How taking credit for planned and unplanned shutdowns

can help you achieve your Safety Integrity Level (SIL)
targets
Keith Brumbaugh, P.E., CFSE 
Principal Specialist, SIS FEL 
Keith.Brumbaugh@aesolns.com 
aeSolutions 
 
Introduction
Achieving Safety Integrity Level (SIL) targets can be difficult when proof test intervals approach 
turnaround intervals of five years or more. However, some process units have planned and predictable 
unplanned shutdowns multiple times a year. During these shutdowns, it may be possible to document 
that the safety devices functioned properly. This can be incorporated into SIL verification calculations to 
show that performance targets can now be met without incorporating expensive fault tolerance, online 
testing schemes, etc. This can result in considerable cost savings for an operating unit. 
 
The problem
If a process plant is following the ANSI/ ISA 84.00.01 process safety lifecycle (i.e. ISA 84) or similar, as 
part of the allocation of safety functions to protection layers phase, a SIL assessment (e.g., a Layers of 
Protection Analysis (LOPA)) would be undertaken to assign Safety Integrity Levels (SIL) targets to a 
Safety Instrumented Function (SIF). A scenario could occur in the design and engineering phase of the 
ISA 84 safety lifecycle when performing the SIL verification calculations, that the team discovers the SIFs 
do not meet their performance target. Assuming the calculation was done properly using valid data and 
assumptions, something would need to change in order to meet or exceed the required performance 
targets. This issue could occur in a Greenfield plant when first designing a SIF, but is more likely to be 
discovered during a revalidation cycle of a brownfield plant. 

Various solutions to meet a SIL target

After an initial SIL verification calculation is performed but the performance target is not achieved, there 
are a number of options available to meet the SIL/ Risk Reduction Factor (RRF) target. This could include 
any number of the following options: Utilize model specific failure rate data, increase component fault 
tolerance, decrease the proof test interval, introduce partial stroke testing for valves, or even revisiting 
the LOPA to re‐evaluate the risk, other available independent protection layers, or possible conditional 
modifiers. 
Utilizing model specific failure rate data instead of generic failure rate data can sometimes be used if a 
target gap is small and the calculation just needs a little more performance to get over the line. 
Generally model specific data has been tested and calculated by a vendor, and certified as suitable in 
certain SIL level applications. This data generally shows a lower failure rate than a similar generic 
number. The drawback with using model specific data is twofold. First, the performance gains can be 
relatively minor compared to other options. Secondly, if a SIF was calculated using a particular model 
data, then the system must be installed with the exact same make and model component. This can limit 
a plant’s flexibility with maintenance for replacements. Also, if a particular model becomes obsolete in 
the future, the plant would be required to go back and revisit the SIL verification calculation and prove 
out the new model still meets the SIL verification calculation targets, resulting in some amount of 
rework which costs time and money. Another drawback is that vendor failure rate data may not include 
all sources of real world failures (i.e., their failure rate number may be optimistically low). 
Adding additional fault tolerance to a SIF is another option to meet a SIL target. For example, if the final 
element component is a single valve, this generally will limit the function’s performance to the lower 
end of the SIL 1 range assuming generic data was used. A good option to increase the function’s 
performance could be to add another valve for a 1oo2 configuration. This is generally good enough to 
get valves to meet the SIL 2 range (assuming an appropriate proof test interval). The obvious drawback 
however is this adds equipment installation and maintenance costs. An additional concern with 
increased fault tolerance is this also tends to increase plant nuisance trips unless another form of fault 
tolerance is used to increase system availability (e.g., 2oo3 voted sensors). However, the more 
equipment that is added, the greater the equipment, installation and maintenance costs. 
Increasing the proof test frequency works to improve system performance by revealing undetected 
dangerous failures more frequently. This can be a costly option however if a process shutdown is 
required to test the system. Down time is time the plant is not making any money. Online proof testing 
can be used to improve process availability. However, this form of testing often doesn't test the final 
element which is normally the largest contributor to Probability of Failure on Demand (PFD) in any 
function. 
Partial stroke testing is a method which can be used to partially test valves while keeping the system 
online. This is similar to doing an online proof test. It can be a useful solution, however partial stroke 
testing runs the risk of causing a spurious trip if implemented poorly. As an example, if a valve has a 
quick exhaust port installed in order to meet a response time requirement, even a quick partial stroke 
test could be enough to trigger the quick exhaust valve to dump the actuator cylinder pressure and 
cause the valve to close. This would cause a plant shutdown resulting in lost production, stress on the 
process, and an increase in risk resulting from a need to restart the unit. Also a partial stroke test does 
not detect all failures such a valve seat wear, or the valves’ ability to fully open or close. 
Another solution could be to revisit the SIL selection study. A team performing a follow up review might 
be able to apply additional independent protection layers or other assumptions to a scenario in order to 
lower a function’s performance target. If there are easy protection layers that could be claimed then this 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 2 
may be a good solution to save money in the long run. However, it may end up costing more money in 
the long run if the team has to come up with entirely new interlocks to address a risk gap. Besides the 
additional costs associated with reconvening a team and re‐issuing reports, if a whole new set of 
instrumentation needs to be purchased, including new sensors and final elements, this can become 
costly. Also, these extra interlocks would need to fall under the plant’s mechanical integrity 
management program.  

