slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning PowerPoint Presentation
Download Presentation
IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning

Loading in 2 Seconds...

play fullscreen
1 / 48

IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning - PowerPoint PPT Presentation


  • 158 Views
  • Uploaded on

IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning. Mary Ann Lundteigen NTNU Medlem av IEC 61511 komiteen. PDS forum – 26. oktober 2010. Innhold. Agenda. IEC 61508 og relaterte standarder IEC 61511 – tidsskjema Et utvalg av endringer i: Del 1 Del 2 Del 4

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning' - happy


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning

Mary Ann Lundteigen

NTNU

Medlem av IEC 61511 komiteen

PDS forum – 26. oktober 2010

innhold
Innhold

Agenda

  • IEC 61508 og relaterte standarder
  • IEC 61511 – tidsskjema
  • Et utvalg av endringer i:
    • Del 1
    • Del 2
    • Del 4
    • Del 6

Unntak: Jeg dekker ikke endringer i del 3 og del 5.

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

iec 61508 og relaterte standarder
IEC 61508 og relaterte standarder

Agenda

Generelt

IEC 61508

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

IEC 62425

IEC 62269

(Jernbane)

IEC 61511

(Prosessindustri

inkl. O&G)

IEC 62061

(Maskineri)

IEC 61513

(Kjernekraft)

ISO 26262

(Bil)

slide4

Endringer i IEC 61511 – hva kan vi vente

Nasjonale kommentarer

Hvilke endringer er relevante for IEC 61511?

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

IEC 61508

(ed 2)

IEC 61511

( under revision)

Del 6

Konklusjon

tidsplan
Tidsplan

Jan Ståle Austbø (Statoil),

Cato Bratt (ABB), Mary Ann Lundteigen (NTNU)

IEC 61511 (Draft)(2011 eller 2012?)

IEC 61511 (ed 1)(2003)

Agenda

Generelt

Endringer

2020

2000

2010

Del 1

Ed 2(2004)

Del 2

Ed 1(2001)

Del 4

Del 6

IEC 61508 (ed1)(1998-2000)

IEC 61508 (ed2)(2010)

Konklusjon

OLF 070

Mats Gunnmarker (Exida)

slide6

Endringer IEC 61508 – i korthet

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

iec 61511 status endringer
IEC 61511 – status endringer

Programvare:

Hele seksjon 12 er under omskriving

Safety manual for ”prior use”:

Klargjøring

Diskusjoner om hva dette skal være – leverandørens del versus brukerens ansvar for ”deklarasjon”

Agenda

Generelt:

  • Møysommelig implementering av nasjonale kommentarer

HFT/AC:

  • Rute 2H velges som utgangspunkt
  • Samme klassifisering (A og B) som i IEC 61508

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide8

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide9

Agenda

Generelt

Et utvalg av endringer idel 1

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide10

Endring i SIS safety lifecycle

Forenklet begrepsbruk (Tidligere fase 10 og 11 er blitt ny fase 11)

Agenda

Fase 9 splittet i to deler

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide11

Kravspesifikasjoner – i tre ”nivåer” (Ed 2)

Documentation of allocation Overordnede krav til alle sikkerhetsfunksjoner . Begrunnelse for allokering.

Agenda

Generelt

Endringer

E/E/PE system SRS: Prosessingeniørens krav” til SIS funksjoner (responstid, SIL krav, safe state, mode ofoperation, etc)

Del 1

Del 2

Del 4

Del 6

SIS design requirements specification:

SIS designerens design krav for SIS

Konklusjon

slide12

Kravspesifikasjoner – i tre ”nivåer” (Ed 2)

Agenda

Documentation of allocation:

Kravikapittel 7.6 I del 1.

Generelt

Endringer

Del 1

E/E/PE system SRS:Krav til innhold står i kapittel 7.10 i del 1.

Del 2

Del 4

SIS design requirements specification:

Krav til innhold står i kapittel 7.2 i del 2.

Del 6

Konklusjon

slide13

”SIL 4 diskusjonen”

“SIL 4 krav er et resultat av dårlig design”

Tradisjonelt vært prosess

Industriens standpunkt

Agenda

Generelt

Endringer

Del 1

Jernbane stiller SIL 4

krav til sine systemer – og kravene bygger på analyser av eksisterende signalanlegg

Del 2

“SIL 4 systemer er etnaturlig resultat av stadigmer pålitelig teknologi”

Del 4

Del 6

Konklusjon

slide14

”SIL 4 diskusjonen”

Agenda

Er det å tro at vi kan bygge og ikke minst drifte SIL 4 funksjoner det samme som å tro på julenissen?

