SIL i praktiken

WeibullKonsult AB
IPS
SIL i praktiken
SIL i praktiken
IPS seminarium
IPS seminarium SIL i praktiken - 10/2012
1
Dagens syfte

Presentera IPS nya handledning om
realisering och drift av säkerhetskritisk
instrumentering.

Belysa några viktiga punkter inom
specifikation, konstruktion, installation och
drift av säkerhetskritisk instrumentering.
Vissa bakgrundskunskaper krävs.
IPS seminarium SIL i praktiken - 10/2012
2
1
WeibullKonsult AB
IPS
SIL i praktiken
Dagens program
8.30-9.00
9.00
9.35
10.15
10.45
11.30
Samling
Inledning
Säkerhetskravspecifikation
Kaffe
Grundkonstruktion och SIL-verifiering
Mjukvarukonstruktion
12. 00 Lunch
13.00
13.30
14.00
14.30
15.00
IPS seminarium SIL i praktiken 10/2012
Detaljkonstruktion, installation
Validering och relation till tredje parts kontroll
Överlämning, drift och underhåll
Diskussion och frågor
Avslutning
3
Inledning
IPS seminarium SIL i praktiken 10/2012
4
2
WeibullKonsult AB
IPS
SIL i praktiken
Författare
Har tagits fram av en arbetsgrupp:
Lars Axelsson, pidab
Per Eriksson, Eriksson Risk
Consulting
Kjell Karlsson, Autopro
Magnus Karlsson, COWI
Rickard Lycke, Preem
Dick Olsson, Aarhus
Karlshamn
Anders Thorsson, ÅF
Blenda Weibull, IPS
Kenneth Bengtsson, Ineos
Örjan Bernekil, Ineos
Magnus Carlsson, AkzoNobel
Göran Dahlebjörk, ÅF
Mats Dahlrot, Inspecta
AnnCharlott Enberg, AkzoNobel
5
IPS seminarium SIL i praktiken 10/2012
Livs-cykelperspektiv
Analys
Processdesign,
säkerhetskriterier
Riskanalys
och SILbestämn.
Beskrivning
av faror,
barriärer,
och
erforderlig
integritetsnivå
Realisering
Drift
Reviderad
SRS
Specifikation av
säkerhetskrav (SRS)
Detaljerad
specifikation
av alla
säkerhetskrav
IPS seminarium SIL i praktiken 10/2012
Design
Installation
och
överlämning
Detaljerad
design
specifikation
Fullt
fungerande
system
Drift och
underhåll
Modifiering
Uppföljning,
testprotokoll
6
3
WeibullKonsult AB
IPS
SIL i praktiken
Begränsningar (1.2)
Vad den inte handlar
om:
 Analysfasen
Realisering och drift
 Andra barriärer än
Instrumentering som
instrumentella
ger en
riskreduktion>10
 System för
brandbekämpning
Skyddsfunktioner som
eller liknande
arbetar på anrop
 Kontinuerliga
skyddsfunktioner
Vad den handlar om:



IPS seminarium SIL i praktiken 10/2012
7
Standarderna och tolkningen
SS-EN-61508
Övergripande standard
Skall:
 Krav i standarden,
direkt eller indirekt
SS-EN-61511
Sektorstandard,
branschtillämpning
Bör:
 Rekommendation,
god praxis
Handledningen bygger
på SS-EN-61511
IPS seminarium SIL i praktiken 10/2012
Inte en översättning av
standarden!
8
4
WeibullKonsult AB
IPS
SIL i praktiken
Vi välkomnar synpunkter! (1.3)


Skriv mail till info@ips.se
Ange ”SIL i praktiken” i rubriken
Synpunkterna kommer att användas för att
förbättra handledningen vid kommande
revideringar.
9
IPS seminarium SIL i praktiken 10/2012
Skyddsbarriär och riskreduktion (1.5)
Riskreduktionsfaktor (RRF) = 1000
1 ggn per
10 år
1 ggn per
10000 år
Skyddsbarriärer
IPS seminarium SIL i praktiken 10/2012
10
5
WeibullKonsult AB
IPS
SIL i praktiken
Riskreduktion
Minskande risk
Kvarstående
risk
Tolerabel
risk
Processens
risk
Brandskydd
Marginal
Invallning
Avsäkring
Erforderlig riskreduktion
Aktuell riskreduktion
SIF
Riskreduktion
från SIF
Larm
Styrsystem
Riskreduktion andra barriärer
Process
11
IPS kursvecka
En typisk säkerhetskritisk
instrumentfunktion (SIF)
LAH
FIC
Manöverdel
IPS seminarium SIL i praktiken 10/2012
LAHH
LIC
Logikdel
Givardel
12
6
WeibullKonsult AB
IPS
SIL i praktiken
En säkerhetskritisk funktion (SIF)
”En säkerhetskritisk funktion är avsedd att nå eller
upprätthålla processens säkra läge i förhållande
till en specifik fara”

En eller flera grundorsaker (avvikelser)
som

Kan detekteras på ett likvärdigt sätt (samma
processavvikelse)
Och som

Ger samma konsekvens, om
säkerhetsfunktionen inte fungerar
13
IPS seminarium SIL i praktiken 10/2012
Ett säkerhetskritiskt system (SIS)
Givare
Manöverdon
SIF 1
SIF 2
Logiklösare
SIF 3
SIF 4
SIF 5
IPS seminarium SIL i praktiken 10/2012
14
7
WeibullKonsult AB
IPS
SIL i praktiken
Ordinarie processtyrsystem (BPCS)
BPCS kan inte
användas för
säkerhetskritiska
instrumentfunktioner
(SIF)
IPS seminarium SIL i praktiken 10/2012
15
Grundprincip för separation
Ej säkert
processområde
SIS – enkla
säkerhetskritiska skydd
BPCS
Komplex
processtyrning –
inte
säkerhetskritisk
Andra
skyddsbarriärer
IPS seminarium SIL i praktiken 10/2012
16
8
WeibullKonsult AB
IPS
SIL i praktiken
Skyddsbehov

Lågt skyddsbehov

Low demand mode


High demand mode
Continuous mode

Continuous mode
anropsfrekvens<1 ggr/år

Högt skyddsbehov
anropsfrekvens>1 ggr/år

Kontinuerligt
skyddsbehov
IPS seminarium SIL i praktiken 10/2012
17
PFD – Probability of failure on
demand
Sannolikheten att en säkerhetskritisk
instrumentfunktion inte fungerar just när den
behövs.
IPS seminarium SIL i praktiken 10/2012
18
9
WeibullKonsult AB
IPS
SIL i praktiken
Integritetsnivåer - SIL
Integritetsnivåer
Högt
skyddsbehov
Lågt skyddsbehov
Sannolikhet att
fela vid anrop =
PFDavg
Riskreduktion
(RRF) = 1/PFDavg
PFH (FIT)
4
≥10-5 – 10-4
>10 000 – 100 000
≥1 – 10
3
≥10-4 –10-3
>1 000 – 10 000
≥10 – 100
2
≥10-3 –10-2
>100 – 1000
≥100 – 1000
1
≥10-2 –10-1
>10 – 100
≥1000 – 10000
SIL
19
IPS seminarium SIL i praktiken 10/2012
RRF – SIL - PFD
Behovet
Resultatet
Riskbedömning
Behov av
riskreduktion
Tillgänglighetsberäkningar
RRF
>10
SIL
PFD
1
<0,1
2
<0,01
3
<0,001
SIL
>100
>1000
PFD ≈ λ* T/2
RRF = 1/PFD
IPS seminarium SIL i praktiken 10/2012
20
10
WeibullKonsult AB
IPS
SIL i praktiken
Fler definitioner (bilaga A)

