Vad ska ingå i Safety Requirement Specification?

Relevanta dokument
Vad ska ingå i Safety Requirement Specification (SRS)?

SIL Vad är det? Ebba Lindgren, Tryck & Svets

SIL i praktiken i processindustrin

WeibullKonsult AB SIL i praktiken. SIL i praktiken. IPS seminarium

Siemens. Safety User Club. Aktivitet - Praktisk maskinsäkerhet Felsäkra styrsystem & pneumatik

Säkerhetsfunktioner rstå varandra? Finns behov av att avvika från normal säkerhetsfunktion s vissa betingelser under uppstart, ändringar i processen

SVENSK STANDARD SS-EN

Hur allokera riskerna till SIL? Annie Svensson Manager / Senior Consultant Scandpower AB

IPS INTRESSENTFÖRENINGEN FÖR PROCESSÄKERHET

Produktens väg från idé till grav

Originalbruksanvisning AS-i Safety-kretskort E7015S /00 07/2010

Bruksanvisning AS-i-säkerhetsmodul för nödstopp Manöverenhet AC012S / / 2008

IPS Vårkursvecka

Innovation för system integration

TEKNISKA BESTÄMMELSER FÖR ELEKTRISK UTRUSTNING

HV3 Avstängningsventil Installations- och underhållsinstruktioner

Installationanvisning, apparatlåda för rökfunktion med spjällmotionering TBLZ GOLD/COMPACT

REGELVERK & HANDBÖCKER

SVENSK STANDARD SS-EN

FMV användning av ISO/IEC för ledningssystem implementering. Harold Bud Lawson Styrelsemedlem och Consulting Partner

TEKNISKA BESTÄMMELSER FÖR ELEKTRISK UTRUSTNING

Safe Logic Compact. Konfigurering av Rexroth säkerhets PLC. Snabbguide Svenska

Cargolog Impact Recorder System

VECTUS PRT Automatbaneprosjekt Korea

Systemsäkerhet i ett marint ledningssystem

El, Automation & Process

Att fatta rätt beslut vid komplexa tekniska upphandlingar

SOC7-128 SOC7-M2 SOC7-R1

Testning på 3 föreläsningar. PV7180 Verifiering och Validering. Litteratur. Vad är testning? Varför testa och olika syn? Målet med testning

Larmsystem SVENSKA KRAFTNÄT TEKNISK RIKTLINJE. TEKNISK RIKTLINJE TR utg 4. ENHET, VERKSAMHETSOMRÅDE NK, Kontroll^nläggpingar

Internationellt standardiseringsarbete för kvalitetskrav av hälsoappar Mats Artursson, Läkemedelsverket Jenny Acaralp, SIS

DP17, DP143 och DP163 Tryckreduceringsventiler Kompletterande säkerhetsinformation Installations- och underhålls instruktioner

TIAP-metoden för statusbestäming

SVENSK STANDARD SS-EN

BFT3000. Användarmanual

Kursinformation. Metodik för programvaruutveckling. Utvecklingsprocessen för programvara. Innehåll. Processmodell. Exempel

Programvara i säkerhetskritiska tillämpningar

by Lindquist Heating

STYRCENTRAL FÖR 2-LEDARSMÖRJSYSTEM CC1 Alpha Art.nr BRUKSANVISNING

modu533: I/O modul, universal/digitala ingångar, S0 ingång

Siloövervakning Silosäkerhet vid mottagning av pneumatiskt transporterat material

Säkerhetskritiska styrsystem i maskiner

Funktionsguide GOLD version E/F, SMART Link DX

Bruksanvisning Varmkanalstyrning KT300S

Regressionstestning teori och praktik

Mätdator för vatten. Avjoniserat varmvatten passar perfekt för alla anläggningar. Installation Funktion Drift Service

Installationanvisning, apparatlåda för rökfunktion med spjällmotionering TBLZ GOLD/COMPACT

F-ARI. Nya självtestande jordfelsbrytare med automatiska testfunktioner

PROGES PLUS THERMOSCAN RF. Instruktionsmanual V

Strålsäkerhetsmyndighetens författningssamling

Viktig produktsäkerhetsinformation

Datablad 5.12 Utgåva A. Våt larmventil Svensk Trim - CE-märkt

Välkomna till Siemens Safety User Club Medveten utveckling och erfarenhetsutbyte mellan branscher

