Velosi Funcional Safety Training

Formation Sécurité Fonctionnelle

Velosi
 Based
on
IEC-61508, IEC-61511 & ISA TR
84.00.02 Standards

Functional Safety Instrumented System for

the Process Industry Sector
 Basé
sur les normes
IEC-61508, IEC-61511 et TR ISA 84.00.02

Système Instrumenté de Sécurité Fonctionnelle

pour le secteur des industries des process
DAY - 3
JOUR - 3
Contents
SIS Lifecycle
SIS Design and Development
System Safety Requirements Sheet
System Design Requirements Sheet
Sections of Components and Subsystems
Safety Manual Requirements
Prior Use
Field Devices
Systematic Failures
Random Failures
Failure and Reliability
Contenu

Cycle de vie du SIS

Conception et Développement du SIS
Fiche des Critères du Système de Sécurité
Fiche des Critères de Conception du Système
Sections des Composants et des Sous-systèmes
Critères Manuel de Sécurité
Utilisation Antérieure
Dispositifs de Terrain
Défaillances Systématiques
Défaillances Aléatoires
Défaillance et Fiabilité
Contents
Calculating PFD for Systems with diagnostics
Improving PFD –Partial Closure Training
Improve Diagnostics –Measurement Validation & Comparison
Reliability Data
Demand Modes
SIS Implementation (low demand mode)
Importance of Testing
Importance of Maintenance
Testing and Fractional Dead Times
Architectural Constraints-Common Cause Failures
Architectural Constraints-Hardware Fault Tolerance
Contenu
Calculer le PFD pour les Systèmes avec diagnostic
Améliorer le PFD –Formation sur Fermeture Partielle
Améliorer le Diagnostic - Validation et Comparaison des Mesures
Données de Fiabilité
Modes de demande
Application du SIS (mode faible demande)
Importance des Tests
Importance de la Maintenance
Tests et Temps Mort Fractionnel
Contraintes Architecturales- Défaillances à Cause Commune
Contraintes Architecturales-Tolérance aux Pannes Matérielles
System Design Requirements
Specification
Continued:
 All modes of behavior of the safety-related systems, in particular,
failure behavior and the required response (for example alarms,
automatic shut-down);
 The significance of all hardware/software interactions and, where
relevant, any required constraints between the hardware and the
software;
 Any limiting and constraint conditions for the safety related systems
and their associated elements, for example timing constraints or
constraints due to the possibility of common cause failures;
 Any specific requirements related to the procedures for starting-up and
restarting;
 The architecture of each subsystem required to meet the architectural
constraints on the hardware safety integrity;
TOC
Conception du système requise
Spécification
Suite:
 Tous les modes de comportement des systèmes liés à la sécurité, en
particulier, le comportement de la défaillance et la réponse requise
(ex: alarmes, arrêts);
 L'importance de toutes les interactions matériel / logiciel et, le cas
échéant, toutes les contraintes nécessaires entre le matériel et le
logiciel;
 Toutes les conditions limites et contraintes pour les systèmes liés à la
sécurité et à leurs éléments associés, ex: contraintes de temps ou
contraintes dues à la possibilité de défaillances à cause commune;
 Toutes les exigences spécifiques liées aux procédures de démarrage
et le redémarrage;
 L'architecture de chaque sous-système nécessaire doit répondre aux
contraintes architecturales sur l'intégrité de sécurité du matériel;
TOC
System Design Requirements
Specification
Continued:
 The required proof testing frequency of all hardware elements
necessary to achieve the target failure PFD or PFH;
 The actions taken in the event of a dangerous failure being detected
by diagnostics;
 Requirements, constraints, functions and facilities to enable the proof
testing of the hardware;
 The capabilities of equipment used to meet the extremes of all
environmental conditions;
 The electromagnetic immunity levels that are required (see IEC/TS
61000-1-2: 2008);
 The quality assurance/quality control measures necessary for safety
management.

TOC
Conception du système requise
Spécification
Suite:
 La fréquence d'essai la preuve requise de tous les éléments
matériels nécessaires pour atteindre l'échec cible PFD ou PFH · '
 Les mesures prises en cas de défaillance dangereuse est détectée
par le diagnostic;
 Exigences, contraintes, fonctions et des installations permettant
de tester la preuve du matériel;
 Les capacités de l'équipement utilisé pour répondre aux extrêmes
de toutes les conditions environnementales;
 les niveaux d'immunité électromagnétiques qui sont nécessaires
(voir IEC / TS 61000-1-2: 2008);
 Les mesures de contrôle et d'assurance qualité / de qualité
nécessaires à la gestion de la sécurité.

TOC
Selection of Components &
Subsystems

 Selection of components and sub-systems

 ‘All components and subsystems necessary for a SIF shall be designed in
accordance with IEC 61508 Part 2 and 3 and by implication IEC 61511’.
 Evidence of any previously developed component used is suitable for the
SIF and SIL.
 One type of ‘evidence’ is certification.

TOC
Sélection des Composants et Sous-
Systèmes

 Sélection des composants et des sous-systèmes

 «Tous les composants et les sous-systèmes nécessaires à une SIF
doivent être conçus conformément à la norme CEI 61508, Parties 2
et 3 et par implication CEI 61511.
 La preuve de l’utilisation de tout composant développé
précédemment convient à la SIL et à la SIF.
 Un type de « preuve » est la certification.

TOC
Safety Manual for Compliant
Items
 New in IEC 61508 Ed. 2.0
 Suppliers shall provide a Safety Manual for each item that they supply and
for which they claim compliance with IEC 61508.
 The supplier shall document justification for all information in each Safety
Manual as follows:
 Failure modes / failure rates for specified modes.
 Failure modes that are detected by diagnostics / failure rates of the failure
modes.
 Failure modes of the diagnostics that result in failure to detect failures of the
function.
 For every failure detected by the diagnostics, internal to the compliant item, the
diagnostic test interval.
 Classification as Type A or Type B
 The systematic Safety Integrity
 The Hardware Fault Tolerance, against specific failure modes.
 Safe Failure Fraction, against specific failure modes
 Etc …….
TOC
Manuel de Sécurité pour les
Articles Conformes
 Nouveau dans la CEI 61598, Ed. 2.0
 Les fournisseurs doivent fournir un Manuel de Sécurité pour chaque article qu'ils
fournissent et pour lesquels ils prétendent la conformité à la norme IEC 61508.
 Le fournisseur doit documenter la justification de toutes les informations dans
chaque Manuel de Sécurité comme suit:
 Les modes de défaillance / Taux d'échec par mode spécifique.
 Les modes de défaillance qui sont détectés par diagnostic / taux de défaillances
des modes de défaillance.
 Les modes de défaillance des diagnostics qui entraînent une défaillance dans la
détection des défaillances de la fonction.
 Pour chaque défaillance détectée par diagnostic, défaillance interne à l'élément
conforme, l'intervalle de test de diagnostic.
 Classification en type A ou en type B
 L‘Intégrité de Sécurité systématique
 La Tolérance de Défaillances Matérielles, par rapport aux modes de défaillance
spécifique
 Fraction de Défaillance Sécurisée, par rapport aux modes de défaillance
spécifique
 Etc ……. TOC
Selection of Components
 ‘Previously Developed’ or ‘Prior Use’?

