DE TOEPASSING VAN
SIL POSITION PAPER VAN
HET SIL PLATFORM
REPRINT
Willem van der Bijl (Safety Consultant en M.D. PRODUCA Consultancy) & Henry Verwey (Sr. Safety Consultant Verwey Safety Services) nl.linkedin.com/in/willemvanderbijl
Drieluik SIL - Deel 1
Toepassing SIL De toepassing van SIL in de procesindustrie wordt steeds belangrijker. Het SIL Platform is opgericht om de industrie hierbij te ondersteunen. De visie van het platform is verwerkt in een SIL Platform Position Paper om met de industrie te delen. Automatie biedt u deze visie aan als drieluik. In deze uitgave deel 1 over de basis van SIL implementatie en systematische ontwerpbenadering.
Het is de bedoeling van het SIL Platform om
In deel 1 van dit drieluik worden de hoofd-
een SIL gerelateerd document uit te geven.
stukken 1 en 2 en de inleiding behandeld.
De doelstelling van het SIL Platform Posi-
In deel 2 volgen de hoofdstukken 3 en 4, en
tion Paper is om de markt te informeren en
de overige drie hoofdstukken worden in het
om bewustwording te creëren over speci-
laatste deel behandeld.
fieke aspecten van het toepassen van SIL in de procesindustrie. Dit document geeft basisinformatie over de implementatie van
Over het SIL Platform
SIL en de relevante terminologie. Het richt
Het SIL Platform is een onafhankelijke groep van
zich vooral op het SIL verificatieproces om
ervaren gebruikers en aanhangers van de SIL fi -
de nagestreefde integriteit van SIL circuits
losofie volgens IEC 61508 :2010 en IEC
vast te stellen.
61511:2003 in de Nederlandse procesindustrie. Het SIL Platform is onderdeel van de Nederland-
Onderwerpen
se normcommissie NEC 65 ‘Industrieel meten,
1 Basis van SIL Implementatie
regelen en automatiseren’, die de Nederlandse
2 Systematische ontwerpbenadering
inbreng verzorgt in het internationale werk van
3 Storingsgegevens van instrumenten
IEC/TC 65 ‘Industrial measurement, control and
4 Het gebruik van de Diagnostic Coverage
automation’. Op dit moment telt het SIL Platform
(DC) factor en de Safe Failure Fraction
veertig leden. Zij vertegenwoordigen eindgebrui-
(SFF)
kers, ingenieursbureaus, leveranciers, fabrikan-
5 Hardware safety integrity randvoor-
ten en consultancy bedrijven.
waarden aan de architectuur 6 Verificatiebeproevingen van Safety
Instrumented Systems 7 Safety lifecycle management 2 | The Application of SIL - Automatie reprint 2014
Meer informatie I: www.nen.nl en E:
[email protected]
Hoofdstuk 1 Basis van SIL Implementatie Wat vormt de basis van SIL implementatie?
ken of risicomatrices die horen bij het type
stelde waarde overschrijdt. Het onderling
activiteiten, bedrijf en proces, als referentie
verbonden sensorelement, de logische ver-
Het is gebruikelijk om procesinstallaties
gebruikt. Wanneer risico’s als ‘acceptabel’
werkingseenheid en het uitvoerelement wor-
te laten draaien op maximale opbrengst,
worden geclassificeerd, is geen verdere actie
den het veiligheidscircuit genoemd, en deze
optimale capaciteit en minimaal risico-
nodig. In het geval van een onacceptabel
voert de Safety Instrumented Function (SIF)
niveau. Key Performance Indicatoren wor-
risico wordt de grootte vastgesteld in fac-
uit. Gezamenlijk vormen deze componenten
den gebruikt om realistische targets en
toren van tien. SIL 1 betekent dat het risico
het Safety Instrumented System, ofwel SIS.
doelstellingen te meten en te controleren.
van dat procesknooppunt een factor 10 te
Het Safety Integrity Level, SIL, is per defi ni-
Een methode om risico’s te kwantificeren,
hoog is. Bij SIL 2 is het risiconiveau een fac-
tie gerelateerd aan de Safety Instrumented
is een tiental jaren geleden geïntroduceerd
tor 100 te hoog enzovoorts.
Function (SIF), en niet aan de individuele
onder de naam SIL, wat staat voor Safety
De consequentie van de SIL Classifi catie
componenten.
Integrity Level. Eigenlijk kan SIL worden
is dat wanneer een gevarenknooppunt een
gezien als een numerieke aanduiding van
risiconiveau van SIL 2 heeft, u verplicht
het risiconiveau, op een schaal van SIL 1
bent om dat risico met minimaal een factor
Hoe realiseer ik een geschikte SIL implementatie?
tot en met SIL 4. In overeenstemming hier-
100 te verminderen om tot een acceptabel
Gedurende het SIL Classificatieproces wor-
mee is dit ook het integriteitsniveau van een
risiconiveau te komen. Deze factor wordt
den SIL niveaus gekoppeld aan specifieke
veiligheidssysteem dat het risico reduceert.
risicoreductiefactor (RRF, risk reduction
procesgevaren, die op hun beurt de eisen
factor) genoemd. SIL gerelateerde risico-
voor de integriteit van de Safety Instrumen-
Tijdens een studie naar gevaren en bedrijfs-
reductie wordt, per defi nitie, bereikt met
ted Function (SIF) en de gerelateerde appa-
voering (HAZOP, hazard and operability)
elektrische, elektronische of programmeer-
ratuur bepalen. Het moet duidelijk zijn dat
worden potentiële risico’s per procesknoop-
bare elektronische (E/E/PE) veiligheids-
HAZOP, SIL Classificatie en SIL Verifica-
punt vastgesteld, die als juist en volledig zul-
systemen. Het proces wordt bewaakt door
tie behandeld moeten worden met dezelfde
len moeten worden geverifieerd. HAZOP is
het zogenaamde sensorelement, gewoon-
hoge mate van importantie en kwaliteit.
