IEC 61508 OLF-070 - Institutt for teknisk kybernetikk

Transcription

2012
1
IEC 61508
OLF-070
Tor Onshus
Teknisk kybernetikk
Norges teknisk naturvitenskaplige universitet, NTNU
tlf: 73594388
fax: 73594399
[email protected]
http://www.itk.ntnu.no/ansatte/Onshus_Tor
Teknisk kybernetikk NTNU
professor Tor Onshus
TTK 4175
2012
Bakgrunn
2
http://www.ptil.no/
• PTIL krever i Styringsforskriften §5 at:
–
–
–
–
barrierens funksjon skal alltid ivaretas
krav til ytelse av barrierene skal gis
det skal være kjent om barrierene er svekket
det skal kompensere for svekkede barrierer
• Alle unntatt innretningsforskriften gjelder
også for gamle installasjoner
TTK 4175
1
2012
3
Teknisk sikkerhet
TTK 4175
2012
4
Sikker tilstand
-Hva er det?
-For hvem?
• Stopp
– Tog
– Prosess
– Maskin
• Fortsett som før
(varsle operatør)
–
–
–
–
Fly
Eksoterm reaktor
Dykkerskip
Bil
• Konstruksjon
– NE/NDE
TTK 4175
2
2012
5
FEILMODI
-hva er effekten av feilen
• Farlig svikt/Feilfunksjon
– Systemet er ikke i stand til å utføre den
operasjonen det får beskjed om
• Trip/Utilsiktet operasjon
– Systemet utfører en operasjon det ikke har fått
beskjed om å utføre
– Mange utilsiktede nedstengninger virker
negativt på sikkerheten
TTK 4175
2012
6
Feilmodi i IEC 61508
Dangerous
Undetected
Self-Test
Fail-Safe design
Safe
Undetected
Dangerous
Detected
Operating
Philosophy
Safe
Detected
Self-Test
&
Operating Philosophy
TTK 4175
3
2012
7
Detektert?
• Tidsnok til å hindre at ulykken skjer
– tilbakemelding på aksjon hjelper ikke
• Noen må få vite om feilen og gjøre noe
– YA 710, Alarmhåndtering
• Detekteres av systemet/komponenten selv uten
at den blir aktivert
TTK 4175
2012
8
Optimalisering
SIL
Løsning B
Løsning A
Minimum
LCC
TTK 4175
4
2012
9
HVA ER ÅRSAKEN TIL FEIL
FEIL
50%
50%
Fysiske
Naturlig
Elding
Systematiske
Ytre
Påkjenning
Design
Menneskelig
Aktivitet
TTK 4175
2012
10
Systematiske feil
• Feil plassering av BG detektorer
• Ufullstendige test prosedyrer
• Menneskelige feil under testing
– forlatt utkoblet
– feil kalibrering
• Feil i programvare (som ikke finnes ved testing)
TTK 4175
5
2012
11
Tiltak mot Feil
• Naturlig Elding
– Bedre utstyr og Redundans
• Ytre påkjenning og Menneskelig Aktivitet
– “Isolere” systemet
– Vedlikehold & Opplæring
• Funksjonelle feil
– Bedre design, organisasjon, ledelse,
kvalitetssikring
TTK 4175
2012
12
Risikoanalyse
• Trenger for beregning
• Konsekvens av farlig hendelse
• Sannsynlighet for farlig hendelse
– Frekvens
– Eksponeringstid
– Mulighet for å unngå
• “Summere” over hele anlegget
• Optimalisere løsning
• “Bevise” at det er godt nok
TTK 4175
6
2012
13
Risiko med sikkerhetsfunksjon
• Risiko = Konsekvens x Frekvens
• Frekvens = Behovsrate x Sannsynlighet for
svikt i sikkerhetsfunksjon
EKSEMPEL
•Gasslekasje pga. overtrykk
•Overtrykk en gang pr. år
•SIS svikt hver 10. gang
RESULTAT
Gasslekkasje pga.
overtrykk en
gang hvert 10. år
TTK 4175
2012
14
Risikoreduksjon
TTK 4175
7
2012
