Vad ska ingå i Safety Requirement Specification? SIL i praktiken i processrelaterade applikationer SIEMENS, Upplands Väsby, 25-26 maj Automations- & säkerhetsingenjör M. Sc. E. E. pidab ab tel: 031-27 30 15 hemsida:
Safety Requirement Specification (SRS) IEC 61511-1 3.2.78: specifikation som innehåller alla krav på de säkerhetskritiska instrumentfunktioner som måste utföras av ett säkerhetskritiskt instrumentsystem specification that contains all the requirements of the safety instrumented functions that have to be performed by the safety instrumented system
IEC 61508 Safety Lifecycle 1 2 3 4 Concept Overall scope definition Hazard and risk analysis Overall safety requirements 5 Safety requirements allocation SRS SRS 6 Overall operation and maintenance planning Overall planning 7 Overall safety validation planning 8 Overall installation & commissioning planning 9 Safety-related systems: E/E/PES Realisation (see E/E/PES safety lifecycle) Safety-related systems: other technology 10 11 Realisation External risk reduction facilities Realisation 12 Overall installation and commissioning 13 Overall safety validation Back to appropriate overall safety lifecycle phase 14 Overall operation, maintenance and repair 15 Overall Modification and Retrofit 16 Decommissioning or disposal IEC 61508-1 Figure 2
Styrsystemsberoende olycksorsaker Styrsystemsberoende olycksorsaker enligt en studie utförd av HSE (Health and Safety Executive) i Storbritannien, publicerad 1995 21% 44% 15% 6% 14% Specifikationer & Underlag Installation & Drifttagning Ändringar efter drifttagning Konstruktion & Konfigurering Drift & Underhåll
IEC 61511-2 10.1: Att sammanställa en säkerhetskravspecifikation för ett SIS är en av de viktigaste aktiviteterna under systemets hela "safety life cycle". Det är med hjälp av denna specifikation som man definierar hur man vill att de säkerhetskritiska instrumentfunktionerna (SIF) ska konstrueras och integreras i ett SIS.
Kravspecifikationens användning Kravspecifikationen är ett mycket viktigt dokument som behövs för att bibehålla integriteten hos det säkerhetskritiska instrumentsystemet (SIS) under hela dess livslängd. SRS-dokumentet/dokumenten är underlag till: Specifikationer & förfrågningar Hårdvarurealisering (konstruktion) Mjukvarurealisering (SRS för applikationsmjukvara) Installations- och testinstruktioner Validering Driftsinstruktioner och systembeskrivningar Funktionsprovs- och underhållsinstruktioner Modifieringsrutiner
SRS Konstruktionsunderlag 3 4 5 Hazard and risk analysis Overall safety requirements Safety requirements allocation SRS SRS 6 Overall operation and maintenance planning Overall planning 7 Overall safety validation planning 8 Overall installation & commissioning planning 9 Safety-related systems: E/E/PES Realisation (see E/E/PES safety lifecycle) Safety-related systems: other technology 10 11 Realisation External risk reduction facilities Realisation 12 Overall installation and commissioning 13 Overall safety validation Back to appropriate overall safety lifecycle phase 14 Overall operation, maintenance and repair 15 Overall Modification and Retrofit 16 Decommissioning or disposal
SRS Planeringsunderlag 3 4 5 Hazard and risk analysis Overall safety requirements Safety requirements allocation SRS SRS 6 Overall operation and maintenance planning Overall planning 7 Overall safety validation planning 8 Overall installation & commissioning planning 9 Safety-related systems: E/E/PES Realisation (see E/E/PES safety lifecycle) Safety-related systems: other technology 10 11 Realisation External risk reduction facilities Realisation 12 Overall installation and commissioning 13 Overall safety validation Back to appropriate overall safety lifecycle phase 14 Overall operation, maintenance and repair 15 Overall Modification and Retrofit 16 Decommissioning or disposal