TOC
 Sélection des Composants
 «Développé Auparavant» ou « Utilisation Antérieure »?

TOC
Selection of Components

 ‘Prior Use’ (or ‘proven in use’) properties:

 SIL 1,2 and 3 only (SIL 4 designed to IEC 61508 Part 2 & 3)
 Evidence that the components and subsystems are suitable ;
 In the case of field elements, extensive operating experience either in safety or non-
safety applications can be used;
 The level of details of the evidence should match:
o The complexity of the considered component or subsystem;
o The probability of failure necessary to achieve the required SIL;
 The evidence of suitability shall include:
o Consideration of the manufacturers quality management and configuration
management systems;
o Adequate identification and specification of the components or subsystems;
o Demonstration of the performance of the components or subsystems in similar
operating profiles and physical environments;
 Field devices (i.e. sensors and final elements) performing an identical function
in a safety or a non-safety application, should also be deemed to satisfy this
requirement.

TOC
Sélection des Composants
 Propriétés de « Utilisation Antérieure » (ou « a fait ses preuves lors de
l'utilisation ») :
 SIL 1,2 et 3 seulement (SIL 4 est conçue selon CEI 61508, Parties 2 & 3)
 La preuve que les composants et les sous-systèmes sont appropriés;
 Dans le cas de dispositifs de terrain, une vaste expérience d'exploitation, en
applications de sécurité ou pas peut être utilisée;
 Le niveau de détails de la preuve doit correspondre à:
o la complexité du composant ou sous-système considéré;
o la probabilité de défaillance nécessaire pour atteindre le SIL requis;
 La preuve d'aptitude doit comprendre:
o examen de la gestion de la qualité et des systèmes de gestion de
configuration utilisés par les fabricants;
o identification et spécification adéquates des composants ou sous-systèmes;
o démonstration de la performance des composants ou sous-systèmes dans
des profils de fonctionnement et des environnements physiques similaires;
 dispositifs de terrain (i.e -capteurs et éléments finaux) assurant une
fonction identique dans une application sécurité ou de non-sécurité,
doivent également être considérés comme répondant à cette
exigence.
TOC
Selection of Components

 ‘Prior Use’ (continued)

 The volume of the operating experience:
 NOTE: For field devices, this can be the end user's own operating
experience recorded in a list of approved equipment, based on an extensive
history of successful performance in safety and non-safety applications. The
list of field devices may be used to support claims of experience in
operation, provided that:
 The list is updated and monitored regularly;
 Field devices are only added when sufficient operating experience has been
obtained;
 Field devices are removed when they show a history of not performing in a
satisfactory manner;
 The process application is included in the list where relevant.
 Documentary evidence to demonstrate that the likelihood of any dangerous
systematic faults is low enough to achieve the required safety integrity levels
(e.g. lEC 61508-2, 7.4.10.2).

TOC
Sélection des Composants
 ‘Utilisation Antérieure’ (suite)
 Le volume de l'expérience d'exploitation:
 REMARQUE: Pour les dispositifs de terrain, cela pourrait être la propre
expérience d'exploitation de l'utilisateur final sur une liste d'équipements
approuvés, sur la base d’un long historique de bonnes performances
dans les applications de sécurité et de non-sécurité. La liste des
dispositifs de terrain peut être utilisée pour appuyer les allégations
d'expérience en exploitation, à condition que:
 la liste soit mise à jour et suivie régulièrement;
 les dispositifs de terrain ne soient ajoutés que lorsque l'expérience
d'exploitation suffisante a été acquise;
 les dispositifs de terrain sont retirés lorsqu’il s’avère qu’ils ne
fonctionnent pas de manière satisfaisante;
 l'application process est incluse dans la liste, le cas échéant.
 Des preuves documentaires pour démontrer que la probabilité d'éventuels
pannes systématiques dangereuses est suffisamment faible pour atteindre les
niveaux d'intégrité de sécurité requis (par exemple CEI 61508-2, 7.4.10.2).

TOC
Design and Development

 Field devices
 An initiator or final element, used as part of a SIS, may be used for basic
process control systems (BPCS) only if it can be shown that a failure of
the BPCS does not compromise the safety instrumented functions of the
SIS. This requires careful analysis.
 De-energize to trip the preferred action.
 Energize to trip shall apply a continuous end-of-line monitor such as pilot
current to ensure continuity.
 Smart sensors shall be write protect.
 Must be suitable for the installed environment:
 i.e. Corrosion , temperature, humidity etc.

TOC
Conception et Développement

 Dispositifs de terrain
 Un initiateur ou un élément final, utilisé dans le cadre d'un SIS,
peut être utilisé pour les systèmes élémentaires de contrôle du
process (BPCS) seulement s’il peut être démontré qu'une
défaillance du BPCS ne compromet pas les fonctions instrumentées
de sécurité du SIS. Cela nécessite une analyse minutieuse.
 Désexciter pour déclencher l'action préférée.
 Dynamiser à déclenchement doivent appliquer un écran de fin de
ligne continue comme le courant pilote pour assurer la continuité.
 Les capteurs intelligents doivent être sous protection en écriture.
 Doit être adapté à l'environnement installé:
 à-dire la corrosion, la température, l'humidité, etc.

TOC
Design and Development

 Field devices (cont’d)

 Each field device shall have its own dedicated wiring to system I/O except
when:
 Multiple discrete sensors are connected in series to a single input and all
sensors monitor the same process condition (e.g. motor overload cut outs);

 Multiple final elements are connected in series to a single output if each

provides the same process protective condition;

 Proven in use such as fire and gas systems;

 The connection is via a digital bus communication capable of meeting the

safety requirements.

TOC
Conception et Développement

 Dispositifs de terrain (suite)

 Chaque dispositif de terrain doit avoir son propre câblage dédié au

système d‘I / O, sauf lorsque:
 Plusieurs capteurs discrets sont connectés en série à une seule entrée et tous
les capteurs surveillent le même état du process (ex: coupe-circuits de
surcharge du moteur);

 Plusieurs éléments terminaux sont connectés en série à une sortie unique si

chacun apporte sa protection du process;

 Il a fait ses preuves comme les systèmes d'incendie et de gaz;

 La connexion se fait via une communication numérique bus capable de

répondre aux exigences de sécurité.
TOC
Additional requirements for data
communications – IEC 61508-2 / 7.4.11

TOC
Critères additionnels pour les communications
de données- IEC 61508-2 / 7.4.11

TOC
Design and Development

 Field sensors
 If a sensor is used for both BPCS and SIS then common mode failure
considerations must be analysed (discussed later) and sensor diagnostics
must ensure SIS is capable of placing the process in a safe state.
 This is difficult to achieve in practice even for SIL 1 applications.
 Separate sensors with identical or diverse redundancy will normally be
required for SIL 2, SIL 3 or SIL 4 SIFs.
 If SIS sensors are connected to a BPCS suitable isolators must be used.

TOC
Conception et Développement

 Capteurs de champ
 Si un capteur est utilisé aussi bien pour le BPCS et le SIS, alors des
considérations de défaillance en mode commun doivent être analysées
(voir plus loin) et le diagnostic des capteurs doit s’assurer que le SIS est
capable de mettre le process en mode sécurisé.
 Cela est difficile à réaliser dans la pratique même pour les applications SIL 1.
 Des capteurs séparés avec redondance identique ou différent seront
normalement requis pour les SIFs de type SIL 2, SIL 3 ou SIL 4.
 Si les capteurs du SIS sont connectés à un BPCS, des isolateurs
 appropriés doivent être utilisés.

TOC
Design and Development

 Control and shutdown valves

 A single valve may be used for both BPCS and SIS provided that:
 A failure of the valve cannot cause a demand on the function carried out by
the SIS;

 Diagnostic coverage on the valve and SIS will ensure safe reaction to a
dangerous failure and common mode failure requirements are met

 In practice this is difficult to achieve even for SIL 1

 SIL 2, SIL 3 and SIL 4 will normally require separate identical or diverse
valves.

TOC
Conception et Développement

 Les vannes de commande et d'arrêt

 Une soupape unique peut être utilisée à la fois pour le BPCS et le SIS, à
condition que:
 Une défaillance de la vanne ne puisse pas provoquer une demande sur la
fonction exercée par le SIS;

 La couverture de diagnostic sur la vanne et le SIS assurera une réaction

sécurisée à une défaillance dangereuse et les critères de défaillance en mode
commun sont remplis.

 En pratique, cela est difficile à réaliser même pour le SIL 1

 Les SIL 2, SIL 3 et SIL 4 exigeront normalement des vannes séparées

identiques ou différentes.
TOC
Design and Development

 SIS Logic solver

 Separation between BPCS and SIS wherever practicable
 Will have methods (internal and/or external) to protect against dangerous
faults:
 e.g. embedded or application software testing, terminal to terminal monitoring
etc.
 Where the SIS implements SIFs of different safety integrity levels, then the
shared or common hardware and software shall conform to the highest
safety integrity level.
 When there are a large number of outputs, then determine if any
foreseeable failures can lead to an hazardous event (modify design if this
is the case).

TOC
Conception et Développement

 Logic solver du SIS

 Séparation entre le BPCS et le SIS lorsque cela est possible
 Aura des méthodes (internes et / ou externes) pour apporter une protection
contre les pannes dangereuses:
 Ex: test embarqué ou test du logiciel d'application, surveillance de terminal à
terminal, etc.
 Lorsque le SIS met en œuvre des SIFs de différents niveaux d'intégrité de
sécurité, le matériel et les logiciels partagés ou communs doivent être
conformes au plus haut niveau d'intégrité de sécurité.
 Quand il y a un grand nombre de signaux sortants, il faut déterminer si des
défaillances prévisibles peuvent conduire à un événement dangereux
(modifier la conception si c’est le cas).

TOC
Failures

 There are two main types of failure which concern SIF design engineers:
 Systematic failures;
 Random failures.

TOC
Défaillances

 Il existe deux principaux types de défaillances qui préoccupent les

ingénieurs de conception SIF:
 Les défaillances systématiques;
 Les défaillances aléatoires.

TOC
Failures

SIFs can fail in two ways:

 Dangerous Failure (hidden, covert or un-revealed)
 Loss of protective function
 Failure rate can be reduced by hardware fault tolerance (e.g. 1oo2 or 1oo3
to trip)
Diagnostics can also be used and will be discussed later.

 Safe Failure (revealed, evident – mostly economic)

 Spurious or nuisance trips or alarm
 No loss of protection
 Spurious failures can be revealed by “revealed failure robustness” (e.g.
2oo2 or 2oo3 to trip)

TOC
Défaillances

Les SIFs peuvent tomber en panne de deux façons:

 Défaillance Dangereuse (cachée, secrète ou non révélée)
 Perte de la fonction de protection
 Le taux d'échec peut être réduit grâce à la tolérance aux pannes du
matériel (ex:l 1 sur 2 ou 1 sur 3 pour le déclenchement/trip)
Le Diagnostic peut également être utilisé et il en sera discuté plus tard.

 Défaillance en mode sécurité (révélé, évident - surtout économique)

 Trips intempestifs ou de nuisance ou alarme
 Aucune perte de protection
 les défaillances intempestives peuvent être réduites par « robustesse de
la défaillance révélée » (ex: 2 sur 2 ou 2 sur 3 pour déclencher)

TOC
Systematic Failures

 A failure related in a deterministic way to certain cause, which can only be

eliminated by a modification to the design or the manufacturing process,
operational procedures, documentation or other relevant factors.
 Usually due to a design fault-wrong component, error in software programme.
 A single systematic fault can cause failure in multiple channels of a redundant
system.
 Systematic failures, by their very nature, cannot be accurately predicted
because the events leading to them cannot be easily predicted.

TOC
Les Défaillances Systématiques

 Une défaillance liée d'une manière déterministe à une certaine cause qui ne
peut être éliminée que par une modification de la conception ou du process de
fabrication, des procédures opérationnelles, de la documentation ou d'autres
facteurs pertinents.
 Généralement dues à une erreur de conception, un mauvais composant ou
une erreur dans le programme logiciel.
 Une seule panne systématique peut entraîner une défaillance dans les canaux
multiples d'un système redondant.
 Les défaillances systématiques, par leur nature même, ne peuvent être
prédites avec précision, parce que les événements qui y mènent ne peuvent
pas être facilement prédits.

TOC
Systematic failure compliance

 IEC 61508 requires avoidance of systematic failures to be considered and

controls for avoidance to be documented.
 Three routes to compliance- IEC 61508-2 (7.4.2.2):
 Route 1s :Requirements for avoidance (prevention) and requirements for the
control of systematic faults during:
 Safety requirements specification
 Design
 Manufacture
 Installation
 Operation
 Maintenance etc.
Or
 Route 2s :Evidence that the equipment is "proven in use" (PIU)
Or
 Route 3s :Pre-existing software elements only: compliance with lEC 61508-3
(7.4.2. 12).
 A system implemented using such methods should be relatively free of
systematic errors.
TOC
Conformité des Défaillances Systématiques

 La CEI 61508 exige que les actions d’évitement des défaillances systématiques soient
prises en considération et que les contrôles pour l’évitement soit documenté.
 Trois voies pour la conformité- CEI 61508-2 (7.4.2.2):
 Voie 1s : Exigences pour éviter (prévention) et exigences pour le contrôle des pannes
systématiques lors de:
 La spécification des exigences de sécurité;
 La conception;
 La fabrication;
 L’installation;
 L’exploitation;
 L’entretien, etc.
Ou
 Voie 2s : La preuve que l'équipement a « fait ses preuves »
Ou
 Voie 3s : Éléments logiciels préexistants seulement: conformité avec la CEl 61508-3
(7.4.2 12.).
 Un système mis en œuvre qui utilise ces méthodes devrait être relativement exempt
d'erreurs systématiques.
TOC
Random Failures

 A failure occurring at a random time, which results from one or more of the
possible degradation mechanisms.

 Random failures can be predicted with reasonable accuracy depending

on the quality of the data
 e.g. Failure rates
 Dangerous failures

 Safe failures

TOC
Défaillances Aléatoires

 Une défaillance se produisant à un moment aléatoire, qui résulte d'une ou de

plusieurs des mécanismes de dégradation possibles.

 Les défaillances aléatoires peuvent être prédites avec une précision

raisonnable en fonction de la qualité des données
 ex: les taux de défaillance
 Défaillances dangereuses

 Défaillances en mode sécurité

TOC
Dangerous Failures

 Failure of an element and/or subsystem and/or system that plays a part in

implementing a safety function that:
a) Prevents a safety function from operating when required (demand mode) or
causes a safety function to fail (continuous mode) such that the EUC is put into a
hazardous or potentially hazardous state; or,

b) Decreases the probability that the safety function operates correctly when
required.

 Fails to operate when required resulting in:

 Loss of integrity

 The consequences due to failure

TOC
Défaillances Dangereuses

 La défaillance d'un élément et / ou d’un sous-système et / ou d'un système qui

joue un rôle dans la mise en œuvre d'une fonction de sécurité:
a) Empêche une fonction de sécurité de fonctionner en cas de besoin (mode
demande) ou entraine la défaillance d’une fonction de sécurité (mode continu), de
telle sorte que l'EUC est placé en siruation dangereuse ou potentiellement
dangereuse; ou,

b) Diminue la probabilité que la fonction de sécurité fonctionne correctement en cas

de besoin.

 Ne réussit pas à fonctionner en cas de besoin entraînant:

 La perte d'intégrité;

 Les conséquences dues à la défaillance.

TOC
Safe Failures

 Failure of an element and/or subsystem and/or system that plays a part in

implementing a safety function that:
a) Results in the spurious operation of the safety function to put the EUC (or part
thereof) into a safe state or maintain a safe state; or,

b) Increases the probability of the spurious operation of the safety function to put the
EUC (or part thereof) into a safe state or maintain a safe state.

 Spurious and unwanted shutdown

 No loss of integrity

 But loss of production

TOC
Défaillances en Mode Sécurité

 La défaillance d'un élément et / ou sous-système et / ou d'un système qui joue

un rôle dans la mise en œuvre d'une fonction de sécurité:
a) Entraine un fonctionnement intempestif de la fonction de sécurité qui place l’EUC
(ou une partie de celui-ci) en mode sécurité ou maintient un mode sécurité; ou,

b) Augmente la probabilité que le fonctionnement intempestif de la fonction de sécurité

place l’EUC (ou une partie de celui-ci) en mode sécurité ou maintient un mode
sécurité.

 Arrêt intempestif et indésirable

 Aucune perte d'intégrité

 Mais perte de production

TOC
Failure & Reliability

 Constant failure rate = 

 Reliability rate - R(t) = e-t
 Unreliability rate – F(t) = 1-e-t

TOC
Défaillance et Fiabilité

 Taux de défaillance constant = 

 Taux de fiabilité - R (t) = e-t
 Taux de manque de fiabilité - F (t) = 1-e-t

TOC
Demand Modes

 There are different types of demand mode.

 Low

 High

 Continuous

 Most process functions are ‘low demand’

TOC
Modes de Demande

 Il existe différents types de mode de demande.

 Faible

 Elevé

 Continu

 La plupart des fonctions process sont à “faible demande”

TOC
Target Failure Measures

Target Failure Measure for a safety function

Safety allocated to an E/E/PE safety-related system
Integrity
Level High demand or
Low demand mode of
(SIL) continuous mode of
operation
operation

4 Average probability of Dangerous failure rate (per

3 failure on demand hour)
See IEC 61508-4; 3.5.12 See IEC 61508-4; 3.5.12
2 Low demand mode: High demand/continuous
Where the frequency of mode:
demands for operation on Where the frequency of
1 a safety related system is demands for operation made
no greater than one per on a safety related system is
year. greater than one per year.
TOC
Mesure des Défaillances Cibles

Mesure de la défaillance cible pour une fonction de

Niveau sécurité attribué à un système de sécurité E / E / PE
d’Intégrité de
la Sécurité Mode de fonctionnement à
mode de fonctionnement
(SIL) demande élevée ou en
à faible demande
continu

4 Probabilité moyenne de Taux de défaillances dangereuses

3 défaillance à la demande
Voir IEC 61508-4; 3.5.12
2 Mode faible demande :
Lorsque la fréquence des
demandes de fonctionnement
1 à un système de sécurité ne
dépasse pas une fois par an.
(par heure)
Voir IEC 61508-4; 3.5.12
Mode demande élevée/ en
continu:
Lorsque la fréquence des
demandes de fonctionnement à
un système de sécurité est
supérieure à une fois par an.

TOC
Demand modes

Demand mode
Continuous mode - 61508
- 61511
Low demand –
High demand – 61508 Continuous – 61508
61508
Use of probability of Use probability of
Use PFDavg
failure per hour failure per hour
Take credit for Not credit for proof No credit for proof
proof testing testing testing

Take credit for

Take credit for No credit for
automatic
automatic diagnostics automatic diagnostics
diagnostic

TOC
Modes de Demande

Mode de demande -
Mode continu - 61508
61511
Faible demande - Demande élevée -
En continu - 61508
61508 61508
Utiliser la probabilité de Utiliser la probabilité de
Utiliser PFDavg
défaillance par heure défaillance par heure
Tirer avantage des Pas d’avantage tiré des Pas d’avantage tiré des
tests de preuve tests de preuve tests de preuve

Tirer avantage du Tirer avantage du Pas d’avantage tiré du

diagnostic automatique diagnostic automatique diagnostic automatique

TOC
Implementation – low demand SIF

 Probability of Failure on Demand (PFD): A statistical probability or chance that

a system will not perform its intended function when required to do so.
 There are distinct relationships between the PFD and the:
 Design
 failure rate
 testing

TOC
Mise en Oeuvre – SIF à Faible Demande

 Probabilité de Défaillance à la Demande (PFD): une probabilité statistique ou

une chance qu'un système n’accomplira pas sa fonction lorsqu’il lui sera
demandé de la faire.
 Il existe des relations distinctes entre le PFD et:
 La Conception
 Le Taux de défaillances
 Les Tests

TOC
Probability of Failure on Demand
ISA TR 84.00.02 (Part 1 & 2) Simple Formulas - Approximation

TOC
Probabilité de Défaillance à la demande
ISA TR 84.00.02 (Parties 1 & 2) Formules simples - Approximation

TOC
PFD Approximation

 Use with caution

 i.e. for a 1oo1 element:
PFD = ½  Ti

is only valid when  Ti <<1

 Voted elements e.g. 2oo3 result in even larger discrepancies.

TOC
Approximation PFD

 Utiliser avec précaution

 càd: pour un élément 1 sur 1:
PFD = ½  Ti

est valide uniquement lorsque  Ti << 1

 Les éléments votés, ex: 2 sur 3 entrainent des encore plus importants.

TOC
Risk Reduction Factor (RRF)

 The integrity of a SIF is sometimes expressed as the Risk Reduction Factor

(RRF)
 There is a simple relationship between RRF and the PFD:
RRF = 1/PFD
e.g. if PFD = 0.1
Then RRF = 10

TOC
Facteur de Réduction des Risques (FRR)

 L'intégrité d'un SIF est parfois qualifiée de Facteur de Réduction des Risques
(FRR)
 Il existe une relation simple entre le FRR et le PFD:
FRR = 1 / PFD
Ex: si PFD = 0,1
Alors le FRR = 10

TOC
Exponential Distribution

 A more appropriate and accurate calculation is the full exponential

distribution:

 Where: r = (n – m + 1)
 n = total units;
 m = number of units required to operate

TOC
Répartition Exponentielle

 Un calcul plus approprié et plus précis est la répartition

complète exponentielle:

 avec: r = (n - m + 1)
 n = nombre total d'unités;
 m = nombre d'unités nécessaire pour faire fonctionner

TOC
PFD Approximation vs Full Calculation

TOC
Approximation PFD vs Calcul Complet

TOC
Lambda x T

TOC
Lambda x T

TOC
Subsystem Implementation

Calculating the PFD of the system

Calculate the PFD of each subsystem (Sensors, Logic Solver and
Actuators) based on the element architecture (i.e. 1oo1, 1oo2 etc.)
The total PFD for the system is then calculated TOC
Mise en Oeuvre du Sous-Système

Calcul du PFD du système

Calculer le PFD de chaque sous-système (Capteurs, Logic Solver et Activateurs) sur la
base de l'architecture des éléments (c.-à-1 sur 1, 1 sur 2, etc.)
Le PFD total du système est alors calculé
TOC
Implementation

 Total PFD for the System:

Sensors Actuators

Logic Solver

Total PFD:
PFD (System) = PFD (Sensors) + PFD (Logic Solver) + PFD (Actuators)
A more precise formula is:
(1-PFD System) = (1-PFD Sensors)*(1-PFD Logic Solver)*(1-PFD Actuators)
(1-PFD System) = Probability of Success (PSD)
Thus (1-(1-PFD System)) = PFD

TOC
Mise en Oeuvre

 PFD Total du Système:

Capteurs Activateurs

Logic Solver

PFD Total:
PFD (Système) = PFD (capteurs) + PFD (Logic Solver) + PFD (Activateurs)
Une formule plus précise est la suivante:
(1-PFD Système) = (1-PFD Capteurs) * (1-PFD Logic Solver) * (1-PFD
Activateurs)
(1-PFD System) = Probabilité de Succès (PSD)
Ainsi, (1- (1-PFD Système)) = PFD

TOC
Some Design Considerations

 Improving reliability and integrity:

 Hardware fault tolerance (more detail later);
 Multiple devices (sensors or actuators):
 1oo2, 1oo3 etc.
 Avoidance of nuisance or spurious trips:
 Voted multiple sensors:
 2oo2, 2oo3 etc.

TOC
Quelques Considérations de Conception

 Améliorer la fiabilité et l'intégrité:

 Tolérance de pannes matérielles (plus de détail ci-après);
 Plusieurs dispositifs (capteurs ou activateurs):
 1 sur 2, 1 sur 3, etc.
 Éviter les déclenchements intempestifs ou parasites:
 Plusieurs capteurs votés:
 2 sur 2, 2 sur 3, etc.

TOC
PFD/Test Interval Relationship

For illustration purposes only. Test Interval (year)

IPF Loop Unrevealed Failure Rate < TI X failures per year
IPF Loop Unrevealed Failure Rate <<TI X failures per year
TOC
PFD / Test Intervalle Relation

À titre d'illustration seulement. Intervalle de test (année)

IPF taux de défaillances non révélées de la boucle < TI X défaillances par an)
IPF taux de défaillances non révélées de la boucle << TI X (défaillances par TOC
an)
Exercise:

Q: Which failure types concern SIF designers?

A:

Q: Which sensor configuration has the highest safety integrity?

(a) 1oo2 (b) 2oo2 (c) 2oo3

A:

Q: What benefit is gained by voting sensors 2ooN?

A:

TOC
Exercice:

Q: Quels types de défaillances préoccupent les concepteurs des SIFs?

R:

Q: Quelle configuration de capteurs a la plus haute intégrité de

sécurité?
(A) 1 sur 2 (b) 2 sur 2 (c) 2 sur 3

R:

Q: Quel avantage est acquis en votant des capteurs 2 sur N?

R:

TOC
PFD Exercise 1:

 A pressure protection SIF has been assessed as a SIL 2 requirement.

 The subsystems are to comprise pressure transmitter/s, PLC logic and
ESD valve/s.
 The reliability data for the elements selected by the project team are as
follows:
 Pressure transmitter: d = 7.0E-03; s = 4.0E-03
 PLC Logic: d = 1.0E-03; s = 2.0E-04
 ESD valve: d = 5.0E-02; s = 3.0E-03

a) Determine if 1oo1 architecture will achieve the SIL 2 requirement with an annual
test.
b) What changes could be made?

TOC
PFD Exercice 1:

 Une SIF de protection de pression a été évaluée étant une

comme une exigence SIL 2.
 Les sous-systèmes doivent comprendre un ou des transmetteurs
de pression, un PLC logic et une ou des vannes ESD.
 Les données de fiabilité pour les éléments sélectionnés par
l'équipe du projet sont les suivants:
 Transmetteur de pression: d = 7.0E-03; s = 4.0E-03
 PLC Logic: d = 1.0E-03; s = 2.0E-04
 vanne ESD: d = 5.0E-02; s = 3.0E-03

a) Déterminer si l'architecture 1 sur 1 atteindra l'exigence SIL 2 avec un test

annuel.
b) Quels changements pourraient être apportés?

TOC
Lifecycle Considerations

TOC
Considérations du Cycle de
Vie

TOC
Safety Life Cycle

Identify
Funct’I Hazards Risk
safety assessment
assessment
SIS
Modify requirement
s spec

Funct’I Funct’I
safety safety
assessment assessment

Review and
verification
Cinderella Appropriate
design
Phases
Funct’I
Monitor safety
assessment

Record Install &

commission

Operate and Validation of

Maintain requirements
Funct’I
safety
assessment
TOC
Sécurité du cycle de vie

Identification
Evaluation de des dangers Évaluation
la sécurité des risques
Fonct'I
Modificattion Spécification
s des critères
SIS

Evaluation de Évaluation de
la sécurité la sécurité
Fonct'I Fonct'I

Révision et
vérification
Phases Conception
appropriée
Cendrillon
Evaluation de
Surveiller la sécurité
Fonct'I
Enregistrer
Installation
et et Mise en
Répertorier Service
Exploitation
Validation
et
des critères
Maintenance
Evaluation de
la sécurité
Fonct'I
TOC
The Importance of Testing

The Probability of Failure for a 1oo1 element = ½dTi

Thus if the test interval is increased then the PFD also increases
proportionally