Taking credit for planned and unplanned shutdowns to help meet a SIL target
The previous options for increasing a SIF’s calculated performance target would all come with a set of 
advantages and disadvantages. The author would like to suggest an additional option which has many 
advantages and few disadvantages. The concept is taking credit in the SIL verification calculation for a 
planned or unplanned shutdown which has the opportunity to mainly test the final elements, but may 
also be implemented to test sensors (for example, low flow could be proven on a shutdown). 
They way this works is twofold. First, determine the frequency of a shutdown, and then apply credit for 
the shutdown (which includes design and operation requirements). To determine the frequency of a 
shutdown, the analyst would have to have knowledge of the plant’s operating history. A unit may 
shutdown frequently due factors such as a high number of unplanned spurious trips, planned outages 
for cleaning, or the process may be a batch operation. A good practice would be to capture this 
information up front during the LOPA. The LOPA team might mention that the plant trips a certain 
number of times per year. If the SIF design engineer followed up on this information, the engineer might 
discover that the final elements he/she wishes to utilize in the SIF are being actuated as part of the 
shutdown process. Another clue could be if a LOPA took a “time at risk” type conditional modifier credit 
in the SIF’s LOPA scenario. This could let the engineer know the process is only a hazard for a certain 
percentage of the year. In other words, the process comes down at a certain frequency for a certain 
duration. In any case, the design engineer ought to verify with operations any assumed shutdown 
frequencies prior to taking credit for a shutdown in the SIL verification calculations. 
Once a shutdown frequency has been established, the next step would be to apply this shutdown event 
as a “credit” in the SIL verification calculation. One method would be to apply a diagnostic credit to the 
calculation. For example, a process operates in a batch mode where reactor feed valves are opened and 
closed during each batch. The frequency of batch runs could be up to a few times a week. If the SIF 
needed to close the same reactor feed valves in the case of a demand (e.g., a runaway reaction), the SIF 
design engineer could apply a “diagnostic credit” (further described in the following sections) to the 
valves because they are being opened and closed at least weekly due to normal operations.  
It should be noted that this method of taking a diagnostic credit from a trip is assumed to not satisfy the 
requirements of a full proof test. This is simply a credit applied to the SIL verification calculation due to 
the proving of selected SIF elements. In other words, a full proof test would still be required at some 
point indicated in the Safety Requirements Specification (SRS). Further note, this is considered a 
diagnostic test of the selected SIF elements because the trip which is credited is not considered to be a 
demand on the SIF. In other words, the SIF demand rate should be less frequent than the process 
shutdown interval in order to justify taking a credit in the first place. During a non‐SIF demand trip of the 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 3 
SIF elements, the SIS system is automatically diagnosing the selected SIF elements during the trip and 
analyzing if they functioned as intended (pass or fail the test). 

