WeibullKonsult AB IPS SIL i praktiken SIL i praktiken IPS seminarium IPS seminarium SIL i praktiken - 10/2012 1 Dagens syfte Presentera IPS nya handledning om realisering och drift av säkerhetskritisk instrumentering. Belysa några viktiga punkter inom specifikation, konstruktion, installation och drift av säkerhetskritisk instrumentering. Vissa bakgrundskunskaper krävs. IPS seminarium SIL i praktiken - 10/2012 2 1 WeibullKonsult AB IPS SIL i praktiken Dagens program 8.30-9.00 9.00 9.35 10.15 10.45 11.30 Samling Inledning Säkerhetskravspecifikation Kaffe Grundkonstruktion och SIL-verifiering Mjukvarukonstruktion 12. 00 Lunch 13.00 13.30 14.00 14.30 15.00 IPS seminarium SIL i praktiken 10/2012 Detaljkonstruktion, installation Validering och relation till tredje parts kontroll Överlämning, drift och underhåll Diskussion och frågor Avslutning 3 Inledning IPS seminarium SIL i praktiken 10/2012 4 2 WeibullKonsult AB IPS SIL i praktiken Författare Har tagits fram av en arbetsgrupp: Lars Axelsson, pidab Per Eriksson, Eriksson Risk Consulting Kjell Karlsson, Autopro Magnus Karlsson, COWI Rickard Lycke, Preem Dick Olsson, Aarhus Karlshamn Anders Thorsson, ÅF Blenda Weibull, IPS Kenneth Bengtsson, Ineos Örjan Bernekil, Ineos Magnus Carlsson, AkzoNobel Göran Dahlebjörk, ÅF Mats Dahlrot, Inspecta AnnCharlott Enberg, AkzoNobel 5 IPS seminarium SIL i praktiken 10/2012 Livs-cykelperspektiv Analys Processdesign, säkerhetskriterier Riskanalys och SILbestämn. Beskrivning av faror, barriärer, och erforderlig integritetsnivå Realisering Drift Reviderad SRS Specifikation av säkerhetskrav (SRS) Detaljerad specifikation av alla säkerhetskrav IPS seminarium SIL i praktiken 10/2012 Design Installation och överlämning Detaljerad design specifikation Fullt fungerande system Drift och underhåll Modifiering Uppföljning, testprotokoll 6 3 WeibullKonsult AB IPS SIL i praktiken Begränsningar (1.2) Vad den inte handlar om: Analysfasen Realisering och drift Andra barriärer än Instrumentering som instrumentella ger en riskreduktion>10 System för brandbekämpning Skyddsfunktioner som eller liknande arbetar på anrop Kontinuerliga skyddsfunktioner Vad den handlar om: IPS seminarium SIL i praktiken 10/2012 7 Standarderna och tolkningen SS-EN-61508 Övergripande standard Skall: Krav i standarden, direkt eller indirekt SS-EN-61511 Sektorstandard, branschtillämpning Bör: Rekommendation, god praxis Handledningen bygger på SS-EN-61511 IPS seminarium SIL i praktiken 10/2012 Inte en översättning av standarden! 8 4 WeibullKonsult AB IPS SIL i praktiken Vi välkomnar synpunkter! (1.3) Skriv mail till info@ips.se Ange ”SIL i praktiken” i rubriken Synpunkterna kommer att användas för att förbättra handledningen vid kommande revideringar. 9 IPS seminarium SIL i praktiken 10/2012 Skyddsbarriär och riskreduktion (1.5) Riskreduktionsfaktor (RRF) = 1000 1 ggn per 10 år 1 ggn per 10000 år Skyddsbarriärer IPS seminarium SIL i praktiken 10/2012 10 5 WeibullKonsult AB IPS SIL i praktiken Riskreduktion Minskande risk Kvarstående risk Tolerabel risk Processens risk Brandskydd Marginal Invallning Avsäkring Erforderlig riskreduktion Aktuell riskreduktion SIF Riskreduktion från SIF Larm Styrsystem Riskreduktion andra barriärer Process 11 IPS kursvecka En typisk säkerhetskritisk instrumentfunktion (SIF) LAH FIC Manöverdel IPS seminarium SIL i praktiken 10/2012 LAHH LIC Logikdel Givardel 12 6 WeibullKonsult AB IPS SIL i praktiken En säkerhetskritisk funktion (SIF) ”En säkerhetskritisk funktion är avsedd att nå eller upprätthålla processens säkra läge i förhållande till en specifik fara” En eller flera grundorsaker (avvikelser) som Kan detekteras på ett likvärdigt sätt (samma processavvikelse) Och som Ger samma konsekvens, om säkerhetsfunktionen inte fungerar 13 IPS seminarium SIL i praktiken 10/2012 Ett säkerhetskritiskt system (SIS) Givare Manöverdon SIF 1 SIF 2 Logiklösare SIF 3 SIF 4 SIF 5 IPS seminarium SIL i praktiken 10/2012 14 7 WeibullKonsult AB IPS SIL i praktiken Ordinarie processtyrsystem (BPCS) BPCS kan inte användas för säkerhetskritiska instrumentfunktioner (SIF) IPS seminarium SIL i praktiken 10/2012 15 Grundprincip för separation Ej säkert processområde SIS – enkla säkerhetskritiska skydd BPCS Komplex processtyrning – inte säkerhetskritisk Andra skyddsbarriärer IPS seminarium SIL i praktiken 10/2012 16 8 WeibullKonsult AB IPS SIL i praktiken Skyddsbehov Lågt skyddsbehov Low demand mode High demand mode Continuous mode Continuous mode anropsfrekvens<1 ggr/år Högt skyddsbehov anropsfrekvens>1 ggr/år Kontinuerligt skyddsbehov IPS seminarium SIL i praktiken 10/2012 17 PFD – Probability of failure on demand Sannolikheten att en säkerhetskritisk instrumentfunktion inte fungerar just när den behövs. IPS seminarium SIL i praktiken 10/2012 18 9 WeibullKonsult AB IPS SIL i praktiken Integritetsnivåer - SIL Integritetsnivåer Högt skyddsbehov Lågt skyddsbehov Sannolikhet att fela vid anrop = PFDavg Riskreduktion (RRF) = 1/PFDavg PFH (FIT) 4 ≥10-5 – 10-4 >10 000 – 100 000 ≥1 – 10 3 ≥10-4 –10-3 >1 000 – 10 000 ≥10 – 100 2 ≥10-3 –10-2 >100 – 1000 ≥100 – 1000 1 ≥10-2 –10-1 >10 – 100 ≥1000 – 10000 SIL 19 IPS seminarium SIL i praktiken 10/2012 RRF – SIL - PFD Behovet Resultatet Riskbedömning Behov av riskreduktion Tillgänglighetsberäkningar RRF >10 SIL PFD 1 <0,1 2 <0,01 3 <0,001 SIL >100 >1000 PFD ≈ λ* T/2 RRF = 1/PFD IPS seminarium SIL i praktiken 10/2012 20 10 WeibullKonsult AB IPS SIL i praktiken Fler definitioner (bilaga A) Bilaga A, svenska och engelska Förklaring av hur olika begrepp används i standarden eller i branschen - ingen ordagrann översättning av standardens definitioner IPS seminarium SIL i praktiken 10/2012 21 Standarden är ingen lag! (1.7) Ett sätt att uppfylla det lagstadgade kravet att tillhandahålla respektive köra en anläggning på ett säkert sätt! Exempel på nytta med att tillämpa standarden: Säkrare anläggning, färre tillbud Snabbare start-up, färre oförklarliga stopp Större kunskap om och förståelse för anläggningssäkerhet IPS seminarium SIL i praktiken 10/2012 22 11 WeibullKonsult AB IPS SIL i praktiken