SIL Verificatie in de praktijk

SIL Verificatie in de praktijk

3

Herman Jansen Safety Solutions Consultants 6 november 2008

Herman Jansen Senior Safety Consultant (TNO) SSC BV - TÜV Ü gecertificeerd f voor Functional Safety S f - Leiding geven aan HAZOP studies - Leiding geven aan SIL classificatie studies - Leiding geven aan LOPA en FMEA studies - Uitvoeren van SIL verificatie studies - Leiden van HAZOP/SIL workshops SIL docent HVK opleiding Utrecht

1

Doel van beveiligen

“De tijger in de kooi houden”

1 april 2003, Melamine fabriek 2

3 doden

2

Mei 2007 Opgave Arbeidsinspectie

• Aantal machine-ongevallen in 2002 en 2003: 797 • Referentie: http://www.arbonieuwestijl.nl

Adequaat beveiligen 1. Weet wat de gevaren zijn. 2. Bepaal het risico. 3. Maak onderscheid tussen regelen en beveiligen (meerdere Independent Protection Layers). 4. Ga na of voldoende en juist beveiligd is. 5. Verifieer de betrouwbaarheid van de beveiligingen. 6. Implementeer onderhouds- en testprogramma. 7. Borg middels een Veiligheid Beheers Systeem.

3

Weet wat de gevaren zijn Bijv. door uitvoeren Hazard and Operability (HAZOP) studie.

Bepaal het risico Combinatie van Ernst van de gevolgen en de waarschijnlijkheid van voorkomen

4

Risicograaf (procesindustrie) Frequency of occurrence W3 W2 (>1x/year) C1 (minor injury) P1(can escape) F1 P2 (can not escape) C2 (Injured) Startx

W1 (<1x/10year)

a

-

-

1

a

-

2

1

a

2

1

a

3

2

1

3

2

1

4

3

2

na

4

3

P1 F2 P2 F1 (< few hours/day) C3 (several killed) F2 ( > few hours/day)

←SIL niveau’s SIL 4 geeft het hoogste h t risico ii weer

C4 (many killed)

LOPA : Faalfrequentie reductie door barrières Bijvoorbeeld SIL beveiliging IPL1

IPL 2

IPL 3 Gevolgen treden op

Veilige situatie

success Initiating Event

success success f failure failure

Frequentie

Ongewenst g maar acceptabel Gevolgen treden op

failure Impact Event

Ongewenst maar acceptabel

Met acceptabele frequentie

IPL: Independent Protection Layer

5

Risico matrix machineveiligheid Letsel waarschijnlijkheid parameters ↓

gebaseerd op IEC 62061, Annex A

Weegfactoren Score

1

2

3

4

5

<eens/5 jr

>eens/5 jr

>eens/ jr

>eens/2wk

>eens/da g

<eens/ jr

>eens/ jr

>eens/2wk

>eens/dag

>eens/uur

ervaren geen stress

erv&str, o-erv&g-str.

onervaren, stress

-

-

..

Machinegedrag

voorspelbaar

niet voorspelbaar

-

-

-

..

Afwendbaarheid

meestal

soms

onmogelijk

-

-

..

Blootstelllings >10min → f frequentie ti

< 10min →

Menselijk gedrag

..

CL score: … Letsel ernst(Se) ↓ - waarschijnlijkheid→

Cl=4 5 Cl=4-5

Cl=6 8 Cl=6-8

Cl=9 11 Cl=9-11

Cl=12 13 Cl=12-13

laag

mogelijk

hoog

Zeer hoog

1

Bezoek Eerste Hulp

-

-

SIL a

SIL 1

2

Bezoek arts

-

SIL a

SIL 1

SIL 2

3

Verlies vinger

SIL a

SIL 1

SIL 2

SIL 3

4

Verlies oog of arm

SIL 1

SIL 2

SIL 3

Not Accept.

