How taking credit for planned and unplanned shutdowns
can help you achieve your Safety Integrity Level (SIL)
Keith Brumbaugh, P.E., CFSE 
Principal Specialist, SIS FEL 
Achieving Safety Integrity Level (SIL) targets can be difficult when proof test intervals approach 
turnaround intervals of five years or more. However, some process units have planned and predictable 
unplanned shutdowns multiple times a year. During these shutdowns, it may be possible to document 
that the safety devices functioned properly. This can be incorporated into SIL verification calculations to 
show that performance targets can now be met without incorporating expensive fault tolerance, online 
testing schemes, etc. This can result in considerable cost savings for an operating unit. 
The problem
If a process plant is following the ANSI/ ISA 84.00.01 process safety lifecycle (i.e. ISA 84) or similar, as 
part of the allocation of safety functions to protection layers phase, a SIL assessment (e.g., a Layers of 
Protection Analysis (LOPA)) would be undertaken to assign Safety Integrity Levels (SIL) targets to a 
Safety Instrumented Function (SIF). A scenario could occur in the design and engineering phase of the 
ISA 84 safety lifecycle when performing the SIL verification calculations, that the team discovers the SIFs 
do not meet their performance target. Assuming the calculation was done properly using valid data and 
assumptions, something would need to change in order to meet or exceed the required performance 
targets. This issue could occur in a Greenfield plant when first designing a SIF, but is more likely to be 
discovered during a revalidation cycle of a brownfield plant. 

Various solutions to meet a SIL target
After an initial SIL verification calculation is performed but the performance target is not achieved, there 
are a number of options available to meet the SIL/ Risk Reduction Factor (RRF) target. This could include 
any number of the following options: Utilize model specific failure rate data, increase component fault 
tolerance, decrease the proof test interval, introduce partial stroke testing for valves, or even revisiting 

 P. then the system must be installed with the exact same make and model component.E. or the valves’ ability to fully open or close..  Another solution could be to revisit the SIL selection study. This data generally shows a lower failure rate than a similar generic  number. this generally will limit the function’s performance to the lower  end of the SIL 1 range assuming generic data was used. The obvious drawback  however is this adds equipment installation and maintenance costs. their failure rate number may be optimistically low). this form of testing often doesn't test the final  element which is normally the largest contributor to Probability of Failure on Demand (PFD) in any  function. A good option to increase the function’s  performance could be to add another valve for a 1oo2 configuration. This is generally good enough to  get valves to meet the SIL 2 range (assuming an appropriate proof test interval). Also a partial stroke test does  not detect all failures such a valve seat wear. A team performing a follow up review might  be able to apply additional independent protection layers or other assumptions to a scenario in order to  lower a function’s performance target. installation and maintenance costs. It can be a useful solution. Down time is time the plant is not making any money. the more  equipment that is added. This is similar to doing an online proof test. 2018  73nd Annual Instrumentation and Automation Symposium  Page 2  . Online proof testing  can be used to improve process availability. An additional concern with  increased fault tolerance is this also tends to increase plant nuisance trips unless another form of fault  tolerance is used to increase system availability (e.. if a valve has a  quick exhaust port installed in order to meet a response time requirement. However. This can limit  a plant’s flexibility with maintenance for replacements. As an example. For example. however partial stroke  testing runs the risk of causing a spurious trip if implemented poorly.the LOPA to re‐evaluate the risk. First. Also. the performance gains can be  relatively minor compared to other options. resulting in some amount of  rework which costs time and money. if the final  element component is a single valve. This would cause a plant shutdown resulting in lost production. other available independent protection layers. Another drawback is that vendor failure rate data may not include  all sources of real world failures (i. if a particular model becomes obsolete in  the future. The drawback with using model specific data is twofold.  Partial stroke testing is a method which can be used to partially test valves while keeping the system  online. or possible conditional  modifiers. 2oo3 voted sensors).g.  Utilizing model specific failure rate data instead of generic failure rate data can sometimes be used if a  target gap is small and the calculation just needs a little more performance to get over the line. if a SIF was calculated using a particular model  data.. the plant would be required to go back and revisit the SIL verification calculation and prove  out the new model still meets the SIL verification calculation targets. even a quick partial stroke  test could be enough to trigger the quick exhaust valve to dump the actuator cylinder pressure and  cause the valve to close.  Increasing the proof test frequency works to improve system performance by revealing undetected  dangerous failures more frequently. However. the greater the equipment.e. stress on the  process.  Adding additional fault tolerance to a SIF is another option to meet a SIL target.  Generally model specific data has been tested and calculated by a vendor. This can be a costly option however if a process shutdown is  required to test the system. If there are easy protection layers that could be claimed then this  ©2018 aeSolutions  Keith Brumbaugh. and certified as suitable in  certain SIL level applications. and an increase in risk resulting from a need to restart the unit. CFSE  Jan 23. Secondly.

