WeibullKonsult AB SIL i praktiken. SIL i praktiken. IPS seminarium

WeibullKonsult AB IPS IPS seminarium IPS seminarium - 10/2012 1 Dagens syfte Presentera IPS nya handledning om realisering och drift av säkerhetskritisk instrumentering. Belysa några viktiga punkter inom specifikation, konstruktion, installation och drift av säkerhetskritisk instrumentering. Vissa bakgrundskunskaper krävs. IPS seminarium - 10/2012 2 1

WeibullKonsult AB IPS Dagens program 8.30-9.00 Samling 9.00 Inledning 9.35 Säkerhetskravspecifikation 10.15 Kaffe 10.45 Grundkonstruktion och SIL-verifiering 11.30 Mjukvarukonstruktion 12. 00 Lunch 13.00 Detaljkonstruktion, installation 13.30 Validering och relation till tredje parts kontroll 14.00 Överlämning, drift och underhåll 14.30 Diskussion och frågor 15.00 Avslutning IPS seminarium - 10/2012 3 Inledning IPS seminarium - 10/2012 4 2

WeibullKonsult AB IPS Författare Har tagits fram av en arbetsgrupp: Lars Axelsson, pidab Kenneth Bengtsson, Ineos Örjan Bernekil, Ineos Magnus Carlsson, AkzoNobel Göran Dahlebjörk, ÅF Mats Dahlrot, Inspecta AnnCharlott Enberg, AkzoNobel Per Eriksson, Eriksson Risk Consulting Kjell Karlsson, Autopro Magnus Karlsson, COWI Rickard Lycke, Preem Dick Olsson, Aarhus Karlshamn Anders Thorsson, ÅF Blenda Weibull, IPS IPS seminarium - 10/2012 5 Livs-cykelperspektiv Processdesign, säkerhetskriterier Analys Realisering Drift Reviderad SRS Riskanalys och SILbestämn. Specifikation av säkerhetskrav (SRS) Design Installation och överlämning Drift och underhåll Modifiering Beskrivning av faror, barriärer, och erforderlig integritetsnivå Detaljerad specifikation av alla säkerhetskrav Fullt fungerande system Detaljerad design specifikation Uppföljning, testprotokoll IPS seminarium - 10/2012 6 3

WeibullKonsult AB IPS Begränsningar (1.2) Vad den handlar om: Realisering och drift Instrumentering som ger en riskreduktion>10 Skyddsfunktioner som arbetar på anrop Vad den inte handlar om: Analysfasen Andra barriärer än instrumentella System för brandbekämpning eller liknande Kontinuerliga skyddsfunktioner IPS seminarium - 10/2012 7 Standarderna och tolkningen SS-EN-61508 Övergripande standard SS-EN-61511 Sektorstandard, branschtillämpning Handledningen bygger på SS-EN-61511 Skall: Krav i standarden, direkt eller indirekt Bör: Rekommendation, god praxis Inte en översättning av standarden! IPS seminarium - 10/2012 8 4

WeibullKonsult AB IPS Vi välkomnar synpunkter! (1.3) Skriv mail till info@ips.se Ange i rubriken Synpunkterna kommer att användas för att förbättra handledningen vid kommande revideringar. IPS seminarium - 10/2012 9 Skyddsbarriär och riskreduktion (1.5) Riskreduktionsfaktor (RRF) = 1000 1 ggn per 10 år 1 ggn per 10000 år Skyddsbarriärer IPS seminarium - 10/2012 10 5

WeibullKonsult AB IPS Riskreduktion Minskande risk Kvarstående risk Tolerabel risk Processens risk Brandskydd Invallning Avsäkring SIF Larm Styrsystem Process Marginal Riskreduktion från SIF Erforderlig riskreduktion Aktuell riskreduktion Riskreduktion andra barriärer IPS kursvecka 11 En typisk säkerhetskritisk instrumentfunktion (SIF) LAH FIC LIC LAHH Manöverdel Logikdel Givardel IPS seminarium - 10/2012 12 6

WeibullKonsult AB IPS En säkerhetskritisk funktion (SIF) En säkerhetskritisk funktion är avsedd att nå eller upprätthålla processens säkra läge i förhållande till en specifik fara En eller flera grundorsaker (avvikelser) som Kan detekteras på ett likvärdigt sätt (samma processavvikelse) Och som Ger samma konsekvens, om säkerhetsfunktionen inte fungerar IPS seminarium - 10/2012 13 Ett säkerhetskritiskt system (SIS) Givare Manöverdon SIF 1 SIF 2 Logiklösare SIF 3 SIF 4 SIF 5 IPS seminarium - 10/2012 14 7

WeibullKonsult AB IPS Ordinarie processtyrsystem (BPCS) BPCS kan inte användas för säkerhetskritiska instrumentfunktioner (SIF) IPS seminarium - 10/2012 15 Grundprincip för separation Ej säkert processområde SIS enkla säkerhetskritiska skydd BPCS Komplex processtyrning inte säkerhetskritisk Andra skyddsbarriärer IPS seminarium - 10/2012 16 8

WeibullKonsult AB IPS Skyddsbehov Lågt skyddsbehov anropsfrekvens<1 ggr/år Low demand mode Högt skyddsbehov anropsfrekvens>1 ggr/år High demand mode Continuous mode Kontinuerligt skyddsbehov Continuous mode IPS seminarium - 10/2012 17 PFD Probability of failure on demand Sannolikheten att en säkerhetskritisk instrumentfunktion inte fungerar just när den behövs. IPS seminarium - 10/2012 18 9

WeibullKonsult AB IPS Integritetsnivåer - SIL Integritetsnivåer SIL Lågt skyddsbehov Sannolikhet att fela vid anrop = PFD avg Riskreduktion (RRF) = 1/PFD avg Högt skyddsbehov PFH (FIT) 4 10-5 10-4 >10 000 100 000 1 10 3 10-4 10-3 >1 000 10 000 10 100 2 10-3 10-2 >100 1000 100 1000 1 10-2 10-1 >10 100 1000 10000 IPS seminarium - 10/2012 19 RRF SIL - PFD Behovet Riskbedömning Behov av riskreduktion IPS seminarium - 10/2012 RRF SIL PFD SIL >10 1 <0,1 >100 2 <0,01 >1000 3 <0,001 RRF = 1/PFD 20 Resultatet Tillgänglighetsberäkningar PFD λ* T/2 10

