Walter Stoops Application Consultant Introductie in de SIL classificatie www.pepperl-fuchs.com Agenda - Wat betekenen al die termen? - Wat is SIL classificatie? - Wat zijn de belangrijkste standaarden? - Hoe bepaalt u wat aanvaardbare risico’s zijn? - SIL en EX? W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 2 IEC 61511 Part 1 Proces besturing Walter Stoops 17/01/2014 www.pepperl-fuchs.com 3 IEC/EN 61508 Part 5 2010 Annex C Tolerabel risico - ALARP 1. Definitie Elk risico moet teruggebracht worden voor zover dat redelijkerwijs praktisch uitvoerbaar is of tot een niveau welk is As Low As Reasonable Practible 2. Algemeen geaccepteerde waarden: upper limit 1 x 10-4 deaths per year lower limit 1 x 10-6 deaths per year Risk cannot be justified except in extraordinary circumstances Intolerable region Tolerable only if further risk reduction is impracticable or if its cost is grossly disproportionate to the improvement gained The ALARP or tolerability region (Risk is undertaken only if a benefit is desired) Broadly acceptable region (No need for detailed working to demonstrate ALARP) Walter Stoops 17/01/2014 As the risk is reduced, the less, proportionately, it is necessary to spend to reduce it further to satisfy ALARP. The concept of diminishing proportion is shown by the triangle. Negligible risk It is necessary to maintain assurance that risk remains at this level www.pepperl-fuchs.com 4 IEC/EN 61508 Part 5 2010 Annex C Tolerabel risico - ALARP Table C.1 — Risk classification of accidents Frequency Consequence Catastrophic Critical Marginal Negligible Frequent I I I II Probable I I II III Occasional I II III III Remote II III III IV Improbable III III IV IV Incredible IV IV IV IV NOTE 1 The actual population with risk classes I, II, III and IV will be sector dependent and will also depend upon what the actual frequencies are for frequent; probable etc. Therefore, this table should be seen as an example of how such a table could be populated, rather than as a specification for future use. NOTE 2 Determination of the safety integrity level from the frequencies in this table is outlined in annex C. Walter Stoops 17/01/2014 www.pepperl-fuchs.com 5 Terminologie Walter Stoops 17/01/2014 www.pepperl-fuchs.com 6 Wat is SIL? SIL Safety Integrity Level (volgens NEN/IEC/EN 61508) is een beschrijving van de integriteit van een veiligheidsgerelateerde functie. (Webster's) Integriteit: 1. An unreduced or unbroken completeness or totality. Een onverminderde of ongebroken volledigheid of een totaliteit. Electrical Engineering typical: 2. The continued function of an integrated circuit in the intended manner. Het blijven werken van een geïntegreerde schakeling op de voorbestemde manier. W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 7 Wat is SIS/SIF? Een SIS (Safety Instrumented System) bestaat uit een of meer Safety Instrumented Functions (SIF), elk met een eigen SIL classe. Opmerking: Verschillende ingangen kunnen gekoppeld zijn aan meer dan een uitgang. EXIDA W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 8 Functionele veiligheid Hoe bereiken wij functionele veiligheid? Scope van IEC 61508 Management en technische maatregelen zijn noodzakelijk om een gegeven niveau van veiligheid te behalen. Deze veiligheid wordt uitgedrukt als Safety Integrity Level (SIL) ……… Management moet voorzien SOP’s, onderhoudschema´s, training, uitrusting personeel en geschikte instrumentatie (zoals sensors, logic solvers en actuators). Dit heeft betrekking op slechts een klein deel van de instrumentatie! W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 9 Aanpak W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 10 IEC/EN 61508 Nederland: BRZO BEVI België - Besluit Risico´s Zware Ongevallen 1999 genoemd naar SEVESO II na Italiaans incident te Seveso, 1976 Welzijnswetgeving, 4 aug 1996 Kon. Besluit 27 mrt 1998 Samenwerkingsverband 9 dec 1996 - Besluit Externe veiligheid 2004 genaamd SEVESO II IEC/EN 61508 Is een Nederlandse norm: NEN/IEC/EN 61508 Part 2 gepubliceerd 01-05-2000 Part 7 gepubliceerd 13-07-2000 IEC/EN 62061 Machinebuilding IEC/EN 62304 Medical Devices EN 954-1 Reference to IEC/EN 61508, resp. IEC/EN 62061 IEC/EN 61511 Processtechnolgy User‘s directive IEC/EN 61513 Nuclear technology ISA 84.01 American standard on Functional Safety Instrumented Systems for Process Industry W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 11 Aanpak 1. Maak een plan van aanpak. 