Verona, 29-30 ottobre 2013!
Dal SIL alla validazione del SIS negli impianti di processo. Un pratico percorso compiuto nel rispetto normativo CEI EN 61511 SAVE Verona, 30 Ottobre 2013 Verona, 30 Ottobre 2013 Pag. 1 di 22 Relatori: AMADEI Ing. Mario Badodi Gianpiero
Standard internazionali Dopo anni di lavoro a livello internazionale sono presenti dal 2004 normative quali CEI EN 61508 e 61511 che basate sul Ciclo di vita della sicurezza individuano in modo preciso i criteri e i metodi per assegnare. il livello di affidabilità (SIL) che i sistemi strumentali di sicurezza (SIS) devono assicurare per ridurre a livelli accettabili il rischio industriale in termini di salute, ambiente e proprietà. Regole e metodologie a cui il fornitore deve attenersi nelle fasi di progetto, sviluppo, analisi guasti, documentazione e costruzione al fine di certificare il prodotto secondo la norma Logic Solver (e.g. PLC) Sensor Interface (e.g. Connection, Power Supply) Final Control Element (e.g. Valve and Actuator) Verona, 30 Ottobre 2013 Pag. 2 di 22 Sensors (e.g. Transmitter)
Le opportunità da cogliere Garantire un approccio più scientifico alla definizione e progettazione dei sistemi, permettendo, attraverso la quantificazione dei rischi accettabili, in termini di salute, ambiente ed economia, di dimensionare il sistema più consono alle esigenze e quindi evitare sovra e sotto dimensionamenti. L aver basato su regole condivise a livello mondiale i propri sistemi di sicurezza facilita l operatore a dimostrare alle autorità legislative di aver preso tutte le misure necessarie. Oltre agli standards internazionali Sono disponibili sul mercato numerosi strumenti certificati: Sensori, Barriere, Logic Solver, Elettrovalvole, Attuatori, ecc.. Stanno sempre più aumentando le referenze dei fornitori e le testimonianze degli utilizzatori. (anche in Italia) Verona, 30 Ottobre 2013 Pag. 3 di 22
SIS SAFETY LIFECYCLE Analisys Realization Operation 1 Risk Analysis 2 SIF Identification 3 SIL Allocation 4 Design 7 Operation 5 Installation 8 Maintenance 6 Commissioning 9 Decommissioning Verona, 30 Ottobre 2013 Pag. 4 di 22
NEW WORKFLOW DESIGN ENGINEERING Design Safety Requirement Specification Realization 4 Design 5 Installation 6 Commissioning SIF Analysis and SIL Verification SIS Safety Validation Verona, 30 Ottobre 2013 Pag. 5 di 22
Safety Requirements Specification Attributi di ogni SIF Cosa puo andare storto? (HAZOP) Quanto deve essere affidabile? Hazard Process Analysis (HPA) SIF SIFSIFSIF 180 SIL Allocation Evento iniziatore Conseguenze Funzionalità SIL Target Demand Mode Process Safety Time Quanti danni mi puo arrecare? Verona, 30 Ottobre 2013 Pag. 6 di 22
Aggiungere modalità di gestione Causa(Evento iniziatore) Conseguenze Funzionalità SIL Target Demand Mode Process Safety Time Tipologia ed efficienza dei Proof Test Intervallo di Proof-test per ogni componente catena SIS Proof Test Interval= 1 anno Proof Test Coverage%=60% Test Interval=2 anni Proof Test Interval= 2 anni Verona, 30 Ottobre 2013 Pag. 7 di 22
Aggiungere il modello concettuale Causa(Evento iniziatore) Conseguenze Funzionalità SIL Target Demand Mode Process Safety Time Safety Bus Process Override Switch (POS) Maintenance Override Switch (MOS) Pulsante/i di reset,,,, Verona, 30 Ottobre 2013 Pag. 8 di 22
Aggiungere Safety application HW & SW requirements Causa(Evento iniziatore) Conseguenze Funzionalità SIL Target Demand Mode Process Safety Time Requisiti HW I/O separation Safety e non Safety SW di base e utility Requisiti SW applicativo Sviluppo moduli separati Grafica del FLD diagram Safety Manual Ceck List.. Comportamento del SIS nel caso in cui la autodiagnostica rilevi guasti ( Sensori, circuiti aperti, cortocircuiti, canali I/O, processore, ecc..) Requisiti di accesso Requisiti per la competenza del personale SRS = Documento fondamentale per la Safety Validation Verona, 30 Ottobre 2013 Pag. 9 di 22
SIF analysis and SIL Verification SIF Analisys Verification 1 Raccolta e analisi documentazione disponibile 2 Identificazione delle proprietà delle SIFs Critical Points Report 3 Verifica del livello di integrità 5 Review SIF critici 4 Preview SIL Verification Final Report 6 Report dettagliato per ogni SIF SIL Verification >=SIL Target Attestazione Compliant azioni di mantenimento e limitazioni SIL Verification <SIL Target Identificazione delle motivazioni e definizione degli interventi Verona, 30 Ottobre 2013 Pag. 10 di 22
RACCOLTA E ANALISI DOCUMENTI DISPONIBILI Documenti as built di progetto SIL Allocation report, P&I, Matrici Cause&Effetti Instrument loop diagram o tipici esecutivi Specifiche strumenti, Logic Solver, Attuatori Fornitori, tipologia e modelli di quanto sopra Layout cabinets (Barriere, DCS, Logic Solver, Stru-Ele,ecc) Logiche funzionali del SIS o DCS Certificazioni per elementi certificati Documenti operativi Procedure, frequenza e reports dei tests di funzionalità Procedure di reparto per gestione guasti SIS e inserimento MOS/POS Procedure di manutenzione elementi SIS Carenze documentali Rilievi in campo, in sala controllo e tecnica Reverse Engineering Verona, 30 Ottobre 2013 Pag. 11 di 22
ATTRIBUTI DI OGNI FUNZIONE (SIFs) Proprietà Struttura Causa(Evento iniziatore) Conseguenze Funzionalità SIL Target Demand Mode Process Safety Time 80 70 60 50 40 30 20 10 0 a SIL1 SIL2 SIL3 Actuator Logic Solver Sensor part Sottosistemi componenti Tipologia Sottosistemi e modello componenti sottosistemi Architettura Tipologia Sottosistemi e modello e vooting componenti sottosistemi Frequenza Architettura Tipologia di test e modello e vootingsottosistemi Efficacia Frequenza Architettura dei di Tests test e vooting Peculiarità Efficacia Frequenza del dei processo di Tests test (Clean service, Peculiarità Efficacia tight del shutoff,ecc) dei processo Tests (Clean service, Peculiarità tight del shutoff,ecc) processo (Clean service, tight shutoff,ecc) a = Non sono necessari particolari requisiti di sicurezza Distribuzione del livello integrità SIL su impianti chimici (100-150 SIF) Verona, 30 Ottobre 2013 Pag. 12 di 22
SAFETY INSTRUMENTED LOOP ARCHITECTURE Verona, 30 Ottobre 2013 Pag. 13 di 22
Failure rates SORGENTI DATI Safety Reliability Database (orientata al prodotto) Certificazione di conformità del prodotto emesso da terze parti. Certificazione di conformità del prodotto emesso dal costruttore Elemento generico (Safety Reliability Database) Verona, 30 Ottobre 2013 Pag. 14 di 22
SIL Verification IEC 61511 Compliance Report Verona, 30 Ottobre 2013 Pag. 15 di 22
OBIETTIVO Validare, attraverso ispezioni e test, che il SIS installato e messo in servizio e le funzioni di sicurezza associate, rispondano ai requisiti stabiliti nella Safety Requirement Specification e che la documentazione di progetto ed operativa sia completa ed aggiornata Riferimenti: EN CEI 61511-1 Functional Safety instrumented systems for the process industry sector. CEI 65-186 Linee guida per l applicazione EN CEI 61511 IEC 62381 Automation systems in the process industry - Factory Acceptance Test(FAT), Site Acceptance Test(SAT) and Site Integration Test(SIT). ANSI-ISA 84-00-01 2004 Functional Safety: Safety Instrumented System for the Process Industry. Verona, 30 Ottobre 2013 Pag. 16 di 22
PROCEDURA Validare, attraverso ispezioni e test, che il SIS installato e messo in servizio e le funzioni di sicurezza associate, rispondano ai requisiti stabiliti nella Safety Requirement Specification e che la documentazione di progetto ed operativa sia completa ed aggiornata PROCEDURA SAFETY VALIDATION INDEX 1 SCOPO DOCUMENTO 3 2 APPLICABILITA 4 3 RESPONSABILITA 4 4 PIANIFICAZIONI ATTIVITA 5 5 TEAM DI VALIDAZIONE 5 6 IDENTIFICAZIONE SISTEMA E SOTTOSISTEMI 6 7 PREREQUISITI 11 8 ELENCO DEI TEST DI SIS SAFETY VALIDATION 11 9 PROCEDURA DI ESECUZIONE TEST DI VALIDAZIONE 12 10 REPORT TEST ESEGUITI 13 11 LISTA PUNTI PENDENTI 13 12 REPORT FINALE 14 13 REPORT CONCLUSIVO E ATTESTATO DI VALIDAZIONE SIS 14 14 DOCUMENTI DI RIFERIMENTO 15 Verona, 30 Ottobre 2013 Pag. 17 di 22
PREREQUISITI BASE del SIS SAFETY VALIDATION Verificare che i reports del SAT(Site Acceptance Test) relativi ad ogni singolo sottosistema SIS ne attesti l esito favorevole e che eventuali pendenze non influenzino il processo di validazione. Il report del SAT deve includere la soddisfazione dei seguenti punti: I vari sottosistemi siano stati correttamente installati Le sorgenti di energia elettrica siano state connesse correttamente e siano operative. Messa a terra sia stata eseguita correttamente Tutti gli strumenti sono stati debitamente tarati - Loop ceck dei sistemi di acquisizione e controllo adeguatamente completati. - Loop ceck del sistema strumentale di sicurezza completato Siano operativi i seguenti sottosistemi: Dispositivi di campo DCS e cabinet di ingresso/uscita Il safety logic solver Le interfaccie tra DCS e Safety Logic Solver. Verificare che la documentazione di progetto relativa al SIS sia presente, completa ed aggiornata. Tale documentazione deve comprendere: Narrative of control and interlook SIL Assessment Report SIL Analysis and SIL Verification Report SIL Analysis and SIL Verification Report P&I show the SIS I/O Safety related Loop diagrams for SIS I/O Safety Related Cause&Effect diagram Layout quadro blocchi DCS graphics page safety related Safety and technical manuals of every subsystem Proof test of every element methodology Safety Certificates of every subsystem and related components Verona, 30 Ottobre 2013 Pag. 18 di 22
STP6 Test Procedure STP-06- Funzionalita SIF in presenza di anomalie ai sensori Scopo Questa procedura definisce le modalità per verificare e controllare che le funzionalità della Safety Instrumented Functions, in presenza di guasti alla variabile/i in ingresso (cortocircuito, circuito aperto, trasmettitore fail, ecc) siano conformi alla documentazione di riferimento. Documenti di riferimento SRS Safey Requirement Specification B-5755-872 SIF ANALYSIS AND SIL VERIFICATION REPORT Uniesse 050101RPT_AMR3 Rev.3.. B - Attivazione anomalia trasmettitore Aprire il collegamento tra il trasmettitore e transmitter supply isolator. C - Verifica intervento Verificare in loco che la logica di intervento chiuda le due valvole Main Burner isolation gas XY 1179A, XY 1179B e apra la valvola Main Burner vent gas.xy 1179C. Verificare che il tempi di esecuzione della funzione di sicurezza sia contenuta entro i valori previsti(5 Sec.) Verificare la corretta segnalazione della posizione delle valvole sul DCS. Verificare l allarme di intervento della funzione di sicurezza in ambiente operatore (colore, suono, indicazione). Verificare l allarme della anomalia al trasmettitore in ambiente operatore (colore, suono, indicazione). Verificare sul registro eventi e stampanti che tutti gli eventi/operazioni siano state registrate Rimuovere le condizioni di simulazione operativa. Verona, 30 Ottobre 2013 Pag. 19 di 22
Impatto sulle procedure operative attuali.. Procedura di esecuzione delle prove allarmi/blocchi (orientata ai SIF) (ABS Services).... Piano temporale di esecuzione delle prove Registro di reporting dei risultati dei test e proposte soluzioni per i punti non soddisfatti Procedura di reparto per l esclusione/inserimento delle singole cause di blocco e attivazione misure complementari. Procedura di reparto per la gestione delle modifiche HW e/o SW agli elementi del SIS.. Verona, 30 Ottobre 2013 Pag. 20 di 22
Attestato di Validazione SIS Safety Operative Raccomandations Verona, 30 Ottobre 2013 Pag. 21 di 22
GRAZIE PER L ATTENZIONE Amadei Ing. Mario mario.amadei@abiesse.org Verona, 30 Ottobre 2013 Pag. 22 di 22