IEC 61508 og IEC 61511 - NTNUfolk.ntnu.no/lundteig/Presentations/2010-iec61508... · Safety...

1

IEC 61508 IEC 61511IEC 61508 og IEC 61511 – status og endringerg g

Mary Ann LundteigenNTNU

Medlem av IEC 61511 komiteen

IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.

2

InnholdKort om IEC 61508 IEC 61511 og OLF 070Kort om IEC 61508, IEC 61511 og OLF 070

TidsplanAgenda

IEC & OLF

– for revisjonsarbeid IEC 61508 og IEC 61511

Tidsplan

IEC 61508

Endringer IEC 61508 – et utvalg

Status revisjonsarbeid IEC 61511

IEC 61508

IEC 61511

jKonklusjon

IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.

3

IEC 61508 versus IEC 61511

Agenda

IEC & OLF IEC 61508

Tidsplan

IEC 61508IEC 61508

IEC 61511

Konklusjon

IEC 61511(P i d i

IEC 62061(M ki i)

IEC 61513(Kj k f )

ISO 26262 IEC 62425IEC 62269


(Prosessindustriinkl. O&G)

(Maskineri) (Kjernekraft) (Bil) IEC 62269(Jernbane)

4

OLF 070 versus IEC standardeneOLF 070

Agenda

IEC & OLF

OLF 070

Tidsplan

IEC 61508 Min SIL kravIEC 61508

IEC 61511

Min SIL krav

• Data og analyse‐Konklusjon

Data og analysemetoder (PDS)

• FSA plan

Comp‐lianceReport

SAR

P d

SRSRev.SRSRev.


Prosedyre –oppflg. driftsfasen

5

Tid lTidsplanIEC 61511 (ed 1)

IEC 61511 (Draft)(2011 eller 2012?)IEC 61511 (ed 1)

(2003)(2011 eller 2012?)

Agenda

IEC & OLF

2000 2010 2020Tidsplan

IEC 61508

Ed 1(2001)Ed 2(2004)

IEC 61508

IEC 61511

IEC 61508 (ed1)

Konklusjon

( )(1998-2000)

OLF 070IEC 61508 (ed2)(2010)


6

Tid lJan Ståle Austbø (Statoil),

Cato Bratt (ABB), Tidsplan

IEC 61511 (ed 1)IEC 61511 (Draft)(2011 eller 2012?)

Mary Ann Lundteigen (NTNU)

IEC 61511 (ed 1)(2003)

(2011 eller 2012?)Agenda

IEC & OLF

2000 2010 2020Tidsplan

IEC 61508

Ed 1(2001)Ed 2(2004)

IEC 61508

IEC 61511

IEC 61508 (ed1)

Konklusjon

( )(1998-2000)

OLF 070IEC 61508 (ed2)(2010)

Mats Gunnmarker (Exida)


Mats Gunnmarker (Exida)

7

Endringer IEC 61508 – i korthetEndringer IEC 61508 i korthet

SIS safety lifecycle – nesten som før, men ikke helt..y y ,

Feil og feilklassifisering – ikke mer ”triksing” med safe failure fraction (SFF)?

Agenda

IEC & OLF

Kravspesifikasjon – nå som en tretrinnsrakett

SIL 4 ‐mer stuerent enn før?Tidsplan

IEC 61508

Hardware fault tolerance ‐ endelig en vei utenom?

Systematic capability – Nytt begrep

IEC 61508

IEC 61511

y p y y g p

Beregning av PFD ‐ Flere metoder, men gir det bedre resultat?

Konklusjon


8

SIS safety Forenklet

lifecycle (ed 2)Forenklet begrepsbruk (Tidligere fase 10

11 blitt

Fase 9 splittet i to deler

og 11 er blitt ny fase 11)

Agenda

IEC & OLF

Tidsplan

IEC 61508IEC 61508

IEC 61511

Konklusjon


9

Feil og feilklassifiseringFeil og feilklassifiseringSikre (S*)Ed 1 Ed 2

Sikre (safe/S)No part

No effect

Agenda

IEC & OLF

Feil Farlige detektert (DD)Tidsplan

IEC 61508Farlige (Dangerous/D)

No effect failure

Farlige udetektert (DU)

IEC 61508

IEC 61511

No effect failure:failure of an element that plays a part in implementing the safety function but has no directeffect on the safety function.

