Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

1 PDS forum – 26. oktober 2010PDS forum – 26. okotober 2010 IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning Mary Ann Lundteigen.

Liknende presentasjoner


Presentasjon om: "1 PDS forum – 26. oktober 2010PDS forum – 26. okotober 2010 IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning Mary Ann Lundteigen."— Utskrift av presentasjonen:

1 1 PDS forum – 26. oktober 2010PDS forum – 26. okotober 2010 IEC – en oversikt over endringer fra IEC som kan få betydning Mary Ann Lundteigen NTNU Medlem av IEC komiteen PDS forum – 26. oktober 2010

2 2 Innhold •IEC og relaterte standarder •IEC – tidsskjema •Et utvalg av endringer i: –Del 1 –Del 2 –Del 4 –Del 6 Unntak: Jeg dekker ikke endringer i del 3 og del 5. Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

3 3 PDS forum – 26. oktober 2010 IEC og relaterte standarder IEC IEC (Prosessindustri inkl. O&G) IEC (Maskineri) IEC (Kjernekraft) ISO (Bil) IEC IEC (Jernbane) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

4 4 PDS forum – 26. oktober 2010 Endringer i IEC – hva kan vi vente IEC (ed 2) IEC ( under revision) Nasjonale kommentarer Hvilke endringer er relevante for IEC 61511? Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

5 5 PDS forum – 26. oktober 2010 Tidsplan IEC (ed1) ( ) IEC (ed 1) (2003) OLF 070 Ed 1(2001) Ed 2(2004) IEC (ed2) (2010) IEC (Draft) (2011 eller 2012?) Mats Gunnmarker (Exida) Jan Ståle Austbø (Statoil), Cato Bratt (ABB), Mary Ann Lundteigen (NTNU) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

6 6 PDS forum – 26. oktober 2010 Endringer IEC – i korthet TemaEndringDel Safety lifecycleEn ny fase introdusert 1 Feil-klassifiseringTo nye feiltyper introdusert • “No part” og “no effect” 2 Krav-spesifikasjonTydeligere skille mellom SIS SRS og SIS design SRS 1,2 SIL 4Døren til SIL 4 åpnes på gløtt… 1 Hardware design • Egne krav til ASIC design • Ny “vei” til architectural constraints • Systematic capability – et nytt begrep for ”systematic safety integrity” • Må lage safety manual (1), 22 Ref ACAC Ref SCSC Ref SMSM Ledelse/ management Krav til grad av uavhengighet er “normativt” 1 Pålitelighets- analyse Ønske om bruk av mer “avanserte metoder”. Mer fokus på usikkerhetsvurdering. C MooN introdusert. 6 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

7 7 PDS forum – 26. oktober 2010 IEC – status endringer Generelt: •Møysommelig implementering av nasjonale kommentarer HFT/AC: •Rute 2H velges som utgangspunkt •Samme klassifisering (A og B) som i IEC Programvare: •Hele seksjon 12 er under omskriving Safety manual for ”prior use”: •Klargjøring •Diskusjoner om hva dette skal være – leverandørens del versus brukerens ansvar for ”deklarasjon” Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

8 8 PDS forum – 26. oktober 2010 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

9 9 PDS forum – 26. oktober 2010 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Et utvalg av endringer i del 1

10 10 PDS forum – 26. oktober 2010 Endring i SIS safety lifecycle Fase 9 splittet i to deler Forenklet begrepsbruk (Tidligere fase 10 og 11 er blitt ny fase 11) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

11 11 PDS forum – 26. oktober 2010 Kravspesifikasjoner – i tre ”nivåer” (Ed 2) Documentation of allocation Overordnede krav til alle sikkerhetsfunksjoner. Begrunnelse for allokering. E/E/PE system SRS: Prosessingeniørens krav” til SIS funksjoner (responstid, SIL krav, safe state, mode of operation, etc) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 SIS design requirements specification: SIS designerens design krav for SIS

12 12 PDS forum – 26. oktober 2010 Kravspesifikasjoner – i tre ”nivåer” (Ed 2) E/E/PE system SRS: Krav til innhold står i kapittel 7.10 i del 1. SIS design requirements specification: Krav til innhold står i kapittel 7.2 i del 2. Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Documentation of allocation: Krav i kapittel 7.6 I del 1.