Buncefield IPS seminarium SIL i praktiken 10/2012 23 Befintliga anläggningar (1.7) Åtgärder (i prioritetsordning): Identifiera säkerhetskritiska funktioner Förbättra oberoende och separation Förbättra provningsrutiner, drift- och underhållsinstruktioner Förbättra logikdel och fältinstrumentering IPS seminarium SIL i praktiken 10/2012 24 12 WeibullKonsult AB IPS SIL i praktiken Exempel på tillämpning i befintlig anläggning (1.7) Utbyte av slitna delar: Välj SIL-godkända komponenter (efter riskanalys) Utbyte av logikdel (processen oförändrad): välj SIL-godkänd logikdel, förbättra separation, utvärdera fältinstrumentering Tillbyggnad: följ standarden för nya funktioner, utvärdera befintliga skydd IPS seminarium SIL i praktiken 10/2012 25 Arbetsgång (1.9) IPS seminarium SIL i praktiken 10/2012 26 13 WeibullKonsult AB IPS SIL i praktiken Kvalitetssäkring (2.1) Planera Sätta mål Avdela resurser Genomföra Revidera Agera Kontrollera 27 IPS seminarium SIL i praktiken 10/2012 Kvalitetssäkring – planering (2.2) Riskanalys och allokering Specifikation av säkerhetskrav Design Installation och överlämning Drift och underhåll Modifiering Ve Va SG Re Verifiering – ”egenkontroll”, att varje fas från givna input gett avsedda output Validering – acceptanstest, kontroll att säkerhetskravspecifikationen (SRS) uppfyllts Säkerhetsgranskning – utvärdering av att det ursprungliga säkerhetsbehovet uppfylls Revision – oberoende revision av organisationen (kontroller enligt fastställt schema) IPS seminarium SIL i praktiken 10/2012 28 14 WeibullKonsult AB IPS SIL i praktiken Kompetens (2.3) Grundprinciper: Enbart erfaren personal handhar säkerhetskritisk instrumentering För realiseringsfasen – kunskap motsvarande relevanta delar av handledningen För programmering – kunna det specifika PLC-systemet Mer detaljerade rekommendationer i handledningen (kap 2.3) IPS seminarium SIL i praktiken 10/2012 29 Överlämning, drift och underhåll IPS seminarium SIL i praktiken 10/2012 30 15 WeibullKonsult AB IPS SIL i praktiken Kontroll av funktionssäkerheten (7.4) Säkerhetsgranskning före idrifttagning En del av överlämnandet Kan ingå i de säkerhetsrutiner som processindustrin normalt har vid förändringar i en anläggning. Minst en oberoende person i gruppen! IPS seminarium SIL i praktiken 10/2012 31 Periodisk funktionsprovning (8.1) Två delar Periodisk provning Periodisk inspektion Planering Provningsintervall Provningsinstruktion Åtgärder och uppföljning av brister Dokumentation IPS seminarium SIL i praktiken 10/2012 32 16 WeibullKonsult AB IPS SIL i praktiken Periodisk funktionsprovning Fullständig provning Partiell provning Provets täckningsgrad IPS seminarium SIL i praktiken 10/2012 33 Drift – kompetens (8.2) Veta vad som kan gå snett! Vilka skydd som finns och hur de fungerar Vad som krävs för att de ska fungera! Hur man agerar när skydden löser ut IPS seminarium SIL i praktiken 10/2012 34 17 WeibullKonsult AB IPS SIL i praktiken Barriärvård (8.2) Kontroller före idrifttagning Andra barriärer än SIF Temporära förbikopplingar Utredning och åtgärder vid falska utlösningar, fel funna vid tester med mera IPS seminarium SIL i praktiken 10/2012 35 Att minska falska utlösningar (8.3) Diagnosticerat fel i flerkanalig funktionsdel Den trasiga kanalen kan kopplas ur under en i förväg angiven tid (MTTR) 2oo3 – en trasig kanal kan kopplas ur Diagnosticerat fel i enkanalig funktionsdel Lösa ut funktionen (stoppa processen) eller Övervaka processen med alternativa metoder under en i förväg angiven tid (MTTR) Kräver korrekta rutiner och bra utbildning IPS seminarium SIL i praktiken 10/2012 36 18 WeibullKonsult AB IPS SIL i praktiken Alternativ för att hantera diagnosticerat fel, enkanalig Använda redundans (flerkanalig konstruktion) för att kunna reparera under drift! IPS seminarium SIL i praktiken 10/2012 37 Förbikoppling av andra skäl (8.3) Skriftlig rutin i ledningssystemet Skriftlig dokumentation Riskbedömning Godkännande Utförande och dokumentation Uppföljning Behov av förbikopplingar är i många fall ett tecken på brister! IPS seminarium SIL i praktiken 10/2012 38 19 WeibullKonsult AB IPS SIL i praktiken Förebyggande underhåll (8.4, 8.5) Upprätthålla tillgängligheten på den nivå som krävdes från början! Säkerhetsmanualer för komponenter innehåller information Utbyte när säker livslängd nåtts Förändringar 39 IPS seminarium SIL i praktiken 10/2012 Kvalitetssäkring och återkommande uppföljning (8.6) Planera Sätta mål Revidera Agera Prestanda på säkerhetskritiska funktioner: Anropsfrekvens Falska Avdela resurser Genomföra utlösningar Provningsresultat Drift- och UH-rutiner Kontrollera IPS seminarium SIL i praktiken 10/2012 40 20 WeibullKonsult AB IPS SIL i praktiken Återkommande uppföljning (8.6) Kvalitetssäkring Utredning av avvikelser Kontroll av att rutiner följs Återkommande uppföljning, förslagsvis minst vart 5:e år Månatlig uppföljning av proaktiva indikatorer Hur väl barriärvården fungerar IPS seminarium SIL i praktiken 10/2012 41 21 1 SRS-rapport 15 oktober 2012 SIL i praktiken SIL i praktiken SRS-rapport Magnus Carlsson, AkzoNobel Magnus Karlsson, COWI 1 25 OKTOBER 2012 SIL I PRAKTIKEN SIL i praktiken › Syftet › När ska SRS-rapporten sammanställas › Vem ska sammanställa SRS rapporten › Underlag › Mallar 2 25 OKTOBER 2012 SIL I PRAKTIKEN 2 SRS-rapport 15 oktober 2012 SIL i praktiken Bakgrund Deepwater Horizon 2010-04-20 “ 3 en komplex och sammanhängande serie av mekaniska fel, mänskliga beslut, teknik, operationellt genomförande och personalgruppers samspel” Bild: US Coast Guard, Text: GP” 25 OKTOBER 2012 SIL I PRAKTIKEN Introduktion till "SIL" (IEC 61508 / 61511) LS LT LI LT SAFETY S 4 25 OKTOBER 2012 SIL I PRAKTIKEN S BPCS VESSEL 3 SRS-rapport 15 oktober 2012 SIL i praktiken Syftet med SRS rapport › Kravspecifikation på vårt säkerhetskritiska instrumentsystem (SIS) › Underlag för grund- och detaljkonstruktion › Underlag för mjukvaru SRS › Underlag för validering › Underlag för instruktioner för drift och underhåll 5 25 OKTOBER 2012 SIL I PRAKTIKEN När ska SRS rapporten sammanställas › Riskanalysen