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide15

SIL 4 – kravene har i alle fall endret seg…

  • IEC 61508 (ed 1):
  • Krav til (betydelig) operasjonell erfaring med utstyret som skal inngå i SIL 4 funksjoner
  • Analyser og tester må vise at SIL 4 kravet kan oppfylles
  • IEC 61508 (ed 2):
  • Er SIL 4 virkelig nødvendig?– mulig å allokere SIL 4 kravet til flere systemer?
  • Hvis SIL 4 krav allikevel stilles til enkeltsystemer:
    • Tilleggsanalyser for å sikre uavhengighet fra andre systemer (CCF analyse)

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide16

Kompetanse – blitt mer eksplisitte krav

  • IEC 61508 (ed 1):
  • Annex B som dekket krav til kompetanse var ”informativt”
  • IEC 61508 (ed 2):
  • Tilsvarende krav er tatt i i seksjon 6 ”Management of functional safety”

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide17

Agenda

Generelt

Et utvalg av endringer idel 2

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide18

Feil og feilklassifisering

Ed 1

Sikre (S*)

Ed 2

Agenda

Sikre (safe/S)

No part

Generelt

No effect

Endringer

Farlige detektert (DD)

Feil

Del 1

Farlige udetektert (DU)

Farlige (Dangerous/D)

Del 2

Del 4

No effect failure:failure of an element that plays a part in implementing the safety function but has no direct effect on the safety function.

No part failure:failure of a component that plays no part in implementing the safety function.

Del 6

Konklusjon

slide19

Feil og feilklassifisering

Ed 1

Sikre (S*)

Ed 2

Agenda

Sikre (safe/S)

No part

Generelt

No effect

Endringer

Farlige detektert (DD)

Feil

Del 1

Farlige udetektert (DU)

Farlige (Dangerous/D)

Del 2

Del 4

Del 6

Kommentar:No part + No effect feil tilsvarer det vi kaller ”non-critical” feil i PDS metoden

Konklusjon

slide20

Endringen i feil og feilklassifisering betyr…

… at No part og No effectikke skal tas med i safe failurefraction (SFF) – se anneks C.1.

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Betydning?

Del 6

Konklusjon

slide21

Feil og feilklassifisering

Kommet inn en presisering om hva som kan regnes som en DD feil i beregning av SFF.

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

τDT + Repair time ≤ MTTR (i beregning)

slide22

Endringen i feil og feilklassifisering betyr…

… at partial stroke testing ikke kan brukes til å forbedre SFF…

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide23

Hardware faulttolerance(HFT)

  • Mange har satt spørsmålstegn ved behovet for arkitekturbegrensninger (”architecturalconstraints” /minimum HFT)
  • I all fall i forhold til bruken av SFF
  • I ny revisjon har vi fått et kompromiss:
    • Arkitekturbegrensninger påvirkes av SFF (Rute 1H)
    • Arkitekturbegrensninger påvirkes ikke av SFF (Rute 2H)

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide24

Slik det var i ed 1…

Agenda

Sensors

Logic solver

Actuating

devices

Generelt

Endringer

  • A eller B?
  • SFF?
  • SIL krav

Del 1

Del 2

Del 4

Krav til

HFT

Del 6

Konklusjon

*eller ”architectural constraints” (AC)

slide25

Nå i ed 2…

Alternativ 1 - Route 1H

Vi gjør som før…(men husk at utstyr nå kan få en ny beregnet SFF)

Agenda

Generelt

Endringer

Alternativ 2 - Route 2H

Del 1

Del 2

Del 4

Del 6

  • Betinger:
    • Usikkerhet presenteres (”90% konfidens eller vise distribusjon”)
    • Mengde og relevans av pålitelighetsdata vurderes
    • SFF i alle fall er > 60%

Konklusjon

slide26

Systematicsafetyintegrity

  • Krav til systematicsafetyintegrity (i ed 1) hindret i prinsippet bruk av, for eksempel, SIL 2 komponenter i SIL 3 funksjoner.
  • I ed 2 er systematiccapability (SC) blitt introdusert
  • SC bestemmes på komponentnivå (4 nivåer som for SIL)
  • Under gitte betingelser kan komponentene – når de sammenstilles – oppnå en høyere SC

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide27

Slik var det i ed 1 …

  • Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC

SIL1

Agenda

  • Subsystem vurdert til systematicsafetyintegritylevel 1

Generelt

SIL1

Endringer

Del 1

Del 2

Systematic safety integrity level (komponentnivå) :

  • Alternativ 1:
  • Følge krav for “control and avoidanceofsystematicfailures” – noen ”SIL-avhengig”, mens andre er generelle
  • Alternativ 2:
  • Dokumentere “proven in use”, inkludert det å sannsynliggjøre at systematiske feil vil ha neglisjerbart bidrag (i forhold til SIL krav).

