Functional Safety-Day 5 Training

Velosi Funcional Safety Training
Velosi Formation en Sécurité

Fonctionnelle
Based
on
IEC-61508, IEC-61511 & ISA
TR 84.00.02 Standards
Functional Safety Instrumented System

for the Process Industry Sector
Basé
sur les normes
IEC-61508, IEC-61511 et ISA TR
84.00.02
Système Instrumenté de Sécurité
Fonctionnelle pour le Secteur de
l’Industrie des Procédés
DAY - 5
JOUR - 5
Contents
 Intermediate Trips
 Risk Graph Calibration
 SIL Determination for Fire and Gas
 Further Operational Lifecycle Considerations
 Methods for Solving Complex functions
Contenu
 Trips Intermédiaires
 Calibration du Graphique des Risques
 Détermination du SIL pour le Feu et le Gaz
 Autres Considérations sur le Cycle de Vie Opérationnel
 Méthodes de Résolution de Fonctions Complexes
Intermediate Trips
Initiators
Final elements
STEPS
 Determine the SIL for each initiator XA to final elements YA
 Determine the SIL for each initiator X8 to final elements Y8
 Determine the SIL for each initiator XA to the primary function Y8
 Determine the SIL for each initiator XA with primary function Y8 works, all others fail
 Determine the SIL for each initiator XA for synergetic failure (i.e. failure of intertrip 1)
 Determine the SIL for each initiator X8 to the primary function YA
 Determine the SIL for each initiator X8 with primary function YA works, all others fail
 Determine the SIL for each initiator X8 for synergetic failure (i .e. failure of intertrip 2 ) TOC
Trips Intermédiaires
Initiateurs
Éléments finaux
STEPS
 Déterminer le SIL pour chaque initiateur XA jusqu’aux éléments finaux YA
 Déterminer le SIL pour chaque initiateur X8 jusqu’aux éléments finaux Y8
 Déterminer le SIL pour chaque initiateur XA jusqu’à la fonction principale Y8
 Déterminer le SIL pour chaque initiateur XA avec la fonction principale Y8 fonctionne, toutes les autres sont défaillantes
 Déterminer le SIL pour chaque XA d'initiateur pour une défaillance synergique (càd: défaillance de l'intertrip 1)
 Déterminer le SIL pour chaque initiateur X8 jusqu’à la fonction principale YA
 Déterminer le SIL pour chaque initiateur X8 avec la fonction principale YA fonctionne, toutes les autres sont défaillantes
 Déterminer le SIL pour chaque initiateur X8 en cas d'échec synergétique (càd: défaillance de l’intertrip 2)
TOC
Risk Graph Calibration
There are problems with a purely qualitative approach:
 Inconsistency with interpretation:

 What is a 'Relatively High', 'Low' or 'Very Low‘ frequency?
 How long is an occupancy of 'Rare' or 'Frequent'?
 How many people in 'Multiple'?
 How many people make a 'Catastrophe'?
 Difficulty with demonstrating ALARP:

 How to set a 'tolerable' risk reduction;
 How to establish the risk reduction achieved.
 Semi quantifying (i.e. calibrating) significantly improves risk assessment.
TOC
Calibration du Graphique des Risques
Il y a des problèmes avec une approche purement qualitative:

 Incohérence avec l’interprétation:
 Qu'est-ce qu'une fréquence «relativement élevée», «basse» ou «très basse»?
 Quelle est la durée de la présence de «Rare» ou «Fréquente»?
 Combien de personnes y a-t-il dans "Multiple"?
 Combien de personnes faut-il pour une «Catastrophe»?
 Difficulté à démontrer l’ALARP (aussi bas que raisonnablement praticable):

 Comment établir une réduction de risque «tolérable»?
 Comment savoir que la réduction des risques est atteinte.
 La semi-quantification (càd: la calibration) améliore considérablement l'évaluation

des risques.
TOC
 All semi quantified methods require:

 A corporate value for 'Tolerable Risk' for both individual and societal risk;
 Quantification of the demand frequencies;
 Quantification of the Consequence severities;
 Quantification of each IPL (as in LOPA);
 Quantified risk reduction for each mitigation claimed.
TOC
Calibration du Graphique des risques
 Toutes les méthodes semi-quantifiées nécessitent:

 Une valeur décidée par l'entreprise du «risque tolérable» pour les risques individuels et
sociétaux;
 Quantification des fréquences de demande
 Quantification des gravités des conséquences;
 Quantification de chaque IPL (comme dans LOPA);
 Réduction quantifiée des risques pour chaque atténuation annoncée.
TOC
Tolerability of risk and ALARP - HSE (2001)
TOC
Calibration du Graphique des risques
Tolérabilité du risque et ALARP - HSE (2001)
TOC
C = Consequence parameter
F = Exposure time parameter
P = Possibility of failing to avoid hazard
parameter
W = Demand rate assuming no protection
TOC
Calibration du Graphique des Risques
C = paramètre de conséquence
F = paramètre de temps d'exposition
P = Possibilité de ne pas éviter le paramètre de risque
W = taux de demande en supposant aucune protection
TOC
Setting the Safety Target
Example of calibration:
An example Risk Graph
parameters are assigned the
following values:
A 'typical' SIL determination

results in a risk path with the
highlighted parameters
Each parameter has a range of

values with a:
'low' end value ·
'high' end value.
TOC
Définition de la Cible de Sécurité
Exemple De Calibration:
Des paramètres du graphique de
risques reçoivent les valeurs suivantes:
Une détermination SIL «typique»

entraîne un cheminement de risque
avec les paramètres mis en évidence
Chaque paramètre a une plage de

valeurs avec une:
valeur finale "basse"
valeur finale "haute".
TOC
Low Range values
Example of calibration:
Taking parameters W2, CC, FA,PB
then:
If all parameters at 'low' end of .
range,
A'= best case risk reduction
P = Possibility of failing to avoid hazard
parameter
A = Low CC * Low FA * PB * Low W2 * Low SIL 2
A = 0.1 * 0.01 * 1 * 0.03 * 0.001 = 3.0E-08 TOC
Valeurs Basses
Exemple de Calibration
Prendre les paramètres W2, CC, FA, PB
puis:
Si tous les paramètres ont une valeur finale
«basse » dans la plage,
A '= meilleur cas de réduction du risque
A = CC basse * FA basse * PB * basse W2 * basse SIL 2