een gestructureerd en systematisch onder-
lijk een meetzender. Zodra het proces een
In de volgende hoofdstukken van dit docu-
zoek van een gepland of bestaand proces
bepaalde veiligheidswaarde overschrijdt,
ment wordt ingegaan op het belang en de
of uitvoering van werkzaamheden met als
moet een uitvoerelement dit zodanig beïn-
bronnen van storingsfrequentiegegevens,
doel om gevaren te kunnen identificeren en
vloeden dat het risicolopend proces wordt
certificering van instrumenten, statistische
te evalueren. De volgende stap is een risico-
teruggebracht in een veilige toestand.
berekeningen, testprincipes, interpretatie
beoordeling, ook wel een SIL Classificatie
Een logische verwerkingseenheid is gepro-
van diagnostische gegevens, ofwel het cir-
genoemd. Vanwege verificatie-eisen moet
grammeerd om een uitgangstoestand naar
cuitontwerp, storingsanalyse en gegevens-
deze gescheiden zijn van de HAZOP studie.
een klep of relaiskontakt (uitvoerelement)
verwerking, wat leidt tot de onderbouwing
Bij een SIL Classificatie worden risicografie-
over te brengen indien een ingang een inge-
van de integriteit van het veiligheidscircuit.
‘Met dit position paper informeert het SIL Platform de markt en creëert het bewustwording over specifieke aspecten van het toepassen van SIL in de procesindustrie.’
Hoofdstuk 2 Systematische ontwerpbenadering Een systematische ontwerpbenadering is
geschreven aan tekortkomingen in de spe-
er op gericht om het optreden van syste-
cificaties van het regelsysteem. De meest
matische fouten te elimineren. Systemati-
voorkomende tekortkomingen zijn een
sche fouten zijn op deterministische wijze
slechte analyse van gevaren van de appara-
gerelateerd aan een bepaalde oorzaak die
tuur binnen het regelsysteem en een ontoe-
alleen weggenomen kan worden door wijzi-
reikende beoordeling van de invloed van
ging van het ontwerp, het fabricageproces,
verschillende storingen van het regelsys-
operationele procedures of andere relevante
teem op de specificaties.
factoren.
Te veel focus op berekeningen Waarom?
Betrouwbaarheidstechniek is gebaseerd op
Onderzoek toont aan dat de meerderheid
statistiek. Bij het berekenen van de PFD
van storingen in regelsystemen die leiden
zijn waardes voor bepaalde factoren nodig,
tot incidenten, wordt veroorzaakt door
bijvoorbeeld de diagnostic coverage en de
storingen die voorkomen hadden kunnen
common cause storingen, binnen bepaalde
worden indien een systematische, risicoge-
condities. Alleen als aan deze condities
baseerde ontwerpbenadering zou zijn toe-
wordt voldaan, zal een berekening van de
gepast over de hele levenscyclus van het
PFD een betrouwbaar resultaat opleveren.
systeem. Zie ‘Out of Control’, gepubliceerd
De geldigheid van deze aangenomen condi-
door HSE, voor details.
ties ten opzichte van de werkelijke condities waarbinnen het systeem functioneert, moet
Valkuilen
zorgvuldig geverifieerd worden.
Incomplete specificaties en te veel focus op berekeningen zijn de belangrijkste valkui-
Realisatie
len bij het realiseren van een systematische
Om een systematische ontwerpbenadering
ontwerpbenadering. Deze worden hieronder
te realiseren, moet aan een aantal voor-
verder toegelicht.
waarden worden voldaan. Deze worden hieronder verder uitgelegd.
Incomplete specificaties Ingenieurs zijn getraind om oplossingen
Betrokkenheid management
te bedenken. Dit kan echter leiden tot een
Essentieel bij het realiseren van een syste-
drang om over te gaan tot de ontwerpfase
matische ontwerpbenadering is de betrok-
voordat een complete set specificaties is
kenheid van het management. Deze moet
opgesteld. Het onderzoek waaraan hier-
aanwezig zijn voor elke fase van de safety
boven wordt gerefereerd, toont aan dat 44
lifecycle. Het management is verantwoor-
procent van de incidenten kan worden toe-
delijk voor:
4 | The Application of SIL - Automatie reprint 2014
> het vaststellen van het beleid en de strategie ten aanzien van veiligheid,
cificaties moeten alle fasen van de ‘safety lifecycle’ omvatten.
> het evalueren van de resultaten ten aanzien van veiligheid, > het organiseren van de communicatie binnen de organisatie, > het opzetten van een veiligheidsmanagementsysteem dat er voor zorgt dat daar waar safety instrumented systemen worden gebruikt, het personeel in staat is om het proces in een veilige toestand te brengen en/of te houden, > het trainen van de personen die betrokken zijn bij activiteiten gedurende de ‘safety lifecycle’, om er voor te zorgen dat deze competent zijn,
De veiligheidseisen (SRS: 61511-1, 10.3.1) moeten bijvoorbeeld de volgende onderdelen bevatten: > Een beschrijving van de safety instrumented function > Een defi nitie van de veilige toestand van het proces > De responsietijd voor een safety instrumented function om een proces in een veilige toestand te brengen > De wijze van bedrijfsvoering (op afroep/ continu) > Uitschakelen (of in sommige gevallen,
> het implementeren van procedures voor
bekrachtigen) om het proces stil te leggen
ontwerp-, validatie- en beoordelingsacti-
> De eisen voor het resetten van de SIS na
viteiten.
een shutdown > De eisen aan de software
Adequate specificaties Een belangrijke en normatieve eis is het opstellen van de Safety Requirement Spe-
> De omgevingsomstandigheden (temperatuur, EMC, schokken, trillingen, elektrostatische ontlading)
cification, SRS genoemd. De SRS is een erg
> Common cause (beta factor) gegevens
belangrijk document omdat alle relevante
> Tijdsduur van de verificatiebeproeving
gegevens voor elke specifieke SIF, inclusief
> Gemiddelde tijd nodig om te repareren
gedetailleerde gegevens van elk element en
(MTTR)
een diagram van het Veiligheidscircuit, verzameld en opgenomen moeten worden.
