Stuart A Boyer.