introductie in de sil classificatie - profibus – profinetmaak een plan van aanpak. 2. ......

www.pepperl-fuchs.com

Walter Stoops

Application Consultant

Introductie in de SIL classificatie


Agenda

- Wat betekenen al die termen?

- Wat is SIL classificatie?

- Wat zijn de belangrijkste standaarden?

- Hoe bepaalt u wat aanvaardbare

risico’s zijn?

- SIL en

EX?

W.Stoops 23 mei 2014 2 Walter Stoops 17/01/2014

www.pepperl-fuchs.com 3

Proces besturing

Walter Stoops 17/01/2014

IEC 61511 Part 1


Tolerabel risico - ALARP

1. Definitie

Elk risico moet teruggebracht worden voor zover dat redelijkerwijs praktisch uitvoerbaar is of tot een

niveau welk is As Low As Reasonable Practible

2. Algemeen geaccepteerde waarden:

upper limit 1 x 10-4 deaths per year

lower limit 1 x 10-6 deaths per year

IEC/EN 61508 Part 5

2010 Annex C

Intolerable region

Broadly acceptable region

Negligible risk

Risk cannot be justified except in extraordinary circumstances

Tolerable only if further risk reduction is impracticable or if its cost is grossly disproportionate to the improvement gained

As the risk is reduced, the less, proportionately, it is necessary to spend to reduce it further to satisfy ALARP. The concept of diminishing proportion is shown by the triangle.

It is necessary to maintain assurance that risk remains at this level

The ALARP or tolerability region

(Risk is undertaken only if a benefit is desired)

(No need for detailed working to demonstrate ALARP)

4 Walter Stoops 17/01/2014


Tolerabel risico - ALARP

Table C.1 — Risk classification of accidents

Frequency Consequence

Catastrophic Critical Marginal Negligible

Frequent I I I II

Probable I I II III

Occasional I II III III

Remote II III III IV

Improbable III III IV IV

Incredible IV IV IV IV

NOTE 1 The actual population with risk classes I, II, III and IV will be sector dependent and will also depend upon what the actual frequencies are for frequent; probable etc. Therefore, this table should be seen as an example of how such a table could be populated, rather than as a specification for future use. NOTE 2 Determination of the safety integrity level from the frequencies in this table is outlined in annex C.

IEC/EN 61508 Part 5 2010 Annex C



Terminologie



Wat is SIL?

SIL

Safety Integrity Level (volgens NEN/IEC/EN 61508) is een beschrijving van de integriteit van een veiligheidsgerelateerde functie. (Webster's) Integriteit: 1. An unreduced or unbroken completeness or totality. Een onverminderde of ongebroken volledigheid of een totaliteit.

Electrical Engineering typical:

2. The continued function of an integrated circuit in the intended manner. Het blijven werken van een geïntegreerde schakeling op de voorbestemde manier.



Wat is SIS/SIF?

Een SIS (Safety Instrumented System) bestaat uit een of meer Safety

Instrumented Functions (SIF), elk met een eigen SIL classe.

W.Stoops 23 mei 2014

EXIDA

Opmerking:

Verschillende

ingangen kunnen

gekoppeld zijn

aan meer dan een

uitgang.



Functionele veiligheid


Hoe bereiken wij functionele veiligheid?

Scope van IEC 61508

Management en technische maatregelen zijn

noodzakelijk om een gegeven niveau van veiligheid te

behalen. Deze veiligheid wordt uitgedrukt als Safety

Integrity Level (SIL) ………

Management moet voorzien SOP’s, onderhoudschema´s,

training, uitrusting personeel en geschikte instrumentatie (zoals

sensors, logic solvers en actuators).

Dit heeft betrekking op slechts een klein deel

van de instrumentatie!



Aanpak



IEC/EN 61508


IEC/EN 61508

IEC/EN 62061

Machinebuilding

EN 954-1 Reference to IEC/EN 61508, resp.

