1/16

Titel: Functionele veiligheid toegepast in de instrumentatietechniek en procesautomatisering.

Inleiding:

Elk bedrijf ervaart dagelijks dat er risico’s zijn bij de uitvoering van bepaalde werk- of bedrijfsprocessen die

kunnen leiden tot ongewenste situaties. Hierdoor kunnen allerlei van vormen van schades optreden zoals:

ongevalschade aan mens en installatie, milieuschade, economische schade en imagoschade. Het is van beland van te voren de risico’s te kennen en maatregelen te nemen tegen deze gevaren.

Er zijn verschillende wetten en richtlijnen ontwikkeld om functionele veiligheid van installaties te kunnen

bepalen en garanderen. Sinds 1996 wordt in de USA de ISA-norm S84.01 gebruikt , d.i. Application of Safety Instrumented Systems for the Process Industries. In Europa is in 2000 de IEC 61508 van kracht

geworden deze beschrijft: Functional Safety of Electrical / Electronic / Programmable Electronic Safety-

Related Systems en is zeer algemeen en conceptueel. Hiervan afgeleid is de IEC61511 en is in 2003 van kracht geworden, deze beschrijft: Instrumented Systems for the process industry Sector. Hierin

wordt het ‘Safety Lifecycle’-concept beschreven, de minimum voorschriften voor hardware en software en wordt aangegeven hoe het SIL niveau moet worden bepaald. Voor deze norm is (nog) geen

wettelijke verplichting maar het biedt wel een gestructureerde methodologie welke goed auditeerbaar

is. De methodiek is eenvoudig integreerbaar binnen elk intern ‘veiligheidsbeheersysteem’. Grafisch kan deze IEC wetgeving als volgt worden weergegeven:

• Figuur 1 Ontwikkeling IEC safety normen.

Safety Lifecycle (SLC) en SIL:

Het inventariseren en beoordelen van risico’s gebeurt cyclisch, d.w.z. dat het na verloop van tijd dient te worden herhaald waarbij ervaringen en nieuwe inzichten moeten worden meegenomen. Hierbij dienen ook

beveiligingsmaatregelen te worden geëvalueerd en eventueel te worden verbeterd. De hele levenscyclus van het proces is dus van toepassing van ontwerp tot sloop van de procesinstallatie. Dit kan als volgt

worden weergegegven:

2/16

• Figuur 2 Safety Life cycle.

De SLC kan dus als volgt worden gegroepeerd: stap1-5 = analytische maatregelen ; stap6-13 = toepassingsmaatregelen ; stap 14-16 = maatregelen tijdens bedrijf.

Riscico-inventarisatie beoordeling vindt plaats middels een HAZOP studie( Hazard and Operatibility

Analysis). De kans dat een gebeurtenis met schade optreedt vermenigvuldigd met de omvang van de

schade levert het nivo van het risico op. In IEC61508 wordt dit het SIL-nivo genoemd (Safety Integrity Level). Dit SIL-nivo eist een bepaalde kwaliteit van de veiligheidsvoorziening(en).

Het SIL-nivo van een proces kan worden behaald door kritische functies in het proces te beveiligen en

zodoende het risico te reduceren; deze functies heten SIF’s (Safety Integrity Function). Een procesbeveiligingsvoorziening heet een SIS (Safety Integrity System) . Een SIS bestaat uit meerdere

componenten van instrumentele aard. Elk component kan een volledige trip veroorzaken van de SIS. Een

SIS zou dus meerdere SIF’s kunnen beveiligen. Een SIS ziet er dus als volgt uit:

3/16

• Figuur 3 Een SIS

In de USA worden de procesbeveiligingsvoorzieningen opgedeeld in lagen, het zogenaamde LOPA systeem

(Layers Of Protection). Het SIS is hier een onderdeel van. Het LOPA systeem ziet er als volgt uit:

• Figuur 4 LOPA systeem

4/16

Risicograaf:

Het SIL-nivo drukt dus uit hoe goed een systeem zijn veiligheidsfunctie moet uitoefenen om de vereiste risicoreductie te kunnen behalen. Er zijn 4 niveaus : 1 = soepel / 4

= uiterst hoog. Het SIL-nivo kan worden bepaald middels een risicograaf ; dit ziet er als volgt uit:

• Figuur 5 Risicograaf

5/16

Faalkans λ:

De faalfrequentie is een maat van betrouwbaarheid die het aantal malen falen per tijdseenheid weergeeft van een aantal (instrumentele) componenten die zijn ingezet en die dus zijn blootgesteld aan falen.

