IEC 61508. Innhold. Tor Onshus. Hovedpunktene i IEC 61508 Prosessikkerhet Programvareutvikling Oppfølging i drift Maskinsikkerhet

1 IEC 61508 Tor Onshus Teknisk kybernetikk Norges teknisk naturvitenskaplige universitet, NTNU tlf: 73594388 mob: 92697460 Tor.Onshus@itk.ntnu.no http://www.itk.ntnu.no/ansatte/onshus_tor Innhold 2 Hovedpunktene i IEC 61508 Prosessikkerhet Programvareutvikling Oppfølging i drift Maskinsikkerhet 1

Hovedpunktene i IEC61508 3 PFD Sannsynlighet for svikt ved behov HFT/SFF Krav til sikkerhetsredundans QA Tiltak mot systematiske feil Krav til arbeidsprosessen Livsløp IEC 61508 (2010-versjonen) 1 Concept 2 3 Overall Scope Definition Hazard & Risk Analysis 4 4 5 Overall Safety Requirements Safety Requirements Allocation 6 Overall 7 Overall 8 Operation & Maintenance Planning Overall Planning Validation Planning Overall Installation & Commissioning Planning 9 System Safety Requirements Specification 10 Safety-related Systems Realization 11 Other Risk Reduction Measures Specification and Realization 12 Overall Installation & Commissioning 13 Overall Safety Validation Back to appropriate Overall Safety Lifecycle phase 14 Overall Operation & Maintenance 15 Overall Modification & Retrofit 16 Decommissioning 2

5 Prosessikkerhet Sjelden bruk for funksjonen Demand mode Prosessen 6 Hva skal vi beskytte? Trykktanken mot overtrykk Hva er farlig? Overtrykk For mye inn For lite ut Generert i tanken Trykktank EUC Hazid 3

Risikovurdering 7 Hvor ofte har vi tilløp til høyt trykk Ti ganger pr. døgn Hvor ofte klarer ikke reguleringssytemet og operatøren å håndtere dette? En gang i året Demand Rate Sikkerhetsfunksjoner 8 Mekanisk overtrykkssikring PSV-Pressure Safety Valve Instrumentert sikkerhetsfunksjon Trykktransmitter Sikkerhetssystem Ventil Other technology SIS 4

Prosess med sikkerhetsfunksjoner 9 Hvor god skal beskyttelsen være? 10 Trykk over testtrykk (15 barg) Sjeldnere enn 10-5 ganger pr år 10-5 = 1/100 000 Sjeldnere enn hvert 100 000 år. Acceptance Criteria 5

11 SIL-Safety Integrity Level SAFETY INTEGRITY LEVEL 4 3 2 1 DEMAND MODE OF OPERATION (Probability of Failure to perform its design function on Demand) > = 10-5 to < 10-4 > = 10-4 to < 10-3 > = 10-3 to < 10-2 > = 10-2 to < 10-1 CONTINUOUS/HIGH DEMAND MODE OF OPERATION (Probability of a dangerous Failure per Hour) > = 10-9 to < 10-8 > = 10-8 to < 10-7 > = 10-7 to < 10-6 > = 10-6 to < 10-5 Når kontinuerlig/ofte behov? behov oftere enn en gang pr. år eller behov oftere enn to ganger pr. testintervall SIL-Safety Integrity Level 12 SIL PFD Svikt sjeldnere enn 1 0.1 < PFD 0.01 1/10 2 0.01 < PFD 0.001 1/100 3 0.001 < PFD 0.0001 1/1000 4 0.0001 < PFD 0.000001 1/10 000 6

13 PFD-Probability of Failure on Demand PFD DU 2 - tid mellom funksjonsprøving [timer] 1 år = 8760 timer DU -farlig udetekterte feil [feil/time] Risikoreduksjon 14 Safety Requirement Allocation 7

