PFD-Berechnung für komplexe Prüfkonzepteconference.vde.com/fs/2017/Vortragsfolien/Documents/PFD-Berechnung für komplexe... · Inhalte der VDI/VDE 2180 Blatt 4 3 März 2017 │

covestro.com

PFD-Berechnung für komplexe Prüfkonzepte Neuausgabe VDI/VDE 2180 Blatt 4

2017-03-23 / Thomas Gabriel

covestro.com

Inhalt

2

• Inhalte der VDI/VDE 2180 Blatt 4• Neuerungen in der Strukturellen Eignung• Neuerungen im Verfügbarkeitsnachweis

• Exkurs Prüftiefe• Neue Rechenformeln

Inhalte der VDI/VDE 2180 Blatt 4

März 2017 │ PFD-Berechnung für komplexe Prüfkonzepte3

Einordnung

IEC 61508EN 50128(Railway)

IEC 61513 (Nuclear)

IEC 62061 (Machinery)

IEC 61511(Process Industry)

…

NAMUR-Empfehlungen

VDI / VDE 2180

Umsetzungshilfen für Konzepte der (DIN EN) IEC 61511, u.a.

• Lebenszyklus• Betriebsbewährung• Instrumentierung• PFD-Berechnung

generisch abstrakt

spezifischkonkret

Inhalte der VDI/VDE 2180 Blatt 4


Einordnung

DIN EN 61511-1:2005, 11.9.2, ANMERKUNG 1: Es existiert eine Reihe von Modellierungs-Methoden, wobei die Auswahl der geeignetsten Methode Sache eines Analytikers ist und von den Gegebenheiten abhängt.

VDI/VDE 2180 vor 2007:Keine Erfahrung mit PFD i.S.d. Funktionalen Sicherheit

IEC 61508-6:Markov-Modelle, Monte-Carlo-Simulationen, Fehlerbaumanalyse, …

VDI/VDE ab 2007:Vereinfachte PFD-Berechnungs-formeln und Systemaggregations-methodik ► Anwendbarkeit

Inhalte VDI/VDE 2180 Blatt 4


Überblick

• Gegenwärtiges VDI/VDE 2180 Blatt 4 (2010): Umsetzung von Anforderungen an � Strukturelle Eignung eingeschränkt

übernommen aus IEC 61511� vereinfachte Berechnungsformeln für

Verfügbarkeitsnachweis basierend auf IEC 61508

• Mit neuer IEC 61511 wird Überarbeitung von VDI/VDE 2180 Blatt 4 erforderlich:� Strukturelle Eignung anpassen auf neue

IEC 61511� Berechnungsformeln auf aktuelle relevante

Themen erweitern (Prüftiefe, diversitäreRedundanz)

covestro.com

Inhalt

6



Strukturelle Eignung


VDI/VDE 2180 Blatt 4 (neu)

Im Vergleich

VDI/VDE 2180 Blatt 4 (2010)

SILMinimale HFTPU nPU

1 0 0

2 0 1

3 1 2

SIL Minimale HFT1 0

2 0

3 1

Zusatzanforderung:Alle Geräte qualifiziert für Verwendung in PLT-Sicherheitseinrichtungen (Blatt 2) ► bevorzugt Betriebsbewährung, ggf. auch Entwicklung in Übereinstimmung mit IEC 61508

PU: Prior Use - Betriebsbewährung

Generelle Annahmen: kein SIL 4, Low Demand Mode, SSPSen nach IEC 61508 geeignet

covestro.com

Inhalt

8



Verfügbarkeitsnachweis


• Langjährige Diskussion über Signifikanz des quantitativen Ansatzes

� reale Verfügbarkeit nur teilweise abgebildet ► systematische Einflüsse i.d.R. nicht quantifizierbar, jedoch in der Praxis dominant

� Modellannahmen der zugrundeliegenden IEC 61508 real nicht immer zutreffend ► Mechanik, Prozessanalysentechnik, …

� nach wie vor große Bandbreite der Kompetenz von Geräteherstellern

� Zusammenführung von Daten unterschiedlicher Herkunft ► Herstellerangaben via FMEDA oder Rückläufermanagement, eigene Stördaten, Datenbanken, Expertenbewertung, …

Grenzwerte

PFDavg-Grenzwerte

• Keine grundsätzlichen Änderungen in neuer IEC 61511 und damit neuem VDI/VDE 2180 Blatt 4 zu erwarten

SILMittlere Versagenswahrsch.