WeibullKonsult AB IPS Fler definitioner (bilaga A) Bilaga A, svenska och engelska Förklaring av hur olika begrepp används i standarden eller i branschen - ingen ordagrann översättning av standardens definitioner IPS seminarium - 10/2012 21 Standarden är ingen lag! (1.7) Ett sätt att uppfylla det lagstadgade kravet att tillhandahålla respektive köra en anläggning på ett säkert sätt! Exempel på nytta med att tillämpa standarden: Säkrare anläggning, färre tillbud Snabbare start-up, färre oförklarliga stopp Större kunskap om och förståelse för anläggningssäkerhet IPS seminarium - 10/2012 22 11

WeibullKonsult AB IPS Buncefield IPS seminarium - 10/2012 23 Befintliga anläggningar (1.7) Åtgärder (i prioritetsordning): Identifiera säkerhetskritiska funktioner Förbättra oberoende och separation Förbättra provningsrutiner, drift- och underhållsinstruktioner Förbättra logikdel och fältinstrumentering IPS seminarium - 10/2012 24 12

WeibullKonsult AB IPS Exempel på tillämpning i befintlig anläggning (1.7) Utbyte av slitna delar: Välj SIL-godkända komponenter (efter riskanalys) Utbyte av logikdel (processen oförändrad): välj SIL-godkänd logikdel, förbättra separation, utvärdera fältinstrumentering Tillbyggnad: följ standarden för nya funktioner, utvärdera befintliga skydd IPS seminarium - 10/2012 25 Arbetsgång (1.9) IPS seminarium - 10/2012 26 13

WeibullKonsult AB IPS Kvalitetssäkring (2.1) Planera Sätta mål Revidera Agera Avdela resurser Genomföra Kontrollera IPS seminarium - 10/2012 27 Kvalitetssäkring planering (2.2) Riskanalys och allokering Specifikation av säkerhetskrav Design Installation och överlämning Drift och underhåll Modifiering Ve Va SG Re Verifiering egenkontroll, att varje fas från givna input gett avsedda output Validering acceptanstest, kontroll att säkerhetskravspecifikationen (SRS) uppfyllts Säkerhetsgranskning utvärdering av att det ursprungliga säkerhetsbehovet uppfylls Revision oberoende revision av organisationen (kontroller enligt fastställt schema) IPS seminarium - 10/2012 28 14

WeibullKonsult AB IPS Kompetens (2.3) Grundprinciper: Enbart erfaren personal handhar säkerhetskritisk instrumentering För realiseringsfasen kunskap motsvarande relevanta delar av handledningen För programmering kunna det specifika PLC-systemet Mer detaljerade rekommendationer i handledningen (kap 2.3) IPS seminarium - 10/2012 29 Överlämning, drift och underhåll IPS seminarium - 10/2012 30 15

WeibullKonsult AB IPS Kontroll av funktionssäkerheten (7.4) Säkerhetsgranskning före idrifttagning En del av överlämnandet Kan ingå i de säkerhetsrutiner som processindustrin normalt har vid förändringar i en anläggning. Minst en oberoende person i gruppen! IPS seminarium - 10/2012 31 Periodisk funktionsprovning (8.1) Två delar Periodisk provning Periodisk inspektion Planering Provningsintervall Provningsinstruktion Åtgärder och uppföljning av brister Dokumentation IPS seminarium - 10/2012 32 16

WeibullKonsult AB IPS Periodisk funktionsprovning Fullständig provning Partiell provning Provets täckningsgrad IPS seminarium - 10/2012 33 Drift kompetens (8.2) Veta vad som kan gå snett! Vilka skydd som finns och hur de fungerar Vad som krävs för att de ska fungera! Hur man agerar när skydden löser ut IPS seminarium - 10/2012 34 17

WeibullKonsult AB IPS Barriärvård (8.2) Kontroller före idrifttagning Andra barriärer än SIF Temporära förbikopplingar Utredning och åtgärder vid falska utlösningar, fel funna vid tester med mera IPS seminarium - 10/2012 35 Att minska falska utlösningar (8.3) Diagnosticerat fel i flerkanalig funktionsdel Den trasiga kanalen kan kopplas ur under en i förväg angiven tid (MTTR) 2oo3 en trasig kanal kan kopplas ur Diagnosticerat fel i enkanalig funktionsdel Lösa ut funktionen (stoppa processen) eller Övervaka processen med alternativa metoder under en i förväg angiven tid (MTTR) Kräver korrekta rutiner och bra utbildning IPS seminarium - 10/2012 36 18

WeibullKonsult AB IPS Alternativ för att hantera diagnosticerat fel, enkanalig Använda redundans (flerkanalig konstruktion) för att kunna reparera under drift! IPS seminarium - 10/2012 37 Förbikoppling av andra skäl (8.3) Skriftlig rutin i ledningssystemet Skriftlig dokumentation Riskbedömning Godkännande Utförande och dokumentation Uppföljning Behov av förbikopplingar är i många fall ett tecken på brister! IPS seminarium - 10/2012 38 19

WeibullKonsult AB IPS Förebyggande underhåll (8.4, 8.5) Upprätthålla tillgängligheten på den nivå som krävdes från början! Säkerhetsmanualer för komponenter innehåller information Utbyte när säker livslängd nåtts Förändringar IPS seminarium - 10/2012 39 Kvalitetssäkring och återkommande uppföljning (8.6) Planera Sätta mål Revidera Agera Prestanda på säkerhetskritiska funktioner: Anropsfrekvens Falska utlösningar Provningsresultat Drift- och UH-rutiner Avdela resurser Genomföra Kontrollera IPS seminarium - 10/2012 40 20

WeibullKonsult AB IPS Återkommande uppföljning (8.6) Kvalitetssäkring Utredning av avvikelser Kontroll av att rutiner följs Återkommande uppföljning, förslagsvis minst vart 5:e år Månatlig uppföljning av proaktiva indikatorer Hur väl barriärvården fungerar IPS seminarium - 10/2012 41 21

1 SRS-rapport 15 oktober 2012 SRS-rapport Magnus Carlsson, AkzoNobel Magnus Karlsson, COWI 1 25 OKTOBER 2012 SIL I PRAKTIKEN Syftet När ska SRS-rapporten sammanställas Vem ska sammanställa SRS rapporten Underlag Mallar 2 25 OKTOBER 2012 SIL I PRAKTIKEN

