SIS IEC 61508

Safety Instrumented Systems

Reliability Engineering

Standards IEC 61508/61511Renato Benintendi

Failure Rate

1)( ⋅=λ

Renato Benintendi

Frazione dei componenti o sistemi in uso

soggetti a guasto nell' unità di tempo

PI PI PI PI

Affidabilità

Variazione nel tempo del numero di

componenti funzionanti con successo

rispetto alla totalità

Renato Benintendi

1)( ⋅=− λ

Affidabilità

dNdt =⋅− λ ∫ ⋅− dtλ

Renato Benintendi

dNdt =⋅− λ ∫⋅=

⋅− dt

tot eNNλ

Affidabilità

∫⋅=⋅− dt

eNNλ teNN ⋅−⋅= λ

λλλλ=costante

Renato Benintendi

Valore assunto in genere indipendente dal

∫⋅=⋅− dt

tot eNNλ t

tot eNN ⋅−⋅= λ

Affidabilità

NtPtR ⋅−=== λ)()(

Renato Benintendi

Probabilità che un sistema svolga con

successo la propria funzione ad un dato

istante t

Inaffidabilità

tetRtU ⋅−−=−= λ1)(1)(

Renato Benintendi

Probabilità che un sistema NON svolga con

successo la propria funzione ad un dato

istante t

Inaffidabilità

tetU t

tt ⋅=−= ⋅−→⋅→⋅ λλ

λλ 1lim)(lim 00

Renato Benintendi

Supponiamo che la probabilità di insuccesso sia

assunta molto bassa, al limite tendente a zero.

Tale condizione risulta sempre richiesta nella

progettazione dei sistemi di sicurezza

strumentati

Inaffidabilità nei

tetU t

tt ⋅=−= ⋅−→⋅→⋅ λλ

λλ 1lim)(lim 00

Renato Benintendi

Nell' ambito dei SIS è interessante conoscere

l' affidabilità di un sistema o di un componente

in un intervallo di tempo identificato come il Test

Interval (TI)

Probability of Failure on Demand

• La Probaility of Failure on Demand (PFD), definita dalloStandard ISA SP84.01, esprime la probabilità per un SISdi fallire su richiesta di intervento.

• Se la PFD fa riferimento ad un intervallo di tempopredeterminato, lo Standard ISA S84.01 la definisce come

Renato Benintendi

predeterminato, lo Standard ISA S84.01 la definisce comePFD avg. o probabilità media di fallimento su richiesta.

• Questa definizione coincide con la definizione delloStandard IEC 61508

In particolare, nella parte 6, la IEC 61508 introduceuna PFD mediata sul tempo di richiesta (Time Interval)

Renato Benintendi

avgPFD

In particolare, nella parte 6, la IEC 61508 introduceuna PFD mediata sul tempo di richiesta (Time Interval)

Renato Benintendi

avgPFD

Per i SIS è calcolata utilizzando il teorema della media

Renato Benintendi

∫∫ ⋅=⋅= dttUT

dttPFDT

PFDavg )(1

Renato Benintendi

Per i sistemi multipli la PFD verrà calcolata attraverso le formule dell'

algebra Booleana

Sensor

Renato Benintendi

Element

Logic Controller

Sensor

Renato Benintendi

Element

Logic Controller

∫∫ ⋅=⋅= dttUT

dttPFDT

PFDavg )(1

1][ ii

⋅=⋅⋅= ⋅∫λλ

Sensor

SIF FAILS ON

DEMAND

Renato Benintendi

Element

Logic Controller

SensorLogic

Controller

Element

FEFELCLCSSavg

TTTPFD

⋅+⋅+⋅= ⋅ λλλ

COMMON CAUSE FAILURE

Per CCF si intende il guasto di due o più componenti

SIMILI (UGUALI) a causa dell' effetto del MEDESIMO

stress.

Renato Benintendi

stress.

Stress elettrici: Fulmine, campi elettromagnetici

Stress meccanici: urti e vibrazioni

Stress chimici: corrosione, umidità

Stress fisici: temperatura

Stress da software, i.e. elevati carichi al processore,

incluse elevte velocità di data processing

La norma IEC 61508 tiene conto del CCF attraverso il

ββββ method

Renato Benintendi

ββββ method

sinλλβ =

La norma IEC 61508 tiene conto del CCF attraverso il

ββββ method

Renato Benintendi

ββββ method

indipCC λλλ +=

Scelta del Fattore β β β β (IEC 61508 Part. 6)

Renato Benintendi

Varia statisticamente tra 1 e 10%

Scelta del Fattore β β β β (IEC 61508 Part. 6)

Renato Benintendi

Score Method

Questions Answers

COMMON CAUSE FAILURE Renato Benintendi

Per i sistemi multipli la PFD verrà calcolata attraverso le formule dell'

algebra Booleana

Renato Benintendi

L' approccio continua a valere anche tenendo conto del CCF

Renato Benintendi

Voting 1oo2

SIF FAILS ON

DEMAND

Renato Benintendi

V1 V2Common

SIF FAILS ON

DEMAND

Renato Benintendi

V1 V2Common

⋅=⋅⋅= ⋅

SIF FAILS ON

DEMAND

Renato Benintendi

V1 V2Common

TPFDavg

⋅⋅= λβ

SIF FAILS ON

DEMAND

Renato Benintendi

V1 V2Common

AND3)(

⋅=⋅⋅= ⋅

TPFDavg

⋅⋅= λβ+

Si definisce Systematic Failure un guasto, lacui causa può essere eliminata unicamentemodificando il progetto ed il processo di

Systematic Failure

Renato Benintendi

modificando il progetto ed il processo dicostruzione dell’HW, la programmazione SW,le procedure operative o altri fattoripertinenti.

