49 / 158
AMNYTT #6
2016
lging, styring, dokumentasjon og krav til kompetanse. Det er også der de tekniske kravene for å
oppnå sikkerhet gjennom sikkerhetslivssyklusen er
definert.
IEC61511-1: 2016 ble utgitt 24. februar 2016 og teller
82 sider
IEC 61511-1: 2016 / COR1: 2016 ble utgitt 15. september 2016 - 3 sider
Del 2 er den informative delen av standarden og
inneholder: Retningslinjer for bruk av IEC61511 del 1,
så del 2 gir altså veiledning i hvordan klausuler i del
1 skal forstås.
IEC61511-2: 2016 ble utgitt 28. juli 2016 og teller 204
sider!
Del 3 er også en informativ del av standarden og
inneholder: En veiledning for å bestemme nødvendige sikkerhetsintegritetsnivå.
Vedlegg A dekker ALARP-prinsippet (As Low As
Reasonably Practicable) – “så lavt som praktisk
mulig”.
Vedlegg B dekker både kvantitative og kvalitative
tilnærminger til SIL. Den bruker ETA analyse, sikkerhetslag matrise metode, risiko graf, LOPA og
risikomatrise .
Vedlegg J er nytt i Ed. 2.0 og håndterer flere
sikkerhetssystemer som beskriver systemiske
avhengigheter.
IEC61511-3: 2016 ble utgitt 21. juli 2016 og teller 101
sider
Krav til sikkerhetsmanual:
Produsenten er nå påkrevd å ha en funksjonell sikkerhetsmanual for hvert produkt i henhold til den
nye standarden. Her viser vi et eksempel på utdrag
fra en slik manual tilhørende produktet D5014D – SIL
3 Repeater Power Supply HART – fra vår leverandør
av SIL releer og Ex barrierer – GM International.
Example of the Safety Function and Failure behavior of the above device:
The model D5014 is considered to be operating in
Low Demand mode, as a Type A module, having
Hardware Fault Tolerance (HFT) = 0. The failure
behavior is described from the following definitions:
•
fail-Safe State: state is defined as the output
going Low or High, considering that the safety logic
solver can convert the Low or High fail (dangerous
detected) to the fail-safe state;
•
fail Safe: failure mode that causes the module
to go to the defined failsafe state without a demand
from the process;
•
fail Dangerous: failure mode that does not
respond to a demand from the process (i.e. being
unable to go to the defined fail-safe state) or deviates the output current by more than 5% (0.8 mA)
of full span;
•
fail High: failure mode that causes the output
signal to go above the maximum output current (>
20 mA). Assuming that the application program in
the safety logic solver is configured to detect High
failure and does not automatically trip on this failure, this failure has been classified as a dangerous
detected (DD) failure;
•
fail Low: failure mode that causes the output
signal to go below the minimum output current (<
4 mA). Assuming that the application program in