1
IEC 61508 IEC 61511IEC 61508 og IEC 61511 – status og endringerg g
Mary Ann LundteigenNTNU
Medlem av IEC 61511 komiteen
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
2
InnholdKort om IEC 61508 IEC 61511 og OLF 070Kort om IEC 61508, IEC 61511 og OLF 070
TidsplanAgenda
IEC & OLF
– for revisjonsarbeid IEC 61508 og IEC 61511
Tidsplan
IEC 61508
Endringer IEC 61508 – et utvalg
Status revisjonsarbeid IEC 61511
IEC 61508
IEC 61511
jKonklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
3
IEC 61508 versus IEC 61511
Agenda
IEC & OLF IEC 61508
Tidsplan
IEC 61508IEC 61508
IEC 61511
Konklusjon
IEC 61511(P i d i
IEC 62061(M ki i)
IEC 61513(Kj k f )
ISO 26262 IEC 62425IEC 62269
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
(Prosessindustriinkl. O&G)
(Maskineri) (Kjernekraft) (Bil) IEC 62269(Jernbane)
4
OLF 070 versus IEC standardeneOLF 070
Agenda
IEC & OLF
OLF 070
Tidsplan
IEC 61508 Min SIL kravIEC 61508
IEC 61511
Min SIL krav
• Data og analyse‐Konklusjon
Data og analysemetoder (PDS)
• FSA plan
Comp‐lianceReport
SAR
P d
SRSRev.SRSRev.
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
Prosedyre –oppflg. driftsfasen
5
Tid lTidsplanIEC 61511 (ed 1)
IEC 61511 (Draft)(2011 eller 2012?)IEC 61511 (ed 1)
(2003)(2011 eller 2012?)
Agenda
IEC & OLF
2000 2010 2020Tidsplan
IEC 61508
Ed 1(2001)Ed 2(2004)
IEC 61508
IEC 61511
IEC 61508 (ed1)
Konklusjon
( )(1998-2000)
OLF 070IEC 61508 (ed2)(2010)
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
6
Tid lJan Ståle Austbø (Statoil),
Cato Bratt (ABB), Tidsplan
IEC 61511 (ed 1)IEC 61511 (Draft)(2011 eller 2012?)
Mary Ann Lundteigen (NTNU)
IEC 61511 (ed 1)(2003)
(2011 eller 2012?)Agenda
IEC & OLF
2000 2010 2020Tidsplan
IEC 61508
Ed 1(2001)Ed 2(2004)
IEC 61508
IEC 61511
IEC 61508 (ed1)
Konklusjon
( )(1998-2000)
OLF 070IEC 61508 (ed2)(2010)
Mats Gunnmarker (Exida)
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
Mats Gunnmarker (Exida)
7
Endringer IEC 61508 – i korthetEndringer IEC 61508 i korthet
SIS safety lifecycle – nesten som før, men ikke helt..y y ,
Feil og feilklassifisering – ikke mer ”triksing” med safe failure fraction (SFF)?
Agenda
IEC & OLF
Kravspesifikasjon – nå som en tretrinnsrakett
SIL 4 ‐mer stuerent enn før?Tidsplan
IEC 61508
Hardware fault tolerance ‐ endelig en vei utenom?
Systematic capability – Nytt begrep
IEC 61508
IEC 61511
y p y y g p
Beregning av PFD ‐ Flere metoder, men gir det bedre resultat?
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
8
SIS safety Forenklet
lifecycle (ed 2)Forenklet begrepsbruk (Tidligere fase 10
11 blitt
Fase 9 splittet i to deler
og 11 er blitt ny fase 11)
Agenda
IEC & OLF
Tidsplan
IEC 61508IEC 61508
IEC 61511
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
9
Feil og feilklassifiseringFeil og feilklassifiseringSikre (S*)Ed 1 Ed 2
Sikre (safe/S)No part
No effect
Agenda
IEC & OLF
Feil Farlige detektert (DD)Tidsplan
IEC 61508Farlige (Dangerous/D)
No effect failure
Farlige udetektert (DU)
IEC 61508
IEC 61511
No effect failure:failure of an element that plays a part in implementing the safety function but has no directeffect on the safety function.
Konklusjon
No part failure:failure of a component that plays no part in implementing the safety function.
No part og No effect skal ikke tas med i safe failure
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
No part og No effect skal ikke tas med i safe failurefraction (SFF)!
10
Feil og feilklassifiseringFeil og feilklassifiseringSikre (S*)
Sikre (safe/S)No part
No effect
Agenda
IEC & OLF
Feil Farlige detektert (DD)Tidsplan
IEC 61508Farlige (Dangerous/D) Farlige udetektert (DU)
IEC 61508
IEC 61511
DD S*" ikre" feilrater + SFF"Alle" feilrater +S
Konklusjon
DU DD S*Alle feilrater +
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
11
Kravspesifikasjoner – i tre ”nivåer” (Ed 2)Kravspesifikasjoner i tre nivåer (Ed 2)
Safety requirement specification (SRS): ALLE krav til sikkerhets‐
Agenda
IEC & OLF
E/E/PE System SRS:
ALLE krav til sikkerhetsfunksjoner – fra risikoanalysen (event. MIN SIL)Tidsplan
IEC 61508y
Prosess‐ Ingeniøren’s krav til SIS funksjoner (responstid, etc)
IEC 61508
IEC 61511
SIS Design requirements spesification:
Konklusjon
SIS designerens design krav for SIS
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
12
SIL 4 –Mer ”stuerent” enn før?SIL 4 Mer stuerent enn før?
