Functionele Veiligheid - Gain Automation Technology

Functionele Veiligheid
SIL Implementatie
Meervoudige Veiligheidskringen
Hardware Fout Tolerantie
Botlek Studieavond – 5 juni 2014
Willem van der Bijl
PRODUCA en ExInspect
© Copyright PRODUCA
SIL Presentatie BSG Jun14.PPT / WvdB / Jun, 2014 / Blz. 1


PRODUCA levert diensten op het gebied van
Opleidingen, Consultancy & Communicatie
Dat betekent:







leveren van procesgerelateerde technische opleidingen
advies en opleiding in SIL, CE, ATEX en Bustechnieken
begeleiding bij HAZOP, SIL Implementatie, productie EVD
opleiding in communicatieve vaardigheden
inspectie van ATEX installaties (ExInspect)
schrijven van teksten en persberichten
verzorgt de volledige redactionele inhoud van
vakblad Automatie/PMA
www.exinspect.nl
© Copyright PRODUCA - 2014
Blz. 2
www.produca.nl
PROfessional eDUCAtion
© PRODUCA 2014
1
TOPICS

Situatie SIL in West Europa

SIL Implementatie en procedures

Onafhankelijke lagen (LOPA)

Meervoudige beveiliging HFT

SIL Platform
© Copyright PRODUCA - 2014
Blz. 3
PROfessional eDUCAtion
Shell Moerdijk
Bron: Omroep Brabant
© PRODUCA 2014
2
Situatie

Explosie Buncefield (Hemel Hempstead)


BMIIB Report


Onvoldoende toepassing van Risk Management
Aanpassing van PGS 29 in Nederland


Nieuwe inzichten in explosiedrukken en ontwerp
en veiligheid van opslagtanks
Installatie volledig verwijderd


11 december 2005 – geen doden / 48 gewonden
Vernieuwing van hoog niveau alarmering
In Nederland strenge nieuwe voorwaarden

© Copyright PRODUCA - 2014
Blz. 6
Gebruik SIL door de Inspectie SZW gestimuleerd
PROfessional eDUCAtion
© PRODUCA 2014
3
Stuurfoutje
© Copyright PRODUCA - 2014
Blz. 7
PROfessional eDUCAtion
Functionele Veiligheid: deel van de
totale veiligheidsstrategie
Veiligheid (in het algemeen) betekent bescherming van
de mens tegen ALLE gevaren (bewegende delen, hitte,
straling, elektrische schok, etc.)
risico op brand
of explosie
risico op
straling
risico door
mechanische
beweging
risico op elektrische
schok
gevaar
veroorzaakt
door incorrect
functioneren
‘Functionele veiligheid’ betekent bescherming tegen gevaren
veroorzaakt door incorrect functioneren.
© Copyright PRODUCA - 2014
Blz. 8
PROfessional eDUCAtion
© PRODUCA 2014
4
Normen Functionele Veiligheid
IEC 62061
IEC 60601
Machines
Productie
Medische
Sector
IEC
61508
IEC 50128
Transport
Sector
Industrie
IEC 61511
IEC 60880
Proces
industrie
Nucleaire
Industrie
Gebruik van SIL
© Copyright PRODUCA - 2014
Blz. 9
PROfessional eDUCAtion
Systeemontwerp volgens IEC61511
Het ‘ui-model’
Ondanks dat gaat het
proces wel eens in
alarm, dan wordt
door operations
ingegrepen
Ondanks alles kan het SIS ook falen.
Dan zijn er de calamiteit beperkende
maatregelen; de volgende drie
schillen
Het SIS moet
voorkomen dat
het proces nog
verder uit de hand
loopt, regelmatige
testen moet de
betrouwbaarheid
garanderen
Het regelsysteem
zorgt dat het proces
binnen de grenzen blijft
Proces
ontwerp
Wordt onjuist
ingegrepen, of is het
proces ondanks de
ingreep niet in de hand
te houden, dan is er het SIS
In dit ontwerp worden onder
meer de procesvariabelen bepaald
© Copyright PRODUCA - 2014
Blz. 10
PROfessional eDUCAtion
© PRODUCA 2014
5
Voorkom
Beperk
Functionele Veiligheid in Proces
Responsie op
noodtoestand
Nood acties
Dijk
Passieve bescherming
Ontlaatklep,
Breekschijf
Actieve bescherming
Safety Instrumented
System
Nood
functie
Operator
grijpt in
Proces
stop
Basis Proces
Regelsysteem
Proces
waarde
Procesregeling
Inherent veilig
ontwerp
Proces
Procesontwerp
Veiligheid
Procesregeling
Deviatie
alarm
© Copyright PRODUCA - 2014
Blz. 11
PROfessional eDUCAtion
SIL maatregelen
1. Risico’s worden vastgesteld op basis van een HAZOP studie
2. Voor ieder risico wordt door middel van een classificatie een,
Safety Integrity Level of SIL niveau bepaald
3. Deze worden vastgelegd in een managementverklaring
4. Voor ieder risico van SIL 1 – SIL 3 dient een beperkende maatregel
(functie) te worden genomen
Een Safety Instrumented Function SIF
Elke SIF bestaat uit een elektrische regelkring (E/E/PE)
 Die worden in een Safety Requirement Specification, een SRS,
gedetailleerd beschreven
 De regelkringen samen vormen het veiligheidssysteem, een Safety
Instrumented System, een SIS