De faalfrequentie van een component is als gevolg van kinderziektes in het begin hoog. Deze daalt na

verloop van tijd bij normaal gebruik en stijgt daarna als gevolg van o.a. slijtage. De faafrequentiecurve ziet

er dan als volgt uit:

• Figuur 6 Badkuipcurve

De faalkans λ is nu als volgt gedefinieerd:

λ tot = falen van een component per tijdseenheid

λ tot bestaat uit de volgende delen:

λ safe = faalkans van componenten die leiden tot een veilige toestand

λ dangerous = faalkans van componenten die leiden tot een gevaarlijke toestand

Hieruit volgt dus:

λ tot = λ safe + λ dangerous

Deze verschillende faalkansen kunnen weer worden onderverdeeld in λ d= gedetecteerde

faalkansen(detected) en λ u = ongedetecteerde faalkansen (undetected).

De faalkansen kunnen nu als volgt grafisch worden ingedeeld:

6/16

• Figuur 7 Faalkansverdeling

Het aandeel (fraction) van de faalkansen die een veilige toestand opleveren wordt nu SFF (Safe Failure

Fraction) genoemd en wordt dus:

SFF = Σ λ safe / (Σ λ safe + Σ λ dangerous)

De λ s wordt in het Engels ook wel STR (Spurious Trip Rate) genoemd.

STR is een maat voor de beschikbaarheid naar operationaliteit

De faalkans classificatie met de gebruikelijke Engelse termen volgens IEC61508 ziet er als volgt uit:

• Figuur 8 Faalkansverdeling

λ is moeilijk te verkrijgen van fabrikanten. Vaak bouwen bedrijven een (reliability) database op met eigen

gegevens.

Ook wordt de term MTBF gebruikt, d.i. Mean Time Between Failure MTBF = 1 / λ � λ = 1 / MTBF

7/16

Possible Failure on Demand (PFD)

Vaak wordt gebruik gemaakt van de term PFD (Possible Failure on Demand) d.i. de kans dat een

systeem dat ontworpen is om een ongeval tegen te gaan, zal falen op het moment dat juist een aanspraak op de preventieve functie wordt gedaan. PFD is dus een maat voor de

veiligheidsbeschikbaarheid. De relatie tussen λ en PFD is als volgt:

• Figuur 9 PFD verdeling

Hierbij wordt faalfrequentie λ du gebruikt en deze wordt als constant verondersteld ( wat vaak niet het geval is).

De kans op falen neemt dus exponentieel toe in de tijd.

In de praktijk wordt de gemiddelde PFD gebruikt .De meest eenvoudige formule van de gemiddelde

PFD (PFD avg) is als volgt gedefinieerd (bij 1oo1 schakeling)

λ DU = 1/ MTTF DU

λ du = niet-gedetecteerde onveilige faalfrequentie TI = tijdsinterval tussen twee manuele tests.

MTTF =Mean Time To Failure

In de literatuur wordt ook vaak de term β gebruikt. β is de common cause failure factor en is een maat

voor de graad van wederzijdse verstoring van componenten, dus het optreden van fouten en falingen met een gemeenschappelijke oorzaak.Deze factor werkt door in de PFD berekening maar wordt hier

weggelaten. Deze kan men optimaliseren door wederzijdse beïnvloeding te vermijden of de gevolgen

ervan te beperken, door: scheiding van systeemcomponenten (bv. verschillende transmissiepaden), diversiteit van componenten (bv. verschillende meetprincipes of merken, verschillende

programmeertalen) en voldoende training

De relatie tussen het SIL-nivo en de gemiddelde PFD ziet er nu als volgt uit:

8/16

• Figuur 10 SIL als functie van PFD

Vaak wordt ook de term RRF gebruikt = 1 / PFD gem ; d.i. de Risk Reduction Factor.

Voor alle SIF’s in een SIS ziet de (gemiddelde) PFD er als volgt uit (zie ook fig.11 ) :

PFD sis= Σ PFD 1 + Σ PFD 2 + Σ PFD 3 + Σ PFD 4 + Σ PFD 5

PFD 1 = PFD sensor (van een specifieke SIF) PFD 2 = PFD input kaart (van een specifieke SIF)

PFD 3 = PFD logic system (van een specifieke SIF) PFD 4 = PFD output kaart (van een specifieke SIF)

PFD 5 = PFD actuator (van een specifieke SIF) Dit ziet er grafisch als volgt uit:

• Figuur 11 PFD verdeling van een SIS

Is nu de totale PFD bekend dan kan de SIL classificatie worden bepaald middels fig.10.

9/16

Hardware fout tolerantie (HFT):

Een SIS of een gedeelte van een SIS wordt fout-tolerant genoemd als het z’n safety functie blijft uitvoeren ondanks de aanwezigheid van een of meer falende componenten.

De SFF wordt gebruikt om (hardware) fout tolerantie van een subsysteem te bepalen. Er zijn twee type subsystemen: type A ( bijvoorbeeld transmitters) hierbij kunnen voor alle elementen de mogelijke

faalkansen worden bepaald ; voor type B (bijvoorbeeld logic solvers in PLC’s) kunnen voor alle elementen

niet alle mogelijke faalkansen worden bepaald. De HFT zelf kent ook weer drie klassen, te weten 0,1 en 2. De volgende tabellen zijn nu van toepassing:

• Figuur 12 HFT type A

• Figuur 13 HFT type B

Betrouwbaarheid en beschikbaarheid:

De betrouwbaarheid van een systeem kan worden gedefinieerd als de waarschijnlijkheid (kans) dat het z’n functie succesvol uitvoert voor een bepaalde tijdsperiode. Voor een SIF houdt in dat de

beschikbaarheid van een systeem (of functie) kan worden gedefinieerd als de waarschijnlijkheid (kans) dat het z’n functie succesvol uitvoert gedurende de test interval. Indien er geen reparatie

plaatsvindt gedurende de test interval wordt zodoende: betrouwbaarheid = beschikbaarheid.

10/16

Hardware architectuur:

Sensoren en PLC’s kunnen volgens verschillende systemen – ook wel architecturen genoemd- worden opgebouwd. Afhankelijk van de opbouw kan de λd en λs toenemen of afnemen . Afhankelijk van of

men over een systeem met hogere veiligheid en/of een hogere redundantie wil beschikken kan gekozen worden uit verschillende configuraties. Het systeem in een SIF dat de inputs inleest, een

algoritme uitvoert en de output(s) naar een veilige toestand kan sturen heet logic solver. Zie hiervoor

de volgende beschrijving van safety PLC’s.De architectuur voor sensoren heet logic voting. De volgende architecturen worden behandeld: 1oo1, 1oo2, 2oo2 en 2oo3. In fig. 14 zijn A en B

transmitters en/of schakelaars. In de middelste kolom wordt de architectuur aangegeven in de rechterkolom staat de PFD avg.

1oo1

1oo2

2o02

2003

• Figuur 14 Voting systemen

11/16

In de volgende grafieken wordt de λd en λs aangegeven t.o.v. de gebruikte sensor architectuur.