3 typer av SRS-krav Säkerhetskritiska funktionskrav Specificerar vad som krävs för att processen ska hamna eller förbli i ett definierat säkert tillstånd (safe state). Säkerhetskritiska integritetskrav Specificerar med hjälp av SIL den tillförlitlighet som krävs för att tillräcklig riskreduktion ska uppnås. Övriga krav Specificerar krav som inte har med säkerheten att göra
SRS / Uppdelning SRS Uppdelning Krav Funktion Integritet Övrigt Allmän specifikation (Gäller hela SIS) Hårvara (allmänt) Mjukvara (allmänt) Infrastruktur (allmänt) Miljökrav (allmänt) Min. system SIL (PES) Min. livslängd (PES) Min. testintervall (PES) Infrastruktur (Separation) Tillgänglighet PLC Signalutbyte DCS HMI krav Funktionsspecifik specifikation (För varje SIF) Säkert läge (Safe state) Utlösande parameter Maximal svarstid Återställning Förbikoppling (Override) Sensordel Krav/Beskr. Logik Krav/Beskr. Manöverdel Krav/Beskr. Krävd SIL Anropsfrekvens Min. testintervall (PTI) Tillgänglighet Åtgärder i DCS Larm Indikeringar Felmeddelanden
Innehåll i allmän del (SIS) Lista över alla säkerhetsfunktioner (SIF) som ska ingå i systemet (SIS) En lista över aktuella driftstillstånd i anläggningen och vilka säkerhetsfunktioner (SIF) som ska vara aktiva i respektive driftstillstånd. En parameterlista med TAG-nr, mätområden och gränsvärden Alla speciella krav knutna till start och återstart av systemet (SIS) Krav på åtgärder för att uppnå eller bibehålla ett säkert läge då fel detekteras i systemet (SIS) Allmänna miljökrav: Temperatur, Damm, Fuktighet, EMC, Vibrationer etc.
Exempel SIF: Högt reaktortryck RÅVARA A XV-122 FV-120 XM 001 FT 120 FFC 120 FT 110 FC 110 LC 100 XV-112 RÅVARA B FV-110 LT 100 PV-102 AVGASER R-044 PC 102 PT 102 PSV TV-101 ÅNGA XV-142 TT 101A TC 101 TY 101 TT 101B TT 101C XV-132 FT 130 FC 130 FV-130 PRODUKT
1. Allmän funktionsbeskrivning Hur ska funktionen namnges (SIF-tag)? SIF 044-01 Vilken farlig händelse ska funktionen ge skydd emot? Högt tryck i reaktor 044 Vilken funktionstyp? (Hur ska funktionen arbeta?) Förebyggande vid behov (Preventive on demand) Vilket säkert läge (safe state) har definierats för funktionen? Avstängd värmetillförsel till reaktor 044 och omrörning i reaktor 044
Förebyggande & begränsande barriärer Förebyggande barriärer Farlig händelse Begränsande barriärer Avvikelse Topphändelse (Konsekvens) Preventive barriers Hazardous event Mitigative barriers
Funktionstyper Säkerhetskritiska instrumentfunktioner (SIFs) kan antingen: vara förebyggande (preventive), genom att minska sannolikheten för att en farlig händelse ska inträffa. eller vara begränsande (mitigative), genom att minska konsekvenserna av den farliga händelsen om den inträffar. Förebyggande säkerhetsfunktioner kan antingen: aktiveras vid behov (demand mode) eller arbeta kontinuerligt som en reglerfunktion (continuous mode) Begränsande säkerhetsfunktioner aktiveras alltid vid behov (demand mode)
Vilken skyddsbarriär tillhör funktionen? BEGRÄNSANDE BARRIÄRER FÖREBYGGANDE BARRIÄRER PROCESSTYRNING (BPCS) PROCESSDESIGN
Funktionstyper forts. Enligt IEC 61511 så finns det 3 st. typer av säkerhetskritiska instrumentfunktioner (SIFs): 1. Förebyggande säkerhetsfunktioner som träder i funktion vid behov. Dessa funktioner är absolut vanligast i processindustrin. 2. Begränsande säkerhetsfunktionen som träder i funktion vid behov. Sådana funktioner finns i vissa anläggningar, oftast för att begränsa konsekvenserna av bränder och gasutsläpp (Fire & Gas). 3. Förebyggande säkerhetsreglerfunktioner som arbetar kontinuerligt. IEC 61511 ger möjlighet till säkra reglerfunktioner, men de är mycket ovanligt att de används och man tar bara till dessa i nödfall då man av något skäl inte kan införa funktioner som anropas vid behov enligt 1. Dessa funktioner kräver SIL-certifierad hård- och mjukvara för reglering!
