Académique Documents
Professionnel Documents
Culture Documents
TOC
Conception du système requise
Spécification
Suite:
La fréquence d'essai la preuve requise de tous les éléments
matériels nécessaires pour atteindre l'échec cible PFD ou PFH · '
Les mesures prises en cas de défaillance dangereuse est détectée
par le diagnostic;
Exigences, contraintes, fonctions et des installations permettant
de tester la preuve du matériel;
Les capacités de l'équipement utilisé pour répondre aux extrêmes
de toutes les conditions environnementales;
les niveaux d'immunité électromagnétiques qui sont nécessaires
(voir IEC / TS 61000-1-2: 2008);
Les mesures de contrôle et d'assurance qualité / de qualité
nécessaires à la gestion de la sécurité.
TOC
Selection of Components &
Subsystems
TOC
Sélection des Composants et Sous-
Systèmes
TOC
Safety Manual for Compliant
Items
New in IEC 61508 Ed. 2.0
Suppliers shall provide a Safety Manual for each item that they supply and
for which they claim compliance with IEC 61508.
The supplier shall document justification for all information in each Safety
Manual as follows:
Failure modes / failure rates for specified modes.
Failure modes that are detected by diagnostics / failure rates of the failure
modes.
Failure modes of the diagnostics that result in failure to detect failures of the
function.
For every failure detected by the diagnostics, internal to the compliant item, the
diagnostic test interval.
Classification as Type A or Type B
The systematic Safety Integrity
The Hardware Fault Tolerance, against specific failure modes.
Safe Failure Fraction, against specific failure modes
Etc …….
TOC
Manuel de Sécurité pour les
Articles Conformes
Nouveau dans la CEI 61598, Ed. 2.0
Les fournisseurs doivent fournir un Manuel de Sécurité pour chaque article qu'ils
fournissent et pour lesquels ils prétendent la conformité à la norme IEC 61508.
Le fournisseur doit documenter la justification de toutes les informations dans
chaque Manuel de Sécurité comme suit:
Les modes de défaillance / Taux d'échec par mode spécifique.
Les modes de défaillance qui sont détectés par diagnostic / taux de défaillances
des modes de défaillance.
Les modes de défaillance des diagnostics qui entraînent une défaillance dans la
détection des défaillances de la fonction.
Pour chaque défaillance détectée par diagnostic, défaillance interne à l'élément
conforme, l'intervalle de test de diagnostic.
Classification en type A ou en type B
L‘Intégrité de Sécurité systématique
La Tolérance de Défaillances Matérielles, par rapport aux modes de défaillance
spécifique
Fraction de Défaillance Sécurisée, par rapport aux modes de défaillance
spécifique
Etc ……. TOC
Selection of Components
‘Previously Developed’ or ‘Prior Use’?
TOC
Sélection des Composants
«Développé Auparavant» ou « Utilisation Antérieure »?
TOC
Selection of Components
TOC
Sélection des Composants
Propriétés de « Utilisation Antérieure » (ou « a fait ses preuves lors de
l'utilisation ») :
SIL 1,2 et 3 seulement (SIL 4 est conçue selon CEI 61508, Parties 2 & 3)
La preuve que les composants et les sous-systèmes sont appropriés;
Dans le cas de dispositifs de terrain, une vaste expérience d'exploitation, en
applications de sécurité ou pas peut être utilisée;
Le niveau de détails de la preuve doit correspondre à:
o la complexité du composant ou sous-système considéré;
o la probabilité de défaillance nécessaire pour atteindre le SIL requis;
La preuve d'aptitude doit comprendre:
o examen de la gestion de la qualité et des systèmes de gestion de
configuration utilisés par les fabricants;
o identification et spécification adéquates des composants ou sous-systèmes;
o démonstration de la performance des composants ou sous-systèmes dans
des profils de fonctionnement et des environnements physiques similaires;
dispositifs de terrain (i.e -capteurs et éléments finaux) assurant une
fonction identique dans une application sécurité ou de non-sécurité,
doivent également être considérés comme répondant à cette
exigence.
