Walter Stoops Application Consultant
Introductie in de SIL classificatie
www.pepperl-fuchs.com
Agenda - Wat betekenen al die termen?
- Wat is SIL classificatie? - Wat zijn de belangrijkste standaarden? - Hoe bepaalt u wat aanvaardbare risico’s zijn? - SIL en EX? W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
2
IEC 61511 Part 1
Proces besturing
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
3
IEC/EN 61508 Part 5 2010 Annex C
Tolerabel risico - ALARP 1. Definitie
Elk risico moet teruggebracht worden voor zover dat redelijkerwijs praktisch uitvoerbaar is of tot een niveau welk is
As Low As Reasonable Practible
2. Algemeen geaccepteerde waarden:
upper limit 1 x 10-4 deaths per year
lower limit 1 x 10-6 deaths per year Risk cannot be justified except in extraordinary circumstances
Intolerable region Tolerable only if further risk reduction is impracticable or if its cost is grossly disproportionate to the improvement gained
The ALARP or tolerability region (Risk is undertaken only if a benefit is desired)
Broadly acceptable region (No need for detailed working to demonstrate ALARP)
Walter Stoops
17/01/2014
As the risk is reduced, the less, proportionately, it is necessary to spend to reduce it further to satisfy ALARP. The concept of diminishing proportion is shown by the triangle.
Negligible risk
It is necessary to maintain assurance that risk remains at this level
www.pepperl-fuchs.com
4
IEC/EN 61508 Part 5 2010 Annex C
Tolerabel risico - ALARP Table C.1 — Risk classification of accidents Frequency
Consequence Catastrophic Critical Marginal Negligible Frequent I I I II Probable I I II III Occasional I II III III Remote II III III IV Improbable III III IV IV Incredible IV IV IV IV NOTE 1 The actual population with risk classes I, II, III and IV will be sector dependent and will also depend upon what the actual frequencies are for frequent; probable etc. Therefore, this table should be seen as an example of how such a table could be populated, rather than as a specification for future use. NOTE 2 Determination of the safety integrity level from the frequencies in this table is outlined in annex C.
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
5
Terminologie
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
6
Wat is SIL? SIL Safety Integrity Level (volgens NEN/IEC/EN 61508) is een beschrijving van de integriteit van een veiligheidsgerelateerde functie.
(Webster's)
Integriteit: 1. An unreduced or unbroken completeness or totality. Een onverminderde of ongebroken volledigheid of een totaliteit.
Electrical Engineering typical:
2. The continued function of an integrated circuit in the intended manner. Het blijven werken van een geïntegreerde schakeling op de voorbestemde manier.
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
7
Wat is SIS/SIF? Een SIS (Safety Instrumented System) bestaat uit een of meer Safety
Instrumented Functions (SIF), elk met een eigen SIL classe.
Opmerking: Verschillende ingangen kunnen gekoppeld zijn aan meer dan een uitgang.
EXIDA
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
8
Functionele veiligheid Hoe bereiken wij functionele veiligheid? Scope van IEC 61508 Management en technische maatregelen zijn noodzakelijk om een gegeven niveau van veiligheid te behalen. Deze veiligheid wordt uitgedrukt als Safety Integrity Level (SIL) ……… Management moet voorzien SOP’s, onderhoudschema´s, training, uitrusting personeel en geschikte instrumentatie (zoals sensors, logic solvers en actuators).
Dit heeft betrekking op slechts een klein deel van de instrumentatie! W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
9
Aanpak
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
10
IEC/EN 61508 Nederland: BRZO
BEVI
België - Besluit Risico´s Zware Ongevallen 1999 genoemd naar SEVESO II na Italiaans incident te Seveso, 1976
Welzijnswetgeving, 4 aug 1996
Kon. Besluit 27 mrt 1998 Samenwerkingsverband 9 dec 1996
- Besluit Externe veiligheid 2004
genaamd SEVESO II
IEC/EN 61508
Is een Nederlandse norm: NEN/IEC/EN 61508 Part 2 gepubliceerd 01-05-2000 Part 7 gepubliceerd 13-07-2000 IEC/EN 62061 Machinebuilding
IEC/EN 62304 Medical Devices
EN 954-1 Reference to IEC/EN 61508, resp. IEC/EN 62061
IEC/EN 61511 Processtechnolgy User‘s directive
IEC/EN 61513 Nuclear technology
ISA 84.01 American standard on Functional Safety Instrumented Systems for Process Industry
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
11
Aanpak 1. Maak een plan van aanpak.
