SIS IEC 61508
-
Upload
renato-benintendi -
Category
Documents
-
view
504 -
download
11
description
Transcript of SIS IEC 61508
Safety Instrumented Systems
Reliability Engineering
Standards IEC 61508/61511Renato Benintendi
Failure Rate
Ndt
dNt
1)( ⋅=λ
Renato Benintendi
Ndt
Frazione dei componenti o sistemi in uso
soggetti a guasto nell' unità di tempo
PI PI PI PI
Affidabilità
Variazione nel tempo del numero di
componenti funzionanti con successo
rispetto alla totalità
Renato Benintendi
Ndt
dNt
1)( ⋅=− λ
Affidabilità
dNdt =⋅− λ ∫ ⋅− dtλ
Renato Benintendi
N
dNdt =⋅− λ ∫⋅=
⋅− dt
tot eNNλ
Affidabilità
∫⋅=⋅− dt
eNNλ teNN ⋅−⋅= λ
λλλλ=costante
Renato Benintendi
Valore assunto in genere indipendente dal
tempo
∫⋅=⋅− dt
tot eNNλ t
tot eNN ⋅−⋅= λ
Affidabilità
t
tot
eN
NtPtR ⋅−=== λ)()(
Renato Benintendi
totN
Probabilità che un sistema svolga con
successo la propria funzione ad un dato
istante t
Inaffidabilità
tetRtU ⋅−−=−= λ1)(1)(
Renato Benintendi
Probabilità che un sistema NON svolga con
successo la propria funzione ad un dato
istante t
Inaffidabilità
tetU t
tt ⋅=−= ⋅−→⋅→⋅ λλ
λλ 1lim)(lim 00
Renato Benintendi
Supponiamo che la probabilità di insuccesso sia
assunta molto bassa, al limite tendente a zero.
Tale condizione risulta sempre richiesta nella
progettazione dei sistemi di sicurezza
strumentati
Inaffidabilità nei
SIS
tetU t
tt ⋅=−= ⋅−→⋅→⋅ λλ
λλ 1lim)(lim 00
Renato Benintendi
Nell' ambito dei SIS è interessante conoscere
l' affidabilità di un sistema o di un componente
in un intervallo di tempo identificato come il Test
Interval (TI)
Probability of Failure on Demand
• La Probaility of Failure on Demand (PFD), definita dalloStandard ISA SP84.01, esprime la probabilità per un SISdi fallire su richiesta di intervento.
• Se la PFD fa riferimento ad un intervallo di tempopredeterminato, lo Standard ISA S84.01 la definisce come
Renato Benintendi
predeterminato, lo Standard ISA S84.01 la definisce comePFD avg. o probabilità media di fallimento su richiesta.
• Questa definizione coincide con la definizione delloStandard IEC 61508
Probability of Failure on Demand
In particolare, nella parte 6, la IEC 61508 introduceuna PFD mediata sul tempo di richiesta (Time Interval)
Renato Benintendi
avgPFD
Probability of Failure on Demand
In particolare, nella parte 6, la IEC 61508 introduceuna PFD mediata sul tempo di richiesta (Time Interval)
Renato Benintendi
avgPFD
Per i SIS è calcolata utilizzando il teorema della media
Probability of Failure on Demand
Per i SIS è calcolata utilizzando il teorema della media
Renato Benintendi
∫∫ ⋅=⋅= dttUT
dttPFDT
PFDavg )(1
)(1
Probability of Failure on Demand
Per i SIS è calcolata utilizzando il teorema della media
Renato Benintendi
Per i sistemi multipli la PFD verrà calcolata attraverso le formule dell'
algebra Booleana
Probability of Failure on Demand
Sensor
Renato Benintendi
Final
Element
Logic Controller
Probability of Failure on Demand
Sensor
λS
λLC
λFE
Renato Benintendi
Final
Element
Logic Controller
∫∫ ⋅=⋅= dttUT
dttPFDT
PFDavg )(1
)(1
2)(
1][ ii
i
i
iavg
Tdtt
TPFD
⋅=⋅⋅= ⋅∫λλ
Probability of Failure on Demand
Sensor
OR
SIF FAILS ON
DEMAND
Renato Benintendi
Final
Element
Logic Controller
SensorLogic
Controller
Final
Element
222
FEFELCLCSSavg
TTTPFD
⋅+⋅+⋅= ⋅ λλλ
Probability of Failure on Demand
COMMON CAUSE FAILURE
Per CCF si intende il guasto di due o più componenti
SIMILI (UGUALI) a causa dell' effetto del MEDESIMO
stress.
Renato Benintendi
stress.
Stress elettrici: Fulmine, campi elettromagnetici
Stress meccanici: urti e vibrazioni
Stress chimici: corrosione, umidità
Stress fisici: temperatura
Stress da software, i.e. elevati carichi al processore,
incluse elevte velocità di data processing
Probability of Failure on Demand
COMMON CAUSE FAILURE
La norma IEC 61508 tiene conto del CCF attraverso il
ββββ method
Renato Benintendi
ββββ method
gle
CC
sinλλβ =
Probability of Failure on Demand
COMMON CAUSE FAILURE
La norma IEC 61508 tiene conto del CCF attraverso il
ββββ method
Renato Benintendi
ββββ method
indipCC λλλ +=
Probability of Failure on Demand
COMMON CAUSE FAILURE
Scelta del Fattore β β β β (IEC 61508 Part. 6)
Renato Benintendi
Varia statisticamente tra 1 e 10%
Probability of Failure on Demand
COMMON CAUSE FAILURE
Scelta del Fattore β β β β (IEC 61508 Part. 6)
Renato Benintendi
Score Method
Questions Answers
Probability of Failure on Demand
COMMON CAUSE FAILURE
COMMON CAUSE FAILURE Renato Benintendi
Probability of Failure on Demand
Per i sistemi multipli la PFD verrà calcolata attraverso le formule dell'
algebra Booleana
Renato Benintendi
L' approccio continua a valere anche tenendo conto del CCF
Probability of Failure on Demand
L' approccio continua a valere anche tenendo conto del CCF
Renato Benintendi
V1 V2
Voting 1oo2
Probability of Failure on Demand
SIF FAILS ON
DEMAND
OR
Renato Benintendi
V1 V2
V1 V2Common
Cause
AND
Probability of Failure on Demand
SIF FAILS ON
DEMAND
OR
Renato Benintendi
V1 V2
V1 V2Common
Cause
AND
3)(
12
2T
dttT
PFDI
Iavg
⋅=⋅⋅= ⋅
∫λ
λ
Probability of Failure on Demand
SIF FAILS ON
DEMAND
OR
Renato Benintendi
V1 V2
V1 V2Common
Cause
AND
2
TPFDavg
⋅⋅= λβ
Probability of Failure on Demand
SIF FAILS ON
DEMAND
OR
Renato Benintendi
V1 V2
V1 V2Common
Cause
AND3)(
12
2T
dttT
PFDI
Iavg
⋅=⋅⋅= ⋅
∫λ
λ
2
TPFDavg
⋅⋅= λβ+
Si definisce Systematic Failure un guasto, lacui causa può essere eliminata unicamentemodificando il progetto ed il processo di
Systematic Failure
Renato Benintendi
modificando il progetto ed il processo dicostruzione dell’HW, la programmazione SW,le procedure operative o altri fattoripertinenti.
