SIL in de praktijk. Realisatie van functionele veiligheid in de procesindustrie

Realisatie van functionele veiligheid in de procesindustrie Met medewerking van: Arno Götz (Endress+Hauser), Andreas Hildebrandt (Pepperl+Fuchs), Thomas Karte (SAMSON), Bernd Schäfer (HIMA Paul Hildebrandt), Johann Ströbl (TÜV SÜD Industrie Service)

SIL in de praktijk Risicoreductie in procesinstallaties De toepasbaarheid van de relevante normen werpt al enkele vragen op, zoals: moet ik absoluut aan de eisen voldoen of hebben de normen alleen een aanbevelend karakter en waarmee moet ik rekening houden als ik de aanbevelingen niet aanhoud? De ‘normeringpiramide’ (figuur 1) kan hier hel­ derheid verschaffen. Deze piramide verduide­ lijkt een toenemende beslissingsvrijheid, waar­ bij het veiligheidsdoel steeds voorop staat. Echter, bij een individueel gekozen oplossing neemt ook de individuele verantwoordelijkheid en aansprakelijkheid toe. In geval van een sto­ ring en een beschuldiging ligt de bewijslast voor het vasthouden aan de regels bij de gebruiker. De verantwoordelijke wordt - in geval van schade - persoonlijk aansprakelijk gesteld. Moet de betreffende installatie aan norm, wet of verordening voldoen? Veel installaties in

In dit artikel wordt een veiligheidscircuit vanuit eenduidige gezichtspunten beschreven. De componenten in dit circuit zijn van verschillende leveranciers afkomstig. Doel is de kerngedachte van de IEC EN NEN 61511 en de praktische toepassing daarvan uit te werken.

de industrie vallen bijvoorbeeld in Duitsland onder de zogenaamde ‘storingsverordening’. In deze verordening (12. BImSchV 2000) is in § 3 ‘Algemene plichten eigenaar’ in artikel 4 het volgende over de normen en regels op­gemerkt: ‘de kwaliteit en het bedrijf van de installaties in de relevante industrie moeten aan de laatste stand der veiligheidstechniek voldoen’. Dat wil zeggen: de eigenaar is verplicht de installaties op de laatste stand van de veilig­ heidstechniek te houden. Uitgangspunt van de veiligheidsbeschouwing zijn de erkende regels van de techniek. Omdat de stand van de veilig­ heidstechniek hierop vooruitloopt, moeten de afwijkingen in afzonderlijke gevallen worden bediscussieerd. Normen zijn slechts richtinggevend. Andere wegen voor het bereiken van het veiligheids­ doel zijn ook toegestaan. In geval van schade moet echter wel de gelijkwaardigheid daarvan

worden aangetoond. Gebruiksspecifieke nor­ men hebben voorrang op basisnormen. In principe berust installatieveiligheid op drie pijlers: veiligheidsmanagement, technische ei­sen en kwalificatie van de medewerker.

Algemene uitgangspunten Volgens een onderzoek van de HSE (Health and Safety Executive, UK) is de oorzaak voor het falen van veiligheidscircuits vaak terug te voeren op het organisatorische vlak. Daarom stelt de IEC EN NEN 61511 de zogenaamde ‘veiligheidslevenscyclus’ (Safety Lifecycle) (figuur 2) centraal. De implementatie van een veiligheidscircuit vraagt als eerste om een duidelijke specificatie, die zowel functie als kwaliteit (SIL) beschrijft. Voorbeeld: ‘Bij een druk van meer dan x bar in tank y sluit ventiel z binnen q seconden leiding s af, met een maximaal toegestane restlekkage van r, waarbij de risicodekking SIL 2 is’.