TOC
Selection of Components
TOC
Sélection des Composants
‘Utilisation Antérieure’ (suite)
Le volume de l'expérience d'exploitation:
REMARQUE: Pour les dispositifs de terrain, cela pourrait être la propre
expérience d'exploitation de l'utilisateur final sur une liste d'équipements
approuvés, sur la base d’un long historique de bonnes performances
dans les applications de sécurité et de non-sécurité. La liste des
dispositifs de terrain peut être utilisée pour appuyer les allégations
d'expérience en exploitation, à condition que:
la liste soit mise à jour et suivie régulièrement;
les dispositifs de terrain ne soient ajoutés que lorsque l'expérience
d'exploitation suffisante a été acquise;
les dispositifs de terrain sont retirés lorsqu’il s’avère qu’ils ne
fonctionnent pas de manière satisfaisante;
l'application process est incluse dans la liste, le cas échéant.
Des preuves documentaires pour démontrer que la probabilité d'éventuels
pannes systématiques dangereuses est suffisamment faible pour atteindre les
niveaux d'intégrité de sécurité requis (par exemple CEI 61508-2, 7.4.10.2).
TOC
Design and Development
Field devices
An initiator or final element, used as part of a SIS, may be used for basic
process control systems (BPCS) only if it can be shown that a failure of
the BPCS does not compromise the safety instrumented functions of the
SIS. This requires careful analysis.
De-energize to trip the preferred action.
Energize to trip shall apply a continuous end-of-line monitor such as pilot
current to ensure continuity.
Smart sensors shall be write protect.
Must be suitable for the installed environment:
i.e. Corrosion , temperature, humidity etc.
TOC
Conception et Développement
Dispositifs de terrain
Un initiateur ou un élément final, utilisé dans le cadre d'un SIS,
peut être utilisé pour les systèmes élémentaires de contrôle du
process (BPCS) seulement s’il peut être démontré qu'une
défaillance du BPCS ne compromet pas les fonctions instrumentées
de sécurité du SIS. Cela nécessite une analyse minutieuse.
Désexciter pour déclencher l'action préférée.
Dynamiser à déclenchement doivent appliquer un écran de fin de
ligne continue comme le courant pilote pour assurer la continuité.
Les capteurs intelligents doivent être sous protection en écriture.
Doit être adapté à l'environnement installé:
à-dire la corrosion, la température, l'humidité, etc.
TOC
Design and Development
Each field device shall have its own dedicated wiring to system I/O except
when:
Multiple discrete sensors are connected in series to a single input and all
sensors monitor the same process condition (e.g. motor overload cut outs);
TOC
Conception et Développement
TOC
Critères additionnels pour les communications
de données- IEC 61508-2 / 7.4.11
TOC
Design and Development
Field sensors
If a sensor is used for both BPCS and SIS then common mode failure
considerations must be analysed (discussed later) and sensor diagnostics
must ensure SIS is capable of placing the process in a safe state.
This is difficult to achieve in practice even for SIL 1 applications.
Separate sensors with identical or diverse redundancy will normally be
required for SIL 2, SIL 3 or SIL 4 SIFs.
If SIS sensors are connected to a BPCS suitable isolators must be used.
TOC
Conception et Développement
Capteurs de champ
Si un capteur est utilisé aussi bien pour le BPCS et le SIS, alors des
considérations de défaillance en mode commun doivent être analysées
(voir plus loin) et le diagnostic des capteurs doit s’assurer que le SIS est
capable de mettre le process en mode sécurisé.
Cela est difficile à réaliser dans la pratique même pour les applications SIL 1.
Des capteurs séparés avec redondance identique ou différent seront
normalement requis pour les SIFs de type SIL 2, SIL 3 ou SIL 4.
Si les capteurs du SIS sont connectés à un BPCS, des isolateurs
appropriés doivent être utilisés.
TOC
Design and Development
A single valve may be used for both BPCS and SIS provided that:
A failure of the valve cannot cause a demand on the function carried out by
the SIS;
Diagnostic coverage on the valve and SIS will ensure safe reaction to a
dangerous failure and common mode failure requirements are met
SIL 2, SIL 3 and SIL 4 will normally require separate identical or diverse
valves.
TOC
Conception et Développement
Une soupape unique peut être utilisée à la fois pour le BPCS et le SIS, à
condition que:
Une défaillance de la vanne ne puisse pas provoquer une demande sur la
fonction exercée par le SIS;
TOC
Conception et Développement
TOC
Failures
There are two main types of failure which concern SIF design engineers:
Systematic failures;
Random failures.