  Once a shutdown frequency has been established. In other words.g. the SIF demand rate should be less frequent than the process  shutdown interval in order to justify taking a credit in the first place. Another clue could be if a LOPA took a “time at risk” type conditional modifier credit  in the SIF’s LOPA scenario. If the SIF design engineer followed up on this information. This could let the engineer know the process is only a hazard for a certain  percentage of the year. and then apply credit for  the shutdown (which includes design and operation requirements). if a whole new set of  instrumentation needs to be purchased. CFSE  Jan 23. the design engineer ought to verify with operations any assumed shutdown  frequencies prior to taking credit for a shutdown in the SIL verification calculations. For example.   Taking credit for planned and unplanned shutdowns to help meet a SIL target The previous options for increasing a SIF’s calculated performance target would all come with a set of  advantages and disadvantages. The author would like to suggest an additional option which has many  advantages and few disadvantages. determine the frequency of a shutdown. In any case. the engineer might  discover that the final elements he/she wishes to utilize in the SIF are being actuated as part of the  shutdown process. This is simply a credit applied to the SIL verification calculation due to  the proving of selected SIF elements. a process operates in a batch mode where reactor feed valves are opened and  closed during each batch. a runaway reaction). First. Further note. including new sensors and final elements.  They way this works is twofold. the analyst would have to have knowledge of the plant’s operating history. To determine the frequency of a  shutdown. Also.. planned outages  for cleaning.. this is considered a  diagnostic test of the selected SIF elements because the trip which is credited is not considered to be a  demand on the SIF.may be a good solution to save money in the long run. it may end up costing more money in  the long run if the team has to come up with entirely new interlocks to address a risk gap. low flow could be proven on a shutdown). or the process may be a batch operation. but may  also be implemented to test sensors (for example. Besides the  additional costs associated with reconvening a team and re‐issuing reports. these extra interlocks would need to fall under the plant’s mechanical integrity  management program. P. In other words. One method would be to apply a diagnostic credit to the  calculation.E. the next step would be to apply this shutdown event  as a “credit” in the SIL verification calculation. During a non‐SIF demand trip of the  ©2018 aeSolutions  Keith Brumbaugh. The concept is taking credit in the SIL verification calculation for a  planned or unplanned shutdown which has the opportunity to mainly test the final elements. If the SIF  needed to close the same reactor feed valves in the case of a demand (e. a full proof test would still be required at some  point indicated in the Safety Requirements Specification (SRS). A unit may  shutdown frequently due factors such as a high number of unplanned spurious trips. this can become  costly. The LOPA team might mention that the plant trips a certain  number of times per year. A good practice would be to capture this  information up front during the LOPA. The frequency of batch runs could be up to a few times a week. the process comes down at a certain frequency for a certain  duration. 2018  73nd Annual Instrumentation and Automation Symposium  Page 3  . However. the SIF  design engineer could apply a “diagnostic credit” (further described in the following sections) to the  valves because they are being opened and closed at least weekly due to normal operations.   It should be noted that this method of taking a diagnostic credit from a trip is assumed to not satisfy the  requirements of a full proof test. In other words.