Failure – Diagnostic Coverage – Safe Failure Fraction

λ Frazione dei componenti affetti da

guasto nell' unità di tempo

1/λNumericamente uguale al tempo

necessario affinchè il singolo 1/λ necessario affinchè il singolo

componente vada sicuramente in

failure

MTTF (Mean Time to Failure)

Renato Benintendi

λ Frazione dei componenti affetti da

guasto nell' unità di tempo

Le unità di misura del failure rate sono del Le unità di misura del failure rate sono del

tipo tempo-1. Una unità di misura spesso

ricorrente nell' ambito della documentazione

IEC 61508 è quella definita FIT (Failure In

Time), consistente in failure per 109 di ore

Renato Benintendi

Per componenti riparabili, in analogia con il failure rate è definibile e disponibile il repair rate

µ Probabilità che (o frazione di

componenti per cui) la riparazione

termini nell' unità di tempo

1/µ1/µ1/µ1/µNumericamente uguale al tempo intercorrente tra l' insorgenza di un guasto e la sua riparazione

MTTR (Mean Time to Restoration)*

*IEC 61508Renato Benintendi

Per componenti riparabili, in analogia con il failure rate è definibile e disponibile il repair rate

MTBF = MTTF + MTTR ∼∼∼∼ MTTF

MTTF MTTR

Renato Benintendi

λλλλsλsu

λsdΣ

Renato Benintendi

λλλλdΣ

Detected Failure

(Guasto Individuabile)

• Si definisce “Guasto Individuabile” unguasto individuabile tramite test

diagnostici, test funzionali periodici, test

manuali ed ispezioni dell’operatore o nel

corso dell’operazione normale.

ΣUndetected Failure

(Guasto Non Individuabile)

• Si definisce “Guasto Non Individuabile”un guasto non individuabile tramite test

diagnostici, test funzionali periodici, test

manuali ed ispezioni dell’operatore o nel

corso dell’operazione normale.

Renato Benintendi

λλλλsΣ

Safe Failure

E' definito come un failure a cui

corrisponde un output che λ corrisponde un output che

provoca una spuria/falsa de-energizzazione

CONTROLLER OUTPUT CIRCUIT Solenoid

La formazione di alta

resistenza sui contatti

impedisce la chiusura

del circuito e pertanto

provoca la chiusura

della valvola senza

domanda Renato Benintendi

λλλλsΣ

Safe Failure

L' effetto non pregiudica la

sicurezza funzionale ma

determina il trip del sistema

benchè i parametri operativi λ

benchè i parametri operativi

siano all' interno del range di

progetto

La formazione di alta

resistenza sui contatti

impedisce la chiusura

del circuito

Renato Benintendi

λλλλsΣ

Safe Failure

Si definisce Spurious Trip unafermata sicura del processo

Spurious Trip

λfermata sicura del processocausata dal SIS per ragioniesclusivamente associate aproblemi di affidabilità del SISstesso (ad es. per guasti dell’HW,malfunzionamenti del SW, avarieelettriche, surriscaldamenti, etc.).

Renato Benintendi

λλλλsΣ

Safe Failure

La fermata del processo perSpurious Trip, da considerarsi a

Spurious Trip

λSpurious Trip, da considerarsi atutti gli effetti una fermataindesiderata o “falsa”, puòpregiudicare indirettamente lasicurezza e può avere conseguenzedi rilievo sulla produttività

Renato Benintendi

λλλλdΣ

Dangerous

Failure

Si definisce “Guastoλ Si definisce “GuastoPericoloso” un guasto che è ingrado di pregiudicare lasicurezza funzionale del SIS,conducendo il SIS ad uno statodi non-sicurezza o di non-rispondenza funzionale.

Renato Benintendi

λλλλdΣ

Dangerous

Failure

Dal punto di vista funzionale,un dangerous failure impediscela de-energizzazione di unλ la de-energizzazione di uninput

Durante il normale

funzionamento, i

contatti del relay

aderiscono tra loro

impedendo la de-

energizzazione del loop

e la chiusura della

valvolaRenato Benintendi

Dangerous

Undetected

Failure

Rappresenta la frazione di guastipericolosi non rilevati dall'λ

λdλdu

pericolosi non rilevati dall'automatic self-test, dall' operatore dicontrol room o dal personale di

manutenzione

ATTENZIONE Rispetto a questi si valuterà la PFD (Unavailability)Renato Benintendi

Dangerous

Undetected

Failure

λdu = λdu-RH + λdu-S

Renato Benintendi

λdu = λdu-RH + λdu-S

Random Hardware failure rate

detectable by functional testing

(A rigore è quello previsto dall' IEC

61508)

Systematic failure rate anch' esso

detectable by functional testing

Vi è una differenza anche di oltre un ordine di grandezza tra i failure rate DU delle banche dati OREDA/PDS e quelli dichiarati dai fornitori. Il motivo è

rappresentato dall' esclusione da parte di questi ultimi del failure sistematico

λλλλsλsu

λsdΣ

DUDDSUSD

DDSUSDSFFλλλλ

λλλ+++

ΣDUDDSUSD

DUSFFλλλλ

Renato Benintendi

Diagnostic Coverage

I moduli operano in automatic self-test (on I moduli operano in automatic self-test (on

line diagnostic testing to detect failures

prior to an actual demand-IEC 61508 sect

3.8.6 -3.8.7). La frazione dei failure rilevati

dal self test è denominato Diagnostic

Coverage.

Renato Benintendi

• La Probaility of Failure on Demand (PFD), definita dallo Standard ISASP84.01, esprime la probabilità per un SIS di fallire su richiesta diintervento.

• Se la PFD fa riferimento ad un intervallo di tempo predeterminato, loStandard ISA S84.01 la definisce come PFD avg. o probabilità media difallimento su richiesta.

