8. Introductie SIL classificatie

Walter Stoops
Application Consultant
Introductie in de SIL classificatie
www.pepperl-fuchs.com
Agenda
- Wat betekenen al die termen?
- Wat is SIL classificatie?
- Wat zijn de belangrijkste
standaarden?
- Hoe bepaalt u
wat aanvaardbare
risico’s zijn?
- SIL en
EX?
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
2
IEC 61511 Part 1
Proces besturing
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
3
IEC/EN 61508 Part 5
2010 Annex C
Tolerabel risico - ALARP
1. Definitie

Elk risico moet teruggebracht worden voor zover dat redelijkerwijs praktisch uitvoerbaar is of tot een
niveau welk is
As Low As Reasonable Practible
2. Algemeen geaccepteerde waarden:

upper limit 1 x 10-4 deaths per year

lower limit 1 x 10-6 deaths per year
Risk cannot be justified except
in extraordinary circumstances
Intolerable region
Tolerable only if further risk reduction is
impracticable or if its cost is grossly
disproportionate to the improvement gained
The ALARP or
tolerability region
(Risk is undertaken
only if a benefit is
desired)
Broadly acceptable region
(No need for detailed
working to demonstrate
ALARP)
Walter Stoops
17/01/2014
As the risk is reduced, the less,
proportionately, it is necessary to spend to
reduce it further to satisfy ALARP. The
concept of diminishing proportion is shown by
the triangle.
Negligible risk
It is necessary to maintain
assurance that risk remains at
this level
www.pepperl-fuchs.com
4
IEC/EN 61508 Part 5
2010 Annex C
Tolerabel risico - ALARP
Table C.1 — Risk classification of accidents
Frequency
Consequence
Catastrophic
Critical
Marginal
Negligible
Frequent
I
I
I
II
Probable
I
I
II
III
Occasional
I
II
III
III
Remote
II
III
III
IV
Improbable
III
III
IV
IV
Incredible
IV
IV
IV
IV
NOTE 1 The actual population with risk classes I, II, III and IV will be sector dependent and will also
depend upon what the actual frequencies are for frequent; probable etc. Therefore, this table should
be seen as an example of how such a table could be populated, rather than as a specification for
future use.
NOTE 2 Determination of the safety integrity level from the frequencies in this table is outlined in
annex C.
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
5
Terminologie
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
6
Wat is SIL?
SIL
Safety Integrity Level (volgens NEN/IEC/EN 61508) is een beschrijving
van de integriteit van een veiligheidsgerelateerde functie.
(Webster's)
Integriteit:
1. An unreduced or unbroken completeness or totality.
Een onverminderde of ongebroken volledigheid of een totaliteit.
Electrical Engineering typical:
2. The continued function of an integrated circuit in the intended manner.
Het blijven werken van een geïntegreerde schakeling op de voorbestemde manier.
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
7
Wat is SIS/SIF?
Een SIS (Safety Instrumented System) bestaat uit een of meer Safety
Instrumented Functions (SIF), elk met een eigen SIL classe.
Opmerking:
Verschillende
ingangen kunnen
gekoppeld zijn
aan meer dan een
uitgang.
EXIDA
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
8
Functionele veiligheid
Hoe bereiken wij functionele veiligheid?
Scope van IEC 61508
Management en technische maatregelen zijn
noodzakelijk om een gegeven niveau van veiligheid te
behalen. Deze veiligheid wordt uitgedrukt als Safety
Integrity Level (SIL) ………
Management moet voorzien SOP’s, onderhoudschema´s,