2. Beschouw het proces 3. Beschouw de installatie
4. Beschouw het personeel 5. Leg het geheel vast in een document 6. Risico Analyse
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
12
IEC/EN 61508 Part 5 IEC 61511-3 Annex D
Risico analyse Already occured
X1
CA
X2
Starting point for risk reduction estimation
PA CB
CC
FA
PB
FB
PA
FA FB
Generalized arrangement (in practical implementations the arrangement is specific to the applications to be covered by the risk graph)
CD
FA FB
PB
X3
X4
PA PB
X5
PA PB
Never occured
W3
W2
W1
a
---
---
1
a
---
2
1
a
3
2
1
4
3
2
b
4
3
X6
C = Consequence risk parameter
--- = No safety requirements
F = Frequency and exposure time risk parameter
a
= No special safety requirements
P = Possibility of failing to avoid hazard risk parameter
b
= A single E/E/PES is not sufficient
W = Probability of the unwanted occurrence
1, 2, 3, 4 = Safety integrity level
Walter Stoops
17/01/2014
www.pepperl-fuchs.com
13
Veronderstellingen 1. 2. 3. 4. 5. 6. 7.
Faalkans is constant, slijtage van mechanismen niet inclusief Verbreiding van fouten is niet relevant Foutgedrag alle componenten is bekend Reparatietijd na een veilig falen is 8 uur (MTTR) Gemiddelde temperatuur over een langere termijn is 40°C Stress niveaus zijn gemiddelde voor een industriële omgeving Alle modules werking in “low demand of operation”
Berekeningen worden gemaakt in jaren i.p.v. uren, voor “high demand operation”
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
14
Voorbeeld
Event < 0,01/yr
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
15
Fault Tree Analysis - FTA
Event < 0,01/yr
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
20
Performance evaluatie Component Fault
Consequence
Fluid
No brake action No or bad brake action Fluid leak
No fluid Fluid altered
Seals
Worn
Piping
Break on demand Asymmetrical action Worn
Pads Pads
SlS = 5,7E-05 SlD = 1,4E-04 W.Stoops Walter Stoops
23 mei 2014 17/01/2014
Dangerous failure yes
Safe Failure rate failure 1 in 5 year: 1/5x8760
= 2,3E - 05 1 in 5 year: 1/5x8760
yes
= 2,3E - 05 1 in 2 yea r: 1/2x8760
yes
= 5,7E - 05 1 in 10 year: 1/10x8760
No brake action Brake away
yes yes
1 in 5 year: 1/5x8760
No or bad brake action
yes
1 in 2 year: 1/2x8760
= 1,1E - 05 = 2,3E - 05 = 5,7E - 05 Totaal
Totaal
1,4E-04
5,7E-05
www.pepperl-fuchs.com
23
Performance evaluatie Architectuur
Safe Failure Fraction
SFF
Fracties van fouten die het veligheidssysteem niet in en gevaarlijke situatie brengen
Hardware fault tolerance
HFT
Het vermogen van een instrument c.q. module om de vereiste functionaliteit te behouden ook al zijn er fouten
SFF= SlS / (SlS + SlD). SFF= 5,7E-05 / (5,7E-05 + 2,3E-05 + 2,3E-05 + 1,1E-05 + 2,3E-05)
SFF= 0,42 or 42% De Hardware Fault Tolerance is 0 W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
24
RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“
Performance evaluatie Table 2 — Hardware safety integrity: architectural constraints on type A safety-related subsystems Safe failure fraction < 60 % 60 % - < 90 % 90 % - < 99 % > 99 % NOTE 1
Hardware fault tolerance (see note 2) 0 1 2 SIL1 SIL2 SIL3 SIL2 SIL3 SIL4 SIL3 SIL4 SIL4 SIL3 SIL4 SIL4
See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table.
NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. NOTE 3
See annex C for details of how to calculate safe failure fraction.