10 [ Automatie 8 ] 2009

10-15.indd 10

02-09-2009 10:29:13

Afbeeldingen: 1. Normeringspiramide 2. Vereenvoudigde veiligheidslevenscyclus 3. Verschillen tussen mechanische en elektrische systemen

SicherheitsLebenszyklus

Spezifikation

Gesetze Verordnungen Entscheidungsfreiheit; Individuelle Freirau

Veiligheidslevenscyclus

Specificatie

Planung & Implementierung

Planning en implementatie

Regionale Standards

Installation & Inbetriebnahme

Installatie en inbedrijfname

Versicherungs - Anforderunge

Betrieb & Wartung

Normen (z.B. EN746)

Festlegungen fixierte Sicherheit

Werksnormen 1

De norm stelt drie principiële eisen: syste­ matische fouten vermijden, hoeveelheid toeval­ lige fouten bepalen en aan architectuureisen voldoen. Het is dan noodzakelijk de toepas­ singsomstandigheden te bekijken. Volgens de definitie worden in IEC EN NEN 61511 uitslui­ tend ‘elektrische, elektronische en program­ meerbare elektronische systemen’ (E/E/PE) beschouwd. Wanneer deze systemen in een gedefinieerde omgeving zijn ondergebracht, dan geldt een gedetailleerd beschreven proce­ dure om toevallige en systematische fouten te beheersen. Het belang van de afzonderlijke maatregelen verschuift echter aanmerkelijk wanneer het om een omgeving gaat met excessieve omgevingscondities en het een mechanisch in plaats van elektronisch systeem betreft. De gebruiker is verantwoordelijk voor het cor­ rect gebruik van het veiligheidssysteem. Bij contact met het medium kan men niet alleen vertrouwen op een algemene foutenanalyse van het instrument of een database, maar moet men ook de geschiktheid voor het betreffende proces vaststellen. In [1] wordt gesteld: ‘Een gesloten toepassing van nieuwe, en zelfs gecer­ tificeerde, apparaten zonder bedrijfservaring wordt afgeraden!’ Bij een juiste implementatie van een veilig­ heidscircuit zijn de volgende fundamentele aspecten van belang: • Exacte specificatie van de noodzakelijke functionaliteit: ‘ventiel moet sluiten’ volstaat voor een warmtewisselaar, maar niet bij kans op lekkage van een toxisch gas. • Functioneel testen: in het veiligheidsconcept moeten testinterval en testmethode worden vastgelegd.

• Diagnose: diagnose betekent het controleren van fouten in het lopende proces. Voor beproeving is afschakeling van de installatie vaak noodzakelijk, hetgeen gevolgen heeft voor de lay-out van een installatie. • Bedrijfsgeschiktheid: om systematische fou­ ten uit te sluiten zijn in IEC EN NEN 61511 twee mogelijkheden gegeven: het apparaat is conform IEC EN NEN 61508 ontwikkeld of de bedrijfsgeschiktheid is in de praktijk bewe­ zen. • Documentatie: alle stappen van de Safety Lifecycle moeten worden gedocumenteerd. Dit geldt in het bijzonder ook voor de func­ tionele testen. • Foutanalyse: de eis tot het voldoen aan een bepaalde fouttolerantie wordt in IEC EN NEN 61511-1 (11.4.1, opmerking 2) op basis van veiligheidstechnische parameters ver­ klaard. • Beschikbaarheid en bronnen van veiligheids­ technische parameters: bij instrumentkeuze zijn, soms op het internet, de veiligheids­ technische parameters te controleren.

Veiligheidsinstrumenten IEC EN NEN 61511 maakt onderscheid tussen logische systemen en sensoren, respectievelijk

