The Key Variables Needed for PFDavg Calculation 
Iwan van Beurden, CFSE  
Dr. William M. Goble, CFSE  
exida  
Sellersville, PA 18960, USA  
[email protected] 
Version 2.1, February 2018 

Abstract   

In performance based functional safety standards, safety instrumented function (SIF) designs 
are verified using specified metrics.  A key metric for SIF designs deployed in low demand 
applications in the process industries is called average Probability of Failure on Demand 
(PFDavg).  As the result of numerous studies of many field failure and proof test reports, several 
variables have been identified as key to a realistic PFDavg calculation.  Most simplified 
equations including the informative section in IEC 61508, Part 6 do not include several key 
variables.  It is shown that exclusion of these parameters can result in an optimistic PFDavg 
metric calculation which may result in an unsafe design.   

This paper identifies the key variables that need to be included in any PFDavg calculation and 
provides, for the most common low demand architecture (1oo1), some simplified equations 
showing the impact of these key variables.  A specific example of a 1oo1 architecture is twice 
analyzed – once with several key variables omitted and once with all key variables included.  A 
comparison of the results of the two calculations shows that with key variables omitted the 
calculated PFDavg supports safety integrity level (SIL) 2 whereas with all key variables included 
the calculated PFDavg barely supports SIL 1!   

Introduction   

IEC 61511, the functional safety standard for the process industries, is “performance” based.  
Rather than having specific designs and a long list of specific rules that become obsolete, the 
IEC 61511 standard allows any design to be implemented.  The standard allows the design to 
use old products or new technology.  The standard allows innovation and good engineering 
practices.  However, any design must be verified with documented performance metrics which 
must match risk reduction requirements in the form of SIL.  In order to verify that a design 
meets the needed risk reduction, the designer must check three performance criteria [1].  
exida calls these “the three barriers.”  
 
The Key Variables Needed for PFDavg Calculation
 
The achieved SIL level of the SIF is the minimum of: 
Barrier 1 ‐  SIL level based on Systematic Capability (SC) of each device used in a SIF.  
SC is a measure of design quality that shows sufficient protection against 
systematic design faults.  SC is achieved either by choosing a certified 
part with SC to the given SIL level or greater or by completing a prior use 
justification to the given SIL level or greater.  The lowest SC for any 
device in the SIF determines the SIL level for the SIF with respect to SC. 
Barrier 2 ‐  SIL level based on minimum architecture constraints (SILac) for each 
element (subsystem) in a SIF.  There are many different tables that can 
be used to establish architecture constraints; one in IEC 61511, and two 
alternatives are in IEC 61508 (Route 1H or Route 2H).  The lowest SILac 
for any SIF subsystem determines the SIL level for the SIF with respect to 
SILac.    
Barrier 3 ‐  SIL level based on a PFH (high demand), or a PFDavg (low demand) for 
the entire SIF.  

All three of these design barriers must achieve or exceed the target SIL level.  The worst case 
(lowest) SIL determines the SIL level for the SIF. Additionally, when RRF is specified the designer 
must ensure that 1/PFDavg exceeds the required risk reduction factor (RRF). 

Barrier Three: PFDavg Calculation 

PFDavg calculation is an extremely important part of safety engineering in low demand 
applications as it is probably the most difficult of the three barriers to meet if realistic 
assumptions are made and if realistic failure rates are used (e.g., failure rates from 
www.SILSafeData.com).  Target levels for PFDavg are defined in IEC 61508 for each of 4 levels 
of SIL.  The highest safety is achieved in SIL 4 and the lowest in SIL 1.  Table 1 shows that PFDavg 
for a given SIF will correspond to an equivalent SIL level within an order of magnitude range. 

2 
 
 
The Key Variables Needed for PFDavg Calculation
 

PFDavg 
Safety Integrity Level 
Low Demand Mode of Operation 

4  ≥ 10‐5 to < 10‐4 

3  ≥ 10‐4 to < 10‐3 

2  ≥ 10‐3 to < 10‐2 

1  ≥ 10‐2 to < 10‐1 

Table 1: SIL Level related to PFDavg 

How can realistic values of PFDavg be calculated and what variables need to be taken into 
account when computing PFDavg?  