identifierar behov av barriärer, bl.a. SIF › SIL-bestämning fastställer krav på SIF, ev. med hänsyn till andra barriärer › SRS-rapporten sammanställs när analysfasen är klar och innan vi går in i realiseringsfasen › Överlämningsdokument som ägs av processdesign 6 25 OKTOBER 2012 SIL I PRAKTIKEN 4 SRS-rapport 15 oktober 2012 SIL i praktiken Vem sammanställer SRS rapport › Samarbete mellan dem som kan och förstår den aktuella processen och de krav man måste ställa för att processen skall vara säker: › Processingenjören (ansvarig) › Riskingenjören › Instrumentingenjören › Tar in hjälp av andra kompetenser om så krävs 7 25 OKTOBER 2012 SIL I PRAKTIKEN Underlag till SRS rapport › SIL bestämningsrapport › Många detaljuppgifter som är lämpliga att sammanställa vid SIL-bestämningen › Använd gärna de mallar som redovisas idag som checklistor › Mallarna kommer att finnas tillgängliga på www.ips.se 8 25 OKTOBER 2012 SIL I PRAKTIKEN 5 SRS-rapport 15 oktober 2012 SIL i praktiken SRS rapport Kompendium kap. 3 ”SIL i Praktiken” Detaljerad beskrivning SRS Bilaga B SIF Exempel ifylld Bilaga C En per fabrik 9 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport › Försättsblad: (Bilaga B) 10 25 OKTOBER 2012 SIL I PRAKTIKEN Exempel ifylld En per loop 6 SRS-rapport 15 oktober 2012 SIL i praktiken SRS rapport › Allmän beskrivning (Bilaga B) 11 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport › Gemensamma säkerhetskrav för SIS (Bilaga B) NAMUR NE 43 Transmitter Signal Värden varierar på olika fabrikat (?) 12 25 OKTOBER 2012 SIL I PRAKTIKEN 7 SRS-rapport 15 oktober 2012 SIL i praktiken SRS rapport › Gemensamma säkerhetskrav för SIS (Bilaga B) 13 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport › Gemensamma säkerhetskrav för SIS (bilaga B) 14 25 OKTOBER 2012 SIL I PRAKTIKEN 8 SRS-rapport 15 oktober 2012 SIL i praktiken SRS rapport › Gemensamma säkerhetskrav för SIS (bilaga B) 15 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport › Gemensamma säkerhetskrav för SIS (bilaga B) 16 25 OKTOBER 2012 SIL I PRAKTIKEN 9 SRS-rapport 15 oktober 2012 SIL i praktiken SRS rapport › Gemensamma säkerhetskrav för SIS (bilaga B) 17 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport › Sammanställning av SIF: › Enligt exempel tabell 1 › Andra barriärer 18 25 OKTOBER 2012 SIL I PRAKTIKEN 10 SRS-rapport 15 oktober 2012 SIL i praktiken SRS rapport › Krav på SIF (Bilaga C) 19 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport › Krav på SIF (Bilaga C) 20 25 OKTOBER 2012 SIL I PRAKTIKEN 11 SRS-rapport 15 oktober 2012 SIL i praktiken SRS rapport › Krav på SIF (Bilaga C) 21 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport › Krav på SIF (Bilaga C) 22 25 OKTOBER 2012 SIL I PRAKTIKEN IPS SIL i praktiken Grundkonstruktion & SIL-verifiering (Kapitel 4) Realisering utan grundkonstruktion Analysfas Realiseringsfas SRS Detaljkonstruktion: Hårdvara SIL-verifiering Systemdesign: PES Detaljkonstruktion: Applikationsprogramvara Mjukvaru-SRS (Logikbeskrivning) TIDSLINJE pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 1 IPS SIL i praktiken Realisering med grundkonstruktion Analysfas SRS Realiseringsfas Detaljkonstruktion: Hårdvara Grundkonstruktion SIL-verifiering Systemdesign: PES Detaljkonstruktion: Applikationsprogramvara Mjukvaru-SRS (Logikbeskrivning) TIDSLINJE pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Vanlig konsekvens av en för sen SIL-verifiering Grundkonstruktionslösning med integrerad SIL-verifiering: SENSORDEL LOGIKDEL MANÖVERDEL Grundkonstruktionslösning utan integrerad SIL-verifiering: SENSORDEL pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal LOGIKDEL MANÖVERDEL tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 2 IPS SIL i praktiken Föreslagen arbetsmetodik 1. Granska kravspecifikationen (SRS) 1. Verifiera tillräcklig BPCS-separation 2. Identifiera dimensionerande krav för de funktionsdelar som är gemensamma för flera funktioner (SIFs) 3. Välj logiklösare (Specificera logiklösare) 4. Fastställ systemets (SIS) säkra livslängd 5. Grundkonstruera och SIL-verifiera funktionerna (SIFs) 6. Dokumentera grundkonstruktion och förutsättningar Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Granskning av kravspecifikationen (SRS) Ställ följande kontrollfrågor: •Är funktionen kopplad till en specifik farlig händelse? •Finns ett entydigt säkert processtillstånd definierat? •Har funktionens specificerade givardel/givardelar möjlighet att med säkerhet upptäcka avvikelsen/avvikelserna som ger upphov till den farliga händelsen? •Leder utlösning eller blockering av funktionens manöverdel/manöverdelar med säkerhet till att processen når eller förblir i sitt säkra läge? •Är det logiska sambandet mellan givardel/givardelar och manöverdel/manöverdelar klart och otvetydigt? Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 3 IPS SIL i praktiken Exempel: SIF med ofullständig givardel Ånga H-LIM TT Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Exempel: SIF med komplett givardel Ånga H-LIM L-LIM TT FT Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 4 IPS SIL i praktiken Exempel: 2 st. funktioner (SIFs) PT LT H-LIM L-LIM pidab instrumentdesign ab www.pidab.com Lars Axelsson Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Granskning av SIS separation mot BPCS SS-EN 61511-1 kräver att det säkerhetskritiska instrumentsystemet (SIS) är väl separerat från den ordinarie processtyrningen (BPCS). Utgångspunkten är alltid att inga komponenter i SIS ska delas med BPCS. Undantag medges om: Lars Axelsson • Man kan visa att ett fel i en komponent som tillhör BPCS inte kan ge upphov till ett behov av den SIF som den är tänkt att användas i. • Man kan visa att sannolikheten för farliga funktionsfel som beror på fel i en komponent eller en funktionsdel som ingår i BPCS är så låg att den integritetsnivå (SIL) som krävs inte påverkas om den delas med en SIF. pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 5 IPS SIL i praktiken Grundkonstruktion och SIL-verifiering START Välj komponenter (hårdvara) till varje funktionsdel SRS SRS NEJ Är komponentkraven