2.5.1.  shall take into account:  ©2018 aeSolutions  Keith Brumbaugh. Following the reference in IEC 61511‐2 ANSI/ISA‐84. as required by 7.  clause*] of IEC 61508‐2 provide requirements for how  diagnostics could [**] be determined (see also Annex C of IEC 61508‐6 for an example of how  diagnostic coverage is calculated).9.2:  “The estimate of the achieved failure measure for each safety function. allows for the estimation of the effectiveness of the diagnostic.00. Diagnostics are tests performed automatically to detect faults in  the SIS that may result in safe or dangerous failures.5. the SIS system is automatically diagnosing the selected SIF elements during the trip and  analyzing if they functioned as intended (pass or fail the test).5 and 7. ISA 84 Part 2 is saying that IEC 61508‐2 and IEC 61508‐6 can be referenced in  determining diagnostic effectiveness.01‐2004 Part 2 (IEC 61511‐2 Mod) the associated diagnostic test interval and  the reliability for the diagnostic facilities […]”    ISA 84 part 1 allows the diagnostic test.4. An estimate of the  effectiveness of the diagnostics used may be provided for the set of faults being addressed. 7. reference to IEC 61508‐2.e.00.4.e. With that in mind. clause 11. The reference  noted in this paper is to the 2010 version of IEC 61508 (i.01‐2004 Part 1 (IEC 61511‐1 Mod).2).4.5. ISA 84 Part 2 addresses methods for determining the  effectiveness of diagnostic tests. but are not required.6 [7. Diagnostic credits are allowed as part of determining SIF Probability of Failure on Demand  (PFD.    ISA 84 Part 2..SIF elements.00. Clause 11. i.e:  “The calculated probability of failure of each safety instrumented function due to hardware  failures shall take into account  […]  e) The diagnostic coverage of any periodic diagnostic tests (determined according to IEC 61511‐ 2 ANSI/ISA‐84.01‐2004 Part 2  (IEC 61511‐2 Mod).  Subclasses 7. P.  Justification for applying diagnostic coverage in SIL verification calculations Justification for applying diagnostic credits in a SIL verification calculation comes from the ISA 84  standard. Due to the  “could” statement.E.  ** Emphasis the author’s.2:  “Most of the techniques in Annex A of this standard require some quantification of the  diagnostic coverage of the SIS. 1/RRF) per ANSI/ ISA‐84. CFSE  Jan 23.4.”    * The 2004 ISA 84 standard makes a reference to the 2000 version of IEC 61508.4.. Clause 11.  A particular diagnostic technique cannot usually detect all possible faults. 2018  73nd Annual Instrumentation and Automation Symposium  Page 4  .

  […]  ©2018 aeSolutions  Keith Brumbaugh.1.1 by recommending techniques and measures for diagnostic tests and recommending  maximum levels of diagnostic coverage that can be achieved using them.  However.”  Following IEC 61508‐2. It is possible that open‐circuit or short‐circuit failures for  simple components (resistors. […]  e) The diagnostic coverage of the diagnostic tests (determined according to Annex C). 2018  73nd Annual Instrumentation and Automation Symposium  Page 5  . Annex C:  “C.2 Determination of diagnostic coverage factors  […]  In order to calculate diagnostic coverage it is necessary to determine those failure modes that  are detected by the diagnostic tests.2 to A.14 recommend techniques and measures for diagnostic tests and  recommend maximum diagnostic coverage that can be claimed.. The tables do not  replace any of the requirements of this annex. capacitors. These tests may operate  continuously or periodically (depending on the diagnostic test interval). this should be considered in light of ISA 84 Part 2’s “could be  determined” statement.”  Clause C.  NOTE 1 Tables A.1 Calculation of diagnostic coverage and safe failure fraction of a hardware element  […]”  This clause calls out a Failure Modes and Effect Diagnostic Analysis (FMEDA) analysis to support  diagnostic coverage numbers. This analysis shall be  carried out for each component. CFSE  Jan 23. However. Annex C:  “[…]  C.1 and  according to procedures detailed in Annex C. the  associated diagnostic test interval and the rate of dangerous unrevealed failure of the  diagnostics due to random hardware failures of each subsystem.E. for more complex type B elements […] account should be taken of the limitations to  diagnostic coverage for the various components shown in Table A. of each element and for each element  of the E/E/PE safety‐related system. high):  “A. In other words. or group of components. P. transistors) can be detected with a coverage of 100 %. Tables A. This  clause details out a non‐exhaustive list of potential requirements (if following IEC 61508‐2) for various  techniques and measures of detecting failures (low.2 points toward Annex A as a representative method of determining diagnostic coverage.1 General  […]  Diagnostic coverage and safe failure fraction are determined on the basis of Table A.14 support the requirements of  Table A. Continuing the reference in IEC 61508‐2. medium.2 to A. the team could come up with its own qualitative or quantitative  method of determining diagnostic coverage.