15
SIKKERHETSSYSTEM
WD
A/D
D/A
D/A
CPU
• Kjent verdi på inngang
• Kontinuerlig CPU test
• Egen Watchdog
A/D
• Pulstest av utgang
• Test av feltkabling
• Selvtestende feltutstyr
TTK 4175
2012
16
Konstruksjonsregler
• Sikkerhetssystemer
– uavhengig og i tillegg til andre systemer
• PTIL, API, IEC 61508 del 1 (kap 7.5.2.6 b)
– ikke bli negativt påvirket av feil i andre
systemer
• Prosessikring i to uavhengige funksjoner
(PTIL/API RP 14C = ISO 10418)
– Primær sikring (instrumentering)
– Sekundær sikring (mekanisk)
TTK 4175
8
2012
17
Når har vi uavhengighet
• Sikkerhet
– Når feil i en enhet ikke gjør at den andre svikter
til en farlig feil
• kan gi nedstengning
• Regularitet
– Når feil i en enhet ikke gjør at den andre svikter
til trip
• gir ikke utilsiktet nedstengning
TTK 4175
2012
18
Instrumentell Sikring
• Bruke instrumenter og logikk for å erstatte
direktevirkende beskyttelse
– HIPPS - High Integrity Pressure Protection
System
• KRAV
– Minst like bra som den konvensjonelle design
det erstatter
TTK 4175
9
2012
19
IEC 61508 & 61511
TTK 4175
2012
20
IEC 61508
-konsekvenser av SIL
• Arbeidsmetodikk
– kvalitetssikring
• Sviktsannsynlighet (PFD)
– Testing i drift
• Krav til systemstruktur
– Andel sikre feil (SFF)
– Antall redundante enheter (HFT)
TTK 4175
10
2012
21
Sektor spesifikke standarder
TTK 4175
2012
22
Sikkerhetsfunksjon inkluderer
• Instrumentert
– Instrument/detektor
– Elektronisk/programerbart system med
Operatørgrensesnitt
– Aktuatorer (ventiler/elektriske brytere)
• Andre teknologier er typisk PSV'er
• Ekstern risikoreduksjon er manuell utløsing
av ESD systemet eller planlagt vedlikehold
av systemet.
TTK 4175
11
2012
23
Livsløp
2010
Overall Planning
6
Overall
Operation &
Maintenance
Planning
7
Overall
Validation
Planning
8
Overall
Installation &
Commissioning
1
Concept
2
Overall Scope
Definition
3
Hazard & Risk
Analysis
4
Overall Safety
Requirements
5
Safety Requirements
Allocation
9
System Safety
Requirements Specification
10
Planning
Other Risk
Reduction Measures
Specification and
Realization
Safety-related Systems
Realization
12
11
Overall Installation &
Commissioning
13
Overall Safety
Validation
14
Overall Operation
& Maintenance
16
Decommissioning
Back to appropriate
Overall Safety Lifecycle phase
15
Overall Modification
& Retrofit
TTK 4175
2012
24
Nødvendig risikoreduksjon
TTK 4175
12
2012
25
SIL-Safety Integrity Level
SAFETY
INTEGRITY
LEVEL
DEMAND MODE OF
OPERATION
(Probability of Failure
to perform its design
function on Demand)
CONTINUOUS/HIGH
DEMAND MODE OF
OPERATION
(Probability of a dangerous
Failure per Hour)
4
> = 10-5
to < 10-4
> = 10-9
to < 10-8
3
> = 10-4
to < 10-3
> = 10-8
to < 10-7
2
> = 10-3
to < 10-2
> = 10-7
to < 10-6
1
> = 10-2
to < 10-1
> = 10-6
to < 10-5
•Når kontinuerlig/ofte behov?
•behov oftere enn en gang pr. år eller
•behov oftere enn to ganger pr. testintervall
TTK 4175
2012
26
PFD-Probability of Failure on Demand
PFD  DU 

