Functionele Veiligheid SIL Implementatie. Meervoudige Veiligheidskringen Hardware Fout Tolerantie

Functionele Veiligheid SIL Implementatie Meervoudige Veiligheidskringen Hardware Fout Tolerantie Botlek Studieavond – 5 juni 2014 Willem van der Bijl PRODUCA en ExInspect

© Copyright PRODUCA SIL Presentatie BSG Jun14.PPT / WvdB / Jun, 2014 / Blz. 1

 

PRODUCA levert diensten op het gebied van Opleidingen, Consultancy & Communicatie Dat betekent:       

leveren van procesgerelateerde technische opleidingen advies en opleiding in SIL, CE, ATEX en Bustechnieken begeleiding bij HAZOP, SIL Implementatie, productie EVD opleiding in communicatieve vaardigheden inspectie van ATEX installaties (ExInspect) schrijven van teksten en persberichten verzorgt de volledige redactionele inhoud van vakblad Automatie/PMA

www.exinspect.nl © Copyright PRODUCA - 2014 Blz. 2

www.produca.nl PROfessional eDUCAtion

© PRODUCA 2014

1

TOPICS 

Situatie SIL in West Europa



SIL Implementatie en procedures



Onafhankelijke lagen (LOPA)



Meervoudige beveiliging HFT



SIL Platform

© Copyright PRODUCA - 2014 Blz. 3

PROfessional eDUCAtion

Shell Moerdijk

Bron: Omroep Brabant

© PRODUCA 2014

2

Situatie 

Explosie Buncefield (Hemel Hempstead) 



BMIIB Report 



Onvoldoende toepassing van Risk Management

Aanpassing van PGS 29 in Nederland 



Nieuwe inzichten in explosiedrukken en ontwerp en veiligheid van opslagtanks

Installatie volledig verwijderd 



11 december 2005 – geen doden / 48 gewonden

Vernieuwing van hoog niveau alarmering

In Nederland strenge nieuwe voorwaarden 


Gebruik SIL door de Inspectie SZW gestimuleerd PROfessional eDUCAtion

© PRODUCA 2014

3

Stuurfoutje



Functionele Veiligheid: deel van de totale veiligheidsstrategie Veiligheid (in het algemeen) betekent bescherming van de mens tegen ALLE gevaren (bewegende delen, hitte, straling, elektrische schok, etc.) risico op brand of explosie

risico op straling

risico door mechanische beweging

risico op elektrische schok gevaar veroorzaakt door incorrect functioneren

‘Functionele veiligheid’ betekent bescherming tegen gevaren veroorzaakt door incorrect functioneren. © Copyright PRODUCA - 2014 Blz. 8


© PRODUCA 2014

4

Normen Functionele Veiligheid IEC 62061

IEC 60601

Machines Productie

Medische Sector

IEC 61508

IEC 50128 Transport Sector

Industrie IEC 61511

IEC 60880

Proces industrie

Nucleaire Industrie

Gebruik van SIL © Copyright PRODUCA - 2014 Blz. 9


Systeemontwerp volgens IEC61511 Het ‘ui-model’ Ondanks dat gaat het proces wel eens in alarm, dan wordt door operations ingegrepen

Ondanks alles kan het SIS ook falen. Dan zijn er de calamiteit beperkende maatregelen; de volgende drie schillen

Het SIS moet voorkomen dat het proces nog verder uit de hand loopt, regelmatige testen moet de betrouwbaarheid garanderen

Het regelsysteem zorgt dat het proces binnen de grenzen blijft

Proces ontwerp

Wordt onjuist ingegrepen, of is het proces ondanks de ingreep niet in de hand te houden, dan is er het SIS

In dit ontwerp worden onder meer de procesvariabelen bepaald © Copyright PRODUCA - 2014 Blz. 10


© PRODUCA 2014

5

Voorkom

Beperk

Functionele Veiligheid in Proces Responsie op noodtoestand

Nood acties

Dijk

Passieve bescherming

Ontlaatklep, Breekschijf

Actieve bescherming

Safety Instrumented System

Nood functie

Operator grijpt in

Proces stop

Basis Proces Regelsysteem

Proces waarde

Procesregeling

Inherent veilig ontwerp

Proces

Procesontwerp

Veiligheid

Procesregeling Deviatie alarm



SIL maatregelen 1. Risico’s worden vastgesteld op basis van een HAZOP studie 2. Voor ieder risico wordt door middel van een classificatie een, Safety Integrity Level of SIL niveau bepaald 3. Deze worden vastgelegd in een managementverklaring 4. Voor ieder risico van SIL 1 – SIL 3 dient een beperkende maatregel (functie) te worden genomen Een Safety Instrumented Function SIF Elke SIF bestaat uit een elektrische regelkring (E/E/PE)  Die worden in een Safety Requirement Specification, een SRS, gedetailleerd beschreven  De regelkringen samen vormen het veiligheidssysteem, een Safety Instrumented System, een SIS  

5. Niveau SIL 4 vereist een additionele veiligheidsstudie en kan een wijziging van het procesontwerp tot gevolg hebben 6. Door middel van SIL verificatie wordt aangetoond of de kring aan het vereiste SIL niveau voldoet 7. Met de SRS als basis wordt een SIS geproduceerd, geïnstalleerd, commissioned, zorgvuldig getest en in gebruik genomen © Copyright PRODUCA - 2014 Blz. 12


© PRODUCA 2014

6

Risico Waardering

GROOT RISICO

Kans 1

2

3

4

1

2

3

1

2

RISICO VERLAGING klein RISICO

Risico Matrix

1 Gevolg



Voorbeeld SIS Loop BAS F&G SIS DCS

BAS = Business Administration System F&G = Fire & Gas System SIS = Safety Instrumented System DCS = Distributed Control System

PROCES



© PRODUCA 2014

7

Relatie tussen SIL en PFD Safety Integrity Level SIL

Te bereiken risicoverlaging m.b.v. SIS

Probability of Failure on Demand PFDavg

SIL < 1

Geen voorwaarden

Geen voorwaarden

SIL 1

> 10

< 0,1

SIL 2

> 100

< 0,01

SIL 3

> 1000

< 0,001

SIL 4

> 10,000

< 0,0001

PFD = kans van géén reactie op een actieverzoek

PFD = product van faalkans en beproevingstest



Opbouw Veiligheidskring I Card Barrier JBox Kabel

O Card Barrier JBox

Kabel

PLC Logic

Initiator

Solenoid Actuator

    

Faalkans omvat het aantal malen dat een element faalt per tijdseenheid, bijvoorbeeld een keer per tien jaar, lambda (λ) is dan 0,1 Het testinterval Ti is de tijd tussen twee SIF-proeftesten Voor één deelelement (1oo1) geldt: PFD = ½ • λ • Ti Voor een volledige loop worden de PFD’s van de elementen opgeteld Dit geeft dan de gemiddelde kans dat een SIF faalt: = PFDavg



© PRODUCA 2014

8

Voorkom

Beperk

Meervoudige Beveiligingen Responsie op noodtoestand

Nood acties

Dijk



Actieve bescherming


Nood functie 2

Veiligheid

Nood functie 1

Veiligheid

Operator grijpt in

Proces stop

Procesregeling


Proces waarde

Procesregeling


Proces

Procesontwerp


IPL’s


Voorkom

Beperk

Meervoudige Beveiligingen Responsie op noodtoestand

Nood acties

Dijk



Actieve bescherming


Nood functie

Veiligheid

Operator grijpt in

Proces stop

Procesregeling


Proces waarde

Procesregeling


Proces

Procesontwerp

Parallelle Beveiligingen

Deviatie alarm



© PRODUCA 2014

9

Meerdere Elementen

Kabel

I Card Barrier JBox

O Card Barrier JBox

Kabel

1oo1

PLC

1oo2

Logic Initiator

2oo2

Solenoid Actuator


2oo3


Foutanalyse          

 FIT SD SU DD DU SFF DC HWFT CCF

Failure Rate (lambda - faalkans) Failure in Time (# fouten in 109 uur) Safe failure Detected Safe failure Undetected Dangerous failure Detected Dangerous failure Undetected Safe Failure Fraction Diagnostic Coverage HardWare Fault Tolerance (HFT) Common Cause Failure (β)

SFF = (SD + SU + DD) / (SD + SU + DD + DU) © Copyright PRODUCA - 2014 Blz. 20


© PRODUCA 2014

10

Voorbeeld SIS Loop



Hardware fouttolerantie

volgens IEC61511





Alle subsystemen/elementen (niet PE logic solvers) moeten een H/W fouttolerantie hebben volgens onderstaande tabel, maar Als de H/W is geselecteerd op basis van ‘prior use’, en de (beperkte) afregelmogelijkheid is beschermd, mag de tolerantie met één worden verlaagd

Uit NEN EN IEC 61511-1, art. 11.4.4. © Copyright PRODUCA - 2014 Blz. 22


© PRODUCA 2014

11


volgens IEC61511





De gebruikte H/W van PE logic solvers voor SIF’s moet een minimale fouttolerantie hebben volgens onderstaande tabel De SFF geeft het percentage veilige fouten op het totaal van fouten

Voorbeeld: Een H/W fouttolerantie van 1 betekent dat er bijvoorbeeld twee apparaten zijn en dat de architectuur zodanig is dat een fout bij een van beide de veiligheidsactie niet wordt tegengehouden © Copyright PRODUCA - 2014 Blz. 23



volgens IEC61508



Maximum toepasbare SIL waarde voor een SIF die door Type A elementen wordt uitgevoerd:

Apparatuur is Type A als het ‘eenvoudige’ apparatuur betreft, zonder software en waarvan de foutgedrag volledig voorspelbaar is Uit NEN EN IEC 61508-2, art. 7.4.4.2.2 Tabel 2 © Copyright PRODUCA - 2014 Blz. 24


© PRODUCA 2014

12


volgens IEC61508



Maximum toepasbare SIL waarde voor een SIF die door Type B elementen wordt uitgevoerd:

Apparatuur is Type B als het ‘complexe’ apparatuur betreft, eventueel met software en waarvan de foutgedrag niet volledig voorspelbaar is Uit NEN EN IEC 61508-2, art. 7.4.4.2.2 Tabel 3 © Copyright PRODUCA - 2014 Blz. 25


Voorbeeld Exida Approval



© PRODUCA 2014

13

Details Exida Approval



SIL Implementatie     

Meerdere elementen worden toegepast op basis van de gestelde HFT in de norm De procesverbindingen dienen ook parallel te worden uitgevoerd De SIL verificatie wordt vervolgens uitgevoerd met de van toepassing zijnde formule Bij gelijke types dient met de CCF waarde (of bèta factor) te worden rekening gehouden Als alternatief kan met met diversificatie worden gewerkt



© PRODUCA 2014

14

Vervolg SIL maatregelen 8. Opereren en controleren van de SIF veiligheidskringen 9. Onderhoud plegen aan de elementen van de safety loops 10. Testen van de SIF kringen op basis van de resultaten uit de SIL berekeningen (SRS) Uitgangspunt is de ‘proof test’, de test van de volledige SIF functie Testen kunnen ook per element worden uitgevoerd, of zelfs van een deel van het element  Deze zogenaamde deeltesten moeten worden beoordeeld op hun ‘diagnostic coverage’  Tijdens het testen dient de veiligheidsfunctie behouden te blijven  

11. Regelmatige inspectie uitvoeren 12. Bovenstaande activiteiten gedegen documenteren 13. Trainen van betrokken personeel

Bovenstaand wordt helaas vaak onderbelicht… Zie ook: Artikel 16 van de NEN EN IEC 61511-1 © Copyright PRODUCA - 2014 Blz. 29


Ervaringen SIL Implementatie 

 



Onderzoek naar hetzelfde risico in een proces plant door verschillende HAZOP/SIL teams leidt regelmatig tot verschillende resultaten, variërend van SIL 1 tot en met SIL 3 Op basis van dit uitgangspunt wordt een SIF gedefinieerd en een safety loop ontworpen Vervolgens wordt een SIL verificatie uitgevoerd om met vele cijfers achter de komma aan te tonen dat de kring voldoet Hierbij wordt gebruik gemaakt van gegevens van leveranciers, die voor hun apparatuur bijvoorbeeld SIL 3 specificeren



© PRODUCA 2014

15

Conclusie  

Taxatie en Verificatie vereist goede kennis van de SIL methode zoals beschreven in IEC 61508/61511 Waarom SIL?    



SIL maakt risico’s inzichtelijk, meetbaar en beheersbaar SIL levert een werkbare geïnstrumenteerde methode om risico’s tot een acceptabel niveau terug te brengen SIL stimuleert inzicht in de betrouwbaarheid en faalkansen van procesapparatuur SIL maakt de betrokken personen bewust van de ‘safety life cycle’ en het behoud van veiligheid

De in bedrijf zijnde installatie dient ook op termijn op SIL variabelen te worden beoordeeld



SIL Platform  





Ondersteunen van het goed gebruik van SIL (IEC) in de volledige cyclus van een plant Uitwisseling van kennis op dit terrein voor betere toepassing en betere ontwikkeling van de normen 61508 en 61511 Functioneren als klankbord voor de normcommissie NEC 65 ‘Industriële Meet- en Regeltechniek’ Iedereen kan lid worden . . . . . . belangstelling?



© PRODUCA 2014

16

SIL-platform

Op 5 maart 2009 is het SIL-platform opgericht. Het SIL-platform is een werkgroep van normcommissie ‘Industrieel meten, regelen en automatiseren’ die verantwoordelijk is voor de internationale normen op het gebied van functionele veiligheid, IEC 61508 en IEC 61511. Deze twee normen vormen de oorsprong van SIL.

Doelstellingen • Ondersteunen van het goed gebruik van SIL (IEC) in de volledige cyclus van een plant. • Uitwisseling van kennis op dit terrein voor betere toepassing en betere ontwikkeling van de normen IEC 61508 en IEC 61511. • Functioneren als klankbord voor de normcommissie NEC 65 ‘Industriële Meet- en Regeltechniek’.

Aandachtsgebieden • Uitwisseling van informatie en ervaringen. • Ondersteuning bij normontwikkeling. • Wederzijdse kennisontwikkeling.

Voordelen van deelname • • • • •

Vergaren van kennis. Vraagbaak voor relevante onderwerpen. Op de hoogte komen van de laatste stand van normen en techniek. Invloed op normontwikkeling. Informatie-uitwisseling en netwerken.

Samenstelling • Personen die vanwege hun werkzaamheden betrokken zijn bij de toepassing en gebruik van functionele veiligheid en SIL. • Management en medewerkers van de afdelingen: bedrijfsleiding, SHEQ, proces, E/I & TD, etc. van diverse bedrijven in de procesindustrie. • Medewerkers van adviesbureaus, opleidingsinstituten en keuringsinstellingen.

Agenda aankomende periode • Revisie IEC 61511 reeks.

Werkwijze • Het SIL-platform komt twee keer per jaar bij elkaar. • De bijeenkomsten hebben een technisch en een informatief karakter en geven invulling aan de gestelde doelstellingen. • Het platform wordt ondersteund door de e-working faciliteiten die NEN voor het commissiewerk heeft. Deze faciliteit biedt documentbeheer en een e-Forum

Financiën en registratie • De kosten voor het lidmaatschap aan het SIL platform is voor 2013 vastgesteld op 255 EURO per deelnemer. • Registratie geschiedt via een registratieformulier, z.o.z.

Meer informatie over het SIL-platform: Willem van der Bijl, voorzitter, tel.: 0162 42 91 79, e-mail: [email protected] Rianne Boek, secretaris, tel.: 015 269 03 65, e-mail: [email protected]

Registratie ‘SIL-platform’

Normcommissienummer

363065

Normcommissienaam

Industriële Meet- en regeltechniek

Werkgroepnummer

36306502

Werkgroepnaam

SIL-platform

Secretaris

Rianne Boek

Naam (inclusief titel,

voorletters en voorvoegsels voluit)

Naam bedrijf/organisatie

Functie

Adres

Postcode + woonplaats Telefoonnummer Mobielnummer Faxnummer E-mail adres

Website bedrijf / organisatie

Wij verzoeken dit formulier zo volledig mogelijk ingevuld aan ons te retourneren. NEN-Elektro & ICT fax: 015 269 02 77 E-mail: [email protected]

Handtekening:

Naam:

Plaats en datum:

PRODUCA is a trusted advisor and counsellor in the world of process-safety in the industry. Our engineering, training and consultancy services focuses specifically on a number of expert areas, one of which is process safety. We have in-depth knowledge of functional safety (SIL, HAZID, HAZOP, FMEA, FTA and LOPA) and explosion safety, (ATEX directives, Ex techniques, explosion safety documentation) and the application of CE (PED, EMC, Low voltage, ATEX, Machine). In addition, we distinguish ourselves through our broad expertise in field communication technology (field bus, wireless, HART, industrial ethernet) The strength of PRODUCA lies in educating, guiding and supporting organisations, having a broad knowledge and over 50 years of field experience, on matters related to our these specialties. PRODUCA is founder and leader of the, NEN linked, SIL platform. Our experts are active in the standardisation committee NEC65 (the Dutch section of the IEC body of industrial-process measurement and control committee), are certified functional safety professionals, have international experience and all have one thing in common: they are exceptional, safety related, problem solvers.

SIL (IEC 61508 - IEC 61511) As part of the risk analysis of your production plant, one may decide to classify risk according to Safety Integrity Levels (SILs). SIL is a statistical representation specifying the amount of risk reduction a Safety Instrument System (SIS) is required to achieve. SILs are correlated to the probability of failure on demand (PFD) and are divided in 4 levels:

SIL classification can be done for three impact base-lines: personal, environmental and economic consequences. PRODUCA can give training, guidance and consultancy during the two stages for implementing SIL: SIL classification which means determining the SIL class of your installation and SIL verification which means to check if the system (SIS) installed meets the stated SIL class.