Kalibrering. Lars Andersson. - Intertek reder ut begreppen. Kalibrering av instrument för elektriska installationer. Technical Manager, Intertek

SVENSK STANDARD SS-EN

E2PSkommunikationsmodul. - Felrapportering - Fjärrstyrd test EPS, APS, OUT. Strömmodul PSV transformer Säkringskort EPS, APS, OUT

BrukSAnviSning. SAFERA Siro R spisvakt

BSA, A3S, HV3 och RP Isoleringsventiler Kompletterande säkerhetsinformation Installations och underhållsinstruktioner

444.1 QAF62.1. Frysvakt. Frysvakt med kompletterande funktion för vattentemperaturreglering i luftbehandlingsanläggningar.

Säkerhetsstandarder: Säkerhetsinriktning

Forum om säkrare sågverk. hur skapa säkrare sågverk med bibehållen eller ökad produktivitet?

RHOSS IDROWALL Fläktluftkylare/värmare Idrowall MPCB och MPCV

G5951 DCS880 Grundläggande handhavande och underhåll

7. DRIFTKORT RG SERIEN

Manual UDM 35/40 Digitalt panelinstrument

EVCO Instrumentbeskrivning EVK241

Problemlösare RDS5000

5.4.4 Funktionsspecifikation

Agenda. Tid Aktivitet Föreläsare Åtgång tid 08:30 Registrering vid TS recep. Transport till våning 5.

INSTALLATIONSANVISNING DRIFT OCH UNDERHÅLL

SSG Säkerhetskommitté. Ag 4 Säker automatiserad processanläggning

Användarmanual. asense GH

Nordisk standard för kvalitetssäkring av brandskydd

Snabbguide - IndraDrive L3/L4 säkerhetsoption. Version

EVCO Instrumentbeskrivning EVK204 med HACCP-larm och energisparläge

Installations- och bruksanvisning

Metoder och verktyg för funktionssäkerhet

Om du gör ett misstag när du trycker in din användarkod - tryck helt enkelt in den rätta koden.

MANUAL. MEDICINSKT TANGENTBORD Compliance Standard K105C02-SWE. rev

Risk som 2-dimensionellt begrepp

Kalibrering. Lars Andersson. - Intertek reder ut begreppen. Kalibrering av instrument för elektriska installationer. Technical Manager, Intertek

EVCO Instrumentbeskrivning EVK203 (ersätter FK203T)

LARMSYSTEM. TEKNISK RIKTLINJE TR utg C 1/8. NK, Kontrollanläggning DATUM TEKNISK RIKTLINJE UTGÅVA C

EVCO Instrumentbeskrivning EVK203 (ersätter FK203T)

EVCO Instrumentbeskrivning EVK201 (ersätter FK200X)

ABB Tilläggsbeskrivning för strömriktare DCS880 med funktioner för funktionell säkerhet - Översatt från originalinstruktion

Innehållsförteckning. Figur- och tabellförteckning. Figure 1 Blockschema över hårdvaran...4 Figure 2 Blockschema över programet...

EVCO instrumentbeskrivning EVK242

Instruktionsbok. ExciControl CAN-brygga

Installations- och bruksanvisning

Bergvärmepump Compress 7000i LW

Cyklisk drift av ångturbiner utmaningar och lösningar. Borås, /10

IPS seminarium om SILbestämning

Användarmanual. asense

OEM. Injusteringsprotokoll RVS46.530/1. Installationsadress:.. Injusteringsdatum: Injusterat av: Slutanvändarnivå. Parameterlista för Slutanvändarnivå

CM FORUM. Introduktion till. Configuration Management (CM) / Konfigurationsledning. Tobias Ljungkvist

ID3000. Notifier by Honeywell: Adresserbart brandlarm

Trådlös Rök Detektor SD14

asense CO 2 / temperaturgivare Allmänt

Instruktion SUSIX. Instruktion 7110 SuSix

Transkript:

