Vår 2009 Flashcards
Hvilke forutsetninger må være oppfylt før en produsent kan ilegges produktansvar?
Forutsetninger:
i) Feilen fantes da produktet forlot produsenten
ii) Skaden har forutsaket et økonomisk tap eller mén
iii) Skaden ble forårsaket av feil (en sikkerhetsmangel) ved produktet, og det må foreligge en påviselig årsakssammenheng
iv) Den skadelidte brukte produktet til tiltenkt formål og i samsvar med anvisningene eller på annen vanlig eller forutsigbar måte
v) Feilen innebar et urimelig fare- eller risikomoment
Historisk kan en skille mellom fire prinsippielt forskjellige måter å styre et prosessanlegg på.
i) Hvilke er disse?
ii) Beskriv kort hver måte å styre på. Tips: formannens rute.
i) Distribuert manuell styring (formannens rute, styring utføres ved manuell observasjon og manuelle setpunkt ute i prosessen)
ii) Distribuert automatisert styring, distribuert overvåking (regulatorer ute i prosessen, formannen går rundt i prosessen og overvåker)
iii) Sentralisert automatisk styring, sentralisert overvåkning (reguleringssløyfene kjøres og overvåkes sentralt)
iv) Distribuert automatisert styring, sentralisert overvåkning (reguleringssløyfer kjøres distribuert i feltbussystemer, prosessen overvåkes sentralt)
IEC1131 definerer tre grafiske og to tekstbaserte programmeringsspråk.
i) Hvilke er disse?
ii) Vis hvert programmeringsspåk med en figur/eksempel
Se sider 5-6 til 5-7 i pensumboka.
i) SFC - Sequential Function Chart
ii) LD - Ladder Diagram
iii) ST - Structured Text
iv) IL - Instruction List
v) FBD - Function Block Diagram
I programmerbare feiltolerante systemer består årsak-virkningskjeden ved feil av to
prinsipiellt forskjellige årsaker og én hendelse.
i) Hvilke er disse?
ii) Beskriv kort hvert steg i årsaks-virkningskjeden.
Se side 6-2 i pensumboka.
i) Svikt –> Feil (Fault) - tilstand
ii) –> Avvik (Error) - tilstand
iii) –> Svikt (Failure) - hendelse
Hvilke ergonomiske hensyn må tas ved valg av fysisk utstyr for informasjonspresentasjon? Hvert hensyn skal begrunnes.
Egonometriske hensyn ved valg av fysisk utstyr for informasjonspresentasjon i felt
Fysiologi, persepsjon og sansing: Utstyret må være tilpasset operatørens fysiologiske egenskaper som syn og berøring i relasjon til arbeidsmiljøet. Siden utstyret skal være bærbart, kan man ikke anta at operatøren til en hver tid har et sted å sitte ned når utstyret skal benyttes. Valg av skjerm og berøringsorganer er derfor viktig. Grafisk brukergrensesnitt må være leselig i tenkelige situasjoner observasjon og interaksjon er påkrevd. Berøringsorganet må kunne betjenes i alle situasjoner der interaksjon med fysisk utstyr er påkrevd.
Anatomi og antropometri: Dimensjoner og vekt til utstyret må være slik at alle operatører enkelt og effektivt kan bære det med seg rundt i prosessen, hele dagen uten at dette sliter dem ut eller skader dem på noen måte.
Sosiologi: Utstyret må også kunne fungere i den arbeidsprosessen som det inngår i. Siden de fleste arbeidsprosesser på et eller annet tidspunkt krever interaksjon mellom flere personer må utstyret muliggjøre slik interkasjon. For eksempel. utstyret bør ha mulighet for trådløs kommunikasjon mellom flere operatører.
Rasmussen (1986) skiller mellom kunnskapsbasert, regelbasert og ferdighetsbasert handlingsmønster til operatører, der hvert handlingsmønster er avhengig av hvilket stimuli (oppgave) operatøren gis. Diskuter fordeler og ulemper ved implementering av distribuert alarmhåndtering med hensyn til
i) feltoperatørens tilgjengelighet
ii) feltoperatørens evne til å utføre flere oppgaver samtidig
iii) handlingsmønster (Rasmussen, 1986)
Skriv kort og presist. Besvarelsen bør ikke være mer enn 3 sider for b).