IEC/EN 62061

IEC/EN 62304

Medical Devices

IEC/EN 61511

Processtechnolgy

User‘s directive

IEC/EN 61513

Nuclear technology

Nederland:

BRZO - Besluit Risico´s Zware Ongevallen

1999 genoemd naar SEVESO II na

Italiaans incident te Seveso, 1976

BEVI - Besluit Externe veiligheid 2004

België

Welzijnswetgeving, 4 aug 1996

Kon. Besluit 27 mrt 1998

Samenwerkingsverband 9 dec 1996

genaamd SEVESO II

Is een Nederlandse norm: NEN/IEC/EN 61508 Part 2 gepubliceerd 01-05-2000

Part 7 gepubliceerd 13-07-2000

ISA 84.01 American standard on Functional

Safety Instrumented Systems for

Process Industry



Aanpak

1. Maak een plan van aanpak.

2. Beschouw het proces

3. Beschouw de installatie

4. Beschouw het personeel

5. Leg het geheel vast in een document

6. Risico Analyse



Risico analyse

IEC/EN 61508 Part 5

IEC 61511-3 Annex D

Never occured

Already occured

Starting point

for risk reduction

estimation

a

b

1

1

2

2

23

3

34

4

C = Consequence risk parameter

F = Frequency and exposure time risk parameter

P = Possibility of failing to avoid hazard risk parameter

W = Probability of the unwanted occurrence

a

a

1

--- ---

---

--- = No safety requirements

a = No special safety requirements

b = A single E/E/PES is not sufficient

1, 2, 3, 4 = Safety integrity level

W W W123

C

C

C

C

F

F

P

P

P

A

B

D

C

A

B

F

F

P

P

P

A

B A

B

A

B

B

A

A

F

F P

PA

B

B

X

X6

X5

X4

X3

X2

1

Generalized arrangement

(in practical implementations

the arrangement is specific to

the applications to be covered

by the risk graph)



Veronderstellingen

1. Faalkans is constant, slijtage van mechanismen niet inclusief 2. Verbreiding van fouten is niet relevant 3. Foutgedrag alle componenten is bekend 4. Reparatietijd na een veilig falen is 8 uur (MTTR) 5. Gemiddelde temperatuur over een langere termijn is 40°C 6. Stress niveaus zijn gemiddelde voor een industriële omgeving 7. Alle modules werking in “low demand of operation” Berekeningen worden gemaakt in jaren i.p.v. uren, voor “high demand operation”



Voorbeeld


Event < 0,01/yr



Fault Tree Analysis - FTA


Event < 0,01/yr



Performance evaluatie


SlS = 5,7E-05

SlD = 1,4E-04

Component Fault Consequence Dangerous failure

Safe failure

Failure rate

Fluid No fluid No brake action

yes 1 in 5 year: 1/5x8760

= 2,3E - 05

Fluid altered No or bad

brake action


= 2,3E - 05

Seals Worn Fluid leak yes 1 in 2 yea r: 1/2x8760

= 5,7E - 05 Piping Break on

demand No brake action

yes 1 in 10 year: 1/10x8760

= 1,1E - 05

Pads Asymmetrical action

Brake away yes 1 in 5 year: 1/5x8760

= 2,3E - 05

Pads Worn No or bad brake action


= 5,7E - 05

Totaal

5,7E-05

Totaal

1,4E-04




Architectuur

Safe Failure Fraction SFF

Fracties van fouten die het veligheidssysteem niet in en gevaarlijke situatie brengen

Hardware fault tolerance HFT

Het vermogen van een instrument c.q. module om de vereiste functionaliteit te behouden ook al zijn er

fouten


SFF= SlS / (SlS + SlD).

SFF= 5,7E-05 / (5,7E-05 + 2,3E-05 + 2,3E-05 + 1,1E-05 + 2,3E-05)

SFF= 0,42 or 42%

De Hardware Fault Tolerance is 0





Table 2 — Hardware safety integrity:

architectural constraints on type A safety-related subsystems

Safe failure fraction Hardware fault tolerance (see note 2)

0 1 2

< 60 % SIL1 SIL2 SIL3

60 % - < 90 % SIL2 SIL3 SIL4

90 % - < 99 % SIL3 SIL4 SIL4

> 99 % SIL3 SIL4 SIL4 NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. NOTE 3 See annex C for details of how to calculate safe failure fraction.

