IEC 61508 OLF-070 - Institutt for teknisk kybernetikk
Transcription
IEC 61508 OLF-070 - Institutt for teknisk kybernetikk
2012 1 IEC 61508 OLF-070 Tor Onshus Teknisk kybernetikk Norges teknisk naturvitenskaplige universitet, NTNU tlf: 73594388 fax: 73594399 [email protected] http://www.itk.ntnu.no/ansatte/Onshus_Tor Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 Bakgrunn 2 http://www.ptil.no/ • PTIL krever i Styringsforskriften §5 at: – – – – barrierens funksjon skal alltid ivaretas krav til ytelse av barrierene skal gis det skal være kjent om barrierene er svekket det skal kompensere for svekkede barrierer • Alle unntatt innretningsforskriften gjelder også for gamle installasjoner Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 1 2012 3 Teknisk sikkerhet Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 4 Sikker tilstand -Hva er det? -For hvem? • Stopp – Tog – Prosess – Maskin • Fortsett som før (varsle operatør) – – – – Fly Eksoterm reaktor Dykkerskip Bil • Konstruksjon – NE/NDE Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2 2012 5 FEILMODI -hva er effekten av feilen • Farlig svikt/Feilfunksjon – Systemet er ikke i stand til å utføre den operasjonen det får beskjed om • Trip/Utilsiktet operasjon – Systemet utfører en operasjon det ikke har fått beskjed om å utføre – Mange utilsiktede nedstengninger virker negativt på sikkerheten Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 6 Feilmodi i IEC 61508 Dangerous Undetected Self-Test Fail-Safe design Safe Undetected Teknisk kybernetikk NTNU professor Tor Onshus Dangerous Detected Operating Philosophy Safe Detected Self-Test & Operating Philosophy TTK 4175 3 2012 7 Detektert? • Tidsnok til å hindre at ulykken skjer – tilbakemelding på aksjon hjelper ikke • Noen må få vite om feilen og gjøre noe – YA 710, Alarmhåndtering • Detekteres av systemet/komponenten selv uten at den blir aktivert Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 8 Optimalisering SIL Løsning B Løsning A Minimum LCC Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 4 2012 9 HVA ER ÅRSAKEN TIL FEIL FEIL 50% 50% Fysiske Naturlig Elding Systematiske Ytre Påkjenning Teknisk kybernetikk NTNU professor Tor Onshus Design Menneskelig Aktivitet TTK 4175 2012 10 Systematiske feil • Feil plassering av BG detektorer • Ufullstendige test prosedyrer • Menneskelige feil under testing – forlatt utkoblet – feil kalibrering • Feil i programvare (som ikke finnes ved testing) Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 5 2012 11 Tiltak mot Feil • Naturlig Elding – Bedre utstyr og Redundans • Ytre påkjenning og Menneskelig Aktivitet – “Isolere” systemet – Vedlikehold & Opplæring • Funksjonelle feil – Bedre design, organisasjon, ledelse, kvalitetssikring Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 12 Risikoanalyse • Trenger for beregning • Konsekvens av farlig hendelse • Sannsynlighet for farlig hendelse – Frekvens – Eksponeringstid – Mulighet for å unngå • “Summere” over hele anlegget • Optimalisere løsning • “Bevise” at det er godt nok Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 6 2012 13 Risiko med sikkerhetsfunksjon • Risiko = Konsekvens x Frekvens • Frekvens = Behovsrate x Sannsynlighet for svikt i sikkerhetsfunksjon EKSEMPEL •Gasslekasje pga. overtrykk •Overtrykk en gang pr. år •SIS svikt hver 10. gang Teknisk kybernetikk NTNU professor Tor Onshus RESULTAT Gasslekkasje pga. overtrykk en gang hvert 10. år TTK 4175 2012 14 Risikoreduksjon Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 7 2012 15 SIKKERHETSSYSTEM WD A/D D/A D/A CPU • Kjent verdi på inngang • Kontinuerlig CPU test • Egen Watchdog Teknisk kybernetikk NTNU professor Tor Onshus