Innhold

IEC 61508. 1

Nødvendig SIL. 3

Prosessikkerhet. 5

Maskinsikkerhet. 8

Forkortelser. 11

 

Gi meg tilbakemelding hvis du finner feil eller mangler i det som er beskrevet her

Tor Onshus

 ---------------------------------------------

Prosess og Maskin-sikkerhet

Sikkerhet når det gjelder prosesser og maskiner skilles enklest ved å bruke standarden IEC 61508 som utgangspunkt.

 

IEC 61508

Denne standarden handler om funksjonell sikkerhet og stiller krav til funksjonen og hvordan den framstilles og driftes for å kunne oppfylle kravene. I og med at IEC 61508 er en såkalt livsløpsstandard, så stilles det krav til funksjonen og de som jobber med den fra vugge til grav.

En del definisjoner/forkortelser som brukes kan finnes her. Standarden bruker begrepet SIL (Safety Integrity Level) mellom 1 og 4 for å angi hvor god funksjonen er, se Figur 1.

 

Standarden setter krav til sikkerhetsfunksjoner som i prinsippet kan deles i tre forskjellige typer krav:

A.      Krav til sannsynligheten for at funksjonen ikke virker. Dette måles i PFD (Probability of Failure on Demand) eller PFH (Probability of Failure per Hour). Se Figur 1.

·         PFD brukes når en har bruk for funksjonen en gang i mellom (demand). Dette innebærer at det ikke skjer noe farlig selv om en får en feil i funksjonen, bare en ikke har behov for den (Prosessikkerhet er et typisk eksempel)

·         PFH brukes når en har bruk for funksjonen ofte. Dette innebærer at det skjer noe farlig når funksjonen svikter (Maskinsikkerhet er et typisk eksempel)

B.      Krav til systemstruktur for de delene som inngår i funksjonen basert på SFF (Safe Failure Fraction), HFT (Hardware Fault Tolerance) og A/B type komponent. Se Figur 2 og Figur 3 fo detaljer.

·         SFF er den andelen av feilene som enten er sikre eller blir oppdaget og rapportert av komponenten selv

·         HFT er antallet farlige feil en delfunksjon (for eksempel trykkmåling)  kan tåle og en fremdeles har sikkerhetsfunksjonen intakt. HFT=0 for enkle (ikke redundante) komponenter.

·         A/B angir om komponenten er kompleks og vanskelig å analysere (B type) eller om den er enkel (A type). Har komponenten programvare i seg er den som regel en B type

C.      Krav til arbeidsmetodikk og kvalitetssikring. Her ligger det mange krav til hvordan en skal jobbe og dokumentere arbeidet. Blant annet er det omfattende krav til arbeidsprosessene og metodikkene som må brukes når en skal utvikle programvare. Dessuten er det omfattende krav om:

·         Verifikasjon

·         Validering

·         Sikkerhetsledelse

·         Tiltak for å unngå og kontrollere systematiske feil

·         Functional Safety Assessment (FSA, uavhengig tredjeparts verifikasjon)

 

Figur 1 Krav til ytelse av sikkerhetsfunksjonen

 

For å kunne oppfylle kravene må en ha gjennomført en analyse og klassifisering av de feilene som er registrert på tilsvarende komponenter. For nytt utstyr må en gjøre en analyse (FMEDA – Failure Mode and Diagnosis Analysis) av komponenten for å kunne kvantifisere de forskjellige feilmodiene. Spesielt er det viktig å finne de farlige udetekterte feilene (DU- Dangerous Undetected) som angis med λDU [feil per time]. For enkle komponenter har en da

·         PFD= λDU·τ/2

·         PFH= λDU

PFD eller PFH skal summeres for alle komponenter som inngår i funksjonen. Tiden mellom hver funksjonstest τ i [timer] inngår i PFD. For feildata se Tabell A1 i OLF-070

Det er viktig at hvis feilen er farlig og ikke oppdages tidsnok for å kunne unngå ulykken så klassifiseres den fortsatt som en DU feil.

De feilratene som brukes for PFD og PFH er vanligvis forskjellige, da PFH ofte er basert på testing der komponenten aktiveres kontinuerlig til den svikter, mens de som brukes i PFD skyldes at komponenten får en farlig feil uten at den brukes og så får vi bruk for den før vi funksjonstester neste gang og finner/fjerner feilen. En typisk slik feil kan være en ventil som henger seg opp og ikke vil stenge. For PFH er en typisk feil et rele som blir utslitt av mange vekslinger og slutter å bryte strømmen.

 

Før en gjør disse beregningene bør strukturkravene som gitt av tabellene nedenfor sjekkes og funksjonen eventuelt modifiseres slik at kravene til struktur oppfylles først.

 

Figur 2 Krav til systemstruktur for A type komponenter

 

Figur 3 Krav til systemstruktur for B type komponenter

 

Framgangsmåten for å sjekke om strukturkravene er oppfylt er som følger:

1.       Bestem A eller B type og velg rett tabell.

2.       Finn SFF og det intervallet som passer for den aktuelle komponenten. Generiske SFF verdier er gitt i Tabell A1 i OLF-070

3.       Gå bortover linja i tabellen til du finner det SIL nivået du skal ha på funksjonen

4.       Øverst i den kolonnen står nødvendig HFT for den komponenten

Disse tabellene skal ikke sjekkes for funksjonen, men for alle komponentene som inngår i funksjonen. Dette innebærer at de forskjellige delene av funksjonen kan ha forskjellig HFT. Som et eksempel kan vi se på en trykktransmitter som skal brukes i en SIL 2 funksjon. Vi har funnet at den har SFF=72% og mest sannsynlig er en type B, da den er “smart” og kan konfigureres. I Figur 3 ser vi at for 60-90% kan vi bare oppnå SIL 1 for denne transmitteren. Vi må derfor sørge for at HFT=1. Dette gjør vi enklest ved å bruke to slike transmittere i en 1oo2 votering. Dette betyr at sikkerhetsfunksjonen blir aktivert hvis en av de to transmitterne gir signal om det (for eksempel høyt trykk) og en vil fortsatt ha sikkerhetsfunksjonen intakt selv om en ikke virker.

 

Når det gjelder kravene til arbeidsmetodikk og kvalitetssikring vil disse i tillegg til det som er nevnt over ha stor betydning for utvikling av både elektronikk og programvare. Spesielt for programvareutvikling finnes det en rekke tabeller i del 3 av 61508 som må oppfylles. For å kunne oppfylle disse tabellene må en vite SIL nivået en ønsker å oppfylle. Dette betyr i praksis at en må utvikle og dokumentere programvare for å oppfylle et SIL nivå, en kan ikke i ettertid bestemme hvilket nivå en bestemt programvare har.

 

Nødvendig SIL

For å komme fram til hvilket SIL nivå en egentlig trenger, gjøres en risikovurdering av det utstyret/prosessen en skal beskytte, der hovedtrekkene er omtrent som følger:

1.       Fastsett hvilke akseptkriterier som gjelder for bedriften/utstyret

2.       Anslå risikoen vi skal beskytte oss mot og som er forbundet med den aktuelle funksjonen

3.       Hvis den aktuelle risikoen er for stor

a.       Fjern mest mulig av risikoen ved å endre på prosessen slik at risikoen minskes

b.      Sett nødvendig SIL på funksjonen slik at risikoen blir liten nok

Detaljene i det over varier en del avhengig av industri og metodikk en velger å bruke.

De vanligste metodene som benyttes for å fastsette SIL nivået er:

·         Beregninger

·         Riskgraph

·         LOPA

·         I Norsk oljeindustri har en utarbeidet OLF 070 som blant annet fastsetter generiske nivåer for en del typiske funksjoner

·         For maskiner er nivået gitt av harmoniserte standarder

 

 

Prosessikkerhet

Når det gjelder prosessikkerhet bruker en enten IEC 61511 eller IEC 61508. Som et eksempel skal vi se på beskyttelsen av en trykktank mot overtrykk.

 

Figur 4Trykktank med beskyttelse mot overtrykk

Følgende framgangsmåte benyttes her:

1.       Det skal ikke være trykk over testtrykk oftere enn hvert 100 000 år, dvs 10-5 ganger per år.

2.       Vi anslår at uten regulering og operatører ville trykket bli for stort ti ganger i døgnet, men det er bare en gang i året (DR) at disse ikke klarer å bringe situasjonen under kontroll slik at vi trenger sikkerhetsfunksjoner.

3.       Vi har en instrumentert funksjon (SIF-Safety Instrumented Function med PT og ventil som stenger innløpet) og en mekanisk funksjon som sender det som kommer inn til et sikkert sted (fakkel el). Løsningen som er vist er standardløsningen i henhold til ISO 10418

4.       Vi tilordner da følgende risikoreduksjon til de to funksjonene:

Figur 5 Metodikk for å komme fram til nødvendig risikoreduksjon og tilordne denne til funksjoner

5.       Kravene til de to funksjonene blir da dokumentert i en SRS (Safety Requirement Specification) som brukes som utgangspunkt for konstruksjon.

a.       PSV

                                                               i.      PFD <  0.001

                                                             ii.      Klare 100 000 kg/time

                                                            iii.      Åpner ved trykk over 10 barg

                                                           iv.      Kalibreres annet hvert år

                                                             v.      Sikker tilstand, åpne ventil

b.      SIF

                                                               i.      SIL 2

                                                             ii.      Lukker ventilen på 5 sekunder

                                                            iii.      Reagerer ved trykk over 8 barg

                                                           iv.      Testing skjer ikke oftere enn en gang i året (τ =8760 timer)

                                                             v.      Sikker tilstand, steng ventil

Etter at funksjonene er bestemt, men før vi begynner å bestille og bygge må vi vise at det vi gjør faktisk tilfredsstiller de kravene vi har satt. Vi skal her se på den instrumenterte funksjonen.

Figur 6 Realisering av den instrumenterte sikkerhetsfunksjonen (SIF)

Gitt de tallverdier (Fra Tabell A1 i OLF-070) vi har får vi da følgende når vi skal sjekke om PFD og strukturkarvene er oppfylt.

 

Figur 7 Beregning av PFD for funksjonen

Vi ser at vi har problemer både med å oppfylle strukturkravene for trykktransmitteren og den totale PFD for funksjonen.

Som en ser står ventil og pilot for 70% av PFD.

 

 

Maskinsikkerhet

En maskin er kjennetegnet ved at minst en enhet er utstyrt med eller beregnet til å utstyres med et drivsystem som ikke kommer direkte som drivkraft fra mennesker eller dyr. Det er grensetilfeller, for eksempel en ventil, der en har bestemt at en ventil ikke er en maskin, selv om den er det i forhold til definisjonen.

Maskinsikkerheten er innenfor EØS regulert gjennom Maskindirektivet som i Norge er oppfylt ved at vi følger Maskinforskriften. For å oppfylle de kravene som gjelder for sikkerhetsfunksjoner henvises det til ISO 13849 eller til IEC 62061 som på samme måte som IEC 61511 er en sektorstandard for maskiner under IEC 61508.

 

 I forbindelse med maskiner er det viktig at en benytter standarder som er harmoniserte i forhold til det direktivet en er underlagt. Både ISO 13849 og IEC 62061 er harmonisert under Maskindirektivet, noe som betyr at hvis vi oppfyller kravene i en av disse så oppfyller vi kravene i forhold til Maskinforskriften på det området disse standardene gjelder. Se New Approach.

 

Hvis en tar for seg et helt anlegg så vil deler av anlegget kunne være underlagt kravet til maskiner, mens andre deler må betraktes som en prosess.

Risikovurdering av maskiner gjøres enklest ved å følge ISO 14121 som også inneholder de minimumskravene som funksjonen må oppfylle for å tilfredsstille maskinforskriften (akseptkriterie). Også her understrekes det at det første og viktigste tiltaket er å fjerne risiko ved konstruksjon i stedet for bare å innføre sikkerhetsfunksjoner.

I ISO 13849 er det definert Performance Level (PL) som er en litt finere oppdeling av PFH som definert i IEC 61508. IEC 62061 benytter SIL og PFH som definert i IEC 61508.

 

Figur 8 Sammenhengen mellom PL, PFH og SIL

PL

PFH

SIL

a

10-4 - 10-5

-

b

3 10-6 - 10-5

SIL 1

c

10-6 - 3 10-6

SIL 1

d

10-7 - 10-6

SIL 2

e

10-8 - 10-7

SIL 3

 

Strukturkravene er gitt på en litt annen form i ISO 13849 i forhold til i IEC 61508, det samme er kravene til arbeidsmetodikk og kvalitetssikring, herunder utvikling av programvare.

EN 954 definerte Category som krav til funksjoner, uten å angi eksplisitt ytelse, bare struktur. Denne standarden kan fra 2012 ikke lenger kan brukes (ikke harmonisert lenger) til å vise at en oppfyller kravene i Maskinforskriften. Kategorier (A til 4) er behold som strukturkrav i ISO 13849-1.

 

De feildata som benyttes (i High/Continuous demand) er vanligvis basert på B10d som igjen er basert på at et stort antall komponenter kjøres i testoppsett og der en teller operasjoner. Basert på dette kan en beregne PFH (ISO 13849-1 Annex C).

          Antall operasjoner før 10% av komponentene har feilet farlig, B10d

          Antall forventede operasjoner per år, nop

          Midlere tid før farlig feil, MTTFd

Ut fra det over ser en at feilraten og dermed også PFH vil variere avhengig av hvor ofte komponenten brukes.

 

Figur 9 Risikograf for å bestemme nødvendig PL for å oppfylle Maskinforskriften (ISO 13849-1)

 

Som et eksempel på en sikkerhetsfunksjon for en maskin bruker vi en nærhetsdetektor som åpner en kontaktor. Dette kan for eksempel være en dør inn til en farlig maskin, der maskinen stoppes når døren åpnes.

 

Figur 10Nærhetsdetektor som åpner kontaktor

I Tabell C.1 i ISO 13849-1 finnes det en del generiske tallverdier som vi benytter i dette eksempelet.

 

Figur 11Data for komponentene

Komponent

B10d

nop (per år)

MTTFd (år)

λD (timer)

Mekanisk nærhetsdetektor

20 000 000

365

547 945

2.1E-10

Kontaktor

2 000 000

365

54 795

2.1E-09

 

Basert på disse tallene og at komponentene brukes en gang per dag får vi følgende for denne enkle funksjonen.

 

PFH = 0.21 + 2.1 = 2.2 10-9 timer (SIL 4, PL e)

 

Ut fra formelen for MTTFd ser en at PFH er omvendt proporsjonal med antallet operasjoner, så hvis en bruker komponenten hvert minutt (nop = 365*24*60 = 525 600 per år) så vil PFH øke til 3.3 10-6 og ikke lenger tilfredsstille mer enn PL b (SIL 1).
 

Forkortelser

 

Forkortelse

Engelsk

Norsk

λ

Failure rate

Sviktintensitet (feil/time)

τ

Functional test interval

Funksjonstestintervall (timer)

β

Common cause factor

Fellesfeilfaktor

λD

Dangerous failure, lD=lDU+lDD

Farlig feil

λDD

Dangerous Detected failure

Farlige detekterte feil

λDU

Dangerous Undetected failure

Farlig ikke detekterte

λS

Safe failure, lS=lSU+lSD

Sikker feil

λSD

Safe Detected failure

Sikker detekterte feil

λSU

Safe Undetected failure

Sikker detekterte feil

λT

Total critical failure rate

Total kritisk feilrate

ALARP

As Low As Reasonably Practical

 

API

American Petroleum Institute

 

ASR

Automatic Shutdown Report

Automatisk nedstengningsrapport

B10d

Number of cycles until 10% of the components fail dangerously

Antall operasjoner før 10% av komponentene feiler farlig

COTS

Commercial Off The Shelf software

Kommersiell standardprogramvare

CSU

Critical safety Unavailability

Kritisk sikkerhetsutilgjengelighet

DC

Diagnostic Coverage

Grad av feildeteksjon

DD

Dangerous Detected

Farlige detekterte

DR

Demand Rate

Behovsrate

DU

Dangerous Undetected

Farlig uoppdaget

ESD

Emergency Shutdown System

NAS, Nødavstengningssystem

EUC

Equipment under control

Det som skal beskyttes

FMECA

Failure Mode Effect and Criticality Analysis (FMEDA, D-Diagnostic)

Feilmode effekt og kritikalitetsanalyse (FMEDA, D-diagnose/selvtest)

FSA

Functional Safety Assessment

Sikkerhetsgransking, 3. parts verifikasjon

HFT

Hardware Fault Tolerance

Feiltoleranse i maskinvare [1]

HIPPS

High Integrity Pressure Protection System

Høypålitelig instrumentert overtrykkssikring

HMI

Human Machine Interface

Menneske maskin grensesnitt

HSE

Health, Safety and Environment

Helse, Miljø og sikkerhet

IEC

International Electrotechnical Committee

 

IPF

Instrumented Protective Function

Instrumentert sikkerhetsfunksjon

LOPA

Layers Of Protection Analysis

 

MFS

Management of Functional Safety

Sikkerhetsledelse

MTBF

Mean Time Between Failures

Midlere tid mellom feil

MTTF

Mean Time To Failure

Midlere tid til feil

MTTFd

Mean Time To dangerous Failure

Midlere tid til farlig feil

NAS

ESD

Nødavstengningssystem

NC

Normally Closed

Normalt lukket

NDE

Normally De Energized

Normalt spenningsløs

NE

Normally Energized

Normalt spenningssatt

NO

Normally Open

Normalt åpen

nop

Mean number of annual operations

Antall forventede operasjoner per år

OREDA

Offshore Reliability Data

 

PAS

PSD

PAS, Prosesssikringssystem

PDS

Pålitelighet av Datamaskinbaserte Sikkerhetssystemer

PFD

Probability of Failure on Demand

Sannsynlighet for feil ved behov

PFH

Probability of Failures per Hour

Sannsynlighet for feil per time

PL

Performance Level

Ytelsesnivå

PSD

Process Shutdown System

PAS

PSF

Probability of Systematic Failures

Sannsynlighet for systematiske feil

PSV

Pressure Safety Valve

Sikkerhetsventil

PT

Pressure Transmitter

Trykktransmitter

QA

Quality Assurance

Kvalitetssikring

QRA

Quantitative Risk Assessment

Kvantitativ risikoanalyse

SAR

Safety Analysis Report

Sikkerhetsanalyserapport

SD

Safe detected

Sikker oppdaget

SFF

Safe Failure Fraction

Andel sikre feil [2]

SIF

Safety Instrumented Function

Instrumentert sikkerhetsfunksjon

SIL

Safety Integrity Level

Sikkerhetsintegritetsnivå

SIS

Safety instrumented system

Instrumentert sikkerhetssystem

SO

Spurious Operation

Utilsiktet aktivering

SRS

Safety Requirement Specification

Sikkerhetskravspesifikasjon

SU

Safe Undetected

Sikker uoppdaget

TIF

Test independent failures

Testuavhengige feil

V&V

Verification and Validation

Verifikasjon og validering

 


[1] HFT- Antallet feil i maskinvare vi kan tåle uten at funksjonen svikter farlig

[2] SFF = 100%*( λT - λDU)/ λT =  100%*(λD+ λSU+ λSD)/( λDU+ λD+ λSU+ λSD