Het remsysteem komt overeen met de vereisten van

SIL 1

RESEARCH REPORT 029: „Proposal for requirements for low complexity safety related systems- HSE published in 2002“




Faalkans

Failure rate l

Faalkans van een kanaal in een subsysteem

Faalkans van instrument PFD

Gemiddelde Probability of Failure on Demand van en veiligheidsfunctie of subsysteem



Probability of Failure on Demand

PFDavg = lDT/2 (als lD << 1)

T : interval tussen tests

Voor een test interval van 10 jaar geldt:

PFD = 1,4E-04 x 10 /2 = 7E-04

PFDavg = 7E-04

Failure rate

λd = 1,4E-04




Het remsystem voldoet aan PFD vereisten voor SIL 3


Table 2 — Safety integrity levels: target failure measures for a safety function, allocated to an E/E/PE safety - related system operating

in low demand mode of

operation

Safety integrity level

Low demand mode of operation (Average probability of failure to perform its design

function on demand)

4 10 - 5 to < 10

- 4

3 10 - 4 to < 10

- 3

2 10 - 3 to < 10

- 2

1 10 - 2 to < 10

- 1

NOTE See notes 3 to 9 below for details on interpreting this table.




Assesments



1oo1 input

STT250 temperature transmitter (Honeywell)

T[proof] 1 year

PFDavg = 1,65E-03

SFF = 93,03 %


Sensor Input module

Sensor subsystem KFD2-STC4-Ex2 smart transmitter isolator (Pepperl + Fuchs)

T[proof] 1year

PFDavg = 1,6E-04

SFF = 90 %

ISSYS PFDPFDPFD

IEC/EN 61508 Part 6

IEC 61511-3 Annex J

Hardware fault tolerance = 0

PFDavg = 1,81E-03



Logic solver HIQuad System (HIMA)

T[proof] 1year PFDavg = 1,2E-05 DC= 99 %


IEC/EN 61508 Part 6

IEC 61511-3 Annex J


1oo1 output

Valve/actuator T[proof] 1year λDU = 3E–06 SFF = 50% PFDavg = 1,31E-02


Actor output module

Output subsystem KFD2-SL-Ex1.17 solenoid driver

T[proof] 1year SFF = 95 % PFDavg = 6,03E-05

ISSYS PFDPFDPFD

Hardware fault tolerance = 0

PFDavg = 1,32E-02


IEC/EN 61508 Part 6

IEC 61511-3 Annex J


Loop assessment 1oo1

Table 2 — Hardware safety integrity:

architectural constraints on type A safety-related subsystems

Safe failure fraction Hardware fault tolerance (see note 2)

0 1 2 < 60 % SIL1 SIL2 SIL3

60 % - < 90 % SIL2 SIL3 SIL4

90 % - < 99 % SIL3 SIL4 SIL4

> 99 % SIL3 SIL4 SIL4

NOTE 1 See 7.4.3.1.1 to 7.4.3.1.4 for details on interpreting this table. NOTE 2 A hardware fault tolerance of N means that N+1 faults could cause a loss of the safety function. NOTE 3 See annex C for details of how to calculate safe failure fraction.


SIL niveau volgt uit:

OUTPUTLSINPUTSYS PFDPFDPFDPFD

PFDsys = 1,81E-03 + 1,2E-05 + 1,32E-02

PFDsys = 1,5E-02

Safety integrity

level

Low demand mode of operation (Average probability of failure to perform its design

function on demand) 4 10 -

5 to < 10 -

4

3 10 - 4 to < 10 -

3

2 10 - 3 to < 10 -

2

1 10 -

2 to < 10 -

1

NOTE See notes 3 to 9 below for details on interpreting this table.

HFT = 0

SIF overall SIL : SIL 1


IEC/EN 61508 Part 6

IEC 61511-3 Annex J


Loop assessment Simplified formulas


2

2

24

23

2

13

1

3

4212

1

2

32

1

3

1

3

311

2

1

2

21

1221

11

TTPFD

TTPFD

TTPFD

TTPFD

TPFDT

PFD

DUDUooDUDUoo

DUDU

ooDUDU

oo

DUooDUoo

llll

ll

ll

ll

VDI/VDE 2180 IEC 61511-3 Annex J


Complex (?)


tT

MTTR MTTRCEDU

D

DD

D

l

l

l

l

1

2

tT

MTTR MTTRGEDU

D

DD

D

l

l

l

l

1

3

PFD t t MTTRT

MTTRG D DD DU CE GE D DD DU

2 1 1

2

2 1 l l l l

Example from IEC 61508 part 6:



Conclusie


Transmitter : SIL 1

Isolator : SIL 2

Logic solver : SIL 4

Isolator : SIL 2

Klep : SIL 1



Conclusie


Een SIF heeft zijn eigen SIL classificatie, dus een SIS kan meerder dan een SIL levels in een systeem hebben.



Thank you very much for your

attention

introductie in de sil classificatie - profibus – profinetmaak een plan van aanpak. 2. ......

Documents