13 13 PDS forum – 26. oktober 2010 ”SIL 4 diskusjonen” “SIL 4 krav er et resultat av dårlig design” Tradisjonelt vært prosess Industriens standpunkt “SIL 4 systemer er et naturlig resultat av stadig mer pålitelig teknologi” Jernbane stiller SIL 4 krav til sine systemer – og kravene bygger på analyser av eksisterende signalanlegg Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

14 14 PDS forum – 26. oktober 2010 ”SIL 4 diskusjonen” Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Er det å tro at vi kan bygge og ikke minst drifte SIL 4 funksjoner det samme som å tro på julenissen?

15 15 PDS forum – 26. oktober 2010 SIL 4 – kravene har i alle fall endret seg… IEC (ed 1): • Krav til (betydelig) operasjonell erfaring med utstyret som skal inngå i SIL 4 funksjoner • Analyser og tester må vise at SIL 4 kravet kan oppfylles IEC (ed 2): • Er SIL 4 virkelig nødvendig? – mulig å allokere SIL 4 kravet til flere systemer? • Hvis SIL 4 krav allikevel stilles til enkeltsystemer: – Tilleggsanalyser for å sikre uavhengighet fra andre systemer (CCF analyse) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

16 16 PDS forum – 26. oktober 2010 Kompetanse – blitt mer eksplisitte krav IEC (ed 1): • Annex B som dekket krav til kompetanse var ”informativt” IEC (ed 2): • Tilsvarende krav er tatt i i seksjon 6 ”Management of functional safety” Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

17 17 PDS forum – 26. oktober 2010 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Et utvalg av endringer i del 2

18 18 PDS forum – 26. oktober 2010 Feil og feilklassifisering Farlige detektert (DD) Farlige udetektert (DU) Feil Sikre (safe/S) Farlige (Dangerous/D) Ed 1 Sikre (S*) No part No effect No effect failure: failure of an element that plays a part in implementing the safety function but has no direct effect on the safety function. No part failure: failure of a component that plays no part in implementing the safety function. Ed 2 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

19 19 PDS forum – 26. oktober 2010 Feil og feilklassifisering Feil Sikre (safe/S) Farlige (Dangerous/D) Sikre (S*) No part No effect Kommentar: No part + No effect feil tilsvarer det vi kaller ”non-critical” feil i PDS metoden Farlige detektert (DD) Farlige udetektert (DU) Ed 1Ed 2 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

20 20 PDS forum – 26. oktober 2010 … at No part og No effect ikke skal tas med i safe failure fraction (SFF) – se anneks C.1. Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Endringen i feil og feilklassifisering betyr… Betydning?

21 21 PDS forum – 26. oktober 2010 Feil og feilklassifisering Kommet inn en presisering om hva som kan regnes som en DD feil i beregning av SFF. Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 τ DT + Repair time ≤ MTTR (i beregning)

22 22 PDS forum – 26. oktober 2010 … at partial stroke testing ikke kan brukes til å forbedre SFF… Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Endringen i feil og feilklassifisering betyr…

23 23 PDS forum – 26. oktober 2010 Hardware fault tolerance (HFT) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Mange har satt spørsmålstegn ved behovet for arkitekturbegrensninger (”architectural constraints” /minimum HFT) • I all fall i forhold til bruken av SFF • I ny revisjon har vi fått et kompromiss: • Arkitekturbegrensninger påvirkes av SFF (Rute 1 H ) • Arkitekturbegrensninger påvirkes ikke av SFF (Rute 2 H )