2. Hur ska funktionen lösas ut (Causes)? Vilken storhet och vilket gränsvärde ska lösa ut funktionen? Funktionen ska lösas ut då trycket i reaktorn överskrider 12,5 bar g Ska funktionen förbikopplas automatiskt vid något driftsfall? Nej Ska funktionen kunna lösas ut manuellt? Ja, från lokal "nödstoppsknapp" vid reaktorn och från HMI Ska/får funktionen förbikopplas manuellt för underhåll etc.? Nej
3. Vad ska funktionen utföra (Effects)? Vad ska funktionen utföra primärt (för att processen ska hamna eller förbli i det definierade säkra läget)? 1. Stänga av tillförseln av ånga till reaktor R-044 och (2oo2) 2. Stänga av omröraren i reaktor R-044 Vad ska funktionen utföra sekundärt (av driftsskäl som inte har med det säkra läget att göra)? 1. Stänga av tillförseln av råvara A till reaktor R-044 2. Stänga av tillförseln av råvara B till reaktor R-044 3. Stänga ångreglerventilen TV-101 4. Öppna avgasreglerventilen PV-102
4. Krav på de "säkra" manöverdonen Ska någon manöver arbetsströmkopplas och i så fall varför? Nej Är tillgängligheten på manövermedia (el, luft) kritisk? Nej Behöver någon ventil klara "tight shut-off"? Nej Behöver något manöverdon skyddas mot en större olycka (brand) och i så fall under hur lång tid? Nej
5. Tidskrav Ska/får den automatiska utlösningen fördröjas (filtreras)? Nej Hur lång tid får det maximalt ta tills "säkert läge" är uppnått? 10 sekunder Ska någon manöver utföras fördröjt eller sekventiellt? Nej Behöver någon manöver rampas eller bromsas? Ångan ska stängas långsamt för att undvika "tryckslag".
6. Återställning Hur ska funktionen återställas? Manuellt (av operatör) Varifrån ska funktionen återställas? Från arbetsplats (HMI) i kontrollrum Finns det villkor för återställning? Ångreglerventil TV-101 ska vara bekräftat fullt stängd Avgasventil PV-102 ska vara bekräftat fullt öppen
7. Behovs- & testfrekvens Vilka "behovskällor" (avvikelser) har identifierats? Fel (högt) flödesförhållande råvara A/B 1 gång / 10 år Fel (stängd) avgasreglerventil 1 gång / 40 år För låg koncentration av råvara B 1 gång / 100 år Hög reaktortemp. & farligt fel SIF (SIL 1) 1 gång / 200 år Hur ofta beräknas funktionen behövas (demand rate)? 0,14 gånger / år (~ 1 gång / 7 år) Hur ofta kan/ska funktionsprov utföras (proof test interval)? Kan provas årligen. Funktionsprov vart 3:e år är önskvärt.