5. Niveau SIL 4 vereist een additionele veiligheidsstudie en kan een
wijziging van het procesontwerp tot gevolg hebben
6. Door middel van SIL verificatie wordt aangetoond of de kring aan
het vereiste SIL niveau voldoet
7. Met de SRS als basis wordt een SIS geproduceerd, geïnstalleerd,
commissioned, zorgvuldig getest en in gebruik genomen
© Copyright PRODUCA - 2014
Blz. 12
PROfessional eDUCAtion
© PRODUCA 2014
6
Risico Waardering
GROOT
RISICO
Kans
1
2
3
4
1
2
3
1
2
RISICO
VERLAGING
klein
RISICO
Risico Matrix
1
Gevolg
© Copyright PRODUCA - 2014
Blz. 13
PROfessional eDUCAtion
Voorbeeld SIS Loop
BAS
F&G
SIS
DCS
BAS = Business
Administration
System
F&G = Fire & Gas
System
SIS = Safety
Instrumented
System
DCS = Distributed
Control System
PROCES
© Copyright PRODUCA - 2014
Blz. 14
PROfessional eDUCAtion
© PRODUCA 2014
7
Relatie tussen SIL en PFD
Safety
Integrity
Level
SIL
Te bereiken
risicoverlaging
m.b.v. SIS
Probability of
Failure on
Demand
PFDavg
SIL < 1
Geen
voorwaarden
Geen
voorwaarden
SIL 1
> 10
< 0,1
SIL 2
> 100
< 0,01
SIL 3
> 1000
< 0,001
SIL 4
> 10,000
< 0,0001
PFD = kans van
géén reactie op
een actieverzoek
PFD = product
van faalkans en
beproevingstest
© Copyright PRODUCA - 2014
Blz. 15
PROfessional eDUCAtion
Opbouw Veiligheidskring
I Card
Barrier
JBox
Kabel
O Card
Barrier
JBox
Kabel
PLC
Logic
Initiator
Solenoid
Actuator





Faalkans omvat het aantal malen dat een element faalt per tijdseenheid,
bijvoorbeeld een keer per tien jaar, lambda (λ) is dan 0,1
Het testinterval Ti is de tijd tussen twee SIF-proeftesten
Voor één deelelement (1oo1) geldt: PFD = ½ • λ • Ti
Voor een volledige loop worden de PFD’s van de elementen opgeteld
Dit geeft dan de gemiddelde kans dat een SIF faalt: = PFDavg
© Copyright PRODUCA - 2014
Blz. 16
PROfessional eDUCAtion
© PRODUCA 2014
8
Voorkom
Beperk
Meervoudige Beveiligingen
Responsie op
noodtoestand
Nood acties
Dijk
Passieve bescherming
Ontlaatklep,
Breekschijf
Actieve bescherming
Safety Instrumented
System
Nood
functie 2
Veiligheid
Nood
functie 1
Veiligheid
Operator
grijpt in
Proces
stop
Procesregeling
Basis Proces
Regelsysteem
Proces
waarde
Procesregeling
Inherent veilig
ontwerp
Proces
Procesontwerp
© Copyright PRODUCA - 2014
Blz. 17
IPL’s
PROfessional eDUCAtion
Voorkom
Beperk
Meervoudige Beveiligingen
Responsie op
noodtoestand
Nood acties
Dijk
Passieve bescherming
Ontlaatklep,
Breekschijf
Actieve bescherming
Safety Instrumented
System
Nood
functie
Veiligheid
Operator
grijpt in
Proces
stop
Procesregeling
Basis Proces
Regelsysteem
Proces
waarde
Procesregeling
Inherent veilig
ontwerp
Proces
Procesontwerp
Parallelle
Beveiligingen
Deviatie
alarm
© Copyright PRODUCA - 2014
Blz. 18
PROfessional eDUCAtion
© PRODUCA 2014
9
Meerdere Elementen
Kabel
I Card
Barrier
JBox
O Card
Barrier
JBox
Kabel
1oo1
PLC
1oo2
Logic
Initiator
2oo2
Solenoid
Actuator
© Copyright PRODUCA - 2014
Blz. 19
2oo3
PROfessional eDUCAtion
Foutanalyse