Justification for applying diagnostic coverage in SIL verification calculations

Justification for applying diagnostic credits in a SIL verification calculation comes from the ISA 84 
standard. Diagnostic credits are allowed as part of determining SIF Probability of Failure on Demand 
(PFD, i.e., 1/RRF) per ANSI/ ISA‐84.00.01‐2004 Part 1 (IEC 61511‐1 Mod); clause 11.9.2.e: 
“The calculated probability of failure of each safety instrumented function due to hardware 
failures shall take into account 
[…] 
e) The diagnostic coverage of any periodic diagnostic tests (determined according to IEC 61511‐
2 ANSI/ISA‐84.00.01‐2004 Part 2 (IEC 61511‐2 Mod) the associated diagnostic test interval and 
the reliability for the diagnostic facilities […]” 
 
ISA 84 part 1 allows the diagnostic test. ISA 84 Part 2 addresses methods for determining the 
effectiveness of diagnostic tests. Following the reference in IEC 61511‐2 ANSI/ISA‐84.00.01‐2004 Part 2 
(IEC 61511‐2 Mod), Clause 11.9.2: 
“Most of the techniques in Annex A of this standard require some quantification of the 
diagnostic coverage of the SIS. Diagnostics are tests performed automatically to detect faults in 
the SIS that may result in safe or dangerous failures. 
A particular diagnostic technique cannot usually detect all possible faults. An estimate of the 
effectiveness of the diagnostics used may be provided for the set of faults being addressed. 
Subclasses 7.4.4.5 and 7.4.4.6 [7.4.5.2*] of IEC 61508‐2 provide requirements for how 
diagnostics could [**] be determined (see also Annex C of IEC 61508‐6 for an example of how 
diagnostic coverage is calculated).” 
 
* The 2004 ISA 84 standard makes a reference to the 2000 version of IEC 61508. The reference 
noted in this paper is to the 2010 version of IEC 61508 (i.e. 7.4.5.2). 
** Emphasis the author’s. 
 
ISA 84 Part 2, Clause 11.9.2 allows for the estimation of the effectiveness of the diagnostic. Due to the 
“could” statement, ISA 84 Part 2 is saying that IEC 61508‐2 and IEC 61508‐6 can be referenced in 
determining diagnostic effectiveness, but are not required. With that in mind, reference to IEC 61508‐2, 
clause 7.4.5.2: 
“The estimate of the achieved failure measure for each safety function, as required by 7.4.5.1, 
shall take into account: 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 4 
 […] 
e) The diagnostic coverage of the diagnostic tests (determined according to Annex C), the 
associated diagnostic test interval and the rate of dangerous unrevealed failure of the 
diagnostics due to random hardware failures of each subsystem.” 
Following IEC 61508‐2, Annex C: 
“[…] 
C.1 Calculation of diagnostic coverage and safe failure fraction of a hardware element 
[…]” 
This clause calls out a Failure Modes and Effect Diagnostic Analysis (FMEDA) analysis to support 
diagnostic coverage numbers. However, this should be considered in light of ISA 84 Part 2’s “could be 
determined” statement. In other words, the team could come up with its own qualitative or quantitative 
method of determining diagnostic coverage. Continuing the reference in IEC 61508‐2, Annex C: 
“C.2 Determination of diagnostic coverage factors 
[…] 
In order to calculate diagnostic coverage it is necessary to determine those failure modes that 
are detected by the diagnostic tests. It is possible that open‐circuit or short‐circuit failures for 
simple components (resistors, capacitors, transistors) can be detected with a coverage of 100 %. 
However, for more complex type B elements […] account should be taken of the limitations to 
diagnostic coverage for the various components shown in Table A.1. This analysis shall be 
carried out for each component, or group of components, of each element and for each element 
of the E/E/PE safety‐related system. 
NOTE 1 Tables A.2 to A.14 recommend techniques and measures for diagnostic tests and 
recommend maximum diagnostic coverage that can be claimed. These tests may operate 
continuously or periodically (depending on the diagnostic test interval). The tables do not 
replace any of the requirements of this annex.” 
Clause C.2 points toward Annex A as a representative method of determining diagnostic coverage. This 
clause details out a non‐exhaustive list of potential requirements (if following IEC 61508‐2) for various 
techniques and measures of detecting failures (low, medium, high): 
“A.1 General 
[…] 
Diagnostic coverage and safe failure fraction are determined on the basis of Table A.1 and 
according to procedures detailed in Annex C. Tables A.2 to A.14 support the requirements of 
Table A.1 by recommending techniques and measures for diagnostic tests and recommending 
maximum levels of diagnostic coverage that can be achieved using them. 
[…] 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 5 
 […]” 
Following the reference to table A.14: 
“[…] 

[…]”
These references can give an idea as to the appropriate levels of diagnostic credit capable; however 
team analysis should be conducted in order to quantify or qualify the numbers used. 
 