“SIL 4 krav er et resultatSIL 4 krav er et resultatav dårlig design”
Tradisjonelt vært prosessIndustriens standpunkt
Agenda
IEC & OLF
Tidsplan
IEC 61508
“SIL 4 systemer er etJernbane stiller SIL 4krav til sine systemer – og
IEC 61508
IEC 61511
SIL 4 systemer er etnaturlig resultat av stadigmer pålitelig teknologi”
kravene bygger på analyser av eksisterende signalanlegg
Konklusjon
signalanlegg
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
13
SIL 4 – endringer i krav /fokusSIL 4 endringer i krav /fokus
IEC 61508 (ed 1): IEC 61508 (ed 2):Krav til (betydelig)
operasjonell erfaring med tst ret som skal
Er SIL 4 virkelig nødvendig?– mulig å allokere SIL 4 kravet til flere s stemer?
Agenda
IEC & OLFmed utstyret som skal inngå i SIL 4 funksjoner
flere systemer?
Hvis SIL 4 krav stilles til
Tidsplan
IEC 61508
Analyser og tester må vise at SIL 4 kravet kan
Hvis SIL 4 krav stilles til enkeltsystemer:
Tilleggsanalyser – avdekke
IEC 61508
IEC 61511
oppfylles om feil i andre systemer kan påvirke SISGjennomføre usikkerhet/
Konklusjon
Gjennomføre usikkerhet/ sensitivitetsanalyser
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
14
Hardware fault tolerance (HFT) – i ed 1Hardware fault tolerance (HFT) i ed 1
Sensors Logic solverActuatingdevices
Agenda
IEC & OLF
Tidsplan
IEC 61508
SIL krav?
A eller B komponent?IEC 61508
IEC 61511
SFF? Krav tilHFT
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
15
Hardware fault tolerance (HFT) – i ed 2Hardware fault tolerance (HFT) i ed 2Alternativ 1 ‐ Route 1H
Agenda
IEC & OLF
Tidsplan
IEC 61508
Alternativ 2 ‐ Route 2HH d l
IEC 61508
IEC 61511
Hovedregel: SIL4 betyr HFT = 2*, SIL3 betyr HFT=1*,SIL2 betyr HFT=0 (low demand)/HFT=1* (high demand), SIL1 betyr HFT = 0.
Konklusjon
Betinger:Vurdering av usikkerhet/godhet av pålitelighetsdata At SFF i alle fall er > 60%
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
*) Kan under gitte kriterier fravikes
16
Systematic safety integrity i ed 1Systematic safety integrity i ed 1 …
SIL1
SIL1 Systematic safety integrity level 1
Hardware safety integrity level 2=Agenda
IEC & OLFSIL1 Syste at c sa ety teg ty e e
Systematic safety integrity level
Tidsplan
IEC 61508
Alternativ 1:• Følg krav for “control
Alternativ 2:Dokumentere “proven in
Systematic safety integrity level
ll
IEC 61508
IEC 61511
and avoidance ofsystematic failures”– noen ”SIL‐avhengig”,
use” – Ikke ”SIL‐avhengige” krav
ellerKonklusjon
noen SIL avhengig , andre ikke
krav
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
17
er systematic capability i ed 2… er systematic capability i ed 2
SIL1
SIL1Systematic capability level 2
Hardware safety integrity level2
=Agenda
IEC & OLFSIL1 (hvis tilstrekkelig uavhengig)
Systematic capability level
Tidsplan
IEC 61508
Route 1S:• Følg krav for
Route 2S:• Hvis oppfyller
Route 3S:• Hvis gjenbruk av
Syste at c capab ty e eIEC 61508
IEC 61511
“control and avoidance ofsystematic
krav til “provenin use” – ikke SIL avhengige krav
software – må oppfylle egne 3S krav i IEC 61508‐3.
eller eller
Konklusjon
failures” – noen SIL avhengig, andre ikke
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
18
Beregning av PFD (IEC 61508 6)Beregning av PFD (IEC 61508‐6)
IEC 61508 ( d 1) IEC 61508 ( d 2) PDS t dIEC 61508 (ed 1) IEC 61508 (ed 2) PDS metoden
Tilnærmingsformler ”λτ/2 ”– uten hensyn
Tilnærmingsformler ”λτ/2 ”– hensyn til
Tilnærmingsformler –Tar hensyn til votering
Agenda
IEC & OLF λτ/2 uten hensyn til votering ved fellesfeil
λτ/2 hensyn til votering ved fellesfeil. CMooN introdusert.
