1 Tor Onshus IEC 61508 OLF-070 Teknisk kybernetikk Norges teknisk naturvitenskaplige universitet, NTNU tlf: 73594388 fax: 73594399 Tor.Onshus@itk.ntnu.no http://www.itk.ntnu.no/ansatte/onshus_tor Bakgrunn 2 PTIL krever i Styringsforskriften 2 at: barrierens funksjon skal alltid ivaretas krav til ytelse av barrierene skal gis det skal være kjent om barrierene er svekket det skal kompensere for svekkede barrierer Alle unntatt innretningsforskriften gjelder også for gamle installasjoner 83 pkt. 2 i innretningsforskriften 23 i de andre
3 Teknisk sikkerhet Sikker tilstand -Hva er det? -For hvem? 4 Stopp Tog Prosess Maskin Fortsett som før (varsle operatør) Fly Eksoterm reaktor Dykkerskip Bil
5 FEILMODI -hva er effekten av feilen Farlig svikt/feilfunksjon Systemet er ikke i stand til å utføre den operasjonen det får beskjed om Trip/Utilsiktet operasjon Systemet utfører en operasjon det ikke har fått beskjed om å utføre Mange utilsiktede nedstengninger virker negativt på sikkerheten Feilmodi i IEC 61508 6 Dangerous Undetected Self-Test Dangerous Detected Fail-Safe design Operating Philosophy Safe Undetected Safe Self-Test Detected & Operating Philosophy
SIL Optimalisering Løsning B 7 Løsning A Minimum LCC 8 HVA ER ÅRSAKEN TIL FEIL FEIL 50% 50% Fysiske Systematiske Naturlig Elding Ytre Påkjenning Design Menneskelig Aktivitet
9 Tiltak mot Feil Naturlig Elding Bedre utstyr og Redundans Ytre påkjenning og Menneskelig Aktivitet Isolere systemet Vedlikehold & Opplæring Funksjonelle feil Bedre design, organisasjon, ledelse, kvalitetssikring 10 Risikoanalyse Trenger for beregning Konsekvens av farlig hendelse Sannsynlighet for farlig hendelse Frekvens Eksponeringstid Mulighet for å unngå Summere over hele anlegget Optimalisere løsning Bevise at det er godt nok
Risiko med sikkerhetsfunksjon 11 Risiko = Konsekvens x Frekvens Frekvens = Behovsrate x Sannsynlighet for svikt i sikkerhetsfunksjon EKSEMPEL Gasslekasje pga. overtrykk Overtrykk en gang pr. år SIS svikt hver 10. gang RESULTAT Gasslekkasje pga. overtrykk en gang hvert 10. år 12 Konstruksjonsregler Sikkerhetssystemer uavhengig og i tillegg til andre systemer PTIL, API, IEC 61508 del 1 (kap 7.5.2.6 b) ikke bli negativt påvirket av feil i andre systemer Prosessikring i to uavhengige funksjoner (PTIL/API RP 14C) Primær sikring (instrumentering) Sekundær sikring (mekanisk)
Når har vi uavhengighet 13 Sikkerhet Når feil i en enhet ikke gjør at den andre svikter til en farlig feil kan gi nedstengning Regularitet Når feil i en enhet ikke gjør at den andre svikter til trip gir ikke utilsiktet nedstengning Hvorfor Uavhengighet (Diverse Redundancy) 14 Eneste effektive beskyttelse mot Fellesfeil Desingfeil Operatørfeil Miljøpåvirkning Svikt av felles komponent Strøm Kjøling Programvare
15 Instrumentell Sikring Bruke instrumenter og logikk for å erstatte direktevirkende beskyttelse HIPPS - High Integrity Pressure Protection System KRAV Minst like bra som den konvensjonelle design det erstatter 16 IEC 61508 & 61511
IEC 61508 -konsekvenser av SIL 17 Metodikk Sviktsannsynlighet (PFD) System design Dokumentasjon Realisering Testing/drift Sikkerhetsfunksjon inkluderer 18 Instrumentert Instrument/detektor Elektronisk/programerbart system med Operatørgrensesnitt Aktuatorer (ventiler/elektriske brytere) Andre teknologier er typisk PSV'er Ekstern risikoreduksjon er manuell utløsing av ESD systemet eller planlagt vedlikehold av systemet.