Risk Reduction Factor

• Questa definizione coincide con la definizione dello Standard IEC 61508

avgPFD avgPFD/1Risk

Reduction Factor

Renato Benintendi

Risk Reduction Factor

avgPFD/1Risk

Reduction Factor

Può essere interpretato come il fattore di

Renato Benintendi

Può essere interpretato come il fattore di

accrescimento dei componenti necessari per ridurre

a zero la probabilità di danno

Se PFDavg è uguale a 0.5, ciò vuol dire che il 50% dei

componenti esposti rischia il guasto. Raddoppiandone

il numero rispetto al quello di progetto si riduce

teoricamente a zero l' incidenza del guasto.

Unavailability

avgPFD−1 Unavailability

Renato Benintendi

OPERAZIONE NORMALE

Fermate “false”

Unavailability

avgPFD−1 Unavailability

DIAGNOSTICA

Renato Benintendi

Fermate “false”

OPERAZIONE NORMALE

DIAGNOSTICA

Probability of Failure on Demand*

PFD DDIDU

avg ⋅+⋅= λλ2

Renato Benintendi

RTPFD DDavg ⋅+= λ2

*Componenti riparabili con Ti >> RT

Convenzionalmente posto uguale ad 8 ore

Fault Tolerance & Voting Architecture

Renato Benintendi

La (HW) Fault Tolerance di un sistema di più

item identici consiste nel numero che

Renato Benintendi

item identici consiste nel numero che

possono essere soggetti a guasto senza

pregiudicare la sicurezza funzionale dell'

Equipment Under Control

Renato Benintendi

M out of N

con M ≤ N

NecessariEsistenti

MooNNecessari

Esistenti

Renato Benintendi

M out of N

con M ≤ N

NecessariEsistenti

HFT =N-M

Renato Benintendi

Ciò significa in termini affidabilistici che la

valutazione verrà svolta unicamente sul

numero M

-Sensor

Renato Benintendi

Schema di esempio

Un controllore provvederà all'

invio di un output allo scopo di

azionare un elemento finale

OUTPUT CIRCUIT Solenoid Valve -

-Sensor

Renato Benintendi

Schema di esempio

Un guasto pericoloso sarà

rappresentato dalla

energizzazione (short circuit)

-Sensor

Renato Benintendi

Schema di esempio

Un guasto non pericoloso sarà rappresentato dalla

disenergizzazione del circuito (circuito aperto - spurious trip)

Voting 1oo1

CONTROLLER OUTPUT CIRCUIT

+Sensor

Renato Benintendi

Schema di esempio

Il sistema non ha Fault Tolerance, pertanto non è

protetto né contro i guasti pericolosi né verso gli

spurious trip.

Sensor

Voting 1oo2

+Sensor

Renato Benintendi

Il sistema è stato realizzato con due controllori

separati (due canali separati).

Valve -Sensor

Voting 1oo2

+Sensor

Renato Benintendi

Il guasto pericoloso (energizzazione) è stato

risolto collegando in serie le due uscite. La Fault

Tolerance da λd è migliorata.

Valve -Sensor

Voting 1oo2

+Sensor

Renato Benintendi

Lo spurious trip (disenergizzazione) non solo non è

stato risolto, bensì la sua probabilità è addirittura

raddoppiata. La Fault Tolerance da λS è peggiorata.

Valve -Sensor

Voting 2oo2

+Sensor

Renato Benintendi

La PFD è raddoppiata in caso di energizzazione da

dangerous failure.

Solenoid Valve

-Sensor

Voting 2oo2

+Sensor

Renato Benintendi

La Fault Tolerance verso gli spurious trip è aumentata in

quanto entrambi i canali devono disenergizzare.

Solenoid Valve

-Sensor

Voting 2oo3

Sensor

Renato Benintendi

Sensor

Solenoid Valve

Voting 2oo3

A1 A2 B2

Renato Benintendi

Voting 2oo3

A1 A2 B2

Renato Benintendi

Two sets OFF – Sistema

de-energizzato

Voting 2oo3

A1 A2 B2

Renato Benintendi

de-energizzato

Voting 2oo3

A1 A2 B2

Renato Benintendi

de-energizzato

Voting 2oo3

A1 A2 B2

Renato Benintendi

Two sets ON – Sistema

energizzato

Voting 2oo3

A1 A2 B2

Renato Benintendi

energizzato

Voting 2oo3

A1 A2 B2

Renato Benintendi

energizzato

Voting 2oo3

A1 A2 B2

Renato Benintendi

Un set fails open – Il

sistema degenera in un

1oo2 e garantisce i

requirements di

sicurezza evitanto uno

spurious trip

Voting 2oo3

A1 A2 B2

Renato Benintendi

Un set fails SHORT

CIRCUIT – Il sistema

garantisce i requirements

di sicurezza evitanto uno

spurious trip

Voting 1oo1

Calcolo della PFD

T⋅λ

Renato Benintendi

PT RTT

PFD DDIDU

avg ⋅+⋅= λλ2

Convenzionalmente posto uguale ad 8 ore

Voting 1oo1

Calcolo della PFD

T⋅λ

Renato Benintendi

PT RTT

PFD DDIDU

avg ⋅+⋅= λλ2

Sostanzialmente trascurabile rispetto al

primo termine

Voting 1oo1

Calcolo della PFD

Renato Benintendi

IDUavg

⋅= λPT

Voting 1oo2

Calcolo della PFD

Renato Benintendi

IDUavg

⋅= λPT PT

Voting 2oo2

Calcolo della PFD

Renato Benintendi

IDUavg TPFD ⋅= λPT PT

Voting 2oo3

Calcolo della PFD

Renato Benintendi

Voting 2oo3

Calcolo della PFD

AND AND AND

Renato Benintendi

IDUavg

⋅= λ3

IDUavg

⋅= λ3

IDUavg

⋅= λ

IDUavg TPFD ⋅=λ

Voting 1001

Calcolo del MTTFspurious

Renato Benintendi

MTTFλ1=

Voting 1002

Calcolo del MTTFspurious

Renato Benintendi

MTTFλ2

Voting

Renato Benintendi

PFD – Procedure ed esempi di calcolo

Reliability Block Diagram (RBD)

