25-4-2010
Learnshop SIL-PL in de praktijk Door: Nick de With Fusacon en Harry Krosse D&F
Wat doet D&F Consulting? Consulting / Software / Training Onze missie is het voorkomen van ongevallen in de industriële en logistieke sector.
Onderwerpen: - Introductie D&F en Fusacon - Herkomst en achtergrond SIL en PL - Gebruik standaard PLC versus veiligheid PLC - Uitgewerkt voorbeeld in Softwarepakket Sistema van IFA (case) - Voorbeeldschema met valkuil - Veiligheidsfuncties dynamische signalen - Voorbeeld schema; welke fouten worden ontdekt (validatie) - Methodiek SIL met voorbeeld (case) - Random en systematische fouten - Serieschakeling veiligheidschakelaars volgens nieuwe EN 1088
D&F een onafhankelijke specialist voor mens- en machineveiligheid. BU Machine Safety - risicobeoordeling, adviestrajecten voor machineveiligheid, veiligheidsbesturingen en elektrische installaties - opstellen gebruikershandleidingen, technische dossiers, werkinstructies BU Process Safety - explosieveiligheid - drukapparatuur (PED) - procesveiligheid, uitvoeren van HAZOP’s, verificatie safety instrum. systems (SIS) - Begeleiding Notified Body -trajecten www.denf.nl
27 april 2010 Workshop PL en SIL
Page 1
27 april 2010 Workshop PL en SIL
Page 2
F U S A C O N
BU Safety Management & Culture - online veiligheidscultuur in uw bedrijf meten - bewustwording onveilig gedrag en invloed leidinggevenden - betrokkenheid medewerkers Software -Database Veiligheidsnormen (normbewerkingen met zoekfunctie en hyperlinks) -Safety Control (software voor het opstellen en beheren van Risicobeoordelingen) Trainingen - explosieveiligheid, machineveiligheid, elektrische veiligheid, SIL/PL, drukapparatuur , TRA, HAZOP, cultuur & gedrag - in company - open inschrijving - masterclass 4 tot 8 dagen - coachingstrajecten
B.V. www.denf.nl
www.fusacon.nl
[email protected]
27 april 2010 Workshop PL en SIL
Page 3
Page 4
Wat is de enige zekerheid in de techniek… Na een storing door een foutieve aansluiting van een meetwaardeomvormer door een monteur zei Murphy tegen hem:
Wat is de enige zekerheid in de techniek…
"If there is any way to do it wrong, he'll find it.“
?
Edward Aloysius Murphy, Jr. Amerikaanse ruimtevaartingenieur die aan veiligheidkritieke systemen werkte.
Later is dit geworden: "If anything can go wrong, it will“ http://www.murphys-laws.com
27 april 2010 Workshop PL en SIL
Page 5
27 april 2010 Workshop PL en SIL
Page 6
1
25-4-2010
Wat is de enige zekerheid in de techniek…
Machinesector: 2 nieuwe normen… Twee nieuwe normen houden WEL rekening met de faalkans van componenten/subsystemen:
Facts: • Elk product kan falen.. • Murphy’s law geldt ook hier…. • Wanneer het faalt is de…? • Faalkans is te berekenen!
NIEUW: NBN/NEN-EN-IEC 62061:2005, functionele veiligheid SRECS; Safety Integrity Level 3 niveau’s: SIL1, SIL2, SIL3. NIEUW: NBN/NEN-EN-ISO 13849-1:2006, veilig ontwerp en integratie SRP/CS; Performance Level: 5 niveau’s: PLa, PLb, PLc, PLd, PLe
NBN/NEN-EN 954-1 houdt helemaal GEEN rekening met faalkans component(en) 27 april 2010 Workshop PL en SIL
27 april 2010 Workshop PL en SIL
Page 7
Gebruik EN-IEC 61508/61511/62061 of ISO 13849-1/ISO 13849-2 verplicht?
