Introductie in de SIL classificatie

Walter Stoops Application Consultant

Introductie in de SIL classificatie

www.pepperl-fuchs.com

Agenda - Wat betekenen al die termen?

- Wat is SIL classificatie? - Wat zijn de belangrijkste standaarden? - Hoe bepaalt u wat aanvaardbare risico’s zijn? - SIL en EX? W.Stoops Walter Stoops

23 mei 2014 17/01/2014


2

IEC 61511 Part 1

Proces besturing

Walter Stoops

17/01/2014


3

IEC/EN 61508 Part 5 2010 Annex C

Tolerabel risico - ALARP 1. Definitie 

Elk risico moet teruggebracht worden voor zover dat redelijkerwijs praktisch uitvoerbaar is of tot een niveau welk is

As Low As Reasonable Practible

2. Algemeen geaccepteerde waarden: 

upper limit 1 x 10-4 deaths per year



lower limit 1 x 10-6 deaths per year Risk cannot be justified except in extraordinary circumstances

Intolerable region Tolerable only if further risk reduction is impracticable or if its cost is grossly disproportionate to the improvement gained

The ALARP or tolerability region (Risk is undertaken only if a benefit is desired)

Broadly acceptable region (No need for detailed working to demonstrate ALARP)

Walter Stoops

17/01/2014

As the risk is reduced, the less, proportionately, it is necessary to spend to reduce it further to satisfy ALARP. The concept of diminishing proportion is shown by the triangle.

Negligible risk

It is necessary to maintain assurance that risk remains at this level


4

IEC/EN 61508 Part 5 2010 Annex C

Tolerabel risico - ALARP Table C.1 — Risk classification of accidents Frequency

Consequence Catastrophic Critical Marginal Negligible Frequent I I I II Probable I I II III Occasional I II III III Remote II III III IV Improbable III III IV IV Incredible IV IV IV IV NOTE 1 The actual population with risk classes I, II, III and IV will be sector dependent and will also depend upon what the actual frequencies are for frequent; probable etc. Therefore, this table should be seen as an example of how such a table could be populated, rather than as a specification for future use. NOTE 2 Determination of the safety integrity level from the frequencies in this table is outlined in annex C.

Walter Stoops

17/01/2014


5

Terminologie

Walter Stoops

17/01/2014


6

Wat is SIL? SIL Safety Integrity Level (volgens NEN/IEC/EN 61508) is een beschrijving van de integriteit van een veiligheidsgerelateerde functie.

(Webster's)

Integriteit: 1. An unreduced or unbroken completeness or totality. Een onverminderde of ongebroken volledigheid of een totaliteit.

Electrical Engineering typical:

2. The continued function of an integrated circuit in the intended manner. Het blijven werken van een geïntegreerde schakeling op de voorbestemde manier.

W.Stoops Walter Stoops

23 mei 2014 17/01/2014


7

Wat is SIS/SIF? Een SIS (Safety Instrumented System) bestaat uit een of meer Safety

Instrumented Functions (SIF), elk met een eigen SIL classe.

Opmerking: Verschillende ingangen kunnen gekoppeld zijn aan meer dan een uitgang.

EXIDA


23 mei 2014 17/01/2014


8

Functionele veiligheid Hoe bereiken wij functionele veiligheid? Scope van IEC 61508 Management en technische maatregelen zijn noodzakelijk om een gegeven niveau van veiligheid te behalen. Deze veiligheid wordt uitgedrukt als Safety Integrity Level (SIL) ……… Management moet voorzien SOP’s, onderhoudschema´s, training, uitrusting personeel en geschikte instrumentatie (zoals sensors, logic solvers en actuators).

Dit heeft betrekking op slechts een klein deel van de instrumentatie! W.Stoops Walter Stoops

23 mei 2014 17/01/2014


9

Aanpak


23 mei 2014 17/01/2014


10

IEC/EN 61508 Nederland: BRZO

BEVI

België - Besluit Risico´s Zware Ongevallen 1999 genoemd naar SEVESO II na Italiaans incident te Seveso, 1976

Welzijnswetgeving, 4 aug 1996

Kon. Besluit 27 mrt 1998 Samenwerkingsverband 9 dec 1996

- Besluit Externe veiligheid 2004

genaamd SEVESO II

IEC/EN 61508

Is een Nederlandse norm: NEN/IEC/EN 61508 Part 2 gepubliceerd 01-05-2000 Part 7 gepubliceerd 13-07-2000 IEC/EN 62061 Machinebuilding

IEC/EN 62304 Medical Devices

EN 954-1 Reference to IEC/EN 61508, resp. IEC/EN 62061

IEC/EN 61511 Processtechnolgy User‘s directive

IEC/EN 61513 Nuclear technology

ISA 84.01 American standard on Functional Safety Instrumented Systems for Process Industry


23 mei 2014 17/01/2014


11

Aanpak 1. Maak een plan van aanpak.