PFD1 PFD2 PFD3 PFD4

Renato Benintendi

Il sistema a blocchi in serie rappresenta un insieme di item la cui affidabilità di tutti gli

elementi concorre alla affidabilità del sistema insieme

avgavg PFDPFDU Σ== avgavg PFDPFDR Σ−=−= 11

Reperibilità dei Failure Rate per la Sicurezza Funzionale

Offshore Reliability Data Handbook 4th Edition, (OREDA 2002)

Renato Benintendi

4th Edition, (OREDA 2002)

Offshore Reliability Data Handbook 4th Edition, (OREDA 2002)

Renato Benintendi

RELIABILITY DATA FOR SAFETY INSTRUMENTED SYSTEMS

Renato Benintendi

INSTRUMENTED SYSTEMSPDS DATA HANDBOOK, 2006 EDITION

Ed. SINTEF

Segregation activated

by PSD (ESD/PT) not

included Renato Benintendi

Renato Benintendi

Shut down as a result

of LAHH through PSD

and/or ESD Renato Benintendi

Shut down as a result of LAHH through PSD and/or ESD

Renato Benintendi

Firewater Supply (2 x 100% pumps)

Renato Benintendi

Modello di Markov

Si basa sulla osservazione che un

sistema può trovarsi in diversi stati,

caratterizzati ciascuno da una caratterizzati ciascuno da una

probabilità e da un transition rate

Stato 1 - OKStato 2Guasto

Failure

Repair

Renato Benintendi

Modello di Markov

1oo1 VotingRenato Benintendi

Modello di Markov

1oo2 Voting

Renato Benintendi

Safety Integrity

Indica la probabilità che un SRS esegua una funzione disicurezza correttamente, entro un periodo di tempo

Assegnazione dei SIL Vs PFDavg

sicurezza correttamente, entro un periodo di tempoprestabilito

Renato Benintendi

Low Demand ( Part 4 dello Standard IEC 61508)

Lo standard interpreta la frequenza di domanda onLo standard interpreta la frequenza di domanda onoperation del SRS non superiore di una all' anno e il prooftest non superiore a due volte.

Renato Benintendi

High Demand

Lo standard interpreta la frequenza di domanda onoperation del SRS superiore di una all' anno e il proof testoperation del SRS superiore di una all' anno e il proof testsuperiore a due volte.

Renato Benintendi

Safety Integrity Level

Numero intero con sui si indica la Safety Integrity. Il SIL Numero intero con sui si indica la Safety Integrity. Il SIL può variare da 1 a 4 con andamento crescente.

Renato Benintendi

Safety Integrity Level (Warning)

Il SIL è assegnato al SIS costituente il SRS. Questo è concettualmente formato dai tre elementi principali:

Renato Benintendi

concettualmente formato dai tre elementi principali:

� Sensor

� Logic Solver

� Final Element

L' eventuale Certificazione SIL di componenti separati non è condizione sufficiente per la attribuzione SIL all' intero sistema.

IEC 61508-1 Table 2 and 3Renato Benintendi

99.999

0.00001

0.0001

Aumento del Livello di

Integrità della Sicurezza

Safety Availability, %

PFDavg.

ANSI/ISAS84.01

IEC 61508 TÜV Class (AK)

AK3AK4

AK1Aumento del Livello di

Integrità della Sicurezza

Renato Benintendi

Type A ComponentType A Component

Semplici dispositivi caratterizzati da ben notemodalità di guasto e da una solida storia operativa(sensors)

Renato Benintendi

TypeB ComponentTypeB Component

Dispositivi complessi caratterizzati modalità diguasto non completamente note (logical solvers)

Renato Benintendi

Hardware safety integrity: architectural constraints on type A safety-related subsystems (IEC 61508-2, Table 2)

Renato Benintendi

Hardware safety integrity: architectural constraints on type B safety-related subsystems (IEC 61508-2, Table 3)

Renato Benintendi

Metodi per la assegnazione del SIL*

Principali metodi utilizzati per la assegnazione del SIL:

• HAZOP esteso

• Consequences Only• Consequences Only

• Matrice di Rischio

• Grafico di Rischio

• Analisi dei Livelli di Protezione (LOPA)

• Quantitativo

By Pasquale Fanelli

Conformità allo Standard IEC 61508

EUC Risk Analysis Risk Assessment

Failure Architettura

SIL Definition

SIS VERIFICATION

Failure

Frequency

Hazard

Magnitude

Demand

Entity

Diagnostic

Coverage

Test Interval

SIS TESTING

Metodo HAZOP esteso

USCITA

FIC FAL

INGRESSO

GAS COMB.

Esempio di assegnazione del SIL

Metodo HAZOP esteso

� Si valutano le funzioni di sicurezza:

• per bassa pressione alimentazione gas combustibile

• per bassa portata alimentazione serpentino forno;

� Il forno non è presidiato;

� Il forno è collocato ad una distanza di 50 m da una sala controllo non bunkerizzata.

Metodo HAZOP esteso

Un team multi-disciplinare esperto e con conoscenza

approfondita dello specifico processo, conduce le

seguenti attività:

• Analisi PHA• Analisi PHA

• Analisi HAZOP estesa

• Assegnazione del SIL

Il tutto nel rispetto di Normativa e Standards applicabili.

Metodo HAZOP esteso (a cura di P. Fanelli)

Bassa Portata Intasamento

Serpentino

DEVIAZIONI CAUSA CONSEGUENZE PROTEZIONI RACCOM.NI SIL

- Possibile collasso del serpentino;

- Possibile fuoriuscita di liq. a T > F.P.;

- Possibile accensione ed incendio;

- Possibile danno forno per incendio;

- Possibili danni fisici di minore entità

per il personale nell’area (*)

(*) il forno non è presidiato

Allarme

Bassa Portata

Alimentazione

Blocco

Automatico

Forno per

Bassa Portata

Alimentazione

Bassa Pressione Mancanza

Alimentaz.