Stelling: De SIL-norm IEC 62061 is speciaal gemaakt voor de procesindustrie
VOORBEELD: Milieuvergunning Provincie Groningen (jan. 2004) 10.2. Meet- en regelapparatuur en -systemen 10.2.1. Elke instrumentele beveiliging dient SIL geclassificeerd te zijn volgens IEC 61508 10.2.2. In het documentatiesysteem dient een actueel overzicht te zijn opgenomen van de SIL geclassificeerde instrumentele beveiligingen. 10.2.3. Elke wijziging in de als SIL 1 of hoger geclassificeerde instrumentele beveiliging mag alleen via een, vooraf opgestelde, schriftelijke procedure gebeuren. Indien een veilige voortgang van het proces het noodzakelijk maakt om direct wijzigingen aan te brengen, dan moet hiervan een aantekening worden gemaakt in het documentatiesysteem.
27 april 2010 Workshop PL en SIL
Wie van u is het hier mee eens?
Page 9
Ontstaansreden IEC 62061 VDE 0801 DIN 19250 DIN 19251 Etc.
Machinesector IEC 62061
27 april 2010 Workshop PL en SIL
Page 10
Is gebruik EN-IEC 62061 verplicht? Systeemopbouw
Start 1998 Einde 2004 90 pag.
Medische sector
Faalfrequentie Testfrequentie Etc.
IEC 60601
Formules Tabellen
SIL
IEC 50128
IEC 61508 Start 1985 Einde 2000 732 pag.
Page 8
Transportsector
IEC 61511
Start 1998 Einde 2003 208 pag.
IEC 60880
Nucleaire sector
IEC 62061:2005 de “SIL norm” voor machines • EN-IEC 62061 is eind 2005 MRL geharmoniseerd! • Met IEC 62061 kunnen veiligheids-PLC’s wel gebruikt worden (eisen voor applicatiesoftware) • IEC 62061 geeft eisen voor random EN systematische fouten • Life cycle benadering voor SRECS: ALLE fasen!
Processector 27 april 2010 Workshop PL en SIL
Page 11
27 april 2010 Workshop PL en SIL
Page 12
2
25-4-2010
Wat betekent SIL?
SIL level geeft faalkans hele keten
SIL geldt, in tegenstelling tot de PL uit ISO 13849-1:2006, ALLEEN voor een complete veiligheidsfunctie!!!! LS
SENSOR
MOTOR
1oo2
SIL
PFH bovengrens
Max. kans op falen
1
< 10-5
1 in 100.000
2
< 0,00001 < 10-6
uur 1 in 1.000.000
3
< 0,000001 < 10-7
uur 1 in 10.000.000
4
< 0,0000001 < 10-8
uur 1 in 100.000.000
< 0,00000001
uur
CONTACTOR
SIL NIET voor componenten!!!!!!!
Schakelaar
Veiligheidsrelais/ Veiligheids-PLC
Motorcontactor
27 april 2010 Workshop PL en SIL
Page 13
27 april 2010 Workshop PL en SIL
Page 14
Is gebruik EN-ISO 13849 verplicht?
Ontstaansreden ISO 13849-1
Categorie
IEC 61508
Faalkans niet meegenomen
MTTFoc
Black box
PL
DCavg
EN 954 d1: 1996 d2: pr1999
ISO 13849 d1: 1999 d2: 2003 ISO 13849-1
EN 954-1
prEN 954-2
ISO 13849 d1: 2006 d2: 2003 (unchanged)
ISO 13849-1
ISO 13849-2
EN-ISO 13849-2:2003 : MRL geharmoniseerd sinds: 20.04.2004 Moet nog aan PL systematiek aangepast worden!
ISO 13849-2
27 april 2010 Workshop PL en SIL
Wat betekent PL?