training, uitrusting personeel en geschikte instrumentatie (zoals
sensors, logic solvers en actuators).
Dit heeft betrekking op slechts een klein deel
van de instrumentatie!
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
9
Aanpak
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
10
IEC/EN 61508
Nederland:
BRZO
BEVI
België
- Besluit Risico´s Zware Ongevallen
1999 genoemd naar SEVESO II na
Italiaans incident te Seveso, 1976
Welzijnswetgeving, 4 aug 1996
Kon. Besluit 27 mrt 1998
Samenwerkingsverband 9 dec 1996
- Besluit Externe veiligheid 2004
genaamd SEVESO II
IEC/EN 61508
Is een Nederlandse norm: NEN/IEC/EN 61508
Part 2 gepubliceerd 01-05-2000
Part 7 gepubliceerd 13-07-2000
IEC/EN 62061
Machinebuilding
IEC/EN 62304
Medical Devices
EN 954-1 Reference to
IEC/EN 61508, resp.
IEC/EN 62061
IEC/EN 61511
Processtechnolgy
User‘s directive
IEC/EN 61513
Nuclear technology
ISA 84.01
American standard on Functional
Safety Instrumented Systems for
Process Industry
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
11
Aanpak
1. Maak een plan van aanpak.
2. Beschouw het proces
3. Beschouw de installatie
4. Beschouw het personeel
5. Leg het geheel vast in een document
6. Risico Analyse
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
12
IEC/EN 61508 Part 5
IEC 61511-3 Annex D
Risico analyse
Already
occured
X1
CA
X2
Starting point
for risk reduction
estimation
PA
CB
CC
FA
PB
FB
PA
FA
FB
Generalized arrangement
(in practical implementations
the arrangement is specific to
the applications to be covered
by the risk graph)
CD
FA
FB
PB
X3
X4
PA
PB
X5
PA
PB
Never
occured
W3
W2
W1
a
---
---
1
a
---
2
1
a
3
2
1
4
3
2
b
4
3
X6
C = Consequence risk parameter
--- = No safety requirements
F = Frequency and exposure time risk parameter
a
= No special safety requirements
P = Possibility of failing to avoid hazard risk parameter
b
= A single E/E/PES is not sufficient
W = Probability of the unwanted occurrence
1, 2, 3, 4 = Safety integrity level
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
13
Veronderstellingen
1.
2.
3.
4.
5.
6.
7.
Faalkans is constant, slijtage van mechanismen niet inclusief
Verbreiding van fouten is niet relevant
Foutgedrag alle componenten is bekend
Reparatietijd na een veilig falen is 8 uur (MTTR)
Gemiddelde temperatuur over een langere termijn is 40°C
Stress niveaus zijn gemiddelde voor een industriële omgeving
Alle modules werking in “low demand of operation”
 Berekeningen worden gemaakt in jaren i.p.v. uren, voor “high demand operation”
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
14
Voorbeeld
Event < 0,01/yr
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
15
Fault Tree Analysis - FTA
Event < 0,01/yr
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
20
Performance evaluatie
Component Fault
Consequence
Fluid
No brake
action
No or bad
brake action
Fluid leak
No fluid
Fluid altered
Seals
Worn
Piping
Break on
demand
Asymmetrical
action
Worn
Pads
Pads
SlS = 5,7E-05
SlD = 1,4E-04
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
Dangerous
failure
yes
Safe
Failure rate
failure
1 in 5 year: 1/5x8760
= 2,3E - 05
1 in 5 year: 1/5x8760
yes
= 2,3E - 05
1 in 2 yea r: 1/2x8760
yes
= 5,7E - 05
1 in 10 year:
1/10x8760
No brake
action
Brake away
yes
yes
1 in 5 year: 1/5x8760
No or bad
brake action
yes
1 in 2 year: 1/2x8760
= 1,1E - 05
= 2,3E - 05
= 5,7E - 05
Totaal
Totaal
1,4E-04
5,7E-05
www.pepperl-fuchs.com
23
Performance evaluatie
Architectuur

Safe Failure Fraction
SFF
Fracties van fouten die het veligheidssysteem niet in en gevaarlijke situatie brengen

Hardware fault tolerance
HFT
Het vermogen van een instrument c.q. module om de vereiste functionaliteit te behouden ook al zijn er
fouten
SFF= SlS / (SlS + SlD).
SFF= 5,7E-05 / (5,7E-05 + 2,3E-05 + 2,3E-05 + 1,1E-05 + 2,3E-05)
SFF= 0,42 or 42%
De Hardware Fault Tolerance is 0
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
24
RESEARCH REPORT 029: „Proposal for requirements for low
complexity safety related systems- HSE published in 2002“
Performance evaluatie
Table 2 — Hardware safety integrity:
architectural constraints on type A safety-related subsystems
Safe failure fraction
< 60 %
60 % - < 90 %
90 % - < 99 %
> 99 %
NOTE 1
Hardware fault tolerance (see note 2)
0
1
2
SIL1
SIL2
SIL3
SIL2
SIL3
SIL4
SIL3
SIL4
SIL4
SIL3
SIL4
SIL4
See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table.
NOTE 2
A hardware fault tolerance of N means that N+1 faults could cause a loss of the
safety function.
NOTE 3
See annex C for details of how to calculate safe failure fraction.
Het remsysteem komt overeen met de vereisten van
SIL 1
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
25
RESEARCH REPORT 029: „Proposal for requirements for low
complexity safety related systems- HSE published in 2002“
Performance evaluatie
Faalkans
Failure rate
 Failure rate l
λd = 1,4E-04
 Faalkans van een kanaal in een subsysteem
 Faalkans van instrument PFD
 Gemiddelde Probability of Failure on Demand van en veiligheidsfunctie of subsysteem
Probability of Failure on Demand
PFDavg = lDT/2
(als lD << 1)
T : interval tussen tests
Voor een test interval van 10 jaar geldt:
PFD = 1,4E-04 x 10 /2 = 7E-04
PFDavg = 7E-04
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
26
RESEARCH REPORT 029: „Proposal for requirements for low
complexity safety related systems- HSE published in 2002“
Performance evaluatie
Table 2 — Safety integrity levels: target failure measures for a safety function,
allocated to an E/E/PE safety
-related system operating
in low demand mode of
operation
Safety integrity
level
Low demand mode of operation
(Average probability of failure
to perform its design
function on demand)
 10-5 to < 10-4
4
 10-4 to < 10-3
3
 10-3 to < 10-2
2
 10-2 to < 10-1
1
NOTE See notes 3 to9 below for details on interpreting this table.
Het remsystem voldoet aan PFD vereisten voor SIL 3
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
27
Assesments
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
32
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
1oo1 input
Sensor
STT250
Input module
Sensor subsystem
KFD2-STC4-Ex2
temperature transmitter (Honeywell)
T[proof] 1 year
PFDavg = 1,65E-03
SFF = 93,03 %
PFDSYS  PFDS  PFDI
smart transmitter isolator (Pepperl + Fuchs)
T[proof] 1year
PFDavg = 1,6E-04
SFF = 90 %
PFDavg = 1,81E-03
Hardware fault tolerance = 0
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
33
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
Logic solver
HIQuad System (HIMA)
T[proof] 1year
PFDavg = 1,2E-05
DC= 99 %
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
34
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
1oo1 output
output module
Actor
Output subsystem
KFD2-SL-Ex1.17
Valve/actuator
solenoid driver
T[proof] 1year
SFF = 95 %
PFDavg = 6,03E-05
PFDSYS  PFDS  PFDI
T[proof] 1year
λDU = 3E–06
SFF = 50%
PFDavg = 1,31E-02
PFDavg = 1,32E-02
Hardware fault tolerance = 0
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
35
IEC/EN 61508 Part 6
IEC 61511-3 Annex J
Loop assessment 1oo1
SIL niveau volgt uit:
PFDSYS  PFDINPUT  PFDLS  PFDOUTPUT
PFDsys = 1,81E-03 + 1,2E-05 + 1,32E-02
Safety integrity
Low demand mode of operation
level
(Average
probability of failure to perform its design
PFDsys = 1,5E-02
function on demand)
4
3
2
1
 10-5 to < 10 -4
 10-4 to < 10 -3
 10-3 to < 10 -2
 10-2 to < 10 -1
See notes 3 to 9 below for details on interpreting this table.
Table 2 — Hardware safety integrity:
architectural constraints on type A safety-related subsystems
NOTE
HFT = 0
SIF overall SIL : SIL 1
Safe failure fraction
< 60 %
60 % - < 90 %
90 % - < 99 %
> 99 %
Hardware fault tolerance (see note 2)
0
1
2
SIL1
SIL2
SIL3
SIL3
SIL2
SIL3
SIL4
SIL4
SIL3
SIL4
SIL4
SIL4
NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table.
NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the
safety function.
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
NOTE 3 See annex C for details of how to calculate safe failure fraction.
www.pepperl-fuchs.com
36
IECVDI/VDE
61511-3 Annex
2180 J
Loop assessment
Simplified formulas
T1
PFD1oo1  lDU 
2
l2DU  T12
T1
PFD1oo2 
   lDU 
3
2
T1
2
2
PFD2oo3  lDU  T1    lDU 
2
Walter Stoops
17/01/2014
PFD2oo2  lDU  T1
l3DU  T13
T1
PFD1oo3 
   lDU 
4
2
T1
3
3
PFD2oo4  lDU  T1    lDU 
2
www.pepperl-fuchs.com
37
Complex (?)
Example from IEC 61508 part 6:
T

PFDG  2 1   D l DD  1   l DU t CE t GE   D l DD MTTR  l DU  1  MTTR
2


W.Stoops
Walter Stoops

23
mei 2014
17/01/2014
2
t CE 
l DU  T1
 l DD

MTTR
MTTR


 lD
lD  2
t GE 
l DU  T1
 l DD

MTTR
MTTR


 lD
lD  3
www.pepperl-fuchs.com
38
Conclusie
Transmitter : SIL 1
Isolator : SIL 2
Logic solver : SIL 4
Isolator : SIL 2
Klep : SIL 1
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
43
Conclusie
Een SIF heeft zijn eigen SIL classificatie, dus een SIS kan
meerder dan een SIL levels in een systeem hebben.
W.Stoops
Walter Stoops
23
mei 2014
17/01/2014
www.pepperl-fuchs.com
44
Thank you very much for your
attention
www.pepperl-fuchs.com