24 24 PDS forum – 26. oktober 2010 Slik det var i ed 1… • A eller B? • SFF? • SIL krav Krav til HFT SensorsLogic solver Actuating devices *eller ”architectural constraints” (AC) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

25 25 PDS forum – 26. oktober 2010 Nå i ed 2… Alternativ 1 - Route 1 H Vi gjør som før… (men husk at utstyr nå kan få en ny beregnet SFF) Alternativ 2 - Route 2 H Betinger: • Usikkerhet presenteres (”90% konfidens eller vise distribusjon”) • Mengde og relevans av pålitelighetsdata vurderes • SFF i alle fall er > 60% Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 SIL kravMin HFTSIL kravHFT 4220 (LD) / 1 (HD) 3110

26 26 PDS forum – 26. oktober 2010 Systematic safety integrity Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Krav til systematic safety integrity (i ed 1) hindret i prinsippet bruk av, for eksempel, SIL 2 komponenter i SIL 3 funksjoner. • I ed 2 er systematic capability (SC) blitt introdusert •SC bestemmes på komponentnivå (4 nivåer som for SIL) •Under gitte betingelser kan komponentene – når de sammenstilles – oppnå en høyere SC

27 27 PDS forum – 26. oktober 2010 Slik var det i ed 1 … SIL1 • Subsystem vurdert til systematic safety integrity level 1 • Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC Alternativ 1: • Følge krav for “control and avoidance of systematic failures” – noen ”SIL-avhengig”, mens andre er generelle Alternativ 2: • Dokumentere “proven in use”, inkludert det å sannsynliggjøre at systematiske feil vil ha neglisjerbart bidrag (i forhold til SIL krav). Systematic safety integrity level (komponentnivå) : Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

28 28 PDS forum – 26. oktober 2010 Slik er det blitt i ed 2 SIL1 Systematic capability (komponentnivå): = Alternativ 1 S : Tilsvarende alternativ 1 i ed 1 Alternativ 2 S : Tilsvarende alternativ 2 i ed 1 (med noen endringer) Alternativ 3 S : Ny: Hvis gjenbruk av software – må oppfylle egne 3 S krav i IEC Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Begrensning: SC (subsystem) kan ikke bli høyere enn SC N+1 • Subsystem NÅ vurdert til systematic capability level 2 • Subsystem vurdert til Hardware SIL 2 ut fra HFT/AC

29 29 PDS forum – 26. oktober 2010 Kommentar – HFT/SC inkonsistens? SIL2 SIL1 1oo3 N = HFT (= 2 i figuren) Her kan systemet betraktes som SIL 4 (ut fra ”AC”) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

30 30 PDS forum – 26. oktober 2010 Kommentar – HFT/SC inkonsistens? SC2 SC1 1oo3 N er her SC level Her kan systemet betraktes som SIL 2 (basert på SC) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

31 31 PDS forum – 26. oktober 2010 Andre endringer – Safety manual må utarbeides Ligner litt på det som kalles ”SAR” I OLF 070 osv… Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

32 32 PDS forum – 26. oktober 2010 Andre endringer – Safety manual må utarbeides Innhold beskrevet i egen anneks. Merk at denne er normativ! Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

33 33 PDS forum – 26. oktober 2010 Andre endringer – Krav til ”Proven in use” IEC (ed 1): • En liste av krav som skal oppfylles • Feilraten skal ha en konfidens på minst 70% (70% confidens: Minst 70% sannsynlighet for at feilraten er mindre enn den det som er estimert) IEC (ed2): • Omtrent samme kravlisten • Men krav til konfidens 70% er tatt ut her (i stedet nevnt i , del 2) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

34 34 PDS forum – 26. oktober 2010 Andre endringer – hvordan kommunikasjon skal inngå i pålitelighetsvurderinger Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

