SIL Verificatie in de praktijk
3
Herman Jansen Safety Solutions Consultants 6 november 2008
Herman Jansen Senior Safety Consultant (TNO) SSC BV - TÜV Ü gecertificeerd f voor Functional Safety S f - Leiding geven aan HAZOP studies - Leiding geven aan SIL classificatie studies - Leiding geven aan LOPA en FMEA studies - Uitvoeren van SIL verificatie studies - Leiden van HAZOP/SIL workshops SIL docent HVK opleiding Utrecht
1
Doel van beveiligen
“De tijger in de kooi houden”
1 april 2003, Melamine fabriek 2
3 doden
2
Mei 2007 Opgave Arbeidsinspectie
• Aantal machine-ongevallen in 2002 en 2003: 797 • Referentie: http://www.arbonieuwestijl.nl
Adequaat beveiligen 1. Weet wat de gevaren zijn. 2. Bepaal het risico. 3. Maak onderscheid tussen regelen en beveiligen (meerdere Independent Protection Layers). 4. Ga na of voldoende en juist beveiligd is. 5. Verifieer de betrouwbaarheid van de beveiligingen. 6. Implementeer onderhouds- en testprogramma. 7. Borg middels een Veiligheid Beheers Systeem.
3
Weet wat de gevaren zijn Bijv. door uitvoeren Hazard and Operability (HAZOP) studie.
Bepaal het risico Combinatie van Ernst van de gevolgen en de waarschijnlijkheid van voorkomen
4
Risicograaf (procesindustrie) Frequency of occurrence W3 W2 (>1x/year) C1 (minor injury) P1(can escape) F1 P2 (can not escape) C2 (Injured) Startx
W1 (<1x/10year)
a
-
-
1
a
-
2
1
a
2
1
a
3
2
1
3
2
1
4
3
2
na
4
3
P1 F2 P2 F1 (< few hours/day) C3 (several killed) F2 ( > few hours/day)
←SIL niveau’s SIL 4 geeft het hoogste h t risico ii weer
C4 (many killed)
LOPA : Faalfrequentie reductie door barrières Bijvoorbeeld SIL beveiliging IPL1
IPL 2
IPL 3 Gevolgen treden op
Veilige situatie
success Initiating Event
success success f failure failure
Frequentie
Ongewenst g maar acceptabel Gevolgen treden op
failure Impact Event
Ongewenst maar acceptabel
Met acceptabele frequentie
IPL: Independent Protection Layer
5
Risico matrix machineveiligheid Letsel waarschijnlijkheid parameters ↓
gebaseerd op IEC 62061, Annex A
Weegfactoren Score
1
2
3
4
5
<eens/5 jr
>eens/5 jr
>eens/ jr
>eens/2wk
>eens/da g
<eens/ jr
>eens/ jr
>eens/2wk
>eens/dag
>eens/uur
ervaren geen stress
erv&str, o-erv&g-str.
onervaren, stress
-
-
..
Machinegedrag
voorspelbaar
niet voorspelbaar
-
-
-
..
Afwendbaarheid
meestal
soms
onmogelijk
-
-
..
Blootstelllings >10min → f frequentie ti
< 10min →
Menselijk gedrag
..
CL score: … Letsel ernst(Se) ↓ - waarschijnlijkheid→
Cl=4 5 Cl=4-5
Cl=6 8 Cl=6-8
Cl=9 11 Cl=9-11
Cl=12 13 Cl=12-13
laag
mogelijk
hoog
Zeer hoog
1
Bezoek Eerste Hulp
-
-
SIL a
SIL 1
2
Bezoek arts
-
SIL a
SIL 1
SIL 2
3
Verlies vinger
SIL a
SIL 1
SIL 2
SIL 3
4
Verlies oog of arm
SIL 1
SIL 2
SIL 3
Not Accept.