Konklusjon

No part failure:failure of a component that plays no part in implementing the safety function.

No part og No effect skal ikke tas med i safe failure


No part og No effect skal ikke tas med i safe failurefraction (SFF)!

10

Feil og feilklassifiseringFeil og feilklassifiseringSikre (S*)

Sikre (safe/S)No part

No effect

Agenda

IEC & OLF

Feil Farlige detektert (DD)Tidsplan

IEC 61508Farlige (Dangerous/D) Farlige udetektert (DU)

IEC 61508

IEC 61511

DD S*" ikre" feilrater + SFF"Alle" feilrater +S

Konklusjon

DU DD S*Alle feilrater +


11

Kravspesifikasjoner – i tre ”nivåer” (Ed 2)Kravspesifikasjoner i tre nivåer (Ed 2)

Safety requirement specification (SRS): ALLE krav til sikkerhets‐

Agenda

IEC & OLF

E/E/PE System SRS:

ALLE krav til sikkerhetsfunksjoner – fra risikoanalysen (event. MIN SIL)Tidsplan

IEC 61508y

Prosess‐ Ingeniøren’s krav til SIS funksjoner (responstid, etc)

IEC 61508

IEC 61511

SIS Design requirements spesification:

Konklusjon

SIS designerens design krav for SIS


12

SIL 4 –Mer ”stuerent” enn før?SIL 4 Mer stuerent enn før?

“SIL 4 krav er et resultatSIL 4 krav er et resultatav dårlig design”

Tradisjonelt vært prosessIndustriens standpunkt

Agenda

IEC & OLF

Tidsplan

IEC 61508

“SIL 4 systemer er etJernbane stiller SIL 4krav til sine systemer – og

IEC 61508

IEC 61511

SIL 4 systemer er etnaturlig resultat av stadigmer pålitelig teknologi”

kravene bygger på analyser av eksisterende signalanlegg

Konklusjon

signalanlegg


13

SIL 4 – endringer i krav /fokusSIL 4 endringer i krav /fokus

IEC 61508 (ed 1): IEC 61508 (ed 2):Krav til (betydelig)

operasjonell erfaring med tst ret som skal

Er SIL 4 virkelig nødvendig?– mulig å allokere SIL 4 kravet til flere s stemer?

Agenda

IEC & OLFmed utstyret som skal inngå i SIL 4 funksjoner

flere systemer?

Hvis SIL 4 krav stilles til

Tidsplan

IEC 61508

Analyser og tester må vise at SIL 4 kravet kan

Hvis SIL 4 krav stilles til enkeltsystemer:

Tilleggsanalyser – avdekke

IEC 61508

IEC 61511

oppfylles om feil i andre systemer kan påvirke SISGjennomføre usikkerhet/

Konklusjon

Gjennomføre usikkerhet/ sensitivitetsanalyser


14

Hardware fault tolerance (HFT) – i ed 1Hardware fault tolerance (HFT) i ed 1

Sensors Logic solverActuatingdevices

Agenda

IEC & OLF

Tidsplan

IEC 61508

SIL krav?

A eller B komponent?IEC 61508

IEC 61511

SFF? Krav tilHFT

Konklusjon


15

Hardware fault tolerance (HFT) – i ed 2Hardware fault tolerance (HFT) i ed 2Alternativ 1 ‐ Route 1H

Agenda

IEC & OLF

Tidsplan

IEC 61508

Alternativ 2 ‐ Route 2HH d l

IEC 61508

IEC 61511

Hovedregel: SIL4 betyr HFT = 2*, SIL3 betyr HFT=1*,SIL2 betyr HFT=0 (low demand)/HFT=1* (high demand), SIL1 betyr HFT = 0.