Livsløp 1 Concept 2 Overall Scope Definition 19 3 4 5 Hazard & Risk Analysis Overall Safety Requirements Safety Requirements Allocation 6 Overall 7 Overall 8 Operation & Maintenance Planning Overall Planning Validation Planning Overall Installation & Commissioning Planning 9 Safety-related systems: E/E/PES Realization 10 Safety-related systems: Other Technology Realization 11 External Risk Reduction Facilities Realization 12 Overall Installation & Commissioning 13 Overall Safety Validation Back to appropriate Overall Safety Lifecycle phase 14 Overall Operation & Maintenance 15 Overall Modification & Retrofit 16 Decommissioning Nødvendig risikoreduksjon 20 Residual risk Tolerable risk EUC risk Necessary risk reduction Increasing risk Actual risk reduction Partial risk covered by other technology safety-related systems Partial risk covered by E/E/PE safety-related systems Partial risk covered by external risk reduction facilities Forutsetter Uavhengighet Risk reduction achieved by all safety-related systems and external risk reduction facilities
21 SIL-Safety Integrity Level SAFETY INTEGRITY LEVEL 4 3 2 1 DEMAND MODE OF OPERATION (Probability of Failure to perform its design function on Demand) > = 10-5 to < 10-4 > = 10-4 to < 10-3 > = 10-3 to < 10-2 > = 10-2 to < 10-1 CONTINUOUS/HIGH DEMAND MODE OF OPERATION (Probability of a dangerous failure per year) > = 10-5 to < 10-4 > = 10-4 to < 10-3 > = 10-3 to < 10-2 > = 10-2 to < 10-1 Kontinuerlig behov oftere enn en gang pr. år eller behov oftere enn to ganger pr. testintervall 22 PFD-Probability of Failure on Demand PFD = λ DU τ 2 τ - tid mellom funksjonsprøving [timer] 1 år = 8760 timer λ DU -farlig udetekterte feil [feil/time]
Antall svikt Badekarskurven 23 Konstant feilintensitet Tid β-modellen 24 PFD = β λdu I stedet for PFD = τ 2 2 2 τ λ +... 3 2 ( λτ ) << λτ
Systematiske feil 25 Feil plassering av BG detektorer Ufullstendige test prosedyrer Menneskelige feil under testing forlatt utkoblet feil kalibrering Feil i programvare (som ikke finnes ved testing) Systematiske feil 26 Ikke kvantifisert i IEC tiltak mot systematiske feil TIF i PDS modellen (Pålitelighet av Datamaskinbaserte Sikkerhetssystemer) τ CSU = β λ + TIF DU 2
Forenklinger (1oo2 votering) 27 PFD = 1 e λ D tce λd t CE t CE λdu T1 = λ 2 D λ + MTTR + λ DD D MTTR t GE λdu = λ D T1 3 λ + MTTR + λ DD D MTTR PFD T 2 2 ((1 β ) λ + (1 β ) λ ) t t + β λ MTTR + βλ + MTTR 1 2 D DD DU CE GE D DD DU Periodisk fuksjonstesting 28 Så god som ny etter testing Eksponensial fordeling Rekkeutvikling TIF-Test Independent Failures 0 CSU τ TIF t
Krav til systemstruktur (B type) Safe failure fraction Hardware fault tolerance 0 1 2 < 60 % not allowed SIL1 SIL2 60 % - 90 % SIL1 SIL2 SIL3 90 % - 99 % SIL2 SIL3 SIL4 > 99 % SIL3 SIL4 SIL4 29 SFF = Andel sikre feil HFT = Antall redundante enheter (1oo2=2oo3=1, 1oo3=2) SFF = ( λ λ DD DU + λ + λ SU DD + λ + λ SD SU ) 100 + λ SD Andre konstruksjonskrav 30 Sikkerhetsfunksjon uavhengig av årsak til behovet Regulering uavhengig av sikkerhet Uavhengig mhp. farlige feil Ta hensyn til fellesfeil Kontroll med systematiske feil Oppførsel når feil blir oppdaget/inntreffer Feilsikker design
Dokumentasjon 31 Hva trengs for å dokumentere SIL Dokumentasjon fra konstruksjon tilstrekkelig informasjon for alle faser Installasjon og igangkjøring Validering av sikkerhet Operasjon & Vedlikehold Modifikasjon & Utskifting til å kunne oppnå og opprettholde spesifisert SIL Dokumentasjon fra Drift Dokumentasjon (forts) 32 Safety Requrement Specification Alle krav og hvordan de henger sammen (sporbarhet i design) PTIL Styringsforskrift 2 Skal enkelt kunne finne tilbake til krav til utstyr og enheter (sporbarhet i drift) Hva, Hvor, Hvorfor osv.
33 Verifikasjon & Validering Verifikasjon (Getting the system right) Oppfyller løsningen kravene? Sjekke leveranse mot spesifikasjon Validering (Getting the right system) Passer løsningen til oppgaven? Sjekke løsning mot behov og myndighetskrav Functional Safety Assessment(FSA) -Gransking 34 Uavhengig gjennomgang verifikasjon og validering Vurdering skal resultere i akseptert akseptert med kommentarer uakseptabelt
Testing & drift -for å opprettholde SIL 35 Teste funksjonen med gitt frekvens også redundante enheter Omfang og kvalitet som antatt i beregninger Følge opp hendelser behov for funksjonen svikt av funksjon eller deler av funksjon Kontroll med utkoblinger 36 Hvorfor OLF-070
37 Background IEC 61508 widely accepted as the basis for design specification contract performance standard The Norwegian Petroleum Directorate (NPD) recommend the use of IEC 61508 performance requirement stating minimum SIL Experience -using IEC 61508 38 Difficult in a development project Extensive work Variable SIL for same functions and risk due to methodology (risk graph/matrix, PFD figures) persons/organsations Does not preserve good solutions How to identify necessary safety functions?
