| Date post: | 04-Jun-2018 |
| Category: |
Documents |
| Upload: | jheison-rodriguez |
| View: | 215 times |
| Download: | 0 times |
of 8
8/13/2019 1-s2.0-0019057895000259-main
1/8
E L S E V I E R ISA Transactions 34 (1995) 311-318
ISATRANSACTIONS
T h e p r im a r y i n te g r it y p a r a m e t e r s - D e s i g n p a r a m e t e r sf o r s a f e t y s y s t e m s
S t e v e n E . S m i t h a , P a u l G r u h n b ,.
a 1CS Triplex Inc. Torrance CA USAb Industrial Control Services Inc. 10595 Westoffice Drive Houston. TX 77042-538 9 U SA
Abstract
This pap er d i scusses the Pr imary In tegr i ty Parameters (PIPs) - des ign a t t ribu tes tha t , a s a g roup , de te rmine thelevel o f sa fe ty in tegri ty ach ieved by a P rogramm able Elec t ron ic Sys tem (PES). T hese param eters inc lude redundancylevel, fa i lure rates and mod es, diagnost ic coverage factor, comm on cause fai lure rates , on-l ine man ual tes tin te rva l /d ura t ion , main ta inab il i ty and securi ty. The pap er dem ons t ra tes tha t the l eve l o f sa fe ty p rov ided by a PES ino t s imply a fac tor o f any one o f these a t t ribu tes , bu t i s de te rmined by the to ta l combina t ion of the PIPs . Examplesare g iven to show the depend ency of the sys tem safe ty on each of the param eters .
Keywo rds : Safety integri ty; Operat ional integri ty; Avai labi l i ty; Redundancy; Fai lure rates; Diagnost ics; Coverage;Test interval ; Common-cause fai lures; Maintainabi l i ty; Securi ty
1 I n t r o d u c t i o n
A s r e d u n d a n t a n d f a u l t to l e r a n t s y s t e m s h a v eg a i n e d g r o w i n g a c c e p t a n c e f o r s a f e t y - re l a t e d r o l e si n p r o c e s s c o n t r o l , t h e i n d u s t r y h a s a t t e m p t e d t od i s c o v e r t h e u n d e r l y i n g p r i n c i p l e s t h a t c o n t r i b u t et o t h e o v e r a l l d e p e n d a b i l i t y o f th e s e s y s t e m s . I nt h e c a s e o f e m e r g e n c y s h u t d o w n a n d s a f e t y in t e r-l o c k s y s t e m s , t h e i n d u s t r y h a s c o m e t o r e c o g n i z et h a t t h e t w o m o s t s i g n i f i c a n t r e l i a b i l i t y a t t r i b u t e so f a s a f e t y - r e l a t e d s y s t e m a r e :1 . it s S a f e t y I n t e g r i t y , o r p r o b a b i l i t y o f p r o v i d -
i n g t h e r e q u i r e d f u n c t i o n o n d e m a n d ( v a r i -o u s ly e x p r e s s e d b y p a r a m e t e r s s u c h a s S a f e t yAv a i l a b i l i t y, S a f e t y I n t e g r i t y, R i s k ( o r H a z a r d )
* Corresponding auth or. T el.: (713) 268-1334; fax: (713)266-3072.
R e d u c t i o n F a c t o r , P ro b a b i l i ty o f P e r f o r m a n c eo n D e m a n d - o r c o n v er s e ly, P r o b a b i l it y o fF a i l u r e o n D e m a n d ) , a n d
2. i ts O p e r a t i o n a l I n t e g r it y ( o r u p - t i m e ) -t h a t i s , i ts a b il i ty to k e e p o n o p e r a t i n g a n d n o tb e s u b j ec t t o a n u i s a n c e t r ip t h a t w o u l di n t e r f e r e w i t h t h e o v e r a l l p r o c e s s p r o d u c t i o n( e v e n t h o u g h i t is s af e ) . T h i s a t t r i b u t e i s v a r i -o u s ly c h a r a c t e r iz e d b y p a r a m e t e r s s u c h a sAv a i l a b il i ty, O p e r a t i o n a l Av a i l a b i l it y a n d
M T B F.To d a y m a n y s a f e t y s y st e m s p e c i fi c a ti o n s a d d r e s sb o t h o f t h e s e a t t r ib u t e s ; f o r e x a m p l e r e q u i r in gt h a t a s a f e t y - r e l a t e d s y s t e m a c h i e v e a c e r t a inS a f e t y Av a i l a b i l it y w h i l e m a i n t a i n i n g s o m e m i n i -m u m m e a n t i m e b e t w e e n n u i s a n c e t r ip s .T h e s ep a r a m e t e r s m a y b e s p e c i f i e d q u a n t it a t iv e l y o rq u a l i t a t i v e l y. I n t h e c a s e o f a q u a l i t a t i v e s p e c i f i c a -
0019-0578/95/$09.50 1995 Elsevier Science B.V. All rights reservedS S D I 001 9-0578(95)00025-9
8/13/2019 1-s2.0-0019057895000259-main
2/8
3 2 S.E . Smi th , P. Gruhn / I S A Transact ions 34 1995) 311-318
t i o n , t h e l e v e l o f p e r f o r m a n c e is s p e c i f ie d i nt e r m s o f a r e l a t i v e s c a l e ( e .g . , 1 t o 4 ) w i t h o u ta c t u a l l y s p e c i f y in g q u a n t i t a ti v e n u m b e r s f o r t h et a rg e t s a f e t y p a r a m e t e r s . I n e i t h e r t h e q u a n t i t a -t iv e o r t h e q u a l i ta t i v e c a s e , t h e p r i n c i p l e s r e m a i nt h e s a m e . T h a t i s, t h e o b j e c t i v e o f t h e s a f e t ys y s t e m s p e c i f i c a t i o n i s t o s p e c i f y a s y s t e m t h a tw i ll p r o v i d e t h e d e s i r e d l e v e l o f p r o t e c t i o n w i t h -o u t i n t e r f e r i n g w i t h n o r m a l p r o d u c t i o n .