uppfyllda? Beräkna sannolikheten för farliga funktionsfel JA Bestäm hårdvaruarkitekturer för funktionsdelar NEJ Bestäm intervall för funktionsprov (PTI) Är felsannolikhetskravet uppfyllt? Är arkitekturkraven uppfyllda? NEJ JA Grundkonstruktionen är OK! JA pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Vad innebär SIL-verifiering av en SIF? SIL-verifiering omfattar kontroll av att en tänkt konstruktionslösning för en säkerhetskritisk instrumentfunktion (SIF) med avseende på följande tre krav: Lars Axelsson 1. Kontroll av att alla ingående apparater i säkerhetsfunktionen är antingen SILcertifierade enligt kraven i EN 61508-1..4 eller uppfyller kraven för beprövad användning i EN 61511-1, upp till minst den integritetsnivå (SIL) som krävs. Se EN 61511-1 11.5 1. Kontroll av att varje funktionsdels hårdvaruarkitektur uppfyller feltoleranskravet (HFT) för den krävda integritetsnivån (SIL), enligt EN 61511-1 eller enligt EN 61508-2. Se EN 61511-1 11.4 2. Kontroll av att sannolikheten för ett farligt funktionsfel (PFDavg / PFH) i den sammansatta funktionen inte är större än den krävda integritetsnivån (SIL) tillåter. Se EN 61511-1 11.9 pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 6 IPS SIL i praktiken Krav på komponenter i SIS Komponenter väljs och funktionsdelar sätts samman utifrån de krav som är specificerade i kravspecifikationen (SRS). Dessutom måste enligt EN 61511-1 alla utrustningar som ska användas i ett säkerhetskritiskt instrumentfunktion (SIS) överensstämma med något av kriterierna nedan för att risken för systematiska fel under funktionens livslängd ska minimeras: Lars Axelsson 1. Komponenten ska vara certifierad enligt SS-EN 61508: Alla tillämpliga krav i SS-EN 61508-2 och SS-EN 61508-3 ska vara uppfyllda för den krävda integritetsnivån (SIL). Detta intygas av tredje part genom ett SIL-certifikat. 2. Komponenten ska uppfylla kraven för ”beprövad användning” enligt SS-EN 61511: Alla tillämpliga krav för val av komponenter och funktionsdelar baserat på beprövad användning (prior-use) i SS-EN 61511-1 ska vara uppfyllda uppfyllda för den krävda integritetsnivån (SIL). pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Badkarskurvan Felfrekvens 5,0E-05 4,0E-05 3,0E-05 2,0E-05 1,0E-05 0,0E+00 t λ ≈ Konstant Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal Säker Livslängd tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 7 IPS SIL i praktiken Komponenters säkra livslängd Säkerhetskritiska komponenter vars säkra livslängd är kortare än systemets livslängd måste bytas förebyggande innan komponentens säkra livslängd (ålder) har uppnåtts! Det säkerhetskritiska systemets livslängd sätts oftast till mellan 15 och 25 år beroende på logiklösarens (PLC-systemets) säkra livslängd. Vissa elektroniska komponenter kan ha en kort säker livslängd relativt PLCn, och därför måste de bytas förebyggande innan de nått sin max. ålder. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Farliga och säkra fel Farliga fel definieras som: (61511-1: 3.2.11) fel som kan sätta det säkerhetskritiska instrumentsystemet i ett farligt eller funktionsodugligt tillstånd. failure which has the potential to put the safety instrumented system in a hazardous or fail-to-function state Säkra fel definieras som: (61511-1: 3.2.65) fel som inte kan sätta det säkerhetskritiska instrumentsystemet i ett farligt eller funktionsodugligt tillstånd. failure which not has the potential to put the safety instrumented system in a hazardous or fail-to-function state Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 8 IPS SIL i praktiken λ-värden (Failure Rates) Felfrekvensen betecknas med bokstaven λ (lambda), och är ett mått på hur ofta fel förväntas uppstå i en komponent eller i ett delsystem under en bestämd tidsperiod. Felfrekvensen λ delas upp i två huvudkategorier beroende på om felen anses säkra eller farliga : λTOT = λS + λD λS = Frekvensen av säkra fel λD = Frekvensen av farliga fel Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Vad menas med felsäkerhet? Felsäkerhet eller det engelska uttrycket ”fail safe” är ett relativt begrepp som kan förklaras så här: En komponent eller utrustning kan anses ”felsäker” om felfrekvensen för säkra fel hos utrustningen är betydigt högre än felfrekvensen för farliga fel. Felsäkerhet: λS » λD Eftersom sannolikhet är frekvens multiplicerat med tid, skall alltså sannolikheten för att en komponent vid fel antar ett ”säkert läge” och/eller lämnar ifrån sig en ”säker utsignal” vara betydligt högre än sannolikheten för att den antar ett ”farligt läge” och/eller lämnar i från sig en ”farlig utsignal”, för att den skall kunna anses vara felsäker. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 9 IPS SIL i praktiken Hur mäter man felsäkerhet? För att kunna ställa krav på de ingående komponenterna och funktionsdelarna i ett säkerhetskritiskt instrumentsystem räcker det inte med denna vaga definition på felsäkerhet. Ett kvantitativt mått på felsäkerhet behövs alltså. Genom att bilda en kvot mellan frekvensen för alla säkra fel och den totala felfrekvensen, så får man ett bra mått på hur ”felsäker” en komponent är. Felsäkerhetskvoten, SFF (Safe Failure Fraction): SFF = λS / λTOT = λS / (λS + λD) Felsäkerhetskvoten SFF anges normalt i %, och ju mer felsäker en komponent är ju närmare 100% är SFF. pidab instrumentdesign ab www.pidab.com Lars Axelsson Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Funktionssäkerhetsintyg för komponenter 1. FMEDA • Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA • ”Beprövad användning” måste hävdas och helt bevisas av användaren! 