Konklusjon

Betinger:Vurdering av usikkerhet/godhet av pålitelighetsdata At SFF i alle fall er > 60%


*) Kan under gitte kriterier fravikes

16

Systematic safety integrity i ed 1Systematic safety integrity i ed 1 …

SIL1

SIL1 Systematic safety integrity level 1

Hardware safety integrity level 2=Agenda

IEC & OLFSIL1 Syste at c sa ety teg ty e e

Systematic safety integrity level

Tidsplan

IEC 61508

Alternativ 1:• Følg krav for “control

Alternativ 2:Dokumentere “proven in

Systematic safety integrity level

ll

IEC 61508

IEC 61511

and avoidance ofsystematic failures”– noen ”SIL‐avhengig”,

use” – Ikke ”SIL‐avhengige” krav

ellerKonklusjon

noen SIL avhengig , andre ikke

krav


17

er systematic capability i ed 2… er systematic capability i ed 2

SIL1

SIL1Systematic capability level 2

Hardware safety integrity level2

=Agenda

IEC & OLFSIL1 (hvis tilstrekkelig uavhengig)

Systematic capability level

Tidsplan

IEC 61508

Route 1S:• Følg krav for

Route 2S:• Hvis oppfyller

Route 3S:• Hvis gjenbruk av

Syste at c capab ty e eIEC 61508

IEC 61511

“control and avoidance ofsystematic

krav til “provenin use” – ikke SIL avhengige krav

software – må oppfylle egne 3S krav i IEC 61508‐3.

eller eller

Konklusjon

failures” – noen SIL avhengig, andre ikke


18

Beregning av PFD (IEC 61508 6)Beregning av PFD (IEC 61508‐6)

IEC 61508 ( d 1) IEC 61508 ( d 2) PDS t dIEC 61508 (ed 1) IEC 61508 (ed 2) PDS metoden

Tilnærmingsformler ”λτ/2 ”– uten hensyn

Tilnærmingsformler ”λτ/2 ”– hensyn til

Tilnærmingsformler –Tar hensyn til votering

Agenda

IEC & OLF λτ/2 uten hensyn til votering ved fellesfeil

λτ/2 hensyn til votering ved fellesfeil. CMooN introdusert.

Tar hensyn til votering for fellesfeil (CMooN). Også forslag til hvordan håndtere

Tidsplan

IEC 61508

Nytt: • Feiltre –PFD som

hvordan håndtere:• Degradert operasjon• Bidrag fra

IEC 61508

IEC 61511

funksjon av tid

• Dynamiske metoder

systematiske feilKonklusjon

‐Multifase Markov og Petri Nets


19

Beregning av PFD (IEC 61508‐6)Beregning av PFD (IEC 61508 6)

Agenda

IEC & OLF

Tidsplan

IEC 61508IEC 61508

IEC 61511

Konklusjon


20

“PFD = 2 3.10-3”PFDavg = 2.3.10 3Agenda

IEC & OLF

Tidsplan

IEC 61508IEC 61508

IEC 61511

Konklusjon


21

Beregning av PFD – hva gir ulike metoder?Beregning av PFD hva gir ulike metoder?

PFDavgAgenda

IEC & OLF

Tidsplan

IEC 61508

ellerIEC 61508

IEC 61511

Konklusjon


22

Beregning av PFD – hva gir ulike metoder?Beregning av PFD hva gir ulike metoder?