Bilaga A, svenska och engelska

Förklaring av hur olika begrepp används i
standarden eller i branschen - ingen
ordagrann översättning av standardens
definitioner
IPS seminarium SIL i praktiken 10/2012
21
Standarden är ingen lag! (1.7)
Ett sätt att uppfylla det lagstadgade kravet att
tillhandahålla respektive köra en anläggning på
ett säkert sätt!
Exempel på nytta med att tillämpa standarden:



Säkrare anläggning, färre tillbud
Snabbare start-up, färre oförklarliga stopp
Större kunskap om och förståelse för
anläggningssäkerhet
IPS seminarium SIL i praktiken 10/2012
22
11
WeibullKonsult AB
IPS
SIL i praktiken
Buncefield
IPS seminarium SIL i praktiken 10/2012
23
Befintliga anläggningar (1.7)
Åtgärder (i prioritetsordning):




Identifiera säkerhetskritiska funktioner
Förbättra oberoende och separation
Förbättra provningsrutiner, drift- och
underhållsinstruktioner
Förbättra logikdel och fältinstrumentering
IPS seminarium SIL i praktiken 10/2012
24
12
WeibullKonsult AB
IPS
SIL i praktiken
Exempel på tillämpning i befintlig
anläggning (1.7)



Utbyte av slitna delar: Välj SIL-godkända
komponenter (efter riskanalys)
Utbyte av logikdel (processen
oförändrad): välj SIL-godkänd logikdel,
förbättra separation, utvärdera
fältinstrumentering
Tillbyggnad: följ standarden för nya
funktioner, utvärdera befintliga skydd
IPS seminarium SIL i praktiken 10/2012
25
Arbetsgång (1.9)
IPS seminarium SIL i praktiken 10/2012
26
13
WeibullKonsult AB
IPS
SIL i praktiken
Kvalitetssäkring (2.1)
Planera
Sätta mål
Avdela
resurser
Genomföra
Revidera
Agera
Kontrollera
27
IPS seminarium SIL i praktiken 10/2012
Kvalitetssäkring – planering (2.2)
Riskanalys
och
allokering
Specifikation av
säkerhetskrav
Design
Installation
och
överlämning
Drift och
underhåll
Modifiering
Ve
Va
SG
Re
Verifiering – ”egenkontroll”, att varje fas från givna input gett avsedda output
Validering – acceptanstest, kontroll att säkerhetskravspecifikationen (SRS) uppfyllts
Säkerhetsgranskning – utvärdering av att det ursprungliga säkerhetsbehovet uppfylls
Revision
– oberoende revision av organisationen (kontroller enligt fastställt schema)
IPS seminarium SIL i praktiken 10/2012
28
14
WeibullKonsult AB
IPS
SIL i praktiken
Kompetens (2.3)
Grundprinciper:
 Enbart erfaren personal handhar
säkerhetskritisk instrumentering
 För realiseringsfasen – kunskap motsvarande
relevanta delar av handledningen
 För programmering – kunna det specifika
PLC-systemet
Mer detaljerade rekommendationer i
handledningen (kap 2.3)
IPS seminarium SIL i praktiken 10/2012
29
Överlämning, drift och
underhåll
IPS seminarium SIL i praktiken 10/2012
30
15
WeibullKonsult AB
IPS
SIL i praktiken
Kontroll av funktionssäkerheten
(7.4)
Säkerhetsgranskning före idrifttagning
 En del av överlämnandet
 Kan ingå i de säkerhetsrutiner som
processindustrin normalt har vid förändringar
i en anläggning.
Minst en oberoende person i gruppen!
IPS seminarium SIL i praktiken 10/2012
31
Periodisk funktionsprovning (8.1)
Två delar


Periodisk provning
Periodisk inspektion
Planering




Provningsintervall
Provningsinstruktion
Åtgärder och uppföljning av brister
Dokumentation
IPS seminarium SIL i praktiken 10/2012
32
16
WeibullKonsult AB
IPS
SIL i praktiken
Periodisk funktionsprovning

Fullständig provning

Partiell provning

Provets täckningsgrad
IPS seminarium SIL i praktiken 10/2012
33
Drift – kompetens (8.2)




Veta vad som kan gå snett!
Vilka skydd som finns och hur de fungerar
Vad som krävs för att de ska fungera!
Hur man agerar när skydden löser ut
IPS seminarium SIL i praktiken 10/2012
34
17
WeibullKonsult AB
IPS
SIL i praktiken
Barriärvård (8.2)




Kontroller före idrifttagning
Andra barriärer än SIF
Temporära förbikopplingar
Utredning och åtgärder vid falska utlösningar,
fel funna vid tester med mera
IPS seminarium SIL i praktiken 10/2012
35
Att minska falska utlösningar (8.3)

Diagnosticerat fel i flerkanalig funktionsdel



Den trasiga kanalen kan kopplas ur under en i
förväg angiven tid (MTTR)
2oo3 – en trasig kanal kan kopplas ur
Diagnosticerat fel i enkanalig funktionsdel


Lösa ut funktionen (stoppa processen) eller
Övervaka processen med alternativa metoder
under en i förväg angiven tid (MTTR)
Kräver korrekta rutiner och bra utbildning
IPS seminarium SIL i praktiken 10/2012
36
18
WeibullKonsult AB
IPS
SIL i praktiken
Alternativ för att hantera
diagnosticerat fel, enkanalig

Använda redundans (flerkanalig konstruktion)
för att kunna reparera under drift!
IPS seminarium SIL i praktiken 10/2012
37
Förbikoppling av andra skäl (8.3)
Skriftlig rutin i ledningssystemet
 Skriftlig dokumentation
 Riskbedömning
 Godkännande
 Utförande och dokumentation
 Uppföljning
Behov av förbikopplingar är i många fall ett
tecken på brister!
IPS seminarium SIL i praktiken 10/2012
38
19
WeibullKonsult AB
IPS
SIL i praktiken
Förebyggande underhåll (8.4, 8.5)
Upprätthålla tillgängligheten på den nivå som
krävdes från början!
 Säkerhetsmanualer för komponenter
innehåller information

Utbyte när säker livslängd nåtts

Förändringar
39
IPS seminarium SIL i praktiken 10/2012
Kvalitetssäkring och återkommande
uppföljning (8.6)
Planera
Sätta mål
Revidera
Agera
Prestanda på
säkerhetskritiska
funktioner:
Anropsfrekvens
Falska
Avdela
resurser
Genomföra
utlösningar
Provningsresultat
Drift-
och UH-rutiner
Kontrollera
IPS seminarium SIL i praktiken 10/2012
40
20
WeibullKonsult AB
IPS
SIL i praktiken
Återkommande uppföljning (8.6)