2. ”Beprövad användning” enligt EN 61511-1 • Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA • Beprövad användning tillstyrks med vissa förbehåll • Beprövad användning kan hävdas av användaren med bas på intyget 3. SIL-certifikat enligt EN 61508-1…4 Lars Axelsson • Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA • SIL-certifieringen bedömmer även komponentens maximala integritetsnivå (SIL) med avseende på systematiska fel! • ”Beprövad användning” behöver inte bevisas eller hävdas pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 10 IPS SIL i praktiken Säkerhetsmanualen (Safety Manual) Till en SIL-certifierad komponent eller komplett funktionsdel ska det enligt EN (IEC) 61508 finnas en säkerhetsmanual (Safety Manual) Säkerhetsmanualen beskriver komponentens eller funktionsdelens användning, vilka begränsningar komponenten har och vilken integritet som man kan tillskriva komponenten. Manualen kan även ställa krav på installatör och användare för att den systematiska integriteten ska bibehållas. I den andra utgåvan av IEC 61511:2013 så kommer det troligen också bli ett krav på att beprövade utrustningar ska ha säkerhetsmanualer. pidab instrumentdesign ab www.pidab.com Lars Axelsson Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Flerkanaliga hårdvaruarkitekturer Det finns minst tre skäl till att man gör hårdvaruarkitekturen hos säkerhetskritiska funktionsdelar flerkanalig: • FUNKTIONSSÄKERHET: Man använder flera kanaler för att ett farliga hårdvarufel inte ska sätta säkerhetskritiska funktioner ur spel • TILLGÄNGLIGHET: Man använder flera kanaler för att säkra hårdvarufel inte ska leda till falska utlösningar av säkerhetskritiska funktioner som ger driftsstörningar och avbrott. • Lars Axelsson UNDERHÅLLBARHET: Man använder flera kanaler för att man enkelt ska kunna underhålla och prova komponenter i säkerhetskritiska funktioner under drift pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 11 IPS SIL i praktiken För- och nackdelar hos hårdvaruarkitekturer HW-arkitektur (MooN) Lars Axelsson Arkitekturens egenskaper jämfört med 1oo1 + förbättring - försämring HFT Funktionssäkerhet Driftstillförlitlighet 1oo2 1 + - 1oo3 2 ++ -- 2oo2 0 - + 2oo3 1 + + 2oo4 2 ++ + pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Feltoleranskrav (HFT) på hårdvaruarkitekturen Alla funktionsdelar i säkerhetskritiska instrumentfunktioner, sensorer, logiklösare och manöverdon ska ha en hårdvaruarkitektur med en lägsta hårdvarufeltolerans (HFT), beroende på den integritetsnivå (SIL) som krävs. Se EN 61511-1 11.4.1 Arkitekturkravet kan tillgodoses på två sätt: 1. Man kan uppfylla kravet på lägsta HFT i SS-EN 61508-2 2. Man kan uppfylla kravet på lägsta HFT i SS-EN 61511-1 SS-EN 61511-1 tar ingen hänsyn till hårdvarans felsäkerhet (SFF) men kan i gengäld ge mildare krav för beprövade komponenter. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 12 IPS SIL i praktiken Gemensamma fel och β-faktorn Gemensamma fel är fel som uppträder samtidigt i flera eller alla redundanta kanaler i en funktionsdel beroende på en gemensam felkälla. Gemensamma fel har därför förmågan att åstadkomma farliga fel i funktionsdelar trots en redundant arkitektur. • Gemensamma funktionsfel orsakas oftast av systematiska felkällor. • Man tillskriver ofta redundans en allt för stor betydelse eftersom den teoretiskt ger en relativt stor reduktion av sannolikheten för farliga fel om man inte tar hänsyn till förekomsten av gemensamma felkällor. β-faktorn anger hur stor andel av de farliga felen som härstammar från gemensamma felkällor. Normal så ansätter man β-faktorer i intervallet 0,1…0,01 (10…1%) beroende på de redundanta kanalernas oberoende av varandra. pidab instrumentdesign ab www.pidab.com Lars Axelsson Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Diversifierad redundans Genom att använda sig av olika mätmetoder i en redundant givardel eller olika principer för att stänga av ett processflöde i en redundant manöverdel så åstadkommer man diversifiering eller diversifierad redundans. Diversifieringens syfte är att göra en funktionsdel mer tålig mot systematisk påverkan och därmed minskar sannolikheten för gemensamma fel. Diversifiering av givardelar kan exempelvis innebära att man: • Mäter olika storheter för att övervaka ”samma sak” • Väljer olika mätmetoder för att mäta samma storhet • Väljer skilda fabrikat på givare och transmittrar • Placerar och utför processanslutningar olika Diversifiering av manöverdelar kan innebära att man: Lars Axelsson • Stoppar pump och stänger ventil för att stänga av ett flöde • Använder olika ventiltyper och ställdonstyper för att stänga av ett flöde pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 13 IPS SIL i praktiken Funktionsprovning Sannolikheten för att en säkerhetskritisk instrumentfunktion (SIF) som behövs relativt sällan fungerar när den väl behövs beror i hög grad på hur ofta funktionen provas. Därför måste alla funktioner (SIFs) med ett lågt skyddsbehov provas periodiskt för att integriteten ska bestå. Olika funktionsprovsintervall kan väljas för funktionsdelarna i en SIF. Normalt varierar funktionsprovsintervallen mellan 12 och 60 månader (1…5 år). Dessutom är provningsmetoden betydelsefull eftersom en heltäckande provningsmetod ger en hög täckningsgrad vid provningen, medan en ofullständig metod betyder att täckningsgraden blir begränsad och täckningsgraden har också stor inverkan på felsannolikheten över tid. Att sätta täckningsgraden till 100% är i de allra flesta fall fel. Provningsmetoder och täckningsgrader anges i säkerhetsmanualrena för SIL-certifierade komponenter. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Beräkning av medelfelsannolikhet (PFDavg)alternativt felfrekvens (PFH) GIVARDEL LOGIKLÖSARE MANÖVERDEL PFDavg (PFH) PFDavg (PFH) PFDavg (PFH) Medelfelsannolikheten för ett farligt funktionsfel vid anrop (PFDavg) beräknas för den kompletta säkerhetsfunktionen (SIF) genom att funktionsdelarnas medelfelsannolikheter summeras ihop. Vid högt skyddsbehov summeras istället funktionsdelarnas felfrekvenser (PFH) Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 14 IPS SIL i praktiken Verifiering av PFDavg / PFH Skyddsbehov SIL Lågt Lars Axelsson Högt 1 PFDavg < 1 x 10-1 PFH < 1 x 10-5 / h 2 PFDavg < 1 x 10-2 PFH < 1 x 10-6/ h 3 PFDavg < 1 x 10-3 PFH < 1 x 10-7 / h 4 PFDavg < 1 x 10-4 PFH < 1 x 10-8 / h pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com PFD under systemets livstid Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 15 IPS SIL i praktiken Mjukvarukonstruktion