Gas Comb.

- Spegnimento del bruciatore del forno;

- Possibile saturazione della camera di

combustione con gas;

- Possibile formazione di miscela espl.;

- Possibile esplosione del forno alla

riaccensione;

- Possibili danni fisici di maggiore

entità per il personale nell’area (*)

(*) il forno non è presidiato

Allarme

Bassa Pressione

Gas Combustibile

Blocco

Automatico

Forno per

Pressione Gas

Combustibile

Metodo “Consequences Only”

� Si richiede la sola valutazione delle conseguenze;

Si segue un approccio conservativo;� Si segue un approccio conservativo;

� Si risparmiano analisi di sicurezza più avanzate.

� Impatto sul Personale

• Danni fisici; e/o

• Decessi; e/o

• Peggioram.to relazioni.

� Impatto Ambientale

• Emissioni tossiche; e/o

• Contaminaz.ne di suolo e/o falda; e/o

• Danni irreversibili aree sensibili.

� Impatto sulla Comunità

• Danni fisici; e/o

• Decessi; e/o

• Danni materiali; e/o

• Danni relazioni Autorità.

� Impatto sul Giro d’Affari

• Perdite di capitali; e/o

• Perdite di produzione; e/o

• Danni all’immagine; e/o

• Ammende, spese legali e penali.

Esempio di SIL vs. Impatto sul Personale

� SIL 0 - Nessun danno fisico al personale

� SIL 1 - Possibili danni fisici di minore entità, quali ferite

ed ustioni non esteseed ustioni non estese

� SIL 2 - Possibili danni fisici di maggiore entità, quali

ferite gravi ed ustioni estese

� SIL 3 - Possibilità di un decesso

� SIL 4 - Possibilità di più decessi

Metodo “Consequences Only”Esempio di Assegnazione SIL in funzione

dell’Impatto sul Personale:

Bassa Portata Alimentazione Serpentino Forno

� La sequenza di eventi incidentali può provocare danni fisici di minore entità interessanti il danni fisici di minore entità interessanti il personale nell’area e pertanto si opta per SIL 1;

Bassa Pressione Alimentazione Gas Combustibile

� La sequenza di eventi incidentali può provocare danni fisici di maggiore entità interessanti il personale nell’area e pertanto si opta per SIL 2.

Metodo Matrice di Rischio

� La Matrice di Rischio si basa sulla valutazione di:

• Severità dell’evento incidentale;

• Probabilità dell’evento incidentale.

� La Matrice di Rischio si connota come l’approccio � La Matrice di Rischio si connota come l’approccio dell’Industria di Processo al Rischio Tollerabile;

� La Matrice di Rischio si può concepire con la attribuzione specifica di valori di SIL ad aree a combinazioni determinate di severità e probabilità dell’evento incidentale.

� In molti casi l’elaborazione della Matrice di

Rischio fa parte dell’analisi PHA;

� La Matrice di Rischio è utilizzata come

strumento di valutazione delle misure

protettive attive e passive.

� Tipicamente si distinguono le misure protettive in attive e passive :

• Misure protettive attive, sono le misure non efficaci al 100 % del tempo e richiedenti azioni di intervento.

Tipico esempio sono PSV, SIS, sistemi antincendio, etc.;Tipico esempio sono PSV, SIS, sistemi antincendio, etc.;

• Misure protettive passive, sono le misure efficaci al

100 % del tempo e non richiedenti azioni di intervento (ad es. umano, strumentale, meccanico, etc.).

Tipico esempio sono muri antiscoppio, bacini di contenimento, fire proofing, etc.

RISCHIONON

TOLLERABILE

Metodo Matrice di RischioSeverità

dell’Evento Incidentale

MODERATA ALTA

Probabilità

� Probabilità dell’Evento Incidentale

Il collasso del serpentino del forno è stato registrato con una frequenza di accadimento pari ad un caso ogni 4 anni, per cui:frequenza di accadimento pari ad un caso ogni 4 anni, per cui:

Livello di Probabilità = MODERATA

� Severità dell’Evento Incidentale

Si possono registrare danni al personale di minore entità, per cui:

Indice di Severità delle Conseguenze = MINORE

RISCHIONON

TOLLERABILE

Severità

MODERATA ALTA

Probabilità

Bassa Pressione Alimentazione Gas Combustibile

� Probabilità dell’Evento Incidentale

Lo spegnimento del forno per mancanza di Gas Combustibile è stato registrato con una frequenza accadimento pari ad un caso stato registrato con una frequenza accadimento pari ad un caso all’anno, per cui:

Livello di Probabilità = ALTA

� Severità dell’Evento Incidentale

Si possono registrare danni al personale di maggiore entità, per cui:

Livello di Severità delle Conseguenze = MAGGIORE

RISCHIONON

TOLLERABILE

Severità

MODERATA ALTA

Probabilità

Analisi dei Livelli di Protezione (LOPA)

I livelli di protezione dovrebbero risultare:

• Progettati specificatamente per la mitigazione del grado di rischio del processo; e

• Indipendenti, in modo che il fallimento dell’uno non pregiudichi la sicurezza funzionale dell’altro; epregiudichi la sicurezza funzionale dell’altro; e

• Affidabili; e (*)

• Verificabili e Validabili (V &V)

(*) Il CCPS richiede due ordini di grandezza di riduzione del

rischio, pertanto almeno un PFD = 0,01 (limite SIL 1)

Matrici di Rischio a vari Livelli di Protezione

Probabilità

Evento

L IPL = H

NR NR NR

1 21Severità Evento

Severità Evento

Evento

L IPL = M

NR NR 1

Severità Evento

L IPL = L

Probabilità

Evento

Probabilità

Evento

Severità Evento

IPL = Livelli di Protezione Indipendenti

Metodo Grafico di Rischio

� Simile al metodo Matrice di Rischio;

� Generalmente utilizzato per una valutazione delle

conseguenze sul Personale;

� Impiega quattro parametri:� Impiega quattro parametri:

• Severità dell’evento incidentale; e

• Probabilità dell’evento incidentale; e

• Frequenza di esposizione; e

• Possibilità di fuga.

Metodo Grafico di Rischio - Parametro C

Parametro C: Conseguenze

� C1 Conseguenze minori

� C2 Conseguenze serie, con danni permanenti

ad una o più persone, fino ad un decessoad una o più persone, fino ad un decesso

� C3 Alcuni Decessi

� C4 Numerosi Decessi

Metodo Grafico di Rischio - Parametro F

Parametro F: Frequenza e Tempo di Esposizione

� F1 Presenza occasionale e breve in aree pericolose

F2 Presenza frequente ed estesa in aree pericolose� F2 Presenza frequente ed estesa in aree pericolose

Metodo Grafico di Rischio - Parametro P

Parametro P: Possibilità di evitare l’evento incidentale

� P1 Possibile a determinate condizioni

P2 Praticamente impossibile� P2 Praticamente impossibile

Il parametro tiene conto in particolare dell’efficacia dei sistemi di

allarme e di emergenza, del livello di preparazione del personale

alle emergenze, dall’andamento nel tempo dell’evento incidentale.

Metodo Grafico di Rischio - Parametro W

Parametro W: Probabilità dell’Evento Non Desiderato

� W1 Evento non desiderato improbabile

� W2 Evento non desiderato poco probabile

� W3 Evento non desiderato altamente probabile

Lo scopo del parametro W è quello di stimare la probabilità

dell’evento non desiderato senza sistemi di sicurezza, ma con le

attrezzature esterne di riduzione del rischio.

W3 W2 W1

Legenda

C Conseguenze

F Frequenza e T esp.

P Possibilità di evitare

W Probabilità

Riduzione di Rischio

Minima Richiesta

Punto di Partenza

Legenda

a no SR’s speciali

b, c SIL 1

d SIL 2

e, f SIL 3

g SIL 4

h SIS multipli

� Conseguenze:

• Minori = C1

� Frequenza e Tempo di Esposizione:Frequenza e Tempo di Esposizione:

• Occasionale e breve = F1

� Possibilità di Evitare l’Evento Incidentale:

• Possibile a determinate condizioni = P1

� Probabilità di Accadimento:

• Evento poco probabile = W2

W1W2W3

a = no SR’s speciali

Bassa pressione Alimentazione Gas Combustibile:

� Conseguenze:

• Alcuni decessi = C3

� Frequenza e Tempo di Esposizione :

• Presenza frequente = F2

� Probabilità di Accadimento:

• Evento altamente probabile = W3

W1W2W3

Metodo Analisi LOPA

� Valutazione dettagliata e quantitativa di ogni

potenziale scenario incidentale;

� Meno rigorosa di una Analisi di Rischio

pienamente quantitativa;pienamente quantitativa;

� Basata su quantificazione per “ordine di

grandezza”;

� Richiede criteri quantitativi di calcolo del grado di

rischio tollerabile per ogni SIL.

Metodo Analisi LOPA - Albero degli Eventi

IPL 1 IPL 2 IPL 3

FALLIMENTO

Evento Incidentale

Frequenza = F1 x P1 x P2 x P3

PFD = P2

PFD = P3

Causa di Avvio

Frequenza = F1

FALLIMENTO

SUCCESSO

SUCCESSOEvento Non-Incidentale

Evento Non-Incidentale

PFD = P1

PFD = P2

Evento Non-Incidentale

Metodo Analisi LOPA� Identifica gli eventi incidentali e la severità delle conseguenze;

� Identifica le cause di avvio di ogni evento incidentale;

� Stima la probabilità di ogni evento incidentale;

� Identifica gli IPL;

� Determina il valore di PFD per ogni IPL ed il SIS (pertanto determino il SIL);determino il SIL);

� Determina la probabilità dell’evento incidentale;

� Compara il grado di rischio dell’evento incidentale con il grado di

Rischio Tollerabile:

- per Rischio Tollerabile: OK

- per Rischio non-Tollerabile: ridetermino IPL e/o SIL del SIS

Formato Tipico per Analisi LOPA

Evento

Incidentale

di Avvio

Probabilità

Causa di

Livelli Protettivi Indipendenti

Probability to Fail on Demand (PFD)

Mitigazioni

Aggiuntive

Probabilità

Evento

Metodo Analisi LOPA -

Severità

Conseguenze

dell’Evento

Incidentale

Avvio (PFD) Incidentale

Mitigato

Design BPCS Allarmi/

Procedure

Metodo Analisi LOPA -Esempi di Cause di Avvio di Eventi Incidentali

Guasto Loop di Controllo 1/10 anni

Guasto Pompa 1/10 anni

Errore Umano:

- in attività di routine

- in attività di non-routine

1/100 anni

1/10 anni

Perdita di raffreddamento 1/anno

Caduta Alimentazione EE 1/anno

Metodo Analisi LOPA -

Esempi di PFD per diversi IPL

Risposta Operatore ad Allarmi PFD = 0.1

Valvola di Sicurezza PFD = 0.01 - 0.001

Rating Recipiente in Pressione PFD = 0.01Rating Recipiente in Pressione PFD = 0.01

Contenimento Secondario PFD = 0.01

SIS PFD = 0.1 - 0.0001

Metodo Quantitativo� Quando si applica:

• Si applica quando sono assegnate le frequenze di accadimento degli eventi incidentali massime ammissibili in funzione dei vari gradi di severità delle conseguenze.