Behovskategorier enligt IEC 61508-1 1. Lågt behov (Low demand mode of operation): Då demand rate 1 / år och proof test intervall 0,5 / demand rate PFD avg verifieras med 61511-1 Tabell 3 (Demand Mode of Operation) 2. Högt behov (High demand mode of operation): Då demand rate: > 1 / år eller proof test intervall > 0,5 / demand rate PFH verifieras med 61511-1 Tabell 4 (Continuous Mode of Operation) 3. Kontinuerligt behov (Continuous demand mode of operation): Då en farlig situation direkt uppstår som följd av ett farligt funktionsfel PFH verifieras med 61511-1 Tabell 4 (Continuous Mode of Operation)
IEC 61511-1: Tabell 3 SIL DEMAND MODE OF OPERATION PFD avg (Krav) RRF (Riskreduktionsfaktor) 4 10-4 >PFD avg 10-5 10 000 < RRF 100 000 3 10-3 >PFD avg 10-4 1 000 < RRF 10 000 2 10-2 > PFD avg 10-3 100 < RRF 1000 1 10-1 > PFD avg 10-2 10 < RRF 100 IEC 61511-1 Table 3
IEC 61511-1: Tabell 4 SIL CONTINUOUS MODE OF OPERATION PFH (Krav) 4 10-8 >PFH 10-9 3 10-7 >PFH 10-8 2 10-6 > PFH 10-7 1 10-5 > PFH 10-6 IEC 61511-1 Table 4
Behovskategorin i vårt fall Vilket behovs gäller i vårt fall? Behovsfrekvensen 1 / år : 0,14 / år 1 / år OK! Testintervallet PTI 0,5 / 0,14 1 år 3,5 år OK! Lågt behov gäller alltså så länge PTI är kortare än 3,5 år
8. Integritet & tillgänglighet Vilket SIL-tal ska funktionen klara (verifieras till)? SIL 2 Vilken metod har använts för SIL-bestämning? Riskgraf Vilken behovskategori gäller för SIL-verifieringen? Lågt behov (Low demand mode of operation) Hur ofta får funktionen trippa falskt (max. spurious trip rate)? 1 gång på 20 år
9. Testbarhet & felhantering Finns det några särskilda krav för att möjliggöra eller underlätta funktionsprov? Nej Vad ska ett detekterat fel i sensordelen medföra? Larm och tripp efter 8 h Vad ska ett detekterat fel i manöverdelen medföra? Larm
10. HMI Ska det larma då funktionen löst ut? Ja Ska det komma förlarm nära utlösningsgränsen? Ja, då trycket överskrider 12,0 bar g Ska uppnått "säkert läge" indikeras i HMI och i så fall hur? Ja, med texten Reaktor Stopp i reaktorns grafikbild.
SRS för applikationsmjukvaran IEC 61511-1 12.2.2.1: En säkerhetskravspecifikation (ett konfigureringsunderlag) för applikationsmjukvaran ska sättas samman. IEC 61511-1 12.2.2.2: Indata till specifikationen av säkerhetskrav på applikationsmjukvaran för ett SIS ska omfatta: De i SRS specificerade säkerhetskraven för funktionerna (SIFs) De krav som beror på den valda SIS arkitekturen Övriga krav enligt säkerhetsplanen
Krav för "rätt" konfigurering IEC 61511-1 12.2.2.3: Kravspecifikationen ska vara tillräckligt detaljerad för att den erfordrade säkerhetsintegriteten ska erhållas vid design och konfigurering och funktionssäkerheten kan kontrolleras mot den. Följande ska bl.a. övervägas: Funktionalitets Kapacitets- och tidskrav Process- och operatörsinterface Alla relevanta driftstillstånd enligt SRS Övervakning av sensorer och ställdon Åtgärder vid detektion av givarfel, kortslutning och avbrott etc Mjukvara för diagnostik och för funktionsprov
Krav för "rätt" val av utrustning (PES) IEC 61511-1 12.2.2.6: Kravspecifikationen ska lämna information så att rätt typ av utrustning kan väljas. Följande ska bl.a. övervägas: Funktionalitet som gör det möjligt att uppnå eller bibehålla "säkert läge" Funktionalitet för detektion, signalering och åtgärdande av fel i säkerhetssystemets delar. Funktionalitet för funktionsprov av säkerhetskritiska instrumentfunktioner Funktionalitet som stöder säkra modifieringar av systemet Interface (mjukvarublock) till icke säkerhetskritiska funktioner Kapacitets- och tidsprestanda Certifierat SIL-tal för all felsäker mjukvarufunktionalitet
Realiseringsfasen SRS Principiell SIS HW-design (SIL-verifiering) Detaljerad SIS HW-design Konfigurering av applikations- mjukvara SRS för f applikations- mjukvaran PES design TIDSLINJE
Verifiering / Mjukvaruverifiering (V-modellen) SIS Safety Requirements Specification Validation SIS Safety Validation Application Software Safety Requirements Specification Verification PES Application software Integration testing Application Software Architecture design Application software development Verification Application software testing Application module development Verification Application module testing Code development & testing FVL only (IEC 61508-3) IEC 61511-1 Figure 12