Innhold
Gi meg tilbakemelding hvis du finner feil eller mangler i det som er beskrevet her
---------------------------------------------
Prosess og Maskin-sikkerhet
Sikkerhet når det gjelder prosesser og maskiner skilles enklest ved å bruke standarden IEC 61508 som utgangspunkt.
Denne standarden handler om funksjonell sikkerhet og stiller krav til funksjonen og hvordan den framstilles og driftes for å kunne oppfylle kravene. I og med at IEC 61508 er en såkalt livsløpsstandard, så stilles det krav til funksjonen og de som jobber med den fra vugge til grav.
En del definisjoner/forkortelser som brukes kan finnes her. Standarden bruker begrepet SIL (Safety Integrity Level) mellom 1 og 4 for å angi hvor god funksjonen er, se Figur 1.
Standarden setter krav til sikkerhetsfunksjoner som i prinsippet kan deles i tre forskjellige typer krav:
A. Krav til sannsynligheten for at funksjonen ikke virker. Dette måles i PFD (Probability of Failure on Demand) eller PFH (Probability of Failure per Hour). Se Figur 1.
· PFD brukes når en har bruk for funksjonen en gang i mellom (demand). Dette innebærer at det ikke skjer noe farlig selv om en får en feil i funksjonen, bare en ikke har behov for den (Prosessikkerhet er et typisk eksempel)
· PFH brukes når en har bruk for funksjonen ofte. Dette innebærer at det skjer noe farlig når funksjonen svikter (Maskinsikkerhet er et typisk eksempel)
B. Krav til systemstruktur for de delene som inngår i funksjonen basert på SFF (Safe Failure Fraction), HFT (Hardware Fault Tolerance) og A/B type komponent. Se Figur 2 og Figur 3 fo detaljer.
· SFF er den andelen av feilene som enten er sikre eller blir oppdaget og rapportert av komponenten selv
· HFT er antallet farlige feil en delfunksjon (for eksempel trykkmåling) kan tåle og en fremdeles har sikkerhetsfunksjonen intakt. HFT=0 for enkle (ikke redundante) komponenter.
· A/B angir om komponenten er kompleks og vanskelig å analysere (B type) eller om den er enkel (A type). Har komponenten programvare i seg er den som regel en B type
C. Krav til arbeidsmetodikk og kvalitetssikring. Her ligger det mange krav til hvordan en skal jobbe og dokumentere arbeidet. Blant annet er det omfattende krav til arbeidsprosessene og metodikkene som må brukes når en skal utvikle programvare. Dessuten er det omfattende krav om:
· Verifikasjon
· Validering
· Sikkerhetsledelse
· Tiltak for å unngå og kontrollere systematiske feil
· Functional Safety Assessment (FSA, uavhengig tredjeparts verifikasjon)
Figur 1 Krav til ytelse av sikkerhetsfunksjonen
For å kunne oppfylle kravene må en ha gjennomført en analyse og klassifisering av de feilene som er registrert på tilsvarende komponenter. For nytt utstyr må en gjøre en analyse (FMEDA – Failure Mode and Diagnosis Analysis) av komponenten for å kunne kvantifisere de forskjellige feilmodiene. Spesielt er det viktig å finne de farlige udetekterte feilene (DU- Dangerous Undetected) som angis med λDU [feil per time]. For enkle komponenter har en da
· PFD= λDU·τ/2
· PFH= λDU
PFD eller PFH skal summeres for alle komponenter som inngår i funksjonen. Tiden mellom hver funksjonstest τ i [timer] inngår i PFD. For feildata se Tabell A1 i OLF-070
Det er viktig at hvis feilen er farlig og ikke oppdages tidsnok for å kunne unngå ulykken så klassifiseres den fortsatt som en DU feil.
