Velosi Funcional Safety Training

Velosi Formation en Sécurité

Fonctionnelle
 Based
on
IEC-61508, IEC-61511 & ISA TR
84.00.02 Standards

Functional Safety Instrumented System

for the Process Industry Sector
 Basé
sur
Les Normes IEC-61508, IEC-61511
et ISA TR 84.00.02

Système Instrumenté de Sécurité Fonctionnelle

pour le Secteur de l‘Industrie des Procédés
DAY - 2
JOUR 2
Contents

 Case Studies Issues

 SIL Determination by Semi-Quantitative Method (LOPA)

(Layer of Protection Analysis)

 SIL Determination by Quantitative Method (FTA)

(Fault Tree Analysis)
Contents

 SIS Lifecycle

 SIS Design and Development

 System Safety Requirements Sheet

 Contenu

Questions d'études de cas

Détermination SIL par méthode semi-quantitative (LOPA)
(Analyse des Couches de Protection)
Détermination SIL par méthode quantitative (FTA)
(Analyse de l‘Arbre des Défaillances)
 Contenu

SIS Cycle de vie

Conception et développement SIS
Fiche sur les exigences de sécurité du système
Overall Integrity Requirements

Risks per function System Integrity

Safety Function integrity Dedicated

integrity systems

Required
Environmental Integrity Shutdown
integrity of systems
Function A

Economic Control
integrity Function B system

Function C

etc TOC
Critères généraux d'intégrité

Risques par fonction Intégrité du Système

Intégrité de la Intégrité des Fonctions Sustèmes

Sécurité Dédiés

Intégrité
Intégrité de Requise de la Systèmes
l’Environmental Fonction A d’arrêt/Ferméture

Système de
Intégrité
Contrôle
Economique Fonction B

Fonction C

etc TOC
The Required Integrity

 The required integrity of a function is determined from the

highest of the three integrity risks:
 Safety
 Asset
 Environmental
 The Final Integrity Level = max(SIL, ILa, ILe)
 The function should be designed to meet the highest Integrity
Level

TOC
L‘Intégrité Requise

L'intégrité requise d'une fonction est déterminée à partir du

plus élevé des trois risques d'intégrité:
 Sécurité
 Atout
 Environnement
Le Niveau Final d‘Intégrité = max (SIL, ILa, ILe)
La fonction doit être conçue pour atteindre le Niveau
d‘Intégrité le plus élevé

TOC
Identifying Demand Causes

A few tips for identifying the causes of a demand on a

SIF:
 Many are due to control failure;
 Breakdown of pumps, compressors etc.;
 Manual operating error;
 Operating conditions e.g. start up;
 Seasonal weather conditions;
 Process blockages;
 Loss of utilities e.g. air, cooling water etc.

TOC
Identifier les Causes de la Demande

Quelques conseils pour identifier les causes d'une demande sur

un SIF:
 Beaucoup sont dus à une défaillance d’une commande;
 Panne des pompes, compresseurs, etc.;
 Erreur de manipulation;
 Conditions de fonctionnement, par ex. démarrage;
 Les conditions météorologiques saisonnières;
 Blocages des process;
 Perte des services publics, ex. air, eau de refroidissement, etc.

TOC
Exercise – Pressure Protection

Thermal or fire relief

1. Determine the consequences of

failure on demand of PZA for:
a) Personnel safety
b) Production/equipment loss
20" 10 km c) Environmental
Hydrocarbon 2. Suggest improvements to the design
line

120 Bar

Notes:
There are two production trains each capable of
handling full feed .
The vessel is operated at a very high level.
1 operator in the area for less than 1 hr/shift.
The feed is subject to monthly pressure surges and
the PIC is 90% reliable.
TOC
Exercice - Protection contre la Pression

Décharge thermique ou torchère

1. Déterminer les consequences d’une défaillance du PZA à

la demande pour :
a) la sécurité du personnel
b) les pertes de production/d’équipements
c) l’Environnement
20" 10 km
2. Suggérer des améliorations à la conception
Hydrocarbon
line

120 Bar

Remarques:
Il y a deux trains de production, chacun capable de
gérer un flux complet .
Le réservoir est utilisé à un très haut niveau.
1 opérateur dans la zone pendant moins d’une
heure/shift.
L’alimentation est sujette à des poussées
mensuelles de pression et le PIC est fiable à 90% . TOC
SIL Report Worksheet
Initiator Tag : Description:
Final element Tag: Description:
Design Intent:

Consequences of Failure on Demand:

W= Reason:
Consequences C F P SIL/IL

Safety
Safety narratives
Asset
Asset narratives
Environment

Environment
narratives
Overall SIL /IL TOC
Fiche du Rapport SIL
Tag de l'initiateur: Description:
Tag Élément final : Description:
Intention de conception:               

Conséquences de la Défaillance à la Demande

W= Raison:
Conséquences C F P SIL/IL

Sécurité
Documents écrits Sécurité
Actifs
Documents écrits Actifs
Environnement

Documents écrits Environnement

SIL /IL Général TOC

Exercise - NGL Backflow Protection

Notes:
The NGL unit is in a location not routinely
1. Determine the consequences of
visited by an operator, but the pump has a
failure on demand of FZA for:
local stop/start.
a) Personnel safety
The NRV is not a tight shut off.
b) Production/equipment loss
The pump has a history of stalling 1 or 2
c) Environmental
times a year.
2. Suggest improvements to the design
The plant has a large public exclusion zone
TOC
Exercice - Protection Anti-Retour NGL

Notes:
L’unité NGL est dans un lieu non visité de
1. Déterminer les conséquences d’une défaillance du FZA
manière routinière par un opérateur, mais la
à la demande pour:
pompe a un bouton Marche/Arrêt.
a) la sécurité du personnel
La Vanne Anti-Retour n’a pas de fermeture
b) la perte de production/d’équipements
étanche.
c) l’environnement
La pompe a l’habitude de se bloquer 1 ou 2
2. Suggérer des améliorations à la conception
Fois par an.
L’usine a une grande zone d’exclusion TOC
SIL Report Worksheet
Initiator Tag : Description:
Final element Tag: Description:
Design Intent:

Consequences of Failure on Demand:

W= Reason:
Consequences C F P SIL/IL

Safety
Safety narratives
Asset
Asset narratives
Environment

Environment
narratives
Overall SIL /IL TOC
Fiche du rapport SIL
Tag de l'initiateur: Description:
Tag Élément final: Description:
Intention de conception:
Conséquences de la défaillance à la demande

W= Raison:
Conséquences C F P SIL/IL

Sécurité
Documents écrits Sécurité
Actifs
Documents écrits Actifs
Environnement

Documents écrits Environnement

SIL /IL Général

TOC
 SIL Determination
By
Semi-Quantitative Method:
Layer of Protection Analysis

(LOPA)

TOC
 Détermination du SIL
par la
Méthode semi-quantitative
Analyse de la Couche de
Protection
(LOPA)

TOC
Layer of Protection Analysis

References:
 IEC 61511, 2016, Functional Safety: Safety Instrumented
Systems for the Process Industry Sector.
 Layer of Protection Analysis: Simplified Process Risk
Assessment Centre for Chemical Process Safety (CCPS)
ISBN: 0-8169-0811-7.
 Safety and environmental standards for fuel storage
sites- Process Safety Leadership Group (-PSLG) Final
Report. ISBN: 978-0-7176-6386-6.

TOC
Analyse des Couches de Protection

Références:
IEC 61511, 2016, Sécurité Fonctionnelle: Systèmes Instrumentés de Sécurité pour
le secteur des industries des procédés.
Analyse des Couches de Protection: Centre d‘Evaluation Simplifiée des Risques liés
aux Process pour la sécurité des process chimiques (CCPS) ISBN: 0-8169-0811-7.
Normes de sécurité et d'environnement pour les sites de stockage de carburant -
Rapport Final du Groupe de Direction sur la Sécurité des Process (-PSLG). ISBN:
978-0-7176-6386-6.

TOC
What is LOPA?

 Layer of protection analysis (LOPA) is a powerful analytical

tool for assessing the adequacy of protection layers used to
mitigate process risk.
 LOPA methodology covers analyses ranging from being little
different in terms of complexity to a risk graph, to little short
of a detailed quantified risk assessment
 LOPA builds upon well-known process hazard analysis
techniques such as HAZOP, HAZAN, HAZID etc.

TOC
Qu'est-ce que la LOPA?

 L‘Analyse des Couches de Protection (LOPA) est un outil analytique

puissant pour évaluer l'adéquation des couches de protection utilisées
pour atténuer le risque lié au process.
 La méthodologie LOPA couvre des analyses allant d'être peu différentes
en termes de complexité à un graphique de risque, à un peu moins
d'une évaluation détaillée des risques quantifiés
 La LOPA s'appuie sur des techniques bien connues d'analyse des
dangers liés aux process , tels que HAZOP, HAZAN, HAZID, etc.

TOC
What is LOPA?

 It is a quantitative analysis of hazards that evaluates the

frequency of the cause/s and the probability of failure of the
protection layers.
 LOPA is often used to identify the shortfall in meeting a
predetermined dangerous failure target frequency or
tolerable risk.