In de volgende uitgave van Automatie worden hoofdstuk 3 en 4 van het SIL
Eisen aan de Safety Requirement Specifica-
Platform Position Paper verder uitgewerkt.
ties zijn dat deze duidelijk, precies, verifi-
In deel 2 van dit drieluik leest u alles over
eerbaar, onderhoudbaar en haalbaar moeten
storingsgegevens van instrumenten en
zijn. De specificaties moeten zo geschreven
over het gebruik van de Diagnostic Cover-
zijn dat ze gemakkelijk te begrijpen zijn
age (DC) factor en de Safe Failure Fraction
voor degenen die er mee werken. De spe-
(SFF).
J
2014 Automatie reprint - The Application of SIL | 5
Hans van Dongen (SIS & Alarm Management Guardian Du Pont de Nemours) & André Fijan (Sr. Safety Consultant Fluor BV) nl.linkedin.com/pub/hans-van-dongen/5/798/2b6 nl.linkedin.com/in/andrefi jan
Toepassing SIL Drieluik SIL Platform Position Paper: deel 2
De toepassing van SIL in de procesindustrie wordt steeds belangrijker. Het SIL Platform is opgericht om de industrie hierbij te ondersteunen. De visie van het platform is verwerkt in een SIL Platform Position Paper om met de industrie te delen. Automatie biedt u deze visie aan als drieluik. In deze uitgave deel 2 over storingsgegevens van instrumenten en over het gebruik van de Diagnostic Coverage (DC) factor en de Safe Failure Fraction (SFF).
Het is de bedoeling van het SIL Platform om
4 Het gebruik van de Diagnostic Coverage
een SIL gerelateerd document uit te geven.
(DC) factor en de Safe Failure Fraction
De doelstelling van het SIL Platform Posi-
(SFF)
tion Paper is om de markt te informeren en om bewustwording te creëren over specifieke aspecten van het toepassen van SIL
5 Hardware safety integrity randvoorwaarden aan de architectuur 6 Verif icatiebeproev ingen van Safet y
Instrumented Systems 7 Safety lifecycle management In deel 2 van dit drieluik worden de hoofdstukken 3 en 4 behandeld. In deel 3 volgen de hoofdstukken 5, 6 en 7.
in de procesindustrie. Dit document geeft basisinformatie over de implementatie van SIL en de relevante terminologie. Het richt
Over het SIL Platform
zich vooral op het SIL verificatieproces om
Het SIL Platform is een onafhankelijke groep van ervaren gebruikers en aanhangers van de SIL filoso-
de nagestreefde integriteit van SIL circuits
fie volgens IEC 61508:2010 en IEC 61511:2003 in de Nederlandse procesindustrie. Het SIL Platform is
vast te stellen. De volgende onderwerpen
onderdeel van de Nederlandse normcommissie NEC 65 ‘Industrieel meten, regelen en automatiseren’,
komen aan bod:
die de Nederlandse inbreng in het internationale werk van IEC/TC 65 ‘Industrial measurement, control and automation’ verzorgt. Op dit moment telt het SIL Platform veertig leden. Zij vertegenwoordigen
1 Basis van SIL Implementatie
eindgebruikers, ingenieursbureaus, leveranciers, fabrikanten en consultancy bedrijven.
2 Systematische ontwerpbenadering
Meer informatie: I www.nen.nl, E
[email protected]
3 Storingsgegevens van instrumenten 6 | The Application of SIL - Automatie reprint 2014
Hoofdstuk 3 Storingsgegevens van instrumenten Storingsgegevens van instrumenten zijn
bedrijfsomstandigheden – zoals de aanwe-
tie van het ontwerp, of het fabricageproces,
gegevens van de fabrikant die informatie
zigheid van chemische stoffen of het optre-
bedrijfsprocedures, documentatie of andere
geven over de te verwachten betrouwbaar-
den van extreme temperaturen – anders zijn
relevante factoren. De SC wordt gedefi nieerd
heid en integriteit van elk element in een
dan de bedrijfsomstandigheden waaronder
als een maat, zijnde het vertrouwen dat de
SIF-circuit. Deze informatie bestaat uit vier
de storingsgegevens zijn bepaald, geven de
systematic safety integrity van een element
parameters: gevaarlijke gedetecteerde sto-
storingsgegevens geen goede weergave van
aan de eisen voldoet van de gespecificeerde
ringen, gevaarlijke niet-gedetecteerde sto-
de werkelijkheid.
target SIL, met betrekking tot de gespecifi-
ringen, ongevaarlijke gedetecteerde sto-
ceerde veiligheidsfunctie van het element (wanneer het element/apparaat wordt toe-
storingen. Deze worden respectievelijk
Verschil in daadwerkelijk gebruik instrument of apparaat
aangeduid met dd, du, sd, su. Deze
De storingsgegevens van instrumenten kun-
fende Veiligheidshandleiding voor het ele-
parameters worden uitgedrukt in het aan-
nen informatie bevatten die niet relevant
ment/apparaat). De SC wordt uitgedrukt
tal storingen per tijdseenheid (uur of jaar).
is voor het daadwerkelijke gebruik van het
op een schaal van SIL 1 tot 4 (SC 1 tot 4).