2 SRS-rapport 15 oktober 2012 Bakgrund Deepwater Horizon 2010-04-20 en komplex och sammanhängande serie av mekaniska fel, mänskliga beslut, teknik, operationellt genomförande och personalgruppers samspel Bild: US Coast Guard, Text: GP 3 25 OKTOBER 2012 SIL I PRAKTIKEN Introduktion till "SIL" (IEC 61508 / 61511) LS LT LI LT SAFETY BPCS VESSEL S S 4 25 OKTOBER 2012 SIL I PRAKTIKEN

3 SRS-rapport 15 oktober 2012 Syftet med SRS rapport Kravspecifikation på vårt säkerhetskritiska instrumentsystem (SIS) Underlag för grund- och detaljkonstruktion Underlag för mjukvaru SRS Underlag för validering Underlag för instruktioner för drift och underhåll 5 25 OKTOBER 2012 SIL I PRAKTIKEN När ska SRS rapporten sammanställas Riskanalysen identifierar behov av barriärer, bl.a. SIF SIL-bestämning fastställer krav på SIF, ev. med hänsyn till andra barriärer SRS-rapporten sammanställs när analysfasen är klar och innan vi går in i realiseringsfasen Överlämningsdokument som ägs av processdesign 6 25 OKTOBER 2012 SIL I PRAKTIKEN

4 SRS-rapport 15 oktober 2012 Vem sammanställer SRS rapport Samarbete mellan dem som kan och förstår den aktuella processen och de krav man måste ställa för att processen skall vara säker: Processingenjören (ansvarig) Riskingenjören Instrumentingenjören Tar in hjälp av andra kompetenser om så krävs 7 25 OKTOBER 2012 SIL I PRAKTIKEN Underlag till SRS rapport SIL bestämningsrapport Många detaljuppgifter som är lämpliga att sammanställa vid SIL-bestämningen Använd gärna de mallar som redovisas idag som checklistor Mallarna kommer att finnas tillgängliga på www.ips.se 8 25 OKTOBER 2012 SIL I PRAKTIKEN

5 SRS-rapport 15 oktober 2012 SRS rapport Kompendium kap. 3 SIL i Praktiken Detaljerad beskrivning SRS Bilaga B Exempel ifylld En per fabrik SIF Bilaga C Exempel ifylld En per loop 9 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport Försättsblad: (Bilaga B) 10 25 OKTOBER 2012 SIL I PRAKTIKEN

6 SRS-rapport 15 oktober 2012 SRS rapport Allmän beskrivning (Bilaga B) 11 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport Gemensamma säkerhetskrav för SIS (Bilaga B) NAMUR NE 43 Transmitter Signal Värden varierar på olika fabrikat (?) 12 25 OKTOBER 2012 SIL I PRAKTIKEN

7 SRS-rapport 15 oktober 2012 SRS rapport Gemensamma säkerhetskrav för SIS (Bilaga B) 13 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport Gemensamma säkerhetskrav för SIS (bilaga B) 14 25 OKTOBER 2012 SIL I PRAKTIKEN

8 SRS-rapport 15 oktober 2012 SRS rapport Gemensamma säkerhetskrav för SIS (bilaga B) 15 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport Gemensamma säkerhetskrav för SIS (bilaga B) 16 25 OKTOBER 2012 SIL I PRAKTIKEN

9 SRS-rapport 15 oktober 2012 SRS rapport Gemensamma säkerhetskrav för SIS (bilaga B) 17 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport Sammanställning av SIF: Enligt exempel tabell 1 Andra barriärer 18 25 OKTOBER 2012 SIL I PRAKTIKEN

10 SRS-rapport 15 oktober 2012 SRS rapport Krav på SIF (Bilaga C) 19 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport Krav på SIF (Bilaga C) 20 25 OKTOBER 2012 SIL I PRAKTIKEN

11 SRS-rapport 15 oktober 2012 SRS rapport Krav på SIF (Bilaga C) 21 25 OKTOBER 2012 SIL I PRAKTIKEN SRS rapport Krav på SIF (Bilaga C) 22 25 OKTOBER 2012 SIL I PRAKTIKEN

IPS Grundkonstruktion & SIL-verifiering (Kapitel 4) Realisering utan grundkonstruktion Analysfas Realiseringsfas SRS Detaljkonstruktion: Hårdvara SIL-verifiering Systemdesign: PES Mjukvaru-SRS (Logikbeskrivning) Detaljkonstruktion: Applikationsprogramvara TIDSLINJE pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 1

IPS Realisering med grundkonstruktion Analysfas Realiseringsfas SRS Grundkonstruktion SIL-verifiering Detaljkonstruktion: Hårdvara Systemdesign: PES Mjukvaru-SRS (Logikbeskrivning) Detaljkonstruktion: Applikationsprogramvara TIDSLINJE pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Vanlig konsekvens av en för sen SIL-verifiering Grundkonstruktionslösning med integrerad SIL-verifiering: SENSORDEL LOGIKDEL MANÖVERDEL Grundkonstruktionslösning utan integrerad SIL-verifiering: SENSORDEL LOGIKDEL MANÖVERDEL pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 2

IPS Föreslagen arbetsmetodik 1. Granska kravspecifikationen (SRS) 1. Verifiera tillräcklig BPCS-separation 2. Identifiera dimensionerande krav för de funktionsdelar som är gemensamma för flera funktioner (SIFs) 3. Välj logiklösare (Specificera logiklösare) 4. Fastställ systemets (SIS) säkra livslängd 5. Grundkonstruera och SIL-verifiera funktionerna (SIFs) 6. Dokumentera grundkonstruktion och förutsättningar Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Granskning av kravspecifikationen (SRS) Ställ följande kontrollfrågor: Är funktionen kopplad till en specifik farlig händelse? Finns ett entydigt säkert processtillstånd definierat? Har funktionens specificerade givardel/givardelar möjlighet att med säkerhet upptäcka avvikelsen/avvikelserna som ger upphov till den farliga händelsen? Leder utlösning eller blockering av funktionens manöverdel/manöverdelar med säkerhet till att processen når eller förblir i sitt säkra läge? Är det logiska sambandet mellan givardel/givardelar och manöverdel/manöverdelar klart och otvetydigt? Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 3

IPS Exempel: SIF med ofullständig givardel Ånga H-LIM TT Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Exempel: SIF med komplett givardel Ånga H-LIM L-LIM FT TT Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 4

IPS Exempel: 2 st. funktioner (SIFs) PT LT H-LIM L-LIM Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Granskning av SIS separation mot BPCS SS-EN 61511-1 kräver att det säkerhetskritiska instrumentsystemet (SIS) är väl separerat från den ordinarie processtyrningen (BPCS). Utgångspunkten är alltid att inga komponenter i SIS ska delas med BPCS. Undantag medges om: Man kan visa att ett fel i en komponent som tillhör BPCS inte kan ge upphov till ett behov av den SIF som den är tänkt att användas i. Man kan visa att sannolikheten för farliga funktionsfel som beror på fel i en komponent eller en funktionsdel som ingår i BPCS är så låg att den integritetsnivå (SIL) som krävs inte påverkas om den delas med en SIF. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 5

IPS Grundkonstruktion och SIL-verifiering START SRS NEJ Välj komponenter (hårdvara) till varje funktionsdel Är komponentkraven uppfyllda? JA SRS Bestäm intervall för funktionsprov (PTI) Beräkna sannolikheten för farliga funktionsfel NEJ Bestäm hårdvaruarkitekturer för funktionsdelar Är arkitekturkraven uppfyllda? JA Är felsannolikhetskravet uppfyllt? JA Grundkonstruktionen är OK! NEJ pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Vad innebär SIL-verifiering av en SIF? SIL-verifiering omfattar kontroll av att en tänkt konstruktionslösning för en säkerhetskritisk instrumentfunktion (SIF) med avseende på följande tre krav: 1. Kontroll av att alla ingående apparater i säkerhetsfunktionen är antingen SILcertifierade enligt kraven i EN 61508-1..4 eller uppfyller kraven för beprövad användning i EN 61511-1, upp till minst den integritetsnivå (SIL) som krävs. Se EN 61511-1 11.5 1. Kontroll av att varje funktionsdels hårdvaruarkitektur uppfyller feltoleranskravet (HFT) för den krävda integritetsnivån (SIL), enligt EN 61511-1 eller enligt EN 61508-2. Se EN 61511-1 11.4 2. Kontroll av att sannolikheten för ett farligt funktionsfel (PFD avg / PFH) i den sammansatta funktionen inte är större än den krävda integritetsnivån (SIL) tillåter. Se EN 61511-1 11.9 Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 6

IPS Krav på komponenter i SIS Komponenter väljs och funktionsdelar sätts samman utifrån de krav som är specificerade i kravspecifikationen (SRS). Dessutom måste enligt EN 61511-1 alla utrustningar som ska användas i ett säkerhetskritiskt instrumentfunktion (SIS) överensstämma med något av kriterierna nedan för att risken för systematiska fel under funktionens livslängd ska minimeras: 1. Komponenten ska vara certifierad enligt SS-EN 61508: Alla tillämpliga krav i SS-EN 61508-2 och SS-EN 61508-3 ska vara uppfyllda för den krävda integritetsnivån (SIL). Detta intygas av tredje part genom ett SIL-certifikat. 2. Komponenten ska uppfylla kraven för beprövad användning enligt SS-EN 61511: Alla tillämpliga krav för val av komponenter och funktionsdelar baserat på beprövad användning (prior-use) i SS-EN 61511-1 ska vara uppfyllda uppfyllda för den krävda integritetsnivån (SIL). Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Badkarskurvan Felfrekvens 5,0E-05 4,0E-05 3,0E-05 2,0E-05 1,0E-05 0,0E+00 t λ Konstant Säker Livslängd Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 7

IPS Komponenters säkra livslängd Säkerhetskritiska komponenter vars säkra livslängd är kortare än systemets livslängd måste bytas förebyggande innan komponentens säkra livslängd (ålder) har uppnåtts! Det säkerhetskritiska systemets livslängd sätts oftast till mellan 15 och 25 år beroende på logiklösarens (PLC-systemets) säkra livslängd. Vissa elektroniska komponenter kan ha en kort säker livslängd relativt PLCn, och därför måste de bytas förebyggande innan de nått sin max. ålder. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Farliga och säkra fel Farliga fel definieras som: (61511-1: 3.2.11) fel som kan sätta det säkerhetskritiska instrumentsystemet i ett farligt eller funktionsodugligt tillstånd. failure which has the potential to put the safety instrumented system in a hazardous or fail-to-function state Säkra fel definieras som: (61511-1: 3.2.65) fel som inte kan sätta det säkerhetskritiska instrumentsystemet i ett farligt eller funktionsodugligt tillstånd. failure which not has the potential to put the safety instrumented system in a hazardous or fail-to-function state Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 8

IPS λ-värden (Failure Rates) Felfrekvensen betecknas med bokstaven λ (lambda), och är ett mått på hur ofta fel förväntas uppstå i en komponent eller i ett delsystem under en bestämd tidsperiod. Felfrekvensen λ delas upp i två huvudkategorier beroende på om felen anses säkra eller farliga : λ TOT = λ S + λ D λ S = Frekvensen av säkra fel λ D = Frekvensen av farliga fel Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Vad menas med felsäkerhet? Felsäkerhet eller det engelska uttrycket fail safe är ett relativt begrepp som kan förklaras så här: En komponent eller utrustning kan anses felsäker om felfrekvensen för säkra fel hos utrustningen är betydigt högre än felfrekvensen för farliga fel. Felsäkerhet: λ S» λ D Eftersom sannolikhet är frekvens multiplicerat med tid, skall alltså sannolikheten för att en komponent vid fel antar ett säkert läge och/eller lämnar ifrån sig en säker utsignal vara betydligt högre än sannolikheten för att den antar ett farligt läge och/eller lämnar i från sig en farlig utsignal, för att den skall kunna anses vara felsäker. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 9