TOC
Qu'est-ce que la LOPA?

 C'est une analyse quantitative des risques qui évalue la fréquence de

la / des cause (s) et la probabilité de défaillance des couches de
protection.
 La LOPA est souvent utilisée pour identifier le manque de réponse à
une fréquence cible de défaillance dangereuse prédéterminée ou un
à un risque tolérable.

TOC
What is risk?
Risk = Harm x Frequency
Individual risk Risks per year of the most exposed individual (Normally a
maximum value that can be tolerated for all hazards).
Scenario-based Estimated frequency with which the hazardous scenario will lead to
risk a calculated consequence (a certain number of fatalities within the
total exposed population).
Societal risk The total risk per year of all exposed individuals (Risks normally
reduced until the risk reduction is disproportionate to the cost of
risk reduction). There is currently no nationally agreed risk
tolerance criterion to determine when the level of Societal Risk is
'broadly acceptable'.
Scenario-based The environmental consequence is assessed against a range of
environmental outcomes.
risk
Scenario-based The asset consequence is assessed against a range of outcomes.
asset risk

TOC
Qu'est-ce que la LOPA?
Risque = Dommage x Fréquence
Risque Individuel Risques par année courus par la personne la plus exposée
(Normalement, c’est une valeur maximale qui peut être tolérée pour
tous les dangers).
Risque basé sur Fréquence estimée à laquelle un scénario dangereux entrainera des
un/des Scénario conséquences calculées (un certain nombre de décès parmi l’ensemble
de la population exposée).
Risque sociétal Le risque total par année courus par toutes les personnes exposées
(Risques noralement réduits jusqu’à ce que la réduction des risques soit
disproportionnée par rapport au coût de la réduction des risques). Il n’y
a actuellement pas de critère de tolérance de risque convenu au niveau
national pour déterminer quand le niveau de Risque Sociétal est
“largement acceptable”.
Risque Les conséquences environnementales sont évaluées par rapport à
environnemental d’autres résultats.
basé sur un/des
scénario
Risque actifs bsé Les conséquences en termes de perte d’actifs sont évaluées par rapport
sur un/des à d’autres résultats.
scénario
TOC
 Protective Layers
Couches de Protection avec < 100 % fiabilité

Modified

H
consequence
event likelihood
Potential
hazard with
certain causes
and likelihoods

Is this now a
tolerable
Chaque couche réduit la probabilté ou frequency?
la fréquence d’un évènement

TOC
Couches de protection
Couches de protection avec < 100 % fiabilité

Probabilité

H
modifiée des
conséquences de
Danger l’évènement
potentiel avec
certaines
causes
et probabilités
Est-ce
maintenant une
Chaque couche réduit la probabilité fréquence
ou la fréquence de l’évènement tolérable?

TOC
Bow-tie diagram
Layers of Protection Layers of Mitigation
(Layers of Defense) (After the event)
Initiating
Event 1 No
Consequence
Initiating
Event 2 Consequence A
Hazardous
Consequence B
Event
Initiating Consequence C
Event 3 Consequence D
Consequence E
Initiating
Event n

TOC
 Diagramme en Nœud Papillon

Couches de Protection Couches d’Atténuation

(Couches de Défense) (Après l’évènement)
Evènement
déclencheur 1 Pas de
Conséquence
Evènement
déclencheur 2 Conséquence A
Evènement
Conséquence B
dangereux
Evènement Conséquence C
déclencheur 3 Conséquence D
Conséquence E
Evènement
déclencheur n

TOC
Independent Protection Layer (IPL)

 The protective layers are known as:

 Independent Protection Layers (IPLs).
 IPLs are safeguards.
 IPLs can be active or passive systems of different
technologies or procedural activities.

TOC
Couche de Protection Indépendante (CPI)

Les couches protectrices sont connues comme:

Couches de protection indépendantes (CPIs).
Les CPIs sont des garde-fous.
Les CPIs peuvent être des systèmes actifs ou passifs de
différentes technologies ou activités procédurales.

TOC
IPLs

IPLs must meet the following criteria:

 Specific: An IPL must be capable of detecting and

preventing or mitigating the consequences of a specific
hazardous event, such as a runaway reaction, an
overpressure, or an explosion etc.

 Independent: An IPL must be independent of all the other

protection layers associated with the identified potentially
hazardous event. The performance must not be affected by
the failure of another protection layer, or by the conditions
that caused another protection layer to fail. Most
importantly, the protection layer is independent of the
initiating cause.

TOC
CPIs
Les CPIs doivent répondre aux critères suivants:

Spécifique: Une CPI doit être capable de détecter et d'empêcher ou d'atténuer

les conséquences d'un événement dangereux spécifique, tel qu'une réaction
d'emballement, une surpression ou une explosion, etc.

Indépendant: Une CPI doit être indépendante de toutes les autres couches de
protection associées à l'événement potentiellement dangereux identifié. Ses
performances ne doivent pas être affectées par la défaillance d'une autre couche
de protection ou par les conditions qui ont fait qu’une autre couche de protection
est défaillante. Plus important encore, la couche de protection est indépendante
de l’évènement déclencheur.

TOC
IPLs (Continued)

 Dependable: An IPL must be dependable in doing what it

was designed to do in terms of reducing the identified risk by
a known specified amount.

 Auditable: An IPL must be auditable with regular periodic

validation of the protective function, i.e., it must be designed
to facilitate periodic testing and maintenance.

TOC
CPIs (suite)

 Fiable: Une CPI doit être fiable pour faire ce pourquoi elle a été conçue,
en termes de réduction spécifiée et connue du risque identifié.

 Vérifiable: Une CPI doit être vérifiable avec une validation périodique
régulière de la fonction de protection, c'est-à-dire qu‘elle doit être
conçue pour faciliter les tests et la maintenance périodiques.

TOC
Protective layers
IPL1 = 0.1 IPL2 = 0.1 IPL3= 0.1

PFD of IPL's

Modified

H
Potential
consequence
event likelihood

hazard
that has a
cause Modified
frequency or event
likelihood of likelihood of
1/year 1/1000 years
Each layer reduces the likelihood
of the event due to its PFD
TOC
Couches de Protection

IPL1 = 0.1 IPL2 = 0.1 IPL3= 0.1

PFD des CPIs

Probabilité

H
Danger
modifiée des
conséquences
d’un évènement
potentiel
qui a une
fréquence ou Probabilité
une probabilité modifiée d’un
de cause de évènement
1/an de
Chaque couche réduit la probabilité 1/1000 ans
d’un évènement en raison de son PFD
TOC
Tolerable Risk

 LOPA is a rational, defensible methodology that allows a rapid,

cost effective means for identifying the IPLs that reduce the
frequency and/or the consequence of specific hazardous
incidents.

 LOPA provides specific criteria and restrictions for the

evaluation of IPLs, eliminating the subjectivity of qualitative
methods at substantially less cost than fully quantitative
techniques.

 LOPA is not just another hazard assessment or risk assessment

tool;

 It is an engineering tool used to ensure that process risk is

successfully mitigated to a 'tolerable' level.

TOC
Risque Tolérable

 La LOPA est une méthodologie rationnelle et défendable qui permet de

trouver rapidement et à moindre coût les CPI qui réduisent la fréquence et
/ ou la conséquence d'incidents dangereux spécifiques.

 La LOPA comporte des critères et des restrictions spécifiques pour

l'évaluation des CPIs, éliminant la subjectivité des méthodes qualitatives à
un coût substantiellement moindre que les techniques entièrement
quantitatives.

 La LOPA n'est pas seulement un autre outil d'évaluation ou d'évaluation

des risques;

 C'est un outil d'ingénierie utilisé pour s'assurer que le risque process est
atténué avec succès à un niveau «tolérable».

TOC
As Low As Reasonably Practicable

Tolerable UK HSE
R2P2
risk? Document
Intolerable region
2001
Employees 1.0E-03
Society 1.0E-04
The ALARP or
tolerability region Or should I
( Reduce risk until cost of further risk
do more?
Risk reduction is 'grossly disproportionate')

l.0E-6 Employees & Society

Broadly acceptable
There is currently no nationally
region
agreed risk tolerance criterion to
(No need for detailed working to
determine when the level of
demonstrate ALARP)
Societal Risk is 'broadly acceptable

Negligible risk UK HSE: 1 in 10 million per person/yr

TOC
Aussi Bas que Raisonnablement Praticable
As Low As Reasonably Practicable (ALARP) 
Risque UK HSE
R2P2
Tolérable? Document
Zone Intolérable
2001
Employés 1.0E-03
Société 1.0E-04
L’ALARPT ou Zone
de Tolérabilité Ou bien, dois-
( Réduit le risque jusqu’à ce que le coût de
je faire plus?
Risque la réduction supplémentaire du risque
soit ‘trop disproportionné')

l.0E-6 Employés et Société

Zone généralement
Il n’y a actuellement pas de critères
acceptable
de tolérance au risque convenu au
niveau national pour déterminer
(Nul besoin de travail détaillé pour quand le niveau de Risque Sociétal
démontrer l’ALARP) est ‘généralement acceptable