Summary of determining diagnostic credit
The preceding section listed out various standard references and an example of one method of 
determining diagnostic coverage. Note that there are many requirements listed in IEC 61508‐2 in 
regards to diagnostic coverage; the example above only listed a handful of requirements. Furthermore, 
note that IEC 61508‐6 Annex C shows an example of an FMEDA and application on the tables in IEC 
61508‐2 Annex A towards diagnostic coverage. 
Performing a full FMEDA is probably the most thorough method, yet such a method may be time 
consuming and would require intimate knowledge of the device and all of its failure modes. Some data 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 6 
sources have already gone through a FMEDA for similar devices and could be referenced for an end user 
to pick and choose applicable failure modes. One such example would be ISA Technical Report 
TR96.05.01‐2017 “Partial Stroke Testing of Automated Valves”. These technical reports list failure 
modes, diagnostics levels, and means of detection and monitoring for various valve failures from a panel 
of industry experts. The reports are informative and as such could be referenced when determining 
diagnostic coverage for a full stroke of a valve (note, the Technical report references diagnostic coverage 
for both partial and full stroke testing of valves). 
Something as simple as qualitatively examining industry recognized generic failure rate information for a 
similar diagnostic (such as partial stroke testing), and determining if a similarity exists (full valve stroking 
with monitored outputs) and as such, similar diagnostic coverage could be assumed. As long as 
Recognized and Generally Accepted Good Engineering Practices (RAGAGEP) principals are followed and 
documented sufficiently, a qualitative approach should suffice. 

Applying diagnostic credit from a shutdown event

Once a diagnostic credit is justified, a SIL verification calculation may factor the credit into the equation. 
There are a number of common tools available to perform SIL verification calculations (including 
simplified equations), each should have the functionality to utilize a periodic diagnostic credit. It should 
be ensured however that the diagnostic credit is only applied in such a way that it is only credited with 
detecting a certain percentage of the undetected failures at a frequency equal to the longest likely 
amount of time between each shutdown. In other words, if a shutdown is given a diagnostic credit of 
50%, and a plant shuts down 7 times a year, but past operating history documents the longest stretch 
between shutdowns was 5 months, a conservative diagnostic credit could be detection of 50% of 
dangerous undetected failures at a 6 month interval. 
As previously mentioned, the concept of a diagnostic credit could be applied to various types of 
shutdowns, both unplanned and planned. An example of an unplanned shutdown could be process 
related trips. Credit for valve actuation could be claimed if the SIF valve tripped due to being part of a 
different function that was activated by a different initiating event. Plant operating experience can give 
a good average of unplanned shutdowns per year. For any form of unplanned shutdown, there would 
always be an assumption that the plant will shut down at a certain frequency per year. A good practice 
therefore would be to track the device’s activation in order to validate assumed shutdown intervals. 
Results can and should be fed back into the initial assumptions of a shutdown interval (either more or 
less frequent than assumed). Note, it is important to verify the shutdowns are not due to the same SIF 
function’s demands; this could indicate that a SIF is actually in a high demand mode of operation, which 
might mean the LOPA needs to be re‐evaluated or a problem needs to be corrected. Also, such a SIF falls 
under different requirements compared to low demand mode. 
A more reliable metric of plant shutdowns comes from routine planned outages. An example could be 
routine maintenance shutdowns of equipment (which may contain SIF final elements). Taking this credit 
for planned shutdowns would be more reliable when the shutdown interval is known. Additionally 
further planning and analysis could take place during a planned shutdown in order to justify additional 
diagnostic credit compared to what one might be comfortable in claiming from an unplanned shutdown. 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 7 
This would be likely because the focus of an unplanned shutdown would be getting the unit back up and 
running as quickly as possible. For a planned shutdown it would still be wise to track the final element’s 
successful diagnostic’s occurrence in order to validate assumptions. 
 