Vad ska ingå i Safety Requirement Specification? SIL i praktiken i processrelaterade applikationer SIEMENS, Upplands Väsby, 25-26 maj Automations- & säkerhetsingenjör M. Sc. E. E. pidab ab tel: 031-27 30 15 hemsida:

Safety Requirement Specification (SRS) IEC 61511-1 3.2.78: specifikation som innehåller alla krav på de säkerhetskritiska instrumentfunktioner som måste utföras av ett säkerhetskritiskt instrumentsystem specification that contains all the requirements of the safety instrumented functions that have to be performed by the safety instrumented system

IEC 61508 Safety Lifecycle 1 2 3 4 Concept Overall scope definition Hazard and risk analysis Overall safety requirements 5 Safety requirements allocation SRS SRS 6 Overall operation and maintenance planning Overall planning 7 Overall safety validation planning 8 Overall installation & commissioning planning 9 Safety-related systems: E/E/PES Realisation (see E/E/PES safety lifecycle) Safety-related systems: other technology 10 11 Realisation External risk reduction facilities Realisation 12 Overall installation and commissioning 13 Overall safety validation Back to appropriate overall safety lifecycle phase 14 Overall operation, maintenance and repair 15 Overall Modification and Retrofit 16 Decommissioning or disposal IEC 61508-1 Figure 2

Styrsystemsberoende olycksorsaker Styrsystemsberoende olycksorsaker enligt en studie utförd av HSE (Health and Safety Executive) i Storbritannien, publicerad 1995 21% 44% 15% 6% 14% Specifikationer & Underlag Installation & Drifttagning Ändringar efter drifttagning Konstruktion & Konfigurering Drift & Underhåll

IEC 61511-2 10.1: Att sammanställa en säkerhetskravspecifikation för ett SIS är en av de viktigaste aktiviteterna under systemets hela "safety life cycle". Det är med hjälp av denna specifikation som man definierar hur man vill att de säkerhetskritiska instrumentfunktionerna (SIF) ska konstrueras och integreras i ett SIS.

Kravspecifikationens användning Kravspecifikationen är ett mycket viktigt dokument som behövs för att bibehålla integriteten hos det säkerhetskritiska instrumentsystemet (SIS) under hela dess livslängd. SRS-dokumentet/dokumenten är underlag till: Specifikationer & förfrågningar Hårdvarurealisering (konstruktion) Mjukvarurealisering (SRS för applikationsmjukvara) Installations- och testinstruktioner Validering Driftsinstruktioner och systembeskrivningar Funktionsprovs- och underhållsinstruktioner Modifieringsrutiner

SRS Konstruktionsunderlag 3 4 5 Hazard and risk analysis Overall safety requirements Safety requirements allocation SRS SRS 6 Overall operation and maintenance planning Overall planning 7 Overall safety validation planning 8 Overall installation & commissioning planning 9 Safety-related systems: E/E/PES Realisation (see E/E/PES safety lifecycle) Safety-related systems: other technology 10 11 Realisation External risk reduction facilities Realisation 12 Overall installation and commissioning 13 Overall safety validation Back to appropriate overall safety lifecycle phase 14 Overall operation, maintenance and repair 15 Overall Modification and Retrofit 16 Decommissioning or disposal

SRS Planeringsunderlag 3 4 5 Hazard and risk analysis Overall safety requirements Safety requirements allocation SRS SRS 6 Overall operation and maintenance planning Overall planning 7 Overall safety validation planning 8 Overall installation & commissioning planning 9 Safety-related systems: E/E/PES Realisation (see E/E/PES safety lifecycle) Safety-related systems: other technology 10 11 Realisation External risk reduction facilities Realisation 12 Overall installation and commissioning 13 Overall safety validation Back to appropriate overall safety lifecycle phase 14 Overall operation, maintenance and repair 15 Overall Modification and Retrofit 16 Decommissioning or disposal

3 typer av SRS-krav Säkerhetskritiska funktionskrav Specificerar vad som krävs för att processen ska hamna eller förbli i ett definierat säkert tillstånd (safe state). Säkerhetskritiska integritetskrav Specificerar med hjälp av SIL den tillförlitlighet som krävs för att tillräcklig riskreduktion ska uppnås. Övriga krav Specificerar krav som inte har med säkerheten att göra