TOC
Défaillances
TOC
Failures
TOC
Défaillances
TOC
Systematic Failures
TOC
Les Défaillances Systématiques
Une défaillance liée d'une manière déterministe à une certaine cause qui ne
peut être éliminée que par une modification de la conception ou du process de
fabrication, des procédures opérationnelles, de la documentation ou d'autres
facteurs pertinents.
Généralement dues à une erreur de conception, un mauvais composant ou
une erreur dans le programme logiciel.
Une seule panne systématique peut entraîner une défaillance dans les canaux
multiples d'un système redondant.
Les défaillances systématiques, par leur nature même, ne peuvent être
prédites avec précision, parce que les événements qui y mènent ne peuvent
pas être facilement prédits.
TOC
Systematic failure compliance
La CEI 61508 exige que les actions d’évitement des défaillances systématiques soient
prises en considération et que les contrôles pour l’évitement soit documenté.
Trois voies pour la conformité- CEI 61508-2 (7.4.2.2):
Voie 1s : Exigences pour éviter (prévention) et exigences pour le contrôle des pannes
systématiques lors de:
La spécification des exigences de sécurité;
La conception;
La fabrication;
L’installation;
L’exploitation;
L’entretien, etc.
Ou
Voie 2s : La preuve que l'équipement a « fait ses preuves »
Ou
Voie 3s : Éléments logiciels préexistants seulement: conformité avec la CEl 61508-3
(7.4.2 12.).
Un système mis en œuvre qui utilise ces méthodes devrait être relativement exempt
d'erreurs systématiques.
TOC
Random Failures
A failure occurring at a random time, which results from one or more of the
possible degradation mechanisms.
Safe failures
TOC
Défaillances Aléatoires
TOC
Dangerous Failures
b) Decreases the probability that the safety function operates correctly when
required.
TOC
Défaillances Dangereuses
b) Increases the probability of the spurious operation of the safety function to put the
EUC (or part thereof) into a safe state or maintain a safe state.
TOC
Défaillances en Mode Sécurité
TOC
Failure & Reliability
TOC
Défaillance et Fiabilité
TOC
Demand Modes
Low
High
Continuous
TOC
Modes de Demande
Faible
Elevé
Continu
TOC
Target Failure Measures
TOC
Demand modes
Demand mode
Continuous mode - 61508
- 61511
Low demand –
High demand – 61508 Continuous – 61508
61508
Use of probability of Use probability of
Use PFDavg
failure per hour failure per hour
Take credit for Not credit for proof No credit for proof
proof testing testing testing
TOC
Modes de Demande
Mode de demande -
Mode continu - 61508
61511
Faible demande - Demande élevée -
En continu - 61508
61508 61508
Utiliser la probabilité de Utiliser la probabilité de
Utiliser PFDavg
défaillance par heure défaillance par heure
Tirer avantage des Pas d’avantage tiré des Pas d’avantage tiré des
tests de preuve tests de preuve tests de preuve
TOC
Implementation – low demand SIF
TOC
Mise en Oeuvre – SIF à Faible Demande
TOC
Probability of Failure on Demand
ISA TR 84.00.02 (Part 1 & 2) Simple Formulas - Approximation
TOC
Probabilité de Défaillance à la demande
ISA TR 84.00.02 (Parties 1 & 2) Formules simples - Approximation
TOC
PFD Approximation
TOC
Approximation PFD
TOC
Risk Reduction Factor (RRF)
TOC
Facteur de Réduction des Risques (FRR)
L'intégrité d'un SIF est parfois qualifiée de Facteur de Réduction des Risques
(FRR)
Il existe une relation simple entre le FRR et le PFD:
FRR = 1 / PFD
Ex: si PFD = 0,1
Alors le FRR = 10
TOC
Exponential Distribution
Where: r = (n – m + 1)
n = total units;
m = number of units required to operate
TOC
Répartition Exponentielle
avec: r = (n - m + 1)
n = nombre total d'unités;
m = nombre d'unités nécessaire pour faire fonctionner
TOC
PFD Approximation vs Full Calculation
TOC
Approximation PFD vs Calcul Complet
TOC
Lambda x T
TOC
Lambda x T
TOC
Subsystem Implementation
Logic Solver
Total PFD:
PFD (System) = PFD (Sensors) + PFD (Logic Solver) + PFD (Actuators)
A more precise formula is:
(1-PFD System) = (1-PFD Sensors)*(1-PFD Logic Solver)*(1-PFD Actuators)
(1-PFD System) = Probability of Success (PSD)
Thus (1-(1-PFD System)) = PFD
TOC
Mise en Oeuvre
Logic Solver
PFD Total:
PFD (Système) = PFD (capteurs) + PFD (Logic Solver) + PFD (Activateurs)
Une formule plus précise est la suivante:
(1-PFD Système) = (1-PFD Capteurs) * (1-PFD Logic Solver) * (1-PFD
Activateurs)
(1-PFD System) = Probabilité de Succès (PSD)
Ainsi, (1- (1-PFD Système)) = PFD
TOC
Some Design Considerations
TOC
Quelques Considérations de Conception
TOC
PFD/Test Interval Relationship
A:
A:
A:
TOC
Exercice:
R:
R:
R:
TOC
PFD Exercise 1:
a) Determine if 1oo1 architecture will achieve the SIL 2 requirement with an annual
test.