Kvalitetssäkring


Utredning av avvikelser
Kontroll av att rutiner följs

Återkommande uppföljning, förslagsvis minst
vart 5:e år

Månatlig uppföljning av proaktiva indikatorer

Hur väl barriärvården fungerar
IPS seminarium SIL i praktiken 10/2012
41
21
1
SRS-rapport
15 oktober 2012
SIL i praktiken
SIL i praktiken
SRS-rapport
Magnus Carlsson, AkzoNobel
Magnus Karlsson, COWI
1
25 OKTOBER 2012
SIL I PRAKTIKEN
SIL i praktiken
› Syftet
› När ska SRS-rapporten sammanställas
› Vem ska sammanställa SRS rapporten
› Underlag
› Mallar
2
25 OKTOBER 2012
SIL I PRAKTIKEN
2
SRS-rapport
15 oktober 2012
SIL i praktiken
Bakgrund
Deepwater Horizon 2010-04-20
“
3
en komplex och sammanhängande serie av mekaniska fel, mänskliga beslut,
teknik, operationellt genomförande och personalgruppers samspel”
Bild: US Coast Guard, Text: GP”
25 OKTOBER 2012
SIL I PRAKTIKEN
Introduktion till "SIL" (IEC 61508 / 61511)
LS
LT
LI
LT
SAFETY
S
4
25 OKTOBER 2012
SIL I PRAKTIKEN
S
BPCS
VESSEL
3
SRS-rapport
15 oktober 2012
SIL i praktiken
Syftet med SRS rapport
› Kravspecifikation på vårt säkerhetskritiska instrumentsystem (SIS)
› Underlag för grund- och detaljkonstruktion
› Underlag för mjukvaru SRS
› Underlag för validering
› Underlag för instruktioner för drift och underhåll
5
25 OKTOBER 2012
SIL I PRAKTIKEN
När ska SRS rapporten sammanställas
› Riskanalysen
identifierar behov av
barriärer, bl.a. SIF
› SIL-bestämning
fastställer krav på SIF,
ev. med hänsyn till
andra barriärer
› SRS-rapporten
sammanställs när
analysfasen är klar
och innan vi går in i
realiseringsfasen
› Överlämningsdokument som ägs
av processdesign
6
25 OKTOBER 2012
SIL I PRAKTIKEN
4
SRS-rapport
15 oktober 2012
SIL i praktiken
Vem sammanställer SRS rapport
› Samarbete mellan dem som kan och förstår den aktuella processen och de
krav man måste ställa för att processen skall vara säker:
› Processingenjören (ansvarig)
› Riskingenjören
› Instrumentingenjören
› Tar in hjälp av andra kompetenser om så krävs
7
25 OKTOBER 2012
SIL I PRAKTIKEN
Underlag till SRS rapport
› SIL bestämningsrapport
› Många detaljuppgifter som är lämpliga att sammanställa vid SIL-bestämningen
› Använd gärna de mallar som redovisas idag som checklistor
› Mallarna kommer att finnas tillgängliga på www.ips.se
8
25 OKTOBER 2012
SIL I PRAKTIKEN
5
SRS-rapport
15 oktober 2012
SIL i praktiken
SRS rapport
Kompendium kap. 3
”SIL i Praktiken”
Detaljerad beskrivning
SRS
Bilaga B
SIF
Exempel
ifylld
Bilaga C
En per
fabrik
9
25 OKTOBER 2012
SIL I PRAKTIKEN
SRS rapport
› Försättsblad:
(Bilaga B)
10
25 OKTOBER 2012
SIL I PRAKTIKEN
Exempel
ifylld
En per loop
6
SRS-rapport
15 oktober 2012
SIL i praktiken
SRS rapport
› Allmän beskrivning
(Bilaga B)
11
25 OKTOBER 2012
SIL I PRAKTIKEN
SRS rapport
› Gemensamma
säkerhetskrav för SIS
(Bilaga B)
NAMUR NE 43
Transmitter Signal
Värden varierar på
olika fabrikat (?)
12
25 OKTOBER 2012
SIL I PRAKTIKEN
7
SRS-rapport
15 oktober 2012
SIL i praktiken
SRS rapport
› Gemensamma
säkerhetskrav för SIS
(Bilaga B)
13
25 OKTOBER 2012
SIL I PRAKTIKEN
SRS rapport
› Gemensamma
säkerhetskrav för SIS
(bilaga B)
14
25 OKTOBER 2012
SIL I PRAKTIKEN
8
SRS-rapport
15 oktober 2012
SIL i praktiken
SRS rapport
› Gemensamma
säkerhetskrav för SIS
(bilaga B)
15
25 OKTOBER 2012
SIL I PRAKTIKEN
SRS rapport
› Gemensamma
säkerhetskrav för SIS
(bilaga B)
16
25 OKTOBER 2012
SIL I PRAKTIKEN
9
SRS-rapport
15 oktober 2012
SIL i praktiken
SRS rapport
› Gemensamma
säkerhetskrav för SIS
(bilaga B)
17
25 OKTOBER 2012
SIL I PRAKTIKEN
SRS rapport
› Sammanställning av SIF:
› Enligt exempel tabell 1
› Andra barriärer
18
25 OKTOBER 2012
SIL I PRAKTIKEN
10
SRS-rapport
15 oktober 2012
SIL i praktiken
SRS rapport
› Krav på SIF
(Bilaga C)
19
25 OKTOBER 2012
SIL I PRAKTIKEN
SRS rapport
› Krav på SIF
(Bilaga C)
20
25 OKTOBER 2012
SIL I PRAKTIKEN
11
SRS-rapport
15 oktober 2012
SIL i praktiken
SRS rapport
› Krav på SIF
(Bilaga C)
21
25 OKTOBER 2012
SIL I PRAKTIKEN
SRS rapport
› Krav på SIF
(Bilaga C)
22
25 OKTOBER 2012
SIL I PRAKTIKEN
IPS
SIL i praktiken
Grundkonstruktion &
SIL-verifiering
(Kapitel 4)
Realisering utan grundkonstruktion
Analysfas
Realiseringsfas
SRS
Detaljkonstruktion:
Hårdvara
SIL-verifiering
Systemdesign:
PES
Detaljkonstruktion:
Applikationsprogramvara
Mjukvaru-SRS
(Logikbeskrivning)
TIDSLINJE
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
1
IPS
SIL i praktiken
Realisering med grundkonstruktion
Analysfas
SRS
Realiseringsfas
Detaljkonstruktion:
Hårdvara
Grundkonstruktion
SIL-verifiering
Systemdesign:
PES
Detaljkonstruktion:
Applikationsprogramvara
Mjukvaru-SRS
(Logikbeskrivning)
TIDSLINJE
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Vanlig konsekvens av en för sen SIL-verifiering
Grundkonstruktionslösning med integrerad SIL-verifiering:
SENSORDEL
LOGIKDEL
MANÖVERDEL
Grundkonstruktionslösning utan integrerad SIL-verifiering:
SENSORDEL
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
LOGIKDEL
MANÖVERDEL
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
2
IPS
SIL i praktiken
Föreslagen arbetsmetodik
1. Granska kravspecifikationen (SRS)
1. Verifiera tillräcklig BPCS-separation
2. Identifiera dimensionerande krav för de funktionsdelar som är
gemensamma för flera funktioner (SIFs)
3. Välj logiklösare (Specificera logiklösare)
4. Fastställ systemets (SIS) säkra livslängd
5. Grundkonstruera och SIL-verifiera funktionerna (SIFs)
6. Dokumentera grundkonstruktion och förutsättningar
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Granskning av kravspecifikationen (SRS)
Ställ följande kontrollfrågor:
•Är funktionen kopplad till en specifik farlig händelse?
•Finns ett entydigt säkert processtillstånd definierat?
•Har funktionens specificerade givardel/givardelar möjlighet
att med säkerhet upptäcka avvikelsen/avvikelserna som ger
upphov till den farliga händelsen?
•Leder utlösning eller blockering av funktionens
manöverdel/manöverdelar med säkerhet till att processen når
eller förblir i sitt säkra läge?
•Är det logiska sambandet mellan givardel/givardelar och
manöverdel/manöverdelar klart och otvetydigt?
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
3
IPS
SIL i praktiken
Exempel: SIF med ofullständig givardel
Ånga
H-LIM
TT
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Exempel: SIF med komplett givardel
Ånga
H-LIM
L-LIM
TT
FT
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
4
IPS
SIL i praktiken
Exempel: 2 st. funktioner (SIFs)
PT
LT
H-LIM
L-LIM
pidab instrumentdesign ab
www.pidab.com
Lars Axelsson
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Granskning av SIS separation mot BPCS
SS-EN 61511-1 kräver att det säkerhetskritiska instrumentsystemet (SIS)
är väl separerat från den ordinarie processtyrningen (BPCS).
