reliability of sis based - atpinfo.de · cult to provide statements due to the smallness of ......

Nachweis der sicherheitstechnischen Zuverlässigkeit von PLT-

Sicherheitseinrichtungen durch Be-triebserfahrung NE 93

Verification of the Safety-Related Reliability of SIS based

on Field Experience Vorbemerkung

Bei den NAMUR-Empfehlungen („NE“) und -Arbeitsblättern („NA“) handelt es sich um Erfah-rungsberichte und Arbeitsunterlagen, die die NAMUR-Mitglieder erarbeitet haben.

Preliminary note

The NAMUR recommendations („NE“) and work-sheets („NA“) are working documents and practical reports prepared by the NAMUR members.

NAMUR übernimmt keine Gewähr für die Vollstän-digkeit oder Richtigkeit der NE und NA. Jede Ver-wendung durch Mitglieder oder sonstige Dritte er-folgt in eigener Verantwortung und auf das eigene Risiko des Verwenders. Schadensersatzansprüche sind ausgeschlossen, soweit diese nicht auf zwin-genden gesetzlichen Haftungsvorschriften beruhen. Einzelheiten regelt die Satzung und die Vereinsord-nung bzw. die zwischen NAMUR und Dritten ge-troffene Vereinbarung.

NAMUR does not warrant that the NE and the NA are complete or accurate. Any use of the NE and the NA by the NAMUR members or by third parties is at the responsibility and the risk of the user. All claims for damages are excluded, except as stipu-lated by mandatory liability laws. Details are estab-lished in the Articles of NAMUR and NAMUR Regu-lations or in the agreement between NAMUR and a third party.

NE und NA haben nicht den Grad des Konsenses von technischen Normen (z. B. DIN-Normen) oder Richtlinien (z. B. VDI-Richtlinien). Sie stellen ledig-lich Empfehlungen der NAMUR dar.

Der englische Text ist eine Übersetzung. Im Zwei-felsfall ist der deutsche Originaltext anzuwenden.

NE and NA do not enjoy the same level of consen-sus as normative standards (e.g. DIN standards) or guidelines (e.g. VDI standards). They merely repre-sent recommendations from NAMUR.

The English text is a translation. In case of doubt you should follow the original German text.

Frühere Ausgaben

2001-08-22; 2003-02-10

Previous editions

2001-08-22; 2003-02-10

© NAMUR – Interessengemeinschaft Automatisierungstechnik der Prozessindustrie e.V., jede Art der Vervielfältigung, auch auszugsweise, nur mit Geneh-migung.

Ausgabe: 2016-01-18 Edition: 2016-01-18

NAMUR-Empfehlung NAMUR Recommendation

NE 93 Nachweis der sicherheitstechnischen Zuverlässigkeit von PLT-Sicherheitseinrichtungen durch Betriebserfahrung

Ausgabe: 2016-01-18

Verification of the Safety-Related Reliability of SIS based on Field Experience Edition: 2016-01-18

Seite 2 von 26 of 26

Änderungen

Gegenüber der Ausgabe 2003-02-10 wurden fol-gende Änderungen vorgenommen:

Harmonisierung mit den Anforderungen DIN EN 61511

Änderung der Taxonomie Erfassung von Gerätefehlern Ermittlung von spezifischen Fehlerraten Einführung eines web-basierten Erfassungs-

werkzeugs Maximal erreichbarer Hardware-SIL auf der Ba-

sis ermittelter Fehlerraten Änderung des Titels Redaktionelle Überarbeitung

Amendments

This document differs from edition 2003-02-10 as follows:

Harmonization with requirements DIN EN 61511

Change of Taxonomy Reporting of devices failures Estimation of specific failure rates Introduction of a web-based reporting tool

Maximum achievable Hardware-SIL based on

determined failure rates Title modified Editorial revision

Erstellt durch/Prepared by

NAMUR AK 4.5 „Funktionale Sicherheit“/

NAMUR WG 4.5 “Functional Safety”

Beteiligte Mitglieder/ Members involved

Dr. Bernd Schrörs, Bayer (Arbeitskreisleiter/Working Group Manager)

Konrad Estermaier, Wacker Chemie

Dirk Hablawetz, BASF

Dr. Volker Hahn, Lanxess

Dr. Gerd Körsgen, Sasol

Norbert Matalla, BASF SE

Udo Menck, DOW Chemical

Dr. Klaus Niemitz, Clariant

Als externe Experten waren die folgenden Gäste des AK an der Erarbeitung der NE/NA beteiligt/The follow-ing guests of the Working Group participated as external experts in the compilation of the NE/NA:

Hans van Dongen, DuPont / WIB

Herausgabe der Empfehlung erfolgt durch die NAMUR-Geschäftsstelle/ Distribution by the NAMUR Office

NAMUR- Interessengemeinschaft Automatisie-rungstechnik der Prozessindustrie e.V. c/o Bayer Technology Services GmbH Gebäude K 9 51368 Leverkusen Germany

Phone: +49 214/30-71034 Telefax: +49 214/30-9671034 E-Mail: [email protected] Internet: www.namur.net


Ausgabe: 2016-01-18



Inhaltsverzeichnis

1 Einleitung ................................................... 4

2 Ziel .............................................................. 5

3 Anwendungsbereich ................................. 5

4 Normative Verweisungen ......................... 5

5 Anforderungen der DIN EN 61508/DIN EN 61511 .................................................... 6

6 Zu ermittelnde Größen .............................. 6

7 Berechnete Größen und weitere Informationen ............................................ 7

8 Vorgehensweise ........................................ 8

9 Maximal erreichbarer Hardware-SIL einer PLT-Sicherheitseinrichtung .......... 10

Anhang A Zu erfassende Daten ................. 11

Anhang B Nutzung sicherheitstechnischer Kenndaten und SIL-Nachweis ................ 15

B.1 Annahmen und Randbedingungen ....... 15

B.2 PFD-Ergebnisse ....................................... 19

B.3 PFD-Berechnung ..................................... 21

Contents

1 Introduction ................................................ 4

2 Aim .............................................................. 5

3 Scope of application .................................. 5

4 Normative references ................................ 5

5 Requirements of DIN EN 61508/DIN EN 61511 ........................................................... 6

6 Data to be determined ............................... 6

7 Determined values and further information ................................................. 7

8 Workflow ..................................................... 8

9 Maximum achievable Hardware SIL of a safety instrumented system ................... 10

Annex A Data to be captured ....................... 13

Annex B Use of characteristic safety parameters and SIL verification ............. 17

Assumptions and constraints ................ 17 B.1

PFD results ............................................... 20 B.2

PFD calculation ........................................ 24 B.3


Ausgabe: 2016-01-18



1 Einleitung

Die Richtlinie VDI/VDE 2180 und die DIN EN 61511 beschreiben, welche technischen und organisatori-schen Maßnahmen für PLT-Sicherheits-einrichtungen zu treffen sind. Mit diesen Maßnah-men werden die qualitativen und quantitativen An-forderungen erfüllt, um die erforderliche sicher-heitsbezogene Verfügbarkeit für das abzudeckende Risiko zu erreichen.

