Post on 31-Jan-2018
transcript
www.pepperl-fuchs.com
Walter Stoops
Application Consultant
Introductie in de SIL classificatie
www.pepperl-fuchs.com
Agenda
- Wat betekenen al die termen?
- Wat is SIL classificatie?
- Wat zijn de belangrijkste standaarden?
- Hoe bepaalt u wat aanvaardbare
risico’s zijn?
- SIL en
EX?
W.Stoops 23 mei 2014 2 Walter Stoops 17/01/2014
www.pepperl-fuchs.com 3
Proces besturing
Walter Stoops 17/01/2014
IEC 61511 Part 1
www.pepperl-fuchs.com
Tolerabel risico - ALARP
1. Definitie
Elk risico moet teruggebracht worden voor zover dat redelijkerwijs praktisch uitvoerbaar is of tot een
niveau welk is As Low As Reasonable Practible
2. Algemeen geaccepteerde waarden:
upper limit 1 x 10-4 deaths per year
lower limit 1 x 10-6 deaths per year
IEC/EN 61508 Part 5
2010 Annex C
Intolerable region
Broadly acceptable region
Negligible risk
Risk cannot be justified except in extraordinary circumstances
Tolerable only if further risk reduction is impracticable or if its cost is grossly disproportionate to the improvement gained
As the risk is reduced, the less, proportionately, it is necessary to spend to reduce it further to satisfy ALARP. The concept of diminishing proportion is shown by the triangle.
It is necessary to maintain assurance that risk remains at this level
The ALARP or tolerability region
(Risk is undertaken only if a benefit is desired)
(No need for detailed working to demonstrate ALARP)
4 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Tolerabel risico - ALARP
Table C.1 — Risk classification of accidents
Frequency Consequence
Catastrophic Critical Marginal Negligible
Frequent I I I II
Probable I I II III
Occasional I II III III
Remote II III III IV
Improbable III III IV IV
Incredible IV IV IV IV
NOTE 1 The actual population with risk classes I, II, III and IV will be sector dependent and will also depend upon what the actual frequencies are for frequent; probable etc. Therefore, this table should be seen as an example of how such a table could be populated, rather than as a specification for future use. NOTE 2 Determination of the safety integrity level from the frequencies in this table is outlined in annex C.
IEC/EN 61508 Part 5 2010 Annex C
5 Walter Stoops 17/01/2014
www.pepperl-fuchs.com 6
Terminologie
Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Wat is SIL?
SIL
Safety Integrity Level (volgens NEN/IEC/EN 61508) is een beschrijving van de integriteit van een veiligheidsgerelateerde functie. (Webster's) Integriteit: 1. An unreduced or unbroken completeness or totality. Een onverminderde of ongebroken volledigheid of een totaliteit.
Electrical Engineering typical:
2. The continued function of an integrated circuit in the intended manner. Het blijven werken van een geïntegreerde schakeling op de voorbestemde manier.
W.Stoops 23 mei 2014 7 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Wat is SIS/SIF?
Een SIS (Safety Instrumented System) bestaat uit een of meer Safety
Instrumented Functions (SIF), elk met een eigen SIL classe.
W.Stoops 23 mei 2014
EXIDA
Opmerking:
Verschillende
ingangen kunnen
gekoppeld zijn
aan meer dan een
uitgang.
8 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Functionele veiligheid
W.Stoops 23 mei 2014
Hoe bereiken wij functionele veiligheid?
Scope van IEC 61508
Management en technische maatregelen zijn
noodzakelijk om een gegeven niveau van veiligheid te
behalen. Deze veiligheid wordt uitgedrukt als Safety
Integrity Level (SIL) ………
Management moet voorzien SOP’s, onderhoudschema´s,
training, uitrusting personeel en geschikte instrumentatie (zoals
sensors, logic solvers en actuators).
Dit heeft betrekking op slechts een klein deel
van de instrumentatie!
9 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Aanpak
W.Stoops 23 mei 2014 10 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
IEC/EN 61508
W.Stoops 23 mei 2014
IEC/EN 61508
IEC/EN 62061
Machinebuilding
EN 954-1 Reference to IEC/EN 61508, resp.