FIT
SD
SU
DD
DU
SFF
DC
HWFT
CCF
Failure Rate (lambda - faalkans)
Failure in Time (# fouten in 109 uur)
Safe failure Detected
Safe failure Undetected
Dangerous failure Detected
Dangerous failure Undetected
Safe Failure Fraction
Diagnostic Coverage
HardWare Fault Tolerance (HFT)
Common Cause Failure (β)
SFF = (SD + SU + DD) / (SD + SU + DD + DU)
© Copyright PRODUCA - 2014
Blz. 20
PROfessional eDUCAtion
© PRODUCA 2014
10
Voorbeeld SIS Loop
© Copyright PRODUCA - 2014
Blz. 21
PROfessional eDUCAtion
Hardware fouttolerantie
volgens IEC61511


Alle subsystemen/elementen (niet PE logic solvers)
moeten een H/W fouttolerantie hebben volgens
onderstaande tabel, maar
Als de H/W is geselecteerd op basis van ‘prior use’,
en de (beperkte) afregelmogelijkheid is beschermd,
mag de tolerantie met één worden verlaagd
Uit NEN EN IEC 61511-1, art. 11.4.4.
© Copyright PRODUCA - 2014
Blz. 22
PROfessional eDUCAtion
© PRODUCA 2014
11
Hardware fouttolerantie
volgens IEC61511


De gebruikte H/W van PE logic solvers voor SIF’s
moet een minimale fouttolerantie hebben volgens
onderstaande tabel
De SFF geeft het percentage veilige fouten op het
totaal van fouten
Voorbeeld: Een H/W fouttolerantie van 1 betekent dat er bijvoorbeeld
twee apparaten zijn en dat de architectuur zodanig is dat een fout bij
een van beide de veiligheidsactie niet wordt tegengehouden
© Copyright PRODUCA - 2014
Blz. 23
PROfessional eDUCAtion
Hardware fouttolerantie
volgens IEC61508

Maximum toepasbare SIL waarde voor een SIF die
door Type A elementen wordt uitgevoerd:
Apparatuur is Type A als het ‘eenvoudige’ apparatuur betreft, zonder
software en waarvan de foutgedrag volledig voorspelbaar is
Uit NEN EN IEC 61508-2, art. 7.4.4.2.2 Tabel 2
© Copyright PRODUCA - 2014
Blz. 24
PROfessional eDUCAtion
© PRODUCA 2014
12
Hardware fouttolerantie
volgens IEC61508

Maximum toepasbare SIL waarde voor een SIF die
door Type B elementen wordt uitgevoerd:
Apparatuur is Type B als het ‘complexe’ apparatuur betreft, eventueel
met software en waarvan de foutgedrag niet volledig voorspelbaar is
Uit NEN EN IEC 61508-2, art. 7.4.4.2.2 Tabel 3
© Copyright PRODUCA - 2014
Blz. 25
PROfessional eDUCAtion
Voorbeeld Exida Approval
© Copyright PRODUCA - 2014
Blz. 26
PROfessional eDUCAtion
© PRODUCA 2014
13
Details Exida Approval
© Copyright PRODUCA - 2014
Blz. 27
PROfessional eDUCAtion
SIL Implementatie