2
• τ - tid mellom funksjonsprøving [timer]
– 1 år = 8760 timer
• λDU -farlig udetekterte feil [feil/time]
TTK 4175
13
2012
27
Summering av PFD?
• To komponenter med PFD1 og PFD2
• PFD = PFD1+PFD2??
Fullstendig beregning (suksess):
• 1-PFD=(1-PFD1)(1-PFD2)=
1-PFD2-PFD1+PFD1*PFD2 ≈ 1-PFD1-PFD2
Dvs:
• PFD ≈ PFD1 + PFD2
TTK 4175
2012
28
Antall
svikt
Badekarskurven
Konstant
feilintensitet
Tid
TTK 4175
14
2012
29
Datakilder?
•
•
•
•
•
•
OLF 070
PDS Datahåndbok, SINTEF 2010
Excida Datahåndbøker
Risikonivået på Norsk sokkel, RNNP
Bedriftsinterne data
Offshore Reliability Data, OREDA®
TTK 4175
2012
30
β-modellen
Må anta avhengighet (β ≈ 0.01-0.1)
PFD    DU 

2
   PFDkomponent
Bare ved uavhengighet (PFD ≈
10-3)
PFD  PFD 2
TTK 4175
15
2012
31
Når gjør vi hva?
• Multiplisere PFD
– Når to funksjoner er helt uavhengige av
hverandre
• Summere PFD
– For å få med alt som må virke for å utføre
funksjonen
TTK 4175
2012
32
Systematiske feil
• Ikke kvantifisert i IEC
– tiltak mot systematiske feil
• PSF/TIF i PDS modellen (Pålitelighet av
Datamaskinbaserte Sikkerhetssystemer)

CSU    DU   TIF
2
TTK 4175
16
2012
33
Periodisk fuksjonstesting
• Så god som ny
etter testing
• Eksponensial
fordeling
• Rekkeutvikling
• TIF-Test
Independent
Failures
CSU

TIF
0
t
TTK 4175
2012
34
PFD og CSU
Safety unavailability concepts
PFD-Probability og
Failure on Demand
NCU2
NCU1
CSU1
CSU
(used in
PDS)
TIF
PFD
(used in
IEC)
CSU-Critical Safety
Unavailability
NC = Non Critical
Systemet eller operatør
vet om feilen
1-reparasjon
2-testing
TTK 4175
17
2012
35
Forenklinger (1oo2 votering)
PFD  1 e D tCE  D tCE
tCE 
tGE 
( D tCE ) 2  D tCE
DU  T1
 
 MTTR   DD MTTR
D  2
 D
DU
D
 T1
 DD
 3  MTTR    MTTR


D
T

2
PFD  2(1  D ) DD  (1  )DU  tCE tGE   D DD MTTR  DU  1  MTTR
2

TTK 4175
2012
36
1oo2 Votering
+
+
A
+
A
B
Pådragsorgan
B
Sikker tilstand er
av
Sikker tilstand er
på
-
•God sikkerhet
HFT = 1
•Dårlig regularitet
TTK 4175
18
2012
37
2oo2 Votering
+
+
+
A
B
A
Pådragsorgan
Pådragsorgan
B
Sikker tilstand er av
-
Sikker tilstand er
på
-
•God regularitet
HFT = 0
•Dårlig sikkerhet
TTK 4175
2012
38
Krav til systemstruktur(A type)
Safe failure
fraction
< 60 %
60 % - 90 %
90 % - 99 %
> 99 %
Hardware fault tolerance
0
SIL1
SIL2
SIL3
SIL3
1
SIL2
SIL3
SIL4
SIL4
2
SIL3
SIL4
SIL4
SIL4
•A type - Mekaniske komponenter
•B type - Med programvare
TTK 4175
19
2012
39
Krav til systemstruktur (B type)
Safe failure
fraction
< 60 %
60 % - 90 %
90 % - 99 %
> 99 %
Hardware fault tolerance
0
not allowed
SIL1
SIL2
SIL3
•SFF = Andel sikre feil
1
SIL1
SIL2
SIL3
SIL4
SFF 
(DD  SU  SD ) 100

DU  DD  SU  SD
(TOT  DU ) 100
•HFT = Antall redundante enheter
(1oo2=2oo3=1, 1oo3=2)
2
SIL2
SIL3
SIL4
SIL4
TOT
TTK 4175
2012
40
Dokumentasjon
SRS
Sikkerhetsmanual
SAR
TTK 4175
20
2012
41
Hva er SRS?
• Spesifikasjon som inneholder alle krav til
funksjonen som skal utføres av det
sikkerhetsrelaterte systemet.
– funksjonskrav
– ytelseskrav
• OLF 070 Appendiks E
TTK 4175
2012
42
SRS (forts)
• beskrivelse av alle sikkerhetsfunksjonene
(sløyfene) i SIS for å oppnå riktig
sikkerhetsnivå (SIL)
• definisjon av sikker prosesstilstand for hver
sløyfe
• krav til testintervall
• krav til nedstengningstid for prosessen
TTK 4175
21
2012
43
Sikkerhetsmanual
(61508-3, App D)
-All nødvendig sikkerhetsinformasjon for enhetene
•
•
•
•
•
•
Funksjonsspesifikasjon
Antagelser og begrensninger
Feilrater for alle feilmodi
HFT
A/B type
Test intervall
– For intern selvtest
– Nødvendig test og vedlikehold
TTK 4175
2012
44
SAR – Safety Analysis Report
• Vise at kravene for funksjonen er oppfylt
– Arbeidsmetodikk
– Sviktsannsynlighet
– Krav til systemstruktur
• OLF 070, Appediks E
• For leverandør/deler av funksjonene
TTK 4175
22
2012
45
SIL Compliance
• Vise at alle kravene til funksjonene er oppfyllt
– Arbeidsmetodikk
– Struktur
– Sannsynlighet for svikt
• For prosjektet/installasjonen
TTK 4175
2012
46
Arbeidsmetodikk
TTK 4175
23
2012
47
Verifikasjon & Validering
• Verifikasjon (Getting the system right)
– Oppfyller løsningen kravene?
– Sjekke leveranse mot spesifikasjon
• Validering (Getting the right system)
– Passer løsningen til oppgaven?
– Sjekke løsning mot behov og myndighetskrav
TTK 4175
2012
48
Functional Safety Assessment(FSA)
-3.parts verifikasjon
• Uavhengig gjennomgang
– verifikasjon og
– validering
• Vurdering skal resultere i
– akseptert
– akseptert med kommentarer
– uakseptabelt
TTK 4175
24
2012
49
Sikkerhetsledelse
•
•
•
•
•
Klart personlig ansvar
Tiltak for å oppnå nødvendig sikkerhet
Sørge for nødvendig kompetanse
Kvalitetssikring
Programvarekvalitet
TTK 4175
2012
50
Testing & drift
-for å opprettholde SIL
• Teste funksjonen med gitt frekvens
– også redundante enheter
– Omfang og kvalitet som antatt i beregninger
• Følge opp hendelser
– behov for funksjonen
– svikt av funksjon eller deler av funksjon
• Kontroll med utkoblinger
TTK 4175
25
2012
51
Funksjonstesting
TTK 4175
2012
52
Erfaringsdata
• Beregne feilrater