Storingsgegevens van instrumenten zijn
instrument of het apparaat. Bijvoorbeeld,
De Veiligheidshandleiding, die wordt gele-
belangrijk, omdat ze worden gebruikt bij
een apparaat dat in staat moet zijn om 10
7
verd door de fabrikant, bevat alle benodigde
het berekenen van de integriteit van de vei-
maal te schakelen gedurende zijn levens-
informatie over een veiligheidselement, hoe
ligheid van safety instrumented functions.
cyclus, zou in het daadwerkelijke gebruik
het te gebruiken in een specifieke procestoe-
slechts uitgeschakeld hoeven te worden na
passing binnen de gegeven specificaties en
Valkuilen
vijf jaar in bedrijf te zijn geweest. Het is goed
alle informatie betreffende berekeningen
De grootste valkuil bij het gebruik van sto-
denkbaar dat het apparaat in zijn bekrach-
en een beoordeling van de Systematic Capa-
ringsgegevens van instrumenten is het toe-
tigde toestand blijft staan door remanent
bility en FSM (Functional Safety Manage-
passen van de getallen als absolute gege-
magnetisme. Het is duidelijk dat voor deze
ment).
vens. Het gebruik van storingsgegevens
toepassing de storingsgegevens van het
van instrumenten vraagt om een beoor-
instrument niet de relevante informatie
Elke SIF moet voldoen aan vier in de norm
deling van de geldigheid van de beschik-
verschaffen.
gestelde hoofdeisen ten aanzien van:
ringen en ongevaarlijke niet-gedetecteerde
bare gegevens onder de daadwerkelijk heer-
gepast volgens de instructies in de betref-
Random hardware storingen --> in het
sende bedrijfsomstandigheden. De volgende
Correct gebruik
totale veiligheidscircuit, uitgedrukt in de
aspecten hebben invloed op de geldigheid
Storingsgegevens van instrumenten mogen
PFD waarde, waarmee ook het bereikte SIL
van de beschikbare gegevens.
nooit als absolute gegevens worden opge-
niveau wordt aangegeven
vat, maar moeten worden gebruikt rekening
Systematische storingen (software, produc-
Beperkte bronnen
houdend met alle relevante bedrijfsomstan-
tie, testen en modificaties) --> uitgedrukt in
In de praktijk bepalen fabrikanten de sto-
digheden. Men moet zich er altijd van verge-
de Systematic Capability (SC 1-4)
ringsgegevens van instrumenten op basis
wissen in welke mate de beschikbare instru-
Beperkingen ten aanzien van de architec-
van verschillende bronnen. Bijvoorbeeld de
ment storingsgegevens geldig zijn voor de
tuur --> een normatieve kwaliteitsfactor die
teruggestuurde instrumenten en apparaten.
bedrijfsomstandigheden waaronder het
betrekking heeft op de storingsgegevens van
In de praktijk zal echter slechts een klein
instrument of apparaat gebruikt zal gaan
de hardware
gedeelte van alle falende instrumenten wor-
worden.
Functional Safety Management (FSM) sys-
den teruggestuurd naar de fabrikant. Dit
teem geïmplementeerd in de productie-een-
leidt tot niet-realistische storingsgegevens
Storingsgegevens van instrumenten moeten
heden van de producent van de elementen
van instrumenten.
worden beschouwd in relatie tot systemati-
die gebruikt worden in de veiligheidscir-
sche storingen en de Systematic Capability
cuits --> in de praktijk een beoordelingsrap-
Bedrijfsomstandigheden
(SC). Systematische storingen zijn storingen
port van de productielocatie dat stelt dat
Storingsgegevens van instrumenten worden
die, op een deterministische manier gerela-
de fabrikant een ISO 9001/2/3 certificaat
bepaald onder specifieke bedrijfsomstan-
teerd aan bepaalde oorzaken, alleen kun-
heeft met uitgebreide modificatie- en pro-
digheden. Als de daadwerkelijk optredende
nen worden geëlimineerd door een modifica-
duct beproevingsprocedures
Hoofdstuk 4 Gebruik DC factor en SFF De Diagnostic Coverage (DC) factor wordt
ringscijfers. De formule voor SFF is:
of een gevaarlijke procestoestand. Compo-
in IEC 61511-1 (sectie 3.2.15) gedefi nieerd
SFF = (sd + su + dd) / (sd + dd + su
nentstoringen van een SIF kunnen wel of
als de verhouding van de gedetecteerde sto-
+ du)
niet door de SIF worden gedetecteerd voordat er zich een procesafroep voordoet.
ringsfrequentie tot de totale storingsfrequentie van de component of het subsys-
Merk op dat het enige verschil tussen DC
teem, zoals gedetecteerd door diagnostische
en SFF de component + su is. Voor mecha-
Valkuilen
tests. De DC omvat geen van de fouten die
nische apparaten is per defi nitie DC = 0, en
Gedetecteerde storingen
door verificatiebeproevingen gevonden wor-
SFF = su / (su + du). In dit geval bete-
Wanneer de SFF gebruikt wordt bij SIL
den. De formule voor DC is:
kent een hoge SFF een relatief hoge frequen-
verifi catie berekeningen, wordt aangeno-
DC = (sd + dd) / (sd + dd + su + du)
tie van oneigenlijk stilleggen van het proces!
men dat gevaarlijke gedetecteerde storingen beschouwd kunnen worden als veilige
Waarin:
Belangrijk
storingen. Dat wil zeggen dat het proces
sd = veilige gedetecteerde storingsfrequen-
De DC factor wordt gebruikt om de com-
gedwongen naar de veilige toestand wordt
tie
ponenten van de totale storingsfrequentie
gebracht of de operator neemt een alterna-
su = veilige niet-gedetecteerde storings-
te splitsen in gedetecteerde en niet gede-
tieve actie. In de praktijk is dit niet altijd
frequentie
tecteerde componenten. Een aanbieder op
het geval. Een voorbeeld is een zender die
dd = gevaarlijke gedetecteerde storings-
de markt kan de DC (of de DCs en DCd) en
automatisch een interne fout detecteert,
frequentie
de totale veilige en gevaarlijke storingsfre-
gewoonlijk BAD_PV genoemd. De vraag is
du = gevaarlijke niet-gedetecteerde sto-
quenties publiceren, of hij kan de individu-
wat het Safety Instrumented System zou
ringsfrequentie
ele storingsfrequenties (sd, dd, su, du)
moeten doen als er een BAD_PV wordt gede-
publiceren. Het laatste heeft de voorkeur.
tecteerd. Alarmeren of het proces stilleggen?
Voor veiligheidstoepassingen kan het vol-
Het proces stilleggen is veilig, maar deze
gende onderscheid worden gemaakt:
De SFF wordt gebruikt om de hardware fout
oneigenlijke stillegacties verminderen de
DCs = sd / (sd + su)
tolerantie te defi niëren, dat wil zeggen de
beschikbaarheid van de procesinstallatie.
DCd = dd / (dd + du)
vereiste hardware redundantie. Een aanbie-
Alarmering kan veilig zijn onder bepaalde
der op de markt kan de SFF en de totale
voorwaarden. Als de operator tijd en midde-
De Safe Failure Fraction (SFF) wordt gedefi-
veilige en gevaarlijke storingsfrequenties
len beschikbaar heeft om binnen de proces-
nieerd in IEC 61511-1 (sectie 3.2.65.1) als de
publiceren, maar de individuele storings-
tijd adequaat te reageren op deze kritische
fractie van de totale random hardware sto-
frequenties zouden altijd gepubliceerd moe-
alarmen. Als dit niet het geval is, moet het
ringsfrequentie van een apparaat die resul-
ten worden.
stilleggen van het proces volgen omdat in
teert in een veilige storing of een gedetec-
de berekeningen van de SFF deze aanname is meegenomen.
teerde gevaarlijke storing. De SFF wordt op
De individuele storingsfrequenties en de
een soortgelijke manier gedefi nieerd in IEC
DC en SFF factoren worden gebruikt om de
61508-4 (sectie 3.6.15) als een eigenschap
gemiddelde waarde van de kans op een sto-
Nauwkeurigheid van
van een veiligheidsgerelateerd element dat
ring op afroep te berekenen (Probability of
storingsfrequentiegegevens
wordt gedefi nieerd door de verhouding van
Failure on Demand, PFDavg). Deze waarde
De storingsfrequentiegegevens, de DC
de gemiddelde storingsfrequenties van vei-
toont de integriteit aan van het veiligheids-
factor(en) en SFF worden gewoonlijk
lige plus gevaarlijke gedetecteerde storin-
circuit die de Safety Instrument Function
bepaald door de aanbieder van het instru-
gen en de veilige plus gevaarlijke storingen.
(SIF) uitvoert. Componentstoringen van een
ment of op verzoek van de aanbieder van
Daarom kan de SFF als een soort kwaliteits-
SIF kunnen resulteren in een veilige proces-
het instrument door onafhankelijke orga-
factor worden gezien van de afgeleide sto-
toestand, zoals een oneigenlijke shutdown,
nisaties zoals TÜV of Exida, gebaseerd op
8 | The Application of SIL - Automatie reprint 2014
laboratoriumtesten of (mathematische) Fai-
de DC factor en SFF uit die gegevens aflei-
lure Modes, Effects & Diagnostics Analysis
den. Helaas is dat alleen mogelijk voor
(FMEDA). Laboratoriumtesten kunnen de
instrumenten die ongeveer tien jaar of lan-
storingsfrequentie parameters niet nauw-
ger in gebruik zijn vanwege voor de hand
keurig vaststellen, omdat de real-life voor-
liggende redenen.
waarde van een SIF niet nauwkeurig kan test. In werkelijkheid (real-life) wordt een
Hoe gebruik ik de DC en SFF correct?
SIF typisch niet meer dan een keer in de
> Bij het bepalen van de DC mogen alleen
tien jaar geactiveerd (low demand bedrijf) of
diagnostische tests meegenomen wor-
gedurende verificatiebeproeving met regel-
den die zijn uitgevoerd met de vereiste of
matige intervallen.
hogere frequenties (IEC-61508-2, secties
worden gesimuleerd in een laboratorium-
7.4.4.1.4 en 7.4.4.1.5). FMEDA
> De DC voor mechanische apparatuur is
De FMEDA is een mathematische benade-
per defi nitie 0, en de SFF is su / totale
ring, gebaseerd op het instrumentontwerp
storingsfrequentie. Met andere woorden,
met standaard componenten en op uit-
een hoge SFF impliceert een relatief hoge
gebreide componentstoringen databases.
frequentie van oneigenlijk stilleggen van
De invloed van procesomstandigheden,
het proces.
zoals trillingen en temperatuurschomme-
> Als de SFF wordt gebruikt in uw bere-
lingen, wordt gewoonlijk niet meegenomen.
keningen, onderzoek dan of gevaarlijke
Effecten van storingen in componenten zijn
gedetecteerde storingen inderdaad als vei-
echter gebaseerd op praktische ervaring bin-
lige storingen mogen worden behandeld.
nen de door de aanbieder gespecificeerde
> De SFF en de DC zouden gebaseerd moe-
bedrijfsomstandigheden. Soms worden de
ten zijn op IEC-61508 Editie 2.0 (2010),
zogenaamde No-effect storingen of No-part
omdat deze de No-part en No-effect sto-
storingen ook meegenomen als veilige sto-
ringen uitsluit. Anders kunnen de SFF en
ringen, gedetecteerd of niet-gedetecteerd.
de DC te optimistische waarden hebben.
IEC 61508 (2010) vereist expliciet dat deze storingen geen rol spelen in de berekening
In de volgende uitgave van Automatie wor-
van de Diagnostic Coverage of de Safe Fai-
den hoofdstuk 5, 6 en 7 van het SIL Platform
lure Fraction (IEC-61508-2 (2010), bijlage C).
Position Paper verder uitgewerkt. In deel 3
Het is daarom vereist om te verifiëren dat
van dit drieluik leest u alles over hardware
de FMEDA is gebaseerd op de laatste editie.
safety integrity randvoorwaarden aan de architectuur, verificatiebeproevingen van
In de praktijk bewezen
Safety Instrumented Systems en safety life-
Als alternatief mogen eindgebruikers sto-
cycle management.