35 35 PDS forum – 26. oktober 2010 Andre endringer: Integrated circuits (IC) ”On-chip redundancy” • Krav for hvordan dette oppnås innenfor samme kort opp til SIL 3 (annex E) • Merk: – Egen metode for å bestemme fellesfeilandel (β IC ) Application specific IC (ASIC) • Egne krav for å hindre systematiske feil under utvikling (annex F) To typer: Masseproduserte Applikasjonsspesifikke (ASIC) Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

36 36 PDS forum – 26. oktober 2010 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Et utvalg av endringer i del 4

37 37 PDS forum – 26. oktober 2010 Endringer definisjoner og fortolkninger Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 •Dangerous /safe failures: –Tydeliggjort at klassifisering av farlige og sikre feil skjer på komponentnivå. •Mode of operation: – Skilles mellom high demand, continuous demand og low demand. – Dette med ”2xtest frekvens” er fjernet •PFD og PFH: –Definisjon tatt inn. PFH er en frekvens!

38 38 PDS forum – 26. oktober 2010 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Et utvalg av endringer i del 6

39 39 PDS forum – 26. oktober 2010 Beregning av PFD (IEC ) IEC (ed 1)Nytt i IEC (ed 2) Tilnærmingsformler ”λτ/2 ”– uten hensyn til votering ved fellesfeil Tilnærmingsformler ”λτ/2 ”– hensyn til votering ved fellesfeil. C MooN introdusert. Feiltre –PFD som funksjon av tid. % over og under PFD avg • ”Dynamiske” analyser - Multifase Markov og Petri Nets Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

40 40 PDS forum – 26. oktober 2010 •Litt andre verdier enn i PDS •Ikke tatt inn i formelverk Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 C MooN i IEC 61508

41 41 PDS forum – 26. oktober 2010 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Feiltreanalyse i IEC 61508

42 42 PDS forum – 26. oktober 2010 Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Dynamiske analyser i IEC 61508

43 43 PDS forum – 26. oktober 2010 Hva betyr dette for oss? Og PDS metoden? λτ/2 eller Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

44 44 PDS forum – 26. oktober 2010 Hva betyr dette for oss? Og PDS metoden? Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4 Blir nok viktigere fremover å si noe om usikkerhet i analysen!

45 45 PDS forum – 26. oktober 2010 Konklusjoner – IEC og IEC • IEC har fått en mer rendyrket profil som en ”utviklingsstandard” for nytt utstyr • Skillet mellom IEC vil dermed fremstå klarere • Endringer i IEC vil gi behov for noen oppdateringer i OLF 070 – og kanskje mer utvikling av PDS metoden? • Men når skal vi gjøre det? Vente på IEC 61511? Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

46 46 PDS forum – 26. oktober 2010 Konklusjoner – fremdrift IEC •Neste møte i desember 2010 •Dato for CDV bestemmes da Agenda Endringer Del 1 Del 2 Del 6 Generelt Konklusjon Del 4

47 47 PDS forum – 26. oktober 2010 Min mailadresse: Min hjemmeside: aryann ROSS Geminisenter

48 48 PDS forum – 26. oktober 2010 Forkortelser HFTHardware fault tolerance OLFOljeindustriens landsforbund PDSPålitelighet av databaserte styringssystemer PFDProbability of failure on demand SARSafety analysis report SFFSafe failure fraction SILSafety integrity level SRSSafety requirement specification SCSystematic capability βBeta factor. Andel av feilrate som er fellesfeil C MooN Korreksjonsfaktor for fellesfeil ved andre voteringer enn 1oo2 λSymbol brukt for feilrate τSymbol brukt for funksjonstestintervall DDDangerous detected DUDangerous undetected SSafe


Laste ned ppt "1 PDS forum – 26. oktober 2010PDS forum – 26. okotober 2010 IEC 61511 – en oversikt over endringer fra IEC 61508 som kan få betydning Mary Ann Lundteigen."

Liknende presentasjoner


Annonser fra Google