PFD 
N
2 M

 DU 
N
Operasjonstid
DU
DD
SU
SD
• N = Antall ganger komponenten ikke virket
– funnet ved funksjonstest
– funnet ved aktivering av sikkerhetsfunksjon
• M = Total antall operasjoner av
komponenten (test + aktivering)
TTK 4175
26
2012
53
Hvorfor OLF-070?
TTK 4175
2012
54
Hvordan måle ytelse av SIS?
• IEC 61508 internasjonalt akseptert
–
–
–
–
Konstruksjon
Spesifikasjon
Kontrakt
Ytelses standard
• PTIL anbefaler bruk av IEC 61508
– Ytelses krav med minimum SIL
TTK 4175
27
2012
55
Erfaring ved bruk av IEC 61508
• Vanskelig i utviklingsprosjekter
– Svært mye arbeide
– Varierende SIL for samme funksjon og risiko
• Metode (risiko graph/matrise, PFD verdier)
• Personer/organisasjoner/erfaring
• Bevarer ikke gode løsninger
– Hvordan identifiserer vi nødvendige
funksjoner?
TTK 4175
2012
56
Begrensninger i SIL metoder
• Kommer fram til forskjellig SIL for samme
funksjon
• Vi mangler
– risiko uten sikkerhetsfunksjon
– behovsrate for sikkerhetsfunksjon
– akseptkriterier
• Metodene egner seg ikke for ESD/BG
– Behov på grunn av mange initierende hendelser
– C&E, vil komme utenfor SIL skalaen
TTK 4175
28
2012
57
OLF 070
• Ikke risikobasert (pr. installasjon)
• To kategorier
– Lokale funksjoner (PSD)
– Globale funksjoner (ESD og BG)
• Minimum SIL for utvalgte funksjoner
– Sikre minimum sikkerhetsnivå
– Standardisering i industrien
– Unngå stor tidsforbruk for å finne SIL
TTK 4175
2012
58
Lokale sikkerhetsfunksjoner
• EUC typisk en trykktank
• Funksjonen definert i ISO 10418
• Vanligvis realisert som
– PSD som primær barriere
– Mekanisk enhet som sekundær barriere
TTK 4175
29
2012
59
Globale sikkerhetsfunksjoner
• EUC typisk et område
• Systemer og Funksjonen gitt av Ptil
• Suksesskriteriet er viktig
– Gassdeteksjon
• Når det er gass i området
• Når detektoren er eksponert for gass
– Isolering og trykkavlasting
• Den totale funksjonen
• For en enkelt ventil (basisfunksjon)
• QRA må summer opp basisfunksjoner
TTK 4175
2012
60
For Globale funksjoner
• Telle opp over plattformen i QRA
• Eksempel
– Antall brønner/stigerør
– Antall ventiler som må stenge for å isolere et
område
– Plassering og antall for brann&gassdettektorer og
deluge
– Trykkavlasting
TTK 4175
30
2012
61
SIL krav basert på
• Gode løsninger uttrykt i SIL/PFD
– Er like på nesten alle installasjoner
• Hva er nødvendig?
– SIL 1: Kan svikte hver 10. gang
• Tilgjengelig pålitelighetsdata
• Hva er mulig med dagens teknologi?
TTK 4175
2012
62
Oljeselskap-Leverandør
• Hvem gjør hva og hvem tar ansvaret
– Oljeselskapet har ansvaret
• Dimensjonering av totalsløyfen
– hvem setter kravene til deler av funksjonen
% PFD
Sensor
10
System
20
Pådrag
70
NB!
Dette er bare et
eksempel og
ikke et krav
TTK 4175
31
2012
63
Hva feiler ? (antall feil)
Felt
70
System
60
Annet
50
40
% 30
20
10
0
Sikkerhet
Trip
TTK 4175
2012
64
Balansert system
• Sensor feil
– En spesiell risiko er ikke dekket
• System feil
– Alle funksjoner er utkoblet
• Kritikalitet
• Bidrag til total sikkerhet/Risikoreduksjon
TTK 4175
32
2012
65
Programvare
Applikasjonsprogramvare
TTK 4175
2012
66
Programvarekrav
• Programvarefeil = systematiske feil
• Standarden har krav om metoder for å
minske antall systematiske feil
• Planlegging!!!!
TTK 4175
33
2012
Strukturert utvikling og testing
67
TTK 4175
2012
Sjekklister
68
TTK 4175
34
2012
69
Programvare i IEC61511
• Følgende utviklet etter IEC61508
– Maskinvare
– Operativsystem og basisprogramvare
– Funksjonsblokker
• Applikasjonen kan da utvikles etter 61511
– Kapittel 12
TTK 4175
2012
70
Programvare – SRS = SwRS
 Input til SwRS skal være:
• krav til funksjonen
• krav til arkitekturen
• krav til kompetanse
TTK 4175
35
2012
71
SwRS
 Resultatet skal omtale:
–
–
–
–
–
funksjonene realisert av applikasjonen
kapasitet og tidsrespons
utstyr og HMI
alle relevante operasjonsmodus
monitorering-funksjonalitet og respons på
detekterte feil
– beskrivelse av funksjonestest-funksjonalitet
TTK 4175
2012
72
Oppsummering
TTK 4175
Erik Korssjøen
Kongsberg Simrad
36
2012
73
KRAV
• PTIL krever i Styringsforskriften §5
–
–
–
–
barrierens funksjon skal alltid ivaretas
krav til ytelse av barrierene skal gis
skal være kjent om barrierene er svekket
skal kompensere for svekkede barrierer
• Det er bare innretningsforskriften som ikke
gjelder for gamle installasjoner
TTK 4175
2012 2008
NFA
74
IEC 61508
-konsekvenser av SIL
• Arbeidsmetodikk
– kvalitetssikring
• Sviktsannsynlighet (PFD)
– Testing i drift
• Krav til systemstruktur
– Andel sikre feil (SFF)
– Antall redundante enheter (HFT)
SIL-GL
TTK 4175
kurs I
37

IEC 61508 OLF-070 - Institutt for teknisk kybernetikk

Transcription

Similar documents

Løsningsforslag - Institutt for teknisk kybernetikk

6.trinn 2015-2016

Breivik_Kybernetikk_251115

Datablad - J.D. Sveise Service

Årsmelding SIL 2014

Profibus Marin Armoured LSZH SHF2

Canbus Marin - NEK Kabel AS

Gode råd og nyttige verktøy for å trygge barnas

LanMarin Cat7 S/STP Flexible UV-resistant, low

solcelle moduler

Franke kjøkkenhetter og ventilatorer Trivselpå