Hur allokera riskerna till SIL? Ivan Mares Senior Principal Consultant Scandpower AB, Kontorschef Göteborg 2012-03-14
Bakgrund? Processingenjör, Teknisk chef, Miljöchef, HSE-chef inom processindusteri >25 år Arbetat på Scandpower i nästan 2 år Riskanalyser HAZOP/HAZID Functional safety; Riskgraf, LOPA Riskhantering i projekt
Principer för Riskreduktion Vad är risken? Vilka riskreducerande åtgärder finns? Vad är acceptabel risk? RISK Oönskad händelse Faktisk riskreduktion Krävd riskreduktion Tolerabel risk (ALARP) Riskreduktion från andra åtgärder Riskreduktion från SIS Riskreduktion från andra säkerhetssystem (PSV, etc) Total riskreduktion Riskreduktion från design, driftprocedurer, etc.
Metoder för att bestämma SIL-nivå Riskmatris Riskgrafanalys Layer of Protection Analysis (LOPA) Felträdsanalys SIS = Safety Instrumented Function
Riskmatris - SIL Konsekvens C0 C1 C2 C3 C4 D4 > en gång per år SIL2 SIL3 Flera barriärer Sannolikhet D3 > en gång per 1-10år D2 > en gång per 10-100 år SIL1 SIL2 SIL3 Flera barriärer SIL1 SIL2 SIL3 Flera barriärer D1 > en gång per 100-1000 år SIL1 SIL2 SIL3 D0 > en gång per 1000-10 000 år SIL1 SIL2
Riskgrafanalys Riskgrafanalys finns beskriven i: Annex E i Part 5 i IEC 61508 (Ver. 2) Annex E i Part 3 i IEC 61511 (Ver. 1) Kan användas för att bestämma lämplig SIL-nivå för ett system (säkerhet, miljö och egendom) Relativt snabb metod Kan ge konservativa resultat
Riskgrafanalys Analys av varje instrumenterad säkerhetsfunktion om mer än en funktion är kopplad till en initiator (sensor) så analysera en funktion i taget. Anta att alla övriga funktioner är i full funktion. Risken, utan instrumenterad säkerhetsfunktion, baseras på utvärdering av 4 parametrar Frekvens för behov av SIS (W) Konsekvens (C) Närvaro av personal (F)* Sannolikhet för att undvika faran (P) * Notera att F-parametern enbart används vid bestämning av Säkerhet, ej för Miljö eller Egendom.
Riskgraf
Riskgrafanalys - parametrar W: Frekvens för behov för av SIS W1: Mycket låg frekvens; bara några få händelser förväntas att inträffa, mindre än 0,1 per år W2: Låg frekvens; få händelser förväntas inträffa, mellan 0.1 och 1 per år W3: Relativt hög frekvens; händelser förväntas inträffa regelbundet, mellan 1 och 10 per år. Kommentar: Syftet med W-parametern är att bestämma hur ofta den oönskade händelsen inträffar, utan effekt av det instrumenterade säkerhetssystemet, men med eventuella exsterna riskreducerande åtgärder. Alla felorsaker som kan leda till en oönskad händelse måste ges en frekvens
Riskgrafanalys - parametrar C: konsekvens Bestäm antal personer (N) som kan vara utsatta för händelsen Bestäm sårbarheten (V) Beräkna konsekvensen: C = N x V, välj därefter konsekvensparameter (C) F: frekvens för närvaro av personer FA: sällan till mer regelbunden närvaro i farozonen. Närvaro i genomsnitt mindre än 0.1 av tiden FB: Regelbunden till permanent närvaro i farozonen Kommentar til C och F: Klassificeringen ovan tar hänsyn till skada på människor. För skador på miljö och/eller egendeom måste andra klassificeringar användas
Riskgrafanalys - parametrar P: möjlighet för att undgå konsekvens av händelsen PA: möjligt under vissa omständigheter PB: nästan omöjligt Kommentar: PA-parameteren skall bara användas om Alarm: Det finns alarm på plats för att varsla en operatör om att SIS felat Hindra: Det finns oberoende system på plats för att hindra en oönskad händelse från att inträffa eller för att säkert utrymma personnal. Tidsförloppet: Tiden från att operatör blir varse att en oönskad händelse inträffat överstiger 1 timme eller är tillräcklig för att ta till nödvändiga åtgärder.