PL
LS
MOTOR
1oo2
CONTACTOR
PL
PL
Veiligheidsrelais/ Veiligheids-PLC
27 april 2010 Workshop PL en SIL
Page 16
PFH versus PL versus SIL
PL Schakelaar
27 april 2010 Workshop PL en SIL
Page 15
PL zegt iets over de kans op falen van de componenten en OOK de complete veiligheidsfunctie!!!! SENSOR
EN-ISO 13849-1:2006 de “PL norm” voor machines EN-ISO 13849-1 in 2007 MRL geharmoniseerd ISO 13849-1: eisen ontwerp en integratie SRP/CS Ook software eisen! EN 954-1 vervalt per: 31.12.2011
Motorcontactor
Page 17
Probability of a dangerous failure per hour [1/h]
PL, ISO 13849-1
SIL, - IEC 62061
Performance
Safety Integrity
Level
Level
10-5 < PFH < 10-4
a
No special safety requirements
3x10-6 < PFH< 10-5
b
1
10-6 < PFH < 3·10-6
c
1
10-7 < PFH < 10-6
d
2
10-8 < PFH < 10-7
e
3
27 april 2010 Workshop PL en SIL
Page 18
3
25-4-2010
Veiligheidscomponent als veiligheidspal!
Problemen met standaard PLC’s…
Standaard-PLC
65=1000001
Veiligheidssysteem vormt veilige schil tegen defect raken van de standaard besturing!
1100001=97
Sensor
Input Module
Logic Module
Output Module
Actuator
S1
Veiligheidspal
Motoren/ Cilinders
Overig
One Bit Failure
Als T> 65 C dan sluit de klep Process
27 april 2010 Workshop PL en SIL
Page 19
Basisprincipes Fail-safe PLC Kanaal 0
12V
Ingang Adr. E x.00
24 V
I 00
0V
0V
Kanaal 31
I 31
IEC 62061 en eigenbouw PE VHC
Basisprincipes Fail-safe PLC: 1. Redundantie HW + SW 2. Zelftests CPU + HW 3. Redundantie I/O’s +diagnose 4. Scheiding standaard en veiligheidsprogramma 5. Goedkeuring NOBO ALLE
Machinesector SIL normen
Producenten en leveranciers van veiligheidscomponenten
0V
0V * wordt door BS aangestuurd * alleen biji PSS DI 2 / PSS DIF 2
Page 20
“logische eenheden voor VHF’s” verplicht MRL 2006/42/EG Bijl. IV!
12V
Ingang Adr. E x.31
27 april 2010 Workshop PL en SIL
3.Redundantie I/O + diagnose Ingangskring na optocoupler redundant Test van optocoupler door signaalinjectie
EN-IEC 61508 volgen bij zelfbouw veiligheidscomponent met programmeerbare logica
EN-IEC 61508
Systeem integratoren en gebruikers EN-IEC 62061
LET OP: ISO 13849 laat meer toe! 27 april 2010 Workshop PL en SIL
Page 21
Learnshop SIL-PL in de praktijk Door: Nick de With Fusacon en Harry Krosse D&F
Page 22
Veiligheidsbesturingen volgens PL - ISO 13849–1 Safety of machinery – safety related parts of control systems (SRP/CS) Type B1 norm conform de ISO 12100-1
Onderwerpen: - Introductie D&F en Fusacon - Herkomst en achtergrond SIL en PL - Gebruik standaard PLC versus veiligheid PLC - Uitgewerkt voorbeeld in Softwarepakket Sistema van IFA (case) - Voorbeeldschema met valkuil - Veiligheidsfuncties dynamische signalen - Voorbeeld schema; welke fouten worden ontdekt (validatie) - Methodiek SIL met voorbeeld (case) - Random en systematische fouten - Serieschakeling veiligheidschakelaars volgens nieuwe EN 1088
27 april 2010 Workshop PL en SIL
27 april 2010 Workshop PL en SIL
Kwalitatief Gebaseerd en voortbordurend op toegewezen architecturen uit de EN 954-1 cat. B, 1-2-3-4 Kwantitatief Nieuwe begrippen: - Performance Levels (PL), - Mean Time To Failure (MTTF), - Diagnostic Coverage (DC), - Common Cause Failure (CCF)
Page 23
27 april 2010 Workshop PL en SIL
Page 24
4
25-4-2010
Stappenplan PL ISO 13849-1 ontwerp SRP/CS iteratief proces
Bepaal keuze Architectuur (categorie), DC en MTTF om PLr te halen.