I n t h i s p a p e r , t h e t e r m s t h a t a r e u s e d a r e t h eH a z a r d R e d u c t i o n F a c t o r ( H R F ) t o r e p r e s e n t
t h e le v e l o f S a f e t y I n t e g r it y a n d t h e M e a n T i m eB e t w e e n N u is a n c e T r i p s ( M T B N T ) t o r e p r e s e n tt h e O p e r a t i o n a l Av a i l a b il i ty o f t h e s y s te m . T h eH R F is d e f i n e d a s
H R F = 1 / P F D ,
w h e r e P F D = p r o b a b i li ty o f f a i lu r e o n d e m a n d =
1 - S a f e t y Av a i l a b il i ty [1 ,2 ]. T h e H R F c a n b ev i e w e d a s t h e a m o u n t m o r e s a f e t h a t t h e p r o -c e s s b e c o m e s a s a r e s u l t o f i n c l u s io n o f t h e s a f e t ysys te m [3] .
F o r r e p r e s e n t i n g t h e O p e r a t i o n a l I n t e g r it y o ft h e s a f et y s y st e m , t hi s p a p e r u s e s t h e t e r m M e a nTi m e B e t w e e n N u i s a n c e Tr i p s w h i c h is t h e m e a nt i m e b e t w e e n o v e r t f a i lu r e s o f t h e s a f e t y s ys t em .S i n c e t h i s n u m b e r d i r e c t l y e x p r e s s e s h o w o f t e n ,o n t h e a v e r a g e , n u i s a n c e t r i p s w i l l o c c u r, i t i sq u i t e m e a n i n g f u l a n d i n t u i t i v e .
I n r e c e n t y e a r s m u c h a t t e n t io n h a s b e e n p a i dt o d i s c o v e r i n g t h e b a s i c s y s t e m d e s i g n a t t r i b u t e st h a t c o n t r i b u t e t o a s a f e t y - r e l a t e d sy s t e m a c h i e v-i n g a g i v e n l e v e l o f S a f e t y I n t e g r i t y a n d u p - t i m e[2 ,4 ,5 ]. S o m e o f th e p a r a m e t e r s t h a t c o n t r i b u t e t oa c h i e v i n g a n o v e r a l l l e v e l o f r e l i a b il i ty a r e r e d u n -d a n c y l e v e l , f a i l u r e r a t e s o f c o m p o n e n t s , d i a g n o s -t ic c o v e r a g e a n d t e s t i n t e rv a l . T h e p a p e r s r e f e r -e n c e d a b o v e e a c h e x p l o r e t h e s e n s i ti v it y o f t h eo v e r a l l S a f e t y I n t e g r i t y to o n e o r m o r e o f t h e s ep a r a m e t e r s .
O n e o f th e c h a l l e n g e s o f t h e I S A S P 8 4 c o m -m i t t e e ( w h i c h i s d e v e l o p i n g a s t a n d a r d f o r A p -p l i c a t i o n o f S a f e t y I n s t r u m e n t e d S y s t e m s f o r t h eP r o c e s s I n d u s t r i e s ) is t o u n d e r s t a n d t h e s e u n -d e r l y i n g p a r a m e t e r s t h a t c o n t r i b u t e t o s a f e ty.O n l y b y i d e n t i f y i n g a n d c h a r a c t e r i z i n g t h e b a s i cd e s i g n p a r a m e t e r s t h a t c o n t r i b u t e t o s y s t e ms a f e t y, c a n w e k n o w t h a t w e a c h i e v e t h e l e v e l s o f
s a f e t y w e d e s i r e . Wi t h t h e o b j e c t iv e o f i d e n t if y i n gt h e p e r t i n e n t s a f e t y s y s t e m d e s ig n a t t r i b u t e s t h a tc o n t r i b u t e t o t h e o v e r a l l S a f e t y I n t e g r i ty a n d s ys -t e m u p - t i m e , t h e I S A S P 8 4 . 0 3 s u b c o m m i t t e e , i nc o n j u n c t i o n w i th t h e S P 8 4 .0 2 s u b c o m m i t t e ea g r e e d o n se v e n P r i m a r y I n t e g ri t y P a r a m e t e r s( P I P s ) t o c h a r a c t e r i z e t h e d e s i g n o f s a f e t y s y s -t e m s . T h e s e p a r a m e t e r s a r e :- s y s te m r e d u n d a n c y c o n f i g u r a t i o n ( e .g . t r ip l e ,
d u a l ) ,f a i l u r e ra t e s a n d f a i l u r e m o d e s o f th e e l e m e n t st h a t m a k e u p t h e s y s t e m ,c o v e r a g e f a c t o r o f a u t o m a t i c d i a g n o s t i c s ,
- c o m m o n c a u s e f a il u r e r a t e s o r p r o b a b il i ti e s ,t e s t in t e r v a l a n d d u r a t i o n f o r o n - l in e m a n u a ltes t ing ,m a i n t a i n a b i l i t y,
- secur i ty.
