MR_003
-
Upload
martin-van-heun -
Category
Documents
-
view
401 -
download
4
description
Transcript of MR_003
1/16
Titel: Functionele veiligheid toegepast in de instrumentatietechniek en procesautomatisering.
Inleiding:
Elk bedrijf ervaart dagelijks dat er risico’s zijn bij de uitvoering van bepaalde werk- of bedrijfsprocessen die
kunnen leiden tot ongewenste situaties. Hierdoor kunnen allerlei van vormen van schades optreden zoals:
ongevalschade aan mens en installatie, milieuschade, economische schade en imagoschade. Het is van beland van te voren de risico’s te kennen en maatregelen te nemen tegen deze gevaren.
Er zijn verschillende wetten en richtlijnen ontwikkeld om functionele veiligheid van installaties te kunnen
bepalen en garanderen. Sinds 1996 wordt in de USA de ISA-norm S84.01 gebruikt , d.i. Application of Safety Instrumented Systems for the Process Industries. In Europa is in 2000 de IEC 61508 van kracht
geworden deze beschrijft: Functional Safety of Electrical / Electronic / Programmable Electronic Safety-
Related Systems en is zeer algemeen en conceptueel. Hiervan afgeleid is de IEC61511 en is in 2003 van kracht geworden, deze beschrijft: Instrumented Systems for the process industry Sector. Hierin
wordt het ‘Safety Lifecycle’-concept beschreven, de minimum voorschriften voor hardware en software en wordt aangegeven hoe het SIL niveau moet worden bepaald. Voor deze norm is (nog) geen
wettelijke verplichting maar het biedt wel een gestructureerde methodologie welke goed auditeerbaar
is. De methodiek is eenvoudig integreerbaar binnen elk intern ‘veiligheidsbeheersysteem’. Grafisch kan deze IEC wetgeving als volgt worden weergegeven:
• Figuur 1 Ontwikkeling IEC safety normen.
Safety Lifecycle (SLC) en SIL:
Het inventariseren en beoordelen van risico’s gebeurt cyclisch, d.w.z. dat het na verloop van tijd dient te worden herhaald waarbij ervaringen en nieuwe inzichten moeten worden meegenomen. Hierbij dienen ook
beveiligingsmaatregelen te worden geëvalueerd en eventueel te worden verbeterd. De hele levenscyclus van het proces is dus van toepassing van ontwerp tot sloop van de procesinstallatie. Dit kan als volgt
worden weergegegven:
2/16
• Figuur 2 Safety Life cycle.
De SLC kan dus als volgt worden gegroepeerd: stap1-5 = analytische maatregelen ; stap6-13 = toepassingsmaatregelen ; stap 14-16 = maatregelen tijdens bedrijf.
Riscico-inventarisatie beoordeling vindt plaats middels een HAZOP studie( Hazard and Operatibility
Analysis). De kans dat een gebeurtenis met schade optreedt vermenigvuldigd met de omvang van de
schade levert het nivo van het risico op. In IEC61508 wordt dit het SIL-nivo genoemd (Safety Integrity Level). Dit SIL-nivo eist een bepaalde kwaliteit van de veiligheidsvoorziening(en).
Het SIL-nivo van een proces kan worden behaald door kritische functies in het proces te beveiligen en
zodoende het risico te reduceren; deze functies heten SIF’s (Safety Integrity Function). Een procesbeveiligingsvoorziening heet een SIS (Safety Integrity System) . Een SIS bestaat uit meerdere
componenten van instrumentele aard. Elk component kan een volledige trip veroorzaken van de SIS. Een
SIS zou dus meerdere SIF’s kunnen beveiligen. Een SIS ziet er dus als volgt uit:
3/16
• Figuur 3 Een SIS
In de USA worden de procesbeveiligingsvoorzieningen opgedeeld in lagen, het zogenaamde LOPA systeem
(Layers Of Protection). Het SIS is hier een onderdeel van. Het LOPA systeem ziet er als volgt uit:
• Figuur 4 LOPA systeem
4/16
Risicograaf:
Het SIL-nivo drukt dus uit hoe goed een systeem zijn veiligheidsfunctie moet uitoefenen om de vereiste risicoreductie te kunnen behalen. Er zijn 4 niveaus : 1 = soepel / 4
= uiterst hoog. Het SIL-nivo kan worden bepaald middels een risicograaf ; dit ziet er als volgt uit:
• Figuur 5 Risicograaf
5/16
Faalkans λ:
De faalfrequentie is een maat van betrouwbaarheid die het aantal malen falen per tijdseenheid weergeeft van een aantal (instrumentele) componenten die zijn ingezet en die dus zijn blootgesteld aan falