SIL Vad är det? Ebba Lindgren, Tryck & Svets 2014 1
En titt i föreskriften AFS 1999:4 Säkerhetsanordningar skall finnas när PS eller TS kan överskridas (nivå) De skall vara lämpliga för aktuellt objekt och dess avsedda användning Behov av underhåll och provning beaktat Oberoende av andra funktioner Lämpliga konstruktionsprinciper: - felsäkerhet - redundans - diversifiering - självövervakning 2
Finns det koppling mellan AFS 1999:4 och SIL? Föreskrift AFS 1999:4 Harmoniserad standard Produktstandard EN 12952 vattenrörspannor Generella krav EN 764-7 säkerhetssystem Stödjande standard EN 50156 Elutrustning för ugnar och pannor som eldas med fasta flytande och gasformiga bränslen IEC 61508 Functional safety for eletric/eletronic programmable safety related systems 3
SIL handlar i grunden om hantering av risk De flesta industriella processer lever med inneboende faror eller riskkällor som behöver hanteras för att inte leda till ovälkomna konsekvenser för människa, miljö eller egendom. Hur dessa hanteras görs på tre olika sätt: Minska eller eliminera (inbyggd säkerhet) Minska sannolikheten för händelsen (en eller flera barriärer) Minska konsekvensen (konsekvensreducerande barriärer) Teknisk avvikelse Mänsklig avvikelse Organisatorisk avvikelse Inbyggd säkerhet Farlig situation Olycksmodell Tillbud JA Tillräckligt skydd? NEJ Sannolikhetsreducerande barriärer Situationen utvecklas JA Tillräcklig återhämtning? NEJ Katastrof NEJ Tillräcklig begränsning? Olycka Konsekvensreducerande åtgärder 4
Riskreduktion Säkerhetskritisk instrumentering är en mycket viktig del i riskreduktionen 1. Givare 2. Automatik som beslutar om åtgärd 3. Ventil/brytare som stänger av Vi måste idag säkerställa att alla skydd tillsammans reducerar den ursprungliga risker så pass mycket att vi känner oss nöjda. SIL = Safety Integrety Level Ett sätt att visa om vi uppfyller kraven eller ej. 5
6
Integritetsnivå En barriär fungerar 999 fall av 1000, dvs reducerar risken till en tusendel RRF = Risk Reducing Factor RRF för vår barriär är 1000 och detta avgör hur mycket den reducerar risken I standarderna visar man detta på ett annat sätt, genom SIL (Safety Integrity Level) SIL 1 RRF 10-100 SIL 2 RRF 100-1000 SIL 3 RRF 1000-10000 SIL 4 RRF 10000-100000 Alla skyddsbarriärer bidrar med sin egen del av riskreduktionen och hur stor del som ska ligga på instrumentfunktionen kallas SIL-bestämning. 7
En typisk SIF (Säkerhetskritisk instrumentfunktion) LAH FIC LIC LAH H Manöverdel Logikdel Givardel 8
Tillgänglighet och funktionssäkerhet Två typer av krav måste vara uppfyllda för att den erfordrade funktionssäkerheten hos ett säkerhetskritiskt system eller en säkerhetskritisk funktion skall uppnås! Funktionskrav Vad skall systemet eller funktionen åstadkomma? Hur skall systemet eller funktionen fungera? När skall systemet eller funktionen aktiveras? Integritetskrav Sannolikheten att funktionen fungerar som den skall enligt funktionskraven måste vara tillräckligt hög. 9
Hur äventyras funktionssäkerheten? Det är en utmaning att designa säkerhetskritiska system på ett sådant sätt att fel som äventyrar funktionen förebyggs, och så att sådana farliga fel undertrycks om de ändå uppstår. Funktionssäkerheten äventyras ofta genom; Felaktiga eller bristfälliga specifikationer Slumpmässiga hårdvarufel Systematiska hårdvarufel Så kallade common cause fel Mjukvarufel Handhavandefel (Mänskligt felhandlande) Yttre miljö (temperatur, vibrationer, etc) Fel och störningar i spänningsförsörjningen 10
Typer av fel i säkerhetskritiska system Handhavande fel ca 18 % Slumpmässiga fel ca 12% Systematiska fel ca 70% 11
Huvudtyper av fel i säkerhetskritiska system Slumpmässiga fel: Fel som uppträder uteslutande i hårdvara, och som beror på att någon hårdvarukomponent slumpmässigt går sönder på grund av inbyggda svagheter och åldrande. Systematiska fel: Fel som oavsiktligt har byggts in i systemets hårdvara eller mjukvara vid designen, konstruktionen eller installationen av systemet, eller som tillkommit under drift eller i samband med modifieringar av systemet. Handhavande fel (Mänskliga faktorn); Systematiska fel som ofta behandlas separat på grund av att de orsakas av mänskligt felhandlande vid normal användning (drift och underhåll) av systemet, på grund av kompetensbrist, tidsbrist (stress), bristfälliga instruktioner etc. 12