1. Bepaal de PLr met de risicograaf (zie Annex A) 2. Bepaal de ontwerp architectuur (blokschema), categorie B-1-2-3-4 en het gedrag bij storingen(zie Hfdst 6) 3. Bepaal de MTTFd (zie Annex C en D) 4. Bepaal de DC (zie Annex E) 5. Bepaal de CCF (zie Annex F) 6. Bepaal de eisen van de veiligheids gerelateerde software (zie Hfdst 4.6 en Annex J) 7. Verifieer of PL ≥ PLr (zie Hfdst 4.7) 8. Beoordeel op systematische fouten (zie Annex G) 9. Geschikt voor de omgevingscondities 10. Validatie; voldaan aan alle eisen? (zie Hfdst 8 en details ISO 13849-2) Te verdelen in kwantitatieve en niet kwantitatieve aspecten.
27 april 2010 Workshop PL en SIL
Page 25
27 april 2010 Workshop PL en SIL
Voorbeeld PL
Voorbeeld PL
1. Bepaal de ontwerparchitectuur met blokschema
Controller (LOGIC)
Sensor (INPUT)
Page 26
2. Bepaal de PL uit de data-sheet van fabrikant (input)
Actuator (OUTPUT) Sensor (INPUT)
SRP/CS1 PLC4000
SRP/CS2 PLControl
27 april 2010 Workshop PL en SIL
SRP/CS3 PLContactors
Page 27
27 april 2010 Workshop PL en SIL
Voorbeeld PL
Page 28
Voorbeeld PL 4. Bepaal de Categorie van de Output - Contactors (zie Annex E)
3. Bepaal de PL uit de data-sheet van fabrikant (logic) Symbool
Betekenis
Im
Tussenliggende verbindingen
I1, I2
Input (Sensor)
L1, L2
Logische Besturing
O1, O2
Output (Contactor)
m
Controle
C
Cross Monitoring
Categorie 3-4
Controller (LOGIC)
Actuator (OUTPUT)
27 april 2010 Workshop PL en SIL
Page 29
27 april 2010 Workshop PL en SIL
Page 30
5
25-4-2010
Voorbeeld PL
Voorbeeld PL
5. Bepaal de MTTFd contactors (zie Annex C en D) (1)
6. Bepaal de MTTFd contactors (zie Annex C en D) (2)
Gegevens : SN 29500 ⇒ B10 = 600.000 schakeling en
Uit het rekenvoorbeeld van de vorige slide blijkt een MTTFd van 7.386 jaar.
Aannames C = 60 cycli per uur d op = 220 dagen per jaar
MTTFd
h op = 16 uur per dag
Aanduiding
Bereik
Low
3 jaar ≤ MTTFd < 10 jaar
Actuator (OUTPUT)
n = d op ⋅ hop ⋅ C = 220 ⋅16 ⋅ 60 = 211.200 cycli per jaar op B10 D 2 ⋅ B10 2 × 600.000 MTTF = ⇒ ⇒ = 56 jaren d 0,1× n 0,1× n 0,1 × 211.200 op op
Actuator (OUTPUT)
27 april 2010 Workshop PL en SIL
Page 31
Medium
10 jaar ≤ MTTFd < 30 jaar
High
30 jaar ≤ MTTFd ≤ 100 jaar
27 april 2010 Workshop PL en SIL
Voorbeeld PL
Voorbeeld PL 8. Bepaal de CCF van de Contactors (zie Annex E) (1)
7. Bepaal de DC van de Contactors (zie tabel Annex E)
Nr. 1
Score
Score
15
15
0
20
Beveiliging tegen overspanning, overdruk, overstroom, etc.
0
15
Er worden beproefde veiligheidscomponenten toegepast.