Risque négligeable UK HSE: 1 sur 10 millions par personne/an

TOC
Reducing the Risk: Prevention

 Examples of preventive measures:

 Design (probability of occurrence)

 Mechanical strength (probability of occurrence)

 Procedures (probability of occurrence)

 Location (probability of occurrence and consequence)

 Control (probability of occurrence)

 Alarms (probability of occurrence)

 Safety instrumented functions (probability of occurrence)

 Prevention layers can stop the occurrence of the hazard

TOC
Réduire le Risque: Prévention

 Exemples de mesures préventives:

 Conception (probabilité d'occurrence)
 Résistance mécanique (probabilité d'occurrence)
 Procédures (probabilité d'occurrence)
 Emplacement (probabilité d'occurrence et conséquence)
 Contrôle (probabilité d'occurrence)
 Alarmes (probabilité d'occurrence)
 Fonctions instrumentées de sécurité (probabilité d'occurrence)
 Les couches de prévention peuvent arrêter l'occurrence du danger

TOC
Reducing the Risk: Mitigation

 Examples of after the event mitigation:

 Fire detection (Consequence severity)
 Gas detection (flammable & toxic) (Consequence severity)
 Emergency procedures (Consequence severity)
 Bunds (Consequence severity)
 Closed drains (Consequence severity)
 Location (Consequence severity)
 Mechanical relief (Consequence severity)
 Mitigation cannot prevent the hazard but can reduce the after
event consequence severity.

TOC
Réduire le Risque: Atténuation

 Exemples d'atténuation après l'événement:

 Détection d'incendie (gravité des conséquences)
 Détection de gaz (inflammable et toxique) (gravité des conséquences)
 Procédures d'urgence (gravité des conséquence)
 Digues / Cuvettes de rétention (Gravité des conséquences)
 Drains fermés (Gravité des conséquences)
 Emplacement (Gravité des conséquences)
 Soulagement mécanique (Gravité des conséquences)
 L'atténuation ne peut pas prévenir le danger, mais peut réduire la
gravité de la conséquence après l'événement.

TOC
Reducing Risk:
Conditional modifiers
 Risk reduction factors which are external to the operation of
the facility:
 Weather conditions
 Seasonal factors
OR
 Part of the general design of the facility without being specific
to the prevention:
 Shift patterns;
 Probability of presence in the danger zone;
 Probability of a fatality (Vulnerability);
 Probability of an ignition;
 Probability of an explosion after ignition.
 Represented by the probability of occurrence
TOC
Réduire les Risques:
Modificateurs Conditionnels
 Facteurs de réduction des risques qui sont externes à l'exploitation de
l'installation:
 Conditions météorologiques
 Facteurs saisonniers
OU
 Partie de la conception générale de l'installation qui n’est pas spécifique à la
prévention:
 Modèles de travail en équipes (shifts);
 Probabilité de présence dans la zone de danger;
 Probabilité de décès (Vulnérabilité);
 Probabilité d'un allumage/ étincelle/inflammation
 Probabilité d'une explosion après l'allumage.
 Représenté par la probabilité d'occurrence
TOC
Risk Reduction Layers

Mitigating Systems and

Emergency Response Procedures

Other Protective Layers

e.g. Mechanical Relief

Safety Instrumented Systems

Alarm Layer

Process Control Layer

Process

TOC
Couches de Réduction des Risques

Systèmes d’Atténuation et
Procédures d’Intervention d’Urgence

Autres Couches de Protection

Ex: Dispositif mécanique

Systèmes Instrumentés de Sécurité

Couche Alarme

Couche Commande Process

Process

TOC
Risk Reduction by a Safety
Instrumented System (SIS)

 If additional risk reduction measures are proposed:

 LOPA identifies the additional risk reduction that is required as a
numerical value of PFDavg.
 If the additional risk reduction is to be reduced by a Safety
Instrumented System (SIS):
 The lEC61508 relationship between SIL and Probability of Failure
on Demand (PFD) is used to provide the SIS design objective.

TOC
Réduction des Risques par un Système
Instrumenté de Sécurité (SIS)

 Si des mesures supplémentaires de réduction des risques sont proposées:

 La LOPA identifie la réduction de risque supplémentaire qui est requise en tant
que valeur numérique de PFDavg ( moyenne PFD).
 Si la réduction de risque supplémentaire doit être effectuée par un
Système Instrumenté de Sécurité (SIS):
 La relation IEC61508 entre la SIL et la Probabilité de défaillance à la
demande (PFD) est utilisée pour déterminer l'objectif de conception du SIS.

TOC
Target Failure Measures for SIF in
Low Demand Mode of Operation
Safety Low Demand Mode of Operation
Integrity (Average probability of failure to
Risk Reduction Factor
Level perform its design function on
(SIL) demand)
4 ≥10-5 to < 10-4 > 10,000 to ≤100,000 times

3 ≥ 10-4 to < 10-3 > 1,000 to ≤10,000 times

2 ≥ 10-3 to <10-2 > 100 to ≤1,000 times

1 ≥ 10-2 to <10-1 > 10 to ≤100 times

Note:
The Probability of Failure on Demand (PFD) is dimensionless. It is based
on a relationship between the Failure Rate and the Test Interval.

TOC
Mesures Cibles de Défaillance pour
une SIF en Mode de Fonctionnement
à Faible Demande
Niveau
Mode de Fonctionnement à Faible
d’Intégrité
Demande (Probabilité moyenne de Facteur de Réduction des
de la
ne pas remplir la fonction telle que Risques
Sécurité
conçue, à la demande)
(SIL)
4 ≥10-5 à < 10-4 > 10,000 à ≤100,000 fois
3 ≥ 10-4 à < 10-3 > 1,000 à ≤10,000 fois
2 ≥ 10-3 à <10-2 > 100 à ≤1,000 fois
1 ≥ 10-2 à <10-1 > 10 à ≤100 fois

Remarque:
La Probabilité de Défaillance à la Demande (PFD) est sans dimension. Elle est
basée sur une relation entre le taux de défaillance et l'intervalle de test.

TOC
When is LOPA used?

 LOPA can be used at any point in the lifecycle of a project or

process, but it is most cost effective when implemented
during front-end loading when process flow diagrams are
complete and the P&IDs are under development.

 For existing processes, LOPA should be used during or after

the HAZOP review or revalidation.

 LOPA is typically applied after a qualitative hazards analysis

has been completed, since this provides the LOPA team with
a listing of the hazard scenarios, frequencies, associated
consequences and potential safeguards for consideration.

TOC
Quand la LOPA est-elle utilisée?

 La LOPA peut être utilisée à tout moment du cycle de vie d'un projet ou
d'un process, mais il est plus rentable lorsqu'il est mis en œuvre
pendant le chargement frontal lorsque les représentations
schématiques des process sont terminés et que les P & ID sont en
cours de développement.

 Pour les process existants, la LOPA doit être utilisée pendant ou après
la révision ou la revalidation de HAZOP.

 La LOPA est généralement appliquée après qu'une analyse qualitative

des risques a été effectuée, car elle fournit à l'équipe LOPA une liste
des scénarios de dangers, des fréquences, des conséquences associées
et des garde-fous potentiels à prendre en considération.

TOC
Who should participate in LOPA?

 The considerations can often be complex.

 Thus it requires a multi-discipline team familiar and
experienced with the process being analyzed:
 Team leader/facilitator;
 Process engineer;
 Senior operations representative;
 Instrument engineer;
 HS&E engineer;
 Other specialist engineers when required

TOC
Qui devrait participer à la LOPA?

 Les considérations peuvent souvent être complexes.

 Il faut donc une équipe pluridisciplinaire qui connait et a une
expérience avec le process analysé:
 Chef d'équipe / facilitateur;
 Ingénieur Process;
 Représentant principal de l’exploitation;
 Ingénieur instrumentation;
 Ingénieur HSE;
 Autres ingénieurs spécialisés, selon les besoins

TOC
LOPA Model

Scenario Cause 1 Scenario Cause N

LOPA Model
Frequency Frequency
‘Common 'layers that reduce the risk
for Safety, asset and environment
Enabling conditions Enabling conditions

Common protection/mitigation For each Common protection/mitigation

layers cause layers

Safety Severity Asset Severity Env't Severity

Safety protective layers & Asset protective layers & Env't protective layers &
conditional modifiers conditional modifiers conditional modifiers

Total safety mitigated vent Total asset mitigated vent Total env’t mitigated vent
frequency frequency frequency

Safety PFD = Asset PFD = Env’t PFD =

Safety Tolerability Asset Tolerability Env’t Tolerability
Safety Mitigated Freq Asset Mitigated Freq Env’t Mitigated Freq TOC
Modèle LOPA

Scenario Cause 1 Scenario Cause N

Modèle LOPA
Fréquence Fréquence
Les couches ‘courantes ‘qui réduise le
risque pour la sécurité, les actifs et
Conditions favorables l’environnement Conditions favorables

Couches courantes de Pour chaque Couches courantes de

protection/atténuation cause protection/atténuation

Gravité pour la Gravité pour Gravité pour

Sécurité les Actifs l’Environnement

Couches de protection et Couches de protection et

Couches de protection et
modificateurs conditionnels modificateurs conditionnels
modificateurs conditionnels Sécurité
Actifs Environnement

Fréquence totale de
Fréquence totale de l’évènement Fréquence totale de
l’évènement atténué
atténué Sécurité l’évènement atténué Actifs
Environnement

PFD Environnement =
PFD Sécurité = PFD Actifs =
Tolérabilité Environnement
Tolérabilité Sécurité Tolérabilité Actifs
Fréquence Atténuée
Fréquence Atténuée Sécurité Fréquence Atténuée Actifs TOC
Environnement
LOPA Data

 LOPA is a numerical method so:

 There have to be corporately agreed tolerable risk criteria;
 There has to be a corporately agreed set of risk reduction data
for 'typical' IPL's.
 Failure to prepare the above will result in inconsistent and
meaningless risk analysis.