Två viktiga begrepp i SIL-världen Anropsfrekvens (demand rate - DR) den frekvens med vilken den säkerhetskritiska funktionen anropas för att uppfylla sin skyddsfunktion. Ett mått på behovet av den SIF (Safety instrumentet function) man undersöker Sannolikhet för farligt fel vid anrop (probability for failure on demand PFD). Sannolikheten att SIF inte fungerar just när anrop sker. RRF = 1/PDF 13
SIL-processen 14
SIL-processen 15
Konventionell riskanalys Begreppet Risk R s = P s C s P s = sannolikhet för händelsen s inom en given tidsperiod, t.ex. 10-4 /år (felfrekvens) C s = konsekvens, givet att händelsen s inträffat R s = risknivån för händelsen s 16
Riskanalys - SIL Riskanalysen utgör grunden i SIL-klassningen! viktigt att den utförs korrekt en felaktig riskanalys kan medföra ett bristfälligt säkerhetssystem Innan SIL-analysen påbörjas är det viktigt att identifiera vad som ska klassas: vilka säkerhetsfunktioner finns i anläggningen/systemet? är identifierade säkerhetsfunktioner tillräckliga, eller krävs flera? systemgränser 17
Bestämning av SIL-nivå I standarden ges förslag på en mängd olika metoder som kan användas för riskanalysen Vi förordar riskgrafmetoden då den är enkel att sätta sig in i och är logiskt uppbyggd utifrån SIL-nivåerna. Andra metoder är kvantitativ riskanalys, kvalitativ riskanalys m.fl. Viktigt att bestämma risktyp innan analys påbörjas. Dvs person, miljö eller egendom (ekonomi) 18
Riskgraf enligt IEC 61511-3 - personsäkerhet ET = Ej Tolerabel BT = Begränsat Tolerabel T = Tolerabel W = anropsfrekvens C= konsekvens F = möjlighet att undgå fara P= personnärvaro Viktigt att sätta värden på dessa parametrar! 19
SIL-processen 20
SIL-processen 21
Syftet med en SRS rapport Kravspecifikation på vårt säkerhetskritiska system Underlag för grund-och detaljkonstruktion Underlag för validering Underlag för instruktioner för drift och underhåll 22
Safety Requirement Specification En specifikation innehållande alla krav på den säkerhetsrelaterade funktionen. Beskrivning av vad funktionen skall skydda Beskrivning hur funktionen är tänkt att fungera Processens krav, med avseende på tryck, temperatur, media Omgivande miljö, inomhus, utomhus, temperatur, etc. Vilken Riskreduktionsfaktor RRF som funktionen skall uppnå Hur ofta som funktionen skall testas Funktionens livslängd En väl genomarbetad och dokumenterad SRS är grundförutsättningen för att kunna konstruera ett säkerhetssystem (SIS; SIF) 23
SIL-processen 24
Planering och arbetsmetodik 1. Läs och granska kravspecifikationen (SRS) noga. 2. Verifiera att en tillräcklig separation mot den ordinarie processtyrningen (BPCS) kan nås om anvisningarna i kravspecifikationen (SRS) följs. 3. Identifiera alla dimensionerande krav för gemensamma funktionsdelar och bestäm en optimal konstruktionsordning för funktionerna (SIFs) 4. Välj logiklösare eller hårdtrådning för samtliga funktioner (SIFs). Verifiera att den/de valda logiklösaren/logiklösarna har möjlighet uppfylla alla ställda krav i SRS och i regelverk. 5. Fastställ en maximal livslängd för det säkerhetskritiska instrumentsystemet. (Oftast 15 25 år beroende på livslängden hos säkerhets-plc 6. Grundkonstruera och SIL-verifiera iterativt funktionerna. 25
SIL-processen 26
SIL - verifiering Verifiering En aktivitet som skall visa att varje fas av säkerhetslivscykeln med hjälp av analys och / eller test med specifika indata uppfyller kraven. Man måste nå dessa två villkor och BÅDA villkoren måste alltså vara uppfyllda för att man skall nå upp till den erfordrade integritetsnivån. Villkor 1 Dels genom att man visar att medelsannolikheten för fel vid anrop PFDavg är tillräcklig låg för att svara mot den erfordrade integritetsnivån (SIL) Villkor 2 Dels måste all i funktionens ingående hårdvara uppfylla de krav på feltålighet (redundans) som krävs av den erfordrade integritetsnivån (SIL). 27
SIL - verifiering Skall minst nå den erforderliga - SIL-nivån (RRF - Risk Reduction Factor) - Hårdvarufeltåligheten Påverkas av - Komponenterna PFD - HFT - Hardware Fail Tolerance - Förutbestämd livslängd - Low or High Demand - Testintervall - Common Cause 28