PFDavg Key Variables 

As a result of research into hundreds of sets of field failure data and proof test results, a 
number of things have been observed which may significantly impact a PFDavg.  exida has 
compiled a list comprised of nine variables that must be considered in order to calculate a 
realistic and safe PFDavg.  

1.  Failure rates of each device including failure modes and any diagnostic 
coverage from automatic diagnostics, λDD, λDU (attributes of the 
equipment chosen). 
2.  Mission Time, MT – the time period a set of equipment will be operated 
before overhaul or replacement (assignable by end user practices). 
3.  Proof Test Intervals, TI (assignable by end user practices). 
4.  Proof Test Effectiveness, Cpt (an attribute of proof test method). 
5.  Mean Time to Restore, MTTR (an attribute of end user practices) which 
includes DTI, Diagnostic Test Interval (an attribute of the device).  
6.  Proof Test Duration, PTD (an attribute of end user practices).  
7.   Probability of Initial Failure, PIF (an attribute of end user practices). 
8.  Site Safety Index, SSI (an attribute of end user practices). 
9.   Redundancy of devices including common cause failures (an attribute of 
SIF design). 

Many of these variables are not commonly recognized and therefore not included in PFDavg 
calculations, yet these variables may impact the result by a SIL level or more. 

3 
 
 
The Key Variables Needed for PFDavg Calculation
Failure Rates, λDD, λDU 

Failure rates, in particular the dangerous failure rates, come from a variety of sources [2, 3, 4].   
Most manufacturers provide a third party FMEDA prediction that has been verified by fault 
injection testing and field failure analysis [5, 6]. 

When automatic diagnostics are designed into a device or subsystem, FMEDA analysis can 
distinguish between those failures detected and those undetected by the automatic 
diagnostics.  The total dangerous failure rate,  is partitioned into two subcategories: , 
Dangerous Detected and  , Dangerous Undetected. 

This partitioning of λD into λDD and λDU is important because λDD and λDU contribute differently 
to PFDavg.  In the event that there are no automatic diagnostics, λDD equals 0 and λDU equals λD.  

Mission Time, MT 

Mission Time is a period of time during which a set of equipment operates.  This is an original 
reliability engineering term that is used to define the probability calculation period.  Most end 
users choose a MT of 5, 10, 15, or 20 years which corresponds to the end of life for the process 
equipment or a period of time between each major shutdown and overhaul/replacement of all 
equipment.  Any SIF device that reaches the end of its useful life during the MT is assumed to 
be replaced or completely overhauled and tested prior to or at the end of the device’s useful 
life.   
Assuming no automatic diagnostics and no proof testing during the MT, and given a dangerous 
failure rate and value for MT, an approximation for probability of failure on demand as a 
function of time, PFD(t), for a simplex (non‐redundant) system can be shown to be:   

PFD(t) = λDU * MT.

Under these conditions, the PFDavg is: 
 
PFDavg = λDU * MT/2.         (1) 

Proof Test Intervals, TI 

First, the impact of ideal proof testing is explored.  In most industrial applications where a 
Safety Instrumented System (SIS) is present, it is possible to design the SIF which comprise the 
SIS so that each SIF can be manually proof tested to see if it is working or not.  The purpose of a 
proof test is to detect failures attributable to λDU because failure attributable to λDD will be 
identified by the automatic diagnostics if these are present.  Again assume no automatic 

4 
 
 
The Key Variables Needed for PFDavg Calculation
diagnostics.  If it is assumed that the proof test is 100% effective and requires no bypass time, 
this is called a perfect proof test.  Now this assumption is quite unrealistic but is useful in 
showing the development of simplified equations to calculate PFDavg.  At the end of a perfect 
proof test, it is assumed that no SIF failures are present.  This means that the probability of 
failure at the conclusion of the proof test is ideally zero.  PFD(t) with perfect proof testing looks 
like a repeating saw tooth as shown in Figure 1. 

PFD (t)
Perfect Proof Test Impact

Mission Time Interval
 

 Figure 1: PFD(t) showing multiple identical cycles with a perfect proof test.  

The book Safety Instrumented System Design – Techniques and Design Verification [7], Chapter 
4 explains the derivation of this plot in great detail and provides the equation for PFDavg as:   

∗ .         (2) 

The MT is no longer a variable in this situation because the PFDavg of each of the proof test 
cycles is the same as the PFDavg of the first cycle as a result of perfect proof testing restoring 
the SIF to “as good as new” at the conclusion of each proof test.  This equation for PFDavg is, of 
course, very idealistic and unrealistic, but it is an appropriate place to start the development of 
more realistic models and equations.  