Im Gegensatz zu Industriezweigen mit vergleich-baren Einsatzbedingungen für PLT-Sicherheitseinrichtungen, wie die Petrochemische Industrie, Kerntechnik oder der Off-Shore-Bereich, ist in den verfahrenstechnischen Anlagen der che-mischen und pharmazeutischen Industrie der Weg über einen rechnerischen Nachweis nur begrenzt sinnvoll, da wegen der äußerst unterschiedlichen Einsatzbedingungen keine gesicherten Daten über individuelle Ausfallraten von Komponenten einer PLT-Sicherheitseinrichtung vorliegen.

Da statistische Daten zum Ausfallverhalten von PLT-Sicherheitseinrichtungen in der NAMUR bisher nur vereinzelt systematisch ermittelt wurden und die zunehmende Reorganisation in kleinere unterneh-merische Einheiten einzelne statistische Aussagen wegen einer dann kleineren Datenbasis erschwert, soll durch eine einheitliche Vorgehensweise in den NAMUR-Firmen ermöglicht werden, Daten ver-schiedener Unternehmen zu aussagekräftigen Wer-ten zu verdichten.

Die Anwendung dieser NAMUR Empfehlung erlaubt es NAMUR-Mitgliedsfirmen,

die Anforderungen der DIN EN 61511 zu erfüllen,

ihr eigenes PLT-Sicherheitskonzept zu plausibilisieren,

Schwachpunkte oder spezielle Einflüsse auf die Sicherheitsintegrität zu identifizie-ren,

einen firmenspezifischen Datenpool für Zu-verlässigkeitsdaten aufzubauen,

die beispielhaften PFD-Berechnungen für Standardstrukturen, wie sie in der VDI/VDE 2180 Blatt 4 oder im Anhang dieser NAMUR-Empfehlung beschrieben sind, zu nutzen,

Investment- und Betriebskosten für PLT-Sicherheitseinrichtungen zu reduzieren.

Zusätzlich werden die Ergebnisse der Fehleranaly-se und Fehlerklassifikation als kontinuierliche Rückmeldung zur Bestätigung der beispielsweise nach NE 130 festgestellten Betriebsbewährung ge-nutzt.

Dazu ist es erforderlich, dass sich möglichst viele

1 Introduction

The Guideline VDI/VDE 2180 and the DIN EN 61511 describe measures to be taken for SIS. These measures serve to attain the quality and the safety-related reliability necessary to cover the risk involved.

Unlike other industrial sectors with similar condi-tions of use for SIS, such as the petrochemical, nu-clear power or offshore industries, it is only possible to a limited extent to apply numerical verification techniques to process plants in the chemical and pharmaceutical industry, since there are currently no substantiated data about the individual failure rates of components in SIS due to the great variety of usage scenarios.

In view of the fact that statistical data on the failure rates of SIS have only been systematically deter-mined in individual cases by NAMUR, and reorgani-zation into smaller company entities makes it diffi-cult to provide statements due to the smallness of the data pool. The intention is to encourage a com-mon approach among NAMUR companies to ena-ble the data of different companies to be com-pressed into meaningful indicators.

The utilization of this NAMUR recommendation en-ables NAMUR companies

to fulfill requirements according to DIN EN 61511

to make their own safety concept plausible

to identify weak points or specific influences on safety integrity

to establish company specific reliability da-ta,

to use sample hardware integrity calcula-tions for standard configuration as de-scribed in VDI/VDE 2180 Part 4 or in the annexes of this recommendation,

Cost savings in investment and operation of SIS.

Furthermore the results of the analysis and the classification will be used as verification for fulfilling the “prior use” claim of devices according to NAMUR recommendation NE 130.

To achieve this, as many NAMUR member compa-


Ausgabe: 2016-01-18



NAMUR-Mitgliedsfirmen beteiligen. nies as possible should participate.

2 Ziel

Das Ziel dieser NE ist es, eine Methode zur Verfü-gung zu stellen, die praxiserprobt ist und es erlaubt, zuverlässige Aussagen auf der Basis statistischer Daten zu machen. Als Grundlage dafür müssen alle Fehler in PLT-Sicherheitseinrichtungen entspre-chend dieser NAMUR Empfehlung analysiert und klassifiziert werden.

Dabei werden zufällige und systematische sowie sichere und gefährliche Fehler unterschieden. Alle Fehler werden den jeweiligen Messmethoden und den jeweils wichtigsten Messprinzipien zugeordnet.

Diese Empfehlung dient dazu, durch eine einheitli-che Vorgehensweise in den verschiedenen Mit-gliedsfirmen die statistische Grundlage für den Nachweis zu schaffen, dass die derzeit in der che-mischen Industrie betriebenen PLT-Sicherheitseinrichtungen die Anforderungen der DIN EN 61511 bezüglich der sicherheitstechnischen Zuverlässigkeit erfüllen.

Zusätzlich unterstützt die Erfassung und Analyse von Fehlern die kontinuierliche Verbesserung der PLT-Sicherheitskonzepte jeder NAMUR-Mitgliedsfirma.

2 Aim

The objective of this NE is to provide a method that has already been tried and tested in practice and allows reliable statements and summary conclu-sions based on statistical data. As a basis all fail-ures in SIS should be analyzed and classified ac-cording to this NAMUR recommendation.

By a suitable classification of faults into random and systematic faults as well as into safe and dangerous faults they can be assigned to specific methods of measurement respectively main measurement prin-ciples.