A = 0,1 * 0,01 * 1 * 0,03 * 0,001 = 3,0E-08 TOC
High Range values
Taking parameters W2, CC, FA, PB

then:
If all parameters at 'high' end of

range,
'B' = worst case risk

reduction
P = Possibility of failing to avoid hazard parameter
B = High CC * High FA* PB * High W2 * High SIL 2

B = 1.0 * 0.1 * 1 * 0.3 * 0.01 = 3.0E-04 TOC
Valeurs Hautes
Prendre les paramètres W2, CC, FA, PB

puis:
Si tous les paramètres ont une valeur

finale «haute» dans la plage,
‘B’ = pire cas de réduction

de risque
B = haut CC * haut FA * PB * haut W2 * haut SIL 2

B = 1,0 * 0,1 * 1 * 0,3 * 0,01 = 3,0E-04 TOC
Example of Calibration
 The risk afforded by the best case:

A= 3.0E-08
 The risk afforded by the worst case:
B = 3.0E-04
 Average Risk value is the logarithmic average of the Best and Worst risk figures
Ln(Average risk) = ((Ln (A) +Ln (8))12)

Average risk= EXP((Ln(3.0E-08) +Ln(3.0E-04))/2)
Average risk (Safety Target) = 3.0E-06 for any
single Hazard
TOC
Exemple de Calibration
 Le risque permis par le meilleur des cas:

A = 3.0E-08
 Le risque permis par le pire des cas:
B = 3.0E-04
 La Valeur Moyenne du Risque est la moyenne logarithmique des Meilleurs et des Pires
chiffres de risque
Ln (risque moyen) = ((Ln (A) + Ln (8)) 12)

Risque moyen = EXP ((Ln (3.0E-08) + Ln (3.0E-04)) / 2)
Risque moyen (Cible de sécurité) = 3.0E-06 pour tout danger unique
TOC
Typical Risk Graph Calibration
Calibration of Personnel Safety Risk Graphs
For definitions and assumptions see sheet •0efinitfons B'"
TOC
Calibration typique du graphique de risque
Étalonnage des graphiques de risque pour la sécurité du personnel
Pour les définitions et les hypothèses voir la feuille • 0efinitfons B '"
TOC
SIL Determination
For
Fire & Gas
TOC
Détermination SIL
Pour
le Feu et le gaz
TOC
Risk Reduction Layers
TOC
Couches de réduction des risques
TOC
SIL Determination for Fire & Gas
 Three different views on this topic:

1. Norwegian sector has prescriptive requirements
2. Use SIL determination to assess criticality
3. A fire and gas system is simply good practice
 We will look at ways of undertaking SIL

determination.
TOC
Détermination du SIL pour le Feu et
le Gaz
 Trois points de vue différents sur ce sujet:
1. Le secteur norvégien a des exigences prescriptives;
2. Utiliser la détermination SIL pour évaluer la criticité;
3. Un système anti-incendie et gaz est simplement une bonne pratique.
 Nous examinerons les moyens d'entreprendre la détermination
du SIL.
TOC
 Something else will have failed before there can be a fire event
or gas release e.g.:
 Design defect
 A mechanical failure
 Loss of containment
 Leak
 Operational error
 Control failure
 In most cases a number of protective layers will need to fail
before there is a demand on the F & G systems.
 F&G are also 'power on' to activate.
TOC
le Gaz
 Une chose aura été défaillante avant qu'il puisse y avoir un
incendie ou un dégagement de gaz, ex:
 Défaut de conception;
 Défaillance mécanique
 Perte de confinement;
 Fuite;
 Erreur opérationnelle
 Défaillance du contrôle.
 Dans la plupart des cas, un certain nombre de couches de
protection devront être défaillantes avant que les systèmes F &
G ne soient sollicités.
 F & G sont également sous tension pour être activés.
TOC
 Thus the demand on Fire and Gas tends to be low.

 This can be a problem for risk assessment since:
 The event frequency is more difficult to establish
 Many scenarios are often out with site experience
 We still need to establish the risk reduction
 Attributable to Fire and Gas
 The frequency of demand is fundamental to making any risk
assessment.
TOC
le Gaz
 Ainsi, la demande au système Feu et Gaz a tendance à être faible.
 Cela peut être un problème pour l'évaluation des risques car:
 La fréquence des événements est plus difficile à établir.
 De nombreux scénarios sont souvent différents de l'expérience du site.
 Nous devons encore établir la réduction des risques
 Attribuable au Système Feu et Gaz.
 La fréquence de la demande est fondamentale pour procéder à une
évaluation des risques.
TOC
 We know: Risk = Frequency x Consequence.

 We require the best possible data to establish risk and this
includes the likelihood or frequency of a Fire and Gas related
event.
 One of the ways of obtaining this is to use Quantitative Risk
Assessment (QRA) data to determine the likelihood.
 This is often available where Safety Cases and top tier COMAH
submissions have been made.
TOC
le Gaz
 Nous savons que: Risque = Fréquence x Conséquence.
 Nous avons besoin des meilleures données possibles pour
établir le risque, y compris la probabilité ou la fréquence d'un
événement lié au Feu et au Gaz.
 L'un des moyens d'obtenir ceci est d'utiliser des données
d‘Evaluation Quantitative des Risques (EQR) pour déterminer
la probabilité.
 Ceci est souvent disponible lorsque des Dossiers de Sécurité et
des soumissions COMAH de niveau supérieur ont été faits.
TOC
QRA Analysis
TOC
Analyse QRA
TOC
 Only provides mitigation i.e. after the event risk reduction.

 Two different scenarios:
Case 1, Immediate effect:
 Relatively small consequence
 Relatively high demand rate.
Case 2, Escalation scenario:
 Very large consequence
 Extremely low probability.
 Therefore two IL determinations  select the highest IL.
TOC
le Gaz
 N’apporte qu'une atténuation, càd: après la réduction des risques de
l'événement.
 Deux scénarios différents:
Cas 1, Effet immédiat:
 conséquence relativement faible;
 taux de demande relativement élevé.
Cas 2, Scénario d'escalade:
 Conséquence très importante;
 probabilité extrêmement faible.
 Par conséquent, deux déterminations IL  choisir l'IL le plus élevé.
TOC
Escalation (Gas)
TOC
Escalade (Gaz)
TOC
Escalation (Fire)
TOC
Escalade (Feu)
TOC
 Flammable Gas Case 1 - Immediate effect