B y p r o v i di n g p r o p e r a t t e n t io n t o t h e s e p a r a m e -t e r s i n t h e s a f e t y s y s t e m d e s i g n p r o c e s s , o n e g a i n sa s s u r a n c e t h a t t h e r e s u l t in g s y s t e m w i ll a c h i e v et h e t a rg e t S a f e t y I n t e g r i ty a n d u p - t i m e . F u r t h e r -m o r e , r e l ia b i l it y a n a l y s e s b a s e d o n t h e s e p a r a m e -t e r s c a n a n a l y t i c a l ly p r e d i c t t h e o v e r a l l s a f e t yp e r f o r m a n c e o f a s y st e m - i n t e r m s o f t h e S a f e t yI n t e g r i t y a n d t h e O p e r a t i o n a l Av a i l a b il it y.
2 . D e v e l o p m e n t o f a s y s t e m m o d e l
A g e n e r i c s e t o f M a r k o v m o d e l s w e r e de v e l-o p e d t h a t a c c o u n t f o r al l o f t h e P r i m a r y I n t e g r i t yP a r a m e t e r s . T h e s e m o d e l s a r e r e p r e s e n t e d b yF ig . 1 . H e r e , v a r i o u s l e v e ls o f r e d u n d a n c y a r ea d d e d b y i n s e r t i n g i n t e r m e d i a t e s t a t e s b e t w e e nt h e f u l l y o p e r a t i o n a l s t a t e ( S t a t e 0 ) a n d t h e f a i l-u r e s t a t e s ( S t a t e s 2 a n d 4 ) . D e p e n d i n g o n t h el e v e l s o f r e d u n d a n c y, a s m a n y i n t e r m e d i a t e
f a i l e d - o p e r a t i o n a l s t a t e s c a n b e a d d e d ( e .g .S t a t e s 1 a n d 3 ) . T h e g e n e r i c f r a m e w o r k s h o w nc a n b e u s e d t o m o d e l d u p l e x a n d t r i p le x sy s te m s .
B y e l im i n a t i n g s t a t e s 1 a n d 3 , s i m p l e x s y s t e m s a r em o d e l e d . T h e i n te g r it y p a r a m e t e r s a r e r e p r e -s e n t e d i n t h i s m o d e l b y- N is t h e r e d u n d a n c y le v e l ,
L s is th e s a f e ( o v e r t ) f a i l u r e r a t e ,- L d i s t h e d a n g e r o u s ( c o v e r t ) f a i l u r e r a t e ,
B is t h e c o m m o n - c a u s e r a t e ( % o f f a i l u r e s t h a ta r e c o m m o n - c a u s e ) ,
8/13/2019 1-s2.0-0019057895000259-main
3/8
S.E. Smith, P. Gruhn / lSA Transactions 34 1995) 311-318 313
Opera t iona l
B L s
N c L s
(N 1)cLs ~',, 2
S a f e
N{1-c )Ld
3
BLd (N 1)(1 c)Ld 4,' 4 U n s a f e
Jk
F i g 1 G e n e r a l f o r m o f M a r k o v m o d e l f o r a n a l y z i n g P I P s
- c is t h e c o v e r a g e f a c t o r,k is t h e r e c o v e r y r a t e f r o m m a n u a l t e s t i n g
( f u n c t i o n o f Te s t I n t e r v a l ; s e e e q u a t i o n b e l o w ) ,u is th e r e p a i r r a t e ( f u n c t i o n o f m a i n t a in a b i l -ity).
T h i s M o d e l i s s i m p l i f i e d i n s o m e a r e a s t h a t d on o t s i g n i f i c a n t l y a f f e c t t h e r e s u l t s o f t h e a n a l y s e s .S o m e o f t h e t r a n s i t i o n s a r e w o r t h n o t i n g : s p e c if i -c a l l y, t h e c o m m o n - c a u s e f a i l u r e s ( t h a t t r a n s i t i o na t r a t e B L s a n d B L d ) l e a d d i r e c t l y t o f a i lu r es t a te s , b e c a u s e t h e y a f f e c t a ll r e d u n d a n t u n i ts .
W h e n t h e s y s t e m i s f a i l e d c o v e r t l y ( S t a t e 4 ) ,t h e f a i l u r e w il l n o t b e i m m e d i a t e l y r e v e a l e d . I nf a c t , u n l e s s s o m e p e r i o d i c p r o o f t e s t is d o n e o nt h e s y s t e m t o a s s u r e i t s re a d i n e s s , i t m a y r e m a i ni n t h e d a n g e r o u s s t a t e i n d e f i n i t e l y. I f , h o w e v e r,t h e s y s te m is p r o o f - t e s t e d o c c a s i o n a ll y, t h e c o v e r tf a i l u r e w i l l b e d i s c o v e r e d a n d t h e s y s t e m c a n b er e s t o r e d . T h i s t e s t - a n d - r e s t o r e p r o c e s s i s m o d -e l e d b y t h e t r a n s i t io n f r o m S t a t e 4 t o S t a t e 0 a n do c c u r s a t r a t e k , d e f i n e d a s
k = t h e r e s t o r a t i o n r a t e f r o m a c o v e r t f a i l u r e m o d e= 1 / ( ( T I / 2 ) + M T I R ) ,
w h e r e T I i s t h e m e a n t e s t i n t e r v a l f o r p r o o ft e s ti n g . N o t e th a t t h e d e n o m i n a t o r i n k h a s t w oe l e m e n t s : t h e m e a n t i m e t o d i sc o v e r t h e f a i l u r e( T I / 2 ) a n d th e M T T R . T h e t e rm ( T I / 2 ) i s u s e ds i n ce , o n t h e a v e r a g e , f a u l ts m a y b e a s s u m e d t oo c c u r h a l f w a y b e t w e e n p r o o f t e st s o r 1 / 2 o f th eTe s t I n t e r v a l, T I [ 6 ]. R e g u l a r p r o o f t e s t in g a n d
Fig. 2. Effect of pe riodic proof testing.
r e p a i r h a s t h e e f f e c t o f r e s to r i n g t h e s y s te m t o i t so r i g i n a l s t a t e . F i g . 2 s h o w s a g r a p h i c a l e x a m p l e o ft h e e f f e c t o f p r o o f t e s t i n g o n t h e r e l ia b i li ty o f ac o m p o n e n t [ 7 ] . I n F i g . 2 ( a ) , t h e c o m p o n e n t i st e s t e d a t s y s t e m c o m m i s s i o n i n g t i m e , b u t n o t
t e s t e d t h e r e a f t e r. I f t h e c o m p o n e n t is n o t t e s t e dd u r i n g t h e l i f e o f t h e i n s t a l l a t io n , t h e p r o b a b i l i t yt h a t i t i s s t i l l o p e r a t i n g d e c r e a s e s w i t h t i m e a c -
ca tc o r d i n g t o th e e q u a t i o n R = eA f t e r s u f f i c i e n t t i m e , t h e r e i s v e r y l o w p r o b a -
b i l it y t h a t t h e c o m p o n e n t w i ll b e w o r k i n g . I f,h o w e v e r , t h e s y s t e m i s t e s t e d a n d r e s t o r e d o n ar e g u l a r b a s i s , a s s h o w n i n F i g . 2 ( b ) , t h e a v e r a g er e l i a b i l it y w i ll b e v e r y h ig h , s i n c e t h e A t t e r m i nt h e a b o v e e q u a t i o n r e m a i n s s m a l l .
3 . A n a l y s i s o f t h e e f f e ct s o f t h e p r i m a r y i n t e g r i typ a r a m e t e r s
U s i n g t h e g e n e r a l m o d e l c o n f i g u r a t i o n d e v e l -o p e d a b o v e a n d r e p r e s e n t e d i n F ig . 1 , t h e e f f e c t so f e a c h o n e o f th e i n t e g r i t y p a r a m e t e r s is s t u d i e db y h o l d in g t h e o t h e r p a r a m e t e r s c o n s t a n t a n d
8/13/2019 1-s2.0-0019057895000259-main
4/8
314
Table 1Baseline system configuration
S.E. Smith, P. Gruh n / ISA T ransact ions 34 1995) 311 -31 8
System redundancy configurationFailure rates and failure modes of the elements that
make up the systemCoverage factor of diagnosticsCommo n cause failure rates or probabilitiesTest interval/durati on for manual testsMaintainabilitySecurity
TripleCPUs = 1 failure per 10 yearsI / O modul es = 1 failure per 100 years a99%0% (no percentage of the failures are common -caus e )12 months interval; 0 hours test duration
4 hour mean time to repair any failed module in system100%
For the pu rposes of these analyses, two I/0 modules are considered as the number of modules required to initiate a shutdown orto inhibit a safe shutdown.
v a r y i n g t h e p a r a m e t e r t o b e s t u d i e d . To f a c i l it a t et h is , a b a s e l i n e P E S is a s s u m e d w i t h t h e p a -r a m e t e r s g i v e n i n Ta b l e 1 .
T h e b a s e l i n e s y s t e m i s a n a l y z e d u s i n g t h eM a r k o v m o d e l i n F i g . 1 , p r o d u c i n g b a s e l i n e v a l -
u e s f o r t h e c o v e r t a n d o v e r t f a i l u r e r a t e s a n dp r o b a b i l i t i e s . T h e s e a t t r i b u t e s a r e t h e n c o n v e r t e di n to th e p a r a m e t e r s H R F a n d M T B N T t o e x p re s st h e S a f e ty I n t e g r it y a n d O p e r a t i o n a l I n t e g r it y o ft h e s y s t e m . A f t e r t h is , e a c h i n t e g r i t y p a r a m e t e r isv a r i e d to s h o w it s e f f e c t o n H R F a n d M T B N T .
3 1 Redunda ncy
To c o n s i d e r t h e e f f e c ts o f r e d u n d a n c y, v a r i o u sc o n f i g u r a t i o n s m a y b e c o n s i d e r e d , i n c l u d i n g s im -p l e x , d u p l e x a n d t r i p l e x . D u p l e x a n d t r i p l e x s y s -t e m s h a v e t h e o b v i o u s a d v a n t a g e t h a t t h e y c a n -i f d e s i g n e d w i t h t h e p r o p e r d i a g n o s t i c s a n d f a u l t
h a n d l i n g m e c h a n i s m s - t o l e r a t e s in g l e f a i l u re sa n d k e e p o n o p e r a t i n g s a fe l y. T h i s i s t h e m a j o ra d v a n t a g e a n d is r e f l e c t e d in t h e c o m p a r i s o n o ft h e H R F a n d M T B N T b e t w e e n th e b as e li n et r i p l e x s y s t e m a n d a s i m p l e x s y s t e m w i t h s i m i l a r
P I P s ( e x c e p t f o r r e d u n d a n c y l e v e l ) . T h i s c o m p a r i -s o n i s s h o w n g r a p h i c a l l y i n F i g . 3 . ( N o t e : D u a ll o o 2 s t a n d s f o r 1 o u t o f 2 , w h e r e o n l y o n e c h a n -n e l m u s t f u n c t i o n i n o r d e r t o p e r f o r m a s h u t -d o w n . 2 o 0 2 s t a n d s f o r 2 o u t o f 2 , w h e r e b o t hc h a n n e l s m u s t f u n c t i o n i n o r d e r t o p e r f o r m as h u t d o w n . )
3 2 Fa i lure ra tes and m odes
H a v i n g a t r ip l e x o r d u p l e x s y s t e m , h o w e v e r ,d o e s n o t g u a r a n t e e a d e q u a t e p e r f o r m a n c e . T h ef a i l u r e r a t e s a n d f a i l u r e m o d e s o f th e b a s i c h a r d -w a r e a n d s o f t w a r e e l e m e n t s h a v e a d r a m a t i c e l -
Trip Rate Hazard Reduc t ion Fac to r
l e + 6
l e + 5
l e + 4
~ l e + 3
l e + 2
l e + l
l e + O
l e + 8
l e + 7
l e + 6
l e + 5
l e + 4l e + 3
l e + 2
l e + 1
S i m p l e x ual ual Triple Sim plex Dual Dual( l o o 2 ) ( 2 0 0 2) ( l o o 2 ) ( 2 o 0 2 )
Fig. 3. Impac t of redun dancy - compar ison of simplex, duplex and triplex systems.