Utgångspunkten är alltid att inga komponenter i SIS ska delas med BPCS.
Undantag medges om:
Lars Axelsson
•
Man kan visa att ett fel i en komponent som tillhör BPCS inte kan ge
upphov till ett behov av den SIF som den är tänkt att användas i.
•
Man kan visa att sannolikheten för farliga funktionsfel som beror på fel i
en komponent eller en funktionsdel som ingår i BPCS är så låg att den
integritetsnivå (SIL) som krävs inte påverkas om den delas med en SIF.
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
5
IPS
SIL i praktiken
Grundkonstruktion och SIL-verifiering
START
Välj komponenter
(hårdvara) till
varje funktionsdel
SRS
SRS
NEJ
Är
komponentkraven
uppfyllda?
Beräkna
sannolikheten för
farliga funktionsfel
JA
Bestäm hårdvaruarkitekturer för
funktionsdelar
NEJ
Bestäm intervall
för funktionsprov
(PTI)
Är
felsannolikhetskravet
uppfyllt?
Är
arkitekturkraven
uppfyllda?
NEJ
JA
Grundkonstruktionen är OK!
JA
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Vad innebär SIL-verifiering av en SIF?
SIL-verifiering omfattar kontroll av att en tänkt konstruktionslösning för en säkerhetskritisk
instrumentfunktion (SIF) med avseende på följande tre krav:
Lars Axelsson
1.
Kontroll av att alla ingående apparater i säkerhetsfunktionen är antingen SILcertifierade enligt kraven i EN 61508-1..4 eller uppfyller kraven för beprövad
användning i EN 61511-1, upp till minst den integritetsnivå (SIL) som krävs.
Se EN 61511-1 11.5
1.
Kontroll av att varje funktionsdels hårdvaruarkitektur uppfyller feltoleranskravet (HFT)
för den krävda integritetsnivån (SIL), enligt EN 61511-1 eller enligt EN 61508-2.
Se EN 61511-1 11.4
2.
Kontroll av att sannolikheten för ett farligt funktionsfel (PFDavg / PFH) i den
sammansatta funktionen inte är större än den krävda integritetsnivån (SIL) tillåter.
Se EN 61511-1 11.9
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
6
IPS
SIL i praktiken
Krav på komponenter i SIS
Komponenter väljs och funktionsdelar sätts samman utifrån de krav som är specificerade i
kravspecifikationen (SRS).
Dessutom måste enligt EN 61511-1 alla utrustningar som ska användas i ett
säkerhetskritiskt instrumentfunktion (SIS) överensstämma med något av kriterierna
nedan för att risken för systematiska fel under funktionens livslängd ska minimeras:
Lars Axelsson
1.
Komponenten ska vara certifierad enligt SS-EN 61508:
Alla tillämpliga krav i SS-EN 61508-2 och SS-EN 61508-3 ska vara uppfyllda för den
krävda integritetsnivån (SIL). Detta intygas av tredje part genom ett SIL-certifikat.
2.
Komponenten ska uppfylla kraven för ”beprövad användning” enligt SS-EN 61511:
Alla tillämpliga krav för val av komponenter och funktionsdelar baserat på beprövad
användning (prior-use) i SS-EN 61511-1 ska vara uppfyllda uppfyllda för den krävda
integritetsnivån (SIL).
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Badkarskurvan
Felfrekvens
5,0E-05
4,0E-05
3,0E-05
2,0E-05
1,0E-05
0,0E+00
t
λ ≈ Konstant
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
Säker Livslängd
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
7
IPS
SIL i praktiken
Komponenters säkra livslängd
Säkerhetskritiska komponenter vars säkra livslängd är kortare än systemets
livslängd måste bytas förebyggande innan komponentens säkra livslängd
(ålder) har uppnåtts!
Det säkerhetskritiska systemets livslängd sätts oftast till mellan 15 och 25 år
beroende på logiklösarens (PLC-systemets) säkra livslängd.
Vissa elektroniska komponenter kan ha en kort säker livslängd relativt PLCn,
och därför måste de bytas förebyggande innan de nått sin max. ålder.
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Farliga och säkra fel
Farliga fel definieras som:
(61511-1: 3.2.11)
fel som kan sätta det säkerhetskritiska instrumentsystemet
i ett farligt eller funktionsodugligt tillstånd.
failure which has the potential to put the safety instrumented
system in a hazardous or fail-to-function state
Säkra fel definieras som:
(61511-1: 3.2.65)
fel som inte kan sätta det säkerhetskritiska instrumentsystemet
i ett farligt eller funktionsodugligt tillstånd.
failure which not has the potential to put the safety instrumented
system in a hazardous or fail-to-function state
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
8
IPS
SIL i praktiken
λ-värden (Failure Rates)
Felfrekvensen betecknas med bokstaven λ (lambda), och är ett mått på
hur ofta fel förväntas uppstå i en komponent eller i ett delsystem under
en bestämd tidsperiod.
Felfrekvensen λ delas upp i två huvudkategorier beroende på om felen
anses säkra eller farliga :
λTOT = λS + λD
λS = Frekvensen av säkra fel
λD = Frekvensen av farliga fel
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Vad menas med felsäkerhet?
Felsäkerhet eller det engelska uttrycket ”fail safe” är ett relativt begrepp som
kan förklaras så här:
En komponent eller utrustning kan anses ”felsäker” om felfrekvensen
för säkra fel hos utrustningen är betydigt högre än felfrekvensen för
farliga fel.
Felsäkerhet:
λS » λD
Eftersom sannolikhet är frekvens multiplicerat med tid, skall alltså
sannolikheten för att en komponent vid fel antar ett ”säkert läge” och/eller
lämnar ifrån sig en ”säker utsignal” vara betydligt högre än sannolikheten för
att den antar ett ”farligt läge” och/eller lämnar i från sig en ”farlig utsignal”, för
att den skall kunna anses vara felsäker.
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
9
IPS
SIL i praktiken
Hur mäter man felsäkerhet?
För att kunna ställa krav på de ingående komponenterna och funktionsdelarna i ett
säkerhetskritiskt instrumentsystem räcker det inte med denna vaga definition på
felsäkerhet. Ett kvantitativt mått på felsäkerhet behövs alltså. Genom att bilda en
kvot mellan frekvensen för alla säkra fel och den totala felfrekvensen, så får man
ett bra mått på hur ”felsäker” en komponent är.
Felsäkerhetskvoten, SFF (Safe Failure Fraction):
SFF = λS / λTOT = λS / (λS + λD)
Felsäkerhetskvoten SFF anges normalt i %, och ju mer felsäker en komponent
är ju närmare 100% är SFF.
pidab instrumentdesign ab
www.pidab.com
Lars Axelsson
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Funktionssäkerhetsintyg för komponenter
1. FMEDA
•
Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA
•
”Beprövad användning” måste hävdas och helt bevisas av användaren!
2. ”Beprövad användning” enligt EN 61511-1
•
Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA
•
Beprövad användning tillstyrks med vissa förbehåll
•
Beprövad användning kan hävdas av användaren med bas på intyget
3. SIL-certifikat enligt EN 61508-1…4
Lars Axelsson
•
Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA
•
SIL-certifieringen bedömmer även komponentens maximala
integritetsnivå (SIL) med avseende på systematiska fel!
•