Failure – Diagnostic Coverage – Safe Failure Fraction
λ Frazione dei componenti affetti da
guasto nell' unità di tempo
1/λNumericamente uguale al tempo
necessario affinchè il singolo 1/λ necessario affinchè il singolo
componente vada sicuramente in
failure
MTTF (Mean Time to Failure)
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ Frazione dei componenti affetti da
guasto nell' unità di tempo
Le unità di misura del failure rate sono del Le unità di misura del failure rate sono del
tipo tempo-1. Una unità di misura spesso
ricorrente nell' ambito della documentazione
IEC 61508 è quella definita FIT (Failure In
Time), consistente in failure per 109 di ore
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
Per componenti riparabili, in analogia con il failure rate è definibile e disponibile il repair rate
µ Probabilità che (o frazione di
componenti per cui) la riparazione
termini nell' unità di tempo
1/µ1/µ1/µ1/µNumericamente uguale al tempo intercorrente tra l' insorgenza di un guasto e la sua riparazione
MTTR (Mean Time to Restoration)*
*IEC 61508Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
Per componenti riparabili, in analogia con il failure rate è definibile e disponibile il repair rate
MTBF = MTTF + MTTR ∼∼∼∼ MTTF
Stato
Tempo
MTTF MTTR
MTBF
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλsλsu
λsdΣ
Σ
λ
λd
λdd
λdu
Σ
Σ
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλdΣ
Detected Failure
(Guasto Individuabile)
• Si definisce “Guasto Individuabile” unguasto individuabile tramite test
diagnostici, test funzionali periodici, test
manuali ed ispezioni dell’operatore o nel
corso dell’operazione normale.
λ
λu
ΣUndetected Failure
(Guasto Non Individuabile)
• Si definisce “Guasto Non Individuabile”un guasto non individuabile tramite test
diagnostici, test funzionali periodici, test
manuali ed ispezioni dell’operatore o nel
corso dell’operazione normale.
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλsΣ
Safe Failure
E' definito come un failure a cui
corrisponde un output che λ corrisponde un output che
provoca una spuria/falsa de-energizzazione
CONTROLLER OUTPUT CIRCUIT Solenoid
Valve
+
-
La formazione di alta
resistenza sui contatti
impedisce la chiusura
del circuito e pertanto
provoca la chiusura
della valvola senza
domanda Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλsΣ
Safe Failure
L' effetto non pregiudica la
sicurezza funzionale ma
determina il trip del sistema
benchè i parametri operativi λ
benchè i parametri operativi
siano all' interno del range di
progetto
CONTROLLER OUTPUT CIRCUIT Solenoid
Valve
+
-
La formazione di alta
resistenza sui contatti
impedisce la chiusura
del circuito
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλsΣ
Safe Failure
Si definisce Spurious Trip unafermata sicura del processo
Spurious Trip
λfermata sicura del processocausata dal SIS per ragioniesclusivamente associate aproblemi di affidabilità del SISstesso (ad es. per guasti dell’HW,malfunzionamenti del SW, avarieelettriche, surriscaldamenti, etc.).
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλsΣ
Safe Failure
La fermata del processo perSpurious Trip, da considerarsi a
Spurious Trip
λSpurious Trip, da considerarsi atutti gli effetti una fermataindesiderata o “falsa”, puòpregiudicare indirettamente lasicurezza e può avere conseguenzedi rilievo sulla produttività
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλdΣ
Dangerous
Failure
Si definisce “Guastoλ Si definisce “GuastoPericoloso” un guasto che è ingrado di pregiudicare lasicurezza funzionale del SIS,conducendo il SIS ad uno statodi non-sicurezza o di non-rispondenza funzionale.
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλdΣ
Dangerous
Failure
Dal punto di vista funzionale,un dangerous failure impediscela de-energizzazione di unλ la de-energizzazione di uninput
CONTROLLER OUTPUT CIRCUIT Solenoid
Valve
+
-
Durante il normale
funzionamento, i
contatti del relay
aderiscono tra loro
impedendo la de-
energizzazione del loop
e la chiusura della
valvolaRenato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
λ Σ
Dangerous
Undetected
Failure
Rappresenta la frazione di guastipericolosi non rilevati dall'λ
λdλdu
Σ
Σ
pericolosi non rilevati dall'automatic self-test, dall' operatore dicontrol room o dal personale di
manutenzione
ATTENZIONE Rispetto a questi si valuterà la PFD (Unavailability)Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
Dangerous
Undetected
Failure
λdu = λdu-RH + λdu-S
Renato Benintendi
λdu = λdu-RH + λdu-S
Random Hardware failure rate
detectable by functional testing
(A rigore è quello previsto dall' IEC
61508)
Systematic failure rate anch' esso
detectable by functional testing
Vi è una differenza anche di oltre un ordine di grandezza tra i failure rate DU delle banche dati OREDA/PDS e quelli dichiarati dai fornitori. Il motivo è
rappresentato dall' esclusione da parte di questi ultimi del failure sistematico
Failure – Diagnostic Coverage – Safe Failure Fraction
λ
λλλλsλsu
λsdΣ
Σ
DUDDSUSD
DDSUSDSFFλλλλ
λλλ+++
++=
λ
λd
λdd
λdu
Σ
ΣDUDDSUSD
DUSFFλλλλ
λ+++
−=1
Renato Benintendi
Failure – Diagnostic Coverage – Safe Failure Fraction
Diagnostic Coverage
I moduli operano in automatic self-test (on I moduli operano in automatic self-test (on
line diagnostic testing to detect failures
prior to an actual demand-IEC 61508 sect
3.8.6 -3.8.7). La frazione dei failure rilevati
dal self test è denominato Diagnostic
Coverage.
Renato Benintendi
• La Probaility of Failure on Demand (PFD), definita dallo Standard ISASP84.01, esprime la probabilità per un SIS di fallire su richiesta diintervento.
• Se la PFD fa riferimento ad un intervallo di tempo predeterminato, loStandard ISA S84.01 la definisce come PFD avg. o probabilità media difallimento su richiesta.
Risk Reduction Factor
• Questa definizione coincide con la definizione dello Standard IEC 61508
avgPFD avgPFD/1Risk
Reduction Factor
Renato Benintendi
Risk Reduction Factor
avgPFD/1Risk
Reduction Factor
Può essere interpretato come il fattore di
Renato Benintendi
Può essere interpretato come il fattore di
accrescimento dei componenti necessari per ridurre
a zero la probabilità di danno
Se PFDavg è uguale a 0.5, ciò vuol dire che il 50% dei
componenti esposti rischia il guasto. Raddoppiandone
il numero rispetto al quello di progetto si riduce
teoricamente a zero l' incidenza del guasto.
Unavailability
avgPFD−1 Unavailability
Renato Benintendi
OPERAZIONE NORMALE
SFF
PFD
Fermate “false”
Unavailability
avgPFD−1 Unavailability
DIAGNOSTICA
Renato Benintendi
SFF
PFD
Fermate “false”
OPERAZIONE NORMALE
DIAGNOSTICA
Probability of Failure on Demand*
RTT
PFD DDIDU
avg ⋅+⋅= λλ2
Renato Benintendi
RTPFD DDavg ⋅+= λ2
*Componenti riparabili con Ti >> RT
Convenzionalmente posto uguale ad 8 ore
Fault Tolerance & Voting Architecture
Renato Benintendi
Fault Tolerance & Voting Architecture
Fault Tolerance & Voting Architecture
La (HW) Fault Tolerance di un sistema di più
item identici consiste nel numero che
Renato Benintendi
item identici consiste nel numero che
possono essere soggetti a guasto senza
pregiudicare la sicurezza funzionale dell'
Equipment Under Control
Fault Tolerance & Voting Architecture
MooN
Renato Benintendi
MooN
M out of N
con M ≤ N
NecessariEsistenti
Fault Tolerance & Voting Architecture
MooNNecessari
Esistenti
Renato Benintendi
M out of N
con M ≤ N
NecessariEsistenti
HFT =N-M
Fault Tolerance & Voting Architecture
MooN
Renato Benintendi
Ciò significa in termini affidabilistici che la
valutazione verrà svolta unicamente sul
numero M
Fault Tolerance & Voting Architecture
MooN
CONTROLLER OUTPUT CIRCUIT Solenoid
+
-Sensor
Renato Benintendi
Schema di esempio
Un controllore provvederà all'
invio di un output allo scopo di
azionare un elemento finale
OUTPUT CIRCUIT Solenoid Valve -
Fault Tolerance & Voting Architecture
MooN
CONTROLLER OUTPUT CIRCUIT Solenoid
+
-Sensor
Renato Benintendi
Schema di esempio
Un guasto pericoloso sarà
rappresentato dalla
energizzazione (short circuit)
OUTPUT CIRCUIT Solenoid Valve -
Fault Tolerance & Voting Architecture
MooN
CONTROLLER OUTPUT CIRCUIT Solenoid
+
-Sensor
Renato Benintendi
Schema di esempio
Un guasto non pericoloso sarà rappresentato dalla
disenergizzazione del circuito (circuito aperto - spurious trip)
OUTPUT CIRCUIT Solenoid Valve -
Fault Tolerance & Voting Architecture
Voting 1oo1
CONTROLLER OUTPUT CIRCUIT
+Sensor
Renato Benintendi
Schema di esempio
Il sistema non ha Fault Tolerance, pertanto non è
protetto né contro i guasti pericolosi né verso gli
spurious trip.
OUTPUT CIRCUIT Solenoid Valve -
Sensor
Fault Tolerance & Voting Architecture
Voting 1oo2
CONTROLLER OUTPUT CIRCUIT
+Sensor
Renato Benintendi
Il sistema è stato realizzato con due controllori
separati (due canali separati).
CONTROLLER OUTPUT CIRCUIT Solenoid
Valve -Sensor
Fault Tolerance & Voting Architecture
Voting 1oo2
CONTROLLER OUTPUT CIRCUIT
+Sensor
Renato Benintendi
Il guasto pericoloso (energizzazione) è stato
risolto collegando in serie le due uscite. La Fault
Tolerance da λd è migliorata.
CONTROLLER OUTPUT CIRCUIT Solenoid
Valve -Sensor
Fault Tolerance & Voting Architecture
Voting 1oo2
CONTROLLER OUTPUT CIRCUIT
+Sensor
Renato Benintendi
Lo spurious trip (disenergizzazione) non solo non è
stato risolto, bensì la sua probabilità è addirittura
raddoppiata. La Fault Tolerance da λS è peggiorata.
CONTROLLER OUTPUT CIRCUIT Solenoid
Valve -Sensor
Fault Tolerance & Voting Architecture
Voting 2oo2
CONTROLLER OUTPUT CIRCUIT
+Sensor
Renato Benintendi
La PFD è raddoppiata in caso di energizzazione da
dangerous failure.
CONTROLLER OUTPUT CIRCUIT
Solenoid Valve
-Sensor
Fault Tolerance & Voting Architecture
Voting 2oo2
CONTROLLER OUTPUT CIRCUIT
+Sensor
Renato Benintendi
La Fault Tolerance verso gli spurious trip è aumentata in
quanto entrambi i canali devono disenergizzare.
CONTROLLER OUTPUT CIRCUIT
Solenoid Valve
-Sensor
Fault Tolerance & Voting Architecture
Voting 2oo3
CONTROLLER OUTPUT CIRCUIT
Sensor
+
A1
A2
B
Renato Benintendi
CONTROLLER OUTPUT CIRCUIT
Sensor
CONTROLLER OUTPUT CIRCUIT
Sensor
Solenoid Valve
-
B1
B2
C2
C1
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
Renato Benintendi
A1
B1
A2
C2
B2
C1
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
OFF
Renato Benintendi
A1
B1
A2
C2
B2
C1
Two sets OFF – Sistema
de-energizzato
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
OFF
Renato Benintendi
A1
B1
A2
C2
B2
C1
Two sets OFF – Sistema
de-energizzato
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
OFF
Renato Benintendi
A1
B1
A2
C2
B2
C1
Two sets OFF – Sistema
de-energizzato
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
ON
Renato Benintendi
A1
B1
A2
C2
B2
C1
Two sets ON – Sistema
energizzato
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
ON
Renato Benintendi
A1
B1
A2
C2
B2
C1
Two sets ON – Sistema
energizzato
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
ON
Renato Benintendi
A1
B1
A2
C2
B2
C1
Two sets ON – Sistema
energizzato
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
OFF
Renato Benintendi
A1
B1
A2
C2
B2
C1
Un set fails open – Il
sistema degenera in un
1oo2 e garantisce i
requirements di
sicurezza evitanto uno
spurious trip
Fault Tolerance & Voting Architecture
Voting 2oo3
A1 A2 B2
OFF
Renato Benintendi
A1
B1
A2
C2
B2
C1
Un set fails SHORT
CIRCUIT – Il sistema
garantisce i requirements
di sicurezza evitanto uno
spurious trip
Fault Tolerance & Voting Architecture
Voting 1oo1
Calcolo della PFD
T⋅λ
Renato Benintendi
PT RTT
PFD DDIDU
avg ⋅+⋅= λλ2
Convenzionalmente posto uguale ad 8 ore
Fault Tolerance & Voting Architecture
Voting 1oo1
Calcolo della PFD
T⋅λ
Renato Benintendi
PT RTT
PFD DDIDU
avg ⋅+⋅= λλ2
Sostanzialmente trascurabile rispetto al
primo termine
Fault Tolerance & Voting Architecture
Voting 1oo1
Calcolo della PFD
Renato Benintendi
2
IDUavg
TPFD
⋅= λPT
Fault Tolerance & Voting Architecture
Voting 1oo2
Calcolo della PFD
AND
Renato Benintendi
3
22
IDUavg
TPFD
⋅= λPT PT
Fault Tolerance & Voting Architecture
Voting 2oo2
Calcolo della PFD
OR
Renato Benintendi
IDUavg TPFD ⋅= λPT PT
Fault Tolerance & Voting Architecture
Voting 2oo3
Calcolo della PFD
Renato Benintendi
PT PT
1 2
PT
3
Fault Tolerance & Voting Architecture
Voting 2oo3
Calcolo della PFD
AND AND AND
Renato Benintendi
PT PT
1 2
PT PT
1 3
PT PT
2 3
+ +
3
22
IDUavg
TPFD
⋅= λ3
22
IDUavg
TPFD
⋅= λ3
22
IDUavg
TPFD
⋅= λ
22
IDUavg TPFD ⋅=λ
Fault Tolerance & Voting Architecture
Voting 1001
Calcolo del MTTFspurious
Renato Benintendi
PT
S
MTTFλ1=
Fault Tolerance & Voting Architecture
Voting 1002
Calcolo del MTTFspurious
Renato Benintendi
PT
S
MTTFλ2
1=
Fault Tolerance & Voting Architecture
Voting
Renato Benintendi
PFD – Procedure ed esempi di calcolo
Reliability Block Diagram (RBD)
PFD1 PFD2 PFD3 PFD4
Renato Benintendi
Il sistema a blocchi in serie rappresenta un insieme di item la cui affidabilità di tutti gli
elementi concorre alla affidabilità del sistema insieme
avgavg PFDPFDU Σ== avgavg PFDPFDR Σ−=−= 11
PFD – Procedure ed esempi di calcolo
Reperibilità dei Failure Rate per la Sicurezza Funzionale
Offshore Reliability Data Handbook 4th Edition, (OREDA 2002)
Renato Benintendi
4th Edition, (OREDA 2002)
PFD – Procedure ed esempi di calcolo
Offshore Reliability Data Handbook 4th Edition, (OREDA 2002)
Renato Benintendi
PFD – Procedure ed esempi di calcolo
RELIABILITY DATA FOR SAFETY INSTRUMENTED SYSTEMS
Renato Benintendi
INSTRUMENTED SYSTEMSPDS DATA HANDBOOK, 2006 EDITION
Ed. SINTEF
PFD – Procedure ed esempi di calcolo
Segregation activated
by PSD (ESD/PT) not
included Renato Benintendi
PFD – Procedure ed esempi di calcolo
Renato Benintendi
PFD – Procedure ed esempi di calcolo
Renato Benintendi
PFD – Procedure ed esempi di calcolo
Renato Benintendi
PFD – Procedure ed esempi di calcolo
Shut down as a result
of LAHH through PSD
and/or ESD Renato Benintendi
PFD – Procedure ed esempi di calcolo
Shut down as a result of LAHH through PSD and/or ESD
Renato Benintendi
PFD – Procedure ed esempi di calcolo
Firewater Supply (2 x 100% pumps)
Renato Benintendi
Modello di Markov
Si basa sulla osservazione che un
sistema può trovarsi in diversi stati,
caratterizzati ciascuno da una caratterizzati ciascuno da una
probabilità e da un transition rate
Stato 1 - OKStato 2Guasto
Failure
Repair
Renato Benintendi
Modello di Markov
1oo1 VotingRenato Benintendi
Modello di Markov
1oo2 Voting
Renato Benintendi
?
Renato Benintendi
Safety Integrity
Indica la probabilità che un SRS esegua una funzione disicurezza correttamente, entro un periodo di tempo
Assegnazione dei SIL Vs PFDavg
sicurezza correttamente, entro un periodo di tempoprestabilito
Renato Benintendi
Assegnazione dei SIL Vs PFDavg
Low Demand ( Part 4 dello Standard IEC 61508)
Lo standard interpreta la frequenza di domanda onLo standard interpreta la frequenza di domanda onoperation del SRS non superiore di una all' anno e il prooftest non superiore a due volte.
Renato Benintendi
Assegnazione dei SIL Vs PFDavg
High Demand
Lo standard interpreta la frequenza di domanda onoperation del SRS superiore di una all' anno e il proof testoperation del SRS superiore di una all' anno e il proof testsuperiore a due volte.
Renato Benintendi
Assegnazione dei SIL Vs PFDavg
Safety Integrity Level
Numero intero con sui si indica la Safety Integrity. Il SIL Numero intero con sui si indica la Safety Integrity. Il SIL può variare da 1 a 4 con andamento crescente.
Renato Benintendi
Assegnazione dei SIL Vs PFDavg
Safety Integrity Level (Warning)
Il SIL è assegnato al SIS costituente il SRS. Questo è concettualmente formato dai tre elementi principali:
Renato Benintendi
concettualmente formato dai tre elementi principali:
� Sensor
� Logic Solver
� Final Element
L' eventuale Certificazione SIL di componenti separati non è condizione sufficiente per la attribuzione SIL all' intero sistema.
Assegnazione dei SIL Vs PFDavg
IEC 61508-1 Table 2 and 3Renato Benintendi
Assegnazione dei SIL Vs PFDavg
99.999
99.99
0.00001
0.0001
SIL
4
AK8
AK6
AK7
Aumento del Livello di
Integrità della Sicurezza
Safety Availability, %
99.9
99.0
90.0
PFDavg.