IPS Hur mäter man felsäkerhet? För att kunna ställa krav på de ingående komponenterna och funktionsdelarna i ett säkerhetskritiskt instrumentsystem räcker det inte med denna vaga definition på felsäkerhet. Ett kvantitativt mått på felsäkerhet behövs alltså. Genom att bilda en kvot mellan frekvensen för alla säkra fel och den totala felfrekvensen, så får man ett bra mått på hur felsäker en komponent är. Felsäkerhetskvoten, SFF (Safe Failure Fraction): SFF = λ S / λ TOT = λ S / (λ S + λ D ) Felsäkerhetskvoten SFF anges normalt i %, och ju mer felsäker en komponent är ju närmare 100% är SFF. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Funktionssäkerhetsintyg för komponenter 1. FMEDA Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA Beprövad användning måste hävdas och helt bevisas av användaren! 2. Beprövad användning enligt EN 61511-1 Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA Beprövad användning tillstyrks med vissa förbehåll Beprövad användning kan hävdas av användaren med bas på intyget 3. SIL-certifikat enligt EN 61508-1 4 Sannolikheten för slumpmässiga fel och felsäkerhet ges av FMEDA SIL-certifieringen bedömmer även komponentens maximala integritetsnivå (SIL) med avseende på systematiska fel! Beprövad användning behöver inte bevisas eller hävdas Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 10

IPS Säkerhetsmanualen (Safety Manual) Till en SIL-certifierad komponent eller komplett funktionsdel ska det enligt EN (IEC) 61508 finnas en säkerhetsmanual (Safety Manual) Säkerhetsmanualen beskriver komponentens eller funktionsdelens användning, vilka begränsningar komponenten har och vilken integritet som man kan tillskriva komponenten. Manualen kan även ställa krav på installatör och användare för att den systematiska integriteten ska bibehållas. I den andra utgåvan av IEC 61511:2013 så kommer det troligen också bli ett krav på att beprövade utrustningar ska ha säkerhetsmanualer. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Flerkanaliga hårdvaruarkitekturer Det finns minst tre skäl till att man gör hårdvaruarkitekturen hos säkerhetskritiska funktionsdelar flerkanalig: FUNKTIONSSÄKERHET: Man använder flera kanaler för att ett farliga hårdvarufel inte ska sätta säkerhetskritiska funktioner ur spel TILLGÄNGLIGHET: Man använder flera kanaler för att säkra hårdvarufel inte ska leda till falska utlösningar av säkerhetskritiska funktioner som ger driftsstörningar och avbrott. UNDERHÅLLBARHET: Man använder flera kanaler för att man enkelt ska kunna underhålla och prova komponenter i säkerhetskritiska funktioner under drift Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 11

IPS För- och nackdelar hos hårdvaruarkitekturer HW-arkitektur (MooN) Arkitekturens egenskaper jämfört med 1oo1 + förbättring - försämring HFT Funktionssäkerhet Driftstillförlitlighet 1oo2 1 + - 1oo3 2 + + - - 2oo2 0 - + 2oo3 1 + + 2oo4 2 + + + Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Feltoleranskrav (HFT) på hårdvaruarkitekturen Alla funktionsdelar i säkerhetskritiska instrumentfunktioner, sensorer, logiklösare och manöverdon ska ha en hårdvaruarkitektur med en lägsta hårdvarufeltolerans (HFT), beroende på den integritetsnivå (SIL) som krävs. Se EN 61511-1 11.4.1 Arkitekturkravet kan tillgodoses på två sätt: 1. Man kan uppfylla kravet på lägsta HFT i SS-EN 61508-2 2. Man kan uppfylla kravet på lägsta HFT i SS-EN 61511-1 SS-EN 61511-1 tar ingen hänsyn till hårdvarans felsäkerhet (SFF) men kan i gengäld ge mildare krav för beprövade komponenter. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 12

IPS Gemensamma fel och β-faktorn Gemensamma fel är fel som uppträder samtidigt i flera eller alla redundanta kanaler i en funktionsdel beroende på en gemensam felkälla. Gemensamma fel har därför förmågan att åstadkomma farliga fel i funktionsdelar trots en redundant arkitektur. Gemensamma funktionsfel orsakas oftast av systematiska felkällor. Man tillskriver ofta redundans en allt för stor betydelse eftersom den teoretiskt ger en relativt stor reduktion av sannolikheten för farliga fel om man inte tar hänsyn till förekomsten av gemensamma felkällor. β-faktorn anger hur stor andel av de farliga felen som härstammar från gemensamma felkällor. Normal så ansätter man β-faktorer i intervallet 0,1 0,01 (10 1%) beroende på de redundanta kanalernas oberoende av varandra. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Diversifierad redundans Genom att använda sig av olika mätmetoder i en redundant givardel eller olika principer för att stänga av ett processflöde i en redundant manöverdel så åstadkommer man diversifiering eller diversifierad redundans. Diversifieringens syfte är att göra en funktionsdel mer tålig mot systematisk påverkan och därmed minskar sannolikheten för gemensamma fel. Diversifiering av givardelar kan exempelvis innebära att man: Mäter olika storheter för att övervaka samma sak Väljer olika mätmetoder för att mäta samma storhet Väljer skilda fabrikat på givare och transmittrar Placerar och utför processanslutningar olika Diversifiering av manöverdelar kan innebära att man: Stoppar pump och stänger ventil för att stänga av ett flöde Använder olika ventiltyper och ställdonstyper för att stänga av ett flöde Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 13

IPS Funktionsprovning Sannolikheten för att en säkerhetskritisk instrumentfunktion (SIF) som behövs relativt sällan fungerar när den väl behövs beror i hög grad på hur ofta funktionen provas. Därför måste alla funktioner (SIFs) med ett lågt skyddsbehov provas periodiskt för att integriteten ska bestå. Olika funktionsprovsintervall kan väljas för funktionsdelarna i en SIF. Normalt varierar funktionsprovsintervallen mellan 12 och 60 månader (1 5 år). Dessutom är provningsmetoden betydelsefull eftersom en heltäckande provningsmetod ger en hög täckningsgrad vid provningen, medan en ofullständig metod betyder att täckningsgraden blir begränsad och täckningsgraden har också stor inverkan på felsannolikheten över tid. Att sätta täckningsgraden till 100% är i de allra flesta fall fel. Provningsmetoder och täckningsgrader anges i säkerhetsmanualrena för SIL-certifierade komponenter. Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com Beräkning av medelfelsannolikhet (PFD avg )alternativt felfrekvens (PFH) GIVARDEL PFDavg (PFH) LOGIKLÖSARE PFDavg (PFH) MANÖVERDEL PFDavg (PFH) Medelfelsannolikheten för ett farligt funktionsfel vid anrop (PFDavg) beräknas för den kompletta säkerhetsfunktionen (SIF) genom att funktionsdelarnas medelfelsannolikheter summeras ihop. Vid högt skyddsbehov summeras istället funktionsdelarnas felfrekvenser (PFH) Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 14