Overzicht SIL 2 beveiliging Ontwerpen van de beveiliging Gevaarsidentificatie (bv HAZOP) Risicobepaling (SIL classificatie) b.v. SIL 2 scenario
Logic Solver SIL 2 certified
Inlet Valve
Press Sensors Press.
Transfer Pump
SIL verificatie
6
Normen IEC 61800-5-2 IEC 61513
Nog niet uitgegeven g g
Uitgave 2001
Power drive systems
Nucleaire industrie
IEC 61508
IEC 62061
Uitgave 2000 IEC 61511
Uitgave 2003
Uitgave 2005
Machineveiligheid Alternatief: ISO 13849-1
Proces industrie
NEN-EN-IEC 61508 / 61511/ 62061 • Functionele veiligheid
( eiligheid is afhankelijk van (veiligheid an correct ffunctioneren nctioneren van an functies in beveiligingssysteem).
• Integriteit beveiliging baseren op hoogte van risico. • Integriteit uitdrukken als Safety Integrity Level (SIL 1- 4). • Alle life-cycle fasen
(specificatie – ontwerp - installatie – ingebruikneming – bedrijf – onderhoud – wijzigingen na ingebruikname).
• Management activiteiten waarborgen (bijv. planning, bekwaamheid van personeel).
• Integriteit dient geverifieerd te worden.
7
Onderscheid tussen regelen en beveiligen COMMUNITY EMERGENCY RESPONSE Emergency broadcasting PLANT EMERGENCY RESPONSE Evacuation procedures
Mitigation
MITIGATION Mechanical mitigation system Safety instrumented control systems Safety instrumented mitigation systems Operator supervision PREVENTION Mechanical protection system Process alarms with operator corrective action Safety instrumented control systems Safety instrumented prevention systems CONTROL and MONITORING Basic process control systems Monitoring systems (process alarms) Operator supervision PROCESS
Layers of Protection
Onderscheid tussen regelen en beveiligen
P Process iinstallation t ll ti
PREVENTION
Control system
CONTROL PROCESS
Safeguarding system In de machinesector worden de regeling en de beveiliging vaak gecombineerd.
8
Volgorde in beveiligen • Inherent beveiligen • Mechanisch (breekplaat, veerveiligheid) of Instrumenteel beveiligen • Procedurele beveiliging (als het niet anders kan)
SIL Verificatie – het gaat om de hele loop; HWFT sensor
SIL
DC
LS
T
Lambda PC
SFF
SIS Final element
PFD DU
Safe failure Type A Prior use
Type B PFH
9
Instrumentele beveiliging sensor
Logic Solver S l Final element
SIL= Safety Integrity Level SIF Safety SIF= S f t Instrumented I t t d Function F ti SIS= Safety Instrumented System bestaande uit Sensor(s), Logic Solver+ Final Element(s)
Wat is SIL Verificatie? g g voldoet aan de SIL eisen;; Aantonen dat de beveiliging
1. Identificatie van de beveiliging 2. Juiste functie 3. Onafhankelijk van regeling, niet in DCS 4. Architectuur (redundantie) correct 5. Faalkans voldoende laag
3 3 3 3 3
10
Voorbeeld Hoog niveau beveiliging gas high level signal
LT 1
XV-01 Separator V1
liquid from Unit 100 q from liquid Recovery Unit
LC 2
P-01 01
CV-02
liquid
Beschrijving • • • • •
Gas/vloeistof scheiding in V1. V1 De toevoer vanaf unit 100 is continue. Toevoer vanaf de Recovery Unit is op incidentele basis. HAZOP: Overvullen van V1 is risicovol. SIL classificatie: Overvullen van V1 is een SIL 1 scenario.
11
SIL verificatie 1. Identificatie van de beveiliging LT-1 I level transmitter
DCS I
isolator
instr. air
XV-01
SIL verificatie 2. Juiste Functie? De toevoer vanaf de ‘Recovery unit’ nit’ wordt niet gestopt. Als de pomp in bedrijf is, dient deze ook te stoppen. 3. Onafhankelijk van de regeling, niet in DCS? Voor regelen én beveiligen is gebruik gemaakt van één transmitter. Niet juist om de logische schakeling in het DCS onder te brengen.