A/D • Pulstest av utgang • Test av feltkabling • Selvtestende feltutstyr TTK 4175 2012 16 Konstruksjonsregler • Sikkerhetssystemer – uavhengig og i tillegg til andre systemer • PTIL, API, IEC 61508 del 1 (kap 7.5.2.6 b) – ikke bli negativt påvirket av feil i andre systemer • Prosessikring i to uavhengige funksjoner (PTIL/API RP 14C = ISO 10418) – Primær sikring (instrumentering) – Sekundær sikring (mekanisk) Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 8 2012 17 Når har vi uavhengighet • Sikkerhet – Når feil i en enhet ikke gjør at den andre svikter til en farlig feil • kan gi nedstengning • Regularitet – Når feil i en enhet ikke gjør at den andre svikter til trip • gir ikke utilsiktet nedstengning Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 18 Instrumentell Sikring • Bruke instrumenter og logikk for å erstatte direktevirkende beskyttelse – HIPPS - High Integrity Pressure Protection System • KRAV – Minst like bra som den konvensjonelle design det erstatter Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 9 2012 19 IEC 61508 & 61511 Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 20 IEC 61508 -konsekvenser av SIL • Arbeidsmetodikk – kvalitetssikring • Sviktsannsynlighet (PFD) – Testing i drift • Krav til systemstruktur – Andel sikre feil (SFF) – Antall redundante enheter (HFT) Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 10 2012 21 Sektor spesifikke standarder Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 22 Sikkerhetsfunksjon inkluderer • Instrumentert – Instrument/detektor – Elektronisk/programerbart system med Operatørgrensesnitt – Aktuatorer (ventiler/elektriske brytere) • Andre teknologier er typisk PSV'er • Ekstern risikoreduksjon er manuell utløsing av ESD systemet eller planlagt vedlikehold av systemet. Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 11 2012 23 Livsløp 2010 Overall Planning 6 Overall Operation & Maintenance Planning 7 Overall Validation Planning 8 Overall Installation & Commissioning 1 Concept 2 Overall Scope Definition 3 Hazard & Risk Analysis 4 Overall Safety Requirements 5 Safety Requirements Allocation 9 System Safety Requirements Specification 10 Planning Other Risk Reduction Measures Specification and Realization Safety-related Systems Realization 12 Teknisk kybernetikk NTNU professor Tor Onshus 11 Overall Installation & Commissioning 13 Overall Safety Validation 14 Overall Operation & Maintenance 16 Decommissioning Back to appropriate Overall Safety Lifecycle phase 15 Overall Modification & Retrofit TTK 4175 2012 24 Nødvendig risikoreduksjon Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 12 2012 25 SIL-Safety Integrity Level SAFETY INTEGRITY LEVEL DEMAND MODE OF OPERATION (Probability of Failure to perform its design function on Demand) CONTINUOUS/HIGH DEMAND MODE OF OPERATION (Probability of a dangerous Failure per Hour) 4 > = 10-5 to < 10-4 > = 10-9 to < 10-8 3 > = 10-4 to < 10-3 > = 10-8 to < 10-7 2 > = 10-3 to < 10-2 > = 10-7 to < 10-6 1 > = 10-2 to < 10-1 > = 10-6 to < 10-5 •Når kontinuerlig/ofte behov? •behov oftere enn en gang pr. år eller •behov oftere enn to ganger pr. testintervall Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 26 PFD-Probability of Failure on Demand PFD DU 2 • τ - tid mellom funksjonsprøving [timer] – 1 år = 8760 timer • λDU -farlig udetekterte feil [feil/time] Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 13 2012 27 Summering av PFD? • To komponenter med PFD1 og PFD2 • PFD = PFD1+PFD2?? Fullstendig beregning (suksess): • 1-PFD=(1-PFD1)(1-PFD2)= 1-PFD2-PFD1+PFD1*PFD2 ≈ 1-PFD1-PFD2 Dvs: • PFD ≈ PFD1 + PFD2 Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 28 Antall svikt