Änderung nach Inbetriebnahme

Bedrijf en onderhoud Verandering na inbedrijfname

2

actuatoren (veldinstrumenten). Actuatoren, bijvoorbeeld, worden duidelijk beïnvloed door zowel de omgevingsomstandigheden als de procesmedia wat resulteert in chemische en fysische belastingen. De invloed van deze effecten is moeilijk vast te stellen. Via speciale maatregelen, zoals bijvoorbeeld verkorte tes­ tintervallen, kunnen deze invloeden beperkt worden. Verschillen tussen mechanische en elektroni­ sche systemen zijn in figuur 3 in tabelvorm weergegeven. Grotere afmetingen, zoals vooral bij actoren, resulteren in een betere testbaar­ heid. Daardoor blijken statische fouten minder relevant zodat het uitsluiten van fouten vaak is toegestaan. Dit moet natuurlijk wel beargu­ menteerd worden. Systematische fouten zijn echter van grote betekenis en deze moeten zoveel mogelijk via procedures worden uit­ gesloten. Tevens moet terdege rekening gehou­ den worden met de toepassingsomstan­ digheden. De door de leverancier geleverde veiligheids­ technische parameters zijn slechts beperkt bruikbaar voor de veiligheidsanalyse. Deze zijn immers beperkt tot de instrumenttechniek.

Elektronische systemen

Mechanisch systeem

Veelvoud aan onderdelen

Begrensd aantal onderdelen

Functionaliteit van de halfgeleider in microscopi- Macroscopische dimensies sche dimensies Verouderingsmechanisme via diffusieprocessen - Geen statistische uitval, maar slijtage vergelijking van Arrhenius Begrensde testdiepte van onderdelen in behuizing

Hoge testdiepte tijdens fabricage en inzet

3

Het ventiel moet op de applicatie worden geconfigureerd 2009 [ Automatie 8 ] 11

10-15.indd 11

03-09-2009 10:39:05

WWWODS INSTRUMENTATIENL

3PECIALISTIN &LOWTECHNIEK

x,w,e [%] 125.0

y [1/s] 10000

100.0

8000

75.0

6000

50.0

4000

25.0

t[s]

0.0 -25.0 0.0

5.0

10.0

15.0

0 20.0

Een veiligheidscircuit kan alleen correct functioneren wanneer zowel de voorschriften van de fabrikant worden aangehouden als naar het specifieke proces en de omgeving wordt gekeken. Over het geheel genomen vraagt een volledige analyse van alle mogelijke bedrijfstoestanden om een omvangrijke beschouwing. Speciaal voor toepassing in veiligheidscircuits stelt de leverancier vaak een ‘safety manual’ ter beschikking waarmee de gebruiker rekening moet houden. In het algemeen bevat deze informatie over: toepassingsgebied in veiligheidscircuits, toegestane apparaatuitvoeringen en versies, beperkingen voor veilig bedrijf, veiligheidstechnische parameters, instructies voor configuratie, apparaatgedrag tijdens bedrijf en bij storing en testprocedures. In de praktijk kan het, om redenen van veiligheidstechnische beschikbaarheid, een voordeel zijn sensoren of actuatoren redundant in te zetten. Hierbij kan gebruik worden gemaakt van identieke of van verschillende apparaten. Dat verschil kan zitten in leverancier, meetprincipe of werkingsfunctie. Bijvoorbeeld het redundant afsluiten van een leiding via een vlinderklep en een kogelkraan. Bij onjuiste instelling van de sensor werkt het veiligheidscircuit niet naar behoren. Sensoren met ‘blokkeerbare instelfunctie’ voorkomen bedienings- en invoerfouten. Het aantal vrij instelbare parameters wordt tot een minimum beperkt. Met de ‘vergrendeling’ van het apparaat is gewaarborgd, dat de configuratie en de instelling niet ongewenst veranderd kunnen worden.

Afbeeldingen: 4. Diagnosticeerbare klepstandsteller, registratie partial stroke test 4

Veiligheidscircuits moeten regelmatig op goede werking worden gecontroleerd. Het tijdsinterval van deze functietesten komt voort uit de SIL-berekening. De functietest dient om gevaarlijke, niet herkende fouten te detecteren en toont aan dat het component nog aan de eisen voldoet. Het resultaat van de functietest (in het bijzonder de vastgestelde toestand) moet worden gedocumenteerd. Eventueel kunnen aanvullende inspecties tijdens bedrijf wenselijk zijn. Daarmee kunnen corrosie, trillingen, ge luid, lekkage, en dergelijke, vroegtijdig worden herkend. De test met gedeeltelijke klepbeweging (Partial Stroke Test) tijdens bedrijf is een onderdeel van functietesten en diagnosemethoden. Figuur 4 toont bijvoorbeeld een moderne, diagnosticeerbare klepstandsteller en de registratie van een partial stroke test. Zie ook Automatie nummer 2-2009, pag. 18 ev.