E. 2018  73nd Annual Instrumentation and Automation Symposium  Page 6  . Some data  ©2018 aeSolutions  Keith Brumbaugh..  Performing a full FMEDA is probably the most thorough method.  note that IEC 61508‐6 Annex C shows an example of an FMEDA and application on the tables in IEC  61508‐2 Annex A towards diagnostic coverage. […]”  Following the reference to table A. Note that there are many requirements listed in IEC 61508‐2 in  regards to diagnostic coverage. however  team analysis should be conducted in order to quantify or qualify the numbers used. Furthermore. yet such a method may be time  consuming and would require intimate knowledge of the device and all of its failure modes. the example above only listed a handful of requirements. P.14:  “[…]  […]” These references can give an idea as to the appropriate levels of diagnostic credit capable.    Summary of determining diagnostic credit The preceding section listed out various standard references and an example of one method of  determining diagnostic coverage. CFSE  Jan 23.

 if a shutdown is given a diagnostic credit of  50%. the concept of a diagnostic credit could be applied to various types of  shutdowns.  There are a number of common tools available to perform SIL verification calculations (including  simplified equations). Additionally  further planning and analysis could take place during a planned shutdown in order to justify additional  diagnostic credit compared to what one might be comfortable in claiming from an unplanned shutdown.  As previously mentioned. As long as  Recognized and Generally Accepted Good Engineering Practices (RAGAGEP) principals are followed and  documented sufficiently.sources have already gone through a FMEDA for similar devices and could be referenced for an end user  to pick and choose applicable failure modes.  Something as simple as qualitatively examining industry recognized generic failure rate information for a  similar diagnostic (such as partial stroke testing). each should have the functionality to utilize a periodic diagnostic credit.05. which  might mean the LOPA needs to be re‐evaluated or a problem needs to be corrected. One such example would be ISA Technical Report  TR96. A good practice  therefore would be to track the device’s activation in order to validate assumed shutdown intervals. such a SIF falls  under different requirements compared to low demand mode.  ©2018 aeSolutions  Keith Brumbaugh. and determining if a similarity exists (full valve stroking  with monitored outputs) and as such. These technical reports list failure  modes. An example of an unplanned shutdown could be process  related trips. Plant operating experience can give  a good average of unplanned shutdowns per year. Note. a SIL verification calculation may factor the credit into the equation. Also.  Results can and should be fed back into the initial assumptions of a shutdown interval (either more or  less frequent than assumed).01‐2017 “Partial Stroke Testing of Automated Valves”. For any form of unplanned shutdown.. this could indicate that a SIF is actually in a high demand mode of operation. and a plant shuts down 7 times a year. An example could be  routine maintenance shutdowns of equipment (which may contain SIF final elements). Credit for valve actuation could be claimed if the SIF valve tripped due to being part of a  different function that was activated by a different initiating event. 2018  73nd Annual Instrumentation and Automation Symposium  Page 7  . In other words. a qualitative approach should suffice. there would  always be an assumption that the plant will shut down at a certain frequency per year. P. a conservative diagnostic credit could be detection of 50% of  dangerous undetected failures at a 6 month interval. but past operating history documents the longest stretch  between shutdowns was 5 months. similar diagnostic coverage could be assumed.E. It should  be ensured however that the diagnostic credit is only applied in such a way that it is only credited with  detecting a certain percentage of the undetected failures at a frequency equal to the longest likely  amount of time between each shutdown. the Technical report references diagnostic coverage  for both partial and full stroke testing of valves).  A more reliable metric of plant shutdowns comes from routine planned outages. The reports are informative and as such could be referenced when determining  diagnostic coverage for a full stroke of a valve (note. diagnostics levels. CFSE  Jan 23. and means of detection and monitoring for various valve failures from a panel  of industry experts.  Applying diagnostic credit from a shutdown event Once a diagnostic credit is justified. it is important to verify the shutdowns are not due to the same SIF  function’s demands. Taking this credit  for planned shutdowns would be more reliable when the shutdown interval is known. both unplanned and planned.