Feltoperatører arbeider ute i prosessen. Generelt vil hver feltoperatør ha et sett med arbeidsordrer (arbeidsoppgave med spesifiserte krav til gjennomføring) som skal gjennomføres i løpet av et skift, i tillegg til de løpende oppgaver som feltoperatøren eventuelt har. Et eksempel på arbeidsordre er vedlikehold eller test av en funksjon ihht SIL krav. Et eksempel på løpende oppgaver er løsning av umiddelbare problememer som resetting av alarmer manuelt ute i prosessen, observasjon og vurdering av prosessen i forbindelse med driftsforstyrrelser. Feltoperatøren kan med andre ord ikke antas å være generelt tilgjengelig for å håndtere uventede situasjoner. For eksempel, hvis en feltoperatør holder på med å gjennomføre en arbeidsordre som ikke er mulig å gå i fra, vil denne feltoperatøren være utilgjengelig. Hvis en uventet situasjon oppstår må denne tildeles en annen feltoperatør, hvis dette er mulig. Hvis en feltoperatør er tilgjengelig, betyr det nødvendigvis ikke at feltoperatøren sitter å venter på en oppgave. Det betyr kun at oppgaven som feltoperatøren holder på med kan legges til siden (fokusbytte er mulig). Feltoperatørens evne til denne formen for “fleroppgavekjøring” er avhengig av den totale kognitive belastningen som samtlige oppgaver belaster feltoperatøren med. Den kognitive belastningen har sammenheng med hvilke handlingsmønster som feltoperatøren benytter seg av til å løse problemet. I følge Rasmussen, kan disse handlingsmønstrene deles inn i tre hovedmønster: 1) ferdighetsbasert handlingsmønster, som er det mønsteret gir minst kognitiv belastning, 2) regelbasert handlingsmønster, som krever at feltoperatøren må analysere stimuli for deretter å planlegge sine handlinger, og 3) kunnskapsbasert handlingsmønster, som krever at feltoperatøren må analysere stimuli, identifisere og løse problemet gjennom planlagte handlinger. Sistnevnte handlingsmønster gir dermed størst kognitiv belastning. Distribuert alarmhåndtering er en form for håndtering av uønskede hendelser. Fordelen med å distribuere alarmer til feltoperatører, er at man kan håndtere flere alarmer samtidig, samt at den som løser problemer står nærmere prosessen og har dermed større mulighet til å skaffe til veie førstehåndsinformasjon fra prosessen. Feltoperatører er imidlertid ikke egnet til å løse hvilke som helst alarmer. Alarmer som er vanskelig å finne en løsning på krever handlingsmønster som mye kognitiv kapasitet, noe feltoperatører ikke nødvendigvis har da feltoperatører kan ha flere parallelle oppgaver, samt at komplekse problemer krever mye informasjon, noe bærbare enheter har begrenset mulighet til. Kun et utvalg av alarmer er dermed egnet for distribuering til feltoperatører. En annen fordel med distribuering av “enkle” alarmer til operatører som er i nærheten av der alarmen skjer er redundans. Så lenge det overordnede systemet sørger for at alle alarmer blir håndtert av en operatør, vil systemet i teorien kunne håndtere flere alarmer på et tidligere tidspunkt og på denne måten redusere sannsynligheten for uønskede nedstegninger av prosessen.
Diskuter forskjellen mellom distribuert alarmhåndtering og alarmfiltrering. Skriv kort og presist. Besvarelsen bør ikke være mer enn 2 sider for c)
Alarmfiltrering benyttes til å redusere den kognitive belastningen til operatøren gjennom fjerning, omprioritering eller undertrykking av alarmer. Distribuert alarmhåndtering imidlertid, er en form for parallellisert og redundant alarmhåndtering som reduserer behovet for filtrering gjennom å øke antall operatører tilgjengelige til å håndtere alarmer.
En funksjon består av en smart trykktransmitter, logikk, solenoide og
nedstengningsventil. Det er gitt at funksjonen testes årlig.
i) Hvilke type votering gir dette, og hvilken Hardware Fault Tolerance (HFT) tilsvarer det?
ii) Hvilke type subsystem (A/B) tilhører hver enkeltkomponent? Tips: se vedlegg
iii) Beregn PFD for funksjonen ved hjelp av verdier i fra vedlegget.
[Relevant pensumlitteratur: Avsnitt 6.4 i pensumboka, presentasjon fra forelesning i
IEC 61508 og OLF-070 (Onshus, 2009) og vedlegg til eksamen]
i) Siden det kun er én komponent av hver type, er dette 1oo1 votering. Det
tilsvarer HFT lik 0 for samtlige komponenter.
ii) I følge vedlegg 1 er solenoide og nedstengingsventil av type A, og trykktransmitter og logikk er av type B, da trykktransmitter i dag er “smarte” intrumenter med høy kompleksitet.
iii) Siden funksjonens fire komponenter ikke er uavhengige, må funksjonens PFD beregnes ved å summere PFD for hver enkelt element. Da funksjonen benytter 1oo1 votering, er PFD for hver enkeltkomponent gitt ved uttrykket
PFDi = DU – . Hver enkelt PFD beregnes ved å sette inn korrekte verdier fra
2
tabell 1 i vedlegget og PFDi . Generell uttrykk for funksjonens PFD blir da
PFD3a = PFDPT + PFDLogikk + PFDSolenoide + PFDV entil . Innsetting av verdier fra tabell 1 i vedlegget gir da en PFD lik PFD 1.8 10–2 .