Overzicht SIL 2 beveiliging Ontwerpen van de beveiliging Gevaarsidentificatie (bv HAZOP) Risicobepaling (SIL classificatie) b.v. SIL 2 scenario

Logic Solver SIL 2 certified

Inlet Valve

Press Sensors Press.

Transfer Pump

SIL verificatie

6

Normen IEC 61800-5-2 IEC 61513

Nog niet uitgegeven g g

Uitgave 2001

Power drive systems

Nucleaire industrie

IEC 61508

IEC 62061

Uitgave 2000 IEC 61511

Uitgave 2003

Uitgave 2005

Machineveiligheid Alternatief: ISO 13849-1

Proces industrie

NEN-EN-IEC 61508 / 61511/ 62061 • Functionele veiligheid

( eiligheid is afhankelijk van (veiligheid an correct ffunctioneren nctioneren van an functies in beveiligingssysteem).

• Integriteit beveiliging baseren op hoogte van risico. • Integriteit uitdrukken als Safety Integrity Level (SIL 1- 4). • Alle life-cycle fasen

(specificatie – ontwerp - installatie – ingebruikneming – bedrijf – onderhoud – wijzigingen na ingebruikname).

• Management activiteiten waarborgen (bijv. planning, bekwaamheid van personeel).

• Integriteit dient geverifieerd te worden.

7

Onderscheid tussen regelen en beveiligen COMMUNITY EMERGENCY RESPONSE Emergency broadcasting PLANT EMERGENCY RESPONSE Evacuation procedures

Mitigation

MITIGATION Mechanical mitigation system Safety instrumented control systems Safety instrumented mitigation systems Operator supervision PREVENTION Mechanical protection system Process alarms with operator corrective action Safety instrumented control systems Safety instrumented prevention systems CONTROL and MONITORING Basic process control systems Monitoring systems (process alarms) Operator supervision PROCESS

Layers of Protection

Onderscheid tussen regelen en beveiligen

P Process iinstallation t ll ti

PREVENTION

Control system

CONTROL PROCESS

Safeguarding system In de machinesector worden de regeling en de beveiliging vaak gecombineerd.

8

Volgorde in beveiligen • Inherent beveiligen • Mechanisch (breekplaat, veerveiligheid) of Instrumenteel beveiligen • Procedurele beveiliging (als het niet anders kan)

SIL Verificatie – het gaat om de hele loop; HWFT sensor

SIL

DC

LS

T

Lambda PC

SFF

SIS Final element

PFD DU

Safe failure Type A Prior use

Type B PFH

9

Instrumentele beveiliging sensor

Logic Solver S l Final element

SIL= Safety Integrity Level SIF Safety SIF= S f t Instrumented I t t d Function F ti SIS= Safety Instrumented System bestaande uit Sensor(s), Logic Solver+ Final Element(s)

Wat is SIL Verificatie? g g voldoet aan de SIL eisen;; Aantonen dat de beveiliging

1. Identificatie van de beveiliging 2. Juiste functie 3. Onafhankelijk van regeling, niet in DCS 4. Architectuur (redundantie) correct 5. Faalkans voldoende laag

3 3 3 3 3

10

Voorbeeld Hoog niveau beveiliging gas high level signal

LT 1

XV-01 Separator V1

liquid from Unit 100 q from liquid Recovery Unit

LC 2

P-01 01

CV-02

liquid

Beschrijving • • • • •

Gas/vloeistof scheiding in V1. V1 De toevoer vanaf unit 100 is continue. Toevoer vanaf de Recovery Unit is op incidentele basis. HAZOP: Overvullen van V1 is risicovol. SIL classificatie: Overvullen van V1 is een SIL 1 scenario.

11

SIL verificatie 1. Identificatie van de beveiliging LT-1 I level transmitter

DCS I

isolator

instr. air

XV-01

SIL verificatie 2. Juiste Functie? De toevoer vanaf de ‘Recovery unit’ nit’ wordt niet gestopt. Als de pomp in bedrijf is, dient deze ook te stoppen. 3. Onafhankelijk van de regeling, niet in DCS? Voor regelen én beveiligen is gebruik gemaakt van één transmitter. Niet juist om de logische schakeling in het DCS onder te brengen.