Triple
8/13/2019 1-s2.0-0019057895000259-main
5/8
S.E. Smith, P. Gruhn l I S A Transactions 34 1995) 311 -31 8 315
10e6
1Oe5
10e4
10e3
10e2
t0el
Trip Rate
10e7
10e6
10e5
10e4
10e3
10e2
Hazard Reduction Factor
Low MTBF High MTBF Low MTBF High MTBF
F i g 4 E f f e c t o f f a i l ur e r a t e s o n a t r i p l i c a te d s y s t e m
f e c t o n t h e s y s t e m r e l i a b i l i t y p a r a m e t e r s . F o re x a m p l e , b y i n c r e a s i n g t h e C P U a n d I / O f a i lu r er a t e s t o 1 f a i l u re p e r y e a r a n d o n e f a i l u re p e r 1 0y e a r s , r e sp e c t i v e l y ( o n e o r d e r o f m a g n i t u d e i n-c r e a s e ) , t h e H R F a n d t h e M T B N T f o r a t ri p li -c a t e d s y s t e m a r e r e d u c e d b y t w o o r d e r s o f m a g n i -t u d e . T h i s r e l a t i o n s h i p i s s h o w n g r a p h i c a l l y i nF i g . 4 . T h i s s e n s i t i v i t y d r i v e s h o m e t h e n e c e s s i t yo f h a v in g q u a li t y h a r d w a r e a n d s o f t w a r e , d e s p i t et h e r e d u n d a n c y l e v e l .
3.3 . C overage fac to r
T h e c o v e r a g e f a c t o r i s d e f i n e d a s th e r a t io o f
f a i l u re s t h a t a r e a u t o m a t i c a l l y d e t e c t e d b y in t e r -n a l P E S d i a g n o s t ic s t o t h e t o t a l n u m b e r o f a llp o s s i b l e f a i l u r e s . C o v e r a g e f a c t o r h a s b e e nd e m o n s t r a t e d t o h a v e a s i g n i f i c a n t e f f e c t o n t h es a f e t y i n t e g r i t y o f P E S s [ 8 ] . T h i s e f f e c t i s f u r t h e rd e m o n s t r a t e d b y th e c o m p a r i s o n o f tw o s y s te m s -t h e b a s e l i n e w i t h 9 9 c o v e r a g e a n d a n o t h e ri d e n t i c a l s y s t e m w i t h 9 0 c o v e r a g e . T h i s d i f f e r -e n c e i n c o v e r a g e a c c o u n t s f o r a d i f f e r e n c e i ne x ce s s o f 1 o r d e r o f m a g n i t u d e in t h e H R F o f th esys tems , as shown in F ig . 5 .
I n o r d e r f o r s y s t e m s t o b e s a f e, r e d u n d a n c ya n d h i g h r e l i a b i l i t y c o m p o n e n t s a r e n o t s u f f i c i e n t
b u i l t - i n d i a g n o s t i c s m u s t a s s u r e t h a t a h i g hp e r c e n t a g e o f a l l p o s s i b l e f a u l t s w i l l b e d e t e c t e da n d h a n d l e d b y t h e s y s te m . A n y f a i l u r e th a t g o e su n d e t e c t e d c a n c o n t r i b u t e t o a c o v e r t f a i l u r em o d e a n d d e f e a t t h e s a f e o p e r a t i o n o f t h e s y s-t e m .
3 .4 . Common cause f a i lu res
A c o m m o n - c a u s e f a i l u r e is a f a il u r e m e c h a -n i s m t h a t c a n r e s u l t i n m u l t i p l e r e d u n d a n t e l e -m e n t s o f th e s y s t e m f a il i ng . T h e f a i l u r e s i n t h er e d u n d a n t u n i ts m a y b e s im u l t a n e o u s o r n o t.G e n e r a l l y, c o m m o n c a u s e f a i l u r e s a r e a c o n c e r no n l y if t h e r e d u n d a n t u n i ts f a i l s i m u l t a n e o u s l y o rn e a r - s i m u l t a n e o u s l y - w i t h i n le s s t h a t t h e t e s ti n t e r v a l a t w h i c h t h e y a r e t e s t e d . E x a m p l e s o fc o m m o n c a u s e f a i l u r e s a r e ( 1 ) a s e n s it i v it y o f t h es y s t e m t o e l e c t r o m a g n e t i c i n t e r f e r e n c e t h a t c o u l dc a u s e t w o o r m o r e r e d u n d a n t c o m p o n e n t s t o f a i li n t h e s a m e w a y a t t h e s a m e t i m e , o r ( 2 ) am a n u f a c t u r i n g d e f e c t t h a t c o u l d c a u s e s e n s o r s t od r i ft o u t o f c a li b r a ti o n . T h i s s e c o n d e x a m p l e m a yn o t c a u s e a p r o b l e m , u n l e s s t h e d r i f t r a t e w e r ef a s t e r t h a n t h e t e s t a n d c a l i b r a t i o n i n t e r v a l.