Besturing Bij de systeemkeuze moet rekening worden gehouden met de benodigde I/O-soorten, de uitbreidingsmogelijkheden, de SIL-conforme communicatie tussen systemen en de benodigde veiligheidsreactietijden. Bij het vergelijken van de veiligheidstechnische parameters moet erop worden gelet of de getallen conform IEC EN NEN 61508 of ANSI/ISA TR84.0.02 zijn bepaald omdat daaruit verschillende waarden resulteren. Voor de programmeertool van het veiligheidssysteem zijn eenduidige identificatie van de programmaversie en het revisiemanagement van belang. Voor het gebruikersprogramma zijn

dit de voorschriften voor de inrichting en de consequente toepassing van standaard bouwstenen. Dit laatste is bedoeld om de onderhouds- en testwerkzaamheden te minimaliseren. Figuur 5 toont aan de hand van een voorbeeld een conventioneel opgebouwde logica en ter vergelijking dezelfde logica samengesteld uit standaard bouwstenen. Een overzichtelijke en eenduidige programmering vergemakkelijkt de inbedrijfstelling, het onderhoud en de service van de installatie, in het bijzonder wanneer hierbij meerdere leveranciers zijn betrokken.

Validatie van veiligheidscircuits Uit IEC EN NEN 61511 volgt, dat maatregelen voor voorkoming, beheersing en herkenning van fouten, afhankelijk van de te bereiken SIL, moeten worden geïmplementeerd. Voor iedere veiligheidsfunctie moet zo een waardering met betrekking tot de architectuur (Hardware Fault Tolerance - HFT) en de uitvalwaarschijnlijkheid (Probability of Failure on Demand - PFD) worden uitgevoerd.

Architectuureis Overeenkomstig IEC EN NEN 61511-1, kan bij veldinstrumentatie met juiste veiligheidsparameters tot SIL 2 enkelkanaals worden geïnstrumenteerd, SIL 3 vereist een redundante opbouw. De uitvalwaarschijnlijkheid (PFD) moet worden berekend en moet voldoen aan het vereiste SILniveau conform IEC EN NEN 61511-1, tabel 3. De berekening van de PFD kan met behulp van formules worden uitgevoerd die in IEC EN NEN 61508-6 zijn te vinden.

PFD–berekeningsvoorbeeld De in figuur 6a getoonde structuur wordt stapsgewijs vereenvoudigd als volgt: 1. Optelling van PFD-, respectievelijk lambdawaarden van alle in serie liggende blokken. 2. Vereenvoudigde structuur conform figuur 6b. 3. Redundante sensordeelsysteem tot een blok samenstellen, door de PFD van dit deelsysteem met behulp van de formule voor een