De feilratene som brukes for PFD og PFH er vanligvis forskjellige, da PFH ofte er basert på testing der komponenten aktiveres kontinuerlig til den svikter, mens de som brukes i PFD skyldes at komponenten får en farlig feil uten at den brukes og så får vi bruk for den før vi funksjonstester neste gang og finner/fjerner feilen. En typisk slik feil kan være en ventil som henger seg opp og ikke vil stenge. For PFH er en typisk feil et rele som blir utslitt av mange vekslinger og slutter å bryte strømmen.
Før en gjør disse beregningene bør strukturkravene som gitt av tabellene nedenfor sjekkes og funksjonen eventuelt modifiseres slik at kravene til struktur oppfylles først.
Figur 2 Krav til systemstruktur for A type komponenter
Figur 3 Krav til systemstruktur for B type komponenter
Framgangsmåten for å sjekke om strukturkravene er oppfylt er som følger:
1. Bestem A eller B type og velg rett tabell.
2. Finn SFF og det intervallet som passer for den aktuelle komponenten. Generiske SFF verdier er gitt i Tabell A1 i OLF-070
3. Gå bortover linja i tabellen til du finner det SIL nivået du skal ha på funksjonen
4. Øverst i den kolonnen står nødvendig HFT for den komponenten
Disse tabellene skal ikke sjekkes for funksjonen, men for alle komponentene som inngår i funksjonen. Dette innebærer at de forskjellige delene av funksjonen kan ha forskjellig HFT. Som et eksempel kan vi se på en trykktransmitter som skal brukes i en SIL 2 funksjon. Vi har funnet at den har SFF=72% og mest sannsynlig er en type B, da den er “smart” og kan konfigureres. I Figur 3 ser vi at for 60-90% kan vi bare oppnå SIL 1 for denne transmitteren. Vi må derfor sørge for at HFT=1. Dette gjør vi enklest ved å bruke to slike transmittere i en 1oo2 votering. Dette betyr at sikkerhetsfunksjonen blir aktivert hvis en av de to transmitterne gir signal om det (for eksempel høyt trykk) og en vil fortsatt ha sikkerhetsfunksjonen intakt selv om en ikke virker.
Når det gjelder kravene til arbeidsmetodikk og kvalitetssikring vil disse i tillegg til det som er nevnt over ha stor betydning for utvikling av både elektronikk og programvare. Spesielt for programvareutvikling finnes det en rekke tabeller i del 3 av 61508 som må oppfylles. For å kunne oppfylle disse tabellene må en vite SIL nivået en ønsker å oppfylle. Dette betyr i praksis at en må utvikle og dokumentere programvare for å oppfylle et SIL nivå, en kan ikke i ettertid bestemme hvilket nivå en bestemt programvare har.
For å komme fram til hvilket SIL nivå en egentlig trenger, gjøres en risikovurdering av det utstyret/prosessen en skal beskytte, der hovedtrekkene er omtrent som følger:
1. Fastsett hvilke akseptkriterier som gjelder for bedriften/utstyret
2. Anslå risikoen vi skal beskytte oss mot og som er forbundet med den aktuelle funksjonen
3. Hvis den aktuelle risikoen er for stor
a. Fjern mest mulig av risikoen ved å endre på prosessen slik at risikoen minskes
b. Sett nødvendig SIL på funksjonen slik at risikoen blir liten nok
Detaljene i det over varier en del avhengig av industri og metodikk en velger å bruke.
De vanligste metodene som benyttes for å fastsette SIL nivået er:
· Beregninger
· Riskgraph
· LOPA
· I Norsk oljeindustri har en utarbeidet OLF 070 som blant annet fastsetter generiske nivåer for en del typiske funksjoner
· For maskiner er nivået gitt av harmoniserte standarder
Når det gjelder prosessikkerhet bruker en enten IEC 61511 eller IEC 61508. Som et eksempel skal vi se på beskyttelsen av en trykktank mot overtrykk.