0.001
0.01
0.1
ANSI/ISAS84.01
3
IEC 61508 TÜV Class (AK)
2
1
3
2
1
AK6
AK5
AK3AK4
AK2
AK1Aumento del Livello di
Integrità della Sicurezza
Renato Benintendi
Fault Tolerance & Voting Architecture
Type A ComponentType A Component
Semplici dispositivi caratterizzati da ben notemodalità di guasto e da una solida storia operativa(sensors)
Renato Benintendi
Fault Tolerance & Voting Architecture
TypeB ComponentTypeB Component
Dispositivi complessi caratterizzati modalità diguasto non completamente note (logical solvers)
Renato Benintendi
Fault Tolerance & Voting Architecture
Hardware safety integrity: architectural constraints on type A safety-related subsystems (IEC 61508-2, Table 2)
Renato Benintendi
Fault Tolerance & Voting Architecture
Hardware safety integrity: architectural constraints on type B safety-related subsystems (IEC 61508-2, Table 3)
Renato Benintendi
Metodi per la assegnazione del SIL*
Principali metodi utilizzati per la assegnazione del SIL:
• HAZOP esteso
• Consequences Only• Consequences Only
• Matrice di Rischio
• Grafico di Rischio
• Analisi dei Livelli di Protezione (LOPA)
• Quantitativo
By Pasquale Fanelli
Conformità allo Standard IEC 61508
EUC Risk Analysis Risk Assessment
Failure Architettura
SIS
SIL Definition
SIS VERIFICATION
Failure
Frequency
Hazard
Magnitude
Demand
Entity
SIS
Diagnostic
Coverage
Test Interval
SIS TESTING
Metodo HAZOP esteso
FITI
USCITA
TITAH
TE
FIC FAL
FIT
FAL
FAH
FE
INGRESSO
FITI
TE
GAS COMB.
PIT
PI
PAL
PAH
TSO
Esempio di assegnazione del SIL
Metodo HAZOP esteso
� Si valutano le funzioni di sicurezza:
• per bassa pressione alimentazione gas combustibile
• per bassa portata alimentazione serpentino forno;
� Il forno non è presidiato;
� Il forno è collocato ad una distanza di 50 m da una sala controllo non bunkerizzata.
Esempio di assegnazione del SIL
Metodo HAZOP esteso
Un team multi-disciplinare esperto e con conoscenza
approfondita dello specifico processo, conduce le
seguenti attività:
• Analisi PHA• Analisi PHA
• Analisi HAZOP estesa
• Assegnazione del SIL
Il tutto nel rispetto di Normativa e Standards applicabili.
Esempio di assegnazione del SIL
Metodo HAZOP esteso (a cura di P. Fanelli)
Bassa Portata Intasamento
Serpentino
DEVIAZIONI CAUSA CONSEGUENZE PROTEZIONI RACCOM.NI SIL
- Possibile collasso del serpentino;
- Possibile fuoriuscita di liq. a T > F.P.;
- Possibile accensione ed incendio;
- Possibile danno forno per incendio;
- Possibili danni fisici di minore entità
per il personale nell’area (*)
(*) il forno non è presidiato
Allarme
Bassa Portata
Alimentazione
Forno
Blocco
Automatico
Forno per
Bassa Portata
Alimentazione
Bassa Pressione Mancanza
Alimentaz.
Gas Comb.
- Spegnimento del bruciatore del forno;
- Possibile saturazione della camera di
combustione con gas;
- Possibile formazione di miscela espl.;
- Possibile esplosione del forno alla
riaccensione;
- Possibili danni fisici di maggiore
entità per il personale nell’area (*)
(*) il forno non è presidiato
Allarme
Bassa Pressione
Gas Combustibile
Blocco
Automatico
Forno per
Bassa
Pressione Gas
Combustibile
Esempio di assegnazione del SIL
Metodo “Consequences Only”
� Si richiede la sola valutazione delle conseguenze;
Si segue un approccio conservativo;� Si segue un approccio conservativo;
� Si risparmiano analisi di sicurezza più avanzate.
Esempio di assegnazione del SIL
Metodo “Consequences Only”
� Impatto sul Personale
• Danni fisici; e/o
• Decessi; e/o
• Peggioram.to relazioni.
� Impatto Ambientale
• Emissioni tossiche; e/o
• Contaminaz.ne di suolo e/o falda; e/o
• Danni irreversibili aree sensibili.
� Impatto sulla Comunità
• Danni fisici; e/o
• Decessi; e/o
• Danni materiali; e/o
• Danni relazioni Autorità.
� Impatto sul Giro d’Affari
• Perdite di capitali; e/o
• Perdite di produzione; e/o
• Danni all’immagine; e/o
• Ammende, spese legali e penali.
Esempio di assegnazione del SIL
Metodo “Consequences Only”
Esempio di SIL vs. Impatto sul Personale
� SIL 0 - Nessun danno fisico al personale
� SIL 1 - Possibili danni fisici di minore entità, quali ferite
ed ustioni non esteseed ustioni non estese
� SIL 2 - Possibili danni fisici di maggiore entità, quali
ferite gravi ed ustioni estese
� SIL 3 - Possibilità di un decesso
� SIL 4 - Possibilità di più decessi
Esempio di assegnazione del SIL
Metodo “Consequences Only”Esempio di Assegnazione SIL in funzione
dell’Impatto sul Personale:
Bassa Portata Alimentazione Serpentino Forno
� La sequenza di eventi incidentali può provocare danni fisici di minore entità interessanti il danni fisici di minore entità interessanti il personale nell’area e pertanto si opta per SIL 1;
Bassa Pressione Alimentazione Gas Combustibile
� La sequenza di eventi incidentali può provocare danni fisici di maggiore entità interessanti il personale nell’area e pertanto si opta per SIL 2.
Esempio di assegnazione del SIL
Metodo Matrice di Rischio
� La Matrice di Rischio si basa sulla valutazione di:
• Severità dell’evento incidentale;
• Probabilità dell’evento incidentale.
� La Matrice di Rischio si connota come l’approccio � La Matrice di Rischio si connota come l’approccio dell’Industria di Processo al Rischio Tollerabile;
� La Matrice di Rischio si può concepire con la attribuzione specifica di valori di SIL ad aree a combinazioni determinate di severità e probabilità dell’evento incidentale.
Esempio di assegnazione del SIL
Metodo Matrice di Rischio
� In molti casi l’elaborazione della Matrice di
Rischio fa parte dell’analisi PHA;
� La Matrice di Rischio è utilizzata come
strumento di valutazione delle misure
protettive attive e passive.
Esempio di assegnazione del SIL
Metodo Matrice di Rischio
� Tipicamente si distinguono le misure protettive in attive e passive :
• Misure protettive attive, sono le misure non efficaci al 100 % del tempo e richiedenti azioni di intervento.