J
ringsfrequentiegegevens gebruiken die verzameld zijn uit praktijkervaring of uit commerciële databases en die gebaseerd zijn op praktijkervaring (bijvoorbeeld OREDA), en
2014 Automatie reprint - The Application of SIL | 9
Rens Wolters (Application Specialist SIL / HIPPS Mokveld Valves BV) , Herman Jansen (Senior Safety Consultant ConSILtant) & Willem van der Bijl (Voorzitter SIL Platform & M.D. Produca Consultancy BV) Vertaling: NEN
Toepassing SIL Drieluik SIL Platform Position Paper: deel 3
De toepassing van SIL in de procesindustrie wordt steeds belangrijker. Het SIL Platform is opgericht om de industrie hierbij te ondersteunen. De visie van het platform is verwerkt in een SIL Platform Position Paper om met de industrie te delen. Automatie biedt u deze visie aan als drieluik. In deze uitgave deel 3 over hardware safety integrity randvoorwaarden aan architectuur, verificatiebeproevingen van Safety Instrumented Systems en safety lifecycle management.
Het is de bedoeling van het SIL Platform om
nagestreefde integriteit van SIL circuits vast
een SIL gerelateerd document uit te geven.
te stellen. De volgende onderwerpen komen
De doelstelling van het SIL Platform Posi-
aan bod:
tion Paper is om de markt te informeren en
1. Basis van SIL Implementatie
om bewustwording te creëren over speci-
2. Systematische ontwerpbenadering
fieke aspecten van het toepassen van SIL in
3. Storingsgegevens van instrumenten
In het laatste deel van dit drieluik worden de
de procesindustrie. Dit drieluik geeft basis-
4. Het gebruik van de Diagnostic Coverage
hoofdstukken 5, 6 en 7 behandeld.
informatie over de implementatie van SIL
(DC) factor en de Safe Failure Fraction
en de relevante terminologie. Het richt zich vooral op het SIL verificatieproces om de
waarden aan de architectuur 6. Verificatiebeproevingen van Safety Instrumented Systems 7. Safety lifecycle management
(SFF) 5. Hardware safety integrity randvoor-
Over het SIL Platform Het SIL Platform is een onafhankelijke groep van ervaren gebruikers en aanhangers van de SIL filosofie volgens IEC 61508:2010 en IEC 61511:2003 in de Nederlandse procesindustrie. Het SIL Platform is onderdeel van de Nederlandse normcommissie NEC 65 ‘Industrieel meten, regelen en automatiseren’, die de Nederlandse inbreng in het internationale werk van IEC/TC 65 ‘Industrial measurement, control and automation’ verzorgt. Op dit moment telt het SIL Platform veertig leden. Zij vertegenwoordigen eindgebruikers, ingenieursbureaus, leveranciers, fabrikanten en consultancy bedrijven. Meer informatie: I www.nen.nl, E
[email protected]
10 | The Application of SIL - Automatie reprint 2014
Hoofdstuk 5 ‘Hardware safety integrity’ randvoorwaarden aan de architectuur
high demand of de low demand situatie) of
Editie 2010 van de IEC 61508 definieert
zonder microprocessoren en software zijn
zich in de praktijk heeft bewezen).
twee manieren om de vereiste Hardware
in principe van type A. Deze selectie kan
Fout Tolerantie (HFT) aan te tonen. Route
voor mechanische apparatuur ook afhan-
Hoewel de term ‘in de praktijk bewezen’ heel
1H is geschikt voor elektronische systemen,
gen van het gebruik en moet zorgvuldig
duidelijk is, geeft de IEC specifi eke eisen
terwijl route 2H kan worden gebruikt voor
worden bekeken. Bijvoorbeeld een groot
(IEC 61508-2, sectie 7.4.10). Om het ‘gebruik
zowel elektronische als mechanische appa-
formaat klep/actuator die in tientallen
te bewijzen’, moeten statistische gegevens
ratuur.
seconden sluit, wordt als type A apparatuur
beschikbaar zijn voor dezelfde toepassing,
beschouwd. Echter, indien dezelfde appara-
hetzelfde procestype of toepassingsprofiel,
Volgend op de Probability of Failure on
tuur moet sluiten binnen enkele seconden,
en alle aspecten van de toepassing en vei-
Demand (PFD) berekening om te verzeke-
zijn er geen betrouwbare storingsgegevens.
ligheidsmissie moeten worden geverifieerd.
ren dat de PFD van het circuit in lijn is met
Dan moet vanwege de toepassing de appara-
Bijvoorbeeld in het geval dat storingsgege-
de vereiste SIL, defi niëren de randvoorwaar-
tuur geclassificeerd worden als apparatuur
vens beschikbaar zijn, gebaseerd op normale
den aan de architectuur – zoals vastgelegd
van type B.
bediening of op normaal schakelgedrag en
in de IEC standaard – het aantal elementen in het circuit.
een SIL 2 (alleen in de high demand situatie) vereisen, is een HFT van 1 – en dus een 1oo2 confi guratie – vereist (wanneer het element
de toepassing vereist nu dat het onderdeel Zodra de SFF en het type A of B zijn gedefi-
voor langere tijd in dezelfde positie blijft,
nieerd, kan de vereiste HFT van het apparaat
kan de term ‘in de praktijk bewezen’ niet
in de tabel worden gevonden.
langer worden gebruikt.
wordt de Safe Failure Fraction (SFF) van
Correcte realisatie
Het laatste deel is feitelijk ook van toepas-
het systeem gebruikt om de vereiste HFT te
De nieuwe methode 2H (IEC 61508-2 sectie
sing op methode 1H waar gerelateerde sto-
defi niëren. Zoals hierboven aangegeven, is
7.4.4.3) is gebaseerd op eerder gebruik of op
ringsgegevens vereist zijn (IEC 61508-2,
de SFF niet echt toepasbaar op mechanische
het feit dat deze in de praktijk is bewezen,
sectie 7.4.9.3). Gerelateerd betekent dat dat
toestellen, die gewoonlijk als eindelement
zoals ook is omschreven in IEC 61511 versie
er voldoende vertrouwen moet zijn dat de
voorkomen. De nieuwe defi nitie van het
2003. In toepassingen die een SIL 3 (in de
apparatuur geschikt is voor de toepassing.