ATEX (ATEX 95 - ATEX 137) Standard regulations (CE approach) for equipment used within hazardous areas with potentially explosive atmospheres is a core issue for the European Union. Thus, they took the lead in developing standards which became known as ATEX directives (ATmosphères EXplosibles). They apply to all kinds of, electrical or nonelectrical equipment and safety devices as well as machines and industrial facilities located within potentially explosive atmospheres. Since July 1, 2003 it is mandatory to use devices which have a ATEX type approval all across Europe. And, as of July 1, 2006, organizations in EU must follow the directives to protect employees from explosion risk in areas with an explosive atmosphere. The ATEX directive consists of two EU parts describing what equipment and what work environment is allowed in an environment with an explosive atmosphere: ‐ the ATEX 95 equipment directive 94/9/EC: Equipment and protective systems intended for use in potentially explosive atmospheres ‐ the ATEX 137 workplace directive 99/92/EC: Minimum requirements for improving the safety and health protection of workers potentially at risk from explosive atmospheres www.produca.nl – +31 (0) 162 42 91 79 – [email protected] © Copyright PRODUCA Communicatie BV – 2011

PRODUCA can advise and train your organisation, during engineering, production, installation or in-use, which standard is applicable and/or which regulations apply to your equipment or workplace. We perform maintenance inspections and can produce Explosion Safety Documents. We cover gas and dust risks and focus on electrical and non-electrical apparatus.

Machine Directive (IEC 62061 - 2006/42/EC) The machinery sector is an important part of the engineering industry and is one of the industrial mainstays. The Machinery Directive 2006/42/EC provides the regulatory basis for the harmonisation of the essential health and safety requirements for machinery at European Union level. Machinery can be described as ‘an assembly, fitted with or intended to be fitted with a drive system other than directly applied human or animal effort, consisting of linked parts or components, at least one of which moves, and which are joined together for a specific application’. The Machinery Directive has a dual objective: to permit the free movement of machinery within the internal EU market whilst ensuring a high level of protection of health and safety. IEC 62061 represents a sector-specific standard under IEC 61508. This standard represents a comprehensive system for the implementation of safety-related electrical, electronic and programmable electronic control systems. It describes the implementation of safety-related electrical and electronic control systems on machinery and examines the overall lifecycle from the concept phase through to decommissioning. PRODUCA can help your organisation with the quantitative and qualitative examinations of the safety-related control functions to meet the required standard.

PED (97/23/EC) The Pressure Equipment Directive (PED) sets out the standards for the design and fabrication of pressure equipment concerns items such as vessels, pressurised storage containers, heat exchangers, steam generators, boilers, industrial piping, safety devices and pressure accessories generally over one liter in volume and having a maximum pressure more than 0.5 bar gauge pressure. This directive arises from the European Community's Programme for the elimination of technical barriers to trade and is formulated under the ‘New Approach to Technical Harmonisation and Standards’. Its purpose is to harmonise national laws of Member States regarding the design, manufacture, testing and conformity assessment of pressure equipment and assemblies of pressure equipment. As such pressure equipment is widely used in the process industries (oil & gas, chemical, pharmaceutical, plastics and rubber and the food and beverage industry), high temperature process industry (glass, paper and board), energy production and in the supply of utilities, heating, air conditioning and gas storage and transportation. PRODUCA can help with education and provide technical assistance with the application of PED conformity.

Bus Technology (IEC 61158 - ISA100.11a) Large installations traditionally are equipped with twisted wiring and mostly multicore connections. Due to the increasing demand for multivariable field measuring and control devices and the related diagnostic information digital data transfer is required as opposed to 4-20mA. This resulted in the development and application of smart instruments with digital data communication. Standard protocols and new technology is developed and the so called Fieldbus was born. Initially the HART protocol was adopted and later complemented with Foundation Fieldbus (FF) and Profibus. Currently Wireless technology is becoming accepted. The application of this bus and wireless technology requires specific knowledge. PRODUCA can help with education and provide technical assistance in the selection and engineering of field communication technology.

www.produca.nl – +31 (0) 162 42 91 79 – [email protected] © Copyright PRODUCA Communicatie BV – 2011

Functionele Veiligheid SIL Implementatie. Meervoudige Veiligheidskringen Hardware Fout Tolerantie

Recommend Documents