IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning - PowerPoint PPT Presentation

IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning

Mary Ann Lundteigen

NTNU

Medlem av IEC 61511 komiteen

PDS forum – 26. oktober 2010

Agenda

• IEC 61508 og relaterte standarder
• IEC 61511 – tidsskjema
• Et utvalg av endringer i:
• Del 1
• Del 2
• Del 4
• Del 6

Unntak: Jeg dekker ikke endringer i del 3 og del 5.

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Agenda

Generelt

IEC 61508

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

IEC 62425

IEC 62269

(Jernbane)

IEC 61511

(Prosessindustri

inkl. O&G)

IEC 62061

(Maskineri)

IEC 61513

(Kjernekraft)

ISO 26262

(Bil)

Endringer i IEC 61511 – hva kan vi vente

Nasjonale kommentarer

Hvilke endringer er relevante for IEC 61511?

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

IEC 61508

(ed 2)

IEC 61511

( under revision)

Del 6

Konklusjon

Jan Ståle Austbø (Statoil),

Cato Bratt (ABB), Mary Ann Lundteigen (NTNU)

IEC 61511 (Draft)(2011 eller 2012?)

IEC 61511 (ed 1)(2003)

Agenda

Generelt

Endringer

2020

2000

2010

Del 1

Ed 2(2004)

Del 2

Ed 1(2001)

Del 4

Del 6

IEC 61508 (ed1)(1998-2000)

IEC 61508 (ed2)(2010)

Konklusjon

OLF 070

Mats Gunnmarker (Exida)

Endringer IEC 61508 – i korthet

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Programvare:

Hele seksjon 12 er under omskriving

Safety manual for ”prior use”:

Klargjøring

Diskusjoner om hva dette skal være – leverandørens del versus brukerens ansvar for ”deklarasjon”

Agenda

Generelt:

• Møysommelig implementering av nasjonale kommentarer

HFT/AC:

• Rute 2H velges som utgangspunkt
• Samme klassifisering (A og B) som i IEC 61508

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Agenda

Generelt

Et utvalg av endringer idel 1

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Endring i SIS safety lifecycle

Forenklet begrepsbruk (Tidligere fase 10 og 11 er blitt ny fase 11)

Agenda

Fase 9 splittet i to deler

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Kravspesifikasjoner – i tre ”nivåer” (Ed 2)

Documentation of allocation Overordnede krav til alle sikkerhetsfunksjoner . Begrunnelse for allokering.

Agenda

Generelt

Endringer

E/E/PE system SRS: Prosessingeniørens krav” til SIS funksjoner (responstid, SIL krav, safe state, mode ofoperation, etc)

Del 1

Del 2

Del 4

Del 6

SIS design requirements specification:

SIS designerens design krav for SIS

Konklusjon

Kravspesifikasjoner – i tre ”nivåer” (Ed 2)

Agenda

Documentation of allocation:

Kravikapittel 7.6 I del 1.

Generelt

Endringer

Del 1

E/E/PE system SRS:Krav til innhold står i kapittel 7.10 i del 1.

Del 2

Del 4

SIS design requirements specification:

Krav til innhold står i kapittel 7.2 i del 2.

Del 6

Konklusjon

”SIL 4 diskusjonen”

“SIL 4 krav er et resultat av dårlig design”

Tradisjonelt vært prosess

Industriens standpunkt

Agenda

Generelt

Endringer

Del 1

Jernbane stiller SIL 4

krav til sine systemer – og kravene bygger på analyser av eksisterende signalanlegg

Del 2

“SIL 4 systemer er etnaturlig resultat av stadigmer pålitelig teknologi”

Del 4

Del 6

Konklusjon

”SIL 4 diskusjonen”

Agenda

Er det å tro at vi kan bygge og ikke minst drifte SIL 4 funksjoner det samme som å tro på julenissen?