Case study 1 – planned shutdown
The following case study details the application of a diagnostic credit in SIL verification calculations from 
proving SIF instrumentation during routine planned unit shutdowns. This client was located in southeast 
Texas operating a chemical plant. The client was adding new SIFs to their reactor unit to protect against 
various runaway reaction hazards. Each SIF would trip a feed valve into the reactor. It was a brownfield 
project where all piping and instrumentation had been in place for a number of years. The client wished 
to avoid adding new valves for their SIFs due to space constraints and cost. However, these SIFs had a 
high RRF requirement which typically could not be met with a single valve. Additionally the client 
wanted to maximize the amount of time between proof tests, which would be time consuming (note, 
the routine cleaning operation was not a full turn around, i.e. this operation would only take place for a 
few days before the unit would be restarted). 
Once the initial SIL verification calculations were completed, it was shown that SIFs with a single valve 
would not meet the RRF target with a test interval of five years. The sensors and logic solver were not a 
significant contributor to limiting system performance. As usual, performance was limited due to the 
final elements. The initial Probability of Failure on Demand average (PFDavg) calculation for the valve was 
as follows: 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 8 
   

Figure 1: Initial PFDavg valve calculation 

 These results were taken back to the client team, and discussions turned to inquiring about unit 
shutdowns which might be occurring where the team could apply diagnostic credit for valve actuation. 
The team had previously mentioned that the reactor had a tendency to plug due to salt deposits and as 
such, needed to be flushed and cleaned routinely. It turned out that the reactor was shut down at least 
every 6 months in order to do a full cleaning of the equipment for de‐salting. Once this was determined, 
the team agreed to utilize a diagnostic credit for these planned shutdowns since the reactor feeds would 
need to be shut down every 6 months for the same cleaning. 
To determine the amount of credit achievable for a full stroke of the valves, the team chose to turn to a 
qualitative approach. Partial stroke test failure rate data was known for the generic devices modeled in 
the SIL verification calculation, but not full stroke diagnostic data. The design team qualitatively 
concluded that a monitored full stroke of the valves should reveal at least as many failures as a partial 
stroke test. Therefore the team applied the same amount of diagnostic credit to the 6 month shutdown 
as would be applied from a partial stroke test. This diagnostic credit was applied to the SIL verification 
calculation and factored into the SIL verification calculation as detecting around 50% of all undetected 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 9 
failures, once every 6 months. This data was then fed back into the SIL calculation and applied as a 
diagnostic credit. The final PFDavg calculation for the valve, with diagnostic credit, was as follows: 

Figure 2: Final PFDavg valve calculation (with diagnostic credit) 

In order to put it all together, the design team called out that whenever the SIF valves were tripped for 
any reason, the SIS would begin monitoring of the final element output states (flow, and/ or valve 
position) as soon as the SIS commanded the SIF valves to close (which occurred for any shutdown). The 
responses would be timed such that if the desired response was not reached within the time limit, an 
alarm would be generated to inform operations of a dangerous detected failure of the SIF final 
elements. Since the plant did not previously have an SIS, there was a need to change the Distributed 
Control System (DCS) programming for unit shutdown. It was modified such that the shutdown process 
would allow the SIS shutdown valves adequate time to actuate first and be monitored for success, 
before the control valves actuated. If everything shut at the same time the risk was the SIS shutdown 
valve monitoring would be un‐specific and thus the assumed diagnostic credit would not be appropriate. 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 10 
If a process line had both a DCS control valve and an SIS shutdown valve, the SIS would shut down the 
SIS valve first and monitor for the proper process response, and then send a command to the DCS to 
permit the DCS valve to close (either after a successful closure of the shutdown valve, or a time out 
failure). Also, if operations wanted to close a process feed manually, the shutdown request would be 
routed to the SIS first to attempt to close and monitor the shutdown valve, and then the DCS controlled 
valve would be commanded to shut (note this was programmed in such a way as to not interfere with 
normal operations). 
 