Proof Test Effectiveness, CPT 

What happens in a real proof test?  It can clearly be shown via detailed analysis of devices and 
examples that no real proof test is perfect [7, Chapter 12].  There are many examples of failures 
in products that cannot be detected by proof testing.  An obvious example is a proof test 
performed by putting a blocking device on an actuator and checking to see if the actuator / 
valve assembly attempts to move.  This does show that a portion of the subsystem is working 
but the test gives no indication of the health of many parts including the valve seat.  Did the 
valve actually seal?  This test cannot tell and is clearly not perfect.  

What happens to PFD(t) when one performs an imperfect proof test?  At the end of the proof 
test it is known that the probability of failure is reduced but it is not zero because not all 

5 
 
 
The Key Variables Needed for PFDavg Calculation
failures are detected.  Probability of failure is reduced to some value above zero.  The 
probability of failure will increase after each proof test.  This continues for the entire MT of the 
SIF.  Figure 2 shows PFD(t) for an imperfect proof test.   

PFD (t)

CPT

Proof Test Interval

Mission Time Interval

Figure 2: PFD(t)with imperfect proof testing. 

Figure 3 shows the PFDavg for the entire MT consisting of six proof test intervals.  Comparing 
the PFDavg of the first test interval with the overall PFDavg clearly shows a larger PFDavg for 
the entire MT.  This difference is due to proof test effectiveness.     

PFD (t)

PFDavg

PFDavg First TI CPT

Proof Test Interval

Mission Time Interval

Figure 3: PFD(t) with imperfect proof testing showing PFDavg over the MT.  

Proof test effectiveness can be expressed in a simplified approximate equation.  The proof test 
effectiveness,  ,  is a number between 0‐100% which indicates the portion of the λDU 
detected by the manual proof test.  The first term of the new equation approximating PFDavg 
uses the ideal formula for PFDavg multiplied by CPT as those failures are detected by the proof 
test.  The second term of the new equation shows failures not detected by the proof test (1‐CPT) 
averaged over the MT.   

∗ ∗ ∗ ∗       (3)

6 
 
 
The Key Variables Needed for PFDavg Calculation
Mean Time To Restore, MTTR 
 
MTTR, as applied to a SIF, accounts for all the time that the process is in operation and is 
unprotected by the SIF.  This includes the time the SIF spends in dangerous failure before the 
failure is detected and identified, and all the time required to then return the SIF to its correct 
functionality so that it once again provides process protection.  MTTR is usually divided into the 
mean time to detect the failure (MDT) and the mean time to repair the failure (MRT).  MTTR 
may be different for detected and undetected failures and is usually designated with 
appropriate subscripts.  Specifically, 

 
 
 

For SIF failures detected by automatic diagnostics which do not result in an automatic 
shutdown of the process being protected by the SIF, the impacts of MTTRDD on PFDavg must be 
accounted for.  MDTDD is defined in IEC 61508 as DTI/2.  DTI is a parameter which indicates the 
worst case time for the automatic diagnostics in a device to complete one full diagnostic scan.  
Occasionally a device has a significant DTI (e.g. 8 hours). When that happens the DTI must be 
added to the MRTDD.  However, most devices have a DTI specification of less than one hour and 
some devices have high speed diagnostics which operate is less than one second.  Therefore DTI 
is usually negligible and neglected.  Then the impact on PFDavg of MTTRDD is  

∗  

        ∗         (4) 

For SIF failures detected during manual proof testing, MDTDU is approximately TI/2 and this has 
already been accounted for in Equation 3.  However, to derive Equation 3 it was assumed that 
undetected failures were found and repaired with the process shutdown.  When a SIF is 
bypassed (process is operating) during a proof test, the PFDavg is also impacted by MRTDU and 
the impact is given by   
 
∗         (5) 
 
 
When the impacts of Equations 4 and 5 are added to Equation 3 the result is 
 
∗ ∗ ∗ ∗ ∗   (6) 

7 
 
 
The Key Variables Needed for PFDavg Calculation
Proof Test Duration, PTD 

PTD was not included in Equation (6) because the terms in Equation 6 apply to contributions to 
PFDavg caused of the presence of a dangerous failure.  PTD does not impact PFDavg if the 
process is shutdown while the proof test is conducted.  However, PTD must be accounted for 
when the SIF is on bypass during proof testing and the process continues to operate without 
the benefit of SIF protection.  The effects of PTD when the SIF is on bypass are addressed 
separately in this section. 