IEC/EN 62061
IEC/EN 62304
Medical Devices
IEC/EN 61511
Processtechnolgy
User‘s directive
IEC/EN 61513
Nuclear technology
Nederland:
BRZO - Besluit Risico´s Zware Ongevallen
1999 genoemd naar SEVESO II na
Italiaans incident te Seveso, 1976
BEVI - Besluit Externe veiligheid 2004
België
Welzijnswetgeving, 4 aug 1996
Kon. Besluit 27 mrt 1998
Samenwerkingsverband 9 dec 1996
genaamd SEVESO II
Is een Nederlandse norm: NEN/IEC/EN 61508 Part 2 gepubliceerd 01-05-2000
Part 7 gepubliceerd 13-07-2000
ISA 84.01 American standard on Functional
Safety Instrumented Systems for
Process Industry
11 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Aanpak
1. Maak een plan van aanpak.
2. Beschouw het proces
3. Beschouw de installatie
4. Beschouw het personeel
5. Leg het geheel vast in een document
6. Risico Analyse
W.Stoops 23 mei 2014 12 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Risico analyse
IEC/EN 61508 Part 5
IEC 61511-3 Annex D
Never occured
Already occured
Starting point
for risk reduction
estimation
a
b
1
1
2
2
23
3
34
4
C = Consequence risk parameter
F = Frequency and exposure time risk parameter
P = Possibility of failing to avoid hazard risk parameter
W = Probability of the unwanted occurrence
a
a
1
--- ---
---
--- = No safety requirements
a = No special safety requirements
b = A single E/E/PES is not sufficient
1, 2, 3, 4 = Safety integrity level
W W W123
C
C
C
C
F
F
P
P
P
A
B
D
C
A
B
F
F
P
P
P
A
B A
B
A
B
B
A
A
F
F P
PA
B
B
X
X6
X5
X4
X3
X2
1
Generalized arrangement
(in practical implementations
the arrangement is specific to
the applications to be covered
by the risk graph)
13 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Veronderstellingen
1. Faalkans is constant, slijtage van mechanismen niet inclusief 2. Verbreiding van fouten is niet relevant 3. Foutgedrag alle componenten is bekend 4. Reparatietijd na een veilig falen is 8 uur (MTTR) 5. Gemiddelde temperatuur over een langere termijn is 40°C 6. Stress niveaus zijn gemiddelde voor een industriële omgeving 7. Alle modules werking in “low demand of operation” Berekeningen worden gemaakt in jaren i.p.v. uren, voor “high demand operation”
W.Stoops 23 mei 2014 14 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Voorbeeld
W.Stoops 23 mei 2014
Event < 0,01/yr
15 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Fault Tree Analysis - FTA
W.Stoops 23 mei 2014
Event < 0,01/yr
20 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Performance evaluatie
W.Stoops 23 mei 2014
SlS = 5,7E-05
SlD = 1,4E-04
Component Fault Consequence Dangerous failure
Safe failure
Failure rate
Fluid No fluid No brake action
yes 1 in 5 year: 1/5x8760
= 2,3E - 05
Fluid altered No or bad
brake action
yes 1 in 5 year: 1/5x8760
= 2,3E - 05
Seals Worn Fluid leak yes 1 in 2 yea r: 1/2x8760
= 5,7E - 05 Piping Break on
demand No brake action
yes 1 in 10 year: 1/10x8760
= 1,1E - 05
Pads Asymmetrical action
Brake away yes 1 in 5 year: 1/5x8760
= 2,3E - 05
Pads Worn No or bad brake action
yes 1 in 2 year: 1/2x8760
= 5,7E - 05
Totaal
5,7E-05
Totaal
1,4E-04
23 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Performance evaluatie
Architectuur
Safe Failure Fraction SFF
Fracties van fouten die het veligheidssysteem niet in en gevaarlijke situatie brengen
Hardware fault tolerance HFT
Het vermogen van een instrument c.q. module om de vereiste functionaliteit te behouden ook al zijn er
fouten
W.Stoops 23 mei 2014
SFF= SlS / (SlS + SlD).
SFF= 5,7E-05 / (5,7E-05 + 2,3E-05 + 2,3E-05 + 1,1E-05 + 2,3E-05)
SFF= 0,42 or 42%
De Hardware Fault Tolerance is 0
24 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Performance evaluatie
W.Stoops 23 mei 2014
Table 2 — Hardware safety integrity:
architectural constraints on type A safety-related subsystems
Safe failure fraction Hardware fault tolerance (see note 2)
0 1 2
< 60 % SIL1 SIL2 SIL3
60 % - < 90 % SIL2 SIL3 SIL4
90 % - < 99 % SIL3 SIL4 SIL4
> 99 % SIL3 SIL4 SIL4 NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. NOTE 3 See annex C for details of how to calculate safe failure fraction.