Krav PSV: PFD < 10-3 Klare 100 000 kg/time Åpner ved trykk over 10 barg SIS: SIL 2 Lukke ventilen på 5 sekunder Reagerer ved trykk over 8 barg Funksjonstest en gang pr. år 15 SRS- Safety Requirement Specification Stopp Tog Prosess Maskin Sikker tilstand -Hva er det? -For hvem? Fortsett som før (varsle operatør) Fly Eksoterm reaktor Dykkerskip Bil 16 Konstruksjon NE/NDE 8

Feilmodi i IEC 61508 Dangerous Undetected Self-Test Dangerous Detected Alarm YA 710 17 Fail-Safe design Operating Philosophy Safe Undetected Safe Self-Test Detected & Operating Philosophy Krav til systemstruktur(a type) 18 Safe failure fraction Hardware fault tolerance 0 1 2 < 60 % SIL1 SIL2 SIL3 60 % - 90 % SIL2 SIL3 SIL4 90 % - 99 % SIL3 SIL4 SIL4 > 99 % SIL3 SIL4 SIL4 A type - Mekaniske komponenter B type - Med programvare 9

Krav til systemstruktur (B type) Safe failure fraction Hardware fault tolerance 0 1 2 < 60 % not allowed SIL1 SIL2 60 % - 90 % SIL1 SIL2 SIL3 90 % - 99 % SIL2 SIL3 SIL4 > 99 % SIL3 SIL4 SIL4 19 SFF = Andel sikre feil HFT = Antall redundante enheter (1oo2=2oo3=1, 1oo3=2) ( SFF TOT TOT DD DU DU SU DD 100% SD ) 100% SU SD Beregning av PFD 20 Definer funksjonen Definer sikker tilstand Identifiser funksjonens fysiske elementer og evt. hjelpesystemer Del opp funksjonen i TYPE A/B. Samle feildata (Konservative!!) 10

PFD Komponent TOT DU % SFF A/B Merknad 24V forsyning 1 0 0 100 A Overvåkes, gir sikker feil Trykktransmitter 1,3 0,3 7 77 B 4-20mA Barriere 1 0 100 A Gir bare sikre feil AI kort CPU 20 0,9 22 96 B Fra sertifikat DO kort Pilot 3,2 0,9 22 72 A Fjørretur til blø av Ventil 5,4 2 49 63 A Fjørretur til lukket 32 4,1 100 0,018 21 PFD DU 4.110 2 6 8760 2 0.018 0.01 Tiltak 22 To trykktransmittere 1oo2 votert Bruke ventilbevegelser som test Nedstengninger, en gang pr. år Opp og nedkjøringer, 4 ganger pr. år Montere endebrytere og overvåking Antar funksjonstest 4 ganger pr. år for ventil 8760 4 2190timer 11

PFD-modifisert 23 Komponent TOT DU % SFF A/B Merknad 24V forsyning 1 0 0 100 A Overvåkes, gir sikker feil Trykktransmitter 2.6 0.01 0 77 B 1oo2, β=0.02 Barriere 1 0 100 A Gir bare sikre feil AI kort CPU 20 0.9 39 96 B Fra sertifikat DO kort Pilot 3.2 0.9 39 72 A Fjørretur, overvåket Ventil 5.4 0.5 22 63 A Fjørretur, overvåket 33 2.3 100 0.010 OK! 24 Programvare 12

Krav til programvare 25 Feil i programvare = systematiske feil Standarden har anbefalinger om metoder for å minske antall systematiske feil i HW og SW Antar max SIL-nivå Programmering, validering og modifisering av SW må planlegges på forhånd. V-modellen eller tilsvarende må benyttes 26 IEC 61508-3 Appendix A-B 13

27 Programvare i IEC61511 28 Følgende er utviklet etter IEC61508 Maskinvare Operativsystem og basisprogramvare Funksjonsblokker Applikasjonen kan da utvikles etter 61511 Kapittel 12 osv. 14

Hvilken IEC standard 29 IEC Hva kan sertifiseres Standard Applikasjon 61508/11 Arbeidsmetodikk Operativsystem 61508 Versjon (og endringshåndtering) Drivere osv. 61508 Versjon (og endringshåndtering) Maskinvare 61508 Utstyr og konfigurasjon Det er ingen krav til sertifisering i IEC 30 Verifikasjon & Validering Verifikasjon (Getting the system right) Oppfyller løsningen kravene? Sjekke leveranse mot spesifikasjon Validering (Getting the right system) Passer løsningen til oppgaven? Sjekke løsning mot behov og myndighetskrav 15