i säkerhetskritiska instrumentsystem Planering SRS Arkitektur Programmering Verifiering Driftfas Planering V-modellen SIS Kravspecifikatio n (SRS) Specificering PES (säkerhets-PLC) SIS Validering (SAT) Upprättande av Mjukvaru-SRS Integrationstest av applikationen (FAT) Bestämning av mjukvaruarkitektu r Utveckling av applikationsprogram Arbetsflöde Verifiering Utveckling av funktionsmodule r Logiktest av applikationsprogram Logiktest av funktionsmodule r 1 IPS SIL i praktiken SRS - Krav på hårdvara Cykeltid Påverkar reaktionstiden och tiden för nedstängning vid fel i systemet. IO-kapacitet CPU-last Storlek på applikation och kommunikation. Vissa fabrikat har begränsningar på hur stor last (%) som tillåts. Kommunikation Vilka gränssnitt och protokoll behövs? Integritetsnivå SIL1,2,3,(4) ? Redundans Kan höja tillgängligheten, ger inte högre säkerhet Säker livslängd. Hur länge kan PFD garanteras? SRS – Krav på applikationen Benämning av SIF Denna benämning skall användas för identifiering i programmet Beskrivning av SIF Text eller logikschemor som beskriver funktionen TAG-nummer på signaler Säkerhetssignaler skall särskiljas. T.ex. med ett ingående -Z Signalbeskrivning Mätområde, ingenjörsstorhet, fraktion Gränsvärden och hystereser För utlösningsfunktioner Återställning efter tripp Felhantering Vad skall hända vid t.ex. signalfel eller fel på en givare i en 2/3-koppling. Förbikoppling Kan behövas under uppstart och vid funktionstester. 2 IPS SIL i praktiken Arkitektur Struktur Indelning av programmet i SIF:ar, processavsnitt, fabriksdelar. Variabeluppbyggnad i sammansatta datatyper Objektorientering Identifiering Använd samma benämningar som i övrig dokumentation Programmeringsmetod Funktionsblock (rekommenderas) Stegdiagram (Ladder) Strukturerad text Förreglingsmatris (cause & effect) Sekvensflödesdiagram (bör undvikas) Förenklar programmeringsarbetet Underlättar granskning. Programmering Endast säkerhetskritisk programkod i SILapplikation Tillhörande icke säkerhetskritisk kod i standardapplikation Övrig icke säkerhetskritisk kod i BPCS Hög läsbarhet Kommentera alla funktioner Separera koden så den inte blir ”rörig” Sekventiella förlopp Bör undvikas i SIL-applikation, använd tillståndsbaserad logik för att lösa sekventiella förlopp. Om sekvenser måste användas skall utgångarna kompletteras med separat förreglingslogik Batchprocesser Om recept eller batchläge skall påverka säkerhetsgränser måste en synkronisering mellan systemen ske. Detta kan göras genom att data överförs från batchsystemet till säkerhetssystemet där en rimlighetskontroll av data måste göras. En sådan synkronisering bör även bekräftas av operatör innan nya säkerhetsgränser används 3 IPS SIL i praktiken Programmering Larmhantering Vid aktiverad säkerhetsfunktion skall larm ges till operatör.. Sådana larm ska ange objektidentitet och vad som var orsak till utlösningen eller avvikelsen, samt en korrekt och tillräckligt upplöst tidsangivelse. Felhantering Programexekveringsfel Hårdvarufel Fel i kraftmatning Signalfel i instrumentkrets. Kommunikationsfel Förbikoppling Förbikopplingar för testning och/eller underhåll Villkorsstyrda förbikopplingar vid speciella driftsfall. Förbikopplingar av givarkanaler vid detekterade givarfel. Signalutbyte med BPCS Signaler från BPCS måste alltid underordnas den säkerhetskritiska programkoden . Logikexempel 4 IPS SIL i praktiken Verifiering Testning under programutvecklingen. Provning av funktioner och applikationsdelar i simulering. FAT Standarden SS-EN 61511 kräver inte att man utför någon separat verifiering av hela applikationen och hårdvaran ihop. Normalt utförs ändå en acceptanstest av ekonomiska och tidsmässiga skäl SAT (Validering) Validering innebär att man före idrifttagning av processen verifierar att alla krav som ställs på SIS i SRS har uppfyllts. Standarden kräver att det mot processen installerade säkerhetskritiska instrumentsystemet (SIS) valideras innan den aktuella processen eller processdelen får tas i drift. Valideringen består av följande tre aktiviteter: Testning av det mjukvarubaserade säkerhetssystemet (SIS) Besiktning av alla säkerhetskritiska delsystem och komponenter Granskning av berörda drift- och underhållsinstruktioner Om SIS ingår i ett system som kräver kontroll av tredje parts ackrediterat organ så skall de validera systemet (oavsett SIL-nivå). Anläggning i drift Åtkomstskydd Möjligheten att förändra säkerhetskritisk programkod måste begränsas så att obehörig personal inte kan utföra ändringar i systemet. Modifieringar Ändringar i den säkerhetskritiska programkoden ska om möjligt undvikas efter validering! Om ändringar måste genomföras bör det föregås av en riskbedömning för hela det programmerbara säkerhetssystemet Virusskydd Säkerhetssystemets verktygs- och applikationsprogram ska skyddas mot virus och skadlig programkod. Loggbok Alla ändringar och underhållsåtgärder i såväl hårdvara som mjukvara i det säkerhetskritiska programmerbara systemet ska efter slutförd validering skrivas in i en loggbok Loggningen ska minst omfatta: Systemidentitet Tidpunkt Beskrivning av åtgärd Orsak till att åtgärden utförs. Uppgift om vem som utfört åtgärden. 5 IPS SIL i praktiken Sammanfattning Lägg mycket tid på strukturen Sök enkla lösningar Kommentera (för) mycket Separera SIL-applikationen Testa noggrant Underlätta granskning 6 2013-02-12 Detaljkonstruktion Rickard Lycke Preem Projektavdelning, Lysekil 2013-02-08 Detaljkonstruktion Förvalta och utveckla det arbete som gjorts under framtagning av SRS och grundkonstruktion Resultera i ett underlag för installation, driftsättning,validering och drift/UH. 1 2013-02-12 Planering – förbered för framtida faser Tre mål: • Säker installation och driftsättning • Uppfylla krav i SRS • Upprätthålla funktionssäkerheten Tre planer: • Installation/driftsättning • Validering • Drift/underhållsplanering Tre frågor: • Vad skall göras • När skall det göras • Vem skall göra det Detaljkonstruktion Uppfylla ställda krav: • Kravspecifikationen (SRS) • Grundkonstruktionen • Säkerhetsmanualer och konstruktionsanvisningar Uppmärksamhet på: • Ändringar • Motstridiga krav • Säkerhetsmanual 2 2013-02-12 Detaljkonstruktion Vad skall göras? • Ta fram en infrastruktur • Ta fram I/O-behov/ IO-allokera • Dimensionera/specificera komponenter • Dokumentera Detaljkonstruktion Infrastruktur: 1. Separera 2. Märk upp • Ta fram en infrastruktur • Ta fram I/O-behov/ IO-allokera • Dimensionera/specificera komponenter • Dokumentera Det är bättre att stegvis förbättra befintliga säkerhetsfunktioner än att helt avstå, om investerings-medel saknas för att fullt ut följa standardens krav. Om ny struktur installeras – utnyttja möjligheten till separation. Om befintlig struktur – minska risken för förväxling. 