Kalibrering av riskgraf Helt kvalitativa metoder kan ge problem med: inkonsekventa bedömningar Vad är relativt hög frekvens? Hur många är flera omkomna? Hur många skadade/omkomna är katastrof? visa att riskreduktionen ger en tolerabel risk Metoden kan göras semikvantitativ och kräver därmed kalibrering kräver ett riskacceptanskriterium utförs med en enkel beräkning
Exempel RISK graf N1 N2 N3 N4 O1 O2 O3 O4 M1 M2 M3 M4 SEVERITY GoBi F1 0.1 No other barriers One other barrier (90%) More than one other barrier (90%) P1 0.1 1 a 0 0 a 0 0 0 0 0 0 0 RISKMATRIX P2 1.0 2 1 a 0 1 a 0 0 a 0 0 0 2 C1 F2 1.0 P1 0.1 2 1 a 0 1 a 0 0 a 0 0 0 P2 1.0 3 2 1 a 2 1 a 0 1 a 0 0 3 C2 F1 F2 P1 2 1 a 0 1 a 0 0 a 0 0 0 P2 3 2 1 a 2 1 a 0 1 a 0 0 P1 3 2 1 a 2 1 a 0 1 a 0 0 P2 4 3 2 1 3 2 1 a 2 1 a 0 4* C3 F1 F2 P1 3 2 1 a 2 1 a 0 1 a 0 0 P2 4 3 2 1 3 2 1 a 2 1 a 0 P1 4 3 2 1 3 2 1 a 2 1 a 0 P2 **** 4 3 2 4 3 2 1 3 2 1 a 5* C4 F1 F2 P1 4 3 2 1 3 2 1 a 2 1 a 0 P2 **** 4 3 2 4 3 2 1 3 2 1 a P1 **** 4 3 2 4 3 2 1 3 2 1 a P2 **** **** 4 3 **** 4 3 2 4 3 2 1 Frequency initiating event >1 YR 1 10 YR 10 100 YR 100 1000YR >1 YR 1 10 YR 10 100 YR 100 1000YR >1 YR 1 10 YR 10 100 YR 100 1000YR calibrated for basic layer control
Layer of Protection Analysis (LOPA) Riskgrafanalys finns beskriven i: Annex F i Part 5 i IEC 61508 (Ver. 2) Annex F i Part 3 i IEC 61511 (Ver. 1) Kan användas för att bestämma lämplig SIL-nivå för ett system (säkerhet, miljö och egendom) Kräver definierade acceptanskriterier och sannolikhet för fel på olika barriärer Mer detaljerad än Riskgraf Tidskrävande
Layer of Protection Analysis (LOPA) Utgår från oberoende skyddsbarriärer så kallade Independent Protection Layers (IPLs) Barriärer (IPL:er) kan vara: Aktiva respektive passiva Tekniska lösningar respektive procedurer. Finns två typer av barriärer (IPL:er) Preventiva: reducerar sannolikheten för en oönskad händelse (PSV) Reaktiva: hindrar konsekvensen av en händelse från att eskalera (Branddetektion)
Layer of Protection Analysis (LOPA) HANDTERING AV KRISSITUATION Utrymningsplan REAKTIVA BARRIÄRER Brand/gasdetktion, sprinkler FYSISKA BARRIÄRER Avstånd, placering FÖRMILDRANDE Säkerhetsventiler, sprängbläck FÖREBYGGANDE Alarm, Instrumenterade säkerhetssystem KONTROLL Kontrollsystem,driftbestämmelser, operatör PROCESS DESIGN Inneboende säkerhet
Layer of Protection Analysis (LOPA) LOPA identifierar den riskreduktion som krävs av ett instrumenterat säkerhetssystem för att anläggningen som helhet ska ha en tolerabel risk. Uttrycks i form av en Probability of Failure on Demand (PFD) som kan jämföras med SIL-klasserna enligt IEC 61508
Target Mitigated Event Likelihood (TMEL) for Safety Hazards Konsekvenskategori Konekvens TMEL Sannolikhet med skydd E Första hjälpen fall 3x10-2 per year D Lätt skada ej permanent. 3x10-3 per year C En skada med bestående men - flera svårare skador 3x10-4 per year B Ett dödsfall inom anläggningen. 3x10-5 per year A Flera dödsfall 1x10-5 per year