Funksjonen i oppgave 3a) skal tilfredsstille SIL 3.
i) Hvilke Safety Integrity Level tilfredsstiller funksjonen i oppgave 3a) slik den er
nå? Svaret skal begrunnes.
ii) Endre løsningen, hvis det er nødvendig, slik at du kan dokumentere at den nye løsningen tilfredsstiller kravene til SIL 3. Årsaken til at en endring er nødvendig skal begrunnes. Hvis en endring er nødvendig skal den nye funksjonen også testes årlig.
Når man skal dokumentere at en funksjon oppfyller et gitt Safety Integrity Level (SIL) er det tre krav som må dokumenteres (prensentasjon Onshus, side 33). Disse er kvalitetssikring av arbeidsmetodikk, strukturkrav (architectural constraints) og funksjonskrav (typisk at PFD tilfredstiller gitt SIL når funksjonen opereres On Demand). Siden kvalitetssikring av arbeidsmetodikk er upraktisk å trekke inn i eksamensoppgaven antas det at denne tilfredsstiller alle SIL krav.
Når funksjonen opereres On Demand oppfyller funksjonen kravet til SIL 1 ihhttabell 8.1 i vedlegget, da funksjonens PFD ligger i mellom 10–1 og 10–2 . Det er imidlertid ikke nok å kun dokumentere funksjonens PFD. For at en funksjon
skal oppfylle SIL 1 ihht IEC 61508-2 må det dokumenteres at hver enkelt komponent oppfyller strukturkravet for SIL 1 eller høyere. Siden samtlige komponenter i funksjonen har HFT=0 (gitt av 1oo1 votering) tilfredstiller strukturen til trykktransmitter, solenoide, ventil og logikk, i følge tabell 8.2 og 8.3 i vedlegget, SIL 2, da solenoide og ventil og har SFF mellom 60% og 90 % og trykktransmitter og logikk har SFF mellom 90 % og 99%. Siden strukturen til samtlige komponenter oppfyller SIL 1 eller høyere og funksjonen tilfredstiller SIL 1 når den opereres On Demand, er det herved dokumentert at funksjonen oppfyller kravet for SIL 1.
I oppgave 3a-i) er det dokumentert at funksjonen oppfyller SIL 1. Da kravet er at funksjonen skal oppfylle SIL 3, må funksjonen endres. En mulig endring er å innføre 1oo2 votering på alle enkeltkomponenter i funksjonen, eventuelt et fornuftig utvalg. Vi velger her å innføre 1oo2 votering på alle komponenter i
funksjone. I følge vedlegget kan uttrykket PFD = DU – benyttes for å
beregne PFD for hver enkelt komponent. Ved innsetting av verdier fra tabell 1 i vedlegget blir PFD verdien for den nye funksjonen nå PFD 3.2 10–4 . Siden
denne verdien ligger i mellom 10–3 og 10–4 oppfyller nå den nye funksjonen SIL 3. For å kunne dokumentere at funksjonen oppfyller alle krav til SIL 3 må man også dokumentere at strukturen for hver enkeltkomponent tilsfredstiler SIL 3 eller høyere. Da det nå benyttes 1oo2 votering er HFT=1 for alle enkeltkomponenter. I følge tabell 8.2 og 8.3 oppfyller da alle enkeltkomponenter SIL 3 ut i fra de SFF verdier som er gitt i tabell 1. Det er dermed dokumentert at hvis det innføres 1oo2 votering vil den endrede funksjonen oppfylle kravet for SIL 3.
Den resulterende feilraten for en IR gassdetektor forutsetter at selvtesten i detektoren finner 50% av de farlige feilene og rapporterer disse ved å gi et utgangssignal på 3mA. Hvilken feilrate må vi bruke for detektoren hvis vi kobler den til en 4-20mA inngang som ikke klarer å skille 3mA fra 4mA? Tips: se tabell 1 i vedlegget.