Del 4

Del 6

Konklusjon

slide28

Slik er det blitt i ed 2

  • Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC

SIL1

Agenda

=

  • SubsystemNÅ vurdert til systematiccapabilitylevel 2

Generelt

SIL1

Endringer

Begrensning:

SC (subsystem) kan ikke bli høyere enn SC N+1

Del 1

Del 2

Systematic capability (komponentnivå):

Del 4

  • Alternativ 1S : Tilsvarende alternativ 1 i ed 1
  • Alternativ 2S : Tilsvarende alternativ 2 i ed 1 (med noen endringer)
  • Alternativ 3S : Ny: Hvis gjenbruk av software – må oppfylle egne 3S krav i IEC 61508-3

Del 6

Konklusjon

slide29

Kommentar – HFT/SC inkonsistens?

1oo3

SIL2

Agenda

N = HFT (= 2 i figuren)

Her kan systemet betraktes som SIL 4 (ut fra ”AC”)

Generelt

SIL1

Endringer

SIL1

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide30

Kommentar – HFT/SC inkonsistens?

1oo3

N er her SC level

Her kan systemet betraktes som SIL 2 (basert på SC)

SC2

Agenda

Generelt

SC1

Endringer

SC1

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide31

Andre endringer – Safety manual må utarbeides

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

osv…

Ligner litt på det som kalles ”SAR” I OLF 070

slide32

Andre endringer – Safety manual må utarbeides

Agenda

Generelt

Endringer

Del 1

Del 2

Innhold beskrevet i egen anneks. Merk at denne er normativ!

Del 4

Del 6

Konklusjon

slide33

Andre endringer

– Krav til ”Proven in use”

Agenda

  • IEC 61508 (ed 1):
  • En liste av krav som skal oppfylles
  • Feilraten skal ha en konfidens på minst 70%
  • (70% confidens: Minst 70% sannsynlighet for at feilraten er mindre enn den det som er estimert)
  • IEC 61508 (ed2):
  • Omtrent samme kravlisten
  • Men krav til konfidens 70% er tatt ut her (i stedet nevnt i 7.4.9.5, del 2)

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide34

Andre endringer– hvordan kommunikasjon skal inngå i pålitelighetsvurderinger

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide35

Andre endringer: Integrated circuits (IC)

  • To typer:
  • Masseproduserte
  • Applikasjonsspesifikke (ASIC)

Agenda

Generelt

  • ”On-chip redundancy”
  • Krav for hvordan dette oppnås innenfor samme kort opp til SIL 3 (annex E)
  • Merk:
    • Egen metode for å bestemme fellesfeilandel (βIC)
  • Application specific IC (ASIC)
  • Egne krav for å hindre systematiske feil under utvikling (annex F)

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide36

Agenda

Generelt

Et utvalg av endringer idel 4

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide37

Endringer definisjoner og fortolkninger

Agenda

  • Dangerous /safe failures:
    • Tydeliggjort at klassifisering av farlige og sikre feil skjer på komponentnivå.
  • Mode ofoperation:
    • Skilles mellom highdemand, continuousdemand og lowdemand.
    • Dette med ”2xtest frekvens” er fjernet
  • PFD og PFH:
    • Definisjon tatt inn. PFH er en frekvens!

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide38

Agenda

Generelt

Et utvalg av endringer idel 6

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide39

Beregning av PFD (IEC 61508-6)

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide40

CMooN i IEC 61508

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

  • Litt andre verdier enn i PDS
  • Ikke tatt inn i formelverk

Konklusjon

slide41

Feiltreanalyse i IEC 61508

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide42

Dynamiske analyser i IEC 61508

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide43

Hva betyr dette for oss? Og PDS metoden?

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

λτ/2

eller

Del 6

Konklusjon

slide44

Hva betyr dette for oss? Og PDS metoden?

Blir nok viktigere fremover å si noe om usikkerhet i analysen!

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

slide45

Konklusjoner – IEC 61508 og IEC 61511

  • IEC 61508 har fått en mer rendyrket profil som en ”utviklingsstandard” for nytt utstyr
  • Skillet mellom IEC 61511 vil dermed fremstå klarere
  • Endringer i IEC 61508 vil gi behov for noen oppdateringer i OLF 070 – og kanskje mer utvikling av PDS metoden?
  • Men når skal vi gjøre det? Vente på IEC 61511?

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

konklusjoner fremdrift iec 61511
Konklusjoner – fremdrift IEC 61511

Agenda

  • Neste møte i desember 2010
  • Dato for CDV bestemmes da

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

ross geminisenter www ntnu edu ross
ROSS Geminisenter

www.ntnu.edu/ross

Min mailadresse:

mary.a.lundteigen@ntnu.noMin hjemmeside: www.ntnu.edu/ross/rams/maryann