 General:
 To detect and alert presence of gas;
o Remove personnel from danger area.
o To prevent others from entering the danger area.
 To shut down non emergency electrical equipment in the area;
 Failure could result in ignition.
 Many gas releases are visually detected by operations;
 Manual intervention may be possible.
 Vulnerability to personnel dependent on size of
release/accumulation and location.
TOC
le Gaz
 Gaz inflammable Cas 1 - Effet immédiat
 Général:
 Détecter la présence de gaz et lancer l’alerte;
o Retirer le personnel de la zone dangereuse.
o Empêcher les autres d'entrer dans la zone dangereuse.
 Eteindre les équipements électriques non urgents dans la
zone;
 Une défaillance pourrait entraîner un allumage.
 De nombreux rejets de gaz sont visuellement détectés par les
opérateurs;
 Une intervention manuelle peut être possible.
 La vulnérabilité du personnel dépend de l’ampleur du rejet / de
l'accumulation et de l'emplacement.
TOC
 Flammable Gas Case 2- Reducing escalation

 General:
 Close all primary isolation valves in area;
 Initiate Blow-down;
o Limits/reduces inventory;
o Reduce impact of any jet fires;
o Reduces potential for escalation.
 Shut down ventilation systems for affected area.
TOC
le Gaz
 Gaz inflammable Cas 2- Réduire l'escalade

 Général:
 Fermer toutes les vannes d'isolation primaire dans la zone;
 Initier une purge;
o Limite / réduit l'inventaire;
o Réduit l'impact des jets de feu;
o Réduit le potentiel d'escalade.
 Arrêter les systèmes de ventilation dans la zone affectée..
TOC
 Toxic Gas Case 1 - Immediate effect

 General:
 To detect and alert presence of gas;
 Prevent others from entering the area;
o Failure could result in harm.
 Vulnerability to personnel dependent on size of
release/accumulation.
 Note:
o H2S can be smelt in concentrations of 0.02 ppmv.
o H2S may not be smelt above 100 ppmv as it paralyses the sense of smell.
o H2S will cause irreversible lung oedema at concentrations of 200 ppmv
with >30 min exposure.
o H2S concentrations above 500 ppmv can cause rapid fatality.
o H2S detectors normally alarm above 5 ppmv.
TOC
le Gaz
 Gaz toxique Cas 1 - Effet immédiat
 Général:
 Détecter la présence de gaz et lancer l’alerte;
 Empêcher les autres d'entrer dans la zone;
o Une défaillance pourrait entraîner des dommages.
 La vulnérabilité du personnel dépend de l’ampleur du rejet /
accumulation.
 Remarque:
o Le H2S peut être senti à des concentrations de 0,02 ppmv.
o Le H2S peut ne pas être senti au-delà de 100 ppmv, car il paralyse le sens de
l'odorat.
o Le H2S provoquera un œdème pulmonaire irréversible à des concentrations de 200
ppmv avec une exposition> 30 minutes.
o Des concentrations de H2S supérieures à 500 ppmv peuvent entraîner une mortalité
rapide.
o Les détecteurs H2S émettent normalement une alarme au-dessus de 5 ppmv. TOC
 Toxic Gas Case 2- Reducing escalation

 General:
o Limits inventory;
 Shut down ventilation systems in affected area:
 To prevent migration.
TOC
Détermination SIL pour le feu et le
gaz
 Gaz Toxique Cas 2- Réduire l'escalade

 Général:
o Limite l'inventaire
 Arrêter les systèmes de ventilation dans la zone affectée:
 Empêcher la migration.
TOC
 Fire Case 1 - Immediate effect

 General:
 To detect and alert presence of fire;
 Prevent people entering the area;
 Activate deluge or dispersant release;
o Limit local damage.
 Fires tend to be visible with smoke and/or flame;
o Manual intervention may be possible.
 Vulnerability to personnel depends on material, quantity,
location and type of fire (e.g. pool, jet etc.)
TOC
le Gaz
 Incendie Cas 1 - Effet immédiat
 Général:
 Détecter la présence de feu et lancer l’alerte;
 Empêcher les gens d'entrer dans la zone;
 Activer le déluge ou le dispersant;
o Limiter les dommages locaux.
 Les incendies ont tendance à être visibles avec de la
fumée et / ou des flammes;
o Une intervention manuelle peut être possible.
 La vulnérabilité du personnel dépend de la matière en
feu, de la quantité, de l'emplacement et du type
d'incendie (ex: bassin, jet, etc.)
TOC
 Fire Case 2- Reducing escalation

 General:
o Limits inventory;
 Activation of deluge;
o Also reduces potential for escalation;
o If fire escalates other area detection will initiate
 Shut down ventilation
o Prevent toxic smoke ingress/migration.
TOC
le Gaz
 Incendie Cas 2- Réduire l'escalade
 Général:
o Limite l'inventaire
 Activation de déluge;
o Réduit également le potentiel d'escalade;
o Si le feu s'intensifie, d’autres détecteurs s’activeront
 Fermer la ventilation
o Empêcher l'entrée / la migration des fumées toxiques.
TOC
Have all the primary elements been assessed?
 Undertake a SIL determination which considers the synergetic
failure of all executive actions:
 i.e. failure of the fire & gas system to:
o Alert people to the danger;
o Take any executive action.
TOC
le Gaz
Tous les éléments primaires ont-ils été évalués?

 Entreprendre une détermination SIL qui prend en compte la
défaillance synergique de toutes les actions exécutives:
 Càd: la défaillance du système d'incendie et de gaz pour:
o Alerter les gens sur le danger;
o Entreprendre toute action exécutive.
TOC
SIL determination using risk graphs
 Risk graphs are more effective when:

 A corporate Safety Target has been set.
 A set of 'extended' graphs may be needed:
 With one/two additional columns for low frequency events;
 The extended columns only to be used with supporting QRA
data.
TOC
le Gaz
Détermination du SIL en utilisant des graphiques de risque
 Les graphiques de risque sont plus efficaces lorsque:

 Un Objectif de Sécurité d'entreprise a été défini.
 Un ensemble de graphiques "étendus" peut être nécessaire:
 Avec une / deux colonnes supplémentaires pour les
événements de basse fréquence;
 Les colonnes étendues doivent uniquement être utilisées avec
les données QRA de support.
TOC
IEC 61511 Extended Personnel
Protection
Generalized arrangement :
(in practical implementations
the arrangement is specific to
the applications to be covered
by the risk graph)
W3 Demand rate between 3 and 0.3 per year. (0.3 and 3 years)
W2
W1
Demand rate between 0.3 and 0.03 per year. (3 and 33 years)
Demand rate between 0.03 and 0.003 per year. (33 and 333 years)
For demonstration
Wo Demand between 0.003 and 0.0003 per year. (333 and 3,333 years) purposes only
Woo Demand less than 0.0003 per year. (greater than 3,333 years)
TOC
IEC 61511 Protection Etendue
du Personnel
Arrangement généralisé:
(dans les implémentations pratiques,
l'arrangement est spécifique aux
applications à couvrir par le
graphique de risque)
W3 Taux de demande entre 3 et 0.3 par an. (0.3 et 3 ans)
W2 Taux de demande entre 0.3 et 0,03 par an. (3 et 33 ans) A des fins de démonstration
seulement
W1 Taux de demande entre 0,03 et 0, 003 par an. (33 et 333 ans)
Wo Taux de demande entre 0,003 et 0,0003 par an. (333 et 3.333 ans)
Woo Taux de demande inférieur à 0.0003 par an. (supérieur à 3.333 ans)
TOC
IEC 61511 Extended Asset Loss
General arrangement (in

practical Implementations
by the risk graph)
--- = No safety requirements

C = Consequence parameter a = No special safety requirements
b = A single E/E/PES is not sufficient
F = Exposure time parameter 1, 2, 3, 4 = Safety integrity level
W2 Demand rate between 0.3 and 0.03 per year. (3 and 33 years)
W1 Demand rate between 0.03 and 0.003 per year. (33 and 333 years) For demonstration
Wo
Woo
Demand between 0.003 and 0.0003 per year. (333 and 3,333 years)
Demand less than 0.0003 per year. (greater than 3,333 years)
purposes only TOC
IEC 61511 Perte d‘Actifs Etendue
Arrangement général (dans les

implémentations pratiques
applications à couvrir
par le graphique de risque)
--- = pas d’exigences de sécurité

C = paramètre de conséquence a = pas d’exigences spéciales de sécurité
b = un E/E/PES unique n’est pas suffisant
F = paramètre de temps d'exposition 1, 2, 3, 4 = Niveau d’Intégrité de la Sécurité

W2 Taux de demande entre 0.3 et 0,03 par an. (3 et 33 ans)
W1 Taux de demande entre 0,03 et 0, 003 par an. (33 et 333 ans) A des fins de démonstration
Wo
Woo
Taux de demande entre 0,003 et 0,0003 par an. (333 et 3.333 ans)
Taux de demande inférieur à 0.0003 par an. (supérieur à 3.333 ans)
seulement TOC
IEC 61511 Extended Environmental
Impact
General arrangement (in

practical Implementations
by the risk graph)
--- = No safety requirements

a = No special safety requirements
C = Consequence parameter b = A single E/E/PES is not sufficient
F = Exposure time parameter 1, 2, 3, 4 = Safety integrity level
W2 Demand rate between 0.3 and 0.03 per year. (3 and 33 years)
W1 Demand rate between 0.03 and 0.003 per year. (33 and 333 years) For demonstration
purposes only
Wo Demand between 0.003 and 0.0003 per year. (333 and 3,333 years)
Woo Demand less than 0.0003 per year. (greater than 3,333 years)
TOC
IEC 61511 Impact Environnemental
Etendu
Arrangement général (dans les

implémentations pratiques
applications à couvrir
par le graphique de risque)
--- = pas d’exigences de sécurité

C = paramètre de conséquence a = pas d’exigences spéciales de sécurité
b = un E/E/PES unique n’est pas suffisant
1, 2, 3, 4 = Niveau d’Intégrité de la Sécurité

W2 Taux de demande entre 0.3 et 0,03 par an. (3 et 33 ans)
W1 Taux de demande entre 0,03 et 0, 003 par an. (33 et 333 ans) A des fins de démonstration
seulement
Wo Taux de demande entre 0,003 et 0,0003 par an. (333 et 3.333 ans)
Woo Taux de demande inférieur à 0.0003 par an. (supérieur à 3.333 ans)
TOC
SIL determination using Layers of Protection Analysis (LOPA).

 LOPA can be used when:
 A corporate Safety Target has been set;
 Event likelihood data is available;
o e.g. pipe failure data or ORA data for undesirable events.
 There is risk reduction data available for:
o Each layer of protection;
o Each layer of additional mitigation.
TOC
le Gaz
Détermination du SIL en utilisant l'analyse des couches de protection
(LOPA).
 La LOPA peut être utilisée quand:
 Un objectif de sécurité d'entreprise a été établi;
 Les données de probabilité d'événement sont disponibles;
o Ex: des données de défaillance d’une conduite ou des
données ORA pour des événements indésirables.
 Des données sur la réduction des risques sont disponibles
pour:
o Chaque couche de protection;
o Chaque couche d'atténuation supplémentaire.
TOC
Example: LOPA for Fire and Gas
TOC
Exemple: LOPA pour le Feu et le Gaz
TOC
Alarm and executive action in one function:

 Assess consequences for both purposes.
 Multiple F&G detectors located in one area;
 Same function  classify on area demand.
 Gas detection without Fire detection;
 Include Fire events in classification of Gas Detectors (i.e.
implicit fire detection of gas detectors).
 Caution with non executive actions;
 Consider the limitations of operator actions.
TOC
le Gaz
Alarme et action exécutive en une seule fonction:
 Évaluer les conséquences pour les deux objectifs.
 Plusieurs détecteurs F & G situés dans une zone;
 Même fonction  classifier selon la demande de la zone.
 Détection de gaz sans détection d'incendie;
 Inclure les événements d'incendie dans la classification
des détecteurs de gaz (càd: détection implicite d'incendie
par les détecteurs de gaz).
 Attention aux actions non exécutives;
 Tenir compte des limites des actions de l'opérateur.
TOC
Safety Case or COMAH Data
Use Safety Case or COMAH QRA data:

 When using WO and WOO columns;
 For consequences and probabilistic data;
 Involve Safety Engineer for interpretation;
 N.B. Safety Case QRA usually includes the contribution to risk
reduction made by the F&G system;
 Therefore data must be corrected.
TOC
Cas de sécurité ou données COMAH
Utiliser les cas de sécurité ou les données QRA COMAH:

 Lors de l'utilisation des colonnes WO et WOO
 Pour les conséquences et les données probabilistes;
 Impliquer l'ingénieur Sécurité pour l'interprétation;
 N.B. La QRA du Cas de sûreté inclut habituellement la contribution
à la réduction de risque faite par le système de F & G;
 Par conséquent, les données doivent être corrigées.
TOC
QRA Data Correction
Suggested Correction:
FTR Impairment, excl. F&G
TOC
Correction des Données QRA
Correction Suggérée
Dégradation FTR, excl. F & G
TOC
Multiple Detection
 Normally multiple Fire & Gas detectors in each area:

 In single shot 1ooN;
 When voted this is normally 2ooN.
 What credit can we take for multiple detectors in the PFD
calculation?
 Since not all detectors in an area will experience the same
fire/gas conditions;
 Compromise with no more than 1003 for single shot;
 Or 2oo4 for voted detectors.
 e.g. they should not be 10012 or 20012 when there are 12
detectors in an area.
TOC
Détection Multiple
 Normalement, plusieurs détecteurs d'incendie et de gaz (F &

G) dans chaque zone:
 En coup unique 1 sur N;
 Lorsque voté, c'est normalement 2 sur N.
 Quel avantage pouvons-nous tirer pour plusieurs détecteurs
dans le calcul du PFD?
 Puisque tous les détecteurs dans une zone ne connaîtront
pas les mêmes conditions de feu / gaz;
 Compromis avec pas plus de 1 sur 3 pour un seul coup;
 Ou 2 sur 4 pour les détecteurs votés.
 Ex: il ne devrait pas y avoir de 1 sur 12 ou 2 sur 12 lorsqu'il y
a 12 détecteurs dans une zone.
TOC
Exercise: Fire & Gas
Q 1. One of the main objectives of a fire and gas system is to alert personnel
to the presence of a fire or a release of gas and get them to muster. Give two
other primary functions/ objectives.
A 1:
Q 2. Activity deluge is one of the ways to reduce the potential for escalation
of a fire. Give one other action that can reduce the potential for escalation?
A 2:
TOC
Exercice: Feu et Gaz
Q 1. L'un des principaux objectifs d'un système de lutte contre les incendies et
les gaz consiste à alerter le personnel sur la présence d'un feu ou d'un rejet de
gaz et à les faire intervenir. Donnez deux autres fonctions / objectifs
principaux.
R1:
Q 2. L'activité déluge est l'un des moyens de réduire le potentiel d'escalade

d'un incendie. Donnez une autre action qui peut réduire le potentiel
d'escalade?
R 2:
TOC
Solution: Fire & Gas
Q 1. One of the main objectives of a fire and gas system is to alert personnel
to the presence of a fire or a release of gas and get them to muster. Give two
other primary functions/ objectives.
A 1:
Q 2. Activity deluge is one of the ways to reduce the potential for escalation
of a fire. Give one other action that can reduce the potential for escalation?
A 2:
TOC
Solution: Feu et gaz
Q 1. L'un des principaux objectifs d'un système de lutte contre les incendies et les
gaz consiste à alerter le personnel de la présence d'un feu ou d'un dégagement
de gaz et à les faire intervenir. Donnez deux autres fonctions / objectifs
principaux.
R 1:
Q 2. L'activité déluge est l'un des moyens de réduire le potentiel d'escalade d'un
incendie. Donnez une autre action qui peut réduire le potentiel d'escalade?
R 2:
TOC
Example 1: Gas detection on the underside of the 1 st stage separator V1001.
 Operations
1 operator visits the area <1 hour per day
 Safety Engineer
Data from the QRA for the facility indicates a total frequency of 2.01E-01 gas release events per
year for all leak sizes in this area. This is equivalent to a demand on the gas detectors of once
every 4.98 years. The frequency of a TR impairment for ignited events escalating from this area
is shown to be 1 in 375 years.
 Instrument Engineer
The gas detectors are IR point and they are voted 2ooN.
ANS Case 1: ANS Case 2:

W: W:
C: C:
F: F:
P: P:
SIL: SIL:
TOC
Exemple 1: Détection de gaz sur la face inférieure du séparateur du premier étage V1001.
 Opérations
1 opérateur visite la zone <1 heure par jour
 Ingénieur Sécurité
Les données du QRA pour l‘usine indiquent une fréquence totale de 2,01E-01 d’événements de rejet de
gaz par an pour les fuite de toutes dimensions dans cette zone. Cela équivaut à une demande sur les
détecteurs de gaz d'une fois tous les 4,98 ans. La fréquence d'une dégradation de TR pour des
événements d’incendies se propageant à partir de cette zone est de 1 en 375 ans.
 Ingénieur Instrumentation
Les détecteurs de gaz sont point IR et ils sont votés 2 sur N.
ANS Cas 1: ANS Cas 2:
W: W:
C: C:
F: F:
P: P:
SIL: SIL: TOC

Example 2: Gas detection at the Accommodation HVAC Intake.

 Safety Engineer
Using data from the QRA for escalation, the frequency of a TR Total Impairment for any reason is
4.98 E-04 per year. This equates to an event of 1 in 2000 years. This covers all events.
The gas detectors are IR extended point duct mounted devices and are voted 2oo3.
ANS:
W:
C:
F:
P:
SIL:
TOC
 Exemple 2: Détection de gaz à l’ entrée HVAC du Bloc Hébergement.

En utilisant les données du QRA pour l'escalade, la fréquence d'une insuffisance totale de TR pour une
raison quelconque est de 4,98 E-04 par année. Cela équivaut à un événement de 1 en 2000 ans. Cela
couvre tous les événements.
Les détecteurs de gaz sont des dispositifs montés sur conduit de point étendu d'IR et sont votés 2 sur 3.
ANS:
W:
C:
F:
P:
SIL:
TOC
 Example 3: Fire detection in the Wellhead Area

 Operations
1 operator visits the area 2 hours per day
 Safety Engineer
Data from the QRA for the facility indicates the total fire event frequency is 6.3E-02 per year for this
area. This is equivalent to a demand rate on the fire detectors of once every 16 years.
The frequency of TR impairment for a fire events escalating from this area is shown to be 1 per 2542
years.
The fire detectors are triple IR devices and are voted 2oo3.