5
5
5
5
Maatregel tegen CCF Scheiding Fysieke scheiding tussen signalen, zoals gescheiden bedrading/bekabeling.
2
Diversiteit Verschillende technologieën/ontwerpen worden toegepast. (digitaal/analoog, verschillende fabricaten)
3
Ontwerp/Applicatie/Ervaring
3.1 DC Aanduiding
Bereik
3.2
None
DC < 60 %
4
Actuator (OUTPUT)
Low
60 % ≤ DC < 90 %
Medium
90 % ≤ DC < 99 %
High
99 % ≤ DC
27 april 2010 Workshop PL en SIL
Page 33
Score
5
5
Voorkomen van verontreiniging en elektromagnetische Compatibiliteit (EMC) volgens de daarbij behorende normen .
25
25
Zijn de omgevingscondities in overweging genomen, zoals, temperatuur, trillingen, schokken, luchtvochtigheid.
10
10
Totaal: ≥ 65
65
Max. 100
Deskundigheid/training Zijn de ontwerpers getraind op voldoende kennis over de oorzaken en gevolgen van Common Cause Failures (CCF).
6 6.1
6.2
Page 34
10. Bepaal het performance level van de Contactors Score
Maatregel tegen CCF
27 april 2010 Workshop PL en SIL
Voorbeeld PL
9. Bepaal de CCF van de Contactors (zie Annex E) (2)
5
Beoordeling/Analyse Zijn de resultaten van de Failure Mode and Effect Analysis (FMEA) meegenomen in het ontwerp om de Common Cause Failure (CCF) te voorkomen.
Voorbeeld PL
Nr.
Page 32
Omgevingscondities
27 april 2010 Workshop PL en SIL
Page 35
27 april 2010 Workshop PL en SIL
Page 36
6
25-4-2010
Voorbeeld PL
Voorbeeld PL
11. Bepaal het performance level van het geheel PL= “e”
PL= “e”
12. Verifieer of PL ≥ PLr (tabel 11, 13849-1) (1) PLlaag
PL= “e”
Tabel hoeft alleen toegepast te worden als de PFHd-waarden niet bekend zijn maar alleen de Performance Levels a, b, c, d, of e
Actuator (OUTPUT)
a
c
Volgens deze tabel is het eindresultaat Dan ook PL = e d
SRP/CS1 PLC4000
SRP/CS2 PLControl
SRP/CS3 PLContactors e
27 april 2010 Workshop PL en SIL
Page 37
Voldoet deze architectuur aan categorie 3?
PL
g
De sr bestaat uit 3 subsystemen Met elk PL laag = e Controller (LOGIC)
═>
a
b
Sensor (INPUT)
Nla
>3
═>
niet toegestaan
≤3
═>
a
>2
═>
a
≤2
═>
b
>2
═>
b
≤2
═>
c
>3
═>
c
≤3
═>
d
>3
═>
d
≤3
═>
e
27 april 2010 Workshop PL en SIL
Page 38
Welke fouten komen aan het licht? NS op VHC
5
Foutdetectie bij: 1. Direct 2. Direct 3. Direct 4. Direct 5. Bediening NS 6. Bediening NS 7. Direct
6
7 3
1 2
4
CH1
CH2
A
+24VDC met A-puls
+24VDC met B-puls
B ∆t
27 april 2010 Workshop PL en SIL
Page 39
Learnshop SIL-PL in de praktijk Door: Nick de With Fusacon en Harry Krosse D&F
27 april 2010 Workshop PL en SIL
Een veilige MACHINE-besturing vereist!