Program för SIL-Verifiering Inspecta och många andra i Sverige använder exsilentia I detta program kan man - Utföra och dokumentera riskanalysen - Verifiera säkerhetskretsar (SIF) Programmet innehåller en databas med uppgifter på ett stort antal komponenter. Fördelar med dataprogram - Lätt göra verifikationen, med hjälp av databasen som finns i programmet etc. - Bra dokumentation med snygga rapporter Nackdelar med dataprogram - Lätt att sluta tänka och låta datorn göra jobbet! - Datorn räknar bara ut ett resultat av de indata du matar in, och inget annat. - Tänka måste du göra själv, datorn vet inte hur systemet ser ut, t ex lätt missa separationskrav 29
SIL-processen 30
SIL-processen 31
Validering En aktivitet som visar för en eller flera säkerhetsfunktion(er) (SIF) och säkerhetssystem SIS att dessa efter installation uppfyller alla krav i säkerhetskravs-specifikationen (SRS) FAT (Factory Acceptence Test) Syftet med en FAT är att se att leverantören levererar rätt utrustning med avseende på rätt komponenter (CE-märkta, uppfyller kraven i specifikationen osv), att mjukvaran är enligt specifikation och fungerar ihop med komponenterna och att det fungerar som det är tänkt före den sammansatta utrustningen sätts in i anläggningen. Om det finns fel är det lättare att åtgärda dem i det här stadiet. SAT (Site Acceptence Test) Syftet med en SAT är att genom inspektion och tester validera att SIS och tillhörande SIF möter de funktionsmässiga kraven som finns i kravspecifikationen SRS. För FAT och SAT finns en standard som heter SS-EN 62381 32
Validering Vilket innebar att man innan man tar säkerhetssystem i drift skall man kontrollera att det är byggt enligt specifikationer, ritningar och annat underlag. Kontrollera bla följande för hårdvaran: Placering av sensor mot P & I Diagram, Kontrollera att sensorer etc. är placerad på ett sådant sätt att man alltid får den funktion man vill ha. Exempel på fel som kan förekomma är att temperaturgivare sitter lågt ifrån den värmande källan, eller att det har kommit en avstängningsventil mellan källan och sensorn. Komponentval, miljö, placering etc. Märkning Låsning av ventiler Kretsschema för hårdvara etc 33
Validering Mjukvaran testas mot logikschemat där alla logiska funktioner kontrolleras med avseende på logisk funktion och gränsvärden ingång(ar) simuleras och att rätt utgångar påverkas. Mer som testas och kontrolleras Kontrollera att reläer, splittrar, skiljeförstärkare,gränslägesdon, avsäkringar, I/O,CPU etc mot SIL-rapport och SRS Säkerhetsfunktionerna ligger i felsäkra applikationer (program). Analoga givare skall givarens mätområde överensstämma med I/O mätområde Avbrott skall simuleras i alla delkretsar så att rätt säkerhetsfunktion erhålls. (MTTF) Mätvärdes avvikelse mellan olika sensorer Check summa 34
SIL-processen 35
SIL-processen 36
Säkerhetsgranskning Säkerhetsgranskningen före idrifttagning av SIS skall bland annat omfatta: Att SIL-bestämningen bygger på en riskanalys och att det ursprungliga skyddsbehovet kan uppfyllas Att riskanalyser, granskningar och tester har genomförts enligt kvalitetssäkringsplanen och att funna avvikelser har åtgärdats Att rutiner för att kontrollera ändringar under projektets gång har funnits och fungerat Att validering (bland annat SAT) har genomförts och att avvikelser gentemot SRS har åtgärdats Att driftpersonal har erhållit utbildning och att nödvändig dokumentation och driftrutiner är på plats Att underhållspersonal har erhållit utbildning och att dokumentation samt underhålls- och testrutiner finns tillgängliga Att SIS har återställts till driftläge (exempelvis larmgränser, förbikopplingar, ventiler etc.) 37
Tips inför framtida arbete Det kan verka komplext och svårt att veta var man ska börja men. Börja i liten skala, utbilda några medarbetare och skaffa praktisk erfarenhet Öva och utarbeta rutiner från befintliga anläggningar Vid nyinvesteringar, gör riskanalys, SIL-bestämning och SRSframtagning tillsammans med entreprenör (om sådan finns) Det finns bra litteratur att läsa och folk att fråga när man behöver hjälp! Ring Inspecta och läs IPS handledningar 38
Tack för mig! SIL 39