Does QRA give required SIL? 39 Quantitative Risk Analysis (QRA) of today does not give required SIL Risk Analysis in 61508 is not QRA of today Not all safety functions are modelled in QRA Historical data includes a safety system Demand rate for functions not known Approach 40 Not risk based pr. installation Two categories Local functions (typically PSD) Global functions (typically ESD and FG) Minimum SIL for selected safety functions ensure a minimum safety level standardisation across the industry avoid time consuming calculations
SIL requirements based on 41 Current best practice referred to SIL In practice the same for all installations What is necessary? SIL 1: Fails every 10 demands Available generic reliability-data What is possible with today s technology. 42 Roller Bruker/Leverandør Myndigheter Verifikasjon
Oljeselskap-Leverandør 43 Hvem gjør hva og hvem tar ansvaret Oljeselskapet har ansvaret Dimensjonering av totalsløyfen hvem setter kravene til deler av funksjonen % PFD Sensor 10 System 20 Pådrag 70 NB! Dette er bare et eksempeler og ikke et krav 44 Økonomi & Sikkerhet
45 Hva feiler? (antall feil) 70 60 50 Felt System Annet % 40 30 20 10 0 Sikkerhet Trip 46 Balansert system Sensor feil En spesiell risiko er ikke dekket System feil Alle funksjoner er utkoblet Kritikalitet Bidrag til total sikkerhet/risikoreduksjon
47 Gjennomgang av OLF-070 Local safety functions 48 EUC typically a pressure vessel Function defined by API RP 14C Usually implemented by PSD as first barrier Mechanical device as second barrier
Global safety functions 49 EUC typically a geographical area Systems and Functions defined by NPD Definition of success criteria is important Gas detection When there is gas in the area When the detector is exposed to gas Segregation & Blow down Total function Pr. single valve (basic function) QRA to sum up basic functions Handling of deviations 50 Non conventional design HIPPS instead of PSV capacity Technology not proven Safety interlock systems Less than min. SIL is claimed This installation is less dangerous Hazard higher than normal Special hazards (identified in FES?)
51 PFD beregninger Beregninger 52 PFD/CSU/TIF Blokkdiagram Feilrater Voteringer
PFD og CSU 53 Safety unavailability concepts PFD-Probability og Failure on Demand NCU2 NCU1 CSU1 PFD (used in IEC) CSU-Critical Safety Unavailability CSU (used in PDS) TIF NC = Non Critical Systemet eller operatør vet om feilen 1-reparasjon 2-testing 54 PFD PFD = λ DU τ 2 τ - testintervall [timer] 1 år = 8760 timer λ -feilrate [feil/time]
Fellesfeil 55 En eller flere hendelser som gir samtidig feil i to eller flere adskilte kanaler Designfeil Operatørfeil Miljøpåvirkning Avhengighet mellom redundante enheter Beskrives for eksempel med β-modellen β-modellen 56 PFD = I stedet for PFD = τ β λ 2 2 2 τ λ +... 3 2 λ << λ
Forenklinger (1oo2 votering) 57 PFD = 1 e λ D tce λd t CE t CE λdu T1 = λ 2 D λ + MTTR + λ DD D MTTR t GE λdu = λ D T1 3 λ + MTTR + λ DD D MTTR PFD T 2 2 ((1 β ) λ + (1 β ) λ ) t t + β λ MTTR + βλ + MTTR 1 2 D DD DU CE GE D DD DU 1oo2 Votering 58 + + + A A B Pådragsorgan - B Sikker tilstand er av - Sikker tilstand er på God sikkerhet Dårlig regularitet HFT = 1
+ 2oo2 Votering + + 59 A B A Pådragsorgan - Pådragsorgan Sikker tilstand er av - B Sikker tilstand er på God regularitet Dårlig sikkerhet HFT = 0 KRAV 60 PTIL krever i Styringsforskriften 2 barrierens funksjon skal alltid ivaretas krav til ytelse av barrierene skal gis skal være kjent om barrierene er svekket skal kompensere for svekkede barrierer Det er bare innretningsforskriften som ikke gjelder for gamle installasjoner
IEC 61508 -konsekvenser av SIL 61 Arbeidsmetodikk kvalitetssikring Sviktsannsynlighet (PFD) Testing i drift Krav til systemstruktur Andel sikre feil (SFF) Antall redundante enheter (HFT)