TOC
Données LOPA

 La LOPA est une méthode numérique donc:

 Il doit y avoir des critères de risque tolérables convenus par
l'entreprise;
 Il doit y avoir un ensemble de données de réduction des risques
convenues par l’entreprise pour les CPI «typiques».
 Ne pas préparer ce qui précède entraînera une analyse de
risque incohérente et dénuée de sens.

TOC
Single Scenario Guidance

Likelihood of 'n'
Risk Tolerability
fatalities from a
single scenario FOR DEMONSTRATION PURPOSES ONLY

10-4/yr - 10-5/y Tolerable if ALARP Tolerable if ALARP Tolerable if ALARP

10-5/yr - 10-6/yr Broadly acceptable Tolerable if ALARP Tolerable if ALARP

10-6/yr - 10-7/yr Broadly acceptable Broadly acceptable Tolerable if ALARP

10-7/yr - 10-8/yr Broadly acceptable Broadly acceptable Broadly acceptable

Fatalities (n) 1 2-10 11-50

The table based on HSE's Guidance on ALARP decisions in control of major

accident hazards (COMAH) SPC/ Permissioning/12 (also see R2P2).
Note: a scenario-based risk assessment with a single fatality is not the same
as an Individual Risk calculation.

TOC
Guide de Scénario Unique
Probabilité de
décès 'n' à partir Tolérabilité du Risque
d’un scénario
A DES FINS DE DEMONSTRATION SEULEMENT
unique
10-4/an - 10-5/an Tolérable si ALARP Tolérable si ALARP Tolérable si ALARP
Généralement
10-5/an - 10-6/an Tolérable si ALARP Tolérable si ALARP
acceptable
Généralement Généralement
10-6/an - 10-7/an Tolérable si ALARP
acceptable acceptable
Généralement Généralement Généralement
10-7/an - 10-8/an
acceptable acceptable acceptable
Décès (n) 1 2-10 11-50

Le tableau basé sur les directives HSE des décisions ALARP en matière de maîtrise
des risques d'accidents majeurs (COMAH) SPC / Permissioning / 12 (voir également
R2P2).
Remarque: une évaluation des risques basée sur un scénario avec un seul décès
n'est pas la même chose qu'un Calcul de Risque Individuel.
TOC
Example equivalence
FOR DEMONSTRATION PURPOSES ONLY

Target mitigated Safety Environmental

Asset consequences
event frequency consequences consequences

1.0 x 10-2/yr Minor injury Minor release Up to £100,000

>£100,000-
1.0 x 10-3/yr Serious injury Local impact
£1 million

>£1 million -
1.0 x 10-4/yr Single fatality Offsite impact
£10 million

>£1 0 million –
1.0 x 105/yr 2-10 fatalities Widespread damage
£100 million

Lasting widespread
1.0 x 10-6/yr >1 0 fatalities >£1 00 million
damage

TOC
Exemple d'équivalence
À DES FINS DE DÉMONSTRATION SEULEMENT

Fréquence cible
Conséquences Conséquences sur Conséquences sur
d’évènement
sur la Sécurité l’Environnement les Actifs
atténué
1.0 x 10-2/an Blessure légère Rejet mineur Jusqu’à £100,000

>£100,000-
1.0 x 10-3/an Blessure grave Impact local
£1 million

Impact à l’extérieur >£1 million -

1.0 x 10-4/an Un seul décès
du site £10 millions

Dommages très >£10 millions –

1.0 x 105/an 2-10 Décès
étendus £100 millions

Dommages durables
1.0 x 10-6/an >10 Décès >£100 millions
très étendus

TOC
LOPA Example

HAZOP has determined that there is a risk to of overfilling a tank

containing acid from two causes:

 Pump failure: 2.0 per year

 Level control failure: 0.1 per year

An operator could be in the area 50% of a shift.

Determine the risk to personnel and the requirements for any

additional risk reduction measures if the Safety Tolerable risk is to
be 1.0E-04 for this hazard scenario.

TOC
Exemple de LOPA

HAZOP a déterminé qu'il existe un risque de débordement d'un

réservoir contenant de l'acide pour deux raisons:

 Panne de la pompe: 2,0 par an

 Défaillance du contrôle de niveau: 0,1 par an

Un opérateur pourrait être dans la zone pendant 50% d'un quart

de travail (shift).

Déterminer le risque pour le personnel et les exigences relatives

aux mesures supplémentaires de réduction des risques si le
Risque Tolérable de Sécurité doit être de 1.0E-04 pour ce scénario
de danger.

TOC
LOPA Example

TOC
LOPA Example

TOC
LOPA Example - Event 1

1 Impact Event Overfill of tank

Initiating 2 Initiating Causes Pump failure
causes are 3 Event Frequency 2.0
events/year. 4 Enabling Conditions -
Process control 0.1
tection Mitigation & Conditional Modifier Layers

5 Independent alarm 0.5

6 Protective clothing 0.1

7 Restricted access 0.5

TOC
Exemple LOPA - Evénement 1
Trop-plein du
1 Evènement Impact
réservoir
Les causes de 2 Causes de déclenchement Défaillance Pompe
déclenchement 3 Fréquence de l’évènement 2.0
sont les
évènements/an 4 Conditions favorables -
Contrôle Process 0.1
’Atténuation et Modificateurs Conditionnels

5 Alarme indépendante 0.5

6 Vêtements de Protection 0.1

7 Accès restreint 0.5

TOC
LOPA Example: Event 1

Row 1: The impact event identified from HAZOP

Row 2: Initiating causes (each has its own column)
Row 3: Event Frequency of the cause per year
Row 4: Enabling Conditions;
 Factors which must be present for the initiating event to lead to
a consequence such as:
 Could only occur when a unit is starting up;
 Could only occur when a unit is shutting down;
 Could only occur during a certain season (freezing) such as winter
(freezing) or summer (overheating);
 Batch processing (hazard could only be present during a batch run).
 Represented by probability of presence

TOC
Exemple LOPA - Evénement 1

Rangée 1: Evénement d'impact identifié par HAZOP

Rangée 2: Causes du déclenchement (chacune a sa propre colonne)
Rangée 3: Fréquence des événements de la cause par année
Rangée 4: Conditions favorables
 Facteurs qui doivent être présents pour que l'événement déclencheur mène
à une conséquence telle que:
 Cela ne peut se produire que lorsqu'une unité démarre;
 Cela ne peut se produire que lorsqu'une unité est en train de s‘arrêter;
 Cela ne peut se produire que pendant une certaine saison comme l'hiver (gel)
ou l'été (surchauffe);
 Traitement par lots (le danger ne peut être présent que pendant un traitement
par lots).
 Représenté par la probabilité de présence
TOC
LOPA Example: Event 1
Row 5: Independent Protection Layers (IPL):
 Layers which can prevent the event such as
 General process design (e.g. explosion proof electrical);
 An existing SIS
 Basic Process Control System;
 Alarms (must be independent of the control loop).
 An IPL has to be:
 specific for the prevention or mitigation of the consequences;
 independent of other protection layers;
 dependable in doing what it was designed to do;
 auditable with regular validation, maintenance and testing.
 Represented by the PFDavg

TOC
Exemple LOPA: événement 1
Rangée 5: couches de protection indépendantes (CPI):
 Couches qui peuvent empêcher l'événement tels que:
 Conception générale du process (ex: dispositifs électriques à l'épreuve des
explosions);
 Un SIS existant;
 Un Système Basique de Contrôle du process;
 Alarmes (doivent être indépendantes de la boucle de contrôle).
 Une CPI doit être:
 spécifique pour la prévention ou l'atténuation des conséquences;
 indépendante des autres couches de protection;
 fiable en faisant ce pourquoi elle a été conçue;
 vérifiable avec une validation, une maintenance et des tests réguliers.
 Représenté par le PFDavg (moyenne du PFD)
TOC
LOPA Example: Event 1

Row 6: Additional mitigation layers

 Additional mitigation (normally mechanical, structural or
procedural) such as:
 pressure relief devices;
 dikes, bunds;
 operating procedures
OR
 Additional mitigation that reduces the severity but will not prevent it,
such as:
 special protective clothing;
 deluge by fire and gas systems;
 gas and fume alarms;
 evacuation procedures.