SRS / Uppdelning SRS Uppdelning Krav Funktion Integritet Övrigt Allmän specifikation (Gäller hela SIS) Hårvara (allmänt) Mjukvara (allmänt) Infrastruktur (allmänt) Miljökrav (allmänt) Min. system SIL (PES) Min. livslängd (PES) Min. testintervall (PES) Infrastruktur (Separation) Tillgänglighet PLC Signalutbyte DCS HMI krav Funktionsspecifik specifikation (För varje SIF) Säkert läge (Safe state) Utlösande parameter Maximal svarstid Återställning Förbikoppling (Override) Sensordel Krav/Beskr. Logik Krav/Beskr. Manöverdel Krav/Beskr. Krävd SIL Anropsfrekvens Min. testintervall (PTI) Tillgänglighet Åtgärder i DCS Larm Indikeringar Felmeddelanden

Innehåll i allmän del (SIS) Lista över alla säkerhetsfunktioner (SIF) som ska ingå i systemet (SIS) En lista över aktuella driftstillstånd i anläggningen och vilka säkerhetsfunktioner (SIF) som ska vara aktiva i respektive driftstillstånd. En parameterlista med TAG-nr, mätområden och gränsvärden Alla speciella krav knutna till start och återstart av systemet (SIS) Krav på åtgärder för att uppnå eller bibehålla ett säkert läge då fel detekteras i systemet (SIS) Allmänna miljökrav: Temperatur, Damm, Fuktighet, EMC, Vibrationer etc.

Exempel SIF: Högt reaktortryck RÅVARA A XV-122 FV-120 XM 001 FT 120 FFC 120 FT 110 FC 110 LC 100 XV-112 RÅVARA B FV-110 LT 100 PV-102 AVGASER R-044 PC 102 PT 102 PSV TV-101 ÅNGA XV-142 TT 101A TC 101 TY 101 TT 101B TT 101C XV-132 FT 130 FC 130 FV-130 PRODUKT

1. Allmän funktionsbeskrivning Hur ska funktionen namnges (SIF-tag)? SIF 044-01 Vilken farlig händelse ska funktionen ge skydd emot? Högt tryck i reaktor 044 Vilken funktionstyp? (Hur ska funktionen arbeta?) Förebyggande vid behov (Preventive on demand) Vilket säkert läge (safe state) har definierats för funktionen? Avstängd värmetillförsel till reaktor 044 och omrörning i reaktor 044

Förebyggande & begränsande barriärer Förebyggande barriärer Farlig händelse Begränsande barriärer Avvikelse Topphändelse (Konsekvens) Preventive barriers Hazardous event Mitigative barriers

Funktionstyper Säkerhetskritiska instrumentfunktioner (SIFs) kan antingen: vara förebyggande (preventive), genom att minska sannolikheten för att en farlig händelse ska inträffa. eller vara begränsande (mitigative), genom att minska konsekvenserna av den farliga händelsen om den inträffar. Förebyggande säkerhetsfunktioner kan antingen: aktiveras vid behov (demand mode) eller arbeta kontinuerligt som en reglerfunktion (continuous mode) Begränsande säkerhetsfunktioner aktiveras alltid vid behov (demand mode)

Vilken skyddsbarriär tillhör funktionen? BEGRÄNSANDE BARRIÄRER FÖREBYGGANDE BARRIÄRER PROCESSTYRNING (BPCS) PROCESSDESIGN

Funktionstyper forts. Enligt IEC 61511 så finns det 3 st. typer av säkerhetskritiska instrumentfunktioner (SIFs): 1. Förebyggande säkerhetsfunktioner som träder i funktion vid behov. Dessa funktioner är absolut vanligast i processindustrin. 2. Begränsande säkerhetsfunktionen som träder i funktion vid behov. Sådana funktioner finns i vissa anläggningar, oftast för att begränsa konsekvenserna av bränder och gasutsläpp (Fire & Gas). 3. Förebyggande säkerhetsreglerfunktioner som arbetar kontinuerligt. IEC 61511 ger möjlighet till säkra reglerfunktioner, men de är mycket ovanligt att de används och man tar bara till dessa i nödfall då man av något skäl inte kan införa funktioner som anropas vid behov enligt 1. Dessa funktioner kräver SIL-certifierad hård- och mjukvara för reglering!