W: W:
C: C:
F: F:
P: P:
SIL: SIL:
TOC
 Exemple 3: Détection d‘Incendie dans la Zone de la Tête de Puits
 Operations
1 opérateur visite la zone 2 heures par jour
Les données du QRA pour l‘usine indiquent que la fréquence totale des événements d'incendie est de
6,3E-02 par année pour cette zone. Cela équivaut à un taux de demande sur les détecteurs d'incendie
d'une fois tous les 16 ans.
La fréquence de la déficience de TR pour un incendie qui se propage à partir de cette zone est de 1
pour 2542 ans.
Les détecteurs d'incendie sont des dispositifs triple IR et sont votés 2 sur 3.
W: W:
C: C:
F: F:
P: P:
SIL: SIL:
TOC
Solution: Fire & Gas
 Example 3: Fire detection in the Wellhead Area

 Operations
1 operator visits the area 2 hours per day.
 Safety Engineer
Data from the QRA for the facility indicates the total fire event frequency is 6.3E-02 per year for this
area. This is equivalent to a demand rate on the fire detectors of once every 16 years.
The frequency of TR impairment for a fire events escalating from this area is shown to be 1 per 2542
years.
The fire detectors are triple IR devices and are voted 2oo3.
W: W:
C: C:
F: F:
P: P:
SIL: SIL:
TOC
Solution: Feu et Gaz
 Exemple 3: Détection d‘Incendie dans la Zone de la Tête de Puits

 Opérations
1 opérateur visite la zone 2 heures par jour.
Les données de l'EQR pour l'installation indiquent que la fréquence totale des événements
d'incendie est de 6,3E-02 par année pour cette zone. Cela équivaut à un taux de demande sur les
détecteurs d'incendie d'une fois tous les 16 ans.
La fréquence de la dégradation de TR pour un incendie qui s'élève de cette zone est de 1 pour
2542 ans.
Ingénieur d'instruments
Les détecteurs d'incendie sont des dispositifs IR triple et sont votés 2 sur 3.
W: W:
C: C:
F: F:
P: P:
SIL: SIL: TOC
Further Operational Lifecycle
Considerations
TOC
Autres Considérations sur le
Cycle de Vie Opérationnel
TOC
Cycle de Vie Sécurité
Identifier
les
Evaluation dangers Evaluer les
sécurité Risques
Fonct’Ile
Modifier Spécifications
des critères
SIS
Evaluation Evaluation
sécurité sécurité
Fonct’Ile Fonct’Ile
Réviser et Conception
vérifier Phases Appropriée
Cendrillon Evaluation
Surveiller sécurité
Fonct’Ile
Enregistrer
et répertorier Installation et
Mise en Service
Exploiter et Validation
Entretenir des Critères
Evaluation
sécurité
Fonct’Ile
TOC
Cycle de vie de sécurité
Identify
Funct’I Hazards Risk
safety assessment
assessment
SIS
Modify requirement
s spec
Funct’I Funct’I
safety safety
assessment assessment
Review and Appropriate

verification Cinderella design
Phases Funct’I
Monitor safety
assessment
Record Install &

commission
Operate and Validation of

Maintain requirements
Funct’I
safety
assessment
TOC
Overrides
 Override of a SIF defeats protection:

 The SIS will not be available to work on demand;
 It will NOT provide the required protection;
 It is actually in the ‘failed’ state;
 If a demand occurs the consequences = failure.
 SIFs should never be defeated, bypassed, inhibited or “frigged” in any way.
 Overrides should be kept to a minimum
 Overrides need proper controls and authority
TOC
Contournements/Neutralisations
 La neutralisation d'une SIF détruit la protection:

 Le SIS ne sera pas disponible pour travailler à la demande;
 Il NE fournira PAS la protection requise;
 En fait, il est en état de « défaillance";
 Si une demande se produit, les conséquences = défaillance.
 Les SIFs ne devraient jamais être neutralisés, contournés, inhibés ou “gelés” de
quelque manière que ce soit.
 Les neutralisations/contournements doivent être limités au minimum
 Les neutralisations/contournements nécessitent des contrôles et une autorité
appropriés
TOC
Override Controls
 Authority
 Permit to work
 Key control
 Key safe
 Key logged out
 CRO agrees to override and records in panel log
 CRO agrees removal and records in panel log
 Key returned to safe and logged back in
 Permit signed off by the ‘authority’
 CRO shift handover
 Shift supervisor shift handover
 Regular Overrides status audit.
TOC
Commandes de Neutralisation/Contournement
 Autorité
 Permis de travail
 Commande Clé
 Coffre Clé
 Clé déconnectée
 Le CRO accepte de neutraliser/contourner et d'enregistrer dans le journal du panneau
 Le CRO accepte le retrait et répertorie l’action dans le journal du panneau
 Clé retournée au coffre et connectée de nouveau
 Permis signé par «l'autorité»
 Changement de quart du CRO
 Changement de quart de superviseur de quart
 Audit normal de statut de neutralisation/contournement.
TOC
Discrepancy Alarms
 Where initiators, sensors or transmitters have

discrepancy alarms:
 These indicate a possible measurement error i.e. a calibration error
 This impacts on the ability to trip at the required set point
 Reducing the integrity of the protective function
TOC
Alarmes de Discordance
 Lorsque les initiateurs, les capteurs ou les transmetteurs

ont des alarmes de discordance:
 Ils indiquent une erreur de mesure possible, càd: une erreur de calibration
 Cela a une incidence sur la capacité de déclencher au point de consigne requis
 Cela réduit l'intégrité de la fonction de protection
TOC
Modifications & Change Control
 Any modification:
 To a SIF (the elements or design) OR
 The process on which a SIF operates
 Could defeat the integrity of the SIF
 ALL modifications to SIFs must be controlled via the change control process
 This may require another SIL assessment to be made
TOC
Modifications et Contrôle des
Modifications
 Toute modification apportée:
 A une SIF (les éléments ou le design) OU
 Au process de fonctionnement d'une SIF
 Pourrait mettre fin à l'intégrité de la SIF
 TOUTES les modifications apportées aux SIF doivent être contrôlées via le process de
contrôle des modifications
 Cela peut nécessiter une autre évaluation du SIL
TOC
Repairs
When elements of a SIF are being repaired:

 The SIF may not be available to protect
 e.g. if the element is a 1oo1
 The PFD of the SIF may increase
 e.g. a 1oo2 would become a 1oo1
 This could take the PFD out of the required SIL band
 Repairs must be done promptly
 Appropriate sparing is important
TOC
Réparations
 Lorsque les éléments d'une SIF sont en cours de

réparation:
 La SIF peut ne pas être disponible pour apporter une protection
 Ex: si l'élément est un 1 sur 1
 Le PFD de la SIF peut augmenter
 ex: un 1 sur 2 deviendrait un 1 sur 1
 Cela pourrait sortir le PFD hors de la bande SIL requise
 Les réparations doivent être faites rapidement
 Les pièces de rechange appropriées sont importantes
TOC
Keeping Records
Care of a SIF extends over their full life cycle:

 Conception – risk analysis – design – implementation – testing – maintenance
– operation – decommissioning
 Thus records through all these phases need to be maintained
 A good cross-reference database structure is essential
TOC
Tenir des Registres
 Prendre soin d’une SIF s'étend sur tout son

cycle de vie:
 concept - analyse des risques - conception - mise en œuvre - essais -
maintenance - exploitation – déclassement (mise hors service)
 Des registres relatant tout ce qui se passe durant l’ensemble de ces phases
doivent donc être tenus
 Une bonne structure de base de données de références croisées est
essentielle
TOC
Feedback, Review & Modify
 Don’t install and walk away

 Records of testing, faults, maintenance and operation must be recorded and
maintained
 SIF performance should to be reviewed regularly
 Testing and maintenance can then be ‘tuned’
TOC
Retour d’expérience, Révision
et modification
 Ne pas installer et partir
 Les registres des tests, des pannes, de la maintenance et de
l'exploitation doivent être remplis, tenus et conservés
 La performance de la SIF devrait être examinée régulièrement
 Les tests et la maintenance peuvent ensuite être affinés
TOC
Solving Complex Functions
by the
Event Space Method
Loss Prevention in the Process Industries:

Frank P. Lees.
TOC
Résoudre les Fonctions Complexes
par la
Méthode de l’Espace Evénement
Prévention des pertes dans les industries des procédés:

Frank P. Lees.
TOC
Complex Functions
 Subsystems are made up of elements e.g.:

 Transmitter devices and trip amps;
 Logic solver circuit boards;
 Valve actuators, solenoids and valves.
 Systems are made up subsystems e.g. A SIS:

 Initiators;
 Logic solver;
 Final elements.
TOC
Fonctions complexes
 Les sous-systèmes sont constitués d'éléments, ex:

 Dispositifs transmetteurs et amplificateurs de déclenchement;
 Circuits imprimés de logic solveurs;
 Activateurs de vannes, solénoïdes et vannes.
 Les systèmes sont constitués de sous-systèmes, ex: Un SIS:

 Initiateurs;
 Logic Solveur;
 Éléments finaux.
TOC
Complex Systems
EXAMPLE:
A system comprising 3 subsystems
Serial Path
Subsystem 1 Subsystem 2 Subsystem 3
Made up of Made up of Made up of
elements elements elements
• If all subsystems work then the system operates

• If one subsystem fails then the system fails
• Thus all subsystems are ‘critical’
TOC
Systèmes Complexes
EXEMPLE:
Un système comprenant 3 sous-systèmes
Cheminement en série
Sous-système 1 Sous-système 2 Sous-système 3

Composé d’éléments Composé d’éléments Composé d’éléments
• Si tous les sous-systèmes fonctionnent, le système fonctionne

• Si un sous-système est défaillant, le système est défaillant
• Par conséquent, tous les sous-systèmes sont "critiques"
TOC
Element & Subsystem States
 Elements/subsystems have two states

 Where they are either:
 OK and will operate;
 Failed and will fail to operate.
 n
The number of states is 2 ;
 Where n is the number of elements/subsystems.
TOC
Éléments et Sous-Systèmes
 Les éléments / sous-systèmes ont deux états

 Soit ils sont:
 OK et vont fonctionner;
 Défaillants et ils ne fonctionneront pas.
 Le nombre d'états est 2n;

 ‘n’ est le nombre d'éléments / sous-systèmes.
TOC
Element States
1oo2 Configuration
For a subsystems with two elements A and B:
Where n = 2
Element
The number of states = 2 n
A
i.e. 4 states
1. A and B OK
2. A failed and B OK
Element
3. A OK and B failed B
4. A failed and B failed
This is a 1oo2 configuration where the subsystem will work if at least one element
is OK
Neither element is critical
TOC
États des Eléments
Configuration 1 sur 2
Pour un sous-système avec deux éléments A et B:
Où n = 2
Element
Le nombre d'états = 2n A
c'est-à-dire 4 états
1. A et B OK
Element
2. A défaillant et B OK B
3. A OK et B défaillant
4. A défaillant et B défaillant
Ceci est une configuration 1 sur 2 où le sous-système fonctionnera si au moins
un élément est OK
Aucun élément n'est critique
TOC
States Table – 1oo2
State Number Element A Element B Subsystem

Operates?
1 OK OK YES
2 FAIL OK YES
3 OK FAIL YES
4 FAIL FAIL No
TOC
Table des États – 1 sur 2
Le Sous-
Numéro de
l’Etat Elément A Elément B Système
fonctionne?
1 OK OK YES
2 Défaillant OK YES
3 OK Défaillant YES
4 Défaillant Défaillant Non
TOC
Exercise - Complex Systems
A system comprising 3 subsystems:
Serial Path
Subsystem A Subsystem B Subsystem C
• How many states are there?

• Draw the state Table
TOC
Exercice - Systèmes Complexes
Un système comprenant 3 sous-systèmes:
Cheminement en Série
Sous-Système A Sous-Système B Sous- Système C
• Combien d'états y a-t-il?

• Dessiner la table des états
TOC
Route 2H – Hardware fault tolerance
Hardware Fault
SIL Demand Mode
Tolerance
Low, high and
2 4
continuous demand
Low, high and
1 3
continuous demand
High and continuous
1 2
demand
0 2 Low demand
High and continuous

0 1
demand
TOC
Voie 2H - Tolérance aux Pannes
Matérielles
Tolérance aux
Pannes SIL Mode de Demande
Matérielles
Demande basse,
2 4
élevée et continue
Demande basse,
1 3
élevée et continue
Demande élevée et
1 2
continue
0 2 Demande basse
Demande élevée et
0 1 continue
TOC
Probability of Failure
Serial Path
Subsystem A Subsystem B Subsystem C

PDF PDF PDF
• The PFD (Function) = PFD of A + PFD of B + PFD of C
TOC
Probabilité de Défaillance
Sous-Système A Sous-Système B Sous-Système C

PDF PDF PDF
• Le PFD (Fonction) = PFD de A + PDF de B + PDF de C
TOC
PFD of Complex Functions
Serial Path
Subsystem 1 Subsystem 2 Subsystem 3

Made up of Made up of Made up of
elements elements elements
Subsystem 4
Made up of
elements
Parallel Path
How can we resolve the PFD
TOC
PFD des Fonctions Complexes
Sous-Système 1 Sous-Système 2 Sous-Système 3