 Represented by PFDavg
TOC
Exemple LOPA: événement 1

Rangée 6: Couches d'atténuation supplémentaires

 Mesures d'atténuation supplémentaires (normalement mécaniques, structurelles ou procédurales) tels
que:
 dispositifs de décompression;
 digues, diguettes;
 procédures d'exploitation
OU
 Mesures d'atténuation supplémentaires qui réduisent la gravité mais n'empêcheront pas l’évènement
de se produire, tels que:
 vêtements de protection spéciaux;
 déluge par les systèmes anti-incendie et gaz;
 alarmes pour le gaz et la fumée;
 procédures d'évacuation.
 Représenté par PFDavg (moyenne PFD)

TOC
LOPA Example: Event 1

Row 7: Conditional Modifiers

 Risk reduction factors which are external to the operation of the
facility:
 Weather conditions;
 Seasonal factors.
OR
 Part of the general design of the facility without being specific to
the prevention:
 Shift patterns;
 Probability of presence in the danger zone (Occupancy);
 Probability of a fatality (Vulnerability);
 Probability of an ignition;
 Probability of an explosion after ignition.
 Represented by the probability of occurrence

TOC
Exemple LOPA: événement 1

Rangée 7: Modificateurs conditionnels

 Facteurs de réduction des risques qui sont externes à l'exploitation de l'installation:
 Conditions météorologiques;
 Facteurs saisonniers
OU
 Partie de la conception générale de l'installation qui n’est pas spécifique à la prévention:
 Modèles de travail en équipes (shifts);
 Probabilité de présence dans la zone de danger;
 Probabilité de décès (Vulnérabilité);
 Probabilité d'un allumage/ étincelle/inflammation
 Probabilité d'une explosion après l'allumage.
 Représenté par la probabilité d'occurrence

TOC
LOPA Example: Event 1

Row 8: Intermediate Event Likelihood

Calculated by multiplying the Event Frequency (Row 3) by the

probability of any Enabling Condition (Row 4), and PFD's of
protection and mitigation layers (Rows 5,6,& 7), 5.0E-03/year for
this example.

TOC
Exemple LOPA: événement 1

Rangée 8: Probabilité Intermédiaire d'un Evénement

Calculée en multipliant la fréquence de l'événement (rangée 3) par la

probabilité de toute condition favorable (rangée 4), et les PFD des couches de
protection et d'atténuation (rangées 5,6 et 7), 5.0E-03 / année pour cet
exemple.

TOC
LOPA Example: Event 2

 Event 2 is also worked through and tabulated.

 Any additional events would also be tabulated in the same

way.

TOC
Exemple LOPA: événement 2

 L'événement 2 est également travaillé et tabulé.

 Tous les événements supplémentaires seraient également

tabulés de la même manière.

TOC
Exemple LOPA - Evènement 2
Trop-plein du Trop-plein du
1 Evènement Impact
réservoir réservoir
Défaillance Commande de
Les causes de 2 Causes de déclenchement niveau est défaillant
déclenchement Pompe 0,1
sont les 3 Fréquence de l’évènement 2.0
évènements/an -
4 Conditions favorables -
Contrôle Process 0.1
Atténuation et Modificateurs Conditionnels

5 Alarme indépendante 0.5

6 Vêtements de Protection 0.1

-
0,5

0,1
7 Accès restreint 0.5 TOC
0,5
Exemple LOPA - Événement 2

1 Impact Event Overfill of tank Overfill of tank

2 Initiating Causes Pump failure Level control fails
Initiating causes
3 Event Likelihood 2.0 0.1
are events/year.
4 Enabling Conditions - -
tion Mitigation & Conditional Modifier Layers

Process control 0.1 -

5
Independent alarm 0.5 0.5
6 Protective clothing 0.1 0.1

7 Restricted access 0.5 0.5

TOC
LOPA Example: Calculation

Row 9: Total Intermediate Event Likelihood:

 Sum of all Intermediate Event Frequencies
 i.e. sum of all Row 8 values (7.5E-03/year in this example)

Row 10: Tolerable Event Frequency for the consequence severity:

 This is based on the casualty severity for the event
 e.g. 1. OE-04/year for this example

Row 11: Required PFDavg of SIS (i.e. PFDavg of additional risk

reduction layer which will be the SIS)
 Value in Row 10 / Value in Row 9
 Tolerable Event Frequency I Sum of Intermediate Event
 Frequencies (PFDavg = 1.33E-02 in this example)

TOC
Exemple LOPA: Calcul
Rangée 9: Probabilité IntermédiaireT otale d'un Evénement :
 Somme de toutes les Fréquences Intermédiaires d’Evénements
 c'est-à-dire la somme de toutes les valeurs de la rangée 8 (7.5E-03 / année dans cet
exemple)
Rangée 10: Fréquence Tolérable d'événements pour la gravité des conséquences:
Ceci est basé sur la gravité de l’état des victimes pour l'événement
 par exemple. 1. OE-04 / année pour cet exemple
 Rangée

Rangée 11: Le PFDavg requis de SIS (c'est-à-dire, le PFDavg de la couche de réduction

de risque supplémentaire qui sera le SIS)
 Valeur dans la Rangée 10 / Valeur dans la Rangée 9
 Fréquence Tolérable d‘Evénement I Somme Des Evénement Intermédiaires
 Fréquences (PFDavg = 1.33E-02 dans cet exemple) TOC
Other considerations

 Ignition probability (hydrocarbon releases):

 Probability of an immediate ignition;
 Probability of a delayed ignition;
 Probability of auto ignition (high temperature releases).
 Vulnerability to the event e.g.:
 Size of a release, volatility/toxicity etc.
 It may be possible to take additional risk reduction into account
but better if credit is included in the consequence.
 The LOPA analysis is then repeated with respect to:
 Asset
 Environment
 Taking credit for specific risk reduction/mitigation
TOC
Autres considérations
 Probabilité d'inflammation (rejets d'hydrocarbures):
 Probabilité d‘une inflammation immédiate
 Probabilité d'un retard d‘inflammation
 Probabilité d'auto-inflammation (rejets à haute température).
 Vulnérabilité vis-à-vis de l'événement, ex:
 Dimension d'un rejet, volatilité / toxicité, etc.
 Il peut être possible de prendre en compte une réduction supplémentaire de
risque mais le mieux est d’inclure l’avantage dans la conséquence.
 L'analyse LOPA est ensuite répétée en ce qui concerne :
 Les Actifs
 L’Environnement
 Profiter des avantages pour la réduction / l'atténuation des risques spécifiques

TOC
LOPA Exercise
HAZOP has highlighted that a high pressure
and loss of containment from a flange leak
could result from a pressure inlet surge or
failure of the pressure control. If the tolerable FOR ILLUSTRATIVE PURPOSES ONLY
risk is 1.0E-05 determine the SIL required for Protective Layers PFD Frequency
the pressure protective SIF.
Pressure surge 2.0/year
Pressure Control 0.1 0.1 /year
Area Occupancy 0.1

ATEX compliant 0.1

electrical equipment
Relief valve 0.1
Area gas detection 0.5

Long flow line with

tendency to surge
@ 15 Barg
TOC
Exercice LOPA
L’étude HAZOP a démontré qu’une pression
élevée et une perte de confinement causée
par une fuite au niveau d’une bride pourrait
résulter d’une sur pression à l’entrée ou d’une A des fins d’illustration seulement
défaillance de la commande pression. Si le Couches de Protection PFD Fréquence
risque tolérable est de 1.0E-05, déterminer le
niveau de SIL nécessaire pour la SIF de Surpression 2.0/an
protection contre la pression. Commande Pression 0.1 0.1 /an
Présence dans la zone 0.1
Equipement électriques 0.1
conformes ATEX
Soupape de dégagement 0.1
Détection de gaz dans la 0.5
zone

Longue ligne de
flux avec tendance
à monter @ 15 Barg
TOC
LOPA Worksheet:

Initiating Initiating
Impact Event
Cause 1 Cause 2
Overpressure and loss
of containment from
Event Frequency
First Stage Separator
Protection & Mitigation Layers

Intermediate Event
Frequency
Total Mitigated Event
Frequency TOC
Tolerable Event
Fiche de travail LOPA:

Cause de Cause de
Evènement
Déclenchement Déclenchement
d’Impact
1 2
Surpression et perte
de confinement au
niveau du Séparateur Fréquence de l’évènement
du Premier étage
uches de Protection & d’Atténuations

TOC
 Risk Assessment
Quantitative Analysis
(FTA)
Fault Tree Analysis

TOC
Analyse quantitative de
l’Evaluation des Risques
Analyse de l'arbre de
défaillance (FTA)

TOC
Quantitative Analysis

 A quantitative approach is of value when:

 The tolerable risk for a specific consequence is specified (e.g.
No release to atmosphere greater than 1 in 1000 years);
 Numerical targets have been specified for the Safety Integrity
Level (SIL) in terms of the probability of failure on demand
(i.e. lEC 61508 specification);
 There is confidence in the reliability and frequency data!!!
 One such method is Fault Tree Analysis (FTA)

TOC
Analyse quantitative

 Une approche quantitative est utile lorsque:

 Le risque tolérable pour une conséquence spécifique est spécifié (ex:
aucun rejet dans l'atmosphère supérieur à 1 sur 1 000 ans);
 Des cibles numériques ont été spécifiées pour le Niveau de d‘Intégrité
de la Sécurité (SIL), en termes de probabilité de défaillance à la
demande (c.-à-d. Spécification CEI 61508);
 Il y a de la confiance dans les données de fiabilité et de fréquence !!!
 Une telle méthode est Fault Tree Analysis (FTA), l’Analyse de l’Arbre des
Défaillances.