IPS Verifiering av PFD avg / PFH SIL Skyddsbehov Lågt Högt 1 PFD avg < 1 x 10-1 PFH < 1 x 10-5 / h 2 PFD avg < 1 x 10-2 PFH < 1 x 10-6 / h 3 PFD avg < 1 x 10-3 PFH < 1 x 10-7 / h 4 PFD avg < 1 x 10-4 PFH < 1 x 10-8 / h Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com PFD under systemets livstid Lars Axelsson pidab instrumentdesign ab www.pidab.com Ålegårdsgatan 1 431 50 Mölndal tel: +46 (0) 31 27 30 15 e-post: pidab@pidab.com 15

IPS Mjukvarukonstruktion i säkerhetskritiska instrumentsystem Planering SRS Arkitektur Programmering Verifiering Driftfas Planering SIS Kravspecifikatio n (SRS) V-modellen SIS Validering (SAT) Specificering PES (säkerhets-plc) Arbetsflöde Verifiering Upprättande av Mjukvaru-SRS Bestämning av mjukvaruarkitektu r Utveckling av applikationsprogram Utveckling av funktionsmodule r Integrationstest av applikationen (FAT) Logiktest av applikationsprogram Logiktest av funktionsmodule r 1

IPS SRS - Krav på hårdvara Cykeltid Påverkar reaktionstiden och tiden för nedstängning vid fel i systemet. IO-kapacitet CPU-last Storlek på applikation och kommunikation. Vissa fabrikat har begränsningar på hur stor last (%) som tillåts. Kommunikation Vilka gränssnitt och protokoll behövs? Integritetsnivå SIL1,2,3,(4)? Redundans Kan höja tillgängligheten, ger inte högre säkerhet Säker livslängd. Hur länge kan PFD garanteras? SRS Krav på applikationen Benämning av SIF Denna benämning skall användas för identifiering i programmet Beskrivning av SIF Text eller logikschemor som beskriver funktionen TAG-nummer på signaler Säkerhetssignaler skall särskiljas. T.ex. med ett ingående -Z Signalbeskrivning Mätområde, ingenjörsstorhet, fraktion Gränsvärden och hystereser För utlösningsfunktioner Återställning efter tripp Felhantering Vad skall hända vid t.ex. signalfel eller fel på en givare i en 2/3-koppling. Förbikoppling Kan behövas under uppstart och vid funktionstester. 2

IPS Arkitektur Struktur Indelning av programmet i SIF:ar, processavsnitt, fabriksdelar. Variabeluppbyggnad i sammansatta datatyper Objektorientering Identifiering Använd samma benämningar som i övrig dokumentation Programmeringsmetod Funktionsblock (rekommenderas) Stegdiagram (Ladder) Strukturerad text Förreglingsmatris (cause & effect) Sekvensflödesdiagram (bör undvikas) Förenklar programmeringsarbetet Underlättar granskning. Programmering Endast säkerhetskritisk programkod i SILapplikation Tillhörande icke säkerhetskritisk kod i standardapplikation Övrig icke säkerhetskritisk kod i BPCS Hög läsbarhet Kommentera alla funktioner Separera koden så den inte blir rörig Sekventiella förlopp Bör undvikas i SIL-applikation, använd tillståndsbaserad logik för att lösa sekventiella förlopp. Om sekvenser måste användas skall utgångarna kompletteras med separat förreglingslogik Batchprocesser Om recept eller batchläge skall påverka säkerhetsgränser måste en synkronisering mellan systemen ske. Detta kan göras genom att data överförs från batchsystemet till säkerhetssystemet där en rimlighetskontroll av data måste göras. En sådan synkronisering bör även bekräftas av operatör innan nya säkerhetsgränser används 3

IPS Programmering Larmhantering Vid aktiverad säkerhetsfunktion skall larm ges till operatör.. Sådana larm ska ange objektidentitet och vad som var orsak till utlösningen eller avvikelsen, samt en korrekt och tillräckligt upplöst tidsangivelse. Felhantering Programexekveringsfel Hårdvarufel Fel i kraftmatning Signalfel i instrumentkrets. Kommunikationsfel Förbikoppling Förbikopplingar för testning och/eller underhåll Villkorsstyrda förbikopplingar vid speciella driftsfall. Förbikopplingar av givarkanaler vid detekterade givarfel. Signalutbyte med BPCS Signaler från BPCS måste alltid underordnas den säkerhetskritiska programkoden. Logikexempel 4

IPS Verifiering Testning under programutvecklingen. Provning av funktioner och applikationsdelar i simulering. FAT Standarden SS-EN 61511 kräver inte att man utför någon separat verifiering av hela applikationen och hårdvaran ihop. Normalt utförs ändå en acceptanstest av ekonomiska och tidsmässiga skäl SAT (Validering) Validering innebär att man före idrifttagning av processen verifierar att alla krav som ställs på SIS i SRS har uppfyllts. Standarden kräver att det mot processen installerade säkerhetskritiska instrumentsystemet (SIS) valideras innan den aktuella processen eller processdelen får tas i drift. Valideringen består av följande tre aktiviteter: Testning av det mjukvarubaserade säkerhetssystemet (SIS) Besiktning av alla säkerhetskritiska delsystem och komponenter Granskning av berörda drift- och underhållsinstruktioner Om SIS ingår i ett system som kräver kontroll av tredje parts ackrediterat organ så skall de validera systemet (oavsett SIL-nivå). Anläggning i drift Åtkomstskydd Möjligheten att förändra säkerhetskritisk programkod måste begränsas så att obehörig personal inte kan utföra ändringar i systemet. Modifieringar Ändringar i den säkerhetskritiska programkoden ska om möjligt undvikas efter validering! Om ändringar måste genomföras bör det föregås av en riskbedömning för hela det programmerbara säkerhetssystemet Virusskydd Säkerhetssystemets verktygs- och applikationsprogram ska skyddas mot virus och skadlig programkod. Loggbok Alla ändringar och underhållsåtgärder i såväl hårdvara som mjukvara i det säkerhetskritiska programmerbara systemet ska efter slutförd validering skrivas in i en loggbok Loggningen ska minst omfatta: Systemidentitet Tidpunkt Beskrivning av åtgärd Orsak till att åtgärden utförs. Uppgift om vem som utfört åtgärden. 5