Valkuilen In methode 1H (IEC 61508-2 sectie 7.4.4.2)
diagnostische testinterval is specifiek voor elektronische apparatuur en kan niet worden toegepast op mechanische toestellen. In de ‘low demand’ situatie is het vereist dat het diagnostische testinterval korter is dan de in de berekening gebruikte Mean Time To
Hoofdstuk 6 Verificatiebeproevingen van Safety Instrumented Systems
Restore (MTTR), minus de tijd om de vast-
Verificatiebeproevingen zijn periodieke tests
berekenen, zowel de PTC als de levensduur
gestelde storing te herstellen. Hoewel als
om gevaarlijke verborgen storingen in een
van de SIF moet ingevoerd worden.
MTTR vaak 8 tot 24 uur wordt gehanteerd,
veiligheidssysteem aan te tonen. Verificatie-
Het is echter mogelijk dat het mathemati-
is dit moeilijk te bereiken voor niet-elektro-
beproevingen zullen niet gedetecteerde sto-
sche model niet volledig de werkelijke situ-
nische apparatuur.
ringen (als deze er zijn) in een Safety Instru-
atie weergeeft, omdat een ontoereikende
mented System aan het licht brengen, zodat
PFD als gevolg van gebrekkige tests in het
Methode 1H defi nieert de HFT gebaseerd
indien nodig het systeem (zo snel mogelijk)
mathematische model, gecompenseerd kun-
op twee tabellen, een voor apparatuur van
kan worden hersteld naar de oorspronkelijk
nen worden door frequentere (gebrekkige)
type A en de ander voor apparatuur van type
ontworpen functionaliteit.
verificatiebeproevingen.
7.4.4.1.3) is de defi nitie van type A of type
Valkuilen
Correcte uitvoering
B gebaseerd op de complexiteit van het ele-
Gebruik van software rekentools
Test interval
ment. Onderdelen met microprocessoren
Sommige geavanceerde PFD software reken-
Het interval van de verifi catiebeproevin-
en software zijn van type B. Mechanische
programma’s kunnen de consequenties van
gen is gerelateerd aan de gemiddelde PFD
apparatuur en elektronische apparatuur
een Proof Test Coverage factor (PTC) < 100 %
van de SIF. Om te voldoen aan de eisen van
B. Volgens IEC 61508-2 (secties 7.4.4.1.2 en
de vastgestelde target SIL van een SIF, mag
Procedures voor onderhoud en verifi catie-
bijvoorbeeld, de logische verwerkingseen-
het interval van de verifi catiebeproevin-
beproevingen
heid kan een ander testinterval vereisen dan
gen de testperiode die in de berekeningen
Verifi catiebeproevingen moeten gedocu-
de sensoren of eindelementen. Elke onvol-
is gebruikt, niet overschrijden. Gebruikelijk
menteerd zijn in de onderhoudsprocedures,
komenheid die wordt gevonden tijdens het
zijn één, twee, drie of vier jaar.
met inbegrip van:
verificatiebeproeven, moet op een veilige en
• Wanneer verificatiebeproevingen moeten
tijdige manier worden gerepareerd.
Tests
worden uitgevoerd.
Een volledige functionele verificatiebeproe-
• De acties die moeten worden uitgevoerd
Elke verandering aan de applicatielogica
ving (PTC van 100%, dat is een volledige
voor de verificatiebeproeving van een
vereist volledig verificatiebeproeven. Uit-
proces-tot-proces test) moet altijd de doel-
SIF. Voor elke SIF moeten geschreven,
zonderingen hierop zijn toegestaan indien
stelling zijn. Sensoren moeten getest wor-
gedetailleerde procedures voor de verifi-
een geschikte beoordeling en testen van het
den, indien mogelijk door het variëren van
catiebeproeving worden ontwikkeld om
gewijzigde deel uitgevoerd wordt om te ver-
de proceswaarde. Indien gescheiden kanalen
alle gevaarlijke storingen te vinden. Deze
zekeren dat de veranderingen correct zijn
worden gebruikt, moeten voor elk kanaal
geschreven testprocedures moeten elke
uitgevoerd.
afzonderlijke tests worden uitgevoerd.
stap omschrijven die moet worden uit-
Gedurende de verificatiebeproeving dient de
Indien lekkage van kleppen tot een gevaar-
gevoerd, en moeten de correcte werking
SIF ook visueel geïnspecteerd te worden, om
lijk scenario leidt, moet de mate van afslui-
van elke sensor en eindelement, logische
te verzekeren dat er geen ongeautoriseerde
ting van de klep ook aan een verifi catie-
acties en alarmen en signaleringen bevat-
wijzigingen en geen merkbare beschadi-
beproeving onderworpen worden. Als het
ten. De ontwikkeling van de procedures
gingen zijn (ontbrekende bouten of instru-
proces veiligheidstijdkritisch is, moet de SIF
voor de verificatiebeproeving is een zeer
mentafdichtingen, roestende steunen, losse
responsetijd ook getest worden.
belangrijke multidisciplinaire maatwerk-
draden, gebroken buizen, defecte leidingver-
activiteit, en moet voorafgaand aan de ini-
warming en ontbrekende isolatie).
Correcte realisatie Safety Requirements Specifi cation (SRS)
tiële inbedrijfstelling worden uitgevoerd. • De acties en beperkingen die nodig zijn
Documentatie verifi catiebeproeving
De Safety Requirements Specification moet
om een onveilige toestand te voorkomen
De resultaten van elke verificatiebeproeving
behalve de standaard ontwerpoverwegin-
en/of de gevolgen van een gevaarlijke
moeten worden vastgelegd om aan te tonen
gen, ook de eisen, beperkingen, functies en
gebeurtenis tijdens onderhoud of bedrijfs-
dat verifi catiebeproevingen en inspecties
voorzieningen van iedere SIF bevatten om
voering. Bijvoorbeeld, welke aanvullende
zijn uitgevoerd zoals vereist. Deze rappor-
het periodieke verificatiebeproeven van elke
beperkende maatregelen moeten worden
ten moeten minimaal de volgende informa-
SIF mogelijk te maken. Het interval van de
toegepast wanneer het nodig is om een
tie bevatten:
verificaiebeproeving moet worden gedefi ni-
systeem te bypassen voor testen of onder-
• Beschrijving van de uitgevoerde testen en
eerd, gebaseerd op onderhoudsprocedures
houd?
inspecties
en PFD berekening. In het bijzonder, wan-
• Kalibratie van sensoren.