bei Anforderung

1 < 0,1

2 < 0,01

3 < 0,001

Generelle Annahmen: kein SIL 4, Low Demand Mode

PFD�� 12��

PFD�� 13��

� � ∙ 12 ��

PFD�� 14��

� �� 12 ∙

12 ��

PFD�� PFD��

32 ∙

12 ��



Vereinfachte PFD-Berechnungsformeln

Systematik

Systemaggregationsmethodik

Generelle Annahme: keine Redundanz zwischen Sensor-, bzw. Aktorgruppen (NooN)

PFDTotal = PFDS + PFDL + PFDFE

PFDS � ∑ PFDG,i� und PFDFE� ∑ PFDG,j�



Randbedingungen

• Vereinfachte PFD- Berechnungsformeln basieren auf einer Reihe notwendiger Annahmen, u.a.

� Beitrag von gefährlich erkannten Fehlern (via λDD) vernachlässigbar

� starres Prüfintervall T1 per Gruppe

� homogene Kanalinstrumentierung per Gruppe

� perfekte wiederkehrende Funktionsprüfung

...

covestro.com

Inhalt

12



Grenzwert für SIL2

Ver

sage

nsw

ahrs

chei

nlic

hkei

t

Zeit [Jahre]

PFDavg

Exkurs Prüftiefe


Beispielhafter zugehöriger PFD-Verlauf

Herkömmliches Prüfkonzept nach VDI/VDE 2180

Einfaches Prüfkonzept für Redundanzgruppe

� PTC: Proof Test Coverage („Prüftiefe“) ► Anteil der bei der Funktionsprüfung aufgedeckten DU-Fehler (zufällige Fehler!)

� vereinfachte PFD-Berechnungsformeln liefern unmittelbar den über eine Periode T1 gemittelten PFDavg

Exkurs Prüftiefe


• Intuitive 100%-Prüfung Ausbau und Prüfung in Fachwerkstatt

� Dichtigkeitsprüfung von Ventilen auf Prüfstand� Kalibrierung von Sensoren beim Hersteller

• Grundsätzlich durchführbar, jedoch� i.d.R. nur bei Anlagenstillstand / Revision

realisierbar� Dekontamination des Equipments erforderlich� hoher Aufwand und ggf. Folgefehler durch De-

und Re-Montage� generelles „Black Box“-Problem, Sicherstellen

eines Gerätezustands ohne genaue Kenntnisse des internen Aufbaus

� generelles Problem des „prozessfernen“ Prüfens

Realisierung von 100%-Prüfungen

• Intuitive 100%-Prüfung Scharfes Auslösenin vielen Fällen …sicherheitstechnisch nicht vertretbar

� Provokation von LOPC� Begleitrisiken (VDI/VDE2180: ausgehen von

Versagen bei Prüfung)

• …wirtschaftlich nicht vertretbar� Schädigung von Apparaten (z.B.

Brennkammern bei wiederholtem An- und Abfahren)

� produktionstechnisch aufwändig (z.B. Anfahren Überfüllsicherung Lagertank mit Produkt)

LOPC: Loss Of Primary Containment

Exkurs Prüftiefe



Alternative Konzepte

Redundanzgruppe ohne Funktionsprüfung

� Selbst einfache PLT-Sicherheitseinrichtungen (ein Sensor, ein Aktor, z.B. Überfüllsicherung) genügen ohne Prüfung i.d.R. nicht den Anforderungen

� Prüfungen an PLT-Sicherheitseinrichtungen decken nicht nur berechnungsrelevante, sondern auch systematisch bedingte Fehler auf

Grenzwert für SIL2

Ver

sage

nsw

ahrs

chei

nlic

hkei

t

Zeit [Jahre]

PFDavg

Exkurs Prüftiefe



Erweitertes Prüfkonzept gem. neuer VDI/VDE 2180

Erweitertes Prüfkonzept für Redundanzgruppe

� T0: Zwischenprüfung mit PTC<100% (z.B. PartialStroke Test, Prüftasten an Transmittern, …)

� T1: Funktionsprüfung mit PTC<100%

� T2: Prüfung mit PTC=100%

PFDavg

Grenzwert für SIL2

Zeit [Jahre]

covestro.com

Inhalt

17



��,� � ��,� ∙ ��,��,� � ��,� � ��,� ��,��, � 1 � ��,� ��,�

Neue Rechenformeln


• Erweitertes Angebot von PFD-Rechenformeln unter Berücksichtigung von

� diversitärer Kanalinstrumentierung

� unvollständiger wiederkehrender Funktionsprüfung

� Zwischenprüfungen in kürzeren Abständen

für alle gängigen Redundanzen (1oo1, 1oo2, 2oo3, ...)

• Basierend auf Rechenformeln aus IEC 61508-6 B.3.2.2 mit Erweiterungennach IEC 61508-6 B.3.2.5

• Beispiel 1oo1

Überblick

Kanalfehlerrate bzgl. gef. Unerkannter Fehler

Prüftiefe bei Zwischen-prüfung

Prüftiefe bei wiederkehrender

Funktionsprüfung

Intervall der Zwischenprüfung

Intervall der wiederkehrenden Funktionsprüfung

Mission Time mit 100%-Prüfung�� ,� ! � ��,� " � ��, #

Neue Rechenformeln


• Beispiel 1oo2

• Relevante Randbedingungen� Fehlerraten beziehen sich auf Kanäle� Prüftiefen sind jeweils bezogen auf die

gesamte DU-Kanalfehlerrate� Prüftiefe individuell für jeden Kanal

wählbar ► diversitäre Instrumentierung� Intervalle gelten einheitlich für die

gesamte Redundanzgruppe� Prüfungen bauen jeweils aufeinander

auf

• Woher kommen die PTC-Werte?� Gerätehersteller?� Anwender?

Überblick

Konfiguration Kanal 1: �$,0 � ��$,0 ∙ ��&,$ �$,1 � '��$,1 � ��$,0(��&,$ �$,2 � '1 � ��$,1(��&,$

Konfiguration Kanal 2 : �),0 � ��),0 ∙ ��&,) �),1 � '��),1 � ��),0(��&,) �),2 � '1 � ��),1(��&,)

Mittelwerte für Common -Cause-Anteil :

��0,*+, � ��$ ,0��),02

��1,*+, � ��$ ,1��),12

�0,*+, � ��0,*+, ∙ min0��&,$ , ��&,)1 �1,*+, � '��1,*+, � ��0,*+, ( ∙ min0��&,$ , ��&,)1 �2,*+, � '1 � ��1,*+, ( ∙ min0��&,$ , ��&,)1

PFDavg: �$ � 21 � 3 4�$,0 02 � �$,1 12 � �$,2 22 5 �) � 21 � 3 4�),0 02 � �),1 12 � �),2 22 5

��*+, � 21 � 3 4'�$�),0 � �)�$,0( 03 � '�$�),1 � �)�$,1( 13 � '�$�),2 � �)�$,2( 23 5 � 602 �0,*+, �

12 �1,*+, �

22 �2,*+,7

Vorzugebende Parameter

Neue Rechenformeln


� Gerätebezogene Prüftiefe, z.B. Plausibilisierung

• ... aber ich sehe doch, dass sich das Sensorsignal noch bewegt.

• ... die andere Messstelle im Reaktor zeigt immer einen ähnlichen Wert an – der Sensor kann also nicht kaputt sein.

• ... beim Abfahren der Anlage fällt die Temperatur nachprüfbar auf Raumtemperatur ab – das ist doch dann plausibel...?

� ► Kann nur mit Herstellerunterstützung ermittelt werden

• Hohes Komplexitätspotential

� Nutzen einer fallspezifischen detaillierten Analyse?

� Aussage über Aufdeckung systematischer (Anwendungs-)Fehler?

Herausforderungen bei der PTC-Bestimmung

• Prüfmethode und –umfang werden anwenderseitig festgelegt

� Resultierende Kanalprüftiefe

� ► Kann nicht herstellerseitig ermittelt werden

PTC � ��,� PTC� � ��, PTC �⋯∑ ��,��

Neue Rechenformeln


Prüf-Toolbox

• Benötigt: Generische Aussagen zur Kanalprüftiefe für typische Prüfmethoden der Prozessindustrie

• ► Prüf-Toolbox in NE 106

Referenzmessung

4-20mA-Prüfung

Sichtprüfung

Lastwechsel

Produktqualität

Prüftaste

Diagnosetools

Funktions-prüfung

ZUSAMMENGEFASST

22

Die neue VDI/VDE 2180 Blatt 4 wird

• Neuerungen in der Strukturellen Eignung gemäß IEC 61511 Rev. 2 aufgreifen

• ein erweitertes Spektrum von PFD-Berechnungsformeln bieten zur Berücksichtigung von

� unvollständigen Funktionsprüfungen

� diversitärer Redundanz

• inhaltlich stark mit NE 106 bezüglich Zahlenwerten für die Prüftiefe (PTC, Proof Test Coverage) verlinkt sein

• synchronisiert mit DIN EN 61511 Rev. 2 und restlichen Blättern der VDI/VDE 2180 erscheinen

covestro.com

Vielen Dank!Thomas [email protected]