2. Hur ska funktionen lösas ut (Causes)? Vilken storhet och vilket gränsvärde ska lösa ut funktionen? Funktionen ska lösas ut då trycket i reaktorn överskrider 12,5 bar g Ska funktionen förbikopplas automatiskt vid något driftsfall? Nej Ska funktionen kunna lösas ut manuellt? Ja, från lokal "nödstoppsknapp" vid reaktorn och från HMI Ska/får funktionen förbikopplas manuellt för underhåll etc.? Nej

3. Vad ska funktionen utföra (Effects)? Vad ska funktionen utföra primärt (för att processen ska hamna eller förbli i det definierade säkra läget)? 1. Stänga av tillförseln av ånga till reaktor R-044 och (2oo2) 2. Stänga av omröraren i reaktor R-044 Vad ska funktionen utföra sekundärt (av driftsskäl som inte har med det säkra läget att göra)? 1. Stänga av tillförseln av råvara A till reaktor R-044 2. Stänga av tillförseln av råvara B till reaktor R-044 3. Stänga ångreglerventilen TV-101 4. Öppna avgasreglerventilen PV-102

4. Krav på de "säkra" manöverdonen Ska någon manöver arbetsströmkopplas och i så fall varför? Nej Är tillgängligheten på manövermedia (el, luft) kritisk? Nej Behöver någon ventil klara "tight shut-off"? Nej Behöver något manöverdon skyddas mot en större olycka (brand) och i så fall under hur lång tid? Nej

5. Tidskrav Ska/får den automatiska utlösningen fördröjas (filtreras)? Nej Hur lång tid får det maximalt ta tills "säkert läge" är uppnått? 10 sekunder Ska någon manöver utföras fördröjt eller sekventiellt? Nej Behöver någon manöver rampas eller bromsas? Ångan ska stängas långsamt för att undvika "tryckslag".

6. Återställning Hur ska funktionen återställas? Manuellt (av operatör) Varifrån ska funktionen återställas? Från arbetsplats (HMI) i kontrollrum Finns det villkor för återställning? Ångreglerventil TV-101 ska vara bekräftat fullt stängd Avgasventil PV-102 ska vara bekräftat fullt öppen

7. Behovs- & testfrekvens Vilka "behovskällor" (avvikelser) har identifierats? Fel (högt) flödesförhållande råvara A/B 1 gång / 10 år Fel (stängd) avgasreglerventil 1 gång / 40 år För låg koncentration av råvara B 1 gång / 100 år Hög reaktortemp. & farligt fel SIF (SIL 1) 1 gång / 200 år Hur ofta beräknas funktionen behövas (demand rate)? 0,14 gånger / år (~ 1 gång / 7 år) Hur ofta kan/ska funktionsprov utföras (proof test interval)? Kan provas årligen. Funktionsprov vart 3:e år är önskvärt.

Behovskategorier enligt IEC 61508-1 1. Lågt behov (Low demand mode of operation): Då demand rate 1 / år och proof test intervall 0,5 / demand rate PFD avg verifieras med 61511-1 Tabell 3 (Demand Mode of Operation) 2. Högt behov (High demand mode of operation): Då demand rate: > 1 / år eller proof test intervall > 0,5 / demand rate PFH verifieras med 61511-1 Tabell 4 (Continuous Mode of Operation) 3. Kontinuerligt behov (Continuous demand mode of operation): Då en farlig situation direkt uppstår som följd av ett farligt funktionsfel PFH verifieras med 61511-1 Tabell 4 (Continuous Mode of Operation)

IEC 61511-1: Tabell 3 SIL DEMAND MODE OF OPERATION PFD avg (Krav) RRF (Riskreduktionsfaktor) 4 10-4 >PFD avg 10-5 10 000 < RRF 100 000 3 10-3 >PFD avg 10-4 1 000 < RRF 10 000 2 10-2 > PFD avg 10-3 100 < RRF 1000 1 10-1 > PFD avg 10-2 10 < RRF 100 IEC 61511-1 Table 3