b) What changes could be made?
TOC
PFD Exercice 1:
TOC
Lifecycle Considerations
TOC
Considérations du Cycle de
Vie
TOC
Safety Life Cycle
Identify
Funct’I Hazards Risk
safety assessment
assessment
SIS
Modify requirement
s spec
Funct’I Funct’I
safety safety
assessment assessment
Review and
verification
Cinderella Appropriate
design
Phases
Funct’I
Monitor safety
assessment
Identification
Evaluation de des dangers Évaluation
la sécurité des risques
Fonct'I
Modificattion Spécification
s des critères
SIS
Evaluation de Évaluation de
la sécurité la sécurité
Fonct'I Fonct'I
Révision et
vérification
Phases Conception
appropriée
Cendrillon
Evaluation de
Surveiller la sécurité
Fonct'I
Enregistrer
Installation
et et Mise en
Répertorier Service
Exploitation
Validation
et
des critères
Maintenance
Evaluation de
la sécurité
Fonct'I
TOC
The Importance of Testing
Thus if the test interval is increased then the PFD also increases
proportionally
TOC
Importance des Tests
TOC
The Importance of Testing
TOC
Importance des Tests
TOC
Testing & Risk Reduction
TOC
Tests et Réduction des Risques
TOC
Synchronous Proof Testing
TOC
Tests d‘Epreuve Synchrones
TOC
Importance of Maintenance
Only periodic 'bench type' maintenance can bring elements back to an 'as
new condition‘
The PFD will increase without routine maintenance
TOC
Importance de la Maintenance
Seul une maintenance périodique « en atelier » peut rendre aux éléments leur
« état neuf »
Le PFD augmentera sans maintenance de routine
TOC
Importance of Maintenance
Where:
TOC
Importance de la Maintenance
avec:
TOC
Importance of Maintenance
TOC
Importance de la Maintenance
TOC
Importance of Maintenance
TOC
Importance de la maintenance
TOC
Testing & Fractional Dead Time
TOC
Test et Temps Mort Fractionnel
TOC
Effect of Fractional Dead Time
TOC
Effet du Temps Mort Fractionnel
TOC
Optimization
TOC
Optimisation
TOC
Impact on PFD Calculation
Test duration
If PFDT is the additional PFD resulting from the function being unavailable
during testing:
PFDT = td/ t (insignificant if td << t)………………………….(2)
Maintenance Duration
If PFDM is the additional PFD resulting from the function being unavailable
during maintenance:
PFDM = tmd/ tm (insignificant if tmd << tm)…….…………….(3)
Where:
t = Test interval (years)
td = Test duration (year)
Tm = Maintenance interval (years)
Tmd = Maintenance duration (years) TOC
Impact sur le Calcul du PFD
Durée du test
Si PFDT est le PFD supplémentaire résultant de la fonction indisponible
durant le test:
PFDT = td/ T (insignifiant si td << t) ............................... (2)
Durée de Maintenance
Si PFDM est le PFD supplémentaire résultant de la fonction indisponible
durant la maintenance:
PFDM = tMd/ tm (Insignifiant si tMd << tm) ....... ............... (3).