12
Verbeterd ontwerp high level signal i l
close
gas
LT 1
XV-01 Separator V1
liquid from Unit 100
LT 2
LC
2
stop liquid from Recovery Unit
P-01
CV-02 liquid
Verbeterde beveiliging LT-1 I Level transmitter
PLC I
Isolator
Instr. air
XV-01
MCC
P-01
13
SIL verificatie 4. Architectuur (redundantie) correct? Enkel of redundant uitvoeren? Afhankelijke van: - Toepassing volgens IEC 61508 of IEC 61511 -‘Type A’, ‘Type B’ dan wel ‘prior use component’ - Verhouding veilige / gevaarlijke fouten (SFF) - Diagnostic g Coverage g ((detectie gevaarlijke g j fouten)) λDU λS
Random Hardware failures
λDD
Methodiek IEC 61508 Safe Failure F Fraction i
HardWare Fault Tolerance 0
1
2
type B type A type B type A type B type A
< 60%
-
60%- < 90% SIL 1
SIL 1 SIL 1
SIL 2
SIL 2 SIL 3
SIL 2
SIL 3
SIL 3 SIL 4
SIL 2
90% - < 99% SIL 2 SIL 3 SIL 3 SIL 4 ≥ 99 %
SIL 3
SIL 4
SIL 4 SIL 4
14
Methodiek IEC 61511 HardWare Fault Tolerance SIL
Dominant failure mode is to the safe state
Dominant failure mode is not to the safe state
Prior use
1
0
+1
-1
2
1
+1
-1 1
3
2
+1
-1
4
IEC 61508 IEC 61508 IEC 61508
Globale samenvatting Architectuur eisen Minimaal benodigd aantallen
Druk Schakelaar Transmitter SIL 2 gecert. Transm. Relais Industriële PLC SIL 3 gecert. PLC Pilot/Solenoid valve Afsluiter /actuator Motorafschakeling
voor SIL 1 1 1 1 1 acceptabel acceptabel 1 1 1
voor SIL 2 voor SIL 3 2 3 2 2 1 2 1 2 niet acceptabel niet acceptabel acceptabel acceptabel 1 2 1a2 2a3 1
2
15
SIL verificatie 5. Faalkans voldoende laag? SIL
PFD
PLC
I
1
10-1 -
2
10-2 - 10-3
3
10-3 - 10-4
4
10-4 - 10-5
I
10-2
PFDSIF= PFDSens + PFDIs + PFDPLC + PFDklep + PFDpomp PFD=Probability of failure on demand PFD ≈ ½ λDU ·T/PC T= Proof test interval λ = faalsnelheid PC=Prooftest Coverage factor
Faalsnelheden & test gegevens Level transmitter Isolator PLC MCC relais Solenoid valve Afsluiter+ actuator
λDU = 6,0 ⋅ 10-7 / h λDU = 1,5 1 5 ⋅ 10-7 / h PDF = 5,0 ⋅ 10-3 λDU = 2,0 ⋅ 10-7 / h λDU = 9,0 ⋅ 10-7 / h λDU = 2,1 ⋅ 10-6 / h
(default) Prooftest interval T 4 jaar Prooftest coverage factor PC =95%
Bron: Sintef Bron: Exida Bron: TÜV Bron: Sintef Bron: Sintef Bron: Exida info van plant Inschatting SSC
PFDSIF = 8,2 ⋅ 10-2
16
SIL verificatie
Overall conclusie De uiteindelijke beveiliging voldoet aan alle integriteiteisen van SIL 1 gebaseerd op een prooftest interval van 4 jaar.
Safety Solutions Consultants BV Laan van Westenenk 501 7334 DT Apeldoorn The Netherlands Tel +31 55 549 3362 E E-mail il
[email protected] j @ f t Website www.safety-sc.com
17