Figur 4Trykktank med beskyttelse mot overtrykk
Følgende framgangsmåte benyttes her:
1. Det skal ikke være trykk over testtrykk oftere enn hvert 100 000 år, dvs 10-5 ganger per år.
2. Vi anslår at uten regulering og operatører ville trykket bli for stort ti ganger i døgnet, men det er bare en gang i året (DR) at disse ikke klarer å bringe situasjonen under kontroll slik at vi trenger sikkerhetsfunksjoner.
3. Vi har en instrumentert funksjon (SIF-Safety Instrumented Function med PT og ventil som stenger innløpet) og en mekanisk funksjon som sender det som kommer inn til et sikkert sted (fakkel el). Løsningen som er vist er standardløsningen i henhold til ISO 10418
4. Vi tilordner da følgende risikoreduksjon til de to funksjonene:
Figur 5 Metodikk for å komme fram til nødvendig risikoreduksjon og tilordne denne til funksjoner
5. Kravene til de to funksjonene blir da dokumentert i en SRS (Safety Requirement Specification) som brukes som utgangspunkt for konstruksjon.
a. PSV
i. PFD < 0.001
ii. Klare 100 000 kg/time
iii. Åpner ved trykk over 10 barg
iv. Kalibreres annet hvert år
v. Sikker tilstand, åpne ventil
b. SIF
i. SIL 2
ii. Lukker ventilen på 5 sekunder
iii. Reagerer ved trykk over 8 barg
iv. Testing skjer ikke oftere enn en gang i året (τ =8760 timer)
v. Sikker tilstand, steng ventil
Etter at funksjonene er bestemt, men før vi begynner å bestille og bygge må vi vise at det vi gjør faktisk tilfredsstiller de kravene vi har satt. Vi skal her se på den instrumenterte funksjonen.
Figur 6 Realisering av den instrumenterte sikkerhetsfunksjonen (SIF)
Gitt de tallverdier (Fra Tabell A1 i OLF-070) vi har får vi da følgende når vi skal sjekke om PFD og strukturkarvene er oppfylt.
Figur 7 Beregning av PFD for funksjonen
Vi ser at vi har problemer både med å oppfylle strukturkravene for trykktransmitteren og den totale PFD for funksjonen.
Som en ser står ventil og pilot for 70% av PFD.
En maskin er kjennetegnet ved at minst en enhet er utstyrt med eller beregnet til å utstyres med et drivsystem som ikke kommer direkte som drivkraft fra mennesker eller dyr. Det er grensetilfeller, for eksempel en ventil, der en har bestemt at en ventil ikke er en maskin, selv om den er det i forhold til definisjonen.
Maskinsikkerheten er innenfor EØS regulert gjennom Maskindirektivet som i Norge er oppfylt ved at vi følger Maskinforskriften. For å oppfylle de kravene som gjelder for sikkerhetsfunksjoner henvises det til ISO 13849 eller til IEC 62061 som på samme måte som IEC 61511 er en sektorstandard for maskiner under IEC 61508.
I forbindelse med maskiner er det viktig at en benytter standarder som er harmoniserte i forhold til det direktivet en er underlagt. Både ISO 13849 og IEC 62061 er harmonisert under Maskindirektivet, noe som betyr at hvis vi oppfyller kravene i en av disse så oppfyller vi kravene i forhold til Maskinforskriften på det området disse standardene gjelder. Se New Approach.
Hvis en tar for seg et helt anlegg så vil deler av anlegget kunne være underlagt kravet til maskiner, mens andre deler må betraktes som en prosess.
Risikovurdering av maskiner gjøres enklest ved å følge ISO 14121 som også inneholder de minimumskravene som funksjonen må oppfylle for å tilfredsstille maskinforskriften (akseptkriterie). Også her understrekes det at det første og viktigste tiltaket er å fjerne risiko ved konstruksjon i stedet for bare å innføre sikkerhetsfunksjoner.
I ISO 13849 er det definert Performance Level (PL) som er en litt finere oppdeling av PFH som definert i IEC 61508. IEC 62061 benytter SIL og PFH som definert i IEC 61508.