T h e p r o b l e m w i t h c o m m o n - c a u s e f a i l u r e s c a nb e o b s e r v e d b y c o n s i d e r i n g t h e M a r k o v M o d e l inF i g. 1 . A n y c o m m o n c a u s e f a i l u r e c a n c a u s e t h es y s t e m t o f a i l i n a c o v e r t o r o v e r t f a i l u r e m o d ei m m e d i a t e l y - c i r c u m v e n t i n g a l l o f t h e r e d u n -d a n c y a n d d i a g n o s t i c s w i t h i n t h e s y s t e m . C l e a r l yt h e p r e s e n c e o f c o m m o n - c a u s e f a il u re s o u r c e sm u s t b e e l i m i n a t e d t o t h e m a x i m u m e x t e n t p r a c -t i c a l i n r e d u n d a n t s y s t e m s .
T h e s i n g l e m o s t i d e n t i f i a b l e p o t e n t i a l s o u r c eo f c o m m o n - c a u s e f a i lu r e s in m o s t r e d u n d a n t s ys -
t e m s is t h e s o f t w a r e s y s t e m . U s u a l l y, th e s o f t w a r ei n t h e r e d u n d a n t c o m p u t i n g e l e m e n t s i s o f as i n g le d e s i g n , s o i f o n e o f t h e r e d u n d a n t s y s t e m s
Tri0 Rate Hazard Reduction Factor
10e6 lOe?
10e5 10e6
1Oe4
10e3
10e2
10el
10e5
10e4
10e3 ~
1Oe2 ]
LOW High Low HighDiagnostics Diagnostics Diagnostics Diagnostics
Fig 5 Effects of diagnostic coverage factor on a triplicateds y s t e m
8/13/2019 1-s2.0-0019057895000259-main
6/8
3 1 6 S.E. Smith, P. Gruhn / ISA Transactions 34 1995) 311-318
T r i p R a t e H a z a r d R e d u c t i o n F a c t o r
1 0 e 6 1 0 e 7 1 0 e 7
1 0 e 5 1 0 e 6 ~ 1 0 e 6I
1 0 e 4 1 0 e 5
1 0 e 31 0 e 4
1 0 e 2
1 0 e 3 ,
1 0 e l
1 0 e 2
1% I:?~ I~ 10%
Fig. 6. Ef fec ts of comm on-cause failures on a triplicatedsystem (as a perce ntage of total failures).
h a s a b u g , t h e y a l l h a v e t h e s a m e b u g . F o r t h i sr e a s o n , e x t e n s i v e m e t h o d s a r e e m p l o y e d i n t h e
s p e c i f i c a t i o n , g e n e r a t i o n a n d v a l i d a t i o n o fs a f e t y - r e l a t e d s o f t w a r e . Ve n d o r - s u p p l i e d a n d a p -p l i c a t i o n - s p e c i f i c s o f t w a r e f o r s a f e t y s y s t e m s r e -q u i r e s s p e c i a l d e s i g n a n d m a i n t e n a n c e t e c h -n i q u e s . T h e s a f e t y - sy s t e m u s e r m u s t b e a w a r e o ft h e s e c o n s i d e r a t i o n s a n d i m p o s e a p p r o p r i a t es t a n d a r d s a n d c o n t r o ls o n th e p u r c h a s e a n d d e -v e l o p m e n t o f s u c h s o f t w a r e [9 ].
T h e e f f e c ts o f c o m m o n - c a u s e f a i lu r e s a r es h o w n g r a p h i c a l l y i n F i g. 6 . I f m e r e l y 1 o f t h ef a i lu r e s h av e a c o m m o n - c a u s e , t h e H R F o f a
t r i p l i c a t e d s y s t e m i s r e d u c e d b y a n o r d e r o f m a g -n i t u d e ( a s c o m p a r e d t o t h e b a s e l i n e i n F i g . 3 ) .C o n t r o l o f c o m m o n - c a u s e f a il u r es i s t h e k e y t oa c h i e v i n g s a f e t y.
3 5 Tes t in te rca l an d dura t ion
A s s h o w n e a r l i e r , p e r i o d i c m a n u a l p r o o f t e s t-i ng (a n d r e p a i r ) c a n p r o d u c e a n i m p r o v e m e n t i ns y s t e m r e l i a b il i ty. T h i s i s n o t o n l y t r u e w i t h s i m -p l e x s y st e m s , b u t w i t h r e d u n d a n t s y s te m s a s w e l l.