A SIF is likely to be put on bypass when the proof testing will (or might) cause a false trip of the 
process unit.  What happens to PFD(t) during that bypass time?  When a SIF is put on bypass it 
will not respond to a demand.  The PFD(t) during the duration of the proof test period equals 1.  
This will cause the PFD(t) function to look like Figure 4, where PFD(t) is 1 for the duration of the 
proof test and then returns to the expected level. 

1
Proof Test starts. Proof Test complete,
Safety function put bypass is removed.
into bypass.
PFD

Dangerous Failure
occurs

Proof Test Duration (PTD)

Mission Time
 

Figure 4: PFD(t)during a proof test bypass. 

An additional term for the contribution to PFDavg of PTD can be easily developed if proof 
testing is performed during plant operation.  The time the SIF spends on bypass during the 
proof test, PTD, occurs once every proof test interval, TI.  If MT = k*TI, then there will be (k‐1) 
proof tests during the SIF MT as a proof test will likely not be performed just before an 
overhaul.    Therefore, the PFDavg attributable to the PTD will be 

PFDavg ≈ (k‐1) * PTD / MT = ((k‐1)/k) * PTD/TI       

8 
 
 
The Key Variables Needed for PFDavg Calculation
However, approximating (k‐1)/k by 1 is conservative.  Therefore, the contribution to PFDavg 
due to PTD is given more simply by: 

PFDavg ≈ PTD/TI  (7)

Equation (7) can now be added to Equation 6 to create an equation that accounts for all 
variables so far considered: 

∗ ∗ ∗ ∗ ∗ . 
                        (8) 

Probability of Initial Failure, PIF 

Due to the potential for human error or damage during commissioning or when complete 
commissioning testing cannot be performed after installation, there is a probability that an 
installed device will not work when the SIF initially is placed in operation.  If this happens, 
PFD(t) is 1 at least until the first proof test.  Now, if the initial failure is not discovered during 
commissioning testing, it may or may not be discovered during subsequent proof tests.  In cases 
where the failure is not detected during subsequent proof testing, the initially failed SIF 
remains failed for the duration of its useful life!    
The reader may feel that the probability of such an occurrence is negligibly small.  However, 
that may not be correct.  An extensive study of detailed proof test data [8, 9] where the proof 
test could detect the initial failure showed that there was clearly a PIF in some types of devices.  
Three independent data sets of pressure relief valves predicted an initial failure probability of 
approximately 1% – 1.6%!  This accounted for the majority of failures observed in the 
population of proof test data.   
The contribution of PIF to the approximate PFDavg calculation for a 1oo1 architecture requires 
only a small modification to Equation 8, and results in Equation 9, giving a conservative 
approximation for PFDavg, including six important variables, as follows: 
 

PFDavg ≈ PIF + (1 – PIF) [λDD * MRTDD + CPT * λDU * (TI/2 + MRTDU) + (1 ‐ CPT) * λDU * MT/2 + 
PTD/TI]                    (9) 

9 
 
 
The Key Variables Needed for PFDavg Calculation
 

Site Safety Index, SSI 

In 1998, during a detailed study of field returns [10] at Moore Products, it was discovered that 
the return rate for identical modules differed by a factor of 4 (4X) from one site to another.   
Some failures were due to systematic problems where untrained people were damaging 
equipment during the proof test process.  However when those failures were removed from 
the data, there was still roughly a 2X difference in failure rate for the same device from site to 
site.   

Since the 1998 study, several other field failure studies from a number of different sources, 
primarily end users in the process industries, have indicated there is also a difference in failure 
rates for the same product from site to site. Typically the ratio is between 1.2X and 3X 
difference depending on product type. 

Therefore it can be concluded that random failures can be divided into two categories.  There 
are random failures attributed to a product and random failures that are site specific.  These 
seem to be related to procedures, training, and other variables that some have called the 
“safety culture.”  exida defines this variable as the “Site Safety Index (SSI)” [11, 13, 14].   