2. Beschouw het proces 3. Beschouw de installatie

4. Beschouw het personeel 5. Leg het geheel vast in een document 6. Risico Analyse


23 mei 2014 17/01/2014


12

IEC/EN 61508 Part 5 IEC 61511-3 Annex D

Risico analyse Already occured

X1

CA

X2

Starting point for risk reduction estimation

PA CB

CC

FA

PB

FB

PA

FA FB

Generalized arrangement (in practical implementations the arrangement is specific to the applications to be covered by the risk graph)

CD

FA FB

PB

X3

X4

PA PB

X5

PA PB

Never occured

W3

W2

W1

a

---

---

1

a

---

2

1

a

3

2

1

4

3

2

b

4

3

X6

C = Consequence risk parameter

--- = No safety requirements

F = Frequency and exposure time risk parameter

a

= No special safety requirements

P = Possibility of failing to avoid hazard risk parameter

b

= A single E/E/PES is not sufficient

W = Probability of the unwanted occurrence

1, 2, 3, 4 = Safety integrity level

Walter Stoops

17/01/2014


13

Veronderstellingen 1. 2. 3. 4. 5. 6. 7.

Faalkans is constant, slijtage van mechanismen niet inclusief Verbreiding van fouten is niet relevant Foutgedrag alle componenten is bekend Reparatietijd na een veilig falen is 8 uur (MTTR) Gemiddelde temperatuur over een langere termijn is 40°C Stress niveaus zijn gemiddelde voor een industriële omgeving Alle modules werking in “low demand of operation”

 Berekeningen worden gemaakt in jaren i.p.v. uren, voor “high demand operation”


23 mei 2014 17/01/2014


14

Voorbeeld

Event < 0,01/yr


23 mei 2014 17/01/2014


15

Fault Tree Analysis - FTA

Event < 0,01/yr


23 mei 2014 17/01/2014


20

Performance evaluatie Component Fault

Consequence

Fluid

No brake action No or bad brake action Fluid leak

No fluid Fluid altered

Seals

Worn

Piping

Break on demand Asymmetrical action Worn

Pads Pads

SlS = 5,7E-05 SlD = 1,4E-04 W.Stoops Walter Stoops

23 mei 2014 17/01/2014

Dangerous failure yes

Safe Failure rate failure 1 in 5 year: 1/5x8760

= 2,3E - 05 1 in 5 year: 1/5x8760

yes

= 2,3E - 05 1 in 2 yea r: 1/2x8760

yes

= 5,7E - 05 1 in 10 year: 1/10x8760

No brake action Brake away

yes yes

1 in 5 year: 1/5x8760

No or bad brake action

yes

1 in 2 year: 1/2x8760

= 1,1E - 05 = 2,3E - 05 = 5,7E - 05 Totaal

Totaal

1,4E-04

5,7E-05


23

Performance evaluatie Architectuur 

Safe Failure Fraction

SFF

Fracties van fouten die het veligheidssysteem niet in en gevaarlijke situatie brengen



Hardware fault tolerance

HFT

Het vermogen van een instrument c.q. module om de vereiste functionaliteit te behouden ook al zijn er fouten

SFF= SlS / (SlS + SlD). SFF= 5,7E-05 / (5,7E-05 + 2,3E-05 + 2,3E-05 + 1,1E-05 + 2,3E-05)

SFF= 0,42 or 42% De Hardware Fault Tolerance is 0 W.Stoops Walter Stoops

23 mei 2014 17/01/2014


24

RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“

Performance evaluatie Table 2 — Hardware safety integrity: architectural constraints on type A safety-related subsystems Safe failure fraction < 60 % 60 % - < 90 % 90 % - < 99 % > 99 % NOTE 1

Hardware fault tolerance (see note 2) 0 1 2 SIL1 SIL2 SIL3 SIL2 SIL3 SIL4 SIL3 SIL4 SIL4 SIL3 SIL4 SIL4

See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table.

NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. NOTE 3

See annex C for details of how to calculate safe failure fraction.