TOC
What is Fault Tree Analysis?

 Fault Tree Analysis (FTA) attempts to model and analyze

failure processes of engineering and biological systems.
 FTA is basically composed of logic diagrams that display the
state of the system and is constructed using graphical design
techniques.

TOC
Qu'est-ce que l’Analyse de
l’Arbre des Défaillances?

 L’Analyse de l’Arbre des Défaillances -Fault Tree Analysis- (FTA)

tente de modéliser et d'analyser les processus de défaillance des
systèmes d'ingénierie et biologiques.
 La FTA est essentiellement composée de diagrammes logiques
qui affichent l'état du système et est construit en utilisant des
techniques de conception graphique.

TOC
The AND-Gate

Q • All of the input events attached to the AND-

Gate must exist for the event above the gate to
occur.

• Providing the events A and B are

independent, then in terms of probability (P):

P(Q) = P(A)P(B)

• If the events are not independent than the

probability P(Q) may be much greater:

This would require much more study and

A B we will not cover such events.

Basic events
TOC
La Porte “ET”

Q • Tous les événements d'entrée attachés à la porte

ET doivent exister pour que l'événement au-dessus
de la porte se produise.

• En supposant que les événements A et B sont

indépendants, alors en termes de probabilité (P):

P (Q) = P (A) P (B)

• Si les événements ne sont pas indépendants,

alors la probabilité P (Q) peut être beaucoup plus
grande:

A B Cela nécessiterait beaucoup plus d'études et

nous ne couvrirons pas de tels événements.
Basic events
TOC
The OR-Gate

Q
 Any one or more input events attached to the
OR- Gate must occur for the event above the
gate to occur.

 Providing the events A and B are independent,

then in terms of probability (P):

P(Q) = P(A) + P(B)- P(A)P(B)

 If the events are independent, low probability

events (say <1.0E-01) then P(A)P(B) is small
compared to P(A) + P(B) so a good
A B approximation of P(Q) becomes:

Basic events P(Q) = P(A) + P(B)

TOC
La Porte “OU”

Q  Un ou plusieurs événements d'entrée attachés à la

porte OU doivent se produire pour que
l'événement au-dessus de la porte se produise.

 En supposant que les événements A et B sont

indépendants, alors en termes de probabilité (P):

P (Q) = P (A) + P (B) - P (A) P (B)

 Si les événements sont indépendants, les

événements à faible probabilité (disons <1.0E-01),
alors P (A) P (B) est petit comparé à P (A) + P (B)
A B donc une bonne approximation de P (Q) serait:

P (Q) = P (A) + P (B)

Evènements basiques

TOC
Fault Tree Analysis (FTA)

P = 0.1 P=0.01 P = 0.1 P = 0.02

P= 0.1 P= 0.1

P = 0.1 0.01/yr F=0.1/yr 0.2/yr

F = 0.1/yr F=0.1/yr

0.2/yr
F = 1/yr P1+ P2
P = 0.2 F1+ F2

P1 X P2
P1 X F1 F = Frequency
F1 X P2 P = Probability
Etc. TOC
Analyse de l’Arbre des Défaillances
(FTA)
P = 0.1 P=0.01 P = 0.1 P = 0.02
P= 0.1 P= 0.1

P = 0.1 0.01/an F=0.1/an 0.2/an

F = 0.1/an F=0.1/an

0.2/an
F = 1/an P1+ P2
P = 0.2 F1+ F2

P1 X P2
P1 X F1 F = Fréquence
F1 X P2 P = Probabilité
Etc. TOC
Fault Tree Analysis (FTA)

F = Frequency
P = Probability

AND gate
P1 X P2
P1 X F1
((P1 + P2 ) x F1)
F1 X P2
Electrical P1 + P2 per year
fault (P 1 )
Etc.
Ignition
source
Explosion
Welding
spark (P2 )
F1 per year
Flammable
gas

OR gate
P1 + P2
F1 + F 2
TOC
Analyse de l’Arbre des Défaillances
(FTA)
F = Fréquence
P = Probabilité

Porte “ET”
P1 X P2
P1 X F1 Défaut
((P1 + P2 ) x F1)
F1 X P2 électrique P1 + P2 Par année
Etc. (P 1 )
Source
d’inflammation
Etincelle Explosion
soudure (P2
)
F1 par année
Gaz
inflammable

Porte “OU”
P1 + P2
F1 + F 2
TOC
Fault Tree Analysis (FTA)

((P1 + P2 ) x F1)=0.06 per year

Electrical P1 + P2 = 0.6
fault (P 1 =0.1 )
Ignition
source
Welding Explosion
spark (P2 =0.5 )

Flammable
gas

F1 = 0.1 per year

TOC
Analyse de l’Arbre des Défaillances
(FTA)

((P1 + P2 ) x F1)=0.06 par année

Défaut électrique P1 + P2 = 0.6
(P 1 =0.1 )
Source
d’inflammation
Etincelle soudure Explosion
(P2 =0.5 )

Gaz inflammable

F1 = 0.1 par année

TOC
Exercise: FTA Worksheet
FTA Exercise

The level of liquid in a tank is controlled and

monitored as shown in the diagram. The
failure frequencies and probability of failure
for all the elements are given in the table
below. Use a fault tree analysis to determine
how often the tank is going to overflow.

Events Layers PFD Frequency

Freq/yr PFD Event
XZV 200 closure 1.0/year
Level Control 0.1 0.1 /year
HLA01 Alarm 0.25

Operator reliability 0.25

TOC
Exercice: Fiche FTA
Exercice
FTA

Le niveau de liquide dans un réservoir est

contrôlé et surveillé comme indiqué dans le
diagramme. Les fréquences de défaillance et
la probabilité de défaillance pour tous les
éléments sont indiquées dans le tableau ci-
dessous. Utilisez une analyse d'arbre de
défaillance pour déterminer la fréquence de
débordement du réservoir.

Couches Evènements PFD Fréquence

Freq/an PFD Evènement
Fermeture XZV 200 1.0/an
Contrôle de Niveau 0.1 0.1 /an
Alarme HLA01 0.25

Fiabilité de l’Opérateur 0.25

TOC
Benefits of SIL
Classification

TOC
 Avantages de la
Classification SIL

TOC
Benefits - Brown Field

1st Generation North Sea Platform

Testing these represents:

100
• Product deferment
90
• Maintenance costs
80
70
%60
50 What does this
40 represent?
30
20
10
0
SIL 0 SIL 1 SIL 2 SIL 3

TOC
Avantages - Brown Field- Usine existante

Plateforme Mer du Nord 1ere Génération

Tester cela représente:

100
• Report de produit
90
• Coûts de Maintenance
80
70
%60
50 Que représente ceci?
40
30
20
10
0
SIL 0 SIL 1 SIL 2 SIL 3

TOC
Benefits - Brown Field

160 Large Natural Gas Processing Plant

140
Testing these represents:
120
• Product deferment
Number 100 • Maintenance costs
Of
function 80
60 What does this
represent?
40
20
0
No SIL SIL 1 SIL 2 SIL 3 SIL4
required
Total functions 247 SIL 1 47
Classification status SIL 2 32
CIassification data inc em pete 0
No SIL required 134 SIL 3 12
SIL 4 22 TOC
Avantages - Brown Field- Usine existante

160 Complexe Traitement Gaz Naturel

140
Tester cela représente:
120
• Report Produit
Number 100 • Coûts de Maintenance
Of
function 80
60 Que représente ceci?
40
20
0
No SIL SIL 1 SIL 2 SIL 3 SIL4
required
Fonctions Totales 247 SIL 1 47
Etat de la Classification SIL 2 32
Données CIassification incompletes 0
Pas de SIL requis 134 SIL 3 12
SIL 4 22 TOC
Benefits - Brown Field
300 300
Large Romanian refinery
250 250

200
200 Number
Of
function 150

150 What does this

100 represent?
100 50

50 0
No Requirements 0 1 2 3 4

0 Classification Status Overall Personnel Environment Asset loss

No a 1 Classification data incomplete

No requirements
2 0
36 3 4
96 10 254 99
No special requirements a
IL 1 242 24 6 236
IL 2 122 14 2 119
IL 3 19 2 0 17
IL 4 18 0 0 18
A single EIEJPES is rot sufficient b 0 0 0 0
Total functions 533
TOC
Avantages - Brown Field-Usine existante
300 300
Grande raffinerie roumaine
250 250