Several factors have been identified thus far which impact the SSI.  These include the quality of: 

1. Commissioning Test 
2. Safety Validation Test 
3. Proof Test Procedures 
4. Proof Test Documentation 
5. Failure Diagnostic and Repair Procedures 
6. Device Useful Life Tracking and Replacement Process 
7. SIS Modification Procedures 
8. SIS Decommissioning Procedures 
9. And others  

SSI can be evaluated using a set of questions and a scoring system [12, 13].  The SSI model has 
five levels as shown in Table 2. 

10 
 
 
The Key Variables Needed for PFDavg Calculation
 

Table 2: Five levels of Site Safety Index from exSILentia 

Level  Description 
Perfect ‐ Repairs are always correctly completed. Testing is always performed correctly 
and on schedule, equipment is always replaced before the end of useful life, 
equipment is always selected according to the specified environmental limits and 
SSI 4  process compatible materials, electrical power supplies are clean of transients and 
isolated, pneumatic supplies and hydraulic fluids are always kept clean, etc. This level 
is generally considered to be extremely difficult to achieve, but possible in some 
organizations.  
Excellent ‐Repairs are correctly completed. Testing is performed correctly and on 
schedule, equipment is normally selected based on the specified environmental limits 
and a good analysis of the process chemistry and compatible materials. Electrical 
SSI 3 
power supplies are normally clean of transients and isolated, pneumatic supplies and 
hydraulic fluids are mostly kept clean, etc. Equipment is replaced before the end of 
useful life, etc.  
Good ‐Repairs are usually correctly completed. Testing is performed correctly and 
SSI 2 
mostly on schedule.  Most equipment is replaced before the end of useful life, etc.  
Medium ‐ Many repairs are correctly completed. Testing is performed and mostly on 
SSI 1 
schedule, some equipment is replaced before end of useful life, etc.  
Weak ‐ Repairs are not always done. Testing is not performed; equipment is not 
SSI 0 
replaced until failure, etc. 

PIF, failure rates, probability of successful repair, probability of successful proof test, and 
probability of performing a proof test on schedule are all impacted by SSI because of the 
stochastic nature of those probabilities.  

Redundancy/Common Cause 

Redundancy has been used for many decades as a technique to improve both safety and 
availability of engineering systems.  Appendix D in [7] shows various redundant architectures 
and PFDavg modeling techniques for those architectures.  The detailed equations are beyond 
the scope of this paper.  However, once redundancy is included, it is necessary to account for 
common cause failures.  This is usually accomplished by use of β factors as described in IEC 
61508 and IEC 61511.  Equation 9 in this paper does not contain a common cause variable as it 
would not apply to a 1oo1 architecture. 
 
   

11 
 
 
The Key Variables Needed for PFDavg Calculation
Key Variables Summary 

All of the variables listed need to be considered when calculating PFDavg for a SIF. These are 
contained in Table 3 along with indications of the source and applicability. 

Table 3.  Summary of Key Variables for PFDavg Calculations 

Variable 
Description  Source  Applicability 
Number 
1  Failure rates, λDD and λDU  Manufacturer Always
2  Mission Time, MT  End User Always
3  Proof Test Intervals, IT  End User Always
4  Proof Test Effectiveness, CPT End User Always
For failures due to λDD, if 
automatic diagnostics 
do not trigger an 
automatic process 
5  Mean Time to Restore, MTTR  End User  shutdown  
For failures due to λDU, if 
proof testing is 
performed with process 
operating
Insignificant unless DTI 
5A  Diagnostic Test Interval  Manufacturer  is greater than one hour 
which does happen. 
If proof test performed 
6  Proof Test Duration, PTD  End User 
with process operating 
If equipment not 100% 
7  Probability of Initial Failure, PIF  End User 
tested after installation 
8  Site Safety Index, SSI  End User Always
System 
9  Redundancy / Common Cause  HFT ≥1 
Designer 

The impact of not using realistic variables 

To evaluate the impact on PFDavg of not using all important variables, consider the example of 
a high level protection SIF.  The proposed design has a SIL 2 target.  The design uses a single SC 
2 certified level transmitter, an SC 3 certified safety logic solver, and a single remote actuated 
valve.  The actuated valve consists of a solenoid valve, a scotch yoke actuator and a ball valve all 
certified to SC 3.  Using certified parts eliminates any need to perform prior use analysis for 
safety integrity purposes. 

SIF Analysis with Optimistic Key Variable Values and Assumptions 

The exSILentia tool accounts for all critical variables. For the first example using exSILentia, 
idealistic/optimistic variables and assumptions are used to show the impact of neglecting all 

12 
 
 
The Key Variables Needed for PFDavg Calculation
variables.  The assumptions result in a model where only variables 1, 2, 3 and 5 listed in Table 3 
are accounted for.  MT is 5 years;  the proof test interval is 1 year for the sensor and final 
elements, and 5 years for the logic solver; MTTRDD is approximately MRTDD which is assumed to 
be 8 hours.  Variables 4, 6, 7, 8 and 9 were omitted from the calculations as follows.  A proof 
test effectiveness of 100% is assumed which is the equivalent of omitting CPT as a variable.  It is 
also assumed that the proof test is performed with the process offline which sets MRTDU and 
PTD to 0 in the calculations effectively omitting those variables.  PIF is assumed to be 0 and SSI 
is set equal to 4.  Finally, there is no redundancy so no common cause β factors apply.

Figure 7: exSILentia Screen shot showing results of idealistic assumptions 

Figure 7 illustrates the output from the analysis.  From Figure 7, it is evident that the SIF 
systematic capability meets SIL 2.  Further it can be seen that the architecture constraints meet 
SIL 2.  Finally, in this example, the PFDavg was computed as 6.82x10‐3.  This value meets SIL 2 
with a Risk Reduction Factor (RRF) of 147.  Therefore, the entire design meets SIL level 2 
requirements for all three barriers (all indicated by red circles).  

The pie chart on the left side of Figure 7 (indicated by an arrow) shows how much each SIF 
subsystem contributed to the PFDavg.  The figure shows that final elements were the main 
contributor. The exSILentia tool also calculates the Mean Time to Fail Spuriously (MTTFS), which 
is boxed in blue.  This number indicates how often a false trip will occur, so large numbers are 
the goal in order to avoid costly false trips. 

13 
 
 
The Key Variables Needed for PFDavg Calculation
 
SIF Analysis with Realistic Key Variable Values and Assumptions  

But what if more realistic variables and assumptions were entered for the same SIF?  In this 
more realistic scenario a mission time of 25 years is used.  A proof test interval of 1 year for the 
sensor and final element, as well as 5 years for the logic solver is used.  Proof test coverage is 
reduced to 90% for the sensor and 70% for final element.  MRTDD is given a value of 48 hours 
which is more realistic.  The proof testing is assumed to be performed with the process 
operating and the SIF on bypass.  MRTDU is equal to 48 hours and a PDT of 2 hours is included.  
PIF is still 0.  A Site Safety Index of SSI 2 is used for the sensor and final elements, and SSI 3 for 
the logic solver.  This second calculation considers eight of the nine key variables.  Redundancy 
is not included as the architecture is 1oo1. 

Figure 8: exSILentia screen shot with more realistic variables and assumptions considered 

Figure 8 illustrates the output from the second analysis.  The same design was re‐analyzed but 
this time eight variables were included along with more realistic assumptions.  What happened 
to the PFDavg?  For the set of idealistic values and assumptions the PFDavg was 6.82x10‐3.  The 

14 
 
 
The Key Variables Needed for PFDavg Calculation
calculated PFDavg for this new analysis drops to a value of 5.76x10‐2!  The RRF, which was 
previously at a value of 147, now drops to 17!  This barely meets the requirements for SIL level 
1.  

Why are these values so different?  Sensitivity analysis indicates that CPT is a significant variable.  
SSI is significant.  The impact of PTD is not that significant in this case, but it sometimes can be.   

Failure rates, redundancy, and proof test intervals are all well‐known variables covered in IEC 
61508, Part 6 equations.  Proof test effectiveness is now a required variable for PFDavg 
calculations in IEC 61511.  Other variables, including MT and especially Site Safety Index, are 
largely overlooked.  All of the variables need to be taken into account to ensure a safe design.  