Functional Safety Assessment (FSA) -Uavhengig 3.parts verifikasjon 31 Uavhengig gjennomgang verifikasjon og validering Hva sjekkes Er kravene i standarden oppfylt Er arbeidsmetodikken tilfredsstillende V&V av sentrale dokumenter 32 Drift og Vedlikehold Opprettholde SIL 16

Testing & drift -for å opprettholde SIL 33 Teste funksjonen med gitt frekvens også redundante enheter Omfang og kvalitet som antatt i beregninger Følge opp hendelser behov for funksjonen svikt av funksjon eller deler av funksjon Kontroll med utkoblinger Funksjonstesting 34 17

Erfaringsdata 35 Beregne feilrater DU N Operasjonstid N = Antall ganger komponenten ikke virket funnet ved funksjonstest funnet ved aktivering av sikkerhetsfunksjon M = Total antall operasjoner av komponenten (test + aktivering) N PFD 2 M DU SU DD SD Er det bra nok? 36 Hvis behovsraten høyere enn antatt i design Må vi ha lavere PFD? Kan vi redusere antallet behov? Hvis feilraten er høyere enn antatt i design Må vi teste oftere? Kan vi endre noe for å redusere feilraten? Finnes det bedre utstyr? 18

37 Maskinsikkerhet Ofte bruk for funksjonen Continuous/high demand 38 SIL-Safety Integrity Level SAFETY INTEGRITY LEVEL 4 3 2 1 DEMAND MODE OF OPERATION (Probability of Failure to perform its design function on Demand) > = 10-5 to < 10-4 > = 10-4 to < 10-3 > = 10-3 to < 10-2 > = 10-2 to < 10-1 CONTINUOUS/HIGH DEMAND MODE OF OPERATION (Probability of a dangerous Failure per Hour) > = 10-9 to < 10-8 > = 10-8 to < 10-7 > = 10-7 to < 10-6 > = 10-6 to < 10-5 Når kontinuerlig/ofte behov? behov oftere enn en gang pr. år eller behov oftere enn to ganger pr. testintervall 19

39 PFH-Probability of Failure per Hour PFH D D -farlig feil [feil/time] Feildata basert på testing (ISO 13849-1 Annex C) 40 Antall operasjoner før 10% av komponentene har feilet farlig, B 10d Antall forventede operasjoner per time, n op PFH 0.1 n B 10d op d 20

Eksempel 41 Feil når: nærhetsdetektor eller kontaktor feiler Typiske tallverdier (ISO 13849-1 Tabell C.1) 42 PFH = 0.21 + 2.1 = 2.2 10-9 timer (SIL 4, PL e) Ett år = 8760 timer Hva skjer hvis komponenten brukes 10x så ofte? 21

43 PFD Få behov per år Ulykke hvis samtidig: Behov for funksjon Funksjon svikter PFH Mange behov per år Ulykke hvis: Funksjonen svikter R CDRPFD R CPFH R - Risiko C - Konsekvens DR- Behovsrate Feildata 44 Konstante Oppgir midlere tid til feil (Integrerte kretser, transistorer, dioder, kondensatorer, motstander, spoler osv) λ, MTTF=1/λ Avhengig av hvor ofte de brukes Oppgir midlere antall operasjoner før feil (Mekanisk, elektromekanisk, bevegelige deler) B10 22

PFD i stedet for PFH -ved high demand 45 Kan vise at det er konservativt hvis: behovet er oftere enn to ganger per test det samme som definisjon av high demand Ikke bruk feildata basert på benktesting i PFD IEC 61508 46 Sannsynlighet for svikt ved behov PFD, PFH Nødvendig redundans SFF, HFT, A/B-type Tiltak mot systematiske feil Utviklingsmetodikk for programvare V&V, FSA 23