Transcript Slide 1 - NO
Slide 1
1
IEC 61511
– en oversikt over endringer fra IEC
61508 som kan få betydning
Mary Ann Lundteigen
NTNU
Medlem av IEC 61511 komiteen
PDS
PDSforum
forum– –26.
26.okotober
oktober 2010
Slide 2
2
Innhold
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
• IEC 61508 og relaterte standarder
• IEC 61511 – tidsskjema
• Et utvalg av endringer i:
–
–
–
–
Del 1
Del 2
Del 4
Del 6
Unntak: Jeg dekker ikke endringer i del 3 og del 5.
Konklusjon
PDS forum – 26. oktober 2010
Slide 3
3
IEC 61508 og relaterte standarder
Agenda
IEC 61508
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
IEC 61511
IEC 62061
(Prosessindustri (Maskineri)
inkl. O&G)
IEC 61513
ISO 26262
(Kjernekraft)
(Bil)
IEC 62425
IEC 62269
(Jernbane)
PDS forum – 26. oktober 2010
Slide 4
4
Endringer i IEC 61511 – hva kan vi vente
Nasjonale kommentarer
Hvilke endringer
er relevante for
IEC 61511?
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
IEC 61508
(ed 2)
IEC 61511
( under revision)
Konklusjon
PDS forum – 26. oktober 2010
Slide 5
5
Jan Ståle Austbø (Statoil),
Cato Bratt (ABB),
Mary Ann Lundteigen (NTNU)
Tidsplan
Agenda
IEC 61511 (Draft)
(2011 eller 2012?)
IEC 61511 (ed 1)
(2003)
Generelt
Endringer
2000
2010
2020
Del 1
Del 2
Ed 2(2004)
Ed 1(2001)
Del 4
Del 6
Konklusjon
IEC 61508 (ed1)
(1998-2000)
OLF 070
IEC 61508 (ed2)
(2010)
Mats Gunnmarker (Exida)
PDS forum – 26. oktober 2010
Slide 6
6
Endringer IEC 61508 – i korthet
Agenda
Generelt
Endringer
Del 1
Tema
Endring
Del
Safety lifecycle
En ny fase introdusert
1
Feil-klassifisering
To nye feiltyper introdusert
• “No part” og “no effect”
2
Krav-spesifikasjon Tydeligere skille mellom SIS SRS og SIS design
SRS
1,2
SIL 4
Døren til SIL 4 åpnes på gløtt…
1
Hardware design
• Egne krav til ASIC design
• Ny “vei” til architectural constraints
• Systematic capability – et nytt begrep for
”systematic safety integrity”
• Må lage safety manual
(1), 2
Ref AC
Ref SC
Ledelse/
management
Krav til grad av uavhengighet er “normativt”
1
Pålitelighetsanalyse
Ønske om bruk av mer “avanserte metoder”.
Mer fokus på usikkerhetsvurdering.
CMooN introdusert .
6
Del 2
Del 4
Del 6
Konklusjon
Ref SM
PDS forum – 26. oktober 2010
Slide 7
7
IEC 61511 – status endringer
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Generelt:
• Møysommelig
implementering av
nasjonale kommentarer
HFT/AC:
• Rute 2H velges som
utgangspunkt
• Samme klassifisering (A
og B) som i IEC 61508
Programvare:
• Hele seksjon 12 er under
omskriving
Safety manual for ”prior
use”:
• Klargjøring
• Diskusjoner om hva dette
skal være – leverandørens
del versus brukerens
ansvar for ”deklarasjon”
PDS forum – 26. oktober 2010
Slide 8
8
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 9
9
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 10
10
Endring i SIS
safety lifecycle
Agenda
Fase 9 splittet i to deler
Forenklet
begrepsbruk
(Tidligere fase 10
og 11 er blitt ny
fase 11)
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 11
11
Kravspesifikasjoner – i tre ”nivåer” (Ed 2)
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Documentation of
allocation Overordnede krav
til alle sikkerhetsfunksjoner .
Begrunnelse for allokering.
E/E/PE system SRS:
Prosessingeniørens krav” til SIS
funksjoner (responstid, SIL krav,
safe state, mode of operation,
etc)
Del 6
Konklusjon
SIS design requirements
specification:
SIS designerens design krav for
SIS
PDS forum – 26. oktober 2010
Slide 12
12
Kravspesifikasjoner – i tre ”nivåer” (Ed 2)
Agenda
Generelt
Endringer
Del 1
Del 2
Documentation of
allocation:
Krav i kapittel 7.6 I del
1.