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

SIL 4 – kravene har i alle fall endret seg…

• IEC 61508 (ed 1):
• Krav til (betydelig) operasjonell erfaring med utstyret som skal inngå i SIL 4 funksjoner
• Analyser og tester må vise at SIL 4 kravet kan oppfylles

• IEC 61508 (ed 2):
• Er SIL 4 virkelig nødvendig?– mulig å allokere SIL 4 kravet til flere systemer?
• Hvis SIL 4 krav allikevel stilles til enkeltsystemer:
• Tilleggsanalyser for å sikre uavhengighet fra andre systemer (CCF analyse)

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Kompetanse – blitt mer eksplisitte krav

• IEC 61508 (ed 1):
• Annex B som dekket krav til kompetanse var ”informativt”

• IEC 61508 (ed 2):
• Tilsvarende krav er tatt i i seksjon 6 ”Management of functional safety”

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Agenda

Generelt

Et utvalg av endringer idel 2

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Feil og feilklassifisering

Ed 1

Sikre (S*)

Ed 2

Agenda

Sikre (safe/S)

No part

Generelt

No effect

Endringer

Farlige detektert (DD)

Feil

Del 1

Farlige udetektert (DU)

Farlige (Dangerous/D)

Del 2

Del 4

No effect failure:failure of an element that plays a part in implementing the safety function but has no direct effect on the safety function.

No part failure:failure of a component that plays no part in implementing the safety function.

Del 6

Konklusjon

Feil og feilklassifisering

Ed 1

Sikre (S*)

Ed 2

Agenda

Sikre (safe/S)

No part

Generelt

No effect

Endringer

Farlige detektert (DD)

Feil

Del 1

Farlige udetektert (DU)

Farlige (Dangerous/D)

Del 2

Del 4

Del 6

Kommentar:No part + No effect feil tilsvarer det vi kaller ”non-critical” feil i PDS metoden

Konklusjon

Endringen i feil og feilklassifisering betyr…

… at No part og No effectikke skal tas med i safe failurefraction (SFF) – se anneks C.1.

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Betydning?

Del 6

Konklusjon

Feil og feilklassifisering

Kommet inn en presisering om hva som kan regnes som en DD feil i beregning av SFF.

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

τDT + Repair time ≤ MTTR (i beregning)

Endringen i feil og feilklassifisering betyr…

… at partial stroke testing ikke kan brukes til å forbedre SFF…

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Hardware faulttolerance(HFT)

• Mange har satt spørsmålstegn ved behovet for arkitekturbegrensninger (”architecturalconstraints” /minimum HFT)
• I all fall i forhold til bruken av SFF
• I ny revisjon har vi fått et kompromiss:
• Arkitekturbegrensninger påvirkes av SFF (Rute 1H)
• Arkitekturbegrensninger påvirkes ikke av SFF (Rute 2H)

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Slik det var i ed 1…

Agenda

Sensors

Logic solver

Actuating

devices

Generelt

Endringer

• A eller B?
• SFF?
• SIL krav

Del 1

Del 2

Del 4

Krav til

HFT

Del 6

Konklusjon

*eller ”architectural constraints” (AC)

Nå i ed 2…

Alternativ 1 - Route 1H

Vi gjør som før…(men husk at utstyr nå kan få en ny beregnet SFF)

Agenda

Generelt

Endringer

Alternativ 2 - Route 2H

Del 1

Del 2

Del 4

Del 6

• Betinger:
• Usikkerhet presenteres (”90% konfidens eller vise distribusjon”)
• Mengde og relevans av pålitelighetsdata vurderes
• SFF i alle fall er > 60%

Konklusjon

Systematicsafetyintegrity

• Krav til systematicsafetyintegrity (i ed 1) hindret i prinsippet bruk av, for eksempel, SIL 2 komponenter i SIL 3 funksjoner.
• I ed 2 er systematiccapability (SC) blitt introdusert
• SC bestemmes på komponentnivå (4 nivåer som for SIL)
• Under gitte betingelser kan komponentene – når de sammenstilles – oppnå en høyere SC

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Slik var det i ed 1 …

• Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC

SIL1

Agenda

• Subsystem vurdert til systematicsafetyintegritylevel 1

Generelt

SIL1

Endringer

Del 1

Del 2

Systematic safety integrity level (komponentnivå) :

• Alternativ 1:
• Følge krav for “control and avoidanceofsystematicfailures” – noen ”SIL-avhengig”, mens andre er generelle
• Alternativ 2:
• Dokumentere “proven in use”, inkludert det å sannsynliggjøre at systematiske feil vil ha neglisjerbart bidrag (i forhold til SIL krav).