Figur 8 Sammenhengen mellom PL, PFH og SIL
PL |
PFH |
SIL |
a |
10-4 - 10-5 |
- |
b |
3 10-6 - 10-5 |
SIL 1 |
c |
10-6 - 3 10-6 |
SIL 1 |
d |
10-7 - 10-6 |
SIL 2 |
e |
10-8 - 10-7 |
SIL 3 |
Strukturkravene er gitt på en litt annen form i ISO 13849 i forhold til i IEC 61508, det samme er kravene til arbeidsmetodikk og kvalitetssikring, herunder utvikling av programvare.
EN 954 definerte Category som krav til funksjoner, uten å angi eksplisitt ytelse, bare struktur. Denne standarden kan fra 2012 ikke lenger kan brukes (ikke harmonisert lenger) til å vise at en oppfyller kravene i Maskinforskriften. Kategorier (A til 4) er behold som strukturkrav i ISO 13849-1.
De feildata som benyttes (i High/Continuous demand) er vanligvis basert på B10d som igjen er basert på at et stort antall komponenter kjøres i testoppsett og der en teller operasjoner. Basert på dette kan en beregne PFH (ISO 13849-1 Annex C).
• Antall operasjoner før 10% av komponentene har feilet farlig, B10d
• Antall forventede operasjoner per år, nop
• Midlere tid før farlig feil, MTTFd
Ut fra det over ser en at feilraten og dermed også PFH vil variere avhengig av hvor ofte komponenten brukes.
Figur 9 Risikograf for å bestemme nødvendig PL for å oppfylle Maskinforskriften (ISO 13849-1)
Som et eksempel på en sikkerhetsfunksjon for en maskin bruker vi en nærhetsdetektor som åpner en kontaktor. Dette kan for eksempel være en dør inn til en farlig maskin, der maskinen stoppes når døren åpnes.
Figur 10Nærhetsdetektor som åpner kontaktor
I Tabell C.1 i ISO 13849-1 finnes det en del generiske tallverdier som vi benytter i dette eksempelet.
Figur 11Data for komponentene
Komponent |
B10d |
nop (per år) |
MTTFd (år) |
λD (timer) |
Mekanisk nærhetsdetektor |
20 000 000 |
365 |
547 945 |
2.1E-10 |
Kontaktor |
2 000 000 |
365 |
54 795 |
2.1E-09 |
Basert på disse tallene og at komponentene brukes en gang per dag får vi følgende for denne enkle funksjonen.
PFH = 0.21 + 2.1 = 2.2 10-9 timer (SIL 4, PL e)
Ut fra
formelen for MTTFd ser en at PFH er omvendt proporsjonal med
antallet operasjoner, så hvis en bruker komponenten hvert minutt (nop
= 365*24*60 = 525 600 per år) så vil PFH øke til 3.3 10-6 og ikke
lenger tilfredsstille mer enn PL b (SIL 1).
Forkortelse |
Engelsk |
Norsk |
λ |
Failure rate |
Sviktintensitet (feil/time) |
τ |
Functional test interval |
Funksjonstestintervall (timer) |
β |
Common cause factor |
Fellesfeilfaktor |
λD |
Dangerous failure, lD=lDU+lDD |
Farlig feil |
λDD |
Dangerous Detected failure |
Farlige detekterte feil |
λDU |
Dangerous Undetected failure |
Farlig ikke detekterte |
λS |
Safe failure, lS=lSU+lSD |
Sikker feil |
λSD |
Safe Detected failure |
Sikker detekterte feil |
λSU |
Safe Undetected failure |
Sikker detekterte feil |
λT |
Total critical failure rate |
Total kritisk feilrate |
ALARP |
As Low As Reasonably Practical |
|
API |
American Petroleum Institute |
|
ASR |
Automatic Shutdown Report |
Automatisk nedstengningsrapport |
B10d |
Number of cycles until 10% of the components fail
dangerously |
Antall operasjoner før 10% av komponentene feiler farlig |
COTS |
Commercial Off The Shelf software |
Kommersiell standardprogramvare |
CSU |
Critical safety Unavailability |
Kritisk sikkerhetsutilgjengelighet |
DC |
Diagnostic Coverage |
Grad av feildeteksjon |
DD |
Dangerous Detected |
Farlige detekterte |
DR |
Demand Rate |
Behovsrate |
DU |
Dangerous Undetected |
Farlig uoppdaget |
ESD |
Emergency Shutdown System |
NAS, Nødavstengningssystem |
EUC |
Equipment under control |
Det som skal beskyttes |
FMECA |
Failure Mode Effect and Criticality Analysis (FMEDA,
D-Diagnostic) |
Feilmode effekt og kritikalitetsanalyse (FMEDA, D-diagnose/selvtest) |
FSA |
Functional Safety Assessment |
Sikkerhetsgransking, 3. parts verifikasjon |
HFT |
Hardware Fault Tolerance |
Feiltoleranse i maskinvare [1] |
HIPPS |
High Integrity Pressure Protection System |
Høypålitelig instrumentert overtrykkssikring |
HMI |
Human Machine Interface |
Menneske maskin grensesnitt |
HSE |
Health, Safety and Environment |
Helse, Miljø og sikkerhet |
IEC |
International Electrotechnical Committee |
|
IPF |
Instrumented Protective Function |
Instrumentert sikkerhetsfunksjon |
LOPA |
Layers Of Protection Analysis |
|
MFS |
Management of Functional Safety |
Sikkerhetsledelse |
MTBF |
Mean Time Between Failures |
Midlere tid mellom feil |
MTTF |
Mean Time To Failure |
Midlere tid til feil |
MTTFd |
Mean Time To dangerous Failure |
Midlere tid til farlig feil |
NAS |
ESD |
Nødavstengningssystem |
NC |
Normally Closed |
Normalt lukket |
NDE |
Normally De Energized |
Normalt spenningsløs |
NE |
Normally Energized |
Normalt spenningssatt |
NO |
Normally Open |
Normalt åpen |
nop |
Mean number of annual operations |
Antall forventede operasjoner per år |
OREDA |
Offshore Reliability Data |
|
PAS |
PSD |
PAS, Prosesssikringssystem |
PDS |
Pålitelighet av Datamaskinbaserte Sikkerhetssystemer |
|
PFD |
Probability of Failure on Demand |
Sannsynlighet for feil ved behov |
PFH |
Probability of Failures per Hour |
Sannsynlighet for feil per time |
PL |
Performance Level |
Ytelsesnivå |
PSD |
Process Shutdown System |
PAS |
PSF |
Probability of Systematic Failures |
Sannsynlighet for systematiske feil |
PSV |
Pressure Safety Valve |
Sikkerhetsventil |
PT |
Pressure Transmitter |
Trykktransmitter |
QA |
Quality Assurance |
Kvalitetssikring |
QRA |
Quantitative Risk Assessment |
Kvantitativ risikoanalyse |
SAR |
Safety Analysis Report |
Sikkerhetsanalyserapport |
SD |
Safe detected |
Sikker oppdaget |
SFF |
Safe Failure Fraction |
Andel sikre feil [2] |
SIF |
Safety Instrumented Function |
Instrumentert sikkerhetsfunksjon |
SIL |
Safety Integrity Level |
Sikkerhetsintegritetsnivå |
SIS |
Safety instrumented system |
Instrumentert sikkerhetssystem |
SO |
Spurious Operation |
Utilsiktet aktivering |
SRS |
Safety Requirement Specification |
Sikkerhetskravspesifikasjon |
SU |
Safe Undetected |
Sikker uoppdaget |
TIF |
Test independent failures |
Testuavhengige feil |
V&V |
Verification and Validation |
Verifikasjon og validering |