 2018  73nd Annual Instrumentation and Automation Symposium  Page 8  . P. The sensors and logic solver were not a  significant contributor to limiting system performance. Each SIF would trip a feed valve into the reactor. CFSE  Jan 23.    Case study 1 – planned shutdown The following case study details the application of a diagnostic credit in SIL verification calculations from  proving SIF instrumentation during routine planned unit shutdowns.This would be likely because the focus of an unplanned shutdown would be getting the unit back up and  running as quickly as possible. performance was limited due to the  final elements.  Once the initial SIL verification calculations were completed. it was shown that SIFs with a single valve  would not meet the RRF target with a test interval of five years.e. The client wished  to avoid adding new valves for their SIFs due to space constraints and cost. This client was located in southeast  Texas operating a chemical plant. which would be time consuming (note. i. The client was adding new SIFs to their reactor unit to protect against  various runaway reaction hazards. this operation would only take place for a  few days before the unit would be restarted). these SIFs had a  high RRF requirement which typically could not be met with a single valve.E. The initial Probability of Failure on Demand average (PFDavg) calculation for the valve was  as follows:  ©2018 aeSolutions  Keith Brumbaugh.  the routine cleaning operation was not a full turn around. For a planned shutdown it would still be wise to track the final element’s  successful diagnostic’s occurrence in order to validate assumptions. It was a brownfield  project where all piping and instrumentation had been in place for a number of years.. As usual. However. Additionally the client  wanted to maximize the amount of time between proof tests.

 P. The design team qualitatively  concluded that a monitored full stroke of the valves should reveal at least as many failures as a partial  stroke test. and discussions turned to inquiring about unit  shutdowns which might be occurring where the team could apply diagnostic credit for valve actuation. Therefore the team applied the same amount of diagnostic credit to the 6 month shutdown  as would be applied from a partial stroke test.  The team had previously mentioned that the reactor had a tendency to plug due to salt deposits and as  such.  the team agreed to utilize a diagnostic credit for these planned shutdowns since the reactor feeds would  need to be shut down every 6 months for the same cleaning. needed to be flushed and cleaned routinely. 2018  73nd Annual Instrumentation and Automation Symposium  Page 9  . the team chose to turn to a  qualitative approach.    Figure 1: Initial PFDavg valve calculation   These results were taken back to the client team. Partial stroke test failure rate data was known for the generic devices modeled in  the SIL verification calculation. This diagnostic credit was applied to the SIL verification  calculation and factored into the SIL verification calculation as detecting around 50% of all undetected  ©2018 aeSolutions  Keith Brumbaugh.  To determine the amount of credit achievable for a full stroke of the valves..E. Once this was determined. but not full stroke diagnostic data. It turned out that the reactor was shut down at least  every 6 months in order to do a full cleaning of the equipment for de‐salting. CFSE  Jan 23.

 and/ or valve  position) as soon as the SIS commanded the SIF valves to close (which occurred for any shutdown).E. 2018  73nd Annual Instrumentation and Automation Symposium  Page 10  . CFSE  Jan 23. It was modified such that the shutdown process  would allow the SIS shutdown valves adequate time to actuate first and be monitored for success. once every 6 months. the design team called out that whenever the SIF valves were tripped for  any reason..failures. was as follows:    Figure 2: Final PFDavg valve calculation (with diagnostic credit)  In order to put it all together.  before the control valves actuated. The  responses would be timed such that if the desired response was not reached within the time limit.  ©2018 aeSolutions  Keith Brumbaugh. Since the plant did not previously have an SIS. This data was then fed back into the SIL calculation and applied as a  diagnostic credit. with diagnostic credit. If everything shut at the same time the risk was the SIS shutdown  valve monitoring would be un‐specific and thus the assumed diagnostic credit would not be appropriate. The final PFDavg calculation for the valve. the SIS would begin monitoring of the final element output states (flow. P. an  alarm would be generated to inform operations of a dangerous detected failure of the SIF final  elements. there was a need to change the Distributed  Control System (DCS) programming for unit shutdown.