I n e f f e c t , m a n u a l p r o o f te s t i n g s h o u l d c a t c h a n yc o v e r t f a il u r e s th a t a r e n o t c a u g h t d u e t o i m p e r -f e c t a u t o m a t i c d i a g n o s t i c s. I n s y s te m s w i t h h i g hd i a g n o s t i c c o v e r a g e , p r o o f t e s t i n g w i l l n o t p r o -d u c e a s e f f e c t iv e r e t u r n s , a s t h e d i a g n o s t ic s a l -r e a d y c o v e r m o s t f a u lt s . P r o o f t e s t in g w i ll h a v ed r a m a t i c b e n e f i t s i n s y s t e m s w i t h l o w e r l e v e l s o fa u t o m a t i c d i a g n o s t i c s . F o r e x a m p l e , t o d e m o n -
H a z a r d R e d u c t i o n F a c t o r
m r F. t t 3 ( U ; i . ~ . ~ : t
,~ ,r, ~', r~lr: ~rl [;r,,~ , ' ", r
Fig. 7. E ffects of m anua l proof testing.
s t r a t e t h e e f f e c t s o f p r o o f t e s ti n g , t h e b a s e l i n es y s te m i s n o t u s e d d i r e c t l y - b u t h a s b e e n m o d i -f i e d t o o n l y h a v e 9 0 f a u l t c o v e r a g e . F i g . 7 s h o w st h e e f f e c t s o f m a n u a l p r o o f t e s ti n g o n t h is s y s te m .N o t e t h a t t h e m o r e f r e q u e n t t h e t e s t i n g , t h eh i g h e r t h e H R F. T h e s e r e s u l t s a r e c o n s i s t e n t w i t ht h e p r i n c i p l e d e m o n s t r a t e d i n F i g. 2 - a s m a l l e rA t w i l l p r o d u c e a m o r e r e l i a b l e s y s t e m .
I n c o n s i d e r i n g p r o o f t e s t i n g , o n e s h o u l d t a k ei n to a c c o u n t w h e t h e r t h e m a n u a l p r o o f t e st r e -q u i r e s t a k i n g t h e s y s t e m o ff - l i n e . I f s o , t h e n t h e
p r o o f t e s t d u r a t i o n i s c r i ti c a l , s i n c e t h e s y s t e m i su n a v a i l a b l e d u r i n g t h e o f f - l i n e t e s ts . T h i s d i r e c t l yi m p a c t s t h e S a f e t y Av a i l a b i li t y - a n d t h u s t h eH R F. I d e a l ly, p r o o f t e s t in g s h o u l d b e d o n e o n -l i n e , o r w i t h m i n i m a l i n t e r r u p t i o n t o t h e s a f e t ys y s t e m a v a i l a b il i ty. D u r i n g p r o o f t e s t in g , o t h e rm e a n s , s u c h a s m a n u a l m o n i t o r in g a n d s h u t d o w ns h o u l d b e e m p l o y e d t o r e s p o n d t o s a f e ty d e -m a n d s . W h e n p o s s ib l e , p r o o f t e s ts s h o u l d b es c h e d u l e d d u r i n g n o r m a l s y s te m tu r n - a r o u n d s ,w h e n i t i s s a f e t o t a k e t h e s a f e t y s y s t e m o ff - li n e .
3 6 Ma in ta inab i l i ty
M a i n t a i n a b i l i t y is a k e y a t t r i b u t e t o a l l s a f e t ys y s t e m s , w h e t h e r r e d u n d a n t w i t h o n - l i n e h o t r e -p a i r o r s i m p l e x , r e q u i r i n g o f f - l i n e r e p a i r. T h ea b i l i t y t o r e s t o r e t h e s y s t e m f r o m a f a i l u r e o rp a r t i a l f a i l u r e s t a t e c o r r e c t l y a n d q u i c k ly d i r e c t ly
8/13/2019 1-s2.0-0019057895000259-main
7/8
S.E. Smith, P. Gru hn / ISA T ransact ions 34 1995) 311 -31 8 317
1 e 6
1 e5
1 e 4
1 e 3
1 e 2
1 e l
T r i p R a t e H a z a r d R e d u c t i o n a c t o r
1 e 7
1 e 6
1 e 5
1 e 4
I1 0 e 3 ~
1 e 2 1
F i g . 8. I m p a c t o f m a i n t a i n a b i l i t y o n t h e b a s e l i n e s y s t e m .
i m p a c t s s a f e t y - a l t h o u g h , i n f a u l t - t o l e r a n t s ys -t e m s , t h i s e f f e c t is n o t a s d r a m a t i c a s s o m e o f th eo t h e r i n t e g r i t y p a r a m e t e r s . F i g . 8 s h o w s t h e e f -
f e c t s o f 8 - h o u r a n d 1 - h o u r r e p a i r t i m e s o n t h eb a s e l i n e s y s t e m . S i n c e t h e t r i p l e x s y s t e m c o n t i n -u e s t o o p e r a t e d u r i n g t h e r e p a i r p r o c e s s , t h e r e i sl it tl e e f f e c t o n o v e r a l l H R F. H o w e v e r , e x t r e m e l yl o n g r e p a i r t i m e s w i l l h a v e a n e f f e c t , a s t h e l o n g e ra r e d u n d a n t s y s t e m g o e s u n r e p a i r e d , t h e h i g h e rt h e p r o b a b i l i t y o f a s e c o n d f a u l t o c c u r r i n g t h a tc o u l d r e s u l t i n a s y s t e m - l e v e l f a i l u r e .
3 Z Security
S e c u r i t y i s c o n s i d e r e d a P r i m a r y I n t e g r i t y P a -r a m e t e r, e v e n t h o u g h i t s e f f e c t i s b a s i c a l l y t h es a m e a s a c o m m o n - c a u s e f a i lu r e . I t is s e p a r a t e do u t a s a d i s t in c t p a r a m e t e r, a s i t i s a f u n d a m e n t a lf i el d o f s t u d y a n d e n c o m p a s s e s m a n y a t t r i b u t e s o ft h e s y s te m - i n c lu d i n g s o f tw a r e a n d h a r d w a r ec o n f i g u r a t i o n c o n t r o l , o p e r a t o r a c c e s s a n d l i m i t a -t io n s , m a i n t e n a n c e a c c e s s a n d o p e r a t i o n s .
Ta b l e 3S a f e ty p e r f o r m a n c e o f c o m p a r i s o n s y s t e m s
S y s t e m c o n f i g u r a t i o n M e a n t i m e H a z a r dt o n u i s a n c e r e d u c t i o nt r ip f ac to r
G oo d t r ip lex 1 ,400 yr 1 ,500,000Poo r t r i p l ex 13 y r 110
Go od s imple x 14 y r 3 ,300Poo r s imp lex 1 .4 y r 5
3 8 Sum ma ry comparison o f fou r systems
A s a f i na l c o n c e p t r e v i e w o f th e e f f e c ts o f t h eP r i m a r y I n t e g r i t y P a r a m e t e r s , f o u r s y s t e m s a r ec o m p a r e d . T h e s e a r e a g o o d t r ip l e x s y s te m , a
p o o r t r ip l e x s y s te m , a g o o d s i m p l e x s y s t e m
a n d a p o o r s i m p l e x s y s te m . T h e i r P I P at -t r i b u t e s a r e s u m m a r i z e d i n Ta b l e 2 . T h e r e s u l t so f a n a l y z i n g t h e s e s y s t e m s a r e g i v e n i n Ta b l e 3 .T h e m a i n c o n c l u s i o n t o b e d r a w n i s : t h e P I P s a r ea l l i m p o r t a n t a n d m u s t b e g i v e n e q u a l c o n s i d e r a -t io n . O n e c a n n o t s a y s u m m a r i l y t h a t a t ri p le xs y s t e m is b e t t e r t h a n a s im p l e x s y s te m - b e c a u s ea w e ll d e s i g n e d s i m p l e x s y s te m c a n p r o v i d e b e t t e rs a f e ty p e r f o r m a n c e t h a n a p o o r l y d e s ig n e d t r i p l e xs y s t e m .
T h e P r i m a r y I n t e g r i t y P a r a m e t e r s a r e i n - e f f e c t
a s a f e t y c h a i n - s t r o n g o n l y a s i ts w e a k e s t l in k .T h a t i s t o s ay th a t r e d u n d a n c y a l o n e w i ll n o tp r o v i d e h i g h i n t e g r i ty w i t h o u t l o w - f a i l u r e - r a t ec o m p o n e n t s ; r e d u n d a n c y a n d l ow f a i l u r e - r a t e sw i l l n o t p r o v i d e i n t e g r i t y w i t h o u t h i g h f a u l t c o v e r-a g e , e t c . E a c h p a r a m e t e r m u s t b e a d e q u a t e l ya d d r e s s e d i n a s a f e t y s y s t e m d e s i g n i n o r d e r t oa s s u r e t h a t o v e r a l l i n t e g r i t y i s a c h i e v e d .
Ta b l e 2I n t e g r i t y f a c t o r s f o r c o m p a r i s o n s y s t e m s
I n t e g r i t y p a r a m e t e r G o o d t r i p le x P o o r t r i p le x G o o d s i m p l e x P o o r s i m p l e xC P U f a il r a t e 1 1 0 y r 1 / y r 1 1 0 y r 1 / y rI / O m o d u l e f ai l r a t e 1 / 1 0 0 y r 1 / 1 0 y r 1 / 1 0 0 y r 1 / 1 0 y rC P U c o v e r a g e 9 9 9 5 ~ 9 5 8 0c/cI / O c o v e r a g e 9 9 9 5 ~ 9 5 5 0C o m m o n c a u s e 1 1 0 ~ 1 1 0M a n u a l t e s t i n t e rv a l 3 m o 3 6 m o 3 m o 3 6 m oM T T R 1 h r 8 h r 1 h r 8 h r
8/13/2019 1-s2.0-0019057895000259-main
8/8
318 S.E. Smith, P. Gruhn / ISA T ransactions 34 1995) 311 -31 8
e f e r e n c e s
[1] P. Gruhn , Safe ty sys tem per formance te rms; Clear ing upthe confus ion ,Hydrocarbon Processing(February 1993).
[2] B.W. Balls, De term inat ion o f specif ied availabi li ty for aprocess plant safety protect ion system ,Control Expo(Chicago, 1989).
[3] Ins t rum ent Soc ie ty o f Amer ica , SP.84 D raf t S tandard for
Appl ica t ion o f Safe ty Ins t rumented Systems for the Pro-cess Industr ies , Draft 17, September 1995.[4] S.E. Smith, Fa ult cov erage in plant protect ion systems ,
ISA CH EM PID Conference(St. Louis, May 1990).[5] A.A . Frederick son, Fau lt tolerant control systems for use
in safety applicat ions ,ISA / 8 8 International Conference(Houston).
[6] B.W. Balls , A.B. Rentco me and J .A. W ilkenson, Specif i-cat ion and design of safety systems for the process indus-tr ies , 8th International System Safety Conference( N e wOrleans, 1987).
[7] K.L. W ade, Prog ram ma ble control ler rel iabi l i ty improve-ment method for ba tch con t ro l opera t ions ,EngineeringSociety of Detroit, Programma ble Controller Conference(Detroi t , Apri l 1986).
[8] S.E. Smith, System -level rel iabi l i ty analysis fo r applyingfault toleran t controls , ISA CHEMPID Sympos ium(Edmo nton , A pr i l 1991).
[9] N.G. L evison, Softw are safety: What , why and h ow ,Association for Computing Machinery - Computing Sur-ueys (June 1986).