Meerdere elementen worden toegepast op basis
van de gestelde HFT in de norm
De procesverbindingen dienen ook parallel te
worden uitgevoerd
De SIL verificatie wordt vervolgens uitgevoerd met
de van toepassing zijnde formule
Bij gelijke types dient met de CCF waarde (of bèta
factor) te worden rekening gehouden
Als alternatief kan met met diversificatie worden
gewerkt
© Copyright PRODUCA - 2014
Blz. 28
PROfessional eDUCAtion
© PRODUCA 2014
14
Vervolg SIL maatregelen
8. Opereren en controleren van de SIF veiligheidskringen
9. Onderhoud plegen aan de elementen van de safety loops
10. Testen van de SIF kringen op basis van de resultaten uit de SIL
berekeningen (SRS)
Uitgangspunt is de ‘proof test’, de test van de volledige SIF functie
Testen kunnen ook per element worden uitgevoerd, of zelfs van een
deel van het element
 Deze zogenaamde deeltesten moeten worden beoordeeld op hun
‘diagnostic coverage’
 Tijdens het testen dient de veiligheidsfunctie behouden te blijven


11. Regelmatige inspectie uitvoeren
12. Bovenstaande activiteiten gedegen documenteren
13. Trainen van betrokken personeel
Bovenstaand wordt helaas vaak onderbelicht…
Zie ook: Artikel 16 van de NEN EN IEC 61511-1
© Copyright PRODUCA - 2014
Blz. 29
PROfessional eDUCAtion
Ervaringen SIL Implementatie




Onderzoek naar hetzelfde risico in een proces
plant door verschillende HAZOP/SIL teams leidt
regelmatig tot verschillende resultaten, variërend
van SIL 1 tot en met SIL 3
Op basis van dit uitgangspunt wordt een SIF
gedefinieerd en een safety loop ontworpen
Vervolgens wordt een SIL verificatie uitgevoerd om
met vele cijfers achter de komma aan te tonen dat
de kring voldoet
Hierbij wordt gebruik gemaakt van gegevens van
leveranciers, die voor hun apparatuur bijvoorbeeld
SIL 3 specificeren
© Copyright PRODUCA - 2014
Blz. 30
PROfessional eDUCAtion
© PRODUCA 2014
15
Conclusie


Taxatie en Verificatie vereist goede kennis van de
SIL methode zoals beschreven in IEC 61508/61511
Waarom SIL?





SIL maakt risico’s inzichtelijk, meetbaar en beheersbaar
SIL levert een werkbare geïnstrumenteerde methode om
risico’s tot een acceptabel niveau terug te brengen
SIL stimuleert inzicht in de betrouwbaarheid en
faalkansen van procesapparatuur
SIL maakt de betrokken personen bewust van de ‘safety
life cycle’ en het behoud van veiligheid
De in bedrijf zijnde installatie dient ook op termijn
op SIL variabelen te worden beoordeeld
© Copyright PRODUCA - 2014
Blz. 31
PROfessional eDUCAtion
SIL Platform