• Datums van de testen en inspecties
neer online verificatiebeproeven vereist is,
• Testapparatuur die gebruikt wordt tijdens
• Naam van de persoon/personen die de
moeten testvoorzieningen een integraal
normale onderhoudsactiviteiten, wordt op
testen, verificaties en inspecties hebben
onderdeel zijn van het SIF ontwerp om het
de juiste manier gekalibreerd en onder-
uitgevoerd
mogelijk te maken te testen op niet gedetec-
houden.
• Serienummer of een andere unieke identificatie van het geteste systeem (circuit-
teerde storingen.
voorwaarden voldoen.
Correcte uitvoering geschikte verificatiebeproevingen Safety Instrumented Systems
Ten eerste moet de SIF worden ontworpen
Verifi catiebeproeven
(‘zoals aangetroffen’ en ‘zoals achtergela-
in overeenstemming met de onderhouds- en
Periodieke verificatiebeproevingen moeten
ten’ condities)
testeisen gedefi nieerd in de Safety Requi-
worden uitgevoerd volgens de beschreven
• Corrigerende acties, indien deze er zijn
rement Specification. Ten tweede moet de
en goedgekeurde procedures voor de verifi-
• Ondertekend by pass document, met
operator gewezen worden op elke bypass
catiebeproeving. De totale SIF moet worden
datum en tijd dat de bypasses zijn aange-
die onderdeel vormt van de SIF middels
getest, met inbegrip van sensoren, logische
bracht en verwijderd.
een alarm- en/of een werkprocedure. Het
verwerkingseenheid en eindelement(en).
gebruik van bypasses moet zoveel mogelijk
Verschillende onderdelen van de SIF kunnen
worden voorkomen.
verschillende testintervallen nodig maken,
Als test- en/of bypassvoorzieningen in de SIF zijn opgenomen, moeten deze aan twee
12 | The Application of SIL - Automatie reprint 2014
nummer, labelnummer, apparaat-nummer, SIF-nummer) • Resultaten van de testen en inspectie
Hoofdstuk 7 Safety lifecycle management De safety lifecycle omvat volgens de defi ni-
Reparaties
tie in de norm de periode die begint met het
De verificatiebeproeving is een periodieke
conceptontwerp tot aan het moment dat
test die wordt uitgevoerd om gevaarlijke
het veiligheidssysteem buiten bedrijf wordt
verborgen storingen in een veiligheidssys-
gesteld. De integriteit van een veiligheids-
teem aan het licht te brengen. Reparatie is
systeem wordt in eerste instantie bepaald
noodzakelijk om het veiligheidssysteem te
tijdens de ontwerpfase. Deze integriteit zou
herstellen tot een volledige functionele toe-
in gevaar kunnen worden gebracht tijdens
stand. Wees ervan bewust dat de effectivi-
elke andere fase van de levenscyclus van het
teit van de verificatiebeproeving afhankelijk
systeem, bijvoorbeeld tijdens de operationele
zal zijn van zowel het afdekken van de sto-
fase. Safety lifecycle management garandeert
ringen als de effectiviteit van de reparatie. In
dat de integriteit van een veiligheidssysteem
de praktijk wordt het ontdekken van 100%
behouden blijft gedurende alle fases van de
van de verborgen gevaarlijke storingen niet
levenscyclus van het systeem of installatie.
eenvoudig bereikt. De doelstelling zou moeten zijn dat alle veiligheidsfuncties gecon-
Valkuilen
troleerd worden in overeenstemming met de
Te weinig aandacht voor integrale veilig-
E/E/PE Safety Requirement Specification.
heid in latere fases in de levenscyclus Wanneer het management besluit om de SIL fi losofie over te nemen, wordt de meeste inspanning besteed aan het ontwerp en tijdens de installatiefase. Na de inbedrijfstelling en het opstarten begint de langste periode met een belangrijke SIL focus, de operationele fase. Het veiligheidscircuit wordt vaak niet met dezelfde accuratesse geïnspecteerd, getest en onderhouden als
‘De toepassing van SIL vereist een continue en doorlopende activiteit gedurende de gehele levenscyclus van de procesinstallatie.’
tijdens de ontwerpfase. Overschrijden van testintervallen Testen worden uitgevoerd om het adequaat functioneren van de SIP aan te tonen. Het
Bedrijfsbeleid
testinterval is direct gerelateerd aan de PFD
Het is belangrijk om bedrijfsprocedures te
waarden van het veiligheidscircuit. Het uit-
hebben om SIL verificatiebeproevingen in te
stellen van de test buiten de oorspronkelijke
bouwen als de standaard praktijk binnen de
testintervallen veroorzaakt direct een onac-
betrokken afdelingen. Ten slotte willen we
ceptabel risico in dit circuit.
stellen dat de toepassing van SIL een continue en doorlopende activiteit vereist gedu-
Correcte realisatie
rende de gehele levenscyclus van de proces-
Foutanalyse
installatie.
J
Wanneer de test een storing laat zien, is het belangrijk om uit te zoeken wanneer de storing voor het eerst optrad en wat deze veroorzaakt heeft. Hiervoor is een gedetailleerde analyse nodig. Zijn er andere apparaten in de installatie die mogelijk hetzelfde probleem hebben? 2014 Automatie reprint - The Application of SIL | 13
AUTEURS Willem van der Bijl CH 01 & 07 Henrie Verwey CH 02
Safety Consultant & M.D.
PRODUCA Consultancy BV
Sr. Safety Consultant
Verwey Safety Services
Hans van Dongen
CH 03
SIS & Alarm Management Guardian
Du Pont de Nemours
André Fijan
CH 04
Process Control & Safety Engineer
Fluor BV
Rens Wolters
CH 05
Application Specialist SIL/HIPPS
Mokveld Valves BV
Herman Jansen
CH 06
Process Safety Consultant
Consiltant BV