avec:
t = Intervalle de test (années)
td = Durée du test (année)
Tm = Intervalle de maintenance (années)
TMd = Durée de la maintenance (années) TOC
Repair & Fractional Dead Time
TOC
Réparation & Temps Mort Fractionnel
TOC
Impact on PFD Calculation
Repair Time
If PFDR is the additional PFD resulting from the safety function being
unavailable during a repair, the total failure rate = (s + d) and :
Where:
tr = Time to repair (years)
TOC
Impact sur le Calcul du PFD
Temps de Réparation
Si PFDR est le PFD supplémentaire résultant de la fonction de sécurité
indisponible lors d'une réparation, le taux global de défaillance = (s + d) et :
avec:
tr = Le temps de réparation (années)
TOC
All Factors Considered
Thus PFD
=C*PFD moon (d t) + (1-C)*PFD moon (d tm ) + (td /t) + (tm d/ tm)+ tr (d = s)
Where:
t = Test interval (years) td = Test duration (years)
TOC
Tous les Facteurs Pris en Compte
ainsi PFD
= C * PFD m sur n (d' t) + (1-C) * PFD m sur n (d' tm ) + (Td / T) + (tMd/ tm) + Tr (d = s)
avec:
t = Intervalle de test (années) tré = Durée du test (années)
TOC
Architectural Constraints
Common Cause Failure
(CCF)
TOC
Contraintes Architecturales
Défaillances à Cause Commune
(DCC)
TOC
Common Cause & Common
Mode Failures
A CCF occurs when a single fault results in the corresponding failure of
multiple components.
Common mode failure are a subset of common cause failures,
TOC
Défaillances à Cause Commune
et en Mode Commun
TOC
Common Cause Failures
TOC
Les Défaillances à Cause Commune
TOC
Common Cause Failures
cc = β
TOC
Défaillances à Cause Commune
cc = β
TOC
Common Cause Failures - Example
TOC
Défaillances à Cause Commune -
Exemple
= indépendant + cause commune
l = 0,05 défaillances / an
β = 0,02
cc = β
TOC
Common Cause Failure – Systems
Diagram
Consider a simple 1oo2 redundant subsystem
dcc = β d
Where β = the common cause failure factor TOC
Défaillances à Cause Commune –
Schémas des Systèmes
Considérons un sous-système redondant simple, 1 sur 2
dcc = β d
TOC
Avec β = le facteur de défaillance à cause commune
Common Cause Failure – Fault Tree
TOC
Défaillances à Cause Commune –
Arbre des Défaillances
TOC
Common Cause Failure – Systems
Diagram
Consider a simple 1oo2 redundant subsystem
TOC
Défaillances à Cause Commune –
Schémas Systèmes
Considérons un sous-système redondant simple, 1 sur 2
TOC
Exercise – Common Cause Failure
TOC
Exercice - Défaillance à Cause Commune
Une configuration de transmetteurs 2 sur 3 doit être utilisée en tant que sous-
système de capteurs. Le taux de défaillances dangereuses d est de 5.0E-02 / an et
le facteur bêta (β) de la défaillance à cause commune a été déterminé à 0,04. Le
test d'épreuve doit être fait chaque année.
a) Calculer le PFD sans l'influence de la défaillance à cause commune.
b) Calculer le PFD en prenant en compte la défaillance à cause commune.
TOC
Exercise: Worksheet
a)
b)
TOC
Exercice: Feuille de travail
a)
b)
TOC
Modification Factors for Beta
MooN N
2 3 4 5
4 - - - 2 βint
TOC
Facteurs de Modification pour Beta
M sur N N
2 3 4 5
4 - - - 2 βint
TOC
Impact on PFD Calculation
Note: 1oo1 is used, since a failure affecting one unit by definition it effects all
units simultaneously.
Bringing together (1), (2), (3), (4) and (5):
PFD = PFDC + PFDT + PFDM + PFDR + PFDβ
Thus =PFD
C* PFD moon(d’ t) + (1-C)* PFD moon(d’ tm ) + (td /t) + (tm d/ tm)+ tr (d = s) PFD1oo1 (β ‘ t)
Where:
t = Test interval (years) td = Test duration (years)
tm = Maintenance interval (years) tr = Time to repair (years)
tmd = Maintenance duration (years) s = Safe failure rate per year
TOC
d = Dangerous failure rate per year C = Coverage factor
Impact sur le calcul du PFD
Remarque: 1 sur 1 est utilisé, car une défaillance affectant une unité affecte, par définition,
toutes les unités simultanément.