LOPA - Exempel Initating causes are eventus/year Independent Protective Layers (IPL) Impact Event Overfill of tank Overfill of tank Initiating Causes Pump failure Level Control failure Event Frequency 2.0 0.1 Process Control 0.1 - Independent alarm 0.5 0.5 Protective Clothing 0.1 0.1 Restricted Access 0.5 0.5 Intermediate Event 5E-3 2.5E-3 Frequency Total Mitigated Event 7.5E-3 Frequency Tolerable Event 1E-4 Frequency Required SIS risk 1E-4 / 7.5E-3 = 1.33E-2 (SIL 1) reduction
Riskgraf jämfört med LOPA Minimuminformation och förberedelser Riskgraf och LOPA Definition av Equipment Under Control (EUC) och kontrollsystemet Beskrivning av den oönskade händelse som krav på funktionen Beskrivning av frekvensen (demand rate) och konsekvensen av händelsen Beskrivning av andra säkerhetsfunktioner/system som kan finnas tillgängliga Driftsbetingelser (kontinuerlig drift, uppstart, nedstängning) LOPA: Fastlagna acceptanskriterier relaterat till konsekvenser för : Säkerhet Miljö Kommersiella kostnader / Skada på egendom LOPA kräver mer förarbete
Kriterier för giltiga barriärer (PFD < 0.1) 1. Effektiv förhindrar konsekvens när den fungerar som avsett. (tillräckligt...stor, snabb, kraftfull). 2. Oberoende Barriärer ska inte ha gemensamma komponenter. Barriärer ska inte ha samma gemensamma orsak till att de inte fungerar (Comkmon cause 3. Reviderbar Tilltro att barrären fungerar när den behövs. a) Barriärens integritet skall underhållas genom Kritiska arbetsuppgifter efter tilldelat ansvar b) Sannolikheten för att barriären ej fungerar vid behov ska vara lägre än 10%. Probability of Failure on Demand (PFD)
Riskgraf jämfört med LOPA Riskgraf Fastställande av instrumenterade säkerhetsfunktioner Grov ranking av konsekvens och sannolikhet för att händelsen inträffar Svårt att ta hänsyn till flera andra barriärer (säkerhetssystem) Går snabbare än LOPA Generellt kommer Riskgraf ge högre SIL-krav än LOPA. LOPA Fastställande av risk / oönskad händelse Värdera konsekvens i kategorier och ge varje orsak en sannoliket för att den felar Kan enkelt ta hänsyn till flera andra barriärer (säkerhetssystem) Kräver mer tid och resurser än Riskgraf Generellt kommer Riskgraf ge lägre SIL-krav än LOPA. Riskgraf ger besparingar i design, men LOPA ger besparingar under drift
Kombinera Riskgraf och LOPA Riskgraf fastställer SIL 1 Om SIL 2 LOPA LOPA är mindre konservativ SIL 1 Detta resulterar i SIS med SIL 1
For more information, please contact: Ivan Mares Senior Principal Consultant Gothenburg Office Manager Scandpower AB T +46 (0)31 3350 344 E ima@scandpower.com W www.scandpower.com w www.lr.org
Backup bilder
Relation MTBF and PFD Gives Requirements upon preventative maintenance / inspection To count as a valid barrier, average PFD has to be 1/10 or better 100% 90% 80% PFD (%) 70% 60% 50% 40% Example: Diesel Engine (MTBF 1 year) Tank level alarm (float) 30% 20% 10% average PFD 1/10 0% 0 1 2 3 4 5 6 7 8 MTBF inspect time (years)