• Figuur 15 λd tov schakeling

• Figuur 16 λs tov schakeling

Een 1oo1 kan een eenvoudige emergency stop zijn of een enkelvoudige sensor. Door de redundantie

te verhogen van 1oo1 naar 1oo2 wordt λd verlaagd maar λs wordt verhoogd. Bij een 2oo2 schakeling wordt de redundantie dus ook verhoogd maar de λd wordt verdubbeld omdat als 1 systeem faalt het

parallelle systeem altijd stand-by blijft staan en zodoende een gevaarlijke trip niet wordt gesignaleerd. Het verhogen van de redundantie hoeft dus de veiligheid niet te verhogen. Het 2oo3 is dus de meest

optimale redundante configuratie waarbij λd en λs beide worden verlaagd en dus ook de PFD.

12/16

Toepassingen:

Safety PLC:

De opbouw van een PLC systeem is te vinden in fig.11. Fail safe PLC’s worden toegepast vanwege de verhoogde veiligheid en beschikbaarheid van de

hardware. De HFT zoals beschreven in figuur 13 is aanzienlijk hoger als bij normale PLC’s. Om deze

verhoogde HFT te bereiken wordt gebruik gemaakt van redundante voedingen en redundante interne communicatiebussen. Eenvoudige safety PLC’s hebben een 1oo1D uitvoering, d.w.z. de I/O is

enkelvoudig uitgevoerd en de CPU redundant. De I/O en CPU worden middels speciale diagnose hardware gechecked op juiste werking. De D staat dus voor Diagnose hardware. Safety PLC’s kunnen

ook 1oo2D worden uitgevoerd hierbij is de I/O ook redundant uitgevoerd. Zodoende kunnen deze PLC’s in SIS’s worden toegepast tot SIL3. Om nog een hogere HFT te bereiken kunnen nog meer I/O

en CPU’s parallel worden geschakeld. Een 1oo2D systeem is in de volgende figuur aangegeven:

• Figuur 17 1oo2D PLC opbouw

Een burner management system (BMS) is vanwege de hoge SIL classificatie voor brander en boiler

meestal met een fail safe PLC uitgevoerd.

Vergelijking relais/PLC systemen:

De volgende tabel geeft een vergelijking tussen de prestaties van relais’ en PLC systemen

Type: Voordeel: Nadeel MTBF (jaar) RRF

Relais systeem Lage kosten, veel

gebruikt, geen

software, hoge snelheid

Herprogrammeren

(nieuwe

hardware), geen diagnose

31 10000 (SIL3)

Normale PLC Flexibel, modulair, testmogelijkheden

Software afhankelijk ,

common cause

failure mogelijk , duur

32 (met hot back-up CPU*)

240 (SIL2)

Safety PLC Hoge fout

tolerantie, zelf diagnose,

redundante CPU I/O mogelijk

Duur > 50.000 > 100000 (SIL4)

13/16

Voor MTBF en RRF zijn max. Mogelijke waardes gegeven.

SIL berekening is afhankelijk van hele SIF ; dus sensor , logic solver en final element. * = een hot back-up CPU kan de werking van oorspronkelijke CPU direct overnemen ; er zijn dus twee

CPU’s.

Tegenwoordig zijn er ook relais’ te koop met met een verlaagde PFD die dus zijn toe te passen in een

SIF.

Fail safe transmitter:

Om in een SIF met SIL2 te kunnen functioneren moet de sensor van de transmitter redundant zijn

uitgevoerd, moet de architectuur van de hardware redundant zijn uitgevoerd, moet er een diagnose circuit aanwezig zijn en moet de output fail safe zijn. Er zijn dus twee sensor circuits die

onafhankelijke signalen genereren die worden gevalideerd door de microprocessor door ze met elkaar te vergelijken. Wijkt de vergelijking te ver af dan wordt de output ‘ge-up of ge-downscaled’

afhankelijk van de fail safe toestand die het proces vereist. Een interne diagnose circuit checked de interne digitale variabelen en de juiste werking van het geheugen. Het uitgaande 4-20mA wordt ook

gecontroleerd met de verwachte gecalculeerde waarde. Een enkele SIL2 transmitter kan twee

redundant geschakelde conventionele transmitters in een SIL2 SIF vervangen. Twee redundant geschakelde SIL2 transmitters kunnen in een SIL3 SIF worden toegepast. Hiervoor dient uiteraard

altijd wel weer de totale PFD van de SIF te worden berekend. De transmitter architectuur is in fig.18 aangegeven. De huidige smart transmitters hebben verhoogde diagnose mgelijkheden en digitale

communicatie mogelijkheden, hierdoor hoeven ze nog niet geschikt te zijn voor failsafe applicaties.