En réunissant (1), (2), (3), (4) et (5):
PFD = PFDC + PFDT + PFDM + PFDR + PFDβ
Alors, le =PFD
C * PFD m sur n(d' t) + (1-C) * PFD m sur n(d' tm ) + (Tré / T) + (tMd/ tm) + Tr (d = s) PFD1 sur 1 (β ' t)
avec:
t = Intervalle de test (années) td = Durée du test (années)
tm = Intervalle de maintenance (années) tr = Temps de réparation (années)
tmd = Durée de la maintenance (années) s = Taux De défaillances en mode sécurité par an
TOC
d = Taux de défaillances dangereuses par an C = Facteur de couverture
Architectural Constraints
TOC
Contraintes ArchitecturalES
TOC
Hardware Fault Tolerance
TOC
Tolérance aux Pannes Matérielles
TOC
Hardware Fault Tolerance
TOC
Tolérance aux Pannes Matérielles
TOC
Architectural Constraints
TOC
Contraintes Architecturales
TOC
Diagnostic capability
TOC
Capacité de Diagnostic
TOC
Diagnostic capability
d = dd + du
s = sd + su
TOC
Capacité de Diagnostic
du = les défaillances dangereuses qui restent non détectées par le diagnostic.
su = les défaillances en mode sécurité qui restent non détectées par le
diagnostic.
s = sd + su
TOC
Routes to compliance
Route 1H bases on hardware fault tolerance and safe failure fraction concepts;
Or
Route 2H based on component reliability data from feedback from end users,
increased confidence levels and hardware fault tolerance for specified safety
integrity levels.
TOC
Voies vers la Conformité
Ou
Voie 2H est basée sur les données de la fiabilité des composants à partir des
commentaires des utilisateurs finaux, des niveaux de confiance accrue et de la
tolérance aux pannes de matérielles pour des niveaux spécifiques d'intégrité
de sécurité.
The safe failure fraction (SFF) of a subsystem is defined as the ratio of the
average rate of safe plus detected failure of the subsystem to the total average
failure rate of the subsystem:
Where:
TOC
Safe Failure Fraction
1. Calculate the probability of safe failures S for each component or group of
components, and the probability of dangerous failure D
(N.B. The probability can be taken as the failure rat per unit time
where t << 1)
2. For each component or group of components, estimate the fraction of
dangerous failures which will be detected by the diagnostic tests and therefore
the probability of a dangerous failure which is detected by the diagnostic tests,
DD .
3. For the subsystem, calculate the total probability of dangerous, ∑D , the total
probability of dangerous failures that are detected by the diagnostic test ∑DD
and the total probability of safe failures ∑S .
4. Calculate the diagnostic coverage of the subsystem ∑DD / ∑D.
5. Calculate the safe failure fraction of the subsystem as:
(∑S + ∑DD) / (∑S + ∑D)
TOC
Fraction de Défaillance en Mode Sécurité
1. Calculer la probabilité de défaillances en mode sécurité S pour chaque composant ou
groupe de composants, et la probabilité de défaillance dangereuse d.
(N.B: La probabilité peut être considérée comme étant le taux de défaillances par
unité de temps avec t << 1)
2. Pour chaque composant ou groupe de composants, estimer la fraction de défaillances
dangereuses qui seront détectées par les tests de diagnostic et donc la probabilité
d'une défaillance dangereuse qui est détectée par les tests de diagnostic, DD .
3. Pour le sous-système, calculer la probabilité totale de défaillances dangereuses, ΣD ,
la probabilité totale de défaillances dangereuses qui sont détectées par le de test de
diagnostic ΣDD et la probabilité totale de défaillances en mode sécurité ΣS .
4. Calculer la couverture de diagnostic du sous-système ΣDD / ΣD .
5. Calculer la fraction de défaillance en mode sécurité du sous-système:
(ΣS + ΣDD) / (ΣS + ΣD)
TOC
Any Questions
Any Questions ?
TOC
Questions
Questions?
TOC
THANK YOU
TOC