Tipico esempio sono PSV, SIS, sistemi antincendio, etc.;Tipico esempio sono PSV, SIS, sistemi antincendio, etc.;
• Misure protettive passive, sono le misure efficaci al
100 % del tempo e non richiedenti azioni di intervento (ad es. umano, strumentale, meccanico, etc.).
Tipico esempio sono muri antiscoppio, bacini di contenimento, fire proofing, etc.
2
CR
ITIC
AC
ATA
ST
RO
FIC
A
3 3
3 3
RISCHIONON
TOLLERABILE
Esempio di assegnazione del SIL
Metodo Matrice di RischioSeverità
dell’Evento Incidentale
BASSA
NR
1
MODERATA ALTA
MIN
OR
EM
AG
GIO
RE
Probabilità
dell’Evento Incidentale
2 2
1 2
Esempio di assegnazione del SIL
Metodo Matrice di Rischio
Bassa Portata Alimentazione Serpentino Forno
� Probabilità dell’Evento Incidentale
Il collasso del serpentino del forno è stato registrato con una frequenza di accadimento pari ad un caso ogni 4 anni, per cui:frequenza di accadimento pari ad un caso ogni 4 anni, per cui:
Livello di Probabilità = MODERATA
� Severità dell’Evento Incidentale
Si possono registrare danni al personale di minore entità, per cui:
Indice di Severità delle Conseguenze = MINORE
2
CR
ITIC
AC
ATA
ST
RO
FIC
A
3 3
3 3
RISCHIONON
TOLLERABILE
Severità
dell’Evento Incidentale
Esempio di assegnazione del SIL
Metodo Matrice di Rischio
BASSA
NR
1
MODERATA ALTA
MIN
OR
EM
AG
GIO
RE
Probabilità
dell’Evento Incidentale
2 2
1 2
Esempio di assegnazione del SIL
Metodo Matrice di Rischio
Bassa Pressione Alimentazione Gas Combustibile
� Probabilità dell’Evento Incidentale
Lo spegnimento del forno per mancanza di Gas Combustibile è stato registrato con una frequenza accadimento pari ad un caso stato registrato con una frequenza accadimento pari ad un caso all’anno, per cui:
Livello di Probabilità = ALTA
� Severità dell’Evento Incidentale
Si possono registrare danni al personale di maggiore entità, per cui:
Livello di Severità delle Conseguenze = MAGGIORE
2
CR
ITIC
AC
ATA
ST
RO
FIC
A
3 3
3 3
RISCHIONON
TOLLERABILE
Severità
dell’Evento Incidentale
Esempio di assegnazione del SIL
Metodo Matrice di Rischio
BASSA
NR
1
MODERATA ALTA
MIN
OR
EM
AG
GIO
RE
Probabilità
dell’Evento Incidentale
2 2
1 2
Analisi dei Livelli di Protezione (LOPA)
I livelli di protezione dovrebbero risultare:
• Progettati specificatamente per la mitigazione del grado di rischio del processo; e
• Indipendenti, in modo che il fallimento dell’uno non pregiudichi la sicurezza funzionale dell’altro; epregiudichi la sicurezza funzionale dell’altro; e
• Affidabili; e (*)
• Verificabili e Validabili (V &V)
(*) Il CCPS richiede due ordini di grandezza di riduzione del
rischio, pertanto almeno un PFD = 0,01 (limite SIL 1)
Esempio di assegnazione del SIL
Matrici di Rischio a vari Livelli di Protezione
Probabilità
Evento
L M H
H
M
L IPL = H
111
NR 1
NR NR NR
NR
H
M
222
1 21Severità Evento
Severità Evento
Evento
L M H
M
L IPL = M
1 2
NR NR 1
1
Severità Evento
L M H
H
M
L IPL = L
333
2 3
1 1 2
2
Probabilità
Evento
Probabilità
Evento
Severità Evento
IPL = Livelli di Protezione Indipendenti
Esempio di assegnazione del SIL
Metodo Grafico di Rischio
� Simile al metodo Matrice di Rischio;
� Generalmente utilizzato per una valutazione delle
conseguenze sul Personale;
� Impiega quattro parametri:� Impiega quattro parametri:
• Severità dell’evento incidentale; e
• Probabilità dell’evento incidentale; e
• Frequenza di esposizione; e
• Possibilità di fuga.
Esempio di assegnazione del SIL
Metodo Grafico di Rischio - Parametro C
Parametro C: Conseguenze
� C1 Conseguenze minori
� C2 Conseguenze serie, con danni permanenti
ad una o più persone, fino ad un decessoad una o più persone, fino ad un decesso
� C3 Alcuni Decessi
� C4 Numerosi Decessi
Esempio di assegnazione del SIL
Metodo Grafico di Rischio - Parametro F
Parametro F: Frequenza e Tempo di Esposizione
� F1 Presenza occasionale e breve in aree pericolose
F2 Presenza frequente ed estesa in aree pericolose� F2 Presenza frequente ed estesa in aree pericolose
Esempio di assegnazione del SIL
Metodo Grafico di Rischio - Parametro P
Parametro P: Possibilità di evitare l’evento incidentale
� P1 Possibile a determinate condizioni
P2 Praticamente impossibile� P2 Praticamente impossibile
Il parametro tiene conto in particolare dell’efficacia dei sistemi di
allarme e di emergenza, del livello di preparazione del personale
alle emergenze, dall’andamento nel tempo dell’evento incidentale.
Esempio di assegnazione del SIL
Metodo Grafico di Rischio - Parametro W
Parametro W: Probabilità dell’Evento Non Desiderato
� W1 Evento non desiderato improbabile
� W2 Evento non desiderato poco probabile
� W3 Evento non desiderato altamente probabile
Lo scopo del parametro W è quello di stimare la probabilità
dell’evento non desiderato senza sistemi di sicurezza, ma con le
attrezzature esterne di riduzione del rischio.
b
a
c
-
a
b
-
-
-a
P1
P2
P
F1
C1
C2
W3 W2 W1
Esempio di assegnazione del SIL
Metodo Grafico di Rischio
Legenda
C Conseguenze
F Frequenza e T esp.