”Beprövad användning” behöver inte bevisas eller hävdas
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
10
IPS
SIL i praktiken
Säkerhetsmanualen (Safety Manual)
Till en SIL-certifierad komponent eller komplett funktionsdel ska det
enligt EN (IEC) 61508 finnas en säkerhetsmanual (Safety Manual)
Säkerhetsmanualen beskriver komponentens eller funktionsdelens
användning, vilka begränsningar komponenten har och vilken
integritet som man kan tillskriva komponenten.
Manualen kan även ställa krav på installatör och användare för
att den systematiska integriteten ska bibehållas.
I den andra utgåvan av IEC 61511:2013 så kommer det troligen också bli
ett krav på att beprövade utrustningar ska ha säkerhetsmanualer.
pidab instrumentdesign ab
www.pidab.com
Lars Axelsson
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Flerkanaliga hårdvaruarkitekturer
Det finns minst tre skäl till att man gör hårdvaruarkitekturen hos säkerhetskritiska
funktionsdelar flerkanalig:
•
FUNKTIONSSÄKERHET:
Man använder flera kanaler för att ett farliga hårdvarufel inte ska sätta
säkerhetskritiska funktioner ur spel
•
TILLGÄNGLIGHET:
Man använder flera kanaler för att säkra hårdvarufel inte ska leda till falska
utlösningar av säkerhetskritiska funktioner som ger driftsstörningar och
avbrott.
•
Lars Axelsson
UNDERHÅLLBARHET:
Man använder flera kanaler för att man enkelt ska kunna underhålla och prova
komponenter i säkerhetskritiska funktioner under drift
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
11
IPS
SIL i praktiken
För- och nackdelar hos hårdvaruarkitekturer
HW-arkitektur
(MooN)
Lars Axelsson
Arkitekturens egenskaper jämfört med 1oo1
+ förbättring
- försämring
HFT
Funktionssäkerhet
Driftstillförlitlighet
1oo2
1
+
-
1oo3
2
++
--
2oo2
0
-
+
2oo3
1
+
+
2oo4
2
++
+
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Feltoleranskrav (HFT) på hårdvaruarkitekturen
Alla funktionsdelar i säkerhetskritiska instrumentfunktioner, sensorer,
logiklösare och manöverdon ska ha en hårdvaruarkitektur med en lägsta
hårdvarufeltolerans (HFT), beroende på den integritetsnivå (SIL) som krävs.
Se EN 61511-1 11.4.1
Arkitekturkravet kan tillgodoses på två sätt:
1. Man kan uppfylla kravet på lägsta HFT i SS-EN 61508-2
2. Man kan uppfylla kravet på lägsta HFT i SS-EN 61511-1
SS-EN 61511-1 tar ingen hänsyn till hårdvarans felsäkerhet (SFF) men kan i gengäld ge
mildare krav för beprövade komponenter.
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
12
IPS
SIL i praktiken
Gemensamma fel och β-faktorn
Gemensamma fel är fel som uppträder samtidigt i flera eller alla
redundanta kanaler i en funktionsdel beroende på en gemensam felkälla.
Gemensamma fel har därför förmågan att åstadkomma farliga fel i
funktionsdelar trots en redundant arkitektur.
•
Gemensamma funktionsfel orsakas oftast av systematiska felkällor.
•
Man tillskriver ofta redundans en allt för stor betydelse eftersom den
teoretiskt ger en relativt stor reduktion av sannolikheten för farliga fel
om man inte tar hänsyn till förekomsten av gemensamma felkällor.
β-faktorn anger hur stor andel av de farliga felen som härstammar från
gemensamma felkällor.
Normal så ansätter man β-faktorer i intervallet 0,1…0,01 (10…1%)
beroende på de redundanta kanalernas oberoende av varandra.
pidab instrumentdesign ab
www.pidab.com
Lars Axelsson
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Diversifierad redundans
Genom att använda sig av olika mätmetoder i en redundant givardel eller
olika principer för att stänga av ett processflöde i en redundant manöverdel
så åstadkommer man diversifiering eller diversifierad redundans.
Diversifieringens syfte är att göra en funktionsdel mer tålig mot systematisk
påverkan och därmed minskar sannolikheten för gemensamma fel.
Diversifiering av givardelar kan exempelvis innebära att man:
•
Mäter olika storheter för att övervaka ”samma sak”
•
Väljer olika mätmetoder för att mäta samma storhet
•
Väljer skilda fabrikat på givare och transmittrar
•
Placerar och utför processanslutningar olika
Diversifiering av manöverdelar kan innebära att man:
Lars Axelsson
•
Stoppar pump och stänger ventil för att stänga av ett flöde
•
Använder olika ventiltyper och ställdonstyper för att stänga av ett flöde
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
13
IPS
SIL i praktiken
Funktionsprovning
Sannolikheten för att en säkerhetskritisk instrumentfunktion (SIF) som behövs
relativt sällan fungerar när den väl behövs beror i hög grad på hur ofta
funktionen provas. Därför måste alla funktioner (SIFs) med ett lågt
skyddsbehov provas periodiskt för att integriteten ska bestå.
Olika funktionsprovsintervall kan väljas för funktionsdelarna i en SIF.
Normalt varierar funktionsprovsintervallen mellan 12 och 60 månader (1…5 år).
Dessutom är provningsmetoden betydelsefull eftersom en heltäckande
provningsmetod ger en hög täckningsgrad vid provningen, medan en
ofullständig metod betyder att täckningsgraden blir begränsad och
täckningsgraden har också stor inverkan på felsannolikheten över tid.
Att sätta täckningsgraden till 100% är i de allra flesta fall fel.
Provningsmetoder och täckningsgrader anges i säkerhetsmanualrena
för SIL-certifierade komponenter.
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
Beräkning av medelfelsannolikhet
(PFDavg)alternativt felfrekvens (PFH)
GIVARDEL
LOGIKLÖSARE
MANÖVERDEL
PFDavg
(PFH)
PFDavg
(PFH)
PFDavg
(PFH)
Medelfelsannolikheten för ett farligt funktionsfel vid anrop (PFDavg)
beräknas för den kompletta säkerhetsfunktionen (SIF) genom att
funktionsdelarnas medelfelsannolikheter summeras ihop.
Vid högt skyddsbehov summeras istället funktionsdelarnas felfrekvenser
(PFH)
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
14
IPS
SIL i praktiken
Verifiering av PFDavg / PFH
Skyddsbehov
SIL
Lågt
Lars Axelsson
Högt
1
PFDavg < 1 x
10-1
PFH < 1 x 10-5 / h
2
PFDavg < 1 x 10-2
PFH < 1 x 10-6/ h
3
PFDavg < 1 x 10-3
PFH < 1 x 10-7 / h
4
PFDavg < 1 x 10-4
PFH < 1 x 10-8 / h
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
PFD under systemets livstid
Lars Axelsson
pidab instrumentdesign ab
www.pidab.com
Ålegårdsgatan 1
431 50 Mölndal
tel: +46 (0) 31 27 30 15
e-post: pidab@pidab.com
15
IPS
SIL i praktiken
Mjukvarukonstruktion i
säkerhetskritiska
instrumentsystem
Planering
SRS
Arkitektur
Programmering
Verifiering
Driftfas
Planering
V-modellen
SIS
Kravspecifikatio
n
(SRS)
Specificering
PES
(säkerhets-PLC)
SIS
Validering
(SAT)
Upprättande av
Mjukvaru-SRS
Integrationstest
av applikationen
(FAT)
Bestämning av
mjukvaruarkitektu
r
Utveckling av
applikationsprogram
Arbetsflöde
Verifiering
Utveckling av
funktionsmodule
r
Logiktest av
applikationsprogram
Logiktest av
funktionsmodule
r
1
IPS
SIL i praktiken
SRS - Krav på hårdvara