� Come si applica:

• Si determina la frequenza di richiesta di intervento del processo (Fnp), SIS escluso;

• Si assegna la frequenza di richiesta di intervento del processo massima ammissibile (Ftp), SIS incluso;

• Si calcola il fattore di riduzione del rischio attribuibile al SIS, come:

RRF = Fnp/Ftp;

• Si assume il reciproco del Fattore di Riduzione del Rischio come

PFDavg. del SIS;

• Si assegna al SIS il SIL corrispondente al PFDavg. calcolato.

Metodo Quantitativo

Evento Incidentale

OR Gate

Guasto Mancato Guasto SIS

AND Gate

Guasto

Sistema di Controllo

Guasto

Sistema Allarme

Errore

Operatore

Mancato

Intervento Operatore

Guasto SIS

Metodo Quantitativo

Esempio applicativo:

� La modellazione della richiesta di intervento del processo, senza SIL, ha generato un valore pari a Fnp = 1E-02 richieste per anno;

� Il limite per l’Industria di Processo e/o il Processo in questione � Il limite per l’Industria di Processo e/o il Processo in questione è stato fissato in Ftp = 1E-05 richieste per anno;

� Si decide di installare un SIS, senza altri IPL, per ridurre il grado di rischio al valore prefissato;

� Si calcola RRF = Fnp/Ftp = 1E-02 / 1E-05 = 1E03

� Assegno al SIS un PFDavg. = 1/RRFactor = 1E-03, corrispondente ad un SIL 3 (al livello minimo).

Criteri di scelta del Metodo

� HAZOP esteso

Applicabile quando:

• la soggettività del Metodo non presenta controindicazioni per l’Industria di Processo e/o il Processo preso in considerazione;l’Industria di Processo e/o il Processo preso in considerazione;

• il livello di comprensione del grado di rischio del Processo è elevato;

• il Team preposto all’assegnazione del SIL è coinvolto in più processi ed è in sintonia sui risultati.

� “Consequences Only”

Applicabile quando:

• si rende necessario uno strumento alquanto “semplice”;

• si analizzano sequenze di eventi incidentali molto complesse o di difficile comprensione;

• il Team preposto all’assegnazione del SIL non è in sintonia sui risultati.

� Matrice di Rischio

Applicabile quando:

• le probabilità di accadimento degli eventi incidentali e

la severità delle conseguenze sono ben conosciute;la severità delle conseguenze sono ben conosciute;

• il Team preposto all’assegnazione del SIL è

sufficientemente in sintonia sui risultati;

• risulta necessario analizzare la riduzione del grado di

rischio per vari gradi di IPL.

� Grafico di Rischio

Applicabile quando:

• sussistono gli stessi criteri di applicabilità della

Matrice di Rischio;

• si possono accettare risultati molto dipendenti da una diversa valutazione delle conseguenze (parametro C);

• non risulta necessario valutare diversi IPL.

� Analisi LOPA

Applicabile quando:

• si rende necessario considerare diversi IPL;

• si preferisce adottare un approccio strutturato per i diversi IPL;

• sono disponibili i valori di PFD dei diversi IPL;

• risulta quantificabile il grado di rischio ammissibile per il singolo evento incidentale.

� Analisi Quantitativa

Applicabile quando:

• non è in contrasto con l’approccio alla sicurezza • non è in contrasto con l’approccio alla sicurezza dell’Industria di Processo in questione;

• il livello di comprensione dei rischi del Processo è basso (nuove tecnologie di processo oppure molto complesse);

• è necessario considerare molteplici sequenze di eventi incidentali e diversi IPL.

L' impiego della FMEDA nella

determinazione del Diagnistic Coverage

Factor

Failure Mode and Effect Diagnostic AnalysisFailure Mode and Effect Diagnostic Analysis

IEC 61508 - PART 6

Guidelines on the application of Part 2 – 3

•Annex C: FMEDA (DC factor calculation)

Domestic hot water systemwater system

Failure Mode and Effect Analysis

Failure Mode and Effect Diagnostic Analysis

Pressure Transmitter

Classificato B-Type IEC 61508

H -Fault Tolerance = 0

Renato Benintendi

Il protocollo HART è operativo solo per il set up, calibrazione,

diagnostica, non per le safety critical operations

Renato Benintendi

Una corrente di soglia pari a 3.6 mA rappresenta il Low Trip

Point (Fail Safe State)

Renato Benintendi

I Fail Low e Fail High possono essere rilevati o meno dal logic

solver

Renato Benintendi

λλλλsλsu

λsdΣ

DUDDSUSD

DDCFλλλλ

ΣDUDDSUSD

DUSFFλλλλ

Renato Benintendi

λλλλsλsu

λsdΣ

141998320455

19920455

++++++

Σ141998320455

++++−=SFF

Renato Benintendi

PARTIAL VALVE

STROKE TESTING

SIL LEVEL SIL LEVEL

ARCHITECTURE CONSTRAINT

1OO31OO2

Renato Benintendi

Il contributo del SIS al calcolo della PFDavg è

sostanzialmente dovuto all' elevato valore del failure associato al gruppo solenoide + attuatore Renato Benintendi

In maniera correlata si trova che il valore della SFF della shut-off valve risulta pari a circa il 50%

Renato Benintendi

1OO31OO2

HFT=1Renato Benintendi

Dal punto di vista dell' Architecture Constraints la configurazione delle SO Valve può essere impiegata al

massimo secondo un SIL = 2

Anche per quanto riguarda la PFDavg, al gruppo corrisponde un SIL level pari a 2

Il SIS può essere impiegato in un ambito al quale la Risk Analysis ha al massimo fatto corrispondere un SIL 2

Renato Benintendi

Il SIS può essere impiegato in un ambito al quale la Risk Analysis ha al massimo fatto corrispondere un SIL 2