Het remsysteem komt overeen met de vereisten van
SIL 1 W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
25
RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“
Performance evaluatie Faalkans
Failure rate
Failure rate l
λd = 1,4E-04
Faalkans van een kanaal in een subsysteem
Faalkans van instrument PFD Gemiddelde Probability of Failure on Demand van en veiligheidsfunctie of subsysteem
Probability of Failure on Demand
PFDavg = lDT/2
(als lD << 1) T : interval tussen tests Voor een test interval van 10 jaar geldt: PFD = 1,4E-04 x 10 /2 = 7E-04
PFDavg = 7E-04
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
26
RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“
Performance evaluatie Table 2 — Safety integrity levels: target failure measures for a safety function, allocated to an E/E/PE safety -related system operating in low demand mode of operation Safety integrity level
Low demand mode of operation (Average probability of failure to perform its design function on demand) 10-5 to < 10-4 4 10-4 to < 10-3 3 10-3 to < 10-2 2 10-2 to < 10-1 1 NOTE See notes 3 to9 below for details on interpreting this table.
Het remsystem voldoet aan PFD vereisten voor SIL 3
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
27
Assesments
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
32
IEC/EN 61508 Part 6 IEC 61511-3 Annex J
1oo1 input Sensor
STT250
Input module
Sensor subsystem KFD2-STC4-Ex2
temperature transmitter (Honeywell) T[proof] 1 year PFDavg = 1,65E-03 SFF = 93,03 %
PFDSYS PFDS PFDI
smart transmitter isolator (Pepperl + Fuchs) T[proof] 1year PFDavg = 1,6E-04 SFF = 90 %
PFDavg = 1,81E-03
Hardware fault tolerance = 0 W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
33
IEC/EN 61508 Part 6 IEC 61511-3 Annex J
Logic solver HIQuad System (HIMA)
T[proof] 1year PFDavg = 1,2E-05 DC= 99 %
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
34
IEC/EN 61508 Part 6 IEC 61511-3 Annex J
1oo1 output output module
Actor
Output subsystem KFD2-SL-Ex1.17 Valve/actuator solenoid driver T[proof] 1year SFF = 95 % PFDavg = 6,03E-05
PFDSYS PFDS PFDI
T[proof] 1year λDU = 3E–06 SFF = 50% PFDavg = 1,31E-02
PFDavg = 1,32E-02
Hardware fault tolerance = 0 W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
35
IEC/EN 61508 Part 6 IEC 61511-3 Annex J
Loop assessment 1oo1 SIL niveau volgt uit:
PFDSYS PFDINPUT PFDLS PFDOUTPUT PFDsys = 1,81E-03 + 1,2E-05 + 1,32E-02 Safety integrity Low demand mode of operation level (Average probability of failure to perform its design PFDsys = 1,5E-02 function on demand) 4 3 2 1
10-5 to < 10 -4 10-4 to < 10 -3 10-3 to < 10 -2 10-2 to < 10 -1 See notes 3 to 9 below for details on interpreting this table.
Table 2 — Hardware safety integrity: architectural constraints on type A safety-related subsystems NOTE
HFT = 0 SIF overall SIL : SIL 1
Safe failure fraction < 60 % 60 % - < 90 % 90 % - < 99 % > 99 %
Hardware fault tolerance (see note 2) 0 1 2 SIL1 SIL2 SIL3 SIL3
SIL2 SIL3 SIL4 SIL4
SIL3 SIL4 SIL4 SIL4
NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function.
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
NOTE 3 See annex C for details of how to calculate safe failure fraction. www.pepperl-fuchs.com
36
IECVDI/VDE 61511-3 Annex 2180 J
Loop assessment Simplified formulas
T1 PFD1oo1 lDU 2 l2DU T12 T1 PFD1oo2 lDU 3 2 T1 2 2 PFD2oo3 lDU T1 lDU 2
Walter Stoops
17/01/2014
PFD2oo2 lDU T1
l3DU T13 T1 PFD1oo3 lDU 4 2 T1 3 3 PFD2oo4 lDU T1 lDU 2
www.pepperl-fuchs.com
37
Complex (?) Example from IEC 61508 part 6:
T PFDG 2 1 D l DD 1 l DU t CE t GE D l DD MTTR l DU 1 MTTR 2
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
2
t CE
l DU T1 l DD MTTR MTTR lD lD 2
t GE
l DU T1 l DD MTTR MTTR lD lD 3
www.pepperl-fuchs.com
38
Conclusie Transmitter : SIL 1 Isolator : SIL 2 Logic solver : SIL 4
Isolator : SIL 2 Klep : SIL 1
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
43
Conclusie
Een SIF heeft zijn eigen SIL classificatie, dus een SIS kan meerder dan een SIL levels in een systeem hebben.
W.Stoops Walter Stoops
23 mei 2014 17/01/2014
www.pepperl-fuchs.com
44
Thank you very much for your attention
www.pepperl-fuchs.com