IPS Sammanfattning Lägg mycket tid på strukturen Sök enkla lösningar Kommentera (för) mycket Separera SIL-applikationen Testa noggrant Underlätta granskning 6

2013-02-12 Detaljkonstruktion Rickard Lycke Preem Projektavdelning, Lysekil 2013-02-08 Detaljkonstruktion Förvalta och utveckla det arbete som gjorts under framtagning av SRS och grundkonstruktion Resultera i ett underlag för installation, driftsättning,validering och drift/uh. 1

2013-02-12 Planering förbered för framtida faser Tre mål: Säker installation och driftsättning Uppfylla krav i SRS Upprätthålla funktionssäkerheten Tre planer: Installation/driftsättning Validering Drift/underhållsplanering Tre frågor: Vad skall göras När skall det göras Vem skall göra det Detaljkonstruktion Uppfylla ställda krav: Kravspecifikationen (SRS) Grundkonstruktionen Säkerhetsmanualer och konstruktionsanvisningar Uppmärksamhet på: Ändringar Motstridiga krav Säkerhetsmanual 2

2013-02-12 Detaljkonstruktion Vad skall göras? Ta fram en infrastruktur Ta fram I/O-behov/ IO-allokera Dimensionera/specificera komponenter Dokumentera Detaljkonstruktion Ta fram en infrastruktur Ta fram I/O-behov/ IO-allokera Infrastruktur: Dimensionera/specificera komponenter Dokumentera 1. Separera 2. Märk upp Det är bättre att stegvis förbättra befintliga säkerhetsfunktioner än att helt avstå, om investerings-medel saknas för att fullt ut följa standardens krav. Om ny struktur installeras utnyttja möjligheten till separation. Om befintlig struktur minska risken för förväxling. 3

2013-02-12 Detaljkonstruktion Ta fram en infrastruktur Ta fram I/O-behov/ IO-allokera Dimensionera/specificera komponenter I/O bestämning: Dokumentera Samverkan med mjukvarukonstruktör Struktur/Separation Reserver Detaljkonstruktion Ta fram en infrastruktur Ta fram I/O-behov/ IO-allokera Dimensionera/Specificera: Placering / Mätuttag Redundans / HFT Funktionskrav/svarstider Överdimensionering Dimensionera/specificera komponenter Dokumentera 4

2013-02-12 Detaljkonstruktion Ta fram en infrastruktur Ta fram I/O-behov/ IO-allokera Speciella krav: Dimensionera/specificera komponenter Dokumentera Arbetsströmskoppling / Dubbelverkande don Separeras helt Få anslutningspunkter Frånskiljbara plintar får ej användas Kontroll på spänningsförsörjning/lufttillförsel Höga SIL-nivåer Antivalenskontroll Övervakade ingångar Diversifiering Önskad funktion Påtvingad funktion Detaljkonstruktion Ta fram en infrastruktur Ta fram I/O-behov/ IO-allokera Dimensionera/specificera komponenter Dokumentation: Dokumentera Säkerhetskritiska delar särskiljas från övrigt. Tydliga installationsanvisningar (Hook-up s mm) 5

2013-02-12 Detaljkonstruktion Glöm inte konstruktionsgranskningen: Granskas/Godkännas - innan inköp och installation Minst två par ögon - undvik hemmablindhet Installation & Driftsättning 6

2013-02-12 Installation Förvalta det arbete som gjorts under detaljkonstruktion Installation&Driftsättning Vi har gjort en planfölj denna: Uppmärksamhet på: Sena ändringar Avvikelser i underlag 7

2013-02-12 Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Fördel separera underlag Utifrån projektets komplexitet 8

2013-02-12 Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Korrekt märkt Komplett leverans Inga transportskador Kontroll/Testkörning Separera från övriga komponenter Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Mycket kan gå fel: Roturdragning Felaktiga olika områden Långa impulsledningar +/- ben växlade Växlade termoelement Up-scale/down-scale 9

2013-02-12 Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) 10

2013-02-12 Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Installera enligt plan - Följ underlag Om felaktigheter - Synliggör för granskning Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Dokumentationskontroll Installationskontroll (visuellt) Funktionskontroll Realistiska förhållanden SS EN 62382 Protokollföras 11

2013-02-12 Installation&Driftsättning Att tänka på: Separera underlag Kontrollera levererad utrustning Rätt montage Installationskontroll Kontroll av ändringar (MOC) Avvikelser skall rättas till eller så skall tillräckligt kompetent person säkerställas att det ej påverkar funktionssäkerheten Installation&Driftsättning Glöm inte installationsbesiktningen: Skall utföras enligt standarden Besiktningen bör utföras först då alla installations- och driftsättningsaktiviteter är slutförda 12

2013-02-12 Frågor? 13

Vad säger lagen om SIL och trycksatta anordningar? 1 2013-02-12 Vad säger lagen om tillämpning av SIL för trycksatta anordningar? Vilka formella lagkrav gäller för instrumenterade säkerhetsutrustningar? När måste instrumenterade säkerhetsutrustningar kontrolleras av tredje part? Vid nytillverkning Vid drift av befintliga anläggningar vid återkommande besiktning, FLT Vid ändringar eller reparationer? Finns det kända problem med att tillämpa SIL för att uppfylla lagkraven? 2 2013-02-12 1

Vid nytillverkning Ska uppfylla AFS 1999:4 (PED), vilket i korthet innebär Säkerhetsutrustning skall vara på marknaden - märkt när den tas i drift eller placeras Säkerhetsutrustning tillhör normalt kategori IV Säkerhetsutrustning ska finnas om designtryck eller designtemperatur kan överskridas. (Nivå) Riskanalys ska utföras och dokumenteras Not: Motsvarande krav finns i AFS 2005:2 3 2013-02-12 Tekniska krav i AFS 1999:4, bilaga 1 Skall vara lämpliga för aktuellt objekt och dess avsedda användning Behov av underhåll och provning beaktat Oberoende av andra funktioner Lämpliga konstruktionsprinciper: - felsäkerhet - redundans - diversifiering - självövervakning 4 2013-02-12 2