La SFF del gruppo valvole è troppo elevata, ciò a causa del fatto che eventuali blocchi della valvola non sarebbero rilevabli. In tale λλλλdu è

praticamente concentrato il limite dell ' intero SIS

SOLUZIONI

La soluzione potrebbe essere l' inserimento di un' altra coppia solenoide + attuatore

1OO3HFT=2

PVSTSOLUZIONI

Renato Benintendi

Al gruppo corrisponde un SIL level pari a 3

Dal punto di vista dell' Architecture Constraints la configurazione delle SO Valve passa a un SIL = 3

La soluzione è costosa e piuttosto macchinosapiuttosto macchinosa

Il basso SFF è connesso con l' elevata incidenza del blocco l' elevata incidenza del blocco della valvola che in un TI normale può essere testata una volta circa all' anno

La soluzione IEC 61508 è costituita dall' introduzione di costituita dall' introduzione di un Partial Valve Stroke Test, che rivela immediatamente il

failure della valvola

Il risultato è costituito da un notevole aumento del SFF

che incide sia sulle Architecture Constraint che Architecture Constraint che sul PDFavg, spostando il SIS verso il SIL 3, mantenendo la configurazione 1001 del

gruppo valvole

Renato Benintendi

SIS IEC 61508

Documents

Transcript of SIS IEC 61508

rec Alph α Series α · 2020. 5. 20. · UNI 8457/9174 Ignitability (Class 1) IEC 62782 Dynamic Mechanical Load IEC 61215-2:2016 Hailstone (35mm) AS4040.2 NCC 2016 Cyclic Wind Load

SIS Immortality Transition for KPS spring meeting 2015

³ £ µ « £ Y ² ± ¶ ³ ¥ & Ω ¥ 22-9-2015 1 ης £ µ µ « ¬ © ´ ¥ Ω Ω · PDF file!η #πα ü , ü α ηα ISO, IEC, DIN, ... IEC 61439-1: “Low-voltage switchgear

DATA SHEET Type: J SpinnerFlex TopFit Jumper SF 3/8-50-PE ... · Halogen free acc. to IEC 60754-1 and IEC 60754-2 Fire retardant acc. to IEC 60332-1, IEC 60332-3.C, IEC 61034 and

СЧЕТЧИКИ ЭЛЕКТРИЧЕСКОЙ ЭНЕРГИИ …matritca.com/upload/iblock/232/np7l_1_1_3_manual.pdf · iec 61038 Реле времени для Управления

Wärmebildkamera - KOMETEC · Gehäuses (IEC 60529) IP54 Vibration (IEC 60068-2-6) 2G Physikalische Kenndaten Gewicht 510 g Abmessungen (LxBxH) 219 x 96 x 95 mm Gehäuse PC - ABS

files.sld.cufiles.sld.cu/.../files/2013/09/monografia-cirrosis.docx · Web viewMonografía Cirrosis La cirrosis (del griego: kirr- κιρρóς, amarillo anaranjado, y -ō-sis, patología)

The Effect of IEC-Like Fast Transients on RC-Triggered ESD ... · YEN AND KER: EFFECT OF IEC-LIKE FAST TRANSIENTS ON RC-TRIGGERED ESD POWER CLAMPS 1205 with the pulse rise time of

PROFITEST I · 2015. 10. 20. · IEC/ DIN EN 61010; VDE 0411, IEC 60364 / DIN VDE 0100-600 / DIN VDE 0105-100, IEC/ DIN EN 61557 / VDE 0413, CEI 64-8, ÖVE/ÖNORM 8001-6, NIV / NIN,

SCOPE SERVICES OF ISO/IEC 17025 - ISOCAL TechnologySCOPE SERVICES OF ISO/IEC 17025 ELECTROMAGNETIC – DC/LOW FREQUENCY PARAMETER / EQUIPMENT RANGE CALIBRATION & MEASUREMENT CAPABILITY

Industrial Batteries – Sonnenschein A500 A powerful ... V/C cover IEC 896-2 acc. to 20°C approx. max. max. max. max. approx. IEC 896-2 V Ah A A mmmmmm mm kg m Ω A

docs.rs-online.com · 2019. 10. 13. · JIS-C-5201-1 4.18 IEC-60068-2-58 8.2.1 260±5°C for 30 seconds JIS-C-5201-1 4.18 IEC-60115-1 4.18-55°C to +125/+155°C, 5 cycles

Motivation; CBM experimental setup, MVD+STS; Open charm at SIS 100; He cooling (no Beam Pipe)

ΔΡΑΣΗ ΕΘΝΙΚΗΣ ΕΜΒΕΛΕΙΑΣ ...talos-ts.com/files/POLYDIAGNO_5_2.pdf · τεχνικές μέτρησης βάσει του προτύπου iec 60815 [2].

general catalog enerdis 2015 0(5) BROCHURE...>Environment and standards EMC IMMUNITY (standard of reference: IEC 60688, IEC 61326-1, IEC 61000-6-5) Shock voltage as per IEC 61000-4-5

Circular polarizer orthomode transducer SIS mixers – use ALMA band 6 devices purchased from UVa WBA13 I.F. amplifiers (1-9 GHz) from Sandy Weinreb, Caltech.

M series catalog - in2connect.uk.com · M series connectors are lightweight triple- ... > 10 10 Ω (after humidity) IEC 60512-2 test 3a EIA-364-21 See table page 16-17 IEC 60512-2

vErification on loW-voltagE ElEctrical installations: iEc 60364-6 · 2017. 7. 18. · IEC 60364-6 61.3.2., equipment: IEC 61557- 4 Parameters: ± 200 mA both directions, all exposed

Introduction - WordPress.com · COMPUTABLE CATEGORICITY 3 De nition 1.2. A computable structure Sis relatively computably categorical if for any two presentations Aand Bof S(computable

PR_COD_1amCom€¦ · Web view(5)Το γεγονός ότι η απαιτούμενη νομοθετική βάση που θα διέπει τη λειτουργία του SIS απαρτίζεται