Onderwerpen: - Introductie D&F en Fusacon - Herkomst en achtergrond SIL en PL - Gebruik standaard PLC versus veiligheid PLC - Uitgewerkt voorbeeld in Softwarepakket Sistema van IFA (case) - Voorbeeldschema met valkuil - Veiligheidsfuncties dynamische signalen - Voorbeeld schema; welke fouten worden ontdekt (validatie) - Methodiek SIL met voorbeeld (case) - Random en systematische fouten - Serieschakeling veiligheidschakelaars volgens nieuwe EN 1088
27 april 2010 Workshop PL en SIL
Page 40
Een machineongeval leidt vaak tot erge verwondingen zoals amputaties, etc. Veiligheidssystemen vragen om veilige hardware EN veilige software gedurende de gehele “life cycle”, dus: “Safety Integrity”
Page 41
27 april 2010 Workshop PL en SIL
Page 42
7
25-4-2010
Safety Integrity van een brug…
Safety Integrity van een brug… 4 oktober 2009
27 april 2010 Workshop PL en SIL
Page 43
Safety Integrity van een brug… 24/3/10: Schil beveiligt Ketelbrug tegen “onbekende bug” Het bedieningssysteem van de Ketelbrug heeft een extra beveiligingsmodule gekregen. Het gaat om een combinatie van hardware en software die als een schil om de bestaande besturingsmodule is gebouwd. Dat zegt een woordvoerder van Rijkswaterstaat. De ketelbrug ging op 4 oktober 2009 open terwijl de slagbomen open waren en de lichten op groen stonden. Door deze bedieningsfout raakten vier automobilisten gewond. Het is nog onduidelijk waardoor de oude bedieningsmodule, die eveneens bestaat uit een combinatie van hardware en software verzuimde te controleren of de slagbomen dicht waren en de stoplichten op rood stonden. De politie van Flevoland onderzoekt dat momenteel nog.
27 april 2010 Workshop PL en SIL
Page 44
Wat is Safety Integrity? De kans dat een veiligheidsgerelateerd systeem de vereiste veiligheidsfuncties goed uitvoert onder (1) alle gespecificeerde omstandigheden en (2) binnen het gespecificeerde tijdsbestek SIL 1/ SIL 2/ SIL 3 of SIL 4 *
* Machinesector max. SIL 3
27 april 2010 Workshop PL en SIL
Page 45
Falen van veiligheidssystemen
27 april 2010 Workshop PL en SIL
Page 46
Random en systematische fouten
Veiligheidssystemen falen als gevolg van: – Random failures; spontaan falen van hardware – Common Cause failures; falen van 2 kanalen door dezelfde faaloorzaak (meestal omgevingsfactoren) – Systematic failures; falen door verborgen HW/SW fout in bijv. de fase concept- of detailontwerp
Fouten
Fysieke (random)
Functionele (systematische)
Fouten beheersen d.m.v. keuze juiste component/structuur
Fouten vermijden d.m.v. Functional Safety Management
LET OP: Systematische fouten zijn het slechtst te voorkomen en krijgen vaak de minste aandacht!
27 april 2010 Workshop PL en SIL
Page 47
27 april 2010 Workshop PL en SIL
Page 48
8
25-4-2010
Voorbeelden systematische fouten
Functional Safety Management
– Risicobeoordeling fout; S faktor wordt te rooskleurig genomen of RI na maatregel – Catalogus VHC; foute keuze schakeling ingang door ontbreken aanduiding bij fabrikant – Inbedrijfstelling; tijdens integratietest worden geen fouten geïntroduceerd…slechte test – Uitwisseling VHC; onderhoudsengineer wisselt defecte VHC uit, laat strapjes zitten
Een voorbeeld uit de dagelijkse praktijk…..
Functional Safety Management is de oplossing!!!!! 27 april 2010 Workshop PL en SIL
Page 49
Functional Safety Management
27 april 2010 Workshop PL en SIL
Life Cycle Concept IEC 62061
Ontwerp en ontwikkeling van SRECS Integratie en testen van SRECS
Validation plan
En dat gedurende alle levensfasen v.d. SRECS…..