The objective of this recommendation is to encour-age a consistent approach of the NAMUR member companies for the purpose of establishing a statisti-cal basis for verification that the Safety Instrument-ed Systems (SIS) implemented in the chemical in-dustry satisfies the requirements of DIN EN 61511 regarding the required safety integrity of safety in-strumentation.

Furthermore the collection and analysis of failure data supports the continuous improvement of the safety concept of each individual member company.

3 Anwendungsbereich

Diese NAMUR Empfehlung ist anwendbar für PLT-Sicherheitseinrichtungen in den verfahrenstechni-schen Anlagen der chemischen und pharmazeuti-schen Industrie. Sie beschreibt eine einfach zu im-plementierende Vorgehensweise, wie statistische Daten für den Nachweis der Zuverlässigkeit von PLT-Sicherheitseinrichtungen nach DIN EN 61511 gewonnen und ausgewertet werden.

3 Scope of application

This NAMUR recommendation is applicable to SIS in process plants in the chemical and pharmaceuti-cal industry. It provides an easy approach how to obtain and evaluate statistical data can be obtained and evaluated to prove the reliability according to DIN EN 61511.

4 Normative Verweisungen

Die folgenden zitierten Dokumente sind für die An-wendung dieses Dokuments erforderlich. Bei datier-ten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen Doku-ments (einschließlich aller Änderungen).

DIN EN 61508, Funktionale Sicherheit sicherheits-bezogener elektrischer/elektronischer/programmier-barer elektronischer Systeme

DIN EN 61511, Funktionale Sicherheit: Sicherheits-technische Systeme für die Prozessindustrie, Teil 1 bis 3

4 Normative references

The following referenced documents are indispen-sable for the application of this document. For dated references, only the edition cited applies. For un-dated references, the latest edition of the refer-enced document (including any amendments) ap-plies.

DIN EN 61508, Functional safety of electri-cal/electronic/programmable electronic safety-related systems

DIN EN 61511, Functional Safety: Safety instru-mented systems for the process industry sector, part 1 to 3


Ausgabe: 2016-01-18



IEC 60300-3-2, Zuverlässigkeitsmanagement - Teil 3-2: Anwendungsleitfaden - Erfassung von Zuver-lässigkeitsdaten im Betrieb

ISO 14224, Erdöl-, petrochemische und Erdgasin-dustrie - Sammlung und Austausch von Zuverläs-sigkeits- und Wartungsdaten für Ausrüstungen

NE 93:2003, Nachweis der sicherheitstechnischen Zuverlässigkeit von PLT-Schutzeinrichtungen

NE 130, Betriebsbewährte Geräte für PLT-Schutzeinrichtungen und vereinfachte SIL-Berechnung

VDI/VDE 2180, Sicherung von Anlagen der Verfah-renstechnik mit Mitteln der Prozessleittechnik (PLT)

IEC 60300-3-2, Dependability management - Part 3-2: Application guide - Collection of dependability data from the field

ISO 14224, Petroleum, petrochemical and natural gas industries – Collection and exchange of reliabil-ity and maintenance data for equipment

NE 93:2003, Verification of the Safety-Related Reli-ability of PCT Safety Instruments

NE 130, "Prior use"--Devices for Safety Instrument-ed Systems and simplified SIL Calculation

VDI/VDE 2180, Safeguarding of industrial process plants by means of process control engineering

5 Anforderungen der DIN EN 61508/DIN EN 61511

DIN EN 61508 und DIN EN 61511 fordern einen quantitativen Nachweis der mittleren Ausfallwahr-scheinlichkeit einer PLT-Sicherheitseinrichtung im Anforderungsfall und eine Mindest-Hardware-Fehler-toleranz (HFT) für jedes Teilsystem einer PLT-Sicherheitseinrichtung.

Wenn der Nachweis der HFT auf dem Pfad 2H der DIN EN 61508 erfolgt, müssen die dabei genutzten Zuverlässigkeitsdaten

auf Felddaten basieren, die bei ähnlichen Anwendungen und Umgebungsbedingun-gen erfasst wurden, und

auf einer Datenerfassung basieren, die in Übereinstimmung mit internationalen Stan-dards erfolgt (z.B. IEC 60300-3-2 oder ISO 14224)

Aus diesem Grund sind Endanwender aufgerufen, eigene Datenerfassungen entsprechend der ge-nannten Standards durchzuführen.

Die Neuausgabe dieser NAMUR-Empfehlung un-terstützt die neuen Anforderungen der internationa-len Standards.

5 Requirements of DIN EN 61508/DIN EN 61511

DIN EN 61508 and DIN EN 61511 require a quanti-tative confirmation of the probability of failure on demand (PFD) and a minimum hardware fault toler-ance (HFT) for each SIS subsystem.

If the demonstration of the HFT is based on the route 2H of the DIN EN 61508 then the reliability data used shall be

based on field feedback for elements in use in a similar application and environment, and,

based on data collected in accordance with international standards (e.g. IEC 60300-3-2 or ISO 14224).

For this reason end-users are encouraged to organ-ize relevant component reliability data collections as described in published standards.

This revised NAMUR recommendation will support the new requirements of international standards.

6 Zu ermittelnde Größen

Unternehmen, die an der NAMUR-Erfassung und -Analyse von Fehlern teilnehmen, müssen die folgenden Informationen zur Verfügung stellen:

Basisdaten pro Anlage

Anzahl der PLT-Sicherheitseinrichtungen (differenziert nach SIL und Testintervall)

Anzahl der Sensoren (differenziert nach den wichtigsten Mess-prinzipien)

Anzahl der Aktoren (differenziert nach den wichtigsten Bauar-

6 Data to be determined

Companies participating the NAMUR data- collec-tion have to deliver the following information:

Basic data per plant

Number of Safety Instrumented Functions (differentiated to SIL and test interval)

Number of Sensors (differentiated by main measurement princi-ples)

Number of Final Elements (differentiated by main construction type)


Ausgabe: 2016-01-18



ten)

Fehlerdaten

Totalausfälle

Ein Totalausfall liegt vor, wenn die Sicher-heitsfunktion nicht wie geplant ausgelöst hätte.