 The client also  wanted to sustain a 5 year proof test interval. the diagnostic  credit was not enough to meet the RRF target. or a time out  failure). as well as measure process pressure  during the purge to determine a successful purge (due to the purge nitrogen being at a much higher  pressure than normal process operating pressure). however the  valves were required to open in a 2oo2 configuration in order to maintain the safe state. and then the DCS controlled  valve would be commanded to shut (note this was programmed in such a way as to not interfere with  normal operations).E. however operations was not willing to say the shutdowns were routine enough to claim a  diagnostic credit every two months. there was a probability of 1 in 20 shutdowns that a  high temperature mixing reaction could take place in the pipeline resulting in pipeline rupture at a  minimum. if operations wanted to close a process feed manually. Also. and then block in the nitrogen to maintain a wedge  between the reactants and the reactor.. The client  was adding new SIFs to an existing SIS due to new hazards discovered in a LOPA revalidation. Knowing this data. and they could get to a point where they only shutdown once every 6 months. P. These requirements proved to be too much for the SIF to  meet the SIL target without any other forms of credit. The deign team then approached the maintenance/ proof  testing teams and client project teams again to determine if they would be willing to add additional  monitoring to their SIF to justify a diagnostic credit greater than 50%. With these two sets of diagnostics available.  This time the team had disclosed in advance that the reactor underwent a shut down on average. The scenario was that during a shutdown. the  ©2018 aeSolutions  Keith Brumbaugh. and then send a command to the DCS to  permit the DCS valve to close (either after a successful closure of the shutdown valve.If a process line had both a DCS control valve and an SIS shutdown valve.  With this information in hand. the engineering team was able to follow up with operations to further  analyze this issue.    Case study 2 – unplanned shutdown Another case study comes from applying diagnostic credit in SIL verification calculations due to  unplanned unit shutdowns. Unfortunately this time. The SIF  function was to purge a reactor line with nitrogen. The team confirmed that the unit underwent a shut down approximately 7 times a  year. The project team confirmed that  they would implement both limit switch monitoring of two valves. Instead.  Therefore the team applied the same amount of diagnostic credit to the 6 month shutdown as would be  applied from a partial stroke test (around 50% diagnostic credit). This client was located in east Texas operating a chemical plant. The SIF was required to meet a low SIL 1 target. they said some years they might operate the unit more  reliably than other years. the SIS would shut down the  SIS valve first and monitor for the proper process response. CFSE  Jan 23. qualitatively concluded that a  monitored full stroke of the valves should reveal at least as many failures as a partial stroke test. the design team chose to apply the diagnostic credit on a 6 month  interval basis to be conservative.  The engineering team then used a similar analysis as the previous case study whereby the team. This data had been applied to the LOPA as a frequency of occurrence credit for the  scenario. 2018  73nd Annual Instrumentation and Automation Symposium  Page 11  . lacking  data for the diagnostic credit available for a full stroke of the valves. the shutdown request would be  routed to the SIS first to attempt to close and monitor the shutdown valve. 7  times a year.

Safety Equipment Reliability Handbook.01—2004 Part 1 (IEC 61511‐1 Mod).” Approved 2 September 2004. 2018  73nd Annual Instrumentation and Automation Symposium  Page 12  . Hardware and  Software Requirements. “Functional safety of electrical/ electronic/programmable electronic safety‐ related systems ‐ Part 2: Requirements for electrical/electronic/ programmable electronic safety‐ related systems. database version: 2017.    Summary There are many different ways to design a SIF to meet performance targets. Also. It was decided to include a diagnostic monitoring alarm  which would be traceable throughout a proof test period to assure the diagnostic was occurring.” June 30. An  alarm would occur if the test was not performed on time. but applying a diagnostic credit from a shutdown is not. This credit may require more  interface with the unit operating team during design than is typical.” Approved 2 September 2004.01‐2017. 2010.  4.” Approved 17  June 2002.01—2004 Part 2 (IEC 61511‐2 Mod). the team placed  extra requirements on the SIS programming.00. P.05. Exida   5. ANSI/ISA—84. the sensor components utilized in the  diagnostic test were added to the proof test procedure as critical equipment to be monitored and  maintained.00. “Functional Safety: Safety Instrumented  Systems for the Process Industry Sector — Part 1: Framework. “Safety Instrumented Functions (SIF)‐Safety Integrity Level (SIL)  Evaluation Techniques Part 2: Determining the SIL of a SIF via Simplified Equations. but it can enable a SIF to close a risk  gap without adding other costly measures and save time and money in the long run.01—2004 Part 1 (IEC 61511‐1 Mod).  Since the team’s approach in determining the diagnostic credit was mostly qualitative.  3.   ©2018 aeSolutions  Keith Brumbaugh. CFSE  Jan 23. This ended up being  sufficient to meet the RRF targets of the SIF.02‐2002 ‐ Part 2. This approach is documented in  many different safety lifecycle design standards and technical references. ISA Technical Report felt confident to bump up the diagnostic credit to 75% every 6 months.. Applying a diagnostic credit  from a unit shutdown is another useful tool in an engineer’s tool bag. System. ANSI/ISA—84.00.     References 1. “Partial Stroke Testing of Automated Valves”  6. BS EN 61508‐2:2010.00.  2. ISA‐TR84.02. Definitions.3.E. Some approaches are  questionable. “Functional Safety: Safety Instrumented  Systems for the Process Industry Sector — Part 2: Guidelines for the Application of ANSI/ISA— 84.