Human error Description Human-error probability General rate for errors involving very high stress levels 0.3 Complicated non-routine task, with stress 0.3 Supervisor does not recognise the operator's error 0.1 Non-routine operation, with other duties at the same time 0.1 Operator fails to act correctly in the first 30 minutes of a stressful emergency situation 0.1 Errors in simple arithmetic with self-checking 0.03 General error of oral communication 0.03 Failure to return the manually operated test valve to the correct configuration after maintenance 0.01 Operator fails to act correctly after the first few hours in a high-stress scenario 0.01 General error of omission 0.01 Error in a routine operation where care is required 0.01 Error of omission of an act embedded in a procedure 0.003 General error rate for an act performed incorrectly 0.003 Error in simple routine operation 0.003 Selection of the wrong switch (dissimilar in shape) 0.001 Selection of a key-operated switch rather than a non-key-operated switch (EOC) 0.0001 Human-performance limit: single operator 0.0001 Human-performance limit: team of operators performing a well-designed tast, very good PSFs, etc. 0.00001
Initiatiang causes Initiating Cause (IC) Likelihood of Failure (Events per Year) BPCS instrument loop failure 1 x 10-1 Regulator failure 1 x 10-1 Fixed equipment failure (E.g. exchanger tube failure) 1 x 10-2 Pumps and other rotating equipment 1 x 10-1 Cooling water failure (redundant CW pumps, diverse drivers) 1 x 10-1 Loss of power (redundant power supplies) 1 x 10-1 Human error (Routine Task, Once-per-Day ) 1 x 10-1 per opportunity to act Human error (Routine Task, Once-per-Month ) 1 x 10-1 per opportunity to act Human error (Non-Routine Task, Low Stress) 1 x 10-1 per opportunity to act Human error (Non-Routine Task, High Stress) 3 x 10-1 per opportunity to act Gasket / packing blowout 1 x 10-2 Turbine / diesel engine overspeed with casing breach 1 x 10-4 Third party intervention (external impact by backhoe, vehicle, etc.) 1 x 10-2 Crane load drop 1 x 10-4 per lift Lightning strike 1 x 10-3 Safety valve opens spuriously 1 x 10-2 Pump seal failure 1 x 10-1 Unloading / loading hose failure 1 x 10-1 Small external fire (aggregate causes) 1 x 10-1 Large external fire (aggregate causes) 1 x 10-2 LOTO (lock-out tag-out) procedure* failure 1 x 10-3 per opportunity *overall failure of a multiple-element process Operator failure (to execute routine procedure, assuming well trained, unstressed, not fatigued) Other initiating events 1 x 10-2 per opportunity Develop using experience of personnel
On demand layers of protection failures Independent Protection Layer (IPL) Probability of Failure on Demand (PFD) Basic process control system, if not associated with the initiating event being considered 1 x 10-1 Operator response to alarm with sufficient time available to respond. 1 x 10-1 Relief valve 1 x 10-2 Rupture disc 1 x 10-2 Flame / detonation arrestors 1 x 10-2 Dike/bund 1 x 10-2 Underground drainage system 1 x 10-2 Open vent (no valve) 1 x 10-2 Fireproofing 1 x 10-2 Blast-wall / bunker 1 x 10-3 Identical redundant equipment 1 x 10-1 (max credit) Diverse redundant equipment 1 x 10-1 to 1 x 10-2 Other events Use experience of personnel