Bei einkanaligen Sicherheitseinrichtungen ist bereits ein passiver Fehler gefährlich (Fehlertoleranz = 0), bei mehrkanaligen Si-cherheitseinrichtungen mit 1v2- oder 2v3-Bewertung liegt ein gefährlicher Ausfall vor, wenn mindestens zwei Kanäle gleichzeitig passiv gestört sind (Fehlertoleranz = 1)

Gerätefehler

Jeder Gerätefehler wird wie folgt kategori-siert:

Fehlerort (Sensor, Logiksystem, Aktor)

Produkteigenschaften (z.B. flüssig, fest, korrosiv)

Prozesstyp (z.B. konti oder batch) Fehlererkennung (z.B. regelmäßige

Prüfung) Fehlerart (gefährlich, sicher) Fehlertyp (zufällig, systematisch) Fehlerursache (z.B. Planungsfehler,

Gerätedefekt, Kalibrierungsfehler) Fehlerdetails (z.B. Gerätetyp und Her-

steller) SIL Testintervall Datum der Erstinbetriebnahme (Jahr)

Zur Erfassung stellt die NAMUR ein webbasiertes Werkzeug zur Verfügung, welches die Anwender unterstützt, Fehlerdaten zu erfassen und auszuwer-ten.

Eine Auswertung entsprechend den Anforderungen nach NE 93, Ausgabe 2003 entspricht nicht mehr den neuen internationalen Anforderungen, wird je-doch noch für einen Übergangszeitraum durch die NAMUR unterstützt. Für nähere Informationen und bisherige Formblätter siehe NE 93, Ausgabe 2003.

Malfunction data

Complete failures of the SIF

The SIF would not have been performed in case of a demand as planned.

In single-channel safety instrumented sys-tems even one passive fault is dangerous (failure tolerance = 0). In multi-channel safety instrumented systems with 1oo2 or 2oo3 voting a dangerous failure is deemed to have occurred when at least two chan-nels are simultaneously affected by a pas-sive failure (failure tolerance = 1).

Device faults

Every device fault will be categorized as fol-lows:

Fault location (Sensor, Logic Solver, Fi-nal Element)

Product properties (e.g., liquid, solid, corrosive)

Process type (e.g. continuous or batch) Fault detection (e.g. proof test) Kind of fault (dangerous, safe) Type of fault (random, systematic) Cause of fault (e.g., design fault, device

fault, wrong calibration) Details of fault (e.g., device type and

manufacturer) SIL Proof test interval Date of commissioning (year)

For the data collection NAMUR provide a web-based tool which enables companies to collect and evaluate their data.

An evaluation according to NE 93, edition 2003 does not meet new international requirements and will be supported by NAMUR for a transition period. For more information and previous templates see NE 93, edition 2003.

7 Berechnete Größen und weitere Informationen

Auf der Grundlage der Informationen der teilneh-menden Unternehmen werden folgende Daten er-mittelt

7 Determined values and further information

Based on the information given by participating companies, the following data are provided:


Ausgabe: 2016-01-18



Ausfallrate bezüglich gefährlicher Fehler ei-ner PLT-Sicherheitseinrichtung pro SIL

Anzahl der im Kalenderjahr festgestellten Totalausfälle von PLT-Sicherheits-einrichtungen / Anzahl der PLT-Sicherheitseinrichtungen

Fehlerraten für Messgrößen und die wich-tigsten Messprinzipien

Fehlerraten für Aktoren bzw. Bauarten

Identifikation von Schwachstellen bei be-stimmten Messprinzipien bzw. Geräten

Weiterhin können teilnehmende Unternehmen die Stärken und Schwächen ihrer Sicherheitskonzepte identifizieren (z.B. Prozeduren, Prozess der Gerä-teauswahl, Wirksamkeit der Instandhaltung, ...) so-wie unternehmensinterne Vergleiche als auch Ver-gleiche zur vollständigen anonymisierten NAMUR Datenbasis vornehmen.

dangerous failure rate for a complete SIF (per SIL)

Number of complete failure of a SIF in one calendar year / number of SIF.

Failure rates for specific measurements and main measurement principles

Failure rates for specific types of final ele-ments

Weak point identification for measurement principles and specific devices

Furthermore, companies can identify strengths and weak points of their safety concepts (e.g. work pro-cedures, device selection principles, maintenance performance, …) and can compare their results in-house or with the anonymized NAMUR data .

8 Vorgehensweise

Einmalige Erfassung der Basisdaten (siehe Bild A1 im Anhang A)

Jährliche Überprüfung und ggfs. Anpas-sung der Basisdaten (muss spätestens bis Ende Februar des Folgejahres erfolgt sein)

Zeitnahe Online-Erfassung der Stördaten der PLT-Sicherheitseinrichtung durch eine Verantwortlichen vor Ort (siehe Bild A2)

Unternehmensinterne Plausibilisierung und Freigabe der Stördaten (z.B. durch zustän-digen Gerätearbeitskreis, Arbeitskreis für funktionale Sicherheit oder andere)

Nach Freigabe der Daten gehen diese so-fort in die Online-Auswertung ein.

Die Daten des betreffenden Kalenderjahres werden nach Abschluss der jährlichen Da-tenüberprüfung abschließend ausgewertet und eingefroren.

Die Auswertung steht den teilnehmenden Unternehmen online zur Verfügung.

Ablauf siehe Bild 1

8 Workflow

Input of basic data (one-time only) (see fig-ure A1 in Annex A)

Annual check of basic data, correction of data as needed (once a year until end of February)

Prompt online-entry of SIS fault data by a responsible person on-site (see figure A2).

Plausibility check and approval of SIS fault data by the company (e.g. by device work-ing group or functional safety working group or others).

Immediately after approval of the SIS fault data they are used for analysis.

After completion of the annual data valida-tion, the data of the calendar year will be fi-nally evaluated and frozen.

For participating companies the analysis re-sults are available online.

Workflow see figure 1


Ausgabe: 2016-01-18



Bild 1 - Ablauf

Figure 1 - Workflow


Ausgabe: 2016-01-18



9 Maximal erreichbarer Hardware-SIL einer PLT-Sicherheitseinrichtung

Bei Nutzung der nachfolgend beschriebenen Me-thode (siehe auch VDI/VDE 2180 Blatt 4) kann der Anwender auf einen rechnerischen Einzelnachweis der sicherheitstechnischen Eignung einer PLT-Sicherheitseinrichtung gemäß DIN EN 61511 ver-zichten.

Tabelle 1 stellt die SIL-Qualifikation für mögliche Strukturvarianten bei Verwendung betriebsbewähr-ter Geräte dar. Sie gilt für die Messgrößen Druck, Temperatur, Füllstand und Durchfluss sowie die zu-gehörige Aktorik. Das Logikteilsystem (SSPS inklu-sive E/A-Module) besteht aus zertifizierten Bau-gruppen, die für den jeweiligen SIL zugelassen sind.

Struktur Aktorteilsystem

1oo1 1oo2

Sensorteilsystem 1oo1 SIL 2 SIL 2 1oo2 SIL 2 SIL 3 2oo3 SIL 2 SIL 3

Tabelle 1 - Maximal erreichbarer SIL einer PLT-

Sicherheitseinrichtung bei Verwendung unterschiedlicher Strukturen

Die zugrunde liegenden Rechnungen basieren auf Worst-Case-Werten der NE 93-Stördaten Kapitel 7 und sind in Anhang B dieser NE hinterlegt.

Tabelle 1 kann nur genutzt werden, wenn die fol-genden drei Anforderungen erfüllt sind:

Alle Geräte des Sensorteilsystems (Mess-umformer, Speisetrenner, etc.) besitzen den Status „Betriebsbewährt“ gemäß NE 130.

Die Geräte des Logikteilsystems (sicher-heitsgerichtete speicher-programmierbare oder verbindungs-programmierbare Steue-rungen incl. ihrer EA-Module) müssen für den angestrebten SIL der PLT-Sicherheitseinrichtung zugelassen sein.

Alle Geräte des Aktorteilsystems (Ventil-steuerbaustein, Magnetventil, Kugelhahn, etc.) besitzen den Status „Betriebsbewährt“ gemäß NE 130.

Für gängige Strukturen (Tabelle 1) wurde der SIL-Nachweis geführt. Details hierzu sind in Anhang B zu finden.

9 Maximum achievable Hardware SIL of a safety instrumented system

The user can dispense with an individual quantita-tive verification of a safety instrumented system complying with DIN EN 61511 if the method de-scribed below is applied (see also VDI/VDE 2180 Part 4)

Table 1 illustrates the SIL qualification for possible architectural variants where “Prior use” devices are utilised. It applies for the process variables pres-sure, temperature, Level and flow, along with asso-ciated actuators. The logic sub-system (safety-related PLC and I/O modules) consists of certified modules which have been approved for the respec-tive SIL.

Structure Actuator sub-

system 1oo1 1oo2

Sensor sub-system

1oo1 SIL 2 SIL 2 1oo2 SIL 2 SIL 3 2oo3 SIL 2 SIL 3

Table 1 - Maximum achievable SIL of a safety in-

strumented system using different archi-tectures

The underlying calculations are based on worst case values from NE 93 fault data section 7 and are recorded in Annex B of the recommendation.

Table 1 may only be used if all of the following re-quirements are met:

All devices in the sensor sub-system (transmitters, isolating amplifier, etc.) shall have “Prior use” status according to NE 130.

Devices in the logic sub-system (safety-related programmable or hard-wired pro-grammable controls and their I/O modules) shall be approved for the desired SIL of the safety instrumented systems.

All devices in the actuator sub-system (valve control module, solenoid valve, ball-cock valve, etc.) shall have “Prior use” sta-tus according to NE 130.

SIL related hardware integrity verification has been realised for common architectures (Table 1). Details can be found in Annex B.


Ausgabe: 2016-01-18



Anhang A Zu erfassende Daten

Anlagendaten

Anzahl der PLT-Sicherheits-

einrichtungen(inkl. Prüfintervall)

SIL 1

SIL 3

SIL 2

Anzahl Sensoren(nur in PLT-SE)

MessmethodeA ...Z

Messprinzip1..3

MessprinzipRest

Anzahl Aktoren(nur in PLT-SE)

BauartA ... C

Anzahl der Logiksysteme

SSPS

Relais

Festverdrahtet

BauartRest

Bild A1 - Anlagendaten (einmalige Erfassung)


Ausgabe: 2016-01-18



Bild A2 - Fehlerdaten (laufende Erfassung)


Ausgabe: 2016-01-18



Annex A Data to be captured

Figure A1 - Plant Data (one time)


Ausgabe: 2016-01-18



Figure A2 - Malfunction Data (ongoing)


Ausgabe: 2016-01-18



Anhang B Nutzung sicherheitstechnischer Kenndaten und SIL-Nachweis

B.1 Annahmen und Randbedingungen

Ist ein Sensorteilsystem ausschließlich aus betriebsbewährten Geräten entsprechend NE 130 aufgebaut, gel-ten folgende Aussagen:

1. Der Anteil sicherer Fehler (SFF) jeder Komponente ist in Anlehnung an DIN EN 61511-1 mit größer als 60 % angenommen. Daher kann aus diesen Komponenten ein SIL 2-fähiges Sensorteilsystem mit HFT 0 (einkanalig, d.h. 1oo1) aufgebaut werden. Entsprechend ist für eine SIL 3-Anwendung eine HFT von 1 (mehrkanalig, z. B. in 1oo2 oder 2oo3) ausreichend.

2. Es können Richtwerte für die Rate gefährlicher, unentdeckter Fehler λDU eines Sensorkanals ange-nommen werden. Der β-Faktor bewegt sich je nach eingesetzten Geräten zwischen 0,01 bei SSPS und 0,02 … 0,05 bei Feldgeräten1. Zur Vereinfachung wird in der weiteren Vorgehensweise ein kon-servativer β-Wert von 0,05 verwendet. Dabei geht man von einem Prüfintervall TI von einem Jahr aus. Alle Werte stellen eine Worst-Case-Abschätzung dar und basieren auf den NE 93-Stördaten.

Logikteilsysteme müssen nach DIN EN 61508 zertifiziert sein. Erfahrungsgemäß ist deren PFD vernachläs-sigbar klein.

Für das Aktorteilsystem wird entsprechend der Vorgehensweise für das Sensorteilsystem verfahren (vgl. Bild. B1).