Ifølgetabell1ivedleggetharIRgassdetektorerenfeilrateDU på0.710–6.Denne
feilraten er basert på antakelsen at 50 % av alle Dangerous failures oppdages ved hjelp av detektorens interne Self-Test. Med andre ord reduseres antall Dangerus Undetected (DU) failures med 50 % ved hjelp Self-Test. Hvis feilene detektert av Self-Test ikke registreres av funksjonen som IR gassdetektoren inngår i, må antall udekteterte feil økes med 50%. Den nye feilraten kan dermed beregnes ved hjelp av
relasjonen 0.5 x = 0.7 10–6 . Feilraten vi må benytte når detektoren kobles til en 4- 20mA inngang som ikke klarer å skille mellom 3mA og 4mA er da x = 1.4 10–6 .
I kravspesifikasjonen for overtrykksikring av en separator er det angitt at funksjonen skal oppfylle SIL 2 og stenge ventilen på 20 sekunder.
i) Hvorfor er det krav om responstid på funksjonen?
ii) Hvordan kan man finne maksimalt tillatt responstid?
I denne oppgaven har SIL kravet har ikke direkte relevans for besvarelsen. Hensikten her er å se om studenten har tilstrekkelig generell forståelse av sikkerhet i prosessanlegg .
i) Kravet til responstid er satt ut i fra kunnskap om dynamikken til systemet som separatoren inngår i. Hvis ventilen ikke stenger i løpet av for eksempel 20 sekunder etter at en feilmodus er oppdaget, vil trykket i separatoren under gitte forutsetninger kunne stige forteren enn ventilen klarer å bløde ut, med den følge at separatoren til slutt sprenges.
ii) Det finnes flere måter å finne maksimalt tillatt responstid til ventilen. En måte er å benytte ekperimentelle data fra sammenlignbare systemer, en annen måte er å beregne verdien analytisk ut i fra en dynamisk modell av systement. En tredje metode er dynamisk simulering. Hvilken metode som er å foretrekke er vanskelig å si noe konkret om. Imidlertid må metoden som benyttes sikre at Test Uavhengige Feil (TUF) er lav nok til at SIL 2 oppfylles av sikkerhetsfunksjonen. Hvis metoden som benyttes er for unøyaktig, slik at faktisk maksimalt tillatt responstid er laveren enn beregnet, vil TUF nødvendigvis øke.
Hvilke prinsipielle forskjeller er det på egenskapene (ikke virkemåte/prinsipp) til en
optisk og en katalytisk gassdetektor?
Katalytisk/Optisk
Billig/tre ganger så dyr
Ikke mulig med automatisk selvtest eller kalibrering/selvtest er mulig
Ingen mulighet for failsafe design/mulighet for failsafe design
Kort vedlikeholdsintervall/Lengre vedlikeholdsintervall
Forgiftes av mange stoffer/ingen forgiftningsfenomener
Mettes ved høye gasskonsentrasjoner/ingenmetningsfenomener
Takler høye lufthastigheten dårlig/takler høye lufthastigheten
Avhengig av oksygen/ikke avhengig av oksygen
Krever mindre strøm/krever mye strøm
En oppgir ofte det som måles med en gassdetektor som for eksempel 20% gass. Hva er det dette regnes som prosent av? Tips: hva er 100% ?
I pensumboka står det at linjedetektorer ikke gir absolutt nivp men for eksempel LEL/
meter. Av dette kan det utledes at gassdetektorer generelt måles i prosent av LEL.
Hvordan virker en infrarød flammedetektor og hvorfor vil den vanligvis ikke gi alarm ved sveising, men likevel reagere på flammen fra en brann.
Infrarød flammedetektor benytter optisk deteksjon av bølgetopp for en gitt bølgelendge. Dektektorer som kun dektekterer én bølgelengde, såkalt enkeltstråle IR- detektorer, må dektektere en bølgelengde som sammenfaller med en strålingstopp i spekteret fra en flamme. Dette gir oftere trip da sensorenen blir mer følsom enn flerstråle IR-detektorer. I motsetning til enstråle IR-detektorer, benytter flerstråle IR- detektorer differansen mellom deteksjon av flere forskjellige bølgetopper som måleprinsipp. På denne måten sikrer man at så lenge det er brann med strålingstopp som samsvarer med en eller flere målte bølgetopper vil en differense eksistere. Hvis alle bølgetopper er tilstede vil ingen dekteksjon oppstå. Så lenge man er sikker på at dette kun skjer når det ikke er en flamme, vil færre trip oppstå. For å skille mellom åpen flamme og andre strålingskilder benyttes det et “blafre/flikker” filter (båndpassfilter 1-10Hz).
Siden lys fra sveising varierer med mye høyere frekvens enn 1-10Hz, vil sveising ikke bli dektektert, selv om stråling i fra sveisepunktet har strålingstopper som sammenfaller med en eller flere stråler i detektoren.