Ondersteunen van het goed gebruik van SIL (IEC)
in de volledige cyclus van een plant
Uitwisseling van kennis op dit terrein voor betere
toepassing en betere ontwikkeling van de normen
61508 en 61511
Functioneren als klankbord voor de
normcommissie NEC 65 ‘Industriële Meet- en
Regeltechniek’
Iedereen kan lid worden . . . . . . belangstelling?
© Copyright PRODUCA - 2014
Blz. 32
PROfessional eDUCAtion
© PRODUCA 2014
16
SIL-platform
Op 5 maart 2009 is het SIL-platform opgericht. Het SIL-platform is een werkgroep van
normcommissie ‘Industrieel meten, regelen en automatiseren’ die verantwoordelijk is
voor de internationale normen op het gebied van functionele veiligheid, IEC 61508 en
IEC 61511. Deze twee normen vormen de oorsprong van SIL.
Doelstellingen
• Ondersteunen van het goed gebruik van SIL (IEC) in de volledige cyclus van een plant.
• Uitwisseling van kennis op dit terrein voor betere toepassing en betere ontwikkeling van de normen IEC 61508 en
IEC 61511.
• Functioneren als klankbord voor de normcommissie NEC 65 ‘Industriële Meet- en Regeltechniek’.
Aandachtsgebieden
• Uitwisseling van informatie en ervaringen.
• Ondersteuning bij normontwikkeling.
• Wederzijdse kennisontwikkeling.
Voordelen van deelname
•
•
•
•
•
Vergaren van kennis.
Vraagbaak voor relevante onderwerpen.
Op de hoogte komen van de laatste stand van normen en techniek.
Invloed op normontwikkeling.
Informatie-uitwisseling en netwerken.
Samenstelling
• Personen die vanwege hun werkzaamheden betrokken zijn bij de toepassing en gebruik van functionele veiligheid
en SIL.
• Management en medewerkers van de afdelingen: bedrijfsleiding, SHEQ, proces, E/I & TD, etc. van diverse
bedrijven in de procesindustrie.
• Medewerkers van adviesbureaus, opleidingsinstituten en keuringsinstellingen.
Agenda aankomende periode
• Revisie IEC 61511 reeks.
Werkwijze
• Het SIL-platform komt twee keer per jaar bij elkaar.
• De bijeenkomsten hebben een technisch en een informatief karakter en geven invulling aan de gestelde
doelstellingen.
• Het platform wordt ondersteund door de e-working faciliteiten die NEN voor het commissiewerk heeft. Deze
faciliteit biedt documentbeheer en een e-Forum
Financiën en registratie
• De kosten voor het lidmaatschap aan het SIL platform is voor 2013 vastgesteld op 255 EURO per deelnemer.
• Registratie geschiedt via een registratieformulier, z.o.z.
Meer informatie over het SIL-platform:
Willem van der Bijl, voorzitter, tel.: 0162 42 91 79, e-mail: [email protected]
Rianne Boek, secretaris, tel.: 015 269 03 65, e-mail: [email protected]
Registratie ‘SIL-platform’
Normcommissienummer
363065
Normcommissienaam
Industriële Meet- en regeltechniek
Werkgroepnummer
36306502
Werkgroepnaam
SIL-platform
Secretaris
Rianne Boek
Naam (inclusief titel,
voorletters en voorvoegsels voluit)
Naam bedrijf/organisatie
Functie
Adres
Postcode + woonplaats
Telefoonnummer
Mobielnummer
Faxnummer
E-mail adres
Website bedrijf / organisatie
Wij verzoeken dit formulier zo volledig mogelijk ingevuld aan ons te retourneren.
NEN-Elektro & ICT
fax: 015 269 02 77
E-mail: [email protected]
Handtekening:
Naam:
Plaats en datum:
PRODUCA is a trusted advisor and counsellor in the world of process-safety in the industry. Our engineering,
training and consultancy services focuses specifically on a number of expert areas, one of which is process
safety. We have in-depth knowledge of functional safety (SIL, HAZID, HAZOP, FMEA, FTA and LOPA) and
explosion safety, (ATEX directives, Ex techniques, explosion safety documentation) and the application of CE
(PED, EMC, Low voltage, ATEX, Machine). In addition, we distinguish ourselves through our broad expertise
in field communication technology (field bus, wireless, HART, industrial ethernet)
The strength of PRODUCA lies in educating, guiding and supporting organisations, having a broad knowledge
and over 50 years of field experience, on matters related to our these specialties.
PRODUCA is founder and leader of the, NEN linked, SIL platform. Our experts are active in the
standardisation committee NEC65 (the Dutch section of the IEC body of industrial-process measurement and
control committee), are certified functional safety professionals, have international experience and all have
one thing in common: they are exceptional, safety related, problem solvers.
SIL (IEC 61508 - IEC 61511)
As part of the risk analysis of your production plant, one may decide to classify risk according to Safety
Integrity Levels (SILs). SIL is a statistical representation specifying the amount of risk reduction a Safety
Instrument System (SIS) is required to achieve. SILs are correlated to the probability of failure on demand
(PFD) and are divided in 4 levels:
SIL classification can be done for three impact
base-lines: personal, environmental and economic
consequences.
PRODUCA can give training, guidance and
consultancy during the two stages for implementing
SIL: SIL classification which means determining the
SIL class of your installation and SIL verification
which means to check if the system (SIS) installed
meets the stated SIL class.
ATEX (ATEX 95 - ATEX 137)