TOC
Importance des Tests

La probabilité de défaillance d'un élément 1 sur 1 = ½dTi

Ainsi, si l'intervalle de test augmente, alors le PFD augmente

également de manière proportionnelle

TOC
The Importance of Testing

TOC
Importance des Tests

TOC
Testing & Risk Reduction

TOC
Tests et Réduction des Risques

TOC
Synchronous Proof Testing

TOC
Tests d‘Epreuve Synchrones

TOC
Importance of Maintenance

The simple formula for PFD = ½dTi

 Assumes that the element is in the 'as new condition‘

 Testing does not cover every aspect (coverage factor < 1)
 e.g. we do not know the internal condition of a valve

 Only periodic 'bench type' maintenance can bring elements back to an 'as
new condition‘
 The PFD will increase without routine maintenance

TOC
Importance de la Maintenance

La formule simple pour le PFD = ½dTi

 Suppose que l'élément est dans un « état neuf »

 Le test ne couvre pas tous les aspects (facteur de couverture <1)
 Ex: nous ne connaissons pas l’état interne d'une vanne

 Seul une maintenance périodique « en atelier » peut rendre aux éléments leur
« état neuf »
 Le PFD augmentera sans maintenance de routine

TOC
Importance of Maintenance

 The Imperfect Proof Test

 For a 1oo1 system:
PFD = ½dTi C

Where:

d = Total unrevealed or dangerous failure rate (per year)

Ti = Test interval (years)

C = The coverage factor

TOC
Importance de la Maintenance

 Le Test Preuve Imparfait

 Pour un système 1 sur 1:
PFD = ½ddTi C

avec:

d = Taux total de défaillances non révélées ou dangereuses (par an)

Ti = Intervalle de test (années)

C = Facteur de couverture

TOC
Importance of Maintenance

TOC
Importance de la Maintenance

TOC
Importance of Maintenance

 At the Maintenance Interval the element is maintained and returned to

the as new condition:
 For a 1oo1 System:
PFDc = (½ dTi C + ½ d Tm (1-C))………………….(1)
Where:
d = Total unrevealed or dangerous failure rate (per/year)

Ti = Test interval (year)

C = The coverage factor
Tm = Maintenance interval; interval at which the device is maintained
to as new condition (year)

TOC
Importance de la maintenance

 Lors de l’Intervalle Maintenance, l'élément est entretenu et rendu à l’état

neuf:
 Pour un système 1 sur 1:
PFDc = (½ dTi C + ½ d Tm (1-C)) ..................... (1).
avec:
d = Taux total de défaillances non révélées ou dangereuses (par / an)

Tje = Intervalle dde test (année)

C = Facteur de couverture
Tm = Intervalle d'entretien; intervalle au cours duquel le dispositif est maintenu
à l’état neuf (année)

TOC
Testing & Fractional Dead Time

When a SIF element is being tested:

 It is not available to provide protection
 The time it is off line may be critical
 It may compromise the PFD
 This is called the ‘fractional dead time’

N.B. This is only the case if operations continue during maintenance

period.

TOC
Test et Temps Mort Fractionnel

Lorsqu'un élément de la SIF est testé:

 Il n'est pas disponible pour fournir une protection;
 La période durant laquelle il est hors circuit peut être critique;
 Il peut compromettre le PFD;
 On appelle cela le « temps mort fractionnel ».

N.B. ceci n’est valable que si l’exploitation se poursuit durant la

période de maintenance.

TOC
Effect of Fractional Dead Time

TOC
Effet du Temps Mort Fractionnel

TOC
Optimization

TOC
Optimisation

TOC
Impact on PFD Calculation

 Test duration
 If PFDT is the additional PFD resulting from the function being unavailable
during testing:
 PFDT = td/ t (insignificant if td << t)………………………….(2)

 Maintenance Duration
 If PFDM is the additional PFD resulting from the function being unavailable
during maintenance:
 PFDM = tmd/ tm (insignificant if tmd << tm)…….…………….(3)

Where:
t = Test interval (years)
td = Test duration (year)
Tm = Maintenance interval (years)
Tmd = Maintenance duration (years) TOC
Impact sur le Calcul du PFD

 Durée du test
 Si PFDT est le PFD supplémentaire résultant de la fonction indisponible
durant le test:
 PFDT = td/ T (insignifiant si td << t) ............................... (2)

 Durée de Maintenance
 Si PFDM est le PFD supplémentaire résultant de la fonction indisponible
durant la maintenance:
 PFDM = tMd/ tm (Insignifiant si tMd << tm) ....... ............... (3).

avec:
t = Intervalle de test (années)
td = Durée du test (année)
Tm = Intervalle de maintenance (années)
TMd = Durée de la maintenance (années) TOC
Repair & Fractional Dead Time

When a SIF element has failed:

 Either spuriously or found during testing
 It must be repaired
 It is not available to provide protection
 The time it is off line may be critical
 It may compromise the PFD
 This is also called ‘fractional dead time’

TOC
Réparation & Temps Mort Fractionnel

Lorsqu'un élément du SIF est défaillant:

 Soit de manière intempestive, soit découvert au cours des essais,
 Il doit être réparé.
 Il n'est pas disponible pour fournir une protection;
 La période durant laquelle il est hors circuit peut être critique;
 Il peut compromettre le PFD;
 On appelle également cela « temps mort fractionnel ».

TOC
Impact on PFD Calculation

 Repair Time
 If PFDR is the additional PFD resulting from the safety function being
unavailable during a repair, the total failure rate = (s + d) and :

 PFDR = tr (c + d) (insignificant if tr is small).………….(4)

Where:
tr = Time to repair (years)

s = Safe failure rate per year

d = Dangerous failure rate per year

TOC
Impact sur le Calcul du PFD

 Temps de Réparation
 Si PFDR est le PFD supplémentaire résultant de la fonction de sécurité
indisponible lors d'une réparation, le taux global de défaillance = (s + d) et :

 PFDR = tr (C + d) (insignifiant si tr est faible)............. (4).

avec:
tr = Le temps de réparation (années)

s = Taux de défaillances en mode sécurité par an

d = Taux de défaillances dangereuses par an

TOC
All Factors Considered

Bringing together (1), (2), (3) and (4):

PFD = PFDC + PFDT + PFDM + PFDR

Thus PFD
=C*PFD moon (d t) + (1-C)*PFD moon (d tm ) + (td /t) + (tm d/ tm)+ tr (d = s)

Where:
t = Test interval (years) td = Test duration (years)

tm = Maintenance interval (years) tr = Time to repair (years)

tmd = Maintenance duration (years) s = Safe failure rate per year

d = Dangerous failure rate per year C = Coverage factor

TOC
Tous les Facteurs Pris en Compte

Réunit (1), (2), (3) et (4):

PFD = PFDC + PFDT + PFDM + PFDR

ainsi PFD
= C * PFD m sur n (d' t) + (1-C) * PFD m sur n (d' tm ) + (Td / T) + (tMd/ tm) + Tr (d = s)

avec:
t = Intervalle de test (années) tré = Durée du test (années)

tm = Intervalle de maintenance (années) tr = Temps de réparation (années)

tmd = Durée de maintenance (années) s = Taux de défaillance en mode sécurité par an

d = Taux de défaillances dangereuses par an C = Facteur de couverture

TOC
Architectural Constraints
Common Cause Failure
(CCF)

TOC
 Contraintes Architecturales
Défaillances à Cause Commune
(DCC)

TOC
Common Cause & Common
Mode Failures
 A CCF occurs when a single fault results in the corresponding failure of
multiple components.
 Common mode failure are a subset of common cause failures,

“ A common-mode failure (CMF) is the result of event(s) which because of

dependencies, cause a coincidence of failure states of components in two or more
separate channels of a redundancy system, leading to the defined system to
perform its intended function”.