Tar hensyn til votering for fellesfeil (CMooN). Også forslag til hvordan håndtere
Tidsplan
IEC 61508
Nytt: • Feiltre –PFD som
hvordan håndtere:• Degradert operasjon• Bidrag fra
IEC 61508
IEC 61511
funksjon av tid
• Dynamiske metoder
systematiske feilKonklusjon
‐Multifase Markov og Petri Nets
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
19
Beregning av PFD (IEC 61508‐6)Beregning av PFD (IEC 61508 6)
Agenda
IEC & OLF
Tidsplan
IEC 61508IEC 61508
IEC 61511
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
20
“PFD = 2 3.10-3”PFDavg = 2.3.10 3Agenda
IEC & OLF
Tidsplan
IEC 61508IEC 61508
IEC 61511
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
21
Beregning av PFD – hva gir ulike metoder?Beregning av PFD hva gir ulike metoder?
PFDavgAgenda
IEC & OLF
Tidsplan
IEC 61508
ellerIEC 61508
IEC 61511
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
22
Beregning av PFD – hva gir ulike metoder?Beregning av PFD hva gir ulike metoder?
Blir i fremtidenPFDavg
Blir i fremtiden mer fokus på å si noe om usikkerhet i PFD
Agenda
IEC & OLFusikkerhet i PFD beregninger!Tidsplan
IEC 61508IEC 61508
IEC 61511
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
23
Andre endringer – Safety manual må utarbeides
Agenda
IEC & OLF
Tidsplan
IEC 61508IEC 61508
IEC 61511
Konklusjon
osv…
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
Ligner litt på det som kalles ”SAR” I OLF 070
24
Andre endringer – Krav til ”Proven in use”
IEC 61508 (ed 1): IEC 61508 (ed2):
Agenda
IEC & OLF
En liste av krav som skal oppfyllesFeilraten skal ha en
Omtrent samme kravlisten Men krav til konfidens 70%
er tatt t (men tatt inn andre
Tidsplan
IEC 61508 Feilraten skal ha en konfidens på minst 70%(dvs. minst 70% sannsynlighet for at
er tatt ut (men tatt inn andre steder)
IEC 61508
IEC 61511
feilraten er mindre enn den det som er estimert)
Konklusjon
Foto:dn.no
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
25
Andre endringer: Integrated circuits (IC)Andre endringer: Integrated circuits (IC) To typer:MasseproduserteMasseproduserteApplikasjonsspesifikke (ASIC)
Agenda
IEC & OLF
”On‐chip redundancy” Application specific IC (ASIC)Tidsplan
IEC 61508Krav for å oppnå HFT > 0
opp til SIL 3Spesielle design kra
Egne krav for å hindre systematiske feil under t ikli
IEC 61508
IEC 61511
Spesielle design krav:– IEC 61508‐2, appendiks E
utvikling (IEC 61508‐2, appendix F)
Konklusjon
appendiks E– Egen metode for å bestemme
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
fellesfeilandel (βIC)
26
Endringer i IEC 61511Endringer i IEC 61511 Nasjonale kommentarer
Agenda
IEC & OLF
Hvilke endringer er relevante for IEC 61511?
Tidsplan
IEC 61508IEC 61508
IEC 61511
IEC 61508(ed 2)
IEC 61511( under revision)
Konklusjon
(ed 2) ( under revision)
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
27
Endringer i IEC 61511Endringer i IEC 61511
Hovedtema underHovedtema under arbeid:Kapittel 12 / software
Agenda
IEC & OLF p /SIL 4HFT
Tidsplan
IEC 61508 Safety manualHigh demand?
IEC 61508
IEC 61511
Andre ting:Mer veiledning
Konklusjon
gPraktiske eksempler?Formler for PFD?
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
28
KonklusjonerKonklusjoner
IEC 61508, ed 2 (alle 7 deler) publiseres ”i disse , ( ) pdager”Agenda
IEC & OLF
Flere endringer er gjort– IEC 61508 og IEC 61511 virker kanskje litt
Tidsplan
IEC 61508g j
mindre ”like” enn førIEC 61508
IEC 61511
IEC 61511 er under revisjon – ennå en tid igjen til førsteutkast
Konklusjon
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
29
Spørsmål?
Mer informasjon om RAMS aktiviteter på NTNU:
www ntnu no/ross/ramswww.ntnu.no/ross/rams
Min mailadresse/hjemmeside:Min mailadresse/hjemmeside:[email protected] / www.ntnu.no/ross/rams/maryann
IFEA IEC 61508 seminar , 3‐4 mars 2010, Sandefjord.
30
F k lForkortelser
HFT Hardware fault tolerance
OLF Oljeindustriens landsforbund
β Beta factor. Andel av feilrate som er fellesfeil
C K k j f kt fPDS Pålitelighet av databaserte styringssystemer
PFD Probability of failure on demand
CMooN Korreksjonsfaktor for fellesfeil ved andre voteringer enn 1oo2
λ Symbol brukt for feilrateSAR Safety analysis report
SFF Safe failure fraction
SIL Safety integrity level
λ Symbol brukt for feilrate
τ Symbol brukt for funksjonstestintervall
SIL Safety integrity level
SRS Safety requirement specificationDD Dangerous detected
DU Dangerous undetected
S SafeS Safe
Top Related