12

Verbeterd ontwerp high level signal i l

close

gas

LT 1

XV-01 Separator V1

liquid from Unit 100

LT 2

LC

2

stop liquid from Recovery Unit

P-01

CV-02 liquid

Verbeterde beveiliging LT-1 I Level transmitter

PLC I

Isolator

Instr. air

XV-01

MCC

P-01

13

SIL verificatie 4. Architectuur (redundantie) correct? Enkel of redundant uitvoeren? Afhankelijke van: - Toepassing volgens IEC 61508 of IEC 61511 -‘Type A’, ‘Type B’ dan wel ‘prior use component’ - Verhouding veilige / gevaarlijke fouten (SFF) - Diagnostic g Coverage g ((detectie gevaarlijke g j fouten)) λDU λS

Random Hardware failures

λDD

Methodiek IEC 61508 Safe Failure F Fraction i

HardWare Fault Tolerance 0

1

2

type B type A type B type A type B type A

< 60%

-

60%- < 90% SIL 1

SIL 1 SIL 1

SIL 2

SIL 2 SIL 3

SIL 2

SIL 3

SIL 3 SIL 4

SIL 2

90% - < 99% SIL 2 SIL 3 SIL 3 SIL 4 ≥ 99 %

SIL 3

SIL 4

SIL 4 SIL 4

14

Methodiek IEC 61511 HardWare Fault Tolerance SIL

Dominant failure mode is to the safe state

Dominant failure mode is not to the safe state

Prior use

1

0

+1

-1

2

1

+1

-1 1

3

2

+1

-1

4

IEC 61508 IEC 61508 IEC 61508

Globale samenvatting Architectuur eisen Minimaal benodigd aantallen

Druk Schakelaar Transmitter SIL 2 gecert. Transm. Relais Industriële PLC SIL 3 gecert. PLC Pilot/Solenoid valve Afsluiter /actuator Motorafschakeling

voor SIL 1 1 1 1 1 acceptabel acceptabel 1 1 1

voor SIL 2 voor SIL 3 2 3 2 2 1 2 1 2 niet acceptabel niet acceptabel acceptabel acceptabel 1 2 1a2 2a3 1

2

15

SIL verificatie 5. Faalkans voldoende laag? SIL

PFD

PLC

I

1

10-1 -

2

10-2 - 10-3

3

10-3 - 10-4

4

10-4 - 10-5

I

10-2

PFDSIF= PFDSens + PFDIs + PFDPLC + PFDklep + PFDpomp PFD=Probability of failure on demand PFD ≈ ½ λDU ·T/PC T= Proof test interval λ = faalsnelheid PC=Prooftest Coverage factor

Faalsnelheden & test gegevens Level transmitter Isolator PLC MCC relais Solenoid valve Afsluiter+ actuator

λDU = 6,0 ⋅ 10-7 / h λDU = 1,5 1 5 ⋅ 10-7 / h PDF = 5,0 ⋅ 10-3 λDU = 2,0 ⋅ 10-7 / h λDU = 9,0 ⋅ 10-7 / h λDU = 2,1 ⋅ 10-6 / h

(default) Prooftest interval T 4 jaar Prooftest coverage factor PC =95%

Bron: Sintef Bron: Exida Bron: TÜV Bron: Sintef Bron: Sintef Bron: Exida info van plant Inschatting SSC

PFDSIF = 8,2 ⋅ 10-2

16

SIL verificatie

Overall conclusie De uiteindelijke beveiliging voldoet aan alle integriteiteisen van SIL 1 gebaseerd op een prooftest interval van 4 jaar.

Safety Solutions Consultants BV Laan van Westenenk 501 7334 DT Apeldoorn The Netherlands Tel +31 55 549 3362 E E-mail il [email protected] j @ f t Website www.safety-sc.com

17