TOC
Défaillances à Cause Commune
et en Mode Commun

 Une DCC se produit quand une seule panne entraîne la défaillance

correspondante de multiples composants.
 Les défaillances en mode commun sont un sous-ensemble des
défaillances à cause commune,

« Une défaillance à cause commun (DCC) est le résultat d’un ou de plusieurs

événements qui, en raison de dépendances, provoque une coïncidence d'états
de défaillance des composants dans deux ou plusieurs canaux séparés d'un
système de redondance, ce qui fait que le système en question exerce sa
fonction prévue ».

TOC
Common Cause Failures

 Part 6 Annex D – Method for quantifying

 Using factors such as:
 Separation/ segregation
 Diversity/ redundancy
 Complexity/ design/ application/ experience
 Failure mode feedback
 Procedure/ human interface
 Maintenance
 Testing
 Competence
 Environment

TOC
Les Défaillances à Cause Commune

 Partie 6 Annexe D - Méthode de quantification

 En utilisant des facteurs tels que:
 Séparation/ ségrégation
 Diversité/ redondance
 Complexité / conception / application / expérience
 Retour d'information sur le mode de défaillance
 Procédure / interface humaine
 Maintenance
 Test
 Compétence
 Environnement

TOC
Common Cause Failures

 = independent + common cause

cc = β

 IEC 61508-6, Annex D, Table D.4

 Beta is the fraction of the failure rate two or more failures will occur due to
common cause:
 0.01 – 0.1 for 1oo2 field equipment
 0.005 – 0.05 for 1oo2 programmable electronic systems

TOC
Défaillances à Cause Commune

 = indépendant + cause commune

cc = β

 IEC 61508-6, annexe D, Tableau D.4

 Beta est la fraction du taux de défaillances lorsque deux défaillances ou
plus se produisent en raison de la cause commune:
 0,01 à 0,1 pour 1 sur 2 équipements de terrain;
 De 0,005 à 0,05 pour 1 sur 2 systèmes électroniques programmables

TOC
Common Cause Failures - Example

 = independent + common cause

l = 0.05 failures/ year
β = 0.02
cc = β

cc = 0.02 * 0.05 = 0.001 failures / year

i = 0.05 – 0.001 = 0.049 failures / year

TOC
Défaillances à Cause Commune -
Exemple
 = indépendant + cause commune
l = 0,05 défaillances / an
β = 0,02
cc = β

cc = 0,02 * 0,05 = 0,001 défaillances / an

i = 0,05 - 0,001 = 0,049 défaillances / an

TOC
Common Cause Failure – Systems
Diagram
 Consider a simple 1oo2 redundant subsystem

d = total dangerous failure rate

di = total independent dangerous failure rate

dcc = total common cause dangerous failure rate

dcc = β d
Where β = the common cause failure factor TOC
Défaillances à Cause Commune –
Schémas des Systèmes
 Considérons un sous-système redondant simple, 1 sur 2

ré = Taux total de défaillances dangereuses

di = Taux total de défaillances dangereuses indépendantes

dcc = Taux total de défaillances dangereuses à cause commune

dcc = β d
TOC
Avec β = le facteur de défaillance à cause commune
Common Cause Failure – Fault Tree

TOC
Défaillances à Cause Commune –
Arbre des Défaillances

TOC
Common Cause Failure – Systems
Diagram
 Consider a simple 1oo2 redundant subsystem

TOC
Défaillances à Cause Commune –
Schémas Systèmes
 Considérons un sous-système redondant simple, 1 sur 2

TOC
Exercise – Common Cause Failure

A 2oo3 transmitter configuration is to be used as a sensor subsystem. The

dangerous failure rate d is 5.0E-02/ year and the common cause failure beta
factor (β) has been determined as 0.04. The proof test is to be done annually.
a) Calculate the PFD without the influence of common cause failure.
b) Calculate the PFD taking account of common cause failure.

TOC
Exercice - Défaillance à Cause Commune

Une configuration de transmetteurs 2 sur 3 doit être utilisée en tant que sous-
système de capteurs. Le taux de défaillances dangereuses d est de 5.0E-02 / an et
le facteur bêta (β) de la défaillance à cause commune a été déterminé à 0,04. Le
test d'épreuve doit être fait chaque année.
a) Calculer le PFD sans l'influence de la défaillance à cause commune.
b) Calculer le PFD en prenant en compte la défaillance à cause commune.

TOC
Exercise: Worksheet

a)

b)

TOC
Exercice: Feuille de travail

a)

b)

TOC
Modification Factors for Beta

MooN N

2 3 4 5

1 βint 0.5 βint 0.3 βint 0.2 βint

M 2 - 1.5 βint 0.6 βint 0.4 βint

3 - - 1.75 βint 0.8 βint

4 - - - 2 βint

TOC
Facteurs de Modification pour Beta

M sur N N

2 3 4 5

1 βint 0,5 βint 0,3 βint 0,2 βint

M 2 - 1.5 βint 0,6 βint 0,4 βint

3 - - 1,75 βint 0,8 βint

4 - - - 2 βint

TOC
Impact on PFD Calculation

If PFDβ is the additional PFD resulting CCFS, then:

The beta factored failure rate is defined as β = βd, and

PFDβ = PFD1oo1( , t)…………………………………………………...(5)

β

Note: 1oo1 is used, since a failure affecting one unit by definition it effects all
units simultaneously.
Bringing together (1), (2), (3), (4) and (5):
PFD = PFDC + PFDT + PFDM + PFDR + PFDβ
Thus =PFD
C* PFD moon(d’ t) + (1-C)* PFD moon(d’ tm ) + (td /t) + (tm d/ tm)+ tr (d = s) PFD1oo1 (β ‘ t)

Where:
t = Test interval (years) td = Test duration (years)
tm = Maintenance interval (years) tr = Time to repair (years)
tmd = Maintenance duration (years) s = Safe failure rate per year
TOC
d = Dangerous failure rate per year C = Coverage factor
Impact sur le calcul du PFD

Si PFDβ est le PFD supplémentaire résultant des DCCS , alors :

le taux de défaillances pondéré bêta est définie comme β = βd, et

PFDβ = PFD1 sur 1 ( , t) ......................................................... ... (5)