1 zur Abschätzung von Common-Cause-Fehlern siehe DIN EN 61508-6 Anhang D


Ausgabe: 2016-01-18



Bild B1 - Annahmen beim SIL-Nachweis einer PLT-Sicherheitseinrichtung aus betriebsbewährten Ge-räten

SSPS mit E/A-Modulen

MAooNAMSooNS

Sensorkanal 1

SE MU MS

Sensorkanal NS

SE MU MS

◦◦◦

Aktorkanal 1

MV AT SG

Aktorkanal NA

MV AT SG

◦◦◦

Legende:

MSooNS MSausNS-Sensorteilsystem MAooNA MAausNA-AktorteilsystemNS Anzahl Sensorkanäle NA Anzahl AktorkanäleSE Sensorelement MV Magnetventil MU Messumformer AT Antrieb MS Messumformerspeisegerät SG Stellglied

SFF Anteil sicherer Fehler an der GesamtfehlerrateHFT Hardwarefehlertoleranz

PFDS PFD des SensorteilsystemsPFDL PFD des LogikteilsystemsPFDA PFD des AktorteilsystemsTI Prüfintervall des jeweiligen Teilsystems Anteil der Fehler gemeinsamer Ursache an der relevanten

Kanalfehlerrate gefährlicher, unentdeckter FehlerλDU(X) Rate gefährlicher, unentdeckter Fehler eines Sensorkanals

der Messgröße X (hier: P, T, L oder F)λDU Rate gefährlicher, unentdeckter Fehler eines AktorkanalsFIT Failures in time, d.h. Fehler pro 109h

Kanalrichtwerte zur PFDA:

TI = 8760h, β = 0,05

λDU = 400 FITHerstellerangabe der PFDL und zugehörigem TI

Kanalrichtwerte zur PFDS:

TI = 8760h, β = 0,05

λDU(P) = 1000 FITλDU(T) = 500 FITλDU(L) = 400 FITλDU(F) = 1000 FIT

Maßnahmen gegen zufällige Fehler (Vorgaben für Teilsystem-PFD)

SFF jeder Baugruppe ≥ 60%:HFT = 0 SIL 2HFT = 1 SIL 3


Maßnahmen zur Fehlertoleranz (strukturelle Eignung)

Betriebsbewährung jeder Baugruppe

SSPS inkl. ihrer E/A-Module zertifiziert


Maßnahmen gegen systematische Fehler (Voraus-setzungen)

AktorteilsystemLogikteilsystemSensorteilsystem

SSPS mit E/A-Modulen

MAooNAMSooNS

Sensorkanal 1

SE MU MSSESE MUMU MSMS

Sensorkanal NS


◦◦◦

Aktorkanal 1

MV AT SG

Aktorkanal NA

MV AT SG

◦◦◦

Legende:

MSooNS MSausNS-Sensorteilsystem MAooNA MAausNA-AktorteilsystemNS Anzahl Sensorkanäle NA Anzahl AktorkanäleSE Sensorelement MV Magnetventil MU Messumformer AT Antrieb MS Messumformerspeisegerät SG Stellglied

SFF Anteil sicherer Fehler an der GesamtfehlerrateHFT Hardwarefehlertoleranz

PFDS PFD des SensorteilsystemsPFDL PFD des LogikteilsystemsPFDA PFD des AktorteilsystemsTI Prüfintervall des jeweiligen Teilsystems Anteil der Fehler gemeinsamer Ursache an der relevanten

Kanalfehlerrate gefährlicher, unentdeckter FehlerλDU(X) Rate gefährlicher, unentdeckter Fehler eines Sensorkanals

der Messgröße X (hier: P, T, L oder F)λDU Rate gefährlicher, unentdeckter Fehler eines AktorkanalsFIT Failures in time, d.h. Fehler pro 109h

Kanalrichtwerte zur PFDA:

TI = 8760h, β = 0,05

λDU = 400 FITHerstellerangabe der PFDL und zugehörigem TI

Kanalrichtwerte zur PFDS:

TI = 8760h, β = 0,05

λDU(P) = 1000 FITλDU(T) = 500 FITλDU(L) = 400 FITλDU(F) = 1000 FIT

Maßnahmen gegen zufällige Fehler (Vorgaben für Teilsystem-PFD)



Maßnahmen zur Fehlertoleranz (strukturelle Eignung)


SSPS inkl. ihrer E/A-Module zertifiziert


Maßnahmen gegen systematische Fehler (Voraus-setzungen)

AktorteilsystemLogikteilsystemSensorteilsystem


Ausgabe: 2016-01-18



Annex B Use of characteristic safety parameters and SIL verification

Assumptions and constraints B.1

The following statements apply if a sensor sub-system completely consists of “Prior use” devices according NE 130:

1. The proportion of safe faults for each component is assumed to be greater than 60 % (based on DIN EN 61511-1). A SIL 2- sensor sub-system with HFT 0 (single channel, i.e. 1oo1) can therefore be constructed from these components. An HFT of 1 (multi-channel, e.g. in 1oo2 or 2oo3) is thus ade-quate for a SIL 3 application.

2. Standard values for the rate of dangerous undetected faults λDU in one sensor channel can be as-sumed. The β factor varies between 0.01 for safety-related PLC’s and 0.02 … 0.05 for field devices2, depending on the devices used. For simplification purposes a conservative β value of 0.05 is utilised . A proof test interval TI of one year is assumed in this respect. All values represent a worst case estimation and are based on NE 93 fault data.

Logic sub-systems should be certified in compliance with DIN EN 61508. Experience indicates that their PFD is negligibly low. The procedure for the actuator sub-system is equivalent to that employed for the sensor sub-system (compare Fig. B1).

2 For estimating common cause errors, see DIN EN 61508-6 Annex D


Ausgabe: 2016-01-18



Figure B1 - Assumptions during SIL verification of a safety instrumented system consisting of “Prior use” devices


Ausgabe: 2016-01-18



B.2 PFD-Ergebnisse

Im Folgenden wird der Bewertungsprozess erläutert, der zu den in Tabelle 1 angeführten SIL-Einstufungen führt. Hierzu enthält Tabelle B1 zunächst die PFD-Werte von Sensor- und Aktorteilsystemen aus betriebsbe-währten Geräten für unterschiedliche Strukturvarianten. Zusätzlich wurde im Falle der Sensorik nach Mess-größe differenziert (Druck, Temperatur, Füllstand oder Durchfluss). Bei Belegung der PFD-relevanten Para-meter kamen die Kanalrichtwerte aus Bild B1 zum Einsatz, die sich auf die NE 93-Stördaten stützen.