2. Beschouw het proces 3. Beschouw de installatie 4. Beschouw het personeel 5. Leg het geheel vast in een document 6. Risico Analyse W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 12 IEC/EN 61508 Part 5 IEC 61511-3 Annex D Risico analyse Already occured X1 CA X2 Starting point for risk reduction estimation PA CB CC FA PB FB PA FA FB Generalized arrangement (in practical implementations the arrangement is specific to the applications to be covered by the risk graph) CD FA FB PB X3 X4 PA PB X5 PA PB Never occured W3 W2 W1 a --- --- 1 a --- 2 1 a 3 2 1 4 3 2 b 4 3 X6 C = Consequence risk parameter --- = No safety requirements F = Frequency and exposure time risk parameter a = No special safety requirements P = Possibility of failing to avoid hazard risk parameter b = A single E/E/PES is not sufficient W = Probability of the unwanted occurrence 1, 2, 3, 4 = Safety integrity level Walter Stoops 17/01/2014 www.pepperl-fuchs.com 13 Veronderstellingen 1. 2. 3. 4. 5. 6. 7. Faalkans is constant, slijtage van mechanismen niet inclusief Verbreiding van fouten is niet relevant Foutgedrag alle componenten is bekend Reparatietijd na een veilig falen is 8 uur (MTTR) Gemiddelde temperatuur over een langere termijn is 40°C Stress niveaus zijn gemiddelde voor een industriële omgeving Alle modules werking in “low demand of operation” Berekeningen worden gemaakt in jaren i.p.v. uren, voor “high demand operation” W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 14 Voorbeeld Event < 0,01/yr W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 15 Fault Tree Analysis - FTA Event < 0,01/yr W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 20 Performance evaluatie Component Fault Consequence Fluid No brake action No or bad brake action Fluid leak No fluid Fluid altered Seals Worn Piping Break on demand Asymmetrical action Worn Pads Pads SlS = 5,7E-05 SlD = 1,4E-04 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 Dangerous failure yes Safe Failure rate failure 1 in 5 year: 1/5x8760 = 2,3E - 05 1 in 5 year: 1/5x8760 yes = 2,3E - 05 1 in 2 yea r: 1/2x8760 yes = 5,7E - 05 1 in 10 year: 1/10x8760 No brake action Brake away yes yes 1 in 5 year: 1/5x8760 No or bad brake action yes 1 in 2 year: 1/2x8760 = 1,1E - 05 = 2,3E - 05 = 5,7E - 05 Totaal Totaal 1,4E-04 5,7E-05 www.pepperl-fuchs.com 23 Performance evaluatie Architectuur Safe Failure Fraction SFF Fracties van fouten die het veligheidssysteem niet in en gevaarlijke situatie brengen Hardware fault tolerance HFT Het vermogen van een instrument c.q. module om de vereiste functionaliteit te behouden ook al zijn er fouten SFF= SlS / (SlS + SlD). SFF= 5,7E-05 / (5,7E-05 + 2,3E-05 + 2,3E-05 + 1,1E-05 + 2,3E-05) SFF= 0,42 or 42% De Hardware Fault Tolerance is 0 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 24 RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“ Performance evaluatie Table 2 — Hardware safety integrity: architectural constraints on type A safety-related subsystems Safe failure fraction < 60 % 60 % - < 90 % 90 % - < 99 % > 99 % NOTE 1 Hardware fault tolerance (see note 2) 0 1 2 SIL1 SIL2 SIL3 SIL2 SIL3 SIL4 SIL3 SIL4 SIL4 SIL3 SIL4 SIL4 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. NOTE 3 See annex C for details of how to calculate safe failure fraction. Het remsysteem komt overeen met de vereisten van SIL 1 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 25 RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“ Performance evaluatie Faalkans Failure rate Failure rate l λd = 1,4E-04 Faalkans van een kanaal in een subsysteem Faalkans van instrument PFD Gemiddelde Probability of Failure on Demand van en veiligheidsfunctie of subsysteem Probability of Failure on Demand PFDavg = lDT/2 (als lD << 1) T : interval tussen tests Voor een test interval van 10 jaar geldt: PFD = 1,4E-04 x 10 /2 = 7E-04 PFDavg = 7E-04 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 26 RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“ Performance evaluatie Table 2 — Safety integrity levels: target failure measures for a safety function, allocated to an E/E/PE safety -related system operating in low demand mode of operation Safety integrity level Low demand mode of operation (Average probability of failure to perform its design function on demand) 10-5 to < 10-4 4 10-4 to < 10-3 3 10-3 to < 10-2 2 10-2 to < 10-1 1 NOTE See notes 3 to9 below for details on interpreting this table. Het remsystem voldoet aan PFD vereisten voor SIL 3 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 27 Assesments W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 32 IEC/EN 61508 Part 6 IEC 61511-3 Annex J 1oo1 input Sensor STT250 Input module Sensor subsystem KFD2-STC4-Ex2 temperature transmitter (Honeywell) T[proof] 1 year PFDavg = 1,65E-03 SFF = 93,03 % PFDSYS PFDS PFDI smart transmitter isolator (Pepperl + Fuchs) T[proof] 1year PFDavg = 1,6E-04 SFF = 90 % PFDavg = 1,81E-03 Hardware fault tolerance = 0 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 33 IEC/EN 61508 Part 6 IEC 61511-3 Annex J Logic solver HIQuad System (HIMA) T[proof] 1year PFDavg = 1,2E-05 DC= 99 % W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 34 IEC/EN 61508 Part 6 IEC 61511-3 Annex J 1oo1 output output module Actor Output subsystem KFD2-SL-Ex1.17 Valve/actuator solenoid driver T[proof] 1year SFF = 95 % PFDavg = 6,03E-05 PFDSYS PFDS PFDI T[proof] 1year λDU = 3E–06 SFF = 50% PFDavg = 1,31E-02 PFDavg = 1,32E-02 Hardware fault tolerance = 0 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 35 IEC/EN 61508 Part 6 IEC 61511-3 Annex J Loop assessment 1oo1 SIL niveau volgt uit: PFDSYS PFDINPUT PFDLS PFDOUTPUT PFDsys = 1,81E-03 + 1,2E-05 + 1,32E-02 Safety integrity Low demand mode of operation level (Average probability of failure to perform its design PFDsys = 1,5E-02 function on demand) 4 3 2 1 10-5 to < 10 -4 10-4 to < 10 -3 10-3 to < 10 -2 10-2 to < 10 -1 See notes 3 to 9 below for details on interpreting this table. Table 2 — Hardware safety integrity: architectural constraints on type A safety-related subsystems NOTE HFT = 0 SIF overall SIL : SIL 1 Safe failure fraction < 60 % 60 % - < 90 % 90 % - < 99 % > 99 % Hardware fault tolerance (see note 2) 0 1 2 SIL1 SIL2 SIL3 SIL3 SIL2 SIL3 SIL4 SIL4 SIL3 SIL4 SIL4 SIL4 NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. W.Stoops Walter Stoops 23 mei 2014 17/01/2014 NOTE 3 See annex C for details of how to calculate safe failure fraction. www.pepperl-fuchs.com 36 IECVDI/VDE 61511-3 Annex 2180 J Loop assessment Simplified formulas T1 PFD1oo1 lDU 2 l2DU T12 T1 PFD1oo2 lDU 3 2 T1 2 2 PFD2oo3 lDU T1 lDU 2 Walter Stoops 17/01/2014 PFD2oo2 lDU T1 l3DU T13 T1 PFD1oo3 lDU 4 2 T1 3 3 PFD2oo4 lDU T1 lDU 2 www.pepperl-fuchs.com 37 Complex (?) Example from IEC 61508 part 6: T PFDG 2 1 D l DD 1 l DU t CE t GE D l DD MTTR l DU 1 MTTR 2 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 2 t CE l DU T1 l DD MTTR MTTR lD lD 2 t GE l DU T1 l DD MTTR MTTR lD lD 3 www.pepperl-fuchs.com 38 Conclusie Transmitter : SIL 1 Isolator : SIL 2 Logic solver : SIL 4 Isolator : SIL 2 Klep : SIL 1 W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 43 Conclusie Een SIF heeft zijn eigen SIL classificatie, dus een SIS kan meerder dan een SIL levels in een systeem hebben. W.Stoops Walter Stoops 23 mei 2014 17/01/2014 www.pepperl-fuchs.com 44 Thank you very much for your attention www.pepperl-fuchs.com
© Copyright 2024 ExpyDoc