De “Probability of Failure on Demand” (PFD) is een maat voor de effectiviteit van een veiligheidsfunctie. Het drukt de kans uit dat een systeem dat ontworpen is om een gevaarlijke situatie te voorkomen, zal falen op het moment dat juist een aanspraak op deze functie wordt gedaan.

De PFD van een veiligheidsfunctie hangt af van de faalkansen van alle componenten van de functie. Om de faalkansen te berekenen voor sensoren, logic solvers en actuatoren moeten er gegevens verzameld worden over alle mogelijke fouttoestand, inclusief die toestanden die gedetecteerd kunnen worden, de toestanden die niet gedetecteerd kunnen worden (door de ingebouwde diagnostische software), toestanden die ervoor zorgen dat het component als geheel naar een veilige toestand gaat en toestanden die ervoor zorgen dat er een gevaarlijke toestand ontstaat voor het hele component. In de praktijk is deze data voor nieuwe “SIL-compliant” componenten bekend, echter vaak niet voor oudere componenten.

Een andere belangrijke factor voor de PFD is de frequentie waarmee het systeem getest wordt. Er wordt aangenomen dat fouten gedetecteerd door het component zelf (middels de ingebouwde diagnostische software) snel gerepareerd worden. De fouten die echter niet gedetecteerd worden door het component worden alleen zichtbaar tijdens een complete systeem test. In de periode tussen het ontstaan van de fout en het uitvoeren van de test is het systeem niet beschikbaar indien er een aanspraak op de preventieve functie gedaan wordt.

Neem als voorbeeld de volgende twee componenten (bijvoorbeeld drukschakelaars) welke gekarakteriseerd worden door de faalkansen λdu en λdd, en waarvoor geen redundante schakelaars zijn geïnstalleerd (dus geen voting), welke iedere zes maanden onderworpen worden aan een systeem test (“Proof Test Interval”) en waarvoor ongeveer acht uur nodig is om een schakelaar te repareren (“Mean Time To Repair”):

Voorbeeld PFD-berekening

 

Component A and B hebben vergelijkbare faalkansen van 4.0·10-6 per uur. Toch is component B van een betere ontwerpkwaliteit omdat de ingebouwde diagnostische software meer fouten detecteert. Hierdoor is de PFD-waarde van component B veel lager.

Gerelateerd aan het Safety Integrity Level (SIIL) kunnen beide componenten gebruikt worden in een SIL-2 functie (PFD is hoger dan 0,001 maar lager dan 0,01), echter wel op voorwaarde dat de andere componenten in de veiligheidsfunctie (bijvoorbeeld logic solver, barriers, actuatoren) niet teveel toevoegen aan het totaal van gevaarlijke fouten zodat de PFD van de complete functie lager blijft dan 0,01.

Wij helpen u graag met alle benodigde berekeningen zodat u zich alleen hoeft te richten op de applicatie. Wij geven aan welke informatie we nodig hebben en maken op de praktijk gebaseerde aannames indien informatie niet beschikbaar is. Ook de interpretatie en de uitleg van de resultaten kunt u aan ons overlaten. Daarnaast zullen we advies geven hoe de PFD van de verschillende functies verbeterd kan worden met minimale impact op uw budget.