Cykeltid
Påverkar reaktionstiden och tiden för
nedstängning vid fel i systemet.


IO-kapacitet
CPU-last
Storlek på applikation och kommunikation.
Vissa fabrikat har begränsningar
på hur stor last (%) som tillåts.

Kommunikation
Vilka gränssnitt och protokoll behövs?

Integritetsnivå
SIL1,2,3,(4) ?

Redundans
Kan höja tillgängligheten, ger inte högre säkerhet

Säker livslängd.
Hur länge kan PFD garanteras?
SRS – Krav på applikationen

Benämning av SIF
Denna benämning skall användas för identifiering i programmet

Beskrivning av SIF
Text eller logikschemor som beskriver funktionen

TAG-nummer på signaler
Säkerhetssignaler skall särskiljas. T.ex. med ett ingående -Z

Signalbeskrivning
Mätområde, ingenjörsstorhet, fraktion

Gränsvärden och hystereser
För utlösningsfunktioner


Återställning efter tripp
Felhantering
Vad skall hända vid t.ex. signalfel eller fel på en givare i en 2/3-koppling.

Förbikoppling
Kan behövas under uppstart och vid funktionstester.
2
IPS
SIL i praktiken
Arkitektur

Struktur
Indelning av programmet i SIF:ar, processavsnitt, fabriksdelar.
Variabeluppbyggnad i sammansatta datatyper
Objektorientering

Identifiering
Använd samma benämningar som i övrig dokumentation

Programmeringsmetod
Funktionsblock (rekommenderas)
Stegdiagram (Ladder)
Strukturerad text
Förreglingsmatris (cause & effect)
Sekvensflödesdiagram (bör undvikas)

Förenklar programmeringsarbetet

Underlättar granskning.
Programmering

Endast säkerhetskritisk programkod i SILapplikation
Tillhörande icke säkerhetskritisk kod i standardapplikation
Övrig icke säkerhetskritisk kod i BPCS

Hög läsbarhet
Kommentera alla funktioner
Separera koden så den inte blir ”rörig”

Sekventiella förlopp
Bör undvikas i SIL-applikation, använd tillståndsbaserad logik för att lösa sekventiella
förlopp.
Om sekvenser måste användas skall utgångarna kompletteras med separat
förreglingslogik

Batchprocesser
Om recept eller batchläge skall påverka säkerhetsgränser måste en synkronisering
mellan systemen ske. Detta kan göras genom att data överförs från batchsystemet till
säkerhetssystemet där en rimlighetskontroll av data måste göras.
En sådan synkronisering bör även bekräftas av operatör innan nya säkerhetsgränser
används
3
IPS
SIL i praktiken
Programmering

Larmhantering
Vid aktiverad säkerhetsfunktion skall larm ges till operatör..
Sådana larm ska ange objektidentitet och vad som var orsak
till utlösningen eller avvikelsen, samt en korrekt och tillräckligt upplöst tidsangivelse.

Felhantering
Programexekveringsfel
Hårdvarufel
Fel i kraftmatning
Signalfel i instrumentkrets.
Kommunikationsfel

Förbikoppling
Förbikopplingar för testning och/eller underhåll
Villkorsstyrda förbikopplingar vid speciella driftsfall.
Förbikopplingar av givarkanaler vid detekterade givarfel.

Signalutbyte med BPCS
Signaler från BPCS måste alltid underordnas den säkerhetskritiska programkoden .
Logikexempel
4
IPS
SIL i praktiken
Verifiering

Testning under programutvecklingen.
Provning av funktioner och
applikationsdelar i simulering.

FAT
Standarden SS-EN 61511 kräver inte att man utför någon separat verifiering av hela
applikationen och hårdvaran ihop.
Normalt utförs ändå en acceptanstest av ekonomiska och tidsmässiga skäl

SAT (Validering)
Validering innebär att man före idrifttagning av processen verifierar att alla krav som
ställs på SIS i SRS har uppfyllts. Standarden kräver att det mot processen installerade
säkerhetskritiska instrumentsystemet (SIS) valideras innan den aktuella processen eller
processdelen får tas i drift.
Valideringen består av följande tre aktiviteter:
Testning av det mjukvarubaserade säkerhetssystemet (SIS)
Besiktning av alla säkerhetskritiska delsystem och komponenter
Granskning av berörda drift- och underhållsinstruktioner
Om SIS ingår i ett system som kräver kontroll av tredje parts ackrediterat organ så skall
de validera systemet (oavsett SIL-nivå).
Anläggning i drift

Åtkomstskydd
Möjligheten att förändra säkerhetskritisk programkod måste begränsas så att obehörig
personal inte kan utföra ändringar i systemet.

Modifieringar
Ändringar i den säkerhetskritiska programkoden ska om möjligt undvikas efter
validering!
Om ändringar måste genomföras bör det föregås av en riskbedömning för hela det
programmerbara säkerhetssystemet

Virusskydd
Säkerhetssystemets verktygs- och applikationsprogram ska skyddas mot virus och
skadlig programkod.