Harmoniserade standarder EN 764-7 Säkerhetssystem EN 12952-7:2012 Vattenrörspannor Att tillämpa SIL förefaller var en bra väg att uppfylla PED med tillhörande harmoniserade standarder 5 2013-02-12 Befintliga anläggningar AFS 2002:1 Användning av trycksatta anordningar - Omfattar alla trycksatta anordningar - Riskbedömning ska vara utförd och dokumenterad - Program för fortlöpande tillsyn ska finnas Fördjupning av riskbedömning kan vara att man gör en SIL klassning av befintliga skydd, för att fastställa vilka som är mest kritiska. Dock ska man inte SIL-verifiera befintliga säkerhetskretsar. AFS 2005:3 Besiktning av trycksatta anordningar - Krav på kontroll av ackrediterat organ för anordningar i besiktningsklass A och B - Kontroll av säkerhetsanordningar som skyddar objekt i besiktningsklass A och B 6 2013-02-12 3

Vid ändringar eller reparationer? När en väsentlig reparation eller ändring har utförs på trycksatta anordningar skall en revisionsbesiktning genomföras Skall uppfylla krav enligt AFS 1999:4, bilaga 1 (ej CE märkning och driftinstruktioner) Anmält organ ersätts av ackrediterat kontrollorgan Reparation Återställande till ursprungskick, delar som byts ut ska uppfylla dagens krav. Tex utbyte av trycktransmitter Större ändring Helheten ska se som en ny produkt och samma krav som vid tillverkning gäller Tex utbyte av en brännarstyrning 12 February 2013 När måste instrumenterade säkerhetsutrustningar kontrolleras av tredje part? Kontroll av Anmält Organ eller Ackrediterat Organ kan erfordras om säkerhetsutrustningen skyddar den tryckbärande anordningen mot: tryck temperatur eller nivå. Klassningen avgör om det krävs kontroll av AO eller AKO eller inte. Vid Kategori I-IV, kontrollklass G+K och besiktningsklass A-C krävs kontroll AO eller AKO Det finns altlså ingen koppling mellan SIL och kravet på kontroll av Anmält Organ eller Ackrediterat Organ Ibland krävs tredjepartsgranskning av något som har SIL 0 och det finns exempel på SIL 3 som inte behöver granskas. 8 2013-02-12 4

Finns det kända problem med att tillämpa SIL för att uppfylla lagkraven? Kalibrering av riskanalysen måste utföras av den som ska tillämpa standarden. Det finns inga riktlinjer från svenska myndigheter om hur lämplig kalibrering ska var gjord. Det kan skilja på en SIL-nivå upp eller ner. IPS har en handledning för kalibrering av riskgraf AFS 2005:3 har krav på provningsintervall, oftast ett eller två år. SIL-verifiering kan ge mycket längre provningsintervall. OBS: För avsteg från det intervall som krävs enligt föreskriften krävs en dispens! Det har blivit vanligare med brist på separation i arkitektur för säkerhetssystem i förhållande till driftssystem. Varför? Man tror att SIL-instrumenteringen är ofelbar, och kanske också dyr Äldre lösningar med mekaniska vakter har alltid separation på givarsidan 9 2013-02-12 Validering Validering, av engelskans validate i betydelsen göra giltigt, bekräfta. Validering kan anses vara ett generellt begrepp för att giltiggöra en process Blev det enligt specifikationen? 2013-02-12 5

11 2013-02-12 FAT Factory Acceptance Test FAT Syftet med en FAT är att kontrollera att leverantören levererar rätt utrustning med avseende på komponenter (CE-märkta, uppfyller kraven i specifikationen osv), att mjukvaran är enligt specifikation och fungerar ihop med komponenterna och att det fungerar som det är tänkt före den sammansatta utrustningen sätts in i anläggningen. FAT är frivilligt enligt standarden I det flesta fall finns det mycket att vinna med att utföra en FAT av mjuk och hårdvara. Eventuella fel brister, oklarheter kan klaras ut eller belysas i ett tidigt skede 12 2013-02-12 6

13 2013-02-12 Validering SAT (Site Acceptence Test) Syftet med en SAT är att genom inspektion och tester validera att SIS och tillhörande SIF möter de funktionsmässiga och konstruktionsskarven i SRS och SIL-verifieringen För FAT och SAT finns en standard som heter SS-EN 62381, testrapport Validering bör utföras och dokumenteras enligt en skriven procedur, denna procedur är en del av grund konstruktions arbetet. 14 2013-02-12 7

Validering Innebar att man innan man tar säkerhetssystem i drift skall man kontrollera att det är byggt enligt specifikationer, ritningar och annat underlag I princip ska allt kontrolleras! - Fältutrustning, slutelement, sensorer, impulsledningar, tracing - Placering i fält, P&I Diagram, kommer man få tänkt funktion? - Komponenter, mot SRS och SIL verifiering - Driftförhållande, media, temperatur, frysning - Förläggning av kablar, jordning, avsäkring - Märkning fält/ritningar - Förreglingar, och förbi kopplingar - Kommunikation med DCS - Funktionsprovning av SIF med mera, mera 15 2013-02-12 Provning av säkerhetssystem, utförande Provning bör utföras så likt normal drift som möjligt Tryck Alternativt så stängs tryckgivaren av och trycket i givaren höjs med hjälp av en pump tills brytning sker Temperatur Alternativt kan givarna demonteras och värmas i ett oljebad eller liknade, används denna metod bör man ha en termometer i oljebadet som visar den verkliga temperaturen. Givare som skall testas Givare som mäter temperatur i ugnen 16 2013-02-12 8

Exempel på märkning Säkerhetsutrustning bör märkas så det tydligt framgår att det är.. - i fält - på ritningar 17 2013-02-12 Valideringsrapport Utförd validering ska dokumenteras i en rapport, bl. a innehållande; Aktuell version av den valideringsinstruktion (plan) som använts SIF som provats och referenser till de krav (SRS). Utrustningar som använts, med spårbar kalibreringsdata. Resultatet av varje funktionskontroll Kriterierna för att godkänna kontrollen av samverkan med andra system Versionsnummer på den hårdvara och programvara som provats Alla avvikelser mellan förväntat och bekräftat provningsresultat Resultatet av utförd validering. 18 2013-02-12 9

19 2013-02-12 Säkerhetsgranskning och överlämning Innan säkerhetssystemet tas i drift ska en säkerhetsgranskning utförs. Granskningen skall genomföras av en tvärfacklig grupp som täcker in både tekniska, driftmässiga och underhållsmässiga kompetenser. Minst en deltagare i gruppen skall vara oberoende av deltagarna i själva projektet. 20 2013-02-12 10

21 2013-02-12 11