Specificatie van eisen voor veiligheidsrelevante besturingsfuncties
Gebruikers Documentatie
– Veiligheid moet herhaalbaar en navolgbaar zijn
Ontwerp en installatie Documentatie
– Veiligheid is geen rusissche roulette
Verification plan
– De uitkomst van een project moet veilig zijn
Functional Safety plan
Management van functionele veiligheid
Waarom willen we eigenlijk (functionele) veiligheid managen?
Page 50
Informatie voor gebruik en onderhoud van de SRECS Validatie van de SRECS Wijziging van een SRECS
27 april 2010 Workshop PL en SIL
Page 51
Page 52
IEC 62061 in tien stappen……..
Wie tot 10 kan tellen….
27 april 2010 Workshop PL en SIL
27 april 2010 Workshop PL en SIL
Page 53
27 april 2010 Workshop PL en SIL
Page 54
9
25-4-2010
Concept-ontwerp
Voorbeeld SRCF (Target SIL = 2)
Stap 3 Energy flow
Target-SIL afhankelijk van Severity (Se) en Class (Cl), waarbij: Cl = Fr + Pr + Av
Veiligheidsfunctie met blokkeerscherm
Stap 4
Se = 3, Fr = 5, Pr = 5, Av = 3 Cl = 13
Veiligheidsfunctie: Openen afscherming insideblokkeert cabinet energievoorziening naar motor
Risicobeoordeling Annex A
outside cabinet
27 april 2010 Workshop PL en SIL
Page 55
PFH bovengrens -5
27 april 2010 Workshop PL en SIL
Page 56
SRS = veiligheidsbestek SRECS
SIL level geeft PFH hele keten SIL
=> Target SIL = SIL 2
Max. kans op falen
SRECS
1 in 100.000
Safety Requirements Specification
1
< 10
2
< 0,00001 < 10-6
uur 1 in 1.000.000
3
< 0,000001 < 10-7
uur 1 in 10.000.000
4
< 0,0000001 < 10-8
uur 1 in 100.000.000
< 0,00000001
uur
27 april 2010 Workshop PL en SIL
Stap 5
Safety function requirements
Type veiligheidsfunctie Prioriteit Responstijd Span of control, Etc.
Page 57
Concept-ontwerp VHF
Safety integrity requirements
Architectuur (redundant) Faalkans PFD/PFH/SIL niveau Prooftest interval
27 april 2010 Workshop PL en SIL
Page 58
Functionele ontleding Stap 6
Energy flow
1e Conceptontwerp blokkeerscherm Systeem
SW1
LS1
Subsystemen
MC1
INGANG
SW2
LOGIC SOLVING
UITGANG
inside cabinet
outside cabinet
Subsysteemelementen
“Target-SIL” = 2
27 april 2010 Workshop PL en SIL
Page 59
27 april 2010 Workshop PL en SIL
Page 60
10
25-4-2010
Bepaling SIL claim limit
Functionele ontleding Betrouwbaarheidsblokschema (RBD) blokkeerscherm
• Stap 6
Subsysteem 1
Subsysteem 2
SW 1
LS ch1
SW 2
LS ch2
Subsysteem 3
Stap 7
De hoogste Safety Integrity Level (SILclaim limit) waaraan een veiligheidsfunctie kan voldoen, is beperkt door de hardware-fouttolerantie en de safe failure fraction van de componenten uit het subsysteem
SFF
MC1
HWFT
Het systeem faalt als de combinatie van
SIL claim limit
“SW1 & SW2” of “LSch1 & LCch2” of “MC1” falen
27 april 2010 Workshop PL en SIL
Page 61
Voorbeeld: Bepaling SIL claim limit
Tabel 5, Hfdst. 6
27 april 2010 Workshop PL en SIL
Page 62
SIL claim limit totale SRCF
Stap 7
Stap 7
Betrouwbaarheidsblokschema blokkeerscherm
Tabel 5 IEC 62061 SFF
Subsysteem 1
Subsysteem 2
Subsysteem 3
Hardware fouttolerantie 0
1
2
Geen (SFF< 60 %)
-
SIL 1
SIL 2
Laag (60% - <90%)
SIL 1
SIL 2
SIL 3
Medium (90% <99%)
SIL 2
SIL 3
SIL 4
Hoog (> 99%)
SIL 3
SIL 4
SIL 4
SW 1
LS ch1
SW 2
LS ch2
Subsysteem 1
Subsysteem 2
Subsysteem 3
SILcl totaal
HWFT=1
HWFT=1
HWFT=0
is gelijk aan
SFF = 70%
SFF = 99,7%
SFF = 65%
laagste
SILcl = SIL 2
SILcl = SIL4
SILcl = SIL 1
SILclaim
MC1
Type B component/systeem SIL claim limit: SIL 2
Dus: SIL 1
27 april 2010 Workshop PL en SIL
Page 63
Stap 6
Energy flow
Betrouwbaarheidsblokschema blokkeerscherm
1oo2D
SW1
MC1 LS1
SW2
MC2 inside cabinet
outside cabinet
Page 64
Bepaling SIL claim limit totale SRCF
2e Concept-ontwerp VHF 2e Conceptontwerp blokkeerscherm
27 april 2010 Workshop PL en SIL
“Target-SIL” = 2
Stap 7
SW 1
LS ch1
MC1
SW 2
LS ch2
MC2
Subsysteem 1
Subsysteem 2
Subsysteem 3
SILcl totaal
HWFT=1
HWFT=1
HWFT=1
is gelijk aan
SFF = 70%
SFF = 99,7%
SFF = 65%
laagste
SILcl = SIL 2
SILcl = SIL4
SILcl = SIL 2
SILclaim Dus: SIL 2
27 april 2010 Workshop PL en SIL
Page 65
27 april 2010 Workshop PL en SIL
Page 66
11
25-4-2010
Formules PFH berekening
Basic subsystem B: 1oo2 no diagnostics
Stap 8
Enkelvoudig Subsystem A: 1oo1 zonder diagnose Subsystem C: 1oo1D (met diagnose)
Redundant Subsystem B: 1oo2 zonder diagnose Subsystem D optie 1: 1oo2D (met diagnose)
Diversitair Subsystem D optie 2: 1oo2D (met diagnose) 27 april 2010 Workshop PL en SIL
λDssB = (1-β)2 x λDe1 X λDe2 X T + β X (λDe1 + λDe2)/2
Page 67
DssB x
1h
Page 68
PFH berekening voor de SRCF Stap 8
Een “speciale” periodieke functionele test, waarin aangetoond wordt dat de SRECS en zijn subsystemen als nieuw kunnen worden gezien. Deze test moet vooral gevaarlijke en normaal niet te detecteren fouten (DUF) opsporen. (vrij vertaald) Bijvoorbeeld: 1. Meting onderlinge sluiting 2 kanaals systeem; 2. Controle bedrading op sluitingen/beschadigingen 3. Optische controle mechanische sensoren, etc.
Sensing & Input Interface Section
LOGIC SOLVING SECTION
OUTPUT INTERFACE & FINAL ELEMENT SECTION
S
LS
FE
SW 1
LS ch1
MC1
SW 2
LS ch2
MC2
PFH
Page 69
= ΣPFHS + ΣPFHLS + ΣPFHFE
27 april 2010 Workshop PL en SIL
IEC 62061 in tien stappen……..
Page 70
Resumé • • • • •
Machinesector: 2 normen voor SRCF’s SIL-norm whitebox / PL-norm blackbox SISTEMA tool voor PL-norm 10 stappen methodiek voor SIL-bepaling Ontdekken systematische fouten uitermate belangrijk!!
Bedank voor uw aandacht! Heeft u nog vragen?
Target SIL = SIL 2, SILclaim = SIL 2, SILcalculated = SIL 3 OK! 27 april 2010 Workshop PL en SIL
PFHDssB = λ
27 april 2010 Workshop PL en SIL
Definitie proof test (T1)
27 april 2010 Workshop PL en SIL
1
Page 71
27 april 2010 Workshop PL en SIL
Page 72
12