Badekarskurven Konstant feilintensitet Tid Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 14 2012 29 Datakilder? • • • • • • OLF 070 PDS Datahåndbok, SINTEF 2010 Excida Datahåndbøker Risikonivået på Norsk sokkel, RNNP Bedriftsinterne data Offshore Reliability Data, OREDA® Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 30 β-modellen Må anta avhengighet (β ≈ 0.01-0.1) PFD DU 2 PFDkomponent Bare ved uavhengighet (PFD ≈ 10-3) PFD PFD 2 Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 15 2012 31 Når gjør vi hva? • Multiplisere PFD – Når to funksjoner er helt uavhengige av hverandre • Summere PFD – For å få med alt som må virke for å utføre funksjonen Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 32 Systematiske feil • Ikke kvantifisert i IEC – tiltak mot systematiske feil • PSF/TIF i PDS modellen (Pålitelighet av Datamaskinbaserte Sikkerhetssystemer) CSU DU TIF 2 Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 16 2012 33 Periodisk fuksjonstesting • Så god som ny etter testing • Eksponensial fordeling • Rekkeutvikling • TIF-Test Independent Failures CSU TIF 0 Teknisk kybernetikk NTNU professor Tor Onshus t TTK 4175 2012 34 PFD og CSU Safety unavailability concepts PFD-Probability og Failure on Demand NCU2 NCU1 CSU1 CSU (used in PDS) TIF Teknisk kybernetikk NTNU professor Tor Onshus PFD (used in IEC) CSU-Critical Safety Unavailability NC = Non Critical Systemet eller operatør vet om feilen 1-reparasjon 2-testing TTK 4175 17 2012 35 Forenklinger (1oo2 votering) PFD 1 e D tCE D tCE tCE tGE ( D tCE ) 2 D tCE DU T1 MTTR DD MTTR D 2 D DU D T1 DD 3 MTTR MTTR D T 2 PFD 2(1 D ) DD (1 )DU tCE tGE D DD MTTR DU 1 MTTR 2 Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 36 1oo2 Votering + + A + A B Pådragsorgan B Sikker tilstand er av Sikker tilstand er på - •God sikkerhet HFT = 1 •Dårlig regularitet Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 18 2012 37 2oo2 Votering + + + A B A Pådragsorgan Pådragsorgan B Sikker tilstand er av - Sikker tilstand er på - •God regularitet HFT = 0 •Dårlig sikkerhet Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 38 Krav til systemstruktur(A type) Safe failure fraction < 60 % 60 % - 90 % 90 % - 99 % > 99 % Hardware fault tolerance 0 SIL1 SIL2 SIL3 SIL3 1 SIL2 SIL3 SIL4 SIL4 2 SIL3 SIL4 SIL4 SIL4 •A type - Mekaniske komponenter •B type - Med programvare Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 19 2012 39 Krav til systemstruktur (B type) Safe failure fraction < 60 % 60 % - 90 % 90 % - 99 % > 99 % Hardware fault tolerance 0 not allowed SIL1 SIL2 SIL3 •SFF = Andel sikre feil 1 SIL1 SIL2 SIL3 SIL4 SFF (DD SU SD ) 100 DU DD SU SD (TOT DU ) 100 •HFT = Antall redundante enheter (1oo2=2oo3=1, 1oo3=2) Teknisk kybernetikk NTNU professor Tor Onshus 2 SIL2 SIL3 SIL4 SIL4 TOT TTK 4175 2012 40 Dokumentasjon SRS Sikkerhetsmanual SAR Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 20 2012 41 Hva er SRS? • Spesifikasjon som inneholder alle krav til funksjonen som skal utføres av det sikkerhetsrelaterte systemet. – funksjonskrav – ytelseskrav • OLF 070 Appendiks E Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 42 SRS (forts) • beskrivelse av alle sikkerhetsfunksjonene (sløyfene) i SIS for å oppnå riktig sikkerhetsnivå (SIL) • definisjon av sikker prosesstilstand for hver sløyfe • krav til testintervall • krav til nedstengningstid for prosessen Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 21 2012 43 Sikkerhetsmanual (61508-3, App D) -All nødvendig sikkerhetsinformasjon for enhetene • • • • • • Funksjonsspesifikasjon Antagelser og begrensninger Feilrater for alle feilmodi HFT A/B type Test intervall – For intern selvtest – Nødvendig test og vedlikehold Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 44 SAR – Safety Analysis Report • Vise at kravene for funksjonen er oppfylt – Arbeidsmetodikk – Sviktsannsynlighet – Krav til systemstruktur • OLF 070, Appediks E • For leverandør/deler av funksjonene Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 22 2012 45 SIL Compliance • Vise at alle kravene til funksjonene er oppfyllt – Arbeidsmetodikk – Struktur – Sannsynlighet for svikt • For prosjektet/installasjonen Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 46 Arbeidsmetodikk Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 23 2012 47 Verifikasjon & Validering • Verifikasjon (Getting the system right) – Oppfyller løsningen kravene? – Sjekke leveranse mot spesifikasjon • Validering (Getting the right system) – Passer løsningen til oppgaven? – Sjekke løsning mot behov og myndighetskrav Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 48 Functional Safety Assessment(FSA) -3.parts verifikasjon • Uavhengig gjennomgang – verifikasjon og – validering • Vurdering skal resultere i – akseptert – akseptert med kommentarer – uakseptabelt Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 24 2012 49 Sikkerhetsledelse • • • • • Klart personlig ansvar Tiltak for å oppnå nødvendig sikkerhet Sørge for nødvendig kompetanse Kvalitetssikring Programvarekvalitet Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 50 Testing & drift -for å opprettholde SIL • Teste funksjonen med gitt frekvens – også redundante enheter – Omfang og kvalitet som antatt i beregninger • Følge opp hendelser – behov for funksjonen – svikt av funksjon eller deler av funksjon • Kontroll med utkoblinger Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 25 2012 51 Funksjonstesting Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 52 Erfaringsdata • Beregne feilrater PFD N 2 M DU N Operasjonstid DU DD SU SD • N = Antall ganger komponenten ikke virket – funnet ved funksjonstest – funnet ved aktivering av sikkerhetsfunksjon • M = Total antall operasjoner av komponenten (test + aktivering) Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 26 2012 53 Hvorfor OLF-070? Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 54 Hvordan måle ytelse av SIS? • IEC 61508 internasjonalt akseptert – – – – Konstruksjon Spesifikasjon Kontrakt Ytelses standard • PTIL anbefaler bruk av IEC 61508 – Ytelses krav med minimum SIL Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 27 2012 55 Erfaring ved bruk av IEC 61508 • Vanskelig i utviklingsprosjekter – Svært mye arbeide – Varierende SIL for samme funksjon og risiko • Metode (risiko graph/matrise, PFD verdier) • Personer/organisasjoner/erfaring • Bevarer ikke gode løsninger – Hvordan identifiserer vi nødvendige funksjoner? Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 56 Begrensninger i SIL metoder • Kommer fram til forskjellig SIL for samme funksjon • Vi mangler – risiko uten sikkerhetsfunksjon – behovsrate for sikkerhetsfunksjon – akseptkriterier • Metodene egner seg ikke for ESD/BG – Behov på grunn av mange initierende hendelser – C&E, vil komme utenfor SIL skalaen Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 28 2012 57 OLF 070 • Ikke risikobasert (pr. installasjon) • To kategorier – Lokale funksjoner (PSD) – Globale funksjoner (ESD og BG) • Minimum SIL for utvalgte funksjoner – Sikre minimum sikkerhetsnivå – Standardisering i industrien – Unngå stor tidsforbruk for å finne SIL Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 58 Lokale sikkerhetsfunksjoner • EUC typisk en trykktank • Funksjonen definert i ISO 10418 • Vanligvis realisert som – PSD som primær barriere – Mekanisk enhet som sekundær barriere Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 29 2012 59 Globale sikkerhetsfunksjoner • EUC typisk et område • Systemer og Funksjonen gitt av Ptil • Suksesskriteriet er viktig – Gassdeteksjon • Når det er gass i området • Når detektoren er eksponert for gass – Isolering og trykkavlasting • Den totale funksjonen • For en enkelt ventil (basisfunksjon) • QRA må summer opp basisfunksjoner Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 60 For Globale funksjoner • Telle opp over plattformen i QRA • Eksempel – Antall brønner/stigerør – Antall ventiler som må stenge for å isolere et område – Plassering og antall for brann&gassdettektorer og deluge – Trykkavlasting Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 30 2012 61 SIL krav basert på • Gode løsninger uttrykt i SIL/PFD – Er like på nesten alle installasjoner • Hva er nødvendig? – SIL 1: Kan svikte hver 10. gang • Tilgjengelig pålitelighetsdata • Hva er mulig med dagens teknologi? Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 62 Oljeselskap-Leverandør • Hvem gjør hva og hvem tar ansvaret – Oljeselskapet har ansvaret • Dimensjonering av totalsløyfen – hvem setter kravene til deler av funksjonen % PFD Sensor 10 System 20 Pådrag 70 Teknisk kybernetikk NTNU professor Tor Onshus NB! Dette er bare et eksempel og ikke et krav TTK 4175 31 2012 63 Hva feiler ? (antall feil) Felt 70 System 60 Annet 50 40 % 30 20 10 0 Sikkerhet Teknisk kybernetikk NTNU professor Tor Onshus Trip TTK 4175 2012 64 Balansert system • Sensor feil – En spesiell risiko er ikke dekket • System feil – Alle funksjoner er utkoblet • Kritikalitet • Bidrag til total sikkerhet/Risikoreduksjon Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 32 2012 65 Programvare Applikasjonsprogramvare Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 66 Programvarekrav • Programvarefeil = systematiske feil • Standarden har krav om metoder for å minske antall systematiske feil • Planlegging!!!! Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 33 2012 Strukturert utvikling og testing Teknisk kybernetikk NTNU professor Tor Onshus 67 TTK 4175 2012 Sjekklister Teknisk kybernetikk NTNU professor Tor Onshus 68 TTK 4175 34 2012 69 Programvare i IEC61511 • Følgende utviklet etter IEC61508 – Maskinvare – Operativsystem og basisprogramvare – Funksjonsblokker • Applikasjonen kan da utvikles etter 61511 – Kapittel 12 Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 70 Programvare – SRS = SwRS Input til SwRS skal være: • krav til funksjonen • krav til arkitekturen • krav til kompetanse Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 35 2012 71 SwRS Resultatet skal omtale: – – – – – funksjonene realisert av applikasjonen kapasitet og tidsrespons utstyr og HMI alle relevante operasjonsmodus monitorering-funksjonalitet og respons på detekterte feil – beskrivelse av funksjonestest-funksjonalitet Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 72 Oppsummering Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 Erik Korssjøen Kongsberg Simrad 36 2012 73 KRAV • PTIL krever i Styringsforskriften §5 – – – – barrierens funksjon skal alltid ivaretas krav til ytelse av barrierene skal gis skal være kjent om barrierene er svekket skal kompensere for svekkede barrierer • Det er bare innretningsforskriften som ikke gjelder for gamle installasjoner Teknisk kybernetikk NTNU professor Tor Onshus TTK 4175 2012 2008 NFA 74 IEC 61508 -konsekvenser av SIL • Arbeidsmetodikk – kvalitetssikring • Sviktsannsynlighet (PFD) – Testing i drift • Krav til systemstruktur – Andel sikre feil (SFF) – Antall redundante enheter (HFT) Teknisk kybernetikk NTNU professor Tor Onshus SIL-GL TTK 4175 kurs I 37