β

Remarque: 1 sur 1 est utilisé, car une défaillance affectant une unité affecte, par définition,
toutes les unités simultanément.
En réunissant (1), (2), (3), (4) et (5):
PFD = PFDC + PFDT + PFDM + PFDR + PFDβ
Alors, le =PFD
C * PFD m sur n(d' t) + (1-C) * PFD m sur n(d' tm ) + (Tré / T) + (tMd/ tm) + Tr (d = s) PFD1 sur 1 (β ' t)

avec:
t = Intervalle de test (années) td = Durée du test (années)
tm = Intervalle de maintenance (années) tr = Temps de réparation (années)
tmd = Durée de la maintenance (années) s = Taux De défaillances en mode sécurité par an
TOC
d = Taux de défaillances dangereuses par an C = Facteur de couverture
 Architectural Constraints

Hardware Fault Tolerance

SIS design must meet certain hardware fault

tolerance criteria for a required SIL in addition to
achieving the PFD

TOC
 Contraintes ArchitecturalES

Tolérance aux Pannes Matérielles

La conception du SIS doit répondre à certains critères

de tolérance aux pannes de matériel pour un SIL requis
en plus de réaliser le PFD

TOC
Hardware Fault Tolerance

TOC
Tolérance aux Pannes Matérielles

TOC
Hardware Fault Tolerance

The hardware fault tolerance for each subsystem must meet

certain requirements depending on the required safety integrity

TOC
Tolérance aux Pannes Matérielles

La tolérance aux pannes matérielles pour chaque sous-système

doit satisfaire à certaines exigences en fonction de l'intégrité
de sécurité requise.

TOC
Architectural Constraints

Safe Failure Fraction

&
Hardware Fault Tolerance

TOC
 Contraintes Architecturales

Fraction de Défaillance en Mode Sécurité

&
Tolérance aux Pannes Matérielles

TOC
Diagnostic capability

 Some systems and/or subsystems may have a diagnostic capability to

automatically detect dangerous, or safe, failures before:
 Proof tests can reveal the dangerous failures
 Spurious shutdown reveal the safe failures

TOC
Capacité de Diagnostic

 Certains systèmes et / ou sous-systèmes peuvent avoir une capacité de

diagnostic pour détecter automatiquement les défaillances dangereuses
ou en mode sécurité, avant que les :
 Tests d’epreuve puissent révéler les défaillances dangereuses;
 Arrêts intempestifs révèlent les défaillances en mode sécurité.

TOC
Diagnostic capability

 Thus the total dangerous failures d comprise:

 dd = Those dangerous failures that are detected by diagnostics;

 du = Those dangerous failures that remain undetected by diagnostics.

 d = dd + du

 Thus the total safe failure s comprise:

 sd = Those safe failures that are detected by diagnostics

 su = Those safe failures that remain undetected by diagnostics

 s = sd + su

TOC
Capacité de Diagnostic

 Ainsi, les défaillances dangereuses totales d comprennent:

 dd = les défaillances dangereuses qui sont détectées par le diagnostic;

 du = les défaillances dangereuses qui restent non détectées par le diagnostic.

 ré = dd + du

 Ainsi, la défaillance totale en mode sécurité s comprend:

 sd = les défaillances en mode sécurité qui sont détectées par le diagnostic;

 su = les défaillances en mode sécurité qui restent non détectées par le
diagnostic.
 s = sd + su

TOC
Routes to compliance

 The hardware safety integrity constraints shall be achieved by

implementing one of two possible routes (to be implemented at system or
subsystem level):

 Route 1H bases on hardware fault tolerance and safe failure fraction concepts;

Or

 Route 2H based on component reliability data from feedback from end users,
increased confidence levels and hardware fault tolerance for specified safety
integrity levels.

 H denotes that these routes apply to hardware constraints.

TOC
Voies vers la Conformité

 Les contraintes d'intégrité de sécurité du matériel doivent être atteintes en

mettant en œuvre l'une des deux voies possibles (à mettre en œuvre au
niveau système ou sous-système):

 Voie 1H se base sur la tolérance aux pannes matérielles et les concepts de la

fraction de défaillance en mode sécurité;

Ou

 Voie 2H est basée sur les données de la fiabilité des composants à partir des
commentaires des utilisateurs finaux, des niveaux de confiance accrue et de la
tolérance aux pannes de matérielles pour des niveaux spécifiques d'intégrité
de sécurité.

 H indique que ces voies s'appliquent aux contraintes matérielles.

TOC
Route 1H – Safe Failure Fraction

IEC 61508-2; 7.4.4.2

The safe failure fraction (SFF) of a subsystem is defined as the ratio of the
average rate of safe plus detected failure of the subsystem to the total average
failure rate of the subsystem:

(∑S + ∑DD) / (∑s +∑D)

Where:

S =Safe failure (sd + su)

DD = Detected dangerous failures

D = Dangerous failures (dd + du)

TOC
Voie 1H – Fraction de Défaillance
en Mode Sécurité
IEC 61508-2; 7.4.4.2

La fraction de défaillances en mode sécurité (FDS) d'un sous-système

est défini comme le ratio de la moyenne des défaillances en mode
sécurité, plus celles détectées au niveau du sous-système, par
rapport au taux total de défaillances moyennes du sous-système:
(ΣS + ΣDD) / (Σs + Σd)
avec:

S = Défaillances en mode sécurité (sd + su)

DD = Défaillances dangereuses Détectées

D = Défaillances dangereuses (dd + du)

TOC
Safe Failure Fraction
1. Calculate the probability of safe failures S for each component or group of
components, and the probability of dangerous failure D
(N.B. The probability can be taken as the failure rat  per unit time
where t << 1)
2. For each component or group of components, estimate the fraction of
dangerous failures which will be detected by the diagnostic tests and therefore
the probability of a dangerous failure which is detected by the diagnostic tests,
DD .
3. For the subsystem, calculate the total probability of dangerous, ∑D , the total
probability of dangerous failures that are detected by the diagnostic test ∑DD
and the total probability of safe failures ∑S .
4. Calculate the diagnostic coverage of the subsystem ∑DD / ∑D.
5. Calculate the safe failure fraction of the subsystem as:
(∑S + ∑DD) / (∑S + ∑D)

TOC
Fraction de Défaillance en Mode Sécurité
1. Calculer la probabilité de défaillances en mode sécurité S pour chaque composant ou
groupe de composants, et la probabilité de défaillance dangereuse d.
(N.B: La probabilité peut être considérée comme étant le taux de défaillances  par
unité de temps avec t << 1)
2. Pour chaque composant ou groupe de composants, estimer la fraction de défaillances
dangereuses qui seront détectées par les tests de diagnostic et donc la probabilité
d'une défaillance dangereuse qui est détectée par les tests de diagnostic, DD .
3. Pour le sous-système, calculer la probabilité totale de défaillances dangereuses, ΣD ,
la probabilité totale de défaillances dangereuses qui sont détectées par le de test de
diagnostic ΣDD et la probabilité totale de défaillances en mode sécurité ΣS .
4. Calculer la couverture de diagnostic du sous-système ΣDD / ΣD .
5. Calculer la fraction de défaillance en mode sécurité du sous-système:
(ΣS + ΣDD) / (ΣS + ΣD)

TOC
Any Questions

Any Questions ?

TOC
Questions

Questions?

TOC
THANK YOU

TOC