3 2013-02-12 Detaljkonstruktion I/O bestämning: • Ta fram en infrastruktur • Ta fram I/O-behov/ IO-allokera • Dimensionera/specificera komponenter • Dokumentera • Ta fram en infrastruktur • Ta fram I/O-behov/ IO-allokera • Dimensionera/specificera komponenter • Dokumentera • Samverkan med mjukvarukonstruktör • Struktur/Separation • Reserver Detaljkonstruktion Dimensionera/Specificera: • Placering / Mätuttag • Redundans / HFT • Funktionskrav/svarstider • Överdimensionering 4 2013-02-12 Detaljkonstruktion Speciella krav: • Arbetsströmskoppling / Dubbelverkande don • Ta fram en infrastruktur • Ta fram I/O-behov/ IO-allokera • Dimensionera/specificera komponenter • Dokumentera Önskad funktion ”Påtvingad” funktion Separeras helt Få anslutningspunkter Frånskiljbara plintar får ej användas Kontroll på spänningsförsörjning/lufttillförsel • Höga SIL-nivåer Antivalenskontroll Övervakade ingångar Diversifiering Detaljkonstruktion Dokumentation: • Säkerhetskritiska delar särskiljas från övrigt. • Tydliga installationsanvisningar (Hook-up’s mm) • Ta fram en infrastruktur • Ta fram I/O-behov/ IO-allokera • Dimensionera/specificera komponenter • Dokumentera 5 2013-02-12 Detaljkonstruktion Glöm inte konstruktionsgranskningen: • Granskas/Godkännas - innan inköp och installation • Minst två par ögon - undvik hemmablindhet Installation & Driftsättning 6 2013-02-12 Installation Förvalta det arbete som gjorts under detaljkonstruktion Installation&Driftsättning Vi har gjort en planfölj denna: Uppmärksamhet på: • Sena ändringar • Avvikelser i underlag 7 2013-02-12 Installation&Driftsättning Att tänka på: • Separera underlag • Kontrollera levererad utrustning • Rätt montage • Installationskontroll • Kontroll av ändringar (MOC) Installation&Driftsättning Att tänka på: • Separera underlag Fördel separera underlag • Kontrollera levererad utrustning Utifrån projektets komplexitet • Rätt montage • Installationskontroll • Kontroll av ändringar (MOC) 8 2013-02-12 Installation&Driftsättning Att tänka på: • Separera underlag • Kontrollera levererad utrustning Korrekt märkt Komplett leverans Inga transportskador • Rätt montage Kontroll/Testkörning • Installationskontroll Separera från övriga komponenter • Kontroll av ändringar (MOC) Installation&Driftsättning Att tänka på: • Separera underlag • Kontrollera levererad utrustning • Rätt montage • Installationskontroll • Kontroll av ändringar (MOC) Mycket kan gå fel: Roturdragning Felaktiga – olika områden Långa impulsledningar +/- ben växlade Växlade termoelement Up-scale/down-scale 9 2013-02-12 Installation&Driftsättning Att tänka på: • Separera underlag • Kontrollera levererad utrustning • Rätt montage • Installationskontroll • Kontroll av ändringar (MOC) Installation&Driftsättning Att tänka på: • Separera underlag • Kontrollera levererad utrustning • Rätt montage • Installationskontroll • Kontroll av ändringar (MOC) 10 2013-02-12 Installation&Driftsättning Att tänka på: • Separera underlag • Kontrollera levererad utrustning Installera enligt plan - Följ underlag Om felaktigheter • Rätt montage - Synliggör för granskning • Installationskontroll • Kontroll av ändringar (MOC) Installation&Driftsättning Att tänka på: • Separera underlag Dokumentationskontroll • Kontrollera levererad utrustning Installationskontroll (visuellt) • Rätt montage Realistiska förhållanden • Installationskontroll SS EN 62382 • Kontroll av ändringar (MOC) Protokollföras Funktionskontroll 11 2013-02-12 Installation&Driftsättning Att tänka på: • Separera underlag • Kontrollera levererad utrustning Avvikelser skall rättas till eller så skall tillräckligt kompetent person säkerställas att det ej påverkar funktionssäkerheten • Rätt montage • Installationskontroll • Kontroll av ändringar (MOC) Installation&Driftsättning Glöm inte installationsbesiktningen: • Skall utföras enligt standarden • Besiktningen bör utföras först då alla installations- och driftsättningsaktiviteter är slutförda 12 2013-02-12 Frågor ? 13 Vad säger lagen om SIL och trycksatta anordningar? 1 2013-02-12 Vad säger lagen om tillämpning av SIL för trycksatta anordningar? • Vilka formella lagkrav gäller för instrumenterade säkerhetsutrustningar ? • När måste instrumenterade säkerhetsutrustningar kontrolleras av tredje part ? Vid nytillverkning Vid drift av befintliga anläggningar vid återkommande besiktning, FLT Vid ändringar eller reparationer? • Finns det kända problem med att tillämpa ”SIL” för att uppfylla lagkraven? 2 2013-02-12 1 Vid nytillverkning Ska uppfylla AFS 1999:4 (PED), vilket i korthet innebär • Säkerhetsutrustning skall vara på marknaden” - märkt när den “tas i drift” eller ¨“placeras • Säkerhetsutrustning tillhör normalt kategori IV • Säkerhetsutrustning ska finnas om designtryck eller designtemperatur kan överskridas. (Nivå) • Riskanalys ska utföras och dokumenteras Not: Motsvarande krav finns i AFS 2005:2 3 2013-02-12 Tekniska krav i AFS 1999:4, bilaga 1 • Skall vara lämpliga för aktuellt objekt och dess avsedda användning • Behov av underhåll och provning beaktat • Oberoende av andra funktioner • Lämpliga konstruktionsprinciper: - felsäkerhet - redundans - diversifiering - självövervakning 4 2013-02-12 2 Harmoniserade standarder • EN 764-7 Säkerhetssystem • EN 12952-7:2012 Vattenrörspannor • Att tillämpa ”SIL” förefaller var en bra väg att uppfylla PED med tillhörande harmoniserade standarder 5 2013-02-12 Befintliga