Del 4

Del 6

Konklusjon

Slik er det blitt i ed 2

• Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC

SIL1

Agenda

=

• SubsystemNÅ vurdert til systematiccapabilitylevel 2

Generelt

SIL1

Endringer

Begrensning:

SC (subsystem) kan ikke bli høyere enn SC N+1

Del 1

Del 2

Systematic capability (komponentnivå):

Del 4

• Alternativ 1S : Tilsvarende alternativ 1 i ed 1
• Alternativ 2S : Tilsvarende alternativ 2 i ed 1 (med noen endringer)
• Alternativ 3S : Ny: Hvis gjenbruk av software – må oppfylle egne 3S krav i IEC 61508-3

Del 6

Konklusjon

Kommentar – HFT/SC inkonsistens?

1oo3

SIL2

Agenda

N = HFT (= 2 i figuren)

Her kan systemet betraktes som SIL 4 (ut fra ”AC”)

Generelt

SIL1

Endringer

SIL1

Del 1

Del 2

Del 4

Del 6

Konklusjon

Kommentar – HFT/SC inkonsistens?

1oo3

N er her SC level

Her kan systemet betraktes som SIL 2 (basert på SC)

SC2

Agenda

Generelt

SC1

Endringer

SC1

Del 1

Del 2

Del 4

Del 6

Konklusjon

Andre endringer – Safety manual må utarbeides

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

osv…

Ligner litt på det som kalles ”SAR” I OLF 070

Andre endringer – Safety manual må utarbeides

Agenda

Generelt

Endringer

Del 1

Del 2

Innhold beskrevet i egen anneks. Merk at denne er normativ!

Del 4

Del 6

Konklusjon

Andre endringer

– Krav til ”Proven in use”

Agenda

• IEC 61508 (ed 1):
• En liste av krav som skal oppfylles
• Feilraten skal ha en konfidens på minst 70%
• (70% confidens: Minst 70% sannsynlighet for at feilraten er mindre enn den det som er estimert)

• IEC 61508 (ed2):
• Omtrent samme kravlisten
• Men krav til konfidens 70% er tatt ut her (i stedet nevnt i 7.4.9.5, del 2)

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Andre endringer– hvordan kommunikasjon skal inngå i pålitelighetsvurderinger

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Andre endringer: Integrated circuits (IC)

• To typer:
• Masseproduserte
• Applikasjonsspesifikke (ASIC)

Agenda

Generelt

• ”On-chip redundancy”
• Krav for hvordan dette oppnås innenfor samme kort opp til SIL 3 (annex E)
• Merk:
• Egen metode for å bestemme fellesfeilandel (βIC)

• Application specific IC (ASIC)
• Egne krav for å hindre systematiske feil under utvikling (annex F)

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Agenda

Generelt

Et utvalg av endringer idel 4

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Endringer definisjoner og fortolkninger

Agenda

• Dangerous /safe failures:
• Tydeliggjort at klassifisering av farlige og sikre feil skjer på komponentnivå.
• Mode ofoperation:
• Skilles mellom highdemand, continuousdemand og lowdemand.
• Dette med ”2xtest frekvens” er fjernet
• PFD og PFH:
• Definisjon tatt inn. PFH er en frekvens!

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Agenda

Generelt

Et utvalg av endringer idel 6

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Beregning av PFD (IEC 61508-6)

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

CMooN i IEC 61508

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

• Litt andre verdier enn i PDS
• Ikke tatt inn i formelverk

Konklusjon

Feiltreanalyse i IEC 61508

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Dynamiske analyser i IEC 61508

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Hva betyr dette for oss? Og PDS metoden?

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

λτ/2

eller

Del 6

Konklusjon

Hva betyr dette for oss? Og PDS metoden?

Blir nok viktigere fremover å si noe om usikkerhet i analysen!

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Konklusjoner – IEC 61508 og IEC 61511

• IEC 61508 har fått en mer rendyrket profil som en ”utviklingsstandard” for nytt utstyr
• Skillet mellom IEC 61511 vil dermed fremstå klarere
• Endringer i IEC 61508 vil gi behov for noen oppdateringer i OLF 070 – og kanskje mer utvikling av PDS metoden?
• Men når skal vi gjøre det? Vente på IEC 61511?

Agenda

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

Agenda

• Neste møte i desember 2010
• Dato for CDV bestemmes da

Generelt

Endringer

Del 1

Del 2

Del 4

Del 6

Konklusjon

www.ntnu.edu/ross

Min mailadresse:

mary.a.lundteigen@ntnu.noMin hjemmeside: www.ntnu.edu/ross/rams/maryann