• Figuur 18 Fail safe transmitter opbouw

14/16

Partial stroke testing:

Shut/off kleppen blijven in een proces meestal in de open positie staan. Vaak blijven deze kleppen

‘hangen’ net op het moment dat ze dicht moeten worden gestuurd. Dit veroorzaakt een onveilige toestand. Er moet dus regelmatig worden getest of de kleppen open-dicht kunnen worden gestuurd.

Als deze kleppen onderdeel zijn van een SIF kunnen ze tijdens de periodieke test worden gechecked. Dit gebeurt echter vaak 1x per jaar. Uit testen is gebleken dat de PFD van deze SIF voornamelijk

wordt bepaald door de on/off klep. Door de klep vaker te testen kan de PFD worden verlaagd. Bij

onderstaande loop in fig.19 is bij PFD berekening gebleken dat deze ongeschikt is om in een SIL3 SIF te worden toegepast omdat de kleppen de PFD sterk verhogen. Er zou dus een derde klep moeten

worden toegepast om SIL3 niveau te halen omdat zodoende een 1oo3 klepaansturing wordt verkregen wat een gunstige invloed heeft op de PFD. Door de kleppen vaker te testen kan de PFD ook

worden verbeterd omdat de TI dan wordt verlaagd waardoor geen derde klep nodig is. Dit kan gebeuren middels zgn. Partial stroke testing ; zodoende wordt de klep enigszins gesloten zonder een

volledige dicht-slag aan te gaan. Dit verifieert dat de klep goed functioneert zonder invloed te hebben

op het proces waardoor de PFD wordt verlaagd.

• Figuur 19 Partial stroke test configuratie

Deze partial stroke testing kan worden geïntegreerd in een intelligente standsteller die tegenwoordig te koop zijn. De volledige partial stroke test procedure wordt dus afgehandeld door de standsteller,

zodoende hoeft het overkoepelende automatiseringssysteem niet te worden belast. Een vier-draads SIS standsteller systeem ziet er nu als volgt uit:

• Figuur 20 Partial stroke test configuratie

De SIF voor de aansturing van de on/off klep bestaat nu dus ook uit een magneetventiel die de lucht afsluit en een standsteller die het output signaal naar 0 stuurt. Zodoende wordt een 1oo2 systeem

verkregen wat de PFD weer verlaagd.

15/16

Tegenwoordig zijn er ook intelligente klepstandstellers beschikbaar voor directe analoge aansturing

van een regelklep met een verhoogde SIL classificatie. Er zijn ook shut-off kleppen beschikbaar die

een dusdanig lage PFD hebben dat ze in een SIF (tot SIL3) kunnen worden toegepast.

PFD/SIL berekening (m.b.v. software):

Tegenwoordig is er software beschikbaar voor het doorrekenen van complete SIS systemen waarbij voor meerdere SIF’s een PFD/SIL calculatie kan worden gemaakt. Bekende programma’s zijn

ondermeer: SIFpro, SILver en SILence. Het Amerikaanse instituut Exida heeft veel programmatuur ontwikkeld. Een instantie die veel betrouwbaarheid- en PFD-data beschikbaar heeft is OREDA, d.i.

Offshore Reliability Data. In de volgende figuren 21-23 zijn enkele berekeningen aangegeven.

• Figuur 21 PFD/SIL berekening

• Figuur 22 PFD/SIL berekening

16/16

• Figuur 23 PFD/SIL berekening