12 [ Automatie 8 ] 2009

10-15.indd 12

03-09-2009 10:39:18

DMT34

09169 A

5. Programmeervoorbeeld: scherm a) conventionele codering en scherm b) gebruik van standaardblokken

CLK

Q0 LAB50 AA102 XB 21 Q0 LAD80 CL001 XH55 Q0 LAD80 CL002 XH55 0.0 100.0

-

Q0 LAD80 CL003 XQ01

> REAL

-

3723 745

> REAL > REAL

-

X

3909

-

>

G IN0 IN1 G IN0 IN1 G IN0 IN1

16#00 16#01

NOT

16#02

0.0 100.0 > REAL

-

3723 745

> REAL > REAL

-

IN PT

>=

X

=

RS

Q1

TON

Q0 LAB50 AA102 XB63 Q ET

Q0 LAD80 CL001 XH55 3 R1

SEL SEL

3 R1

<

/

RS

16#00 16#01

> 16#02 16#10

-

Q0 LAD80 CL001 XQ01

> REAL

-

3723 745

> REAL > REAL

-

95.0 2.0 SEL

&

& 0.0 100.0

NOT G IN0 IN1 G IN0 IN1 G IN0 IN1

Q1

=

Q1

>=

-

RS

Q0 LAD80 CL002 XH55

< NOT

Q0 LAD80 CL002 XJ81

&

2 1 T#5 S

>=1

SEL

+

-

Q0 LAD80 CL002 XQ01

3909

Q1

+

3 R1

>=

NOT

16#10

670

3 RS R1

<

> USINT > USINT > USINT

<

Q0 LAD80 CL003 XJ81

95.0 2.0

Q

>=

95.0 2.0 670

+

/

R_TRIG

>=1

=

+

/

<

>=

-

NOT

<

670

NOT

SEL

G IN0 IN1 G IN0 IN1 G IN0 IN1

16#00 16#01

>

3909 SEL

X

16#02

Q0 LAD80 CL001 XJ81 16#10

SEL

>=1

SEL SEL

5a

5b Q0 LAB 50 AA102 XB21 Q0 LAD80 CL001 XQ01 Q0 LAD80 CL001 XJ81

0.0 100.0

Q0 LAD80 CL002 XQ01 Q0 LAD80 CL002 XJ81

CLK R_TRIG Q H_FS06_AI_R AIN_VAL OUT AIN_ERR NO_ERR ERC AIN_BGIN AIN_END AIN_UR NO_OC AIN_OR NO_SC

H_FS05_LIMH_R AIN_VAL OUT AIN_NO_ERR LIM_H HYST

H_FS01_2oo3_B IN1 OUT IN2 NO_DEV IN3 DT ET

3 RS R1

Q1

Q0 LAB50 AA102 XB63

NOT

2v3-Auswahl von 3 Analogwerten mit Grenzwertbildung

SCAL_BGIN SCAL_END CONF EXT_NO_ERR SUB_VAL

Messbereiche 4-20mA = 0-100% Grenzwert bei 95% Hysterese 2%

H_FS06_AI_R AIN_VAL OUT AIN_ERR NO_ERR ERC AIN_BGIN AIN_END AIN_UR NO_OC AIN_OR NO_SC

H_FS05_LIMH_R AIN_VAL OUT AIN_NO_ERR LIM_H HYST

SCAL_BGIN SCAL_END CONF EXT_NO_ERR SUB_VAL Q0 LAD80 CL003 XQ01 Q0 LAD80 CL003 XJ81

H_FS05_LIMH_R AIN_VAL OUT AIN_NO_ERR

H_FS06_AI_R AIN_VAL OUT AIN_ERR NO_ERR ERC AIN_BGIN AIN_END AIN_UR NO_OC AIN_OR NO_SC SCAL_BGIN SCAL_END CONF EXT_NO_ERR SUB_VAL

LIM_H HYST T#5s 95.0 2.0

14 [ Automatie 8 ] 2009

10-15.indd 14

03-09-2009 10:39:39

Sensor T

Interface

Afbeeldingen: 6. Doorlopende vereenvoudiging van het berekeningsschema: a Veiligheidstechnisch systeem met diversitair redundant sensordeel b Vereenvoudigde structuur. De seriële aftakkingen worden samengevoegd c Voorlaatste stap van de vereenvoudiging. Nu hoeven alleen nog de beide PFD-waarden van het 1oo2systeem en het deelsysteem bij elkaar te worden opgeteld. 7. Tabel met relatie tussen PFD en SIL

SSPS-IO 1oo2

Sensor P

Interface

CPU

SSPS-IO

Interface

Aktor

SSPS-IO

1oo2-System

SSPS

Teilsystem 3

6c

6a

Teilsystem 1 1oo2

Teilsystem 3

Teilsystem 2 6b

1oo2-systeem te berekenen. 4. Vervolgens het totaal van de PFD-waarden bepalen (figuur 6c). 5. Het eindresultaat wordt dan met behulp van de IEC EN NEN 61511-1, tabel 3 (zie figuur 7), aan een SIL-niveau toegekend.