Case study 2 – unplanned shutdown
Another case study comes from applying diagnostic credit in SIL verification calculations due to 
unplanned unit shutdowns. This client was located in east Texas operating a chemical plant. The client 
was adding new SIFs to an existing SIS due to new hazards discovered in a LOPA revalidation. The SIF 
function was to purge a reactor line with nitrogen, and then block in the nitrogen to maintain a wedge 
between the reactants and the reactor. The SIF was required to meet a low SIL 1 target, however the 
valves were required to open in a 2oo2 configuration in order to maintain the safe state. The client also 
wanted to sustain a 5 year proof test interval. These requirements proved to be too much for the SIF to 
meet the SIL target without any other forms of credit. 
This time the team had disclosed in advance that the reactor underwent a shut down on average, 7 
times a year. This data had been applied to the LOPA as a frequency of occurrence credit for the 
scenario. The scenario was that during a shutdown, there was a probability of 1 in 20 shutdowns that a 
high temperature mixing reaction could take place in the pipeline resulting in pipeline rupture at a 
minimum. Knowing this data, the engineering team was able to follow up with operations to further 
analyze this issue. The team confirmed that the unit underwent a shut down approximately 7 times a 
year, however operations was not willing to say the shutdowns were routine enough to claim a 
diagnostic credit every two months. Instead, they said some years they might operate the unit more 
reliably than other years, and they could get to a point where they only shutdown once every 6 months. 
With this information in hand, the design team chose to apply the diagnostic credit on a 6 month 
interval basis to be conservative. 
The engineering team then used a similar analysis as the previous case study whereby the team, lacking 
data for the diagnostic credit available for a full stroke of the valves, qualitatively concluded that a 
monitored full stroke of the valves should reveal at least as many failures as a partial stroke test. 
Therefore the team applied the same amount of diagnostic credit to the 6 month shutdown as would be 
applied from a partial stroke test (around 50% diagnostic credit). Unfortunately this time, the diagnostic 
credit was not enough to meet the RRF target. The deign team then approached the maintenance/ proof 
testing teams and client project teams again to determine if they would be willing to add additional 
monitoring to their SIF to justify a diagnostic credit greater than 50%. The project team confirmed that 
they would implement both limit switch monitoring of two valves, as well as measure process pressure 
during the purge to determine a successful purge (due to the purge nitrogen being at a much higher 
pressure than normal process operating pressure). With these two sets of diagnostics available, the 

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 11 
team felt confident to bump up the diagnostic credit to 75% every 6 months. This ended up being 
sufficient to meet the RRF targets of the SIF. 
Since the team’s approach in determining the diagnostic credit was mostly qualitative, the team placed 
extra requirements on the SIS programming. It was decided to include a diagnostic monitoring alarm 
which would be traceable throughout a proof test period to assure the diagnostic was occurring. An 
alarm would occur if the test was not performed on time. Also, the sensor components utilized in the 
diagnostic test were added to the proof test procedure as critical equipment to be monitored and 
maintained. 
 
Summary
There are many different ways to design a SIF to meet performance targets. Some approaches are 
questionable, but applying a diagnostic credit from a shutdown is not. This approach is documented in 
many different safety lifecycle design standards and technical references. Applying a diagnostic credit 
from a unit shutdown is another useful tool in an engineer’s tool bag. This credit may require more 
interface with the unit operating team during design than is typical, but it can enable a SIF to close a risk 
gap without adding other costly measures and save time and money in the long run.  
 
References
1. ANSI/ISA—84.00.01—2004 Part 1 (IEC 61511‐1 Mod), “Functional Safety: Safety Instrumented 
Systems for the Process Industry Sector — Part 1: Framework, Definitions, System, Hardware and 
Software Requirements,” Approved 2 September 2004. 
2. ANSI/ISA—84.00.01—2004 Part 2 (IEC 61511‐2 Mod), “Functional Safety: Safety Instrumented 
Systems for the Process Industry Sector — Part 2: Guidelines for the Application of ANSI/ISA—
84.00.01—2004 Part 1 (IEC 61511‐1 Mod),” Approved 2 September 2004. 
3. BS EN 61508‐2:2010, “Functional safety of electrical/ electronic/programmable electronic safety‐
related systems ‐ Part 2: Requirements for electrical/electronic/ programmable electronic safety‐
related systems,” June 30, 2010. 
4. Safety Equipment Reliability Handbook, database version: 2017.3.02, Exida  
5. ISA Technical Report TR96.05.01‐2017, “Partial Stroke Testing of Automated Valves” 
6. ISA‐TR84.00.02‐2002 ‐ Part 2, “Safety Instrumented Functions (SIF)‐Safety Integrity Level (SIL) 
Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations,” Approved 17 
June 2002.  

©2018 aeSolutions  Keith Brumbaugh, P.E., CFSE  Jan 23, 2018 

73nd Annual Instrumentation and Automation Symposium  Page 12