Het remsysteem komt overeen met de vereisten van
SIL 1
RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“
25 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Performance evaluatie
Faalkans
Failure rate l
Faalkans van een kanaal in een subsysteem
Faalkans van instrument PFD
Gemiddelde Probability of Failure on Demand van en veiligheidsfunctie of subsysteem
W.Stoops 23 mei 2014
RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“
Probability of Failure on Demand
PFDavg = lDT/2 (als lD << 1)
T : interval tussen tests
Voor een test interval van 10 jaar geldt:
PFD = 1,4E-04 x 10 /2 = 7E-04
PFDavg = 7E-04
Failure rate
λd = 1,4E-04
26 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Performance evaluatie
Het remsystem voldoet aan PFD vereisten voor SIL 3
W.Stoops 23 mei 2014
Table 2 — Safety integrity levels: target failure measures for a safety function, allocated to an E/E/PE safety - related system operating
in low demand mode of
operation
Safety integrity level
Low demand mode of operation (Average probability of failure to perform its design
function on demand)
4 10 - 5 to < 10
- 4
3 10 - 4 to < 10
- 3
2 10 - 3 to < 10
- 2
1 10 - 2 to < 10
- 1
NOTE See notes 3 to 9 below for details on interpreting this table.
RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“
27 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Assesments
W.Stoops 23 mei 2014 32 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
1oo1 input
STT250 temperature transmitter (Honeywell)
T[proof] 1 year
PFDavg = 1,65E-03
SFF = 93,03 %
W.Stoops 23 mei 2014
Sensor Input module
Sensor subsystem KFD2-STC4-Ex2 smart transmitter isolator (Pepperl + Fuchs)
T[proof] 1year
PFDavg = 1,6E-04
SFF = 90 %
ISSYS PFDPFDPFD
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
Hardware fault tolerance = 0
PFDavg = 1,81E-03
33 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Logic solver HIQuad System (HIMA)
T[proof] 1year PFDavg = 1,2E-05 DC= 99 %
W.Stoops 23 mei 2014 34 Walter Stoops 17/01/2014
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
www.pepperl-fuchs.com
1oo1 output
Valve/actuator T[proof] 1year λDU = 3E–06 SFF = 50% PFDavg = 1,31E-02
W.Stoops 23 mei 2014
Actor output module
Output subsystem KFD2-SL-Ex1.17 solenoid driver
T[proof] 1year SFF = 95 % PFDavg = 6,03E-05
ISSYS PFDPFDPFD
Hardware fault tolerance = 0
PFDavg = 1,32E-02
35 Walter Stoops 17/01/2014
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
www.pepperl-fuchs.com
Loop assessment 1oo1
Table 2 — Hardware safety integrity:
architectural constraints on type A safety-related subsystems
Safe failure fraction Hardware fault tolerance (see note 2)
0 1 2 < 60 % SIL1 SIL2 SIL3
60 % - < 90 % SIL2 SIL3 SIL4
90 % - < 99 % SIL3 SIL4 SIL4
> 99 % SIL3 SIL4 SIL4
NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. NOTE 3 See annex C for details of how to calculate safe failure fraction.
W.Stoops 23 mei 2014
SIL niveau volgt uit:
OUTPUTLSINPUTSYS PFDPFDPFDPFD
PFDsys = 1,81E-03 + 1,2E-05 + 1,32E-02
PFDsys = 1,5E-02
Safety integrity
level
Low demand mode of operation (Average probability of failure to perform its design
function on demand) 4 10 -
5 to < 10 -
4
3 10 - 4 to < 10 -
3
2 10 - 3 to < 10 -
2
1 10 -
2 to < 10 -
1
NOTE See notes 3 to 9 below for details on interpreting this table.
HFT = 0
SIF overall SIL : SIL 1
36 Walter Stoops 17/01/2014
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
www.pepperl-fuchs.com 37
Loop assessment Simplified formulas
Walter Stoops 17/01/2014
2
2
24
23
2
13
1
3
4212
1
2
32
1
3
1
3
311
2
1
2
21
1221
11
TTPFD
TTPFD
TTPFD
TTPFD
TPFDT
PFD
DUDUooDUDUoo
DUDU
ooDUDU
oo
DUooDUoo
llll
ll
ll
ll
VDI/VDE 2180 IEC 61511-3 Annex J
www.pepperl-fuchs.com
Complex (?)
W.Stoops 23 mei 2014
tT
MTTR MTTRCEDU
D
DD
D
l
l
l
l
1
2
tT
MTTR MTTRGEDU
D
DD
D
l
l
l
l
1
3
PFD t t MTTRT
MTTRG D DD DU CE GE D DD DU
2 1 1
2
2 1 l l l l
Example from IEC 61508 part 6:
38 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Conclusie
W.Stoops 23 mei 2014
Transmitter : SIL 1
Isolator : SIL 2
Logic solver : SIL 4
Isolator : SIL 2
Klep : SIL 1
43 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Conclusie
W.Stoops 23 mei 2014
Een SIF heeft zijn eigen SIL classificatie, dus een SIS kan meerder dan een SIL levels in een systeem hebben.
44 Walter Stoops 17/01/2014
www.pepperl-fuchs.com
Thank you very much for your
attention