PFDS(P oder F) PFDS(T) PFDS(L) PFDA

1oo1 < 34 4 10, <

32 2 10, < 318 10, <

31 8 10,

1oo2 < 42 5 10, <

41 2 10, < 59 2 10, <

59 2 10,

2oo3 < 43 0 10, <

41 3 10, < 41 0 10, k. P.3

Tabelle B1 - PFD der Sensor- (P, T, L und F) und Aktorteilsysteme

Im Anschluss (siehe Tabelle B2 bis B4) wurde die PFD verschiedener Sicherheitseinrichtungsvarianten be-stimmt (PFDSIF). Es wird hierbei unterstellt, dass die Geräte des Logikteilsystems stets für den sich aus der PFDSIF ergebenden SIL zugelassen sind. Für die Berechnung wurde eine PFDL von 10-5 angesetzt. Sowohl die PFD-Resultate der Teilsysteme als auch der gesamten PLT-Sicherheitseinrichtung wurden jeweils aufge-rundet.

PFDSIF Aktorteilsystem

1oo1 1oo2

Sensorteilsystem

1oo1 < 36 3 10, <

34 6 10,

1oo2 < 32 1 10, <

43 6 10,

2oo3 < 32 2 10, <

44 1 10,

Tabelle B2 - Druck- oder Durchflussüberwachung (P oder F)


1oo1 1oo2

Sensorteilsystem

1oo1 < 34 1 10, <

32 4 10,

1oo2 < 32 0 10, <

42 3 10,

2oo3 < 32 0 10, <

42 4 10,

Tabelle B3 - Temperaturüberwachung (T)


1oo1 1oo2

Sensorteilsystem

1oo1 < 33 7 10, <

32 0 10,

1oo2 < 32 0 10, <

42 0 10,

2oo3 < 32 0 10, <

42 1 10,

Tabelle B4 - Füllstandüberwachung (L)

3 keine Praxisrelevanz


Ausgabe: 2016-01-18



PFD results B.2

The evaluation process that leads to the SIL categorisations illustrated in Table 1 is described below. Table B1 shows the PFD values of sensor and actuator sub-systems of “Prior use” devices for different architecture var-iants. In addition, a differentiation is made related to process variables (pressure, temperature, level or flow) for the sensor system. Channel reference values from Fig. B1 were utilised when configuring the PFD-relevant parameters based on NE 93 fault data.

PFDS(P oder F) PFDS(T) PFDS(L) PFDA

1oo1 < 34 4 10, <

32 2 10, < 318 10, <

31 8 10,

1oo2 < 42 5 10, <

41 2 10, < 59 2 10, <

59 2 10,

2oo3 < 43 0 10, <

41 3 10, < 41 0 10, n.a.4

Table B1 - PFD for sensor (P, T, L and F) and actuator sub-systems

The PFD for different SIF variants (PFDSIF) were then ultimately determined (see Table B2 to B4). It is assumed that the logic sub-system devices are always approved for the SIL derived from the PFDSIF. A PFDL of 10-5 was estimated for the calculation. Both the PFD results for the sub-systems and the entire safety instrumented function are rounded up.

PFDSIF Actuator sub-system

1oo1 1oo2

Sensor sub-system

1oo1 < 36 3 10, <

34 6 10,

1oo2 < 32 1 10, <

43 6 10,

2oo3 < 32 2 10, <

44 1 10,

Table B2 - Pressure and flow monitoring (P or F)


1oo1 1oo2

Sensor sub-system

1oo1 < 34 1 10, <

32 4 10,

1oo2 < 32 0 10, <

42 3 10,

2oo3 < 32 0 10, <

42 4 10,

Table B3 - Temperature monitoring (T)


1oo1 1oo2

Sensor sub-system

1oo1 < 33 7 10, <

32 0 10,

1oo2 < 32 0 10, <

42 0 10,

2oo3 < 32 0 10, <

42 1 10,

Table B4 - Level monitoring (L)

4 no relevance under practical conditions


Ausgabe: 2016-01-18



B.3 PFD-Berechnung

Die nachfolgenden Berechnungen wurden entsprechend der in VDI/VDE 2180 Blatt 4 beschriebenen, verein-fachten Vorgehensweise durchgeführt. Es werden beispielhaft für eine PLT-Sicherheitseinrichtung zur Druckbegrenzung die PFD-Werte aus Tabelle B2 für ausgewählte Strukturen ermittelt. Als Grundlage hierzu dienen die in Bild B1 aufgeführten Richtwerte. Die Berechnungen für alle anderen Kombinationen aus den Tabellen B2 bis B4 erfolgen analog.

B.3.1 Einkanalige PLT-Sicherheitseinrichtung (1oo1)

Bild B2 - Struktur einer einkanaligen PLT-Sicherheitseinrichtung

a) Berechnung der PFD des Sensorteilsystems PFDS (λDU-Richtwert einer Drucküberwachung, Prüfinter-

vall TI = 8760h)

IS DU (P)

6 3

PFD21 8760 h

1 0 10 4 38 10h 2

, ,

T

b) Abfrage der PFD des Logikteilsystems PFDL laut Hersteller, z.B.

5LPFD 1 0 10,

c) Berechnung der PFD des Aktorteilsystems PFDA (λDU-Richtwert eines Aktorkanals aus Bild B1, Prüfin-

tervall TI = 8760h)

IA DU

7 3

PFD2

1 8760 h 4 0 10 1 75 10

h 2

, ,

T

d) Summation der PFD-Werte von Sensor-, Logik- und Aktorteilsystem zur Gesamt-PFD der Sicherheits-

einrichtung

SIF S L A

3 5 3 3

PFD PFD PFD PFD

4 38 10 1 0 10 1 75 10 6 14 10

, , , ,

SSPS mit E/A-

Baugruppen

Aktorteilsystem

1oo1

LogikteilsystemSensorteilsystem

1oo1

Sensorkanal 1

SE MU MS

Sensorkanal 1


Aktorkanal 1

MVMV ATAT SGSG

Legende:

SE SensorelementMU MessumformerMS Messumformer-

speisegerätMV MagnetventilAT AntriebSG Stellglied


Ausgabe: 2016-01-18



B.3.2 Zweikanalige PLT-Sicherheitseinrichtung (1oo2)

Bild B3 - Struktur einer zweikanaligen PLT-Sicherheitseinrichtung

a) Berechnung der PFD des Sensorteilsystems PFDS (λDU-Richtwert einer Drucküberwachung, Prüfinter-

vall TI = 8760h, β = 0,05)

22 I I

S DU(P) DU(P)

2 226 6 4

2

PFD3 2

1 8760 h 1 8760 h 1 0 10 0 05 1 0 10 2 45 10

h 3 h 2

, , , ,

T T


5LPFD 1 0 10,

c) Berechnung der PFD des Aktorteilsystems PFDA (λDU-Richtwert eines Aktorkanals, Prüfintervall TI =

8760h, β = 0,05)

22 I I

A DU DU

2 227 7 5

2

PFD3 2

1 8760 h 1 8760 h 4 0 10 0 05 4 0 10 9 17 10

h 3 h 2

, , , ,

T T


einrichtung

SIF S L A

4 5 5 4

PFD PFD PFD PFD

2 45 10 1 0 10 9 17 10 3 47 10

, , , ,

B.3.3 PLT-Sicherheitseinrichtung mit einer hybriden Struktur (2oo3-Sensorteilsystem und 1oo2-Aktorteilsystem)

Bild B4 - Struktur einer PLT-Sicherheitseinrichtung mit hybrider Struktur

SSPS mit E/A-

Baugruppen

Aktorteilsystem

1oo2


1oo2

Sensorkanal 1

SE MU MS

Sensorkanal 1


Sensorkanal 2

SE MU MS

Sensorkanal 2


Aktorkanal 1

MVMV ATAT SGSG

Aktorkanal 2

MVMV ATAT SGSG

Legende:



SSPS mit E/A-

Baugruppen


2oo3Sensorkanal 1



Legende:



Sensorkanal 3

Sensorkanal 2


Aktorteilsystem

1oo2

Aktorkanal 1

MVMV ATAT SGSG

Aktorkanal 2

MVMV ATAT SGSG


Ausgabe: 2016-01-18



a) Berechnung der PFD des Sensorteilsystems PFDS (λDU-Richtwert einer Drucküberwachung, Prüfinter-vall TI = 8760h, β = 0,05)

2 2 IS DU(P) I DU(P)

26 2 2 6 42

PFD2

1 1 8760 h 1 0 10 8760 h 0 05 1 0 10 2 96 10

h h 2

, , , ,

TT


5LPFD 1 0 10,

c) Die PFD eines 1oo2-Aktorteilsystems PFDA (λDU-Richtwert eines Aktorkanals, Prüfintervall TI = 8760h,

β = 0,05) wurde bereits unter B.3.2 berechnet.

5APFD 9 17 10 ,


einrichtung

SIF S L A

4 5 5 4

PFD PFD PFD PFD

2 96 10 1 0 10 9 17 10 3 98 10

, , , ,


Ausgabe: 2016-01-18



PFD calculation B.3

The following calculations are based on the simplified procedure described in VDI/VDE 2180 Part 4. As an example, PFD values from Table B2 are determined for selected structures for a pressure limitation safety function. The reference values illustrated in Fig. B1 provide as a basis. Calculations for all other combinations from Tables B2 to B4 are realised in the same manner.

B.3.1 Single-channel safety instrumented function (1oo1)

Figure B2 - Structure of a single-channel safety instrumented function

a) Calculation of PFD of sensor sub-system PFDS (λDU reference value of a pressure monitor, test

interval TI = 8760h)

IS DU (P)

6 3

PFD21 8760 h

1 0 10 4 38 10h 2

, ,

T

b) Inquiry of PFD of logic sub-system PFDL according to the manufacturer, e.g.

5LPFD 1 0 10,

c) Calculation of PFD of actuator sub-system PFDA (λDU reference value of an actuator channel from Fig.

B1, test interval TI = 8760h)

IA DU

7 3

PFD2

1 8760 h 4 0 10 1 75 10

h 2

, ,

T

d) Addition of PFD values of sensor, logic and actuator sub-system for the overall PFD of the safety

device

SIF S L A

3 5 3 3

PFD PFD PFD PFD

4 38 10 1 0 10 1 75 10 6 14 10

, , , ,


Ausgabe: 2016-01-18



B.3.2 Dual-channel safety instrumented function (1oo2)

Figure B3 - Structure of a dual-channel safety instrumented system

a) Calculation of PFD of sensor sub-system PFDS (λDU reference value of a pressure monitor, test

interval TI = 8760h, β = 0,05)

22 I I

S DU(P) DU(P)

2 226 6 4

2

PFD3 2

1 8760 h 1 8760 h 1 0 10 0 05 1 0 10 2 45 10

h 3 h 2

, , , ,

T T


5LPFD 1 0 10,

c) Calculation of PFD of actuator sub-system PFDA (λDU reference value of an actuator channel, test

interval TI = 8760h, β = 0,05)

22 I I

A DU DU

2 227 7 5

2

PFD3 2

1 8760 h 1 8760 h 4 0 10 0 05 4 0 10 9 17 10

h 3 h 2

, , , ,

T T


device

SIF S L A

4 5 5 4

PFD PFD PFD PFD

2 45 10 1 0 10 9 17 10 3 47 10

, , , ,

B.3.3 Safety instrumented function with a hybrid structure (2oo3 sensor sub-system and 1oo2 actuator sub-system)

Figure B4 - Structure of a safety instrumented function with hybrid structure

2oo3

SE MU MS SESE MU MU MS MS


Legend :

SE Sensor elementMU Measurement transducerMS Measurement transducer

Power unit

MV Solenoid valvelAT Drive SG Actuator


1oo2

MVMV ATAT SGSG

MVMV ATAT SGSG

Sensor channel 2

Sensor channel 3

Sensor sub-system Sensor sub-system Actuator sub-system

Safety-related PLC with I/O modules


Ausgabe: 2016-01-18



a) Calculation of PFD of sensor sub-system PFDS (λDU reference value of a pressure monitor, test interval TI = 8760h, β = 0,05)

2 2 IS DU(P) I DU(P)

26 2 2 6 42

PFD2

1 1 8760 h 1 0 10 8760 h 0 05 1 0 10 2 96 10

h h 2

, , , ,

TT


5LPFD 1 0 10,

c) The PFD of a 1oo2 actuator sub-system PFDA (λDU reference value of an actuator channel, test

interval TI = 8760h, β = 0,05) was already calculated in B.3.2 .

5APFD 9 17 10 ,


device

SIF S L A

4 5 5 4

PFD PFD PFD PFD

2 96 10 1 0 10 9 17 10 3 98 10

, , , ,

reliability of sis based - atpinfo.de · cult to provide statements due to the smallness of ......

Documents