anläggningar • AFS 2002:1 Användning av trycksatta anordningar - Omfattar alla trycksatta anordningar - Riskbedömning ska vara utförd och dokumenterad - Program för fortlöpande tillsyn ska finnas Fördjupning av riskbedömning kan vara att man gör en SIL klassning av befintliga skydd, för att fastställa vilka som är mest kritiska. Dock ska man inte SIL-verifiera befintliga säkerhetskretsar. • AFS 2005:3 Besiktning av trycksatta anordningar - Krav på kontroll av ackrediterat organ för anordningar i besiktningsklass A och B - Kontroll av säkerhetsanordningar som skyddar objekt i besiktningsklass A och B 6 2013-02-12 3 Vid ändringar eller reparationer? När en väsentlig reparation eller ändring har utförs på trycksatta anordningar skall en revisionsbesiktning genomföras Skall uppfylla krav enligt − AFS 1999:4, bilaga 1 (ej CE märkning och driftinstruktioner) − Anmält organ ersätts av ackrediterat kontrollorgan Reparation Återställande till ursprungskick, delar som byts ut ska uppfylla dagens krav. Tex utbyte av trycktransmitter Större ändring Helheten ska se som en ny produkt och samma krav som vid tillverkning gäller Tex utbyte av en brännarstyrning 12 February 2013 När måste instrumenterade säkerhetsutrustningar kontrolleras av tredje part ? • Kontroll av Anmält Organ eller Ackrediterat Organ kan erfordras om säkerhetsutrustningen skyddar den tryckbärande anordningen mot: − tryck temperatur eller nivå. • Klassningen avgör om det krävs kontroll av AO eller AKO eller inte. − Vid Kategori I-IV, kontrollklass G+K och besiktningsklass A-C krävs kontroll AO eller AKO • Det finns altlså ingen koppling mellan SIL och kravet på kontroll av Anmält Organ eller Ackrediterat Organ • Ibland krävs tredjepartsgranskning av något som har ”SIL 0” och det finns exempel på ”SIL 3” som inte behöver granskas. 8 2013-02-12 4 Finns det kända problem med att tillämpa ”SIL” för att uppfylla lagkraven? • Kalibrering av riskanalysen måste utföras av den som ska tillämpa standarden. − Det finns inga riktlinjer från svenska myndigheter om hur lämplig kalibrering ska var gjord. Det kan skilja på en SIL-nivå upp eller ner. • IPS har en handledning för kalibrering av riskgraf • AFS 2005:3 har krav på provningsintervall, oftast ett eller två år. − SIL-verifiering kan ge mycket längre provningsintervall. − OBS: För avsteg från det intervall som krävs enligt föreskriften krävs en dispens! • Det har blivit vanligare med brist på separation i arkitektur för säkerhetssystem i förhållande till driftssystem. Varför? − Man tror att SIL-instrumenteringen är ofelbar, och kanske också dyr − Äldre lösningar med mekaniska vakter har alltid separation på givarsidan 9 2013-02-12 Validering • Validering, av engelskans ”validate” i betydelsen göra giltigt, bekräfta. Validering kan anses vara ett generellt begrepp för att giltiggöra en process • Blev det enligt specifikationen? 2013-02-12 5 2013-02-12 11 FAT Factory Acceptance Test • FAT Syftet med en FAT är att kontrollera att leverantören levererar rätt utrustning med avseende på komponenter (CE-märkta, uppfyller kraven i specifikationen osv), att mjukvaran är enligt specifikation och fungerar ihop med komponenterna och att det fungerar som det är tänkt före den sammansatta utrustningen sätts in i anläggningen. • FAT är frivilligt enligt standarden • I det flesta fall finns det mycket att vinna med att utföra en FAT av mjuk och hårdvara. Eventuella fel brister, oklarheter kan klaras ut eller belysas i ett tidigt skede 12 2013-02-12 6 13 2013-02-12 Validering • SAT (Site Acceptence Test) Syftet med en SAT är att genom inspektion och tester validera att SIS och tillhörande SIF möter de funktionsmässiga och konstruktionsskarven i SRS och SIL-verifieringen • För FAT och SAT finns en standard som heter SS-EN 62381, testrapport • Validering bör utföras och dokumenteras enligt en skriven procedur, denna procedur är en del av grund konstruktions arbetet. 14 2013-02-12 7 Validering Innebar att man innan man tar säkerhetssystem i drift skall man kontrollera att det är byggt enligt specifikationer, ritningar och annat underlag I princip ska allt kontrolleras! - Fältutrustning, slutelement, sensorer, impulsledningar, tracing - Placering i fält, P&I Diagram, kommer man få tänkt funktion? - Komponenter, mot SRS och SIL verifiering - Driftförhållande, media, temperatur, frysning - Förläggning av kablar, jordning, avsäkring - Märkning fält/ritningar - Förreglingar, och förbi kopplingar - Kommunikation med DCS - Funktionsprovning av SIF 15 med mera, mera… 2013-02-12 Provning av säkerhetssystem, utförande • Provning bör utföras så likt normal drift som möjligt • Tryck Alternativt så stängs tryckgivaren av och trycket i givaren höjs med hjälp av en pump tills brytning sker • Temperatur Alternativt kan givarna demonteras och värmas i ett oljebad eller liknade, används denna metod bör man ha en termometer i oljebadet som visar den verkliga temperaturen. Givare som skall testas Givare som mäter temperatur i ugnen 16 2013-02-12 8 Exempel på märkning • Säkerhetsutrustning bör märkas så det tydligt framgår att det är.. - i fält - på ritningar 17 2013-02-12 Valideringsrapport Utförd validering ska dokumenteras i en rapport, bl. a innehållande; • Aktuell version av den valideringsinstruktion (plan) som använts • SIF som provats och referenser till de krav (SRS). • Utrustningar som använts, med spårbar kalibreringsdata. • Resultatet av varje funktionskontroll • Kriterierna för att godkänna kontrollen av samverkan med andra system • Versionsnummer på den hårdvara och programvara som provats • Alla avvikelser mellan förväntat och bekräftat provningsresultat • Resultatet av utförd validering . 18 2013-02-12 9 19 2013-02-12 Säkerhetsgranskning och överlämning • Innan säkerhetssystemet tas i drift ska en säkerhetsgranskning utförs. • Granskningen skall genomföras av en tvärfacklig grupp som täcker in både tekniska, driftmässiga och underhållsmässiga kompetenser. • Minst en deltagare i gruppen skall vara oberoende av deltagarna i själva projektet. 20 2013-02-12 10 21 2013-02-12 11
© Copyright 2024