E/E/PE system SRS:
Krav til innhold står i
kapittel 7.10 i del 1.
Del 4
Del 6
Konklusjon
SIS design requirements
specification:
Krav til innhold står i
kapittel 7.2 i del 2.
PDS forum – 26. oktober 2010
Slide 13
13
”SIL 4 diskusjonen”
Agenda
“SIL 4 krav er et resultat
av dårlig design”
Tradisjonelt vært prosess
Industriens standpunkt
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
“SIL 4 systemer er et
naturlig resultat av stadig
mer pålitelig teknologi”
Jernbane stiller SIL 4
krav til sine systemer – og
kravene bygger på
analyser av eksisterende
signalanlegg
PDS forum – 26. oktober 2010
Slide 14
14
”SIL 4 diskusjonen”
Agenda
Generelt
Endringer
Del 1
Er det å tro at vi kan bygge
og ikke minst drifte SIL 4
funksjoner det samme som
å tro på julenissen?
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 15
15
SIL 4 – kravene har i alle fall endret seg…
Agenda
Generelt
Endringer
IEC 61508 (ed 1):
• Krav til (betydelig)
operasjonell erfaring
med utstyret som skal
inngå i SIL 4 funksjoner
Del 1
Del 2
Del 4
Del 6
•Analyser og tester må
vise at SIL 4 kravet kan
oppfylles
IEC 61508 (ed 2):
• Er SIL 4 virkelig nødvendig?
– mulig å allokere SIL 4 kravet til
flere systemer?
• Hvis SIL 4 krav allikevel stilles
til enkeltsystemer:
– Tilleggsanalyser for å sikre
uavhengighet fra andre
systemer (CCF analyse)
Konklusjon
PDS forum – 26. oktober 2010
Slide 16
16
Kompetanse – blitt mer eksplisitte krav
Agenda
Generelt
IEC 61508 (ed 1):
• Annex B som dekket
krav til kompetanse var
”informativt”
IEC 61508 (ed 2):
• Tilsvarende krav er tatt i i
seksjon 6 ”Management of
functional safety”
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 17
17
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 2
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 18
18
Feil og feilklassifisering
Ed 1
Agenda
Sikre (safe/S)
Generelt
Del 2
Del 4
Del 6
Konklusjon
Ed 2
No part
No effect
Endringer
Del 1
Sikre (S*)
Farlige detektert (DD)
Feil
Farlige
(Dangerous/D)
Farlige udetektert (DU)
No effect failure:
failure of an element that plays a part in implementing the safety
function but has no direct effect on the safety function.
No part failure:
failure of a component that plays no part in implementing the safety
function.
PDS forum – 26. oktober 2010
Slide 19
19
Feil og feilklassifisering
Ed 1
Agenda
Sikre (safe/S)
Generelt
Del 2
Ed 2
No part
No effect
Endringer
Del 1
Sikre (S*)
Farlige detektert (DD)
Feil
Farlige
(Dangerous/D)
Farlige udetektert (DU)
Del 4
Del 6
Konklusjon
Kommentar:
No part + No effect feil tilsvarer det vi kaller ”non-critical” feil
i PDS metoden
PDS forum – 26. oktober 2010
Slide 20
20
Endringen i feil og feilklassifisering betyr…
Agenda
… at No part og No effect ikke skal tas med i safe
failure fraction (SFF) – se anneks C.1.
Generelt
Endringer
Del 1
S FF
" S ikre" feilrater
"T otal" feilrate
D D + S*
D U D D + S*
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 21
21
Feil og feilklassifisering
Agenda
Generelt
Kommet inn en presisering om hva som kan
regnes som en DD feil i beregning av SFF.
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
τDT + Repair time ≤ MTTR (i beregning)
PDS forum – 26. oktober 2010
Slide 22
22
Endringen i feil og feilklassifisering betyr…
Agenda
Generelt
… at partial stroke testing ikke kan brukes til
å forbedre SFF…
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 23
23
Hardware fault tolerance (HFT)
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Mange har satt spørsmålstegn ved behovet
for arkitekturbegrensninger (”architectural
constraints” /minimum HFT)
• I all fall i forhold til bruken av SFF
• I ny revisjon har vi fått et kompromiss:
• Arkitekturbegrensninger påvirkes av
SFF (Rute 1H)
• Arkitekturbegrensninger påvirkes ikke
av SFF (Rute 2H)
PDS forum – 26. oktober 2010
Slide 24
24
Slik det var i ed 1…
Agenda
Sensors
Generelt
Logic solver
Actuating
devices
Endringer
Del 1
Del 2
Del 4
• A eller B?
• SFF?
• SIL krav
Del 6
Krav til
HFT
Konklusjon
*eller ”architectural constraints” (AC)
PDS forum – 26. oktober 2010
Slide 25
25
Nå i ed 2…
Agenda
Generelt
Alternativ 1 - Route 1H
Vi gjør som før…
(men husk at utstyr nå kan få
en ny beregnet SFF)
Endringer
Del 1
Alternativ 2 - Route 2H
Del 2
SIL krav
Min HFT
SIL krav
HFT
Del 4
4
2
2
0 (LD) / 1 (HD)
3
1
1
0
Del 6
Konklusjon
Betinger:
•Usikkerhet presenteres (”90% konfidens eller vise distribusjon”)
•Mengde og relevans av pålitelighetsdata vurderes
•SFF i alle fall er > 60%
PDS forum – 26. oktober 2010
Slide 26
26
Systematic safety integrity
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Krav til systematic safety integrity (i ed 1)
hindret i prinsippet bruk av, for eksempel, SIL
2 komponenter i SIL 3 funksjoner.
• I ed 2 er systematic capability (SC) blitt
introdusert
• SC bestemmes på komponentnivå (4
nivåer som for SIL)
• Under gitte betingelser kan komponentene
– når de sammenstilles – oppnå en høyere
SC
PDS forum – 26. oktober 2010
Slide 27
27
Slik var det i ed 1 …
Agenda
SIL1
•Subsystem vurdert til Hardware SIL 2 ut
fra HFT/AC
SIL1
•Subsystem vurdert til systematic safety
integrity level 1
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Systematic safety integrity level (komponentnivå) :
Alternativ 1:
• Følge krav for “control and avoidance of systematic failures” – noen
”SIL-avhengig”, mens andre er generelle
Alternativ 2:
• Dokumentere “proven in use”, inkludert det å sannsynliggjøre at
systematiske feil vil ha neglisjerbart bidrag (i forhold til SIL krav).
PDS forum – 26. oktober 2010
Slide 28
28
Slik er det blitt i ed 2
Agenda
Generelt
SIL1
•Subsystem vurdert til Hardware SIL 2 ut
fra HFT/AC
= •Subsystem NÅ vurdert til systematic
SIL1
capability level 2
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Begrensning:
SC (subsystem) kan ikke bli høyere enn SC
N+1
Systematic capability (komponentnivå):
Alternativ 1S : Tilsvarende alternativ 1 i ed 1
Alternativ 2S : Tilsvarende alternativ 2 i ed 1 (med noen endringer)
Alternativ 3S : Ny: Hvis gjenbruk av software – må oppfylle egne 3S
krav i IEC 61508-3
PDS forum – 26. oktober 2010
Slide 29
29
Kommentar – HFT/SC inkonsistens?
1oo3
Agenda
SIL2
N = HFT (= 2 i figuren)
Generelt
SIL1
Endringer
Del 1
SIL1
Her kan systemet betraktes
som SIL 4 (ut fra ”AC”)
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 30
30
Kommentar – HFT/SC inkonsistens?
1oo3
Agenda
SC2
Generelt
SC1
Endringer
Del 1
N er her SC level
Her kan systemet betraktes
som SIL 2 (basert på SC)
SC1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 31
31
Andre endringer
– Safety manual må utarbeides
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
osv…
Ligner litt på det som kalles ”SAR” I OLF 070
PDS forum – 26. oktober 2010
Slide 32
32
Andre endringer
– Safety manual må utarbeides
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 33
33
Andre endringer
– Krav til ”Proven in use”
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
IEC 61508 (ed 1):
IEC 61508 (ed2):
•En liste av krav som •Omtrent samme
skal oppfylles
kravlisten
• Men krav til konfidens
•Feilraten skal ha en 70% er tatt ut her
konfidens på minst (i stedet nevnt i 7.4.9.5,
70%
del 2)
(70% confidens: Minst 70%
sannsynlighet for at feilraten er
mindre enn den det som er
estimert)
PDS forum – 26. oktober 2010
Slide 34
34
Agenda
Andre endringer
– hvordan kommunikasjon skal inngå i
pålitelighetsvurderinger
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 35
35
Andre endringer: Integrated circuits (IC)
Agenda
To typer:
Masseproduserte
Applikasjonsspesifikke (ASIC)
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
”On-chip redundancy”
•Krav for hvordan dette
oppnås innenfor samme
kort opp til SIL 3 (annex E)
•Merk:
– Egen metode for å
bestemme
fellesfeilandel (βIC)
Application specific IC (ASIC)
• Egne krav for å hindre
systematiske feil under
utvikling
(annex F)
PDS forum – 26. oktober 2010
Slide 36
36
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 4
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 37
37
Endringer definisjoner og fortolkninger
• Dangerous /safe failures:
Agenda
Generelt
– Tydeliggjort at klassifisering av farlige og sikre
feil skjer på komponentnivå.
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
• Mode of operation:
– Skilles mellom high demand, continuous demand
og low demand.
– Dette med ”2xtest frekvens” er fjernet
• PFD og PFH:
– Definisjon tatt inn. PFH er en frekvens!
PDS forum – 26. oktober 2010
Slide 38
38
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 6
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 39
39
Beregning av PFD (IEC 61508-6)
Agenda
Generelt
Endringer
IEC 61508 (ed 1)
Nytt i IEC 61508 (ed 2)
Tilnærmingsformler
Tilnærmingsformler ”λτ/2 ”–
”λτ/2 ”– uten hensyn til hensyn til votering ved fellesfeil.
votering ved fellesfeil
CMooN introdusert.
Del 1
Del 2
Feiltre –PFD som funksjon av tid.
% over og under PFDavg
Del 4
Del 6
Konklusjon
• ”Dynamiske” analyser Multifase Markov og Petri Nets
PDS forum – 26. oktober 2010
Slide 40
40
CMooN i IEC 61508
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
•Litt andre verdier enn i PDS
•Ikke tatt inn i formelverk
PDS forum – 26. oktober 2010
Slide 41
41
Feiltreanalyse i
IEC 61508
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 42
42
Agenda
Dynamiske
analyser i IEC
61508
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 43
43
Hva betyr dette for oss? Og PDS
metoden?
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
λτ/2
eller
Konklusjon
PDS forum – 26. oktober 2010
Slide 44
44
Hva betyr dette for oss? Og PDS
metoden?
Agenda
Generelt
Endringer
Del 1
Blir nok viktigere
fremover å si noe
om usikkerhet i
analysen!
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 45
45
Konklusjoner – IEC 61508 og IEC 61511
Agenda
• IEC 61508 har fått en mer rendyrket profil som en
”utviklingsstandard” for nytt utstyr
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
• Skillet mellom IEC 61511 vil dermed fremstå
klarere
• Endringer i IEC 61508 vil gi behov for noen
oppdateringer i OLF 070 – og kanskje mer utvikling
av PDS metoden?
• Men når skal vi gjøre det? Vente på IEC 61511?
PDS forum – 26. oktober 2010
Slide 46
46
Konklusjoner – fremdrift IEC 61511
Agenda
Generelt
Endringer
• Neste møte i desember 2010
• Dato for CDV bestemmes da
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 47
47
Min mailadresse:
ROSS Geminisenter
www.ntnu.edu/ross
[email protected]
Min hjemmeside:
www.ntnu.edu/ross/rams/m
aryann
PDS forum – 26. oktober 2010
Slide 48
48
Forkortelser
β
Beta factor. Andel av
feilrate som er fellesfeil
CMooN
Korreksjonsfaktor for
fellesfeil ved andre
voteringer enn 1oo2
λ
Symbol brukt for feilrate
τ
Symbol brukt for
funksjonstestintervall
Safety integrity level
DD
Dangerous detected
SRS
Safety requirement specification
DU
Dangerous undetected
SC
Systematic capability
S
Safe
HFT
Hardware fault tolerance
OLF
Oljeindustriens landsforbund
PDS
Pålitelighet av databaserte styringssystemer
PFD
Probability of failure on demand
SAR
Safety analysis report
SFF
Safe failure fraction
SIL
PDS forum – 26. oktober 2010
1
IEC 61511
– en oversikt over endringer fra IEC
61508 som kan få betydning
Mary Ann Lundteigen
NTNU
Medlem av IEC 61511 komiteen
PDS
PDSforum
forum– –26.
26.okotober
oktober 2010
Slide 2
2
Innhold
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
• IEC 61508 og relaterte standarder
• IEC 61511 – tidsskjema
• Et utvalg av endringer i:
–
–
–
–
Del 1
Del 2
Del 4
Del 6
Unntak: Jeg dekker ikke endringer i del 3 og del 5.
Konklusjon
PDS forum – 26. oktober 2010
Slide 3
3
IEC 61508 og relaterte standarder
Agenda
IEC 61508
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
IEC 61511
IEC 62061
(Prosessindustri (Maskineri)
inkl. O&G)
IEC 61513
ISO 26262
(Kjernekraft)
(Bil)
IEC 62425
IEC 62269
(Jernbane)
PDS forum – 26. oktober 2010
Slide 4
4
Endringer i IEC 61511 – hva kan vi vente
Nasjonale kommentarer
Hvilke endringer
er relevante for
IEC 61511?
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
IEC 61508
(ed 2)
IEC 61511
( under revision)
Konklusjon
PDS forum – 26. oktober 2010
Slide 5
5
Jan Ståle Austbø (Statoil),
Cato Bratt (ABB),
Mary Ann Lundteigen (NTNU)
Tidsplan
Agenda
IEC 61511 (Draft)
(2011 eller 2012?)
IEC 61511 (ed 1)
(2003)
Generelt
Endringer
2000
2010
2020
Del 1
Del 2
Ed 2(2004)
Ed 1(2001)
Del 4
Del 6
Konklusjon
IEC 61508 (ed1)
(1998-2000)
OLF 070
IEC 61508 (ed2)
(2010)
Mats Gunnmarker (Exida)
PDS forum – 26. oktober 2010
Slide 6
6
Endringer IEC 61508 – i korthet
Agenda
Generelt
Endringer
Del 1
Tema
Endring
Del
Safety lifecycle
En ny fase introdusert
1
Feil-klassifisering
To nye feiltyper introdusert
• “No part” og “no effect”
2
Krav-spesifikasjon Tydeligere skille mellom SIS SRS og SIS design
SRS
1,2
SIL 4
Døren til SIL 4 åpnes på gløtt…
1
Hardware design
• Egne krav til ASIC design
• Ny “vei” til architectural constraints
• Systematic capability – et nytt begrep for
”systematic safety integrity”
• Må lage safety manual
(1), 2
Ref AC
Ref SC
Ledelse/
management
Krav til grad av uavhengighet er “normativt”
1
Pålitelighetsanalyse
Ønske om bruk av mer “avanserte metoder”.
Mer fokus på usikkerhetsvurdering.
CMooN introdusert .
6
Del 2
Del 4
Del 6
Konklusjon
Ref SM
PDS forum – 26. oktober 2010
Slide 7
7
IEC 61511 – status endringer
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Generelt:
• Møysommelig
implementering av
nasjonale kommentarer
HFT/AC:
• Rute 2H velges som
utgangspunkt
• Samme klassifisering (A
og B) som i IEC 61508
Programvare:
• Hele seksjon 12 er under
omskriving
Safety manual for ”prior
use”:
• Klargjøring
• Diskusjoner om hva dette
skal være – leverandørens
del versus brukerens
ansvar for ”deklarasjon”
PDS forum – 26. oktober 2010
Slide 8
8
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 9
9
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 10
10
Endring i SIS
safety lifecycle
Agenda
Fase 9 splittet i to deler
Forenklet
begrepsbruk
(Tidligere fase 10
og 11 er blitt ny
fase 11)
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 11
11
Kravspesifikasjoner – i tre ”nivåer” (Ed 2)
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Documentation of
allocation Overordnede krav
til alle sikkerhetsfunksjoner .
Begrunnelse for allokering.
E/E/PE system SRS:
Prosessingeniørens krav” til SIS
funksjoner (responstid, SIL krav,
safe state, mode of operation,
etc)
Del 6
Konklusjon
SIS design requirements
specification:
SIS designerens design krav for
SIS
PDS forum – 26. oktober 2010
Slide 12
12
Kravspesifikasjoner – i tre ”nivåer” (Ed 2)
Agenda
Generelt
Endringer
Del 1
Del 2
Documentation of
allocation:
Krav i kapittel 7.6 I del
1.
E/E/PE system SRS:
Krav til innhold står i
kapittel 7.10 i del 1.
Del 4
Del 6
Konklusjon
SIS design requirements
specification:
Krav til innhold står i
kapittel 7.2 i del 2.
PDS forum – 26. oktober 2010
Slide 13
13
”SIL 4 diskusjonen”
Agenda
“SIL 4 krav er et resultat
av dårlig design”
Tradisjonelt vært prosess
Industriens standpunkt
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
“SIL 4 systemer er et
naturlig resultat av stadig
mer pålitelig teknologi”
Jernbane stiller SIL 4
krav til sine systemer – og
kravene bygger på
analyser av eksisterende
signalanlegg
PDS forum – 26. oktober 2010
Slide 14
14
”SIL 4 diskusjonen”
Agenda
Generelt
Endringer
Del 1
Er det å tro at vi kan bygge
og ikke minst drifte SIL 4
funksjoner det samme som
å tro på julenissen?
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 15
15
SIL 4 – kravene har i alle fall endret seg…
Agenda
Generelt
Endringer
IEC 61508 (ed 1):
• Krav til (betydelig)
operasjonell erfaring
med utstyret som skal
inngå i SIL 4 funksjoner
Del 1
Del 2
Del 4
Del 6
•Analyser og tester må
vise at SIL 4 kravet kan
oppfylles
IEC 61508 (ed 2):
• Er SIL 4 virkelig nødvendig?
– mulig å allokere SIL 4 kravet til
flere systemer?
• Hvis SIL 4 krav allikevel stilles
til enkeltsystemer:
– Tilleggsanalyser for å sikre
uavhengighet fra andre
systemer (CCF analyse)
Konklusjon
PDS forum – 26. oktober 2010
Slide 16
16
Kompetanse – blitt mer eksplisitte krav
Agenda
Generelt
IEC 61508 (ed 1):
• Annex B som dekket
krav til kompetanse var
”informativt”
IEC 61508 (ed 2):
• Tilsvarende krav er tatt i i
seksjon 6 ”Management of
functional safety”
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 17
17
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 2
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 18
18
Feil og feilklassifisering
Ed 1
Agenda
Sikre (safe/S)
Generelt
Del 2
Del 4
Del 6
Konklusjon
Ed 2
No part
No effect
Endringer
Del 1
Sikre (S*)
Farlige detektert (DD)
Feil
Farlige
(Dangerous/D)
Farlige udetektert (DU)
No effect failure:
failure of an element that plays a part in implementing the safety
function but has no direct effect on the safety function.
No part failure:
failure of a component that plays no part in implementing the safety
function.
PDS forum – 26. oktober 2010
Slide 19
19
Feil og feilklassifisering
Ed 1
Agenda
Sikre (safe/S)
Generelt
Del 2
Ed 2
No part
No effect
Endringer
Del 1
Sikre (S*)
Farlige detektert (DD)
Feil
Farlige
(Dangerous/D)
Farlige udetektert (DU)
Del 4
Del 6
Konklusjon
Kommentar:
No part + No effect feil tilsvarer det vi kaller ”non-critical” feil
i PDS metoden
PDS forum – 26. oktober 2010
Slide 20
20
Endringen i feil og feilklassifisering betyr…
Agenda
… at No part og No effect ikke skal tas med i safe
failure fraction (SFF) – se anneks C.1.
Generelt
Endringer
Del 1
S FF
" S ikre" feilrater
"T otal" feilrate
D D + S*
D U D D + S*
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 21
21
Feil og feilklassifisering
Agenda
Generelt
Kommet inn en presisering om hva som kan
regnes som en DD feil i beregning av SFF.
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
τDT + Repair time ≤ MTTR (i beregning)
PDS forum – 26. oktober 2010
Slide 22
22
Endringen i feil og feilklassifisering betyr…
Agenda
Generelt
… at partial stroke testing ikke kan brukes til
å forbedre SFF…
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 23
23
Hardware fault tolerance (HFT)
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Mange har satt spørsmålstegn ved behovet
for arkitekturbegrensninger (”architectural
constraints” /minimum HFT)
• I all fall i forhold til bruken av SFF
• I ny revisjon har vi fått et kompromiss:
• Arkitekturbegrensninger påvirkes av
SFF (Rute 1H)
• Arkitekturbegrensninger påvirkes ikke
av SFF (Rute 2H)
PDS forum – 26. oktober 2010
Slide 24
24
Slik det var i ed 1…
Agenda
Sensors
Generelt
Logic solver
Actuating
devices
Endringer
Del 1
Del 2
Del 4
• A eller B?
• SFF?
• SIL krav
Del 6
Krav til
HFT
Konklusjon
*eller ”architectural constraints” (AC)
PDS forum – 26. oktober 2010
Slide 25
25
Nå i ed 2…
Agenda
Generelt
Alternativ 1 - Route 1H
Vi gjør som før…
(men husk at utstyr nå kan få
en ny beregnet SFF)
Endringer
Del 1
Alternativ 2 - Route 2H
Del 2
SIL krav
Min HFT
SIL krav
HFT
Del 4
4
2
2
0 (LD) / 1 (HD)
3
1
1
0
Del 6
Konklusjon
Betinger:
•Usikkerhet presenteres (”90% konfidens eller vise distribusjon”)
•Mengde og relevans av pålitelighetsdata vurderes
•SFF i alle fall er > 60%
PDS forum – 26. oktober 2010
Slide 26
26
Systematic safety integrity
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Krav til systematic safety integrity (i ed 1)
hindret i prinsippet bruk av, for eksempel, SIL
2 komponenter i SIL 3 funksjoner.
• I ed 2 er systematic capability (SC) blitt
introdusert
• SC bestemmes på komponentnivå (4
nivåer som for SIL)
• Under gitte betingelser kan komponentene
– når de sammenstilles – oppnå en høyere
SC
PDS forum – 26. oktober 2010
Slide 27
27
Slik var det i ed 1 …
Agenda
SIL1
•Subsystem vurdert til Hardware SIL 2 ut
fra HFT/AC
SIL1
•Subsystem vurdert til systematic safety
integrity level 1
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Systematic safety integrity level (komponentnivå) :
Alternativ 1:
• Følge krav for “control and avoidance of systematic failures” – noen
”SIL-avhengig”, mens andre er generelle
Alternativ 2:
• Dokumentere “proven in use”, inkludert det å sannsynliggjøre at
systematiske feil vil ha neglisjerbart bidrag (i forhold til SIL krav).
PDS forum – 26. oktober 2010
Slide 28
28
Slik er det blitt i ed 2
Agenda
Generelt
SIL1
•Subsystem vurdert til Hardware SIL 2 ut
fra HFT/AC
= •Subsystem NÅ vurdert til systematic
SIL1
capability level 2
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
Begrensning:
SC (subsystem) kan ikke bli høyere enn SC
N+1
Systematic capability (komponentnivå):
Alternativ 1S : Tilsvarende alternativ 1 i ed 1
Alternativ 2S : Tilsvarende alternativ 2 i ed 1 (med noen endringer)
Alternativ 3S : Ny: Hvis gjenbruk av software – må oppfylle egne 3S
krav i IEC 61508-3
PDS forum – 26. oktober 2010
Slide 29
29
Kommentar – HFT/SC inkonsistens?
1oo3
Agenda
SIL2
N = HFT (= 2 i figuren)
Generelt
SIL1
Endringer
Del 1
SIL1
Her kan systemet betraktes
som SIL 4 (ut fra ”AC”)
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 30
30
Kommentar – HFT/SC inkonsistens?
1oo3
Agenda
SC2
Generelt
SC1
Endringer
Del 1
N er her SC level
Her kan systemet betraktes
som SIL 2 (basert på SC)
SC1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 31
31
Andre endringer
– Safety manual må utarbeides
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
osv…
Ligner litt på det som kalles ”SAR” I OLF 070
PDS forum – 26. oktober 2010
Slide 32
32
Andre endringer
– Safety manual må utarbeides
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 33
33
Andre endringer
– Krav til ”Proven in use”
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
IEC 61508 (ed 1):
IEC 61508 (ed2):
•En liste av krav som •Omtrent samme
skal oppfylles
kravlisten
• Men krav til konfidens
•Feilraten skal ha en 70% er tatt ut her
konfidens på minst (i stedet nevnt i 7.4.9.5,
70%
del 2)
(70% confidens: Minst 70%
sannsynlighet for at feilraten er
mindre enn den det som er
estimert)
PDS forum – 26. oktober 2010
Slide 34
34
Agenda
Andre endringer
– hvordan kommunikasjon skal inngå i
pålitelighetsvurderinger
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 35
35
Andre endringer: Integrated circuits (IC)
Agenda
To typer:
Masseproduserte
Applikasjonsspesifikke (ASIC)
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
”On-chip redundancy”
•Krav for hvordan dette
oppnås innenfor samme
kort opp til SIL 3 (annex E)
•Merk:
– Egen metode for å
bestemme
fellesfeilandel (βIC)
Application specific IC (ASIC)
• Egne krav for å hindre
systematiske feil under
utvikling
(annex F)
PDS forum – 26. oktober 2010
Slide 36
36
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 4
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 37
37
Endringer definisjoner og fortolkninger
• Dangerous /safe failures:
Agenda
Generelt
– Tydeliggjort at klassifisering av farlige og sikre
feil skjer på komponentnivå.
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
• Mode of operation:
– Skilles mellom high demand, continuous demand
og low demand.
– Dette med ”2xtest frekvens” er fjernet
• PFD og PFH:
– Definisjon tatt inn. PFH er en frekvens!
PDS forum – 26. oktober 2010
Slide 38
38
Agenda
Generelt
Endringer
Del 1
Et utvalg av endringer i
del 6
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 39
39
Beregning av PFD (IEC 61508-6)
Agenda
Generelt
Endringer
IEC 61508 (ed 1)
Nytt i IEC 61508 (ed 2)
Tilnærmingsformler
Tilnærmingsformler ”λτ/2 ”–
”λτ/2 ”– uten hensyn til hensyn til votering ved fellesfeil.
votering ved fellesfeil
CMooN introdusert.
Del 1
Del 2
Feiltre –PFD som funksjon av tid.
% over og under PFDavg
Del 4
Del 6
Konklusjon
• ”Dynamiske” analyser Multifase Markov og Petri Nets
PDS forum – 26. oktober 2010
Slide 40
40
CMooN i IEC 61508
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
•Litt andre verdier enn i PDS
•Ikke tatt inn i formelverk
PDS forum – 26. oktober 2010
Slide 41
41
Feiltreanalyse i
IEC 61508
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 42
42
Agenda
Dynamiske
analyser i IEC
61508
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 43
43
Hva betyr dette for oss? Og PDS
metoden?
Agenda
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
λτ/2
eller
Konklusjon
PDS forum – 26. oktober 2010
Slide 44
44
Hva betyr dette for oss? Og PDS
metoden?
Agenda
Generelt
Endringer
Del 1
Blir nok viktigere
fremover å si noe
om usikkerhet i
analysen!
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 45
45
Konklusjoner – IEC 61508 og IEC 61511
Agenda
• IEC 61508 har fått en mer rendyrket profil som en
”utviklingsstandard” for nytt utstyr
Generelt
Endringer
Del 1
Del 2
Del 4
Del 6
Konklusjon
• Skillet mellom IEC 61511 vil dermed fremstå
klarere
• Endringer i IEC 61508 vil gi behov for noen
oppdateringer i OLF 070 – og kanskje mer utvikling
av PDS metoden?
• Men når skal vi gjøre det? Vente på IEC 61511?
PDS forum – 26. oktober 2010
Slide 46
46
Konklusjoner – fremdrift IEC 61511
Agenda
Generelt
Endringer
• Neste møte i desember 2010
• Dato for CDV bestemmes da
Del 1
Del 2
Del 4
Del 6
Konklusjon
PDS forum – 26. oktober 2010
Slide 47
47
Min mailadresse:
ROSS Geminisenter
www.ntnu.edu/ross
[email protected]
Min hjemmeside:
www.ntnu.edu/ross/rams/m
aryann
PDS forum – 26. oktober 2010
Slide 48
48
Forkortelser
β
Beta factor. Andel av
feilrate som er fellesfeil
CMooN
Korreksjonsfaktor for
fellesfeil ved andre
voteringer enn 1oo2
λ
Symbol brukt for feilrate
τ
Symbol brukt for
funksjonstestintervall
Safety integrity level
DD
Dangerous detected
SRS
Safety requirement specification
DU
Dangerous undetected
SC
Systematic capability
S
Safe
HFT
Hardware fault tolerance
OLF
Oljeindustriens landsforbund
PDS
Pålitelighet av databaserte styringssystemer
PFD
Probability of failure on demand
SAR
Safety analysis report
SFF
Safe failure fraction
SIL
PDS forum – 26. oktober 2010