200
200
Nombre
de
fonctions 150

150 Que représente ceci?

100

100 50

50 0
Pas d’exigences 0 1 2 3 4

0 Etat Classification Géneral Personnel Environnement Pertes Actifs

No a 1 2
Données Classification incomplètes
Pas d’exigences
0
36 3 4
96 10 254 99
Pas d’exigences spéciales
IL 1 242 24 6 236
IL 2 122 14 2 119
IL 3 19 2 0 17
IL 4 18 0 0 18
A single EIEJPES is rot sufficient b 0 0 0 0
Total functions 533
TOC
Benefits - Brown Field

3rd Generation Platform – W. Africa

160
140
120
Number
Of 100
function
80 What does this
represent?
60
40
20
0
No SIL SIL 1 SIL 2 SIL 3 NR
requ...
Classification status
Total functions 314 SIL 1 152
CIassification data incomplete 0 SIL 2 30
No SIL required 100 SIL 3 31
SIL 4 1 TOC
Avantages -Brown Field-Usine existante

Plateforme 3eme Génération – Afrique de l’Ouest

160
140
120
Nombre
de 100
fonctions
80 Que représente ceci?
60
40
20
0
No SIL SIL 1 SIL 2 SIL 3 NR
requ...
Etat Classification
Fonctions totales 314 SIL 1 152
Données Ciassification incomplètes 0 SIL 2 30
Pas de SIL requis 100 SIL 3 31
SIL 4 1 TOC
Benefits

 Brown Field Facilities

 Audit of existing design
 More focus on the critical functions
 Less concentration on the secondary functions
 The number of functions could be reduced
 Test and maintenance intervals can be Extended
 Substantial production deferment savings
 Considerable maintenance cost savings
 Negligible costs, offset many times by savings

TOC
Avantages

 Installations usine existante

 Vérification de la conception existante
 Plus de focus sur les fonctions critiques
 Moins de concentration sur les fonctions secondaires
 Le nombre de fonctions pourrait être réduit
 Les intervalles de test et de maintenance peuvent être étendus
 Économie substantielle en report de production
 Economies considérables sur les coûts de maintenance
 Coûts négligeables, compensés plusieurs fois par les économies

TOC
Benefits

 Green Field Facilities

 Full lifecycle ownership
 Conception & design - test & maintenance
 Reduction in the number of secondary trips
 Savings on fitted hardware (e.g. Valves)
 Simplified and smaller logic systems
 Appropriate design/maintenance from outset
 Significant savings in operating costs
 Lifetime maintenance and deferment savings
 Negligible cost impact on projects

TOC
Avantages

 Installations usine non encore construite

 Appropriation du cycle de vie dans son intégralité
 Conception et design - test & maintenance
 Réduction du nombre de trips secondaires
 Économies sur les équipements installés (ex: vannes)
 Systèmes logiques simplifiés et plus petits
 Conception / maintenance appropriées dès le départ
 Economies significatives dans les coûts d'exploitation
 Économies à vie en termes de maintenance et de report de
production
 Impact négligeable des coûts sur les projets

TOC
Benefits- UK HSE Position

HSE Management Board, Feb 2000

" .. IEC61508 will be used as a reference standard for determining

whether a reasonable practical level of safety has been achieved
when E/E/PE systems are used to carry out safety functions.

The extent to which [HSE] Directorates / Divisions use IEC61508

will depend on individual circumstances; whether any sector
standards based on IEC61508 have been developed and whether
there exists specific industry standards or guidelines ....... " i.e.
IEC 61511

TOC
Avantages - Position HSE UK

Conseil de Gestion HSE, février 2000

".. La norme CEI 61508 sera utilisée comme norme de référence pour
déterminer si un niveau raisonnable de sécurité pratique a été atteint
lorsque des systèmes E / E / PE sont utilisés pour exécuter des fonctions
de sécurité.

La mesure dans laquelle les Directions / Divisions [HSE] utilisent la norme

CEI 61508 dépendra de circonstances individuelles; si des normes
sectorielles fondées sur la norme CEI 61508 ont été élaborées et s'il
existe des normes ou des lignes directrices propres à l'industrie ....... »,
c'est-à-dire la norme CEI 61511

TOC
Issues

 Assessment team composition

 Commitment and cost of SIL assessment
 Data gathering
 Timescale
 Complexity
 Look for primary functions
 Primary/secondary functions (i.e. cascade tripping)
 lntertrips
 Nuisance trips

TOC
Problèmatiques

 Composition de l'équipe d'évaluation

 Engagement et coût de l'évaluation SIL
 Collecte de données
 Calendrier
 Complexité
 Rechercher les fonctions principales
 Fonctions primaires / secondaires (c.-à-d. Déclenchement des arrêts/trips en
cascade)
 Intertrips/Interdéclenchements
 Les déclenchements/trips de nuisance

TOC
Issues

 How to deal with fire and gas

 Layers of protection/mitigation
 Interaction of protective layers
 (e.g. SIF + mechanical relief)
 Lifecycle management
 Plant changes
 Process changes
 Reliability data
 Verification
 Test Feedback

TOC
Problèmatiques

 Comment faire face au feu et au gaz

 Couches de protection / atténuation
 Interaction des couches de protection
 (ex: SIF + dispositif mécanique)
 Gestion du cycle de vie
 Modifications dans l’usine
 Modifications des process
 Données de fiabilité
 Vérification
 Test de retour d’expérience

TOC
SIS Lifecycle

 To develop the SIF safety requirements specification (SRS) and select

appropriate devices to meet the requirements.
 To implement an appropriate SIF design architecture to meet the SRS.
 To perform the PFD, safe failure fraction and hardware fault tolerance
calculations.
 To understand and evaluate the effects of testing and maintenance on
SIFs.
 To understand the impact of common cause failures.
 To be able to select and use appropriate reliability data.

TOC
Cycle de vie du SIS

 Élaborer la spécification des exigences de sécurité du SIF (SRS) et choisir les

dispositifs appropriés pour répondre aux exigences.
 Implémenter une architecture appropriée de conception SIF pour répondre au
SRS.
 Effectuer le PFD, la fraction sûre de défaillance et les calculs de tolérance aux
pannes matérielles.
 Comprendre et évaluer les effets des tests et de la maintenance sur les SIF.
 Comprendre l'impact des défaillances qui ont une cause commune.
 Pouvoir sélectionner et utiliser les données de fiabilité appropriées.

TOC
Safety Life Cycle

Identify
Funct’I Hazards Risk
safety assessment
assessment
SIS
Modify requirement
s spec

Funct’I Funct’I
safety safety
assessment assessment

Review and Appropriate

verification Cinderella design
Phases Funct’I
Monitor safety
assessment

Record Install &

commission

Operate and
Validation of
Maintain
requirements
Funct’I
safety
assessment
TOC
Cycle de Vie de la Sécurité
Identifier
les
Evaluation de Dangers Evaluation
la Sécurité des Risques
Fonct’I
Spécifications
Modifier
des exigences
du SIS

Evaluation de la
Evaluation de la
Sécurité Fonct’I
Sécurité Fonct’I

Révision et
vérification Cinderella Conception
Appropriée
Phases
Surveiller Evaluation de la
Sécurité Fonct’I

Enregistrer Installation et
et répertorier mise en service

Exploiter et Validation
Maintenir des
Evaluation de exigences
la Sécurité
Fonct’I
TOC
SIS Design and Development

TOC
Conception et Développement
du SIS

TOC
Design and Development

 Having done the SIL determination for a safety function we

need to ensure that the design meets the SIL
 Where the SIL relates to the required:
 Probability of Dangerous Failure on Demand (PFD);
 Low demand mode
 Probability of Dangerous Failure Per Hour (PFH);
 High and Continuous demand mode

TOC
Design et Développement

 Après avoir fait la détermination SIL pour une fonction de

sécurité, nous devons nous assurer que la conception répond à
la SIL
 Lorsque le SIL est lié aux nécessaires:
 Probabilité de Défaillance Dangereuse à la Demande (PFD);
 Mode faible demande
 Probabilité de Défaillance Dangereuse par Heure (PFH);
 Mode demande élevée et continue

TOC
Target failure measures for SIF in low
demand mode of operation

Low Demand Mode of Operation

Safety
(Average probability of failure to
Integrity Risk Reduction Factor
perform its design function on
Level
demand)
>10,000 to ≤ 100,000
4 ≥10-5 to < 10-4
times

>1,000 to ≤ 10,000 times

3 ≥10-4 to < 10-3

>100 to ≤ 1,000 times

2 ≥10-3 to < 10-2

>10 to ≤ 100times
1 ≥10-2 to < 10-1

N.B. The Probability of Failure on Demand (PFD) is dimensionless.

It is based on a relationship between the Failure Rate and the Test Interval.
TOC
Mesures de Défaillances Cibles pour les
SIF en mode de fonctionnement à
faible demande
Niveau Mode de Fonctionnement à Faible
d’Intégrité Demande (Probabilité moyenne de Facteur de Réduction
de la défaillance pour réaliser la fonction de Risque
Sécurité de conception à la demande)

4 ≥10-5 à < 10-4 >10,000 à ≤ 100,000 fois

>1,000 à ≤ 10,000 fois

3 ≥10-4 à < 10-3

>100 à ≤ 1,000 fois

2 ≥10-3 à < 10-2

>10 à ≤ 100 fois

1 ≥10-2 à < 10-1

N.B. La probabilité de défaillance à la demande (PFD) est sans dimension.