Standard regulations (CE approach) for equipment used within hazardous areas with potentially explosive
atmospheres is a core issue for the European Union. Thus, they took the lead in developing standards which
became known as ATEX directives (ATmosphères EXplosibles). They apply to all kinds of, electrical or nonelectrical equipment and safety devices as well as machines and industrial facilities located within potentially
explosive atmospheres. Since July 1, 2003 it is mandatory to use devices which have a ATEX type approval
all across Europe. And, as of July 1, 2006, organizations in EU must follow the directives to protect employees
from explosion risk in areas with an explosive atmosphere.
The ATEX directive consists of two EU parts describing what equipment and what work environment is
allowed in an environment with an explosive atmosphere: ‐ the ATEX 95 equipment directive 94/9/EC: Equipment and protective systems intended for use in
potentially explosive atmospheres
‐ the ATEX 137 workplace directive 99/92/EC: Minimum requirements for improving the safety and
health protection of workers potentially at risk from explosive atmospheres
www.produca.nl – +31 (0) 162 42 91 79 – [email protected] © Copyright PRODUCA Communicatie BV – 2011 PRODUCA can advise and train your organisation, during engineering, production, installation or in-use,
which standard is applicable and/or which regulations apply to your equipment or workplace. We perform
maintenance inspections and can produce Explosion Safety Documents. We cover gas and dust risks and
focus on electrical and non-electrical apparatus.
Machine Directive (IEC 62061 - 2006/42/EC)
The machinery sector is an important part of the engineering industry and is one of the industrial mainstays.
The Machinery Directive 2006/42/EC provides the regulatory basis for the harmonisation of the essential
health and safety requirements for machinery at European Union level. Machinery can be described as ‘an
assembly, fitted with or intended to be fitted with a drive system other than directly applied human or animal
effort, consisting of linked parts or components, at least one of which moves, and which are joined together for
a specific application’.
The Machinery Directive has a dual objective: to permit the free movement of machinery within the internal EU
market whilst ensuring a high level of protection of health and safety.
IEC 62061 represents a sector-specific standard under IEC 61508. This standard represents a comprehensive
system for the implementation of safety-related electrical, electronic and programmable electronic control
systems.
It describes the implementation of safety-related electrical and electronic control systems on machinery and
examines the overall lifecycle from the concept phase through to decommissioning.
PRODUCA can help your organisation with the quantitative and qualitative examinations of the safety-related
control functions to meet the required standard.
PED (97/23/EC)
The Pressure Equipment Directive (PED) sets out the standards for the design and fabrication of pressure
equipment concerns items such as vessels, pressurised storage containers, heat exchangers, steam
generators, boilers, industrial piping, safety devices and pressure accessories generally over one liter in
volume and having a maximum pressure more than 0.5 bar gauge pressure.
This directive arises from the European Community's Programme for the elimination of technical barriers to
trade and is formulated under the ‘New Approach to Technical Harmonisation and Standards’. Its purpose is
to harmonise national laws of Member States regarding the design, manufacture, testing and conformity
assessment of pressure equipment and assemblies of pressure equipment. As such pressure equipment is
widely used in the process industries (oil & gas, chemical, pharmaceutical, plastics and rubber and the food
and beverage industry), high temperature process industry (glass, paper and board), energy production and in
the supply of utilities, heating, air conditioning and gas storage and transportation.
PRODUCA can help with education and provide technical assistance with the application of PED conformity.
Bus Technology (IEC 61158 - ISA100.11a)
Large installations traditionally are equipped with twisted wiring and mostly multicore connections. Due to the
increasing demand for multivariable field measuring and control devices and the related diagnostic information
digital data transfer is required as opposed to 4-20mA. This resulted in the development and application of
smart instruments with digital data communication. Standard protocols and new technology is developed and
the so called Fieldbus was born. Initially the HART protocol was adopted and later complemented with
Foundation Fieldbus (FF) and Profibus. Currently Wireless technology is becoming accepted.
The application of this bus and wireless technology requires specific knowledge. PRODUCA can help with
education and provide technical assistance in the selection and engineering of field communication technology.
www.produca.nl – +31 (0) 162 42 91 79 – [email protected] © Copyright PRODUCA Communicatie BV – 2011

Download Report