Samenvatting van de bewijsvoering: 1. Controleer of alle ingezette apparaten voor de vereiste SIL geschikt zijn (leverancierverklaring). 2. Indien ‘Ja’, PFD-berekening uitvoeren en het resultaat met behulp van de IEC EN NEN 61511-1, tabel 3, waarderen. 3. Indien niet aan punt 1 wordt voldaan, redundantie uitvoeren. 4. Indien niet aan punt 2 wordt voldaan kan door het verkorten van het interval van de functietest of door redundantie een kleinere PFD worden gerealiseerd. 5. De punten 1 t/m 4 moeten, conform IEC EN NEN 61511, worden geverifieerd (4-ogen principe) en gedocumenteerd. Een audit moet te allen tijde mogelijk zijn.

Beheer van SIL implementatie Het is nodig afzonderlijk een planningsteam en een beoordelingsteam te benoemen. Hierbij geldt voor het planningsteam dat de technische kennis is gerelateerd aan procestechniek, gebruikte technologieën en toegepaste techniek. De veiligheidstechnische kennis moet gerelateerd zijn aan wetgeving, normen en richt­lijnen en de stand van de veiligheidstech-

Safety ­Integrity Level

Te bereiken risicoverlaging mbv SIS

Probability of Failure on Demand

SIL < 1

Geen voorwaarden

Geen voorwaarden

SIL 1

> 10

< 0,1

SIL 2

> 100

< 0,01

SIL 3

> 1000

< 0,001

SIL 4

> 10,000

< 0,0001

niek. Het beoordelingsteam bepaalt welke andere veiligheidsvakgroepen bij de beoordeling moeten meewerken en welke middelen nodig zijn om de beoordeling volledig te kunnen uitvoeren. Tevens is dit team onafhankelijk van het planningsteam. Het plannings- en beoorde­l ingsteam moeten bestaan uit van elkaar onafhankelijke personen, het zogenaamde 4-ogen principe moet altijd worden gehanteerd. De inzet van telkens dezelfde medewerker voor vergelijkbare taken is zinvol om van opgedane ervaring te kunnen profiteren. Het is wezenlijk de medewerkers goed op te leiden, te letten op hun tevredenheid en op het bedrijfsklimaat en op eventuele problemen bij personeelsvoorziening. Alleen zo kan de optimale risicoreductie met behulp van veiligheidscircuits worden bereikt. Bij de PFD-berekening van veiligheidscircuits moet vooral op de volgende punten worden gelet: welke database ligt aan de berekening ten grondslag, hoe worden de gegevens verzameld, zijn generieke waarden uit een gegeven bron werkelijk overdraagbaar en welke uitgangspunten zijn met de toepassing verbonden.

7

beheersysteem. • Technologie: aanhouden van de geldende regels der techniek bij de keuze en toepassing van de noodzakelijke apparaten en systemen zijn belangrijke uitgangspunten voor de installatieveiligheid. • Componenten: bij voorkeur gebruik van gecertificeerde of bedrijfsgeschikte componenten voor de veiligheidscircuits. • Standaardisering: zo ver mogelijk doorgevoerde standaardisering bij hardware en software. • Medewerkers: inzet van gekwalificeerde g medewerkers.

Literatuur: [1] Hablawetz, Dirk; Matalla, Norbert; Adam, Gerhard BASF AG: IEC 61511 in der Praxis Erfahrungen eines Anlagenbetreibers, atp – Automatisierungstechnische Praxis

Samenvatting Samengevat kan worden gesteld dat functio­ nele veiligheid door de volgende factoren kan worden gerealiseerd: • Management: opstellen van een veiligheids-

10.2007 S.34 ff [2] Smith, David J.: Reliability, Maintainability and Risk, Elsevier Butterworth-Heinemann, Burlington, 2003

2009 [ Automatie 8 ] 15

10-15.indd 15

03-09-2009 10:39:49