Elle est basée sur une relation entre le taux de défaillance et l'intervalle de
test. TOC
Target failure measures for SIF in high
demand or continuous mode of
operation

Safety
High Demand or Continuous Mode of Operation
Integrity
(Probability of dangerous failure per hour)
Level

4 ≥10-9 to < 10-8

3 ≥10-8 to < 10-7

2 ≥10-7 to < 10-6

1 ≥10-6 to < 10-5

TOC
Mesures de défaillances cibles pour les
SIF en mode de fonctionnement à forte
demande ou en continu

Niveau
Mode de Fonctionnement à Forte Demande ou en Continu
d’Intégrité de
(Probabilité de défaillance dangereuse par heure)
la Sécurité

4 ≥10-9 à < 10-8

3 ≥10-8 à < 10-7

2 ≥10-7 à < 10-6

1 ≥10-6 à < 10-5

TOC
Safety Requirements Specifications

 Before commencing any design work it is necessary to prepare

the safety requirements specifications.
 Edition 2 IEC 61508 – Now two specifications:
 E/E/PE System Safety requirements specification (IEC 61058-1)
 Requirements of End User:
e.g. When the pressure in V100 rises 50 bar then inflow shall be shut off
within 10 seconds. This shall be SIL 3 with maximum PFD of 2.0E-4
 E/E/PE System design requirements specification (IEC 61508-2)
 Hardware and software requirements for Designer:
e.g. The SIF shall comprise:
 2oo3 compliance assessed pressure transmitters;
 SIL 3 assessed programmable logic solver;
 Dual 1oo2 spring return 6 inch ball valve on inlet to V100 with maximum
leakage of Xm3/min and maximum closure time of 7 seconds (proven in use
based on……)
 Written to aid understanding and need to be:
 Clear; precise, unambiguous, verifiable, testable, maintainable, feasible.

TOC
Spécifications des Exigences de
Sécurité
 Avant de commencer tout travail de conception, il est nécessaire de préparer les spécifications
des exigences de sécurité.
 CEI 61508 Edition 2- Maintenant deux spécifications:
 Spécification des exigences de sécurité des systèmes E / E / PE (CEI 61058-1)
 Exigences de l'utilisateur final:
ex: Lorsque la pression dans la V100 augmente de 50 bars, l'arrivée doit être coupée
dans les 10 secondes. Il doit y avoir une SIL 3 avec un PFD maximum de 2.0E-4
 Spécification des exigences de conception du système E / E / PE (CEI 61508-2)
 Exigences matérielles et logicielles requises pour le Concepteur:
ex: la SIF devra inclure:
- 2 sur 3 transmetteurs de pression conformes;
- Logic server (régulateur) programmable évalué selon la SIL 3
- Robinet à boisseau sphérique double 1 sur 2 à retour par ressort de 6 pouces à
l'entrée de la V100, avec une fuite maximale de Xm3 / min et un temps de fermeture
maximum de 7 secondes (prouvé en service, basé sur ......)
 Écrites pour faciliter la compréhension et doivent être:
 Claires; précises, non ambigües, vérifiables, sujettes à des tests, sujettes à la
maintenable, réalisables.

TOC
System Safety Requirements
Specification
The SRS Shall contain:
 A description of all the safety functions necessary to achieve the
required functional safety, and for each safety function:
 provide comprehensive detailed requirements for the design and
development of the safety-related system;
 include the manner in which the safety-related systems are intended to
achieve or maintain a safe state for the EUC;
 specify whether or not continuous control is required, and for what periods,
in achieving or maintaining a safe state of the EUC;
 specify whether the safety function is applicable low demand, high demand
or continuous modes of operation;
 Response time performance (i.e. the time within which it is necessary
for the safety function to be completed);

TOC
Spécification des Exigences de Sécurité
du Système
Les SRS doivent contenir:
 Une description de toutes les fonctions de sécurité nécessaires pour atteindre la
sécurité fonctionnelle requise et, pour chaque fonction de sécurité,:
 fournir des exigences détaillées et exhaustives pour la conception et le
développement du système lié à la sécurité;
 inclure la manière dont les systèmes liés à la sécurité sont destinés à atteindre
ou à maintenir la sécurité des EUC;
 préciser si un contrôle continu est requis ou non, et àt quelles périodes, pour
atteindre ou maintenir la sécurité des EUC;
 préciser si la fonction de sécurité est applicable à la demande faible, à LA
demande forte ou aux modes de fonctionnement continus;
 La performance du temps de réponse (c'est-à-dire le temps pendant lequel il est
nécessaire que la fonction de sécurité soit achevée);

TOC
System Safety Requirements
Specifications
Continued:
 Safety-related system and operator interfaces that are necessary to
achieve the required functional safety;
 All interfaces, necessary for functional safety, between the safety-related
systems and any other systems (either within, or outside, the EUC);
 All relevant modes of operation of the EUC, including:
 preparation for use including settings and adjustment;
 measured values, engineering units, ranges, set points, rising or falling signals;
 functional relationship between process inputs and outputs including logic, math
functions and any required permissive:
 start-up, teach, automatic, manual, semi-automatic, steady state of operation,
 steady state of non-operation, re-setting, shut-down, maintenance,
 reasonably foreseeable abnormal conditions:

TOC
Spécifications des Exigences de
Sécurité du Système
Suite:
 Système de sécurité et Interfaces opérateurs qui sont nécessaires à l’atteinte de la sécurité fonctionnelle
requise;

 Toutes les interfaces, nécessaires à la sécurité fonctionnelle, entre les systèmes liés à la sécurité et tous les
autres systèmes (à l'intérieur ou à l'extérieur de l'EUC);

 Tous les modes de fonctionnement pertinents de l'EUC, y compris:

 préparation à l'utilisation, y compris les réglages et l'ajustement;

 valeurs mesurées, unités d'ingénierie, portées, points de réglage, signaux montants ou descendants;

 relation fonctionnelle entre les entrées et les sorties du process, y compris la logique, les fonctions
mathématiques et tout permissif nécessaire:

 démarrage, apprentissage, automatique, manuel, semi-automatique, régime permanent,

 état stable de non-fonctionnement, remise à l'état initial, arrêt, maintenance,

 conditions anormales raisonnablement prévisibles:

TOC
System Safety Requirements
Specification

Continued:
 All required modes of behavior of the safety-related system:
 In particular, the failure behavior and the required response in the
even of failure (for example alarms, automatic shut-down, etc.);
 Maximum allowable spurious trip rate
 The safety integrity level for each safety function and, when
required, a specified PFD or PFH value;
 The requirements, constraints, functions and facilities to enable
the proof testing of the hardware;
 The extremes of all environmental conditions that are likely to be
encountered during the lifecycle.
 The electromagnetic immunity limits that are required to achieve
functional safety.

TOC
Spécifications des Exigences de
Sécurité du Système
Suite:
 Tous les modes de comportement requis du système lié à la sécurité:

 En particulier, le comportement de la défaillance et la réponse requise en cas de défaillance (ex:

alarmes, arrêt automatique, etc.);

 Taux de déclenchements/trips intempestifs maximum autorisé

 Le niveau d'intégrité de sécurité pour chaque fonction de sécurité et, au besoin, une valeur
PFD ou PFH spécifiée;

 Les exigences, les contraintes, les fonctions et les installations pour permettre les essais
probatoires du matériel;

 Les extrêmes de toutes les conditions environnementales susceptibles d'être rencontrées

au cours du cycle de vie.

 Les limites d'immunité électromagnétique requises pour assurer la sécurité fonctionnelle.

TOC
System Design Requirements
Specification
The system design requirements shall contain:
 Details of all the hardware and software necessary to implement the required
safety including:
 Requirements for the subsystems and requirements for their hardware and
software elements as appropriate;
 Requirements for the integration of the subsystems and their hardware and
software elements to meet the system safety functions requirements
specification;
 Throughput performance that enables response time requirements to be met;
 Accuracy and stability requirements for measurements and controls;
 Safety-related system and operator interfaces;
 Interfaces between the safety-related systems and any other systems (either
within, or outside, the EUC);

TOC
Spécification des exigences de
conception du système
Les exigences de conception du système doivent contenir:

 Détails de tous les matériels et logiciels nécessaires pour mettre en

œuvre la sécurité requise, y compris:
 Les exigences relatives aux sous-systèmes et les exigences relatives à
leurs éléments matériels et logiciels, le cas échéant;
 Exigences pour l'intégration des sous-systèmes et de leurs éléments
matériels et logiciels pour répondre aux spécifications des exigences
des fonctions de sécurité du système;
 Performances de débit qui permettent de répondre aux exigences de
temps de réponse;
 Exigences de précision et de stabilité pour les mesures et les
contrôles;
 Système de sécurité et interfaces opérateur;
 Interfaces entre les systèmes liés à la sécurité et tout autre système
(à l'intérieur ou à l'extérieur de l'EUC);
TOC
Any Questions

Any Questions ?

TOC
Questions

Questions?

TOC
THANK YOU

TOC