IEC 61511-1: Tabell 4 SIL CONTINUOUS MODE OF OPERATION PFH (Krav) 4 10-8 >PFH 10-9 3 10-7 >PFH 10-8 2 10-6 > PFH 10-7 1 10-5 > PFH 10-6 IEC 61511-1 Table 4

Behovskategorin i vårt fall Vilket behovs gäller i vårt fall? Behovsfrekvensen 1 / år : 0,14 / år 1 / år OK! Testintervallet PTI 0,5 / 0,14 1 år 3,5 år OK! Lågt behov gäller alltså så länge PTI är kortare än 3,5 år

8. Integritet & tillgänglighet Vilket SIL-tal ska funktionen klara (verifieras till)? SIL 2 Vilken metod har använts för SIL-bestämning? Riskgraf Vilken behovskategori gäller för SIL-verifieringen? Lågt behov (Low demand mode of operation) Hur ofta får funktionen trippa falskt (max. spurious trip rate)? 1 gång på 20 år

9. Testbarhet & felhantering Finns det några särskilda krav för att möjliggöra eller underlätta funktionsprov? Nej Vad ska ett detekterat fel i sensordelen medföra? Larm och tripp efter 8 h Vad ska ett detekterat fel i manöverdelen medföra? Larm

10. HMI Ska det larma då funktionen löst ut? Ja Ska det komma förlarm nära utlösningsgränsen? Ja, då trycket överskrider 12,0 bar g Ska uppnått "säkert läge" indikeras i HMI och i så fall hur? Ja, med texten Reaktor Stopp i reaktorns grafikbild.

SRS för applikationsmjukvaran IEC 61511-1 12.2.2.1: En säkerhetskravspecifikation (ett konfigureringsunderlag) för applikationsmjukvaran ska sättas samman. IEC 61511-1 12.2.2.2: Indata till specifikationen av säkerhetskrav på applikationsmjukvaran för ett SIS ska omfatta: De i SRS specificerade säkerhetskraven för funktionerna (SIFs) De krav som beror på den valda SIS arkitekturen Övriga krav enligt säkerhetsplanen

Krav för "rätt" konfigurering IEC 61511-1 12.2.2.3: Kravspecifikationen ska vara tillräckligt detaljerad för att den erfordrade säkerhetsintegriteten ska erhållas vid design och konfigurering och funktionssäkerheten kan kontrolleras mot den. Följande ska bl.a. övervägas: Funktionalitets Kapacitets- och tidskrav Process- och operatörsinterface Alla relevanta driftstillstånd enligt SRS Övervakning av sensorer och ställdon Åtgärder vid detektion av givarfel, kortslutning och avbrott etc Mjukvara för diagnostik och för funktionsprov

Krav för "rätt" val av utrustning (PES) IEC 61511-1 12.2.2.6: Kravspecifikationen ska lämna information så att rätt typ av utrustning kan väljas. Följande ska bl.a. övervägas: Funktionalitet som gör det möjligt att uppnå eller bibehålla "säkert läge" Funktionalitet för detektion, signalering och åtgärdande av fel i säkerhetssystemets delar. Funktionalitet för funktionsprov av säkerhetskritiska instrumentfunktioner Funktionalitet som stöder säkra modifieringar av systemet Interface (mjukvarublock) till icke säkerhetskritiska funktioner Kapacitets- och tidsprestanda Certifierat SIL-tal för all felsäker mjukvarufunktionalitet

Realiseringsfasen SRS Principiell SIS HW-design (SIL-verifiering) Detaljerad SIS HW-design Konfigurering av applikations- mjukvara SRS för f applikations- mjukvaran PES design TIDSLINJE

Verifiering / Mjukvaruverifiering (V-modellen) SIS Safety Requirements Specification Validation SIS Safety Validation Application Software Safety Requirements Specification Verification PES Application software Integration testing Application Software Architecture design Application software development Verification Application software testing Application module development Verification Application module testing Code development & testing FVL only (IEC 61508-3) IEC 61511-1 Figure 12