Loggbok
Alla ändringar och underhållsåtgärder i såväl hårdvara som mjukvara
i det säkerhetskritiska programmerbara systemet
ska efter slutförd validering skrivas in i en loggbok
Loggningen ska minst omfatta:
Systemidentitet
Tidpunkt
Beskrivning av åtgärd
Orsak till att åtgärden utförs.
Uppgift om vem som utfört åtgärden.
5
IPS
SIL i praktiken
Sammanfattning
Lägg mycket tid på strukturen
 Sök enkla lösningar
 Kommentera (för) mycket
 Separera SIL-applikationen
 Testa noggrant
 Underlätta granskning

6
2013-02-12
Detaljkonstruktion
Rickard Lycke
Preem Projektavdelning, Lysekil
2013-02-08
Detaljkonstruktion
Förvalta och utveckla det
arbete som gjorts under
framtagning av SRS och
grundkonstruktion
Resultera i ett underlag
för installation,
driftsättning,validering
och drift/UH.
1
2013-02-12
Planering
– förbered för
framtida faser
Tre mål:
• Säker installation och driftsättning
• Uppfylla krav i SRS
• Upprätthålla funktionssäkerheten
Tre planer:
• Installation/driftsättning
• Validering
• Drift/underhållsplanering
Tre frågor:
• Vad skall göras
• När skall det göras
• Vem skall göra det
Detaljkonstruktion
Uppfylla ställda krav:
• Kravspecifikationen
(SRS)
• Grundkonstruktionen
• Säkerhetsmanualer och
konstruktionsanvisningar
Uppmärksamhet på:
• Ändringar
• Motstridiga krav
• Säkerhetsmanual
2
2013-02-12
Detaljkonstruktion
Vad skall göras?
• Ta fram en infrastruktur
• Ta fram I/O-behov/ IO-allokera
• Dimensionera/specificera komponenter
• Dokumentera
Detaljkonstruktion
Infrastruktur:
1. Separera
2. Märk upp
•
Ta fram en infrastruktur
•
Ta fram I/O-behov/ IO-allokera
•
Dimensionera/specificera komponenter
•
Dokumentera
Det är bättre att stegvis förbättra
befintliga säkerhetsfunktioner än att
helt avstå, om investerings-medel
saknas för att fullt ut följa standardens
krav.
Om ny struktur installeras – utnyttja
möjligheten till separation.
Om befintlig struktur –
minska risken för förväxling.
3
2013-02-12
Detaljkonstruktion
I/O bestämning:
•
Ta fram en infrastruktur
•
Ta fram I/O-behov/ IO-allokera
•
Dimensionera/specificera komponenter
•
Dokumentera
•
Ta fram en infrastruktur
•
Ta fram I/O-behov/ IO-allokera
•
Dimensionera/specificera komponenter
•
Dokumentera
• Samverkan med
mjukvarukonstruktör
• Struktur/Separation
• Reserver
Detaljkonstruktion
Dimensionera/Specificera:
•
Placering / Mätuttag
•
Redundans / HFT
•
Funktionskrav/svarstider
•
Överdimensionering
4
2013-02-12
Detaljkonstruktion
Speciella krav:
• Arbetsströmskoppling /
Dubbelverkande don




•
Ta fram en infrastruktur
•
Ta fram I/O-behov/ IO-allokera
•
Dimensionera/specificera komponenter
•
Dokumentera
Önskad funktion
”Påtvingad” funktion
Separeras helt
Få anslutningspunkter
Frånskiljbara plintar får ej användas
Kontroll på spänningsförsörjning/lufttillförsel
• Höga SIL-nivåer



Antivalenskontroll
Övervakade ingångar
Diversifiering
Detaljkonstruktion
Dokumentation:
•
Säkerhetskritiska delar
särskiljas från övrigt.
•
Tydliga installationsanvisningar
(Hook-up’s mm)
•
Ta fram en infrastruktur
•
Ta fram I/O-behov/ IO-allokera
•
Dimensionera/specificera komponenter
•
Dokumentera
5
2013-02-12
Detaljkonstruktion
Glöm inte konstruktionsgranskningen:
•
Granskas/Godkännas - innan inköp
och installation
•
Minst två par ögon - undvik
hemmablindhet
Installation &
Driftsättning
6
2013-02-12
Installation
Förvalta det arbete som
gjorts under detaljkonstruktion
Installation&Driftsättning
Vi har gjort en planfölj denna:
Uppmärksamhet på:
• Sena ändringar
• Avvikelser i underlag
7
2013-02-12
Installation&Driftsättning
Att tänka på:
• Separera underlag
• Kontrollera levererad
utrustning
• Rätt montage
• Installationskontroll
• Kontroll av ändringar
(MOC)
Installation&Driftsättning
Att tänka på:
• Separera underlag
 Fördel separera underlag
• Kontrollera levererad
utrustning
 Utifrån projektets komplexitet
• Rätt montage
• Installationskontroll
• Kontroll av ändringar
(MOC)
8
2013-02-12
Installation&Driftsättning
Att tänka på:
• Separera underlag
• Kontrollera levererad
utrustning
 Korrekt märkt
 Komplett leverans
 Inga transportskador
• Rätt montage
 Kontroll/Testkörning
• Installationskontroll
 Separera från övriga
komponenter
• Kontroll av ändringar
(MOC)
Installation&Driftsättning
Att tänka på:
• Separera underlag
• Kontrollera levererad
utrustning
• Rätt montage
• Installationskontroll
• Kontroll av ändringar
(MOC)
Mycket kan gå fel:






Roturdragning
Felaktiga – olika områden
Långa impulsledningar
+/- ben växlade
Växlade termoelement
Up-scale/down-scale
9
2013-02-12
Installation&Driftsättning
Att tänka på:
• Separera underlag
• Kontrollera levererad
utrustning
• Rätt montage
• Installationskontroll
• Kontroll av ändringar
(MOC)
Installation&Driftsättning
Att tänka på:
• Separera underlag
• Kontrollera levererad
utrustning
• Rätt montage
• Installationskontroll
• Kontroll av ändringar
(MOC)
10
2013-02-12
Installation&Driftsättning
Att tänka på:
• Separera underlag
• Kontrollera levererad
utrustning
 Installera enligt plan
- Följ underlag
 Om felaktigheter
• Rätt montage
- Synliggör för granskning
• Installationskontroll
• Kontroll av ändringar
(MOC)
Installation&Driftsättning
Att tänka på:
• Separera underlag
 Dokumentationskontroll
• Kontrollera levererad
utrustning
 Installationskontroll (visuellt)
• Rätt montage
 Realistiska förhållanden
• Installationskontroll
 SS EN 62382
• Kontroll av ändringar
(MOC)
 Protokollföras
 Funktionskontroll
11
2013-02-12
Installation&Driftsättning
Att tänka på:
• Separera underlag
• Kontrollera levererad
utrustning
 Avvikelser skall rättas till eller
så skall tillräckligt kompetent
person säkerställas att det ej
påverkar funktionssäkerheten
• Rätt montage
• Installationskontroll
• Kontroll av ändringar
(MOC)
Installation&Driftsättning
Glöm inte installationsbesiktningen:
•
Skall utföras enligt standarden
•
Besiktningen bör utföras först då
alla installations- och
driftsättningsaktiviteter är slutförda
12
2013-02-12
Frågor ?
13
Vad säger lagen om SIL och trycksatta anordningar?
1
2013-02-12
Vad säger lagen om tillämpning av SIL för trycksatta anordningar?
• Vilka formella lagkrav gäller för instrumenterade säkerhetsutrustningar ?
• När måste instrumenterade säkerhetsutrustningar kontrolleras av tredje part ?
Vid nytillverkning
Vid drift av befintliga anläggningar vid återkommande besiktning, FLT
Vid ändringar eller reparationer?
• Finns det kända problem med att tillämpa ”SIL” för att uppfylla lagkraven?
2
2013-02-12
1
Vid nytillverkning
Ska uppfylla AFS 1999:4 (PED), vilket i korthet innebär
• Säkerhetsutrustning skall vara
på marknaden”
- märkt när den “tas i drift” eller ¨“placeras
• Säkerhetsutrustning tillhör normalt kategori IV
• Säkerhetsutrustning ska finnas om designtryck eller designtemperatur kan
överskridas. (Nivå)
• Riskanalys ska utföras och dokumenteras
Not: Motsvarande krav finns i AFS 2005:2
3
2013-02-12
Tekniska krav i AFS 1999:4, bilaga 1
• Skall vara lämpliga för aktuellt objekt och dess avsedda användning
• Behov av underhåll och provning beaktat
• Oberoende av andra funktioner
• Lämpliga konstruktionsprinciper:
- felsäkerhet
- redundans
- diversifiering
- självövervakning
4
2013-02-12
2
Harmoniserade standarder
• EN 764-7 Säkerhetssystem
• EN 12952-7:2012 Vattenrörspannor
• Att tillämpa ”SIL” förefaller var en bra väg att uppfylla PED med tillhörande
harmoniserade standarder
5
2013-02-12
Befintliga anläggningar
• AFS 2002:1
Användning av trycksatta anordningar
- Omfattar alla trycksatta anordningar
- Riskbedömning ska vara utförd och dokumenterad
- Program för fortlöpande tillsyn ska finnas
Fördjupning av riskbedömning kan vara att man gör en SIL klassning av befintliga
skydd, för att fastställa vilka som är mest kritiska.
Dock ska man inte SIL-verifiera befintliga säkerhetskretsar.
• AFS 2005:3
Besiktning av trycksatta anordningar
- Krav på kontroll av ackrediterat organ för anordningar i besiktningsklass A och B
- Kontroll av säkerhetsanordningar som skyddar objekt i besiktningsklass A och B
6
2013-02-12
3
Vid ändringar eller reparationer?
När en väsentlig reparation eller ändring har utförs på trycksatta anordningar
skall en revisionsbesiktning genomföras
Skall uppfylla krav enligt
− AFS 1999:4, bilaga 1 (ej CE märkning och driftinstruktioner)
− Anmält organ ersätts av ackrediterat kontrollorgan
Reparation
Återställande till ursprungskick, delar som byts ut ska uppfylla dagens krav.
Tex utbyte av trycktransmitter
Större ändring
Helheten ska se som en ny produkt och samma krav som vid tillverkning gäller
Tex utbyte av en brännarstyrning
12 February 2013
När måste instrumenterade säkerhetsutrustningar kontrolleras av
tredje part ?
• Kontroll av Anmält Organ eller Ackrediterat Organ kan erfordras om
säkerhetsutrustningen skyddar den tryckbärande anordningen mot:
− tryck temperatur eller nivå.
• Klassningen avgör om det krävs kontroll av AO eller AKO eller inte.
− Vid Kategori I-IV, kontrollklass G+K och besiktningsklass A-C
krävs kontroll AO eller AKO
• Det finns altlså ingen koppling mellan SIL och kravet på kontroll av
Anmält Organ eller Ackrediterat Organ
• Ibland krävs tredjepartsgranskning av något som har ”SIL 0”
och det finns exempel på ”SIL 3” som inte behöver granskas.
8
2013-02-12
4
Finns det kända problem med att tillämpa ”SIL”
för att uppfylla lagkraven?
• Kalibrering av riskanalysen måste utföras av den som ska tillämpa standarden.
− Det finns inga riktlinjer från svenska myndigheter om hur lämplig kalibrering ska
var gjord. Det kan skilja på en SIL-nivå upp eller ner.
• IPS har en handledning för kalibrering av riskgraf
• AFS 2005:3 har krav på provningsintervall, oftast ett eller två år.
− SIL-verifiering kan ge mycket längre provningsintervall.
− OBS: För avsteg från det intervall som krävs enligt föreskriften krävs en dispens!
• Det har blivit vanligare med brist på separation i arkitektur för säkerhetssystem i
förhållande till driftssystem. Varför?
− Man tror att SIL-instrumenteringen är ofelbar, och kanske också dyr
− Äldre lösningar med mekaniska vakter har alltid separation på givarsidan
9
2013-02-12
Validering
• Validering, av engelskans ”validate” i betydelsen
göra giltigt, bekräfta. Validering kan anses vara
ett generellt begrepp för att giltiggöra en process
• Blev det enligt specifikationen?
2013-02-12
5
2013-02-12
11
FAT
Factory Acceptance Test
• FAT
Syftet med en FAT är att kontrollera att leverantören levererar rätt utrustning med
avseende på komponenter (CE-märkta, uppfyller kraven i specifikationen osv), att
mjukvaran är enligt specifikation och fungerar ihop med komponenterna och att det
fungerar som det är tänkt före den sammansatta utrustningen sätts in i anläggningen.
• FAT är frivilligt enligt standarden
• I det flesta fall finns det mycket att vinna med att utföra en FAT av mjuk och
hårdvara. Eventuella fel brister, oklarheter kan klaras ut eller belysas i ett tidigt skede
12
2013-02-12
6
13
2013-02-12
Validering
• SAT (Site Acceptence Test)
Syftet med en SAT är att genom inspektion och tester validera att SIS
och tillhörande SIF möter de funktionsmässiga och konstruktionsskarven
i SRS och SIL-verifieringen
• För FAT och SAT finns en standard som heter SS-EN 62381, testrapport
• Validering bör utföras och dokumenteras enligt en skriven procedur, denna
procedur är en del av grund konstruktions arbetet.
14
2013-02-12
7
Validering
Innebar att man innan man tar säkerhetssystem i drift skall man kontrollera att det är
byggt enligt specifikationer, ritningar och annat underlag
I princip ska allt kontrolleras!
- Fältutrustning, slutelement, sensorer, impulsledningar, tracing
- Placering i fält, P&I Diagram, kommer man få tänkt funktion?
- Komponenter, mot SRS och SIL verifiering
- Driftförhållande, media, temperatur, frysning
- Förläggning av kablar, jordning, avsäkring
- Märkning fält/ritningar
- Förreglingar, och förbi kopplingar
- Kommunikation med DCS
- Funktionsprovning av SIF
15
med mera, mera…
2013-02-12
Provning av säkerhetssystem, utförande
•
Provning bör utföras så likt normal drift som möjligt
•
Tryck
Alternativt så stängs tryckgivaren av och trycket i givaren höjs med hjälp av en
pump tills brytning sker
•
Temperatur
Alternativt kan givarna demonteras och värmas i ett oljebad eller liknade,
används denna metod bör man ha en termometer i oljebadet som visar den
verkliga temperaturen.
Givare som skall testas
Givare som mäter temperatur i ugnen
16
2013-02-12
8
Exempel på märkning
• Säkerhetsutrustning bör märkas så det tydligt framgår att det är..
- i fält
- på ritningar
17
2013-02-12
Valideringsrapport
Utförd validering ska dokumenteras i en rapport, bl. a innehållande;
• Aktuell version av den valideringsinstruktion (plan) som använts
• SIF som provats och referenser till de krav (SRS).
• Utrustningar som använts, med spårbar kalibreringsdata.
• Resultatet av varje funktionskontroll
• Kriterierna för att godkänna kontrollen av samverkan med andra system
• Versionsnummer på den hårdvara och programvara som provats
• Alla avvikelser mellan förväntat och bekräftat provningsresultat
• Resultatet av utförd validering
.
18
2013-02-12
9
19
2013-02-12
Säkerhetsgranskning och överlämning
• Innan säkerhetssystemet tas i drift ska en säkerhetsgranskning utförs.
• Granskningen skall genomföras av en tvärfacklig grupp som täcker in både tekniska,
driftmässiga och underhållsmässiga kompetenser.
• Minst en deltagare i gruppen skall vara oberoende av deltagarna i själva projektet.
20
2013-02-12
10
21
2013-02-12
11