Composé Composé Composé
d’éléments d’éléments d’éléments
Sous-Système 4
Composé
d’éléments
Cheminement Parallèle
Comment pouvons-nous résoudre le PDF

TOC
Event Space Method
 ‘Loss Prevention in the Process Industries’:

 Frank P. Lees.
 Used to model a wide range of complex configurations where:
 A subsystem comprises a number of elements;
 Systems made up of multiple sub-systems;
 There are both serial and parallel paths;
 We need to calculate the PFD.
TOC
Méthode Espace Evénement
 ‘Prévention des Pertes dans les Industries des Procédés

 Frank P. Lees.
 Utilisé pour modéliser une large gamme de configurations complexes dans
lesquelles:
 Un sous-système est composé d’un certain nombre d'éléments;
 Les systèmes sont composés de plusieurs sous-systèmes;
 Il y a des cheminements en série et des cheminements en parallèle;
 Nous devons calculer le PFD.
TOC
The Probability of Failure and/or
Success on Demand
 This depends on the state of each element

 If it is OK, the probability is
 If it has failed, the probability is
 Where:
TOC
La probabilité de Défaillance et / ou
Succès à la Demande
 Cela dépend de l'état de chaque élément

 Si c'est OK, la probabilité est
 S’il est défaillant, la probabilité est

 avec:
TOC
MTTF – Exercise
The Probability solutions
of Failure and/or
Success on Demand
 The PFD is then the sum of the probabilities where the state
will not operate on demand
 The PSD is the sum of the state probabilities where the
system will achieve success.
 PFD+PSD should be equal to 1.
TOC
MTTF – Exercise
La probabilité solutions
de Défaillance et /
ou Succès à la Demande
 Le PFD est alors la somme des probabilités dans lesquelles

l'état ne fonctionnera pas à la demande
 Le PSD est la somme des probabilités d'état où le système
réussira.
 PFD + PSD doit être égal à 1.
TOC
TOC
TOC
Common Problems
 PFD for diverse voted transmitters.

 PFD of a complex final element comprising a pump and a valve.
 PFD for different technologies.
 PFD of pressure protection to close off multiple flowlines on a common
manifold.
 PFD for the shut down of multiple wells.
TOC
Problèmes communs
 PFD pour divers transmetteurs votés.

 PFD d'un élément final complexe comprenant une pompe et
une valve.
 PFD pour différentes technologies.
 PFD de protection contre la pression pour fermer plusieurs
conduites d'écoulement sur un collecteur (manifold)
commun.
 PFD pour l'arrêt de plusieurs puits.
TOC
TOC
TOC
SIL Calc Application
 Using SIL Calc to solve the PFD for these examples

 How the application is configured
 Elements data
 Assemblies
 Systems configuration
 The PFD calculation
 Iterative approach to achieve optimal testing
TOC
Application SIL Calc
 Utiliser SIL Calc pour résoudre le PFD pour ces exemples

 Comment l'application est configurée
 Données des éléments
 Assemblages
 Configuration des systèmes
 Le calcul du PFD
 Approche itérative pour réaliser des tests optimaux
TOC
Any Questions
Any Questions ?
TOC
Questions
Questions?
TOC
TOC

Functional Safety-Day 5 Training

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Functional Safety-Day 5 Training

Transféré par

Droits d'auteur :

Formats disponibles

Velosi Funcional Safety Training

Velosi Formation en Sécurité

Functional Safety Instrumented System

 Inconsistency with interpretation:

 Difficulty with demonstrating ALARP:

 Semi quantifying (i.e. calibrating) significantly improves risk assessment.

Il y a des problèmes avec une approche purement qualitative:

 Difficulté à démontrer l’ALARP (aussi bas que raisonnablement praticable):

 La semi-quantification (càd: la calibration) améliore considérablement l'évaluation

 All semi quantified methods require:

 Toutes les méthodes semi-quantifiées nécessitent:

Tolérabilité du risque et ALARP - HSE (2001)

A 'typical' SIL determination

Each parameter has a range of

Une détermination SIL «typique»

Chaque paramètre a une plage de

A'= best case risk reduction

A '= meilleur cas de réduction du risque

A = CC basse * FA basse * PB * basse W2 * basse SIL 2

Taking parameters W2, CC, FA, PB

If all parameters at 'high' end of

'B' = worst case risk

B = High CC * High FA* PB * High W2 * High SIL 2

Prendre les paramètres W2, CC, FA, PB

Si tous les paramètres ont une valeur

‘B’ = pire cas de réduction

B = haut CC * haut FA * PB * haut W2 * haut SIL 2

 The risk afforded by the best case:

Ln(Average risk) = ((Ln (A) +Ln (8))12)

 Le risque permis par le meilleur des cas:

Ln (risque moyen) = ((Ln (A) + Ln (8)) 12)

 Three different views on this topic:

 We will look at ways of undertaking SIL

 Thus the demand on Fire and Gas tends to be low.

 We know: Risk = Frequency x Consequence.

 Only provides mitigation i.e. after the event risk reduction.

 Therefore two IL determinations  select the highest IL.

 Par conséquent, deux déterminations IL  choisir l'IL le plus élevé.

 Flammable Gas Case 1 - Immediate effect

 Flammable Gas Case 2- Reducing escalation

 Gaz inflammable Cas 2- Réduire l'escalade

 Toxic Gas Case 1 - Immediate effect

 Toxic Gas Case 2- Reducing escalation

 Gaz Toxique Cas 2- Réduire l'escalade

 Fire Case 1 - Immediate effect

 Fire Case 2- Reducing escalation

Tous les éléments primaires ont-ils été évalués?

SIL determination using risk graphs

 Risk graphs are more effective when:

 Les graphiques de risque sont plus efficaces lorsque:

W3 Taux de demande entre 3 et 0.3 par an. (0.3 et 3 ans)

General arrangement (in

--- = No safety requirements

Arrangement général (dans les

--- = pas d’exigences de sécurité

W3 Taux de demande entre 3 et 0.3 par an. (0.3 et 3 ans)

General arrangement (in

--- = No safety requirements

Arrangement général (dans les

--- = pas d’exigences de sécurité

W3 Taux de demande entre 3 et 0.3 par an. (0.3 et 3 ans)

SIL determination using Layers of Protection Analysis (LOPA).

Alarm and executive action in one function:

Use Safety Case or COMAH QRA data: