この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
6 モデリングと計算の概要
6.1 「オンデマンド」モードまたは「連続」モードで動作する安全システムに関する一般事項
安全システムは、別のシステム (保護対象システム) を事件や事故から保護する保護システムです。保護と保護されるシステムが完全に分離されていない場合は、それらを全体として一緒に分析することが重要です。保護されたシステムは、「Equipment Under Control」(EUC) と呼ばれることもあります (例: IEC 61508 [ 2] )
安全システムが保護対象システムを保護する方法に関しては、一般に 2 つの異なる動作モードが考慮されます。
- • デマンド動作モード : 安全システムは、危険なイベントにより、保護されるシステムの特定の物理パラメータが事前に設定されたしきい値を超えた場合に、ランダムに発生するデマンドを待つのにほとんどの時間を費やします。事後安全システム (治療安全システムとも呼ばれる) は、オンデマンド動作モードで動作します。
- • 連続動作モード: 安全システムに障害が発生するとすぐに、保護されたシステムで危険なイベントが発生します。予防安全システムは連続動作モードで動作しています。
上流の圧力が所定の閾値を超えたときにバルブを閉じて下流のパイプを保護する過圧保護システムを考えてみましょう。通常の動作中、上流の圧力はプロセス動作に応じて変動し、危険な事象(過圧など)が発生する可能性があるため、安全システムは事前に設定された圧力になるとすぐにパイプを遮断する(たとえばシャットダウンバルブを閉じるなど)準備を整えておく必要があります。閾値に達しました。保護されたシステムが危険ゾーンに入る直前に安全動作を実行します。これは、オンデマンド動作モードで動作する典型的な反応型安全システムです。
過圧保護システムが SDV を閉じることによって要求に反応した後、動的な圧力降下が減少し、圧力源とパイプの間で閉じられたバルブの上流で圧力が増加します。しばらくすると、この圧力が下流配管の圧力強度を超える可能性があり、このバルブが誤って開くと危険な状況が発生する可能性があります。誤って開いた場合のパイプの加圧速度が原因で、反応システムでは過圧が発生する前に別のバルブを閉じるのに十分な速度が得られない可能性があります。その場合、バルブが誤って再び開くのを防ぐために、別の安全システムが必要になります。その安全動作は、圧力が安全値を下回るまでバルブを閉位置に継続的に維持することです。これは、連続動作モードで動作する典型的な予防安全システムです。
事後安全システムは一般的に使用されていますが、予防安全システムは石油およびガス産業で導入され始めたばかりです。
図 10 —究極のオンデマンド モード安全システムの広範なモデル
図 10 に示すように、デマンド モードで動作している安全システムは、デマンドが発生する前に故障し、危険なイベントが発生している間に修復されていない可能性があります。危険な事象を防ぐために重要なことは、需要が発生したときに作動できるように準備を整えておくことです。以前に故障していても、その間に修復されていれば問題ありません。したがって、「可用性」(定義 3.1.11, 3.1.12, 3.1.13 を参照)は、そのような安全システムを特徴付ける適切な確率的パラメータです。要求が発生したときに安全システムが利用できず、他の成功した安全システムが応答できない場合、危険なイベントが発生します。
図 11 —非アルティメット オンデマンド モード安全システムの広範なモデル
複数の安全システムがある場合 (3.3.3 を参照)、別の成功した安全システムが応答できる場合があります。この場合、この安全システムに対して新しい要求が生成され、図 11 に示すように最初の要求が復元される可能性があります。この場合、上記の式は、成功した安全システムの要求周波数を示します。付録 F では、複数の安全システムがより詳細に分析されます。
連続モードで動作する安全システムは、使用している限り (たとえば、圧力が安全しきい値を下回っていない限り) 故障することは許されません。つまり、「信頼性」 (定義 3.1.8 および 3.1 を参照) .9) は、そのような安全システムを特徴付けるのに適切な確率パラメータです。
図 12 —究極の連続モード安全システムの広範なモデル
別の成功した安全システムが応答できる場合、このシステムに対して要求が生成され、図 13 に示すように最初の安全システムが復元されます。この場合、上記の式は成功した安全システムの要求頻度を示します。したがって、次のようになります。オンデマンドモードで動作します。複数の安全システムについては、付録 F で詳しく分析されています。
図 13 —非究極連続モード安全システムの広範なモデル
いずれの場合でも目的が同じ (つまり、危険なイベントの頻度を決定する) 場合でも、図 11 から図 13 は、信頼性のモデリングと計算が関連する安全システムのタイプに依存することを示しています。連続モードで動作する安全システムの信頼性の低さまたは故障頻度。
図 14 —擬似障害の広範なモデル
それにもかかわらず、要求頻度が高い場合、動作システムの要求モードは動作安全システムの連続モードとして考慮され、モデル化されます。この近似は保守的です。
オンデマンド動作モードと連続モードの安全システムの両方で、安全動作が誤ってトリガーされる可能性があり (例、誤ったシャットダウン)、図 14 は、あらゆる種類の安全システムの誤った故障の広範なモデルを提供します。図 12 と図 14 の類似点は、擬似故障頻度を評価するために行われた確率計算が、非究極連続モード安全システムの場合の危険事象頻度を評価するために行われた計算と類似していることを示唆しています。
これらの広範なモデルからのさらなる発展は、付録 D, 付録 E, および付録 F で提供されます。
注記非励磁トリップの設計では、誤った動作を引き起こす可能性のあるすべての故障を考慮する必要があります (5.3 を参照)これは、危険な故障解析で考慮されたコンポーネント以外のコンポーネントも考慮する必要があることを意味している可能性があります。
6.2 分析的アプローチ
6.2.1 基本モデル(信頼性ブロック図)
基本的に、個別の安全システムは 3 つの機能を実行します。
- 1)物理パラメータが所定の閾値を超えたことの検出。
- 2)安全措置を発動する決定。
- 3)安全措置の実施。
これら 3 つの機能は、単一のコンポーネント (リリーフバルブなど) にまとめることも、複数のコンポーネント (安全計装システムなど) に分割することもできます。図 15 は、いわゆるブロック図の個別のブロックとして表される、センサー (S)、ロジック ソルバー (LS)、および最終要素 (V) で構成される安全計装システムのアーキテクチャの原型を表しています。
図 15 —基本的な安全計装システム/機能
このようなブロック図は、実際には「信頼性ブロック図」(RBD) [ 4] でありwhere 各ブロックには 2 つの状態 (たとえば、「OK」と「OK」ではない、またはここで示す「KO」) しかありません。 RBD はシンプルで広く使用されており (ただし、マルチステート フロー ネットワークと混同しないでください)、モデリングの基本を紹介するのに役立ちます。正式には、それらは以下で分析される「ブール」モデルに属します (条項 8 を参照)たとえ RBD が安全システムの実際の物理アーキテクチャに近いとしても、それは検討中の安全システムの機能と機能不全を可能な限り表現することを目的とした抽象モデルです。
図 15 では 3 つのブロックが直列になっており、いずれかのブロックの故障は安全機能の故障を意味します。 3 つのブロックからなるこの基本アーキテクチャは、多くの場合、より高度な安全システムのために保存されます (たとえば、図 16 および図 17)機能安全規格 (IEC 61508 [ 2] など) では、これらのブロックはいわゆる「サブシステム」と呼ばれます。
図 16 —冗長コンポーネントを備えた安全計装システムのモデル - 例 1
図 16 は、危険な故障の可能性を減らすためにすべてのコンポーネントが冗長化されてwhere 安全システムを表しています。冗長コンポーネントは RBD 上で並列に表現されます。
図 17 —冗長コンポーネントを備えた安全計装システムのモデル - 例 2
図 17 はwhere センサーによる危険な故障の確率と偽の故障の確率の両方を減らすために、ロジック ソルバー内で実行される 2oo3 投票ロジックを通じて 3 つの冗長センサーが使用される安全システムを表しています。
それにもかかわらず、すべての安全システムが必ずしも 3 つの部分 (安全弁など) に分割されているわけではなく、特定のニーズに応じて他のアーキテクチャを使用することもできます。たとえば、図 18 は、2 つのロジック ソルバーが 3 つのセンサーのうち 2 つだけから入力を取得するためwhere 直列の 3 つの完全に別個の部品を識別できないアーキテクチャを提案しています。
図 18 —冗長コンポーネントを備えた安全計装システムのモデル - 例 3
6.2.2 定性分析(ミニマルカットセット)
RBD は、最も複雑なアーキテクチャを表現できる柔軟性を備えているだけでなく、モデル化された安全システムの故障シナリオを特定することもできます。この目的のためには、RBD を電気回路として考えるだけで「十分」です。回路全体を切断するにはwhere 「切断」する必要があるかを分析します。各障害シナリオは、それを構成するすべての障害がシステム障害を引き起こすのに必要かつ十分である場合に「最小」であると言われる「カットセット」になります。
たとえば、図 15 の最小カット セットは単純に{S}、{LS}、{V} です。 where S 、 LS 、 V 関連するブロック (コンポーネント) のイベント「障害」を表します。同様に:
- •図 16 の最小カット セットは、 {S1 、 S 2}、{LS1 、 LS2}、{V1 、 V 2} です。
- ・図17の最小カットセットは、{S1、S 、}、{S1、S3}、{S2、S3}、{LS}、{V1、V }である。
- •図 18 の最小カット セットは、{S1,S2,S3}、{S1, S 2,LS2}、{S2,S3,LS1}、{LS1 , LS2}、{ V1、V2}。
最小限のカット セットのリストはアーキテクチャと密接な関係があります。これは体系的な表現です。
この例では、{S1 、 S 2}、{S1 、 LS2} ...が二重障害である場合、{S}、{LS}、{V} は単一障害であり、{S1、S2、S3}、{S1、S2、LS2} ...は三重失敗です。より複雑なシステム (複数の安全システムなど) では、他の複数の故障が特定される場合があります。通常、単一の障害は二重の障害よりも発生する可能性が高く、二重の障害は一般的に三重の障害よりも発生する可能性が高いため、最小カット セットの分析は、研究対象のシステムの弱点を定性的な観点から特定するための非常に効果的な方法となります。: 図 17 の単一故障{LS}は、たとえば、弱点候補です。時間とお金を無駄にしないためには、{V1 、 V 2} or{S1 、 S 2 、 S 3} を調べる前に、まず{LS}を分析し、場合によってはそれを改善することが賢明です。
弱点の改善の決定は、以下に基づいて行うことができます。
- •アーキテクチャ上の定性的制約 (単一障害基準、最小限の冗長性、またはハードウェアのフォールト トレランスなど)
- •定量的な確率的制約 (危険な事象の確率や頻度など)
6.2.3 近似確率計算に関する基本的な考慮事項
最小カット セットが特定されると、連続して配置された最小カット セットから形成される RBD によって安全システムをモデル化できます。たとえば、図 18 の RBD は、図 19 の同等の RBD で置き換えることができます。違いは、特定のブロック (たとえば、S1) が複数の最小カット セットに属する場合、複数回表現される可能性があることです。
シナリオの確率の合計、つまり個別に計算された最小カット セット (図 19 の点線のボックス内) の確率の合計は、安全システムの全体的な故障確率の上限を提供します。低い (通常、安全システムの場合) この上限は正確な結果に非常に近いため、良好な保守的な近似が得られます (K.1 のシルベスター ポアンカレの公式を参照)
図 19 —例 n°3 の最小カットセット表現
簡素化された計算を開発するには、次のアプローチを実装できます。
- 1)安全システムをモデル化します (例: RBD を使用)
- 2)障害シナリオを特定します (例: 最小限のカットセット)
- 3)各最小カットセットの関連確率を計算する。
- 4)ステップ 3 で取得した確率を加算します (保守的な推定)
特に、これを使用して、安全システム全体の信頼性、非利用性、平均非利用性 (すなわち PFD avg )、または危険事象の確率または平均頻度 (すなわち PFH) を計算できます。
これは、この技術レポートで説明されているアプローチのいずれかを使用して実装できます。それにもかかわらず、式分析を使用すると、単一故障、二重故障、三重故障などに対する個別の式の確立に問題が軽減されるため、特に興味深いです。
参考文献
| 1 | INNAL, F.、安全計装システムのモデリングとその性能の評価への貢献 IEC 61508 規格の重要な分析。物理工学系博士課程の論文。ボルドー大学、2008 年 |
| 2 | IEC 61508 版 2, 電気/電子/プログラマブル電子 (E/E/PE) 安全関連システムの機能安全、Part 1-7 |
| 3 | IEC 61511 ed. 2, 機能安全 — プロセス産業部門向けの安全計装システム、Part 1- (公開予定) |
| 4 | IEC 61078, 信頼性の分析手法 - 信頼性ブロック図とブール手法 |
| 5 | IEC 61025, フォールトツリー解析 (FTA) |
| 6 | IEC 61165, マルコフ手法の応用 |
| 7 | IEC 62551 ed. 1, 信頼性のための分析技術 — ペトリネット技術 |
| 8 | IEC 62502 ed. 1, ディペンダビリティのための分析手法 - イベント ツリー分析 |
| 9 | 化学プロセス安全性/ AICHE (米国化学工学会) 、保護層分析: 簡易プロセス リスク評価にアクセスしてください。ワイリー、2001 年 |
| 10 | RISO-M-1374, 原因結果図。 1971年 |
| 11 | POINT, G.、アルタリカ: 正式な手法と運用上の安全性の統一への貢献。博士論文、ボルドー大学 2000 年 1 月 |
| 12 | ARNOLD, A, POINT, G. ら、同時システムを記述するための AltaRica 形式主義、Fundamenta informaticae 34. IOS Press, 2000 |
| 13 | 安全計装システムの信頼性予測手法- PDS 手法ハンドブック、ISBN 978-82-14-05524-5, SINTEF A2388 2013年 |
| 14 | IEC 60500‑191 ed 2, 国際電気技術用語集 - Part 191: 信頼性。 (公開予定) |
| 15 | ISO 14224 ed.2, 石油、石油化学およびガス産業 — 機器の信頼性および保守データの収集および交換 |
| 16 | ISO 20815, 石油、石油化学および天然ガス産業 - 生産保証および信頼性管理 |
| 17 | IEC 60300‑3‑2, ディペンダビリティ管理 — Part 3-2: アプリケーション Guide — 現場からのディペンダビリティ データの収集 |
| 18 | 安全計装システムの信頼性データ- PDS データ ハンドブック、ISBN 978-82-14-05523-8, SINTEF A2388 2013年 |
| 19 | OREDA ® 、第 5 版、オフショア信頼性データ ハンドブック、第 1 巻 - トップサイド機器、ボリューム 2 - 海底機器。 2009年 |
| 20 | 熊本、H & HENLEY, EJ, エンジニアと科学者のための確率論的リスク評価と管理。 IEEE プレス、1996 年 |
| 21 | ATWOOD, CL, 二項故障率共通原因モデル。テクノメトリクス。 1986, 28 (2) pp. 139-148 |
| 22 | RAUSAND, M. & HOYLAND, A.、システム信頼性理論/モデル、統計的手法と応用。確率と統計の Wiley シリーズ、2004 年 |
| 23 | COCOZZA-THIVENT, C.、Processus stochastics et fiabilité des système数学と応用のコレクション。スプリンガー、1997 年 |
| 24 | SIGNORET, j.-P.、動的システムのリスクの分析: マルコフへのアプローチ。エンジニアリング技術 SE 4071. 2005 |
| 25 | SIGNORET, j.-P.、動的システムのリスクの分析: Réseaux de Petri 。エンジニアリング技術 SE 4073. 2008 |
| 26 | van NOORTWIJK, JM, 他、メンテナンス最適化における専門家の判断。 IEEE トランス。 1992, 41 (3) |
| 27 | COOKE, RM, 不確実性の専門家: 科学における専門家の意見と主観的確率。オックスフォード大学出版局、1992 年 |
| 28 | ISO 31000, リスク管理 - 原則とガイドライン |
| 29 | ISO 17776, 石油および天然ガス産業 - 海洋生産施設 - 危険の特定とリスク評価のためのツールと技術に関するガイドライン |
| 30 | ISO 13702, 石油および天然ガス産業 — 海洋生産施設での火災および爆発の制御と軽減 — 要件およびガイドライン |
| 31 | ISO 23251, 石油、石油化学および天然ガス産業 - 減圧および減圧システム |
| 32 | API STD 521 ed5, 減圧および減圧システムのガイド: 石油石油化学および天然ガス産業 - 減圧および減圧システム、2008 |
| 33 | ISO 10418, 石油および天然ガス産業 — 海洋生産設備 — 基本的な地上プロセス安全システム |
| 34 | ISO 14723, 石油および天然ガス産業 — パイプライン輸送システム — 海底パイプラインバルブ |
| 35 | API RP 580 ed1, API 推奨プラクティス 580, リスクベース検査、第 1 版。 2002年 |
| 36 | HOLLNAGEL, E.、認知信頼性とエラー分析方法。 Elsevier Science Ltd, オックスフォード、1998 年 |
| 37 | KIRWAN, B.、実践的な人間信頼性評価のガイド。テイラー&フランシス、ロンドン、英国、1994 |
| 38 | LEES, FP, 『プロセス産業における損失防止 Vol.1 危険の特定と管理』 、サム・マンナン編。第3版。第 14 章 ヒューマンファクターとヒューマンエラー。エルゼビア。 2005年 |
| 39 | M c NICHOL, D.、信号検出理論の入門書。ローレンス・エルバウム・アソシエイツ社、米国、2005 年 |
| 40 | REASON, J.、ヒューマンエラー。ケンブリッジ大学出版局、英国、1990 年 |
| 41 | WICKENS, TD, 初等信号検出理論。オックスフォード大学出版局、2002 年 |
| 42 | ウッドワース、RS, シュロスバーグ、H.、実験心理学。第 9 章 精神物理学 II スケーリング法。 Methuen & Co Ltd, ロンドン。 1954年 |
| 43 | 警報システム — 設計、管理、調達のガイド、EEMUA 出版物 191 |
| 44 | ヒューマン コンピュータ インターフェイスを利用したプロセス プラントのコントロール デスク — 設計、運用、およびヒューマン インターフェイスの問題に関するガイド、 EEMUA Publ. 201 |
| 45 | API 770, 人的エラーを削減するための管理者ガイド プロセス産業における人間のパフォーマンスを向上させる。 2001年 |
| 46 | ISA TR84, 00.002, 安全計装機能 (SIF) - 安全度水準 (SIL)評価技術、2002 |
| 47 | NAMUR NE 130, 安全計装システムおよび簡素化された SIL 計算用の使用実績のあるデバイス。 2010年 |
| 48 | EN 13306, メンテナンス - メンテナンス用語 |
| 49 | IEC 61810‑2, 電気機械式基本リレー - Part 2: 信頼性 |
| 50 | IEC 61164 ed2, 信頼性の向上 - 統計的テストおよび推定方法 |
| 51 | Rauzy A.、信頼性研究の BDD 。ページ 381 ~ 396, パフォーマンス エンジニアリングのハンドブック。 KB ミスラ編、エルゼビア。 2008年 |
| 52 | ISO 16708 ed2, 新しい石油および天然ガス産業 - パイプライン輸送システム - 信頼性ベースの限界状態手法 |
| 53 | ISO 13623 ed2, 石油および天然ガス産業 — パイプライン輸送システム |
| 54 | ISO 26000, 社会的責任に関するガイダンス |
| 55 | ISO 13628‑1 ed2, 石油および天然ガス産業 — 海底生産システムの設計と運用 — Part 1: 一般要件および推奨事項 |
| 56 | ISO 13628‑6 ed2, 石油および天然ガス産業 — 海底生産システムの設計と運用 – Part 6: 海底生産管理システム |
| 57 | ISO 13628‑7, 石油および天然ガス産業 - 海底生産システムの設計と運用 - Part 7: ライザー システムの完成/改修 |
| 58 | API RP 14C, オフショア生産プラットフォーム用の基本的な表面安全システムの分析、設計、設置、およびテストに関する推奨プラクティス、2001 年 |
| 59 | API RP 17O ed1, 海中高信頼性圧力保護システム (HIPPS) の推奨プラクティス、2009 年 |
| 60 | API RP 17G ed2, 完了/ワークオーバーライザーの推奨プラクティス、(ISO 13628‑7:2005 と同一)、2006 年 |
6 Introduction to modelling and calculations
6.1 Generalities about safety systems operating in “on demand” or “continuous” modes
A safety system is a protection system which protects another system - the protected system - against incident or accident. When the protection and the protected systems are not fully separated, it is essential to analyse them together as a whole. The protected system is sometime called “Equipment Under Control” (EUC) (e.g. in IEC 61508[2] )
Two different modes of operation are generally considered with regard to how the safety system protects the protected system:
- • demand mode of operation : the safety system spends most of its time to wait for a demand which occurs randomly when, due to hazardous events, a given physical parameter of the protected system exceeds a pre-established threshold. Reactive safety systems (also called curative safety system) operate on demand mode of operation.
- • continuous mode of operation: a hazardous event occurs on the protected system as soon as the safety system fails. Preventive safety systems are operating in continuous mode of operation.
Let us consider an overpressure protection system which protects a pipe downstream by closing a valve when the upstream pressure exceeds a given threshold. During normal operation the upstream pressure fluctuates according to the process operation, hazardous events (e.g. overpressure) may occur and the safety system has to be ready to isolate the pipe (e.g. by closing a Shut Down Valve) as soon as a pre-established pressure threshold is reached. It performs its safety action just before the protected system enters in the dangerous zone: this is a typical reactive safety system working on demand mode of operation.
After the overpressure protection system has reacted to a demand by closing a SDV, the dynamic pressure drop decreases and the pressure increases upstream the valve closed between the pressure source and the pipe. After a while this pressure may become higher than the pressure strength of the downstream pipes and a spurious opening of this valve may lead to a dangerous situation. Because of the speed of the pipe pressurization in case of spurious opening, a reactive system may not be fast enough to close another valve before the overpressure occurs. Then another safety system is needed to prevent the spurious reopening of the valve. Its safety action is to continuously maintain the valve in the closed position until the pressure has dropped below a safe value: this is a typical preventive safety system working on continuous mode of operation.
Reactive safety systems are commonly used whereas preventive safety systems have just begun to be implemented in the oil and gas industries.
Figure 10 — Broad model for ultimate-on-demand mode safety system
As shown in Figure 10 a safety system working on demand mode may have failed before the occurrence of the demand and has not been repaired in the meanwhile, for a hazardous event occurring. What is important to prevent the hazardous event is that it is ready to operate at the time that the demand occurs. This does not matter if it has previously failed provided it has been repaired in the meanwhile: the “availability” (see definition 3.1.11, 3.1.12, 3.1.13) is the adequate probabilistic parameter to characterize such a safety system. Therefore, if the safety system is unavailable when the demand occurs and if no other succeeding safety system is able to respond, then the hazardous event occurs.
Figure 11 — Broad model for non-ultimate-on-demand mode safety system
In case of multiple safety-systems (see 3.3.3) another succeeding safety system may be able to respond, then, in this case, a new demand is generated to this safety system and the first one may be restored as shown in Figure 11. In this case the above formula gives the demand frequency on the succeeding safety system. The multiple safety systems are analysed in more detail in Annex F.
It is not allowed for a safety system working in continuous mode to fail as long as it is in use (e.g. as long as the pressure has not been lowered behind a safe threshold): the “reliability” (see definitions 3.1.8 and 3.1.9) is the adequate probabilistic parameter to characterize such a safety system.
Figure 12 — Broad model for ultimate-continuous mode safety system
If another succeeding safety system is able to respond, then a demand is generated to this system and the first one may be restored as shown in Figure 13. In this case the above formula gives the demand frequency on the succeeding safety system which, therefore, operates on demand mode. The multiple safety systems are analysed in more detail in Annex F.
Figure 13 — Broad model for non-ultimate-continuous mode safety system
Even if the aim is the same in any case (i.e. determining the hazardous event frequency), Figure 11 to Figure 13 show that the reliability modelling and calculations depend on the type of the related safety system: average unavailability for safety systems operating in demand mode and unreliability or failure frequency for safety systems operating in continuous mode.
Figure 14 — Broad model for spurious failures
Nevertheless, when the demand frequency is high, the demand mode of operation system can be considered and modelled as a continuous mode of operation safety system. This approximation is conservative.
Both on demand and continuous mode of operation safety systems may trigger the safety action spuriously (e.g. spurious shut down) and the Figure 14 provides a broad model for the spurious failures of any type of safety systems. The similarities between the Figure 12 and Figure 14 suggest that the probabilistic calculations undertaken for evaluating the spurious failure frequency are similar to the calculations undertaken to evaluate the hazardous event frequency in the case on non-ultimate continuous mode safety systems.
Further developments from these broad models are provided in Annex D, Annex E and Annex F.
NOTE In de-energize to trip design, all the failures able to lead to a spurious action should be considered (see 5.3). This may imply that other components than those considered within the dangerous failure analysis need to be considered.
6.2 Analytical approaches
6.2.1 Basic models (reliability block diagrams)
Basically an individual safety system performs three functions:
- 1) detection that a physical parameter crosses a given threshold;
- 2) decision to trigger the safety action;
- 3) performance of the safety action.
These three functions can be gathered in a single component (e.g. a relief valve) or split between several components (e.g. a safety instrumented system). Figure 15 represents the archetype of the architecture of a safety instrumented system comprising sensors (S), logic solvers (LS) and final elements (V) represented as separate blocks in a so-called block diagram.
Figure 15 — Basic safety instrumented system/function
Such a block diagram is actually a “reliability block diagram” (RBD)[4] where each block has only two states (e.g. “OK” and “not OK”, or “KO” as it is denoted here). RBDs are simple and widely used (but should not be mixed up with multistate flow networks) and they are useful to introduce the basics of modelling. Formally they belong to the “Boolean” models which are analysed below (see Clause 8). Even if a RBD may be close to the actual physical architecture of the safety system, it is an abstract model aiming to represent as well as possible the functioning and the dysfunctioning of the safety systems under consideration.
In Figure 15 the three blocks are in series and the failure of any block implies the failure of the safety function. This basic architecture in three blocks is often preserved for more sophisticated safety systems (e.g. Figure 16 and Figure 17). In functional safety standard (e.g. IEC 61508[2] ) those blocks are so-called “subsystems”.
Figure 16 — Model of a safety instrumented system with redundant components - Example n°1
Figure 16 represents a safety system where all the components are redundant in order to decrease its probability of dangerous failure. Redundant components are represented in parallel on the RBD.
Figure 17 — Model of a safety instrumented system with redundant components - Example n°2
Figure 17 represents a safety system where three redundant sensors are used through a 2oo3 voting logic performed within the logic solver in order to decrease both the probability of dangerous failure and the probability of spurious failures due to the sensors.
Nevertheless all the safety systems are not necessarily split into three parts (e.g. relief valves) and other architectures can be used according to specific needs. Figure 18, for example, proposes an architecture where it is not possible to identify three fully separate parts in series because the two logic solvers get input from only two of the three sensors.
Figure 18 — Model of a safety instrumented system with redundant components - Example n°3
6.2.2 Qualitative analysis (Minimal cut sets)
Beyond the fact that RBDs are flexible enough to represent the most complex architectures, they allow, in addition, the identification of the failure scenarios of the modelled safety system. For this purpose it is “sufficient” to consider the RBD as an electrical circuit and to analyse where it has to be “cut” in order for the whole circuit to be cut. Each failure scenario is then a “cut set” which is said to be “minimal” when all the failures that it comprises are necessary and sufficient to lead to a system failure.
For example, the minimal cut sets of Figure 15 are simply {S},{LS},{V} where S, LS, V represent the events “failures” of the related blocks (components). Similarly:
- • Minimal cut sets of Figure 16 are {S1, S2},{LS1, LS2},{V1, V2}.
- • Minimal cut sets of Figure 17 are{S1, S2,},{S1,S3},{S2,S3},{LS},{V1, V2}.
- • Minimal cut sets of Figure 18 are{S1,S2,S3},{S1,S2,LS2},{S2,S3,LS1},{LS1, LS2},{V1, V2}.
The list of minimal cut sets is in close relationship with the architecture: this is a systemic representation.
On this example{S},{LS},{V} are single failures when{S1, S2},{S1, LS2} ... are double failures and,{S1,S2,S3},{S1,S2,LS2} ... are triple failures. Other multiple failures may be identified in more complex system (e.g. multiple safety systems). As single failures are generally more probable than double failures which are generally more probable than triple failures ..., the analysis of the minimal cut set provides a very effective way to identify the weak points of the system under study from a qualitative point of view: the single failure{LS} in Figure 17 is, for example, a weak point candidate. In order not to waste time and money it is wise to analyse{LS} and possibly improve it first before looking at{V1, V2}or{S1, S2, S3}.
The decision of improvement of the weak points can be based on:
- • qualitative architectural constraints (e.g. single failure criteria, minimum redundancy or hardware fault tolerance);
- • quantitative probabilistic constraints (e.g. probability or frequency of hazardous events).
6.2.3 Basic considerations about approximated probability calculations
When the minimal cut sets have been identified, then the safety system can be modelled by the RBD formed of its minimal cut sets placed in series. For example, the RBD in Figure 18 can be replaced by the equivalent RBD in Figure 19. The difference is that a given block (e.g. S1) may be represented several times when it belongs to several minimal cut sets.
The sum of the probabilities of the scenarios, i.e. the sum of the probability of the minimal cut sets (in dotted boxes in Figure 19) calculated separately, provides an upper bound of the overall probability of failure of the safety system. When this probability is low (what is normally the case for a safety system) this upper bound is very close to the exact result which, therefore, provides a good conservative approximation (see Sylvester-Poincaré formula in K.1).
Figure 19 — Minimal cut set representation of example n°3
The following approach can be implemented to develop simplified calculations:
- 1) model the safety system (e.g. by using a RBD);
- 2) identify the failure scenarios (e.g. the minimal cut sets);
- 3) calculate the relevant probability of each minimal cut set;
- 4) add the probabilities obtained at step 3 (conservative estimation).
In particular, this can be used to calculate the unreliability, the unavailability, the average unavailability (i.e. PFDavg) of the whole safety system or the hazardous event probability or average frequency (i.e. PFH).
This may be implemented with any of the approaches described in this Technical Report. Nevertheless it is particularly interesting when the analytical formulae are used as this reduces the problem to the establishment of separate formulae for single failures, double failures, triple failures, etc.
Bibliography
| 1 | INNAL, F., Contribution to modelling safety instrumented systems and to assessing their performance Critical analysis of IEC 61508 standard. Thesis of the doctoral school of physical and engineering sciences. University of Bordeaux, 2008 |
| 2 | IEC 61508 ed. 2, Functional safety of electrical/electronic/programmable electronic (E/E/PE) safety related systems, part 1-7 |
| 3 | IEC 61511 ed. 2, Functional safety — Safety instrumented systems for the process industry sector, part 1-3. (to be published) |
| 4 | IEC 61078, Analysis techniques for dependability — Reliability Block Diagram and Boolean methods |
| 5 | IEC 61025, Fault tree Analysis (FTA) |
| 6 | IEC 61165, Application of Markov Techniques |
| 7 | IEC 62551 ed. 1, Analysis techniques for dependability — Petri nets techniques |
| 8 | IEC 62502 ed. 1, Analysis techniques for dependability — Event Tree Analysis |
| 9 | Center for Chemical Process Safety/ AICHE (American Institute of Chemical Engineers), Layer of Protection Analysis: Simplified Process Risk Assessment. Wiley, 2001 |
| 10 | RISO-M-1374, Cause consequence diagrams. 1971 |
| 11 | POINT, G., AltaRica: Contribution à l’unification des méthodes formelles et de la sûreté de fonctionnement. These de docteur, Université Bordeaux 1. 2000 |
| 12 | ARNOLD, A, POINT, G. and als, The AltaRica formalism for describing concurrent systems, Fundamenta informaticae 34. IOS Press, 2000 |
| 13 | Reliability Prediction Method for Safety Instrumented Systems - PDS Method Handbook, ISBN 978-82-14-05524-5, SINTEF A23881. 2013 |
| 14 | IEC 60500‑191 ed 2, International electrotechnical vocabulary — Part 191: dependability. (to be published) |
| 15 | ISO 14224 ed.2, Petroleum, Petrochemical and gas industries — Collection and exchange of reliability and maintenance data for equipment |
| 16 | ISO 20815, Petroleum, petrochemical and natural gas industries — Production assurance and reliability management |
| 17 | IEC 60300‑3‑2, Dependability management — Part 3-2: Application guide — Collection of dependability data from the field |
| 18 | Reliability Data for Safety Instrumented Systems - PDS Data Handbook, ISBN 978-82-14-05523-8, SINTEF A23880. 2013 |
| 19 | OREDA®, ed. 5, Offshore Reliability Data Handbook, Volume 1 - Topside Equipment,. Volume 2 - Subsea Equipment. 2009 |
| 20 | KUMAMOTO, H & HENLEY, E. J., Probabilistic risk assessment and management for engineers and scientist. IEEE Press, 1996 |
| 21 | ATWOOD, C. L., The binomial failure rate common cause model. Technometrics. 1986, 28 (2) pp. 139–148 |
| 22 | RAUSAND, M. & HOYLAND, A., System Reliability Theory/ models, Statistical Methods and Applications. Wiley Series in Probability and Statistics, 2004 |
| 23 | COCOZZA-THIVENT, C., Processus stochastiques et fiabilité des systèmes. Collection Mathématiques & Applications. Springer, 1997 |
| 24 | SIGNORET, j.-P., Analyse des risques des systèmes dynamiques: approche markovienne. Techniques de l'ingénieur SE 4071. 2005 |
| 25 | SIGNORET, j.-P., Analyse des risques des systèmes dynamiques: Réseaux de Petri. Techniques de l'ingénieur SE 4073. 2008 |
| 26 | van NOORTWIJK, J. M., & als, Expert judgment in maintenance optimization. IEEE Trans. Reliab. 1992, 41 (3) |
| 27 | COOKE, R. M., Experts in Uncertainty: Expert Opinion and Subjective Probability in Science. Oxford University Press, 1992 |
| 28 | ISO 31000, Risk management — Principles and guidelines |
| 29 | ISO 17776, Petroleum and natural gas industries — Offshore production installations — Guidelines on tools and techniques for hazard identification and risk assessment |
| 30 | ISO 13702, Petroleum and natural gas industries — Control and mitigation of fires and explosions on offshore production installations — Requirements and guidelines |
| 31 | ISO 23251, Petroleum, petrochemical and natural gas industries — Pressure-relieving and depressuring systems |
| 32 | API STD 521 ed5, Guide for Pressure-relieving and Depressuring Systems: Petroleum petrochemical and natural gas industries-Pressure relieving and depressuring systems, 2008 |
| 33 | ISO 10418, Petroleum and natural gas industries — Offshore production installations — Basic surface process safety systems |
| 34 | ISO 14723, Petroleum and natural gas industries — Pipeline transportation systems — Subsea pipeline valves |
| 35 | API RP 580 ed1, API Recommended Practice 580, Risk-Based Inspection, First Edition. 2002 |
| 36 | HOLLNAGEL, E., Cognitive Reliability and Error Analysis Method. Elsevier Science Ltd, Oxford, 1998 |
| 37 | KIRWAN, B., A Guide to Practical Human Reliability Assessment. Taylor & Francis, London, UK, 1994 |
| 38 | LEES, F.P., Loss Prevention in the Process Industries Vol.1 Hazard Identification and Control, edited by Sam Mannan. 3rd Edition. Ch 14.Human Factors and Human Error. Elsevier. 2005 |
| 39 | McNICHOL, D., A primer of signal detection theory. Lawrence Erlbaum Associates Inc, USA, 2005 |
| 40 | REASON, J., Human Error. Cambridge University Press, UK, 1990 |
| 41 | WICKENS, T. D., Elementary Signal Detection Theory. Oxford University Press, 2002 |
| 42 | WOODWORTH, R.S., SCHLOSBERG, H., Experimental Psychology. Ch 9 Psychophysics II Scaling methods. Methuen & Co Ltd, London. 1954 |
| 43 | Alarm Systems — A Guide to Design, Management and Procurement, EEMUA Publ. 191 |
| 44 | Process Plant Control Desks Utilising Human-Computer Interfaces — A Guide to Design, Operational and Human Interface Issues, EEMUA Publ. 201 |
| 45 | API 770, A Manager’s Guide to Reducing Human Errors Improving Human Performance in the Process Industries. 2001 |
| 46 | ISA TR84, 00.002, Safety Instrumented Functions (SIF) — Safety Integrity Level (SIL). Evaluation Techniques, 2002 |
| 47 | NAMUR NE 130, Proven-in-use-devices for safety instrumented systems and simplified SIL calculation. 2010 |
| 48 | EN 13306, Maintenance — Maintenance terminology |
| 49 | IEC 61810‑2, Electromechanical elementary relays — Part2: Reliability |
| 50 | IEC 61164 ed2, Reliability growth — Statistical test and estimation methods |
| 51 | Rauzy A., BDD for Reliability Studies. Pages 381–396, Handbook of Performability Engineering. K.B. Misra ed., Elsevier. 2008 |
| 52 | ISO 16708 ed2, New Petroleum and natural gas industries — Pipeline transportation systems — Reliability-based limit state methods |
| 53 | ISO 13623 ed2, Petroleum and natural gas industries — Pipeline transportation systems |
| 54 | ISO 26000, Guidance on social responsibility |
| 55 | ISO 13628‑1 ed2, Petroleum and natural gas industries — Design and operation of subsea production systems — Part 1: General requirements and recommendations |
| 56 | ISO 13628‑6 ed2, Petroleum and natural gas industries — Design and operation of subsea production systems – Part 6: Subsea production control systems |
| 57 | ISO 13628‑7, Petroleum and natural gas industries — Design and operation of subsea production systems- Part 7: Completion/workover riser systems |
| 58 | API RP 14C, Recommended Practice for Analysis, Design, Installation, and Testing of Basic Surface Safety Systems for Offshore Production Platforms, 2001 |
| 59 | API RP 17O ed1, Recommended Practice for Subsea High Integrity Pressure Protection Systems (HIPPS), 2009 |
| 60 | API RP 17G ed2, Recommended Practice for Completion/ Workover Risers, (Identical to ISO 13628‑7:2005), 2006 |