Blir i fremtidenPFDavg

Blir i fremtiden mer fokus på å si noe om usikkerhet i PFD

Agenda

IEC & OLFusikkerhet i PFD beregninger!Tidsplan

IEC 61508IEC 61508

IEC 61511

Konklusjon


23

Andre endringer – Safety manual må utarbeides

Agenda

IEC & OLF

Tidsplan

IEC 61508IEC 61508

IEC 61511

Konklusjon

osv…


Ligner litt på det som kalles ”SAR” I OLF 070

24

Andre endringer – Krav til ”Proven in use”

IEC 61508 (ed 1): IEC 61508 (ed2):

Agenda

IEC & OLF

En liste av krav som skal oppfyllesFeilraten skal ha en

Omtrent samme kravlisten Men krav til konfidens 70%

er tatt t (men tatt inn andre

Tidsplan

IEC 61508 Feilraten skal ha en konfidens på minst 70%(dvs. minst 70% sannsynlighet for at

er tatt ut (men tatt inn andre steder)

IEC 61508

IEC 61511

feilraten er mindre enn den det som er estimert)

Konklusjon

Foto:dn.no


25

Andre endringer: Integrated circuits (IC)Andre endringer: Integrated circuits (IC) To typer:MasseproduserteMasseproduserteApplikasjonsspesifikke (ASIC)

Agenda

IEC & OLF

”On‐chip redundancy” Application specific IC (ASIC)Tidsplan

IEC 61508Krav for å oppnå HFT > 0

opp til SIL 3Spesielle design kra

Egne krav for å hindre systematiske feil under t ikli

IEC 61508

IEC 61511

Spesielle design krav:– IEC 61508‐2, appendiks E

utvikling (IEC 61508‐2, appendix F)

Konklusjon

appendiks E– Egen metode for å bestemme


fellesfeilandel (βIC)

26

Endringer i IEC 61511Endringer i IEC 61511 Nasjonale kommentarer

Agenda

IEC & OLF

Hvilke endringer er relevante for IEC 61511?

Tidsplan

IEC 61508IEC 61508

IEC 61511

IEC 61508(ed 2)

IEC 61511( under revision)

Konklusjon

(ed 2) ( under revision)


27

Endringer i IEC 61511Endringer i IEC 61511

Hovedtema underHovedtema under arbeid:Kapittel 12 / software

Agenda

IEC & OLF p /SIL 4HFT

Tidsplan

IEC 61508 Safety manualHigh demand?

IEC 61508

IEC 61511

Andre ting:Mer veiledning

Konklusjon

gPraktiske eksempler?Formler for PFD?


28

KonklusjonerKonklusjoner

IEC 61508, ed 2 (alle 7 deler) publiseres ”i disse , ( ) pdager”Agenda

IEC & OLF

Flere endringer er gjort– IEC 61508 og IEC 61511 virker kanskje litt

Tidsplan

IEC 61508g j

mindre ”like” enn førIEC 61508

IEC 61511

IEC 61511 er under revisjon – ennå en tid igjen til førsteutkast

Konklusjon


29

Spørsmål?

Mer informasjon om RAMS aktiviteter på NTNU:

www ntnu no/ross/ramswww.ntnu.no/ross/rams

Min mailadresse/hjemmeside:Min mailadresse/hjemmeside:[email protected] / www.ntnu.no/ross/rams/maryann


30

F k lForkortelser

HFT Hardware fault tolerance

OLF Oljeindustriens landsforbund

β Beta factor. Andel av feilrate som er fellesfeil

C K k j f kt fPDS Pålitelighet av databaserte styringssystemer

PFD Probability of failure on demand

CMooN Korreksjonsfaktor for fellesfeil ved andre voteringer enn 1oo2

λ Symbol brukt for feilrateSAR Safety analysis report

SFF Safe failure fraction

SIL Safety integrity level

λ Symbol brukt for feilrate

τ Symbol brukt for funksjonstestintervall

SIL Safety integrity level

SRS Safety requirement specificationDD Dangerous detected

DU Dangerous undetected

S SafeS Safe

IEC 61508 og IEC 61511 - NTNUfolk.ntnu.no/lundteig/Presentations/2010-iec61508... · Safety...

Documents

Transcript of IEC 61508 og IEC 61511 - NTNUfolk.ntnu.no/lundteig/Presentations/2010-iec61508... · Safety...