Het remsysteem komt overeen met de vereisten van

SIL 1 W.Stoops Walter Stoops

23 mei 2014 17/01/2014


25


Performance evaluatie Faalkans

Failure rate

 Failure rate l

λd = 1,4E-04

 Faalkans van een kanaal in een subsysteem

 Faalkans van instrument PFD  Gemiddelde Probability of Failure on Demand van en veiligheidsfunctie of subsysteem

Probability of Failure on Demand

PFDavg = lDT/2

(als lD << 1) T : interval tussen tests Voor een test interval van 10 jaar geldt: PFD = 1,4E-04 x 10 /2 = 7E-04

PFDavg = 7E-04


23 mei 2014 17/01/2014


26


Performance evaluatie Table 2 — Safety integrity levels: target failure measures for a safety function, allocated to an E/E/PE safety -related system operating in low demand mode of operation Safety integrity level

Low demand mode of operation (Average probability of failure to perform its design function on demand)  10-5 to < 10-4 4  10-4 to < 10-3 3  10-3 to < 10-2 2  10-2 to < 10-1 1 NOTE See notes 3 to9 below for details on interpreting this table.

Het remsystem voldoet aan PFD vereisten voor SIL 3


23 mei 2014 17/01/2014


27

Assesments


23 mei 2014 17/01/2014


32

IEC/EN 61508 Part 6 IEC 61511-3 Annex J

1oo1 input Sensor

STT250

Input module

Sensor subsystem KFD2-STC4-Ex2

temperature transmitter (Honeywell) T[proof] 1 year PFDavg = 1,65E-03 SFF = 93,03 %

PFDSYS  PFDS  PFDI

smart transmitter isolator (Pepperl + Fuchs) T[proof] 1year PFDavg = 1,6E-04 SFF = 90 %

PFDavg = 1,81E-03

Hardware fault tolerance = 0 W.Stoops Walter Stoops

23 mei 2014 17/01/2014


33


Logic solver HIQuad System (HIMA)

T[proof] 1year PFDavg = 1,2E-05 DC= 99 %


23 mei 2014 17/01/2014


34


1oo1 output output module

Actor

Output subsystem KFD2-SL-Ex1.17 Valve/actuator solenoid driver T[proof] 1year SFF = 95 % PFDavg = 6,03E-05

PFDSYS  PFDS  PFDI

T[proof] 1year λDU = 3E–06 SFF = 50% PFDavg = 1,31E-02

PFDavg = 1,32E-02

Hardware fault tolerance = 0 W.Stoops Walter Stoops

23 mei 2014 17/01/2014


35


Loop assessment 1oo1 SIL niveau volgt uit:

PFDSYS  PFDINPUT  PFDLS  PFDOUTPUT PFDsys = 1,81E-03 + 1,2E-05 + 1,32E-02 Safety integrity Low demand mode of operation level (Average probability of failure to perform its design PFDsys = 1,5E-02 function on demand) 4 3 2 1

 10-5 to < 10 -4  10-4 to < 10 -3  10-3 to < 10 -2  10-2 to < 10 -1 See notes 3 to 9 below for details on interpreting this table.

Table 2 — Hardware safety integrity: architectural constraints on type A safety-related subsystems NOTE

HFT = 0 SIF overall SIL : SIL 1

Safe failure fraction < 60 % 60 % - < 90 % 90 % - < 99 % > 99 %

Hardware fault tolerance (see note 2) 0 1 2 SIL1 SIL2 SIL3 SIL3

SIL2 SIL3 SIL4 SIL4

SIL3 SIL4 SIL4 SIL4

NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function.


23 mei 2014 17/01/2014

NOTE 3 See annex C for details of how to calculate safe failure fraction. www.pepperl-fuchs.com

36

IECVDI/VDE 61511-3 Annex 2180 J

Loop assessment Simplified formulas

T1 PFD1oo1  lDU  2 l2DU  T12 T1 PFD1oo2     lDU  3 2 T1 2 2 PFD2oo3  lDU  T1    lDU  2

Walter Stoops

17/01/2014

PFD2oo2  lDU  T1

l3DU  T13 T1 PFD1oo3     lDU  4 2 T1 3 3 PFD2oo4  lDU  T1    lDU  2


37

Complex (?) Example from IEC 61508 part 6:

T  PFDG  2 1   D l DD  1   l DU t CE t GE   D l DD MTTR  l DU  1  MTTR 2 






23 mei 2014 17/01/2014

2

t CE 

l DU  T1  l DD  MTTR MTTR    lD lD  2

t GE 

l DU  T1  l DD  MTTR MTTR    lD lD  3


38

Conclusie Transmitter : SIL 1 Isolator : SIL 2 Logic solver : SIL 4

Isolator : SIL 2 Klep : SIL 1


23 mei 2014 17/01/2014


43

Conclusie

Een SIF heeft zijn eigen SIL classificatie, dus een SIS kan meerder dan een SIL levels in een systeem hebben.


23 mei 2014 17/01/2014


44

Thank you very much for your attention


Introductie in de SIL classificatie

Recommend Documents