P Possibilità di evitare
W Probabilità
Riduzione di Rischio
Minima Richiesta
d
e
f
g
h
c
d
e
f
g
b
bc
d
e
f
P1
P2
F2
F1
F2
C3
C4
Punto di Partenza
Legenda
- NR
a no SR’s speciali
b, c SIL 1
d SIL 2
e, f SIL 3
g SIL 4
h SIS multipli
Esempio di assegnazione del SIL
Metodo Grafico di Rischio
Bassa Portata Alimentazione Serpentino Forno
� Conseguenze:
• Minori = C1
� Frequenza e Tempo di Esposizione:Frequenza e Tempo di Esposizione:
• Occasionale e breve = F1
� Possibilità di Evitare l’Evento Incidentale:
• Possibile a determinate condizioni = P1
� Probabilità di Accadimento:
• Evento poco probabile = W2
-
-
-
-
a
1
1
2
a
1
1
2
1
3
1
2
1
3
2
4
-
-
a
1
W1W2W3
C1
C2
P1
P2
P1
F1
F
Esempio di assegnazione del SIL
Metodo Grafico di Rischio
a = no SR’s speciali
2
1
3
34
3
5
h
8
2
2
4
3
5
2
4
3
5
3
6
4
7
3
6
3
6
4
7
C3
C4
P2
F2
F1
F2
Bassa pressione Alimentazione Gas Combustibile:
� Conseguenze:
• Alcuni decessi = C3
Esempio di assegnazione del SIL
Metodo Grafico di Rischio
• Alcuni decessi = C3
� Frequenza e Tempo di Esposizione :
• Presenza frequente = F2
� Probabilità di Accadimento:
• Evento altamente probabile = W3
-
-
-
-
a
1
1
2
a
1
1
2
1
3
1
2
1
3
2
4
-
-
a
1
W1W2W3
C1
C2
P1
P2
P1
F1
F
Esempio di assegnazione del SIL
Metodo Grafico di Rischio
2
1
3
34
3
5
h
8
2
2
4
3
5
2
4
3
5
3
6
4
7
3
6
3
6
4
7
C3
C4
P2
F2
F1
F2
Esempio di assegnazione del SIL
Metodo Analisi LOPA
� Valutazione dettagliata e quantitativa di ogni
potenziale scenario incidentale;
� Meno rigorosa di una Analisi di Rischio
pienamente quantitativa;pienamente quantitativa;
� Basata su quantificazione per “ordine di
grandezza”;
� Richiede criteri quantitativi di calcolo del grado di
rischio tollerabile per ogni SIL.
Esempio di assegnazione del SIL
Metodo Analisi LOPA - Albero degli Eventi
IPL 1 IPL 2 IPL 3
FALLIMENTO
Evento Incidentale
Frequenza = F1 x P1 x P2 x P3
PFD = P2
PFD = P3
Causa di Avvio
Frequenza = F1
FALLIMENTO
FALLIMENTO
SUCCESSO
SUCCESSO
SUCCESSOEvento Non-Incidentale
Evento Non-Incidentale
PFD = P1
PFD = P2
Evento Non-Incidentale
Esempio di assegnazione del SIL
Metodo Analisi LOPA� Identifica gli eventi incidentali e la severità delle conseguenze;
� Identifica le cause di avvio di ogni evento incidentale;
� Stima la probabilità di ogni evento incidentale;
� Identifica gli IPL;
� Determina il valore di PFD per ogni IPL ed il SIS (pertanto determino il SIL);determino il SIL);
� Determina la probabilità dell’evento incidentale;
� Compara il grado di rischio dell’evento incidentale con il grado di
Rischio Tollerabile:
- per Rischio Tollerabile: OK
- per Rischio non-Tollerabile: ridetermino IPL e/o SIL del SIS
Formato Tipico per Analisi LOPA
Evento
Incidentale
Causa
di Avvio
Probabilità
Causa di
Livelli Protettivi Indipendenti
Probability to Fail on Demand (PFD)
Mitigazioni
Aggiuntive
Probabilità
Evento
Esempio di assegnazione del SIL
Metodo Analisi LOPA -
e
Severità
delle
Conseguenze
dell’Evento
Incidentale
Avvio (PFD) Incidentale
Mitigato
Design BPCS Allarmi/
Procedure
SIS
Esempio di assegnazione del SIL
Metodo Analisi LOPA -Esempi di Cause di Avvio di Eventi Incidentali
Guasto Loop di Controllo 1/10 anni
Guasto Pompa 1/10 anni
Errore Umano:
- in attività di routine
- in attività di non-routine
1/100 anni
1/10 anni
Perdita di raffreddamento 1/anno
Caduta Alimentazione EE 1/anno
Esempio di assegnazione del SIL
Metodo Analisi LOPA -
Esempi di PFD per diversi IPL
Risposta Operatore ad Allarmi PFD = 0.1
Valvola di Sicurezza PFD = 0.01 - 0.001
Rating Recipiente in Pressione PFD = 0.01Rating Recipiente in Pressione PFD = 0.01
Contenimento Secondario PFD = 0.01
SIS PFD = 0.1 - 0.0001
Esempio di assegnazione del SIL
Metodo Quantitativo� Quando si applica:
• Si applica quando sono assegnate le frequenze di accadimento degli eventi incidentali massime ammissibili in funzione dei vari gradi di severità delle conseguenze.
� Come si applica:
• Si determina la frequenza di richiesta di intervento del processo (Fnp), SIS escluso;
• Si determina la frequenza di richiesta di intervento del processo (Fnp), SIS escluso;
• Si assegna la frequenza di richiesta di intervento del processo massima ammissibile (Ftp), SIS incluso;
• Si calcola il fattore di riduzione del rischio attribuibile al SIS, come:
RRF = Fnp/Ftp;
• Si assume il reciproco del Fattore di Riduzione del Rischio come
PFDavg. del SIS;
• Si assegna al SIS il SIL corrispondente al PFDavg. calcolato.
Esempio di assegnazione del SIL
Metodo Quantitativo
Evento Incidentale
OR Gate
Guasto Mancato Guasto SIS
AND Gate
Guasto
Sistema di Controllo
Guasto
Sistema Allarme
Errore
Operatore
Mancato
Intervento Operatore
Guasto SIS
Esempio di assegnazione del SIL
Metodo Quantitativo
Esempio applicativo:
� La modellazione della richiesta di intervento del processo, senza SIL, ha generato un valore pari a Fnp = 1E-02 richieste per anno;
� Il limite per l’Industria di Processo e/o il Processo in questione � Il limite per l’Industria di Processo e/o il Processo in questione è stato fissato in Ftp = 1E-05 richieste per anno;
� Si decide di installare un SIS, senza altri IPL, per ridurre il grado di rischio al valore prefissato;
� Si calcola RRF = Fnp/Ftp = 1E-02 / 1E-05 = 1E03
� Assegno al SIS un PFDavg. = 1/RRFactor = 1E-03, corrispondente ad un SIL 3 (al livello minimo).
Esempio di assegnazione del SIL
Criteri di scelta del Metodo
� HAZOP esteso
Applicabile quando:
• la soggettività del Metodo non presenta controindicazioni per l’Industria di Processo e/o il Processo preso in considerazione;l’Industria di Processo e/o il Processo preso in considerazione;
• il livello di comprensione del grado di rischio del Processo è elevato;
• il Team preposto all’assegnazione del SIL è coinvolto in più processi ed è in sintonia sui risultati.