Notation 
CPT  proof test effectiveness also call proof test coverage 
MDT  mean time to detect 
MT  mission time 
MTTFS   mean time to fail spurious 
MTTR  mean time to restore 
MRT  mean time to repair 
nX  n times 
PFDavg  average probability of failure on demand 
PFD(t)  probability of failure on demand as a function of time 
PIF  probability of initial failure 
PTD  proof test duration 
RRF  risk reduction factor 
SC  systematic capability 
SIF  safety instrumented function(s) 
SIL  safety integrity level(s) 
SILac  SIL based on architectural constraints 
SIS  safety instrumented system(s); a SIS consists of one or more SIF 
SSI  Site Safety Index 
TI  proof test interval 
1oo1  1‐out‐of‐1 architecture; non‐redundant architecture; single channel architecture 
λ D  constant failure rate for dangerous failures = λDD + λDU 
λDD  constant failure rate for dangerous detected failures 
λDU  constant failure rate for dangerous undetected failures 

References   

1. Three Steps in SIF Design Verification, White Paper, exida. Sellersville, PA 
www.exida.com, June 2014. 
2. SINTEF, OREDA Offshore and Onshore Reliability Data Handbook, Vol 1. ‐ Topside 
Equipment and Vol. 2 ‐ Subsea Equipment, 6th Ed, OREDA Participants, 2015. 

15 
 
 
The Key Variables Needed for PFDavg Calculation
3. Safety Equipment Reliability Handbook 4th Edition, exida. Sellersville, PA 
www.exida.com, 2015. 
4. Bukowski, J. V. and Stewart, L. L., Explaining the Differences in Mechanical Failure Rates: 
exida FMEDA Predictions and OREDA Estimations, White Paper, exida. Sellersville, PA 
www.exida.com, July 2015. 
5. Goble, W. M., and Brombacher, A. C., "Using a Failure Modes, Effects and Diagnostic 
Analysis (FMEDA) to Measure Diagnostic Coverage in Programmable Electronic 
Systems," Reliability Engineering and System Safety, Vol. 66, No. 2, November 1999. 
6. Grebe, J.C., and Goble, W. M., FMEDA – Accurate Product Failure Metrics, White Paper, 
exida. Sellersville, PA www.exida.com, V1.2, October 2009. 
7. van Beurden, I. and Goble, W. M., Safety Instrumented System Design – Techniques and 
design Verification, ISA, Research Triangle Park, NC, 2018.  
8. Bukowski, J. V., "Results of Statistical Analysis of Pressure Relief Valve Proof Test Data 
Designed to Validate a Mechanical Parts Failure Database," Technical Report, 
September, exida, Sellersville, PA, 2007. 
9. Bukowski, J. V., and Goble, W. M., "Analysis of Pressure Relief Valve Proof Test Data," 
AIChE Journal Process Safety Progress, March 2009. 
10. van Beurden, I.J.W.R.J., Reliability Analysis of Quadlog, Field failure research and study 
of the reliability information flow, Moore Products Co., Spring House, PA, USA, February 
1998. 
11. Bukowski, J. V. and Goble, W. M., "A Proposed Framework for Incorporating the Effects 
of End‐User Practices in the Computation of PFDavg," exida white paper, January 2014. 
12. Bukowski, J. V., Gross, R., and van Beurden, I., "Product Failure Rates vs Total Failure 
Rates at Specific Sites:  Implications for Safety,"  Proceedings AIChE 11th Annual Global 
Conference on Process Safety ‐ Process Plant Safety Symposium, Austin, TX, April 2015. 
13. Bukowski, J. V. and Chastain‐Knight, D., Assessing Safety Culture via the Site Safety 
IndexTM, Proceedings AIChE 12th Annual Global Congress on Process Safety ‐ 
ProcessPlant Safety Symposium, Houston, TX, April 2016. 
14. Bukowski, J. V. and Stewart, L.L., Quantifying the Impacts of Human Factors on 
Functional Safety, Proceedings AIChE 12th Annual Global Congress on Process Safety ‐
Process Plant Safety Symposium, Houston, TX, April 2016. 
 
Revision History   
Revision 0.1   Initial Draft      September 17, 2015   Micah Stutzman, W. Goble 
Revision 1  First Release        October 1, 2015 
Revision 1.1  Updated SSI terminology    October 7, 2015  TES and WMG 
Revision 1.2   Updated references, conditions    September 2016   WMG 
Revision 2.0  Addition of Notation Section, New derivation of PFDavg, 
Changes to terminology to match terminology from IEC 61508, 
    Updated references      April 2017    JVB 
Revision 2.1  Added DTI, changed reference to new ISA book  Feb 2018  WMG 

16