Esempio di assegnazione del SIL
Criteri di scelta del Metodo
� “Consequences Only”
Applicabile quando:
• si rende necessario uno strumento alquanto “semplice”;
• si analizzano sequenze di eventi incidentali molto complesse o di difficile comprensione;
• il Team preposto all’assegnazione del SIL non è in sintonia sui risultati.
Esempio di assegnazione del SIL
Criteri di scelta del Metodo
� Matrice di Rischio
Applicabile quando:
• le probabilità di accadimento degli eventi incidentali e
la severità delle conseguenze sono ben conosciute;la severità delle conseguenze sono ben conosciute;
• il Team preposto all’assegnazione del SIL è
sufficientemente in sintonia sui risultati;
• risulta necessario analizzare la riduzione del grado di
rischio per vari gradi di IPL.
Esempio di assegnazione del SIL
Criteri di scelta del Metodo
� Grafico di Rischio
Applicabile quando:
• sussistono gli stessi criteri di applicabilità della
Matrice di Rischio;
• si possono accettare risultati molto dipendenti da una diversa valutazione delle conseguenze (parametro C);
• non risulta necessario valutare diversi IPL.
Esempio di assegnazione del SIL
Criteri di scelta del Metodo
� Analisi LOPA
Applicabile quando:
• si rende necessario considerare diversi IPL;
• si preferisce adottare un approccio strutturato per i diversi IPL;
• sono disponibili i valori di PFD dei diversi IPL;
• risulta quantificabile il grado di rischio ammissibile per il singolo evento incidentale.
Esempio di assegnazione del SIL
Criteri di scelta del Metodo
� Analisi Quantitativa
Applicabile quando:
• non è in contrasto con l’approccio alla sicurezza • non è in contrasto con l’approccio alla sicurezza dell’Industria di Processo in questione;
• il livello di comprensione dei rischi del Processo è basso (nuove tecnologie di processo oppure molto complesse);
• è necessario considerare molteplici sequenze di eventi incidentali e diversi IPL.
L' impiego della FMEDA nella
determinazione del Diagnistic Coverage
Factor
Failure Mode and Effect Diagnostic AnalysisFailure Mode and Effect Diagnostic Analysis
IEC 61508 - PART 6
Guidelines on the application of Part 2 – 3
•Annex C: FMEDA (DC factor calculation)
Domestic hot water systemwater system
Failure Mode and Effect Analysis
Failure Mode and Effect Diagnostic Analysis
Pressure Transmitter
Failure Mode and Effect Diagnostic Analysis
Classificato B-Type IEC 61508
H -Fault Tolerance = 0
Pressure Transmitter
H -Fault Tolerance = 0
Renato Benintendi
Failure Mode and Effect Diagnostic Analysis
Il protocollo HART è operativo solo per il set up, calibrazione,
Pressure Transmitter
diagnostica, non per le safety critical operations
Renato Benintendi
Failure Mode and Effect Diagnostic Analysis
Una corrente di soglia pari a 3.6 mA rappresenta il Low Trip
Pressure Transmitter
Point (Fail Safe State)
Renato Benintendi
Failure Mode and Effect Diagnostic Analysis
I Fail Low e Fail High possono essere rilevati o meno dal logic
Pressure Transmitter
solver
Renato Benintendi
Failure Mode and Effect Diagnostic Analysis
Pressure Transmitter
Renato Benintendi
Failure Mode and Effect Diagnostic Analysis
Pressure Transmitter
Renato Benintendi
λ
λλλλsλsu
λsdΣ
Σ
DUDDSUSD
DDCFλλλλ
λ+++
=
λ
λd
λdd
λdu
Σ
ΣDUDDSUSD
DUSFFλλλλ
λ+++
−=1
Renato Benintendi
λ
λλλλsλsu
λsdΣ
Σ
141998320455
19920455
++++++
=DCF
83 %
λ
λd
λdd
λdu
Σ
Σ141998320455
551
++++−=SFF
85%
Renato Benintendi
PARTIAL VALVE
STROKE TESTING
VS
SIL LEVEL SIL LEVEL
AND
ARCHITECTURE CONSTRAINT
PVST
1OO3
1OO31OO2
Renato Benintendi
PVST
Il contributo del SIS al calcolo della PFDavg è
sostanzialmente dovuto all' elevato valore del failure associato al gruppo solenoide + attuatore Renato Benintendi
PVST
In maniera correlata si trova che il valore della SFF della shut-off valve risulta pari a circa il 50%
(<60)
Renato Benintendi
PVST
1OO3
1OO31OO2
HFT=1Renato Benintendi
PVST
Dal punto di vista dell' Architecture Constraints la configurazione delle SO Valve può essere impiegata al
massimo secondo un SIL = 2
Hardware safety integrity: architectural constraints on type A safety-related subsystems (IEC 61508-2, Table 2)
PVST
Anche per quanto riguarda la PFDavg, al gruppo corrisponde un SIL level pari a 2
PVST
Il SIS può essere impiegato in un ambito al quale la Risk Analysis ha al massimo fatto corrispondere un SIL 2
Renato Benintendi
PVST
Il SIS può essere impiegato in un ambito al quale la Risk Analysis ha al massimo fatto corrispondere un SIL 2
La SFF del gruppo valvole è troppo elevata, ciò a causa del fatto che eventuali blocchi della valvola non sarebbero rilevabli. In tale λλλλdu è
praticamente concentrato il limite dell ' intero SIS
PVST
SOLUZIONI
La soluzione potrebbe essere l' inserimento di un' altra coppia solenoide + attuatore
1OO3HFT=2
PVSTSOLUZIONI
Renato Benintendi
PVST
Al gruppo corrisponde un SIL level pari a 3
PVST
Dal punto di vista dell' Architecture Constraints la configurazione delle SO Valve passa a un SIL = 3
Hardware safety integrity: architectural constraints on type A safety-related subsystems (IEC 61508-2, Table 2)
PVST
La soluzione è costosa e piuttosto macchinosapiuttosto macchinosa
PVST
Il basso SFF è connesso con l' elevata incidenza del blocco l' elevata incidenza del blocco della valvola che in un TI normale può essere testata una volta circa all' anno
PVST
La soluzione IEC 61508 è costituita dall' introduzione di costituita dall' introduzione di un Partial Valve Stroke Test, che rivela immediatamente il
failure della valvola
PVST
Il risultato è costituito da un notevole aumento del SFF
che incide sia sulle Architecture Constraint che Architecture Constraint che sul PDFavg, spostando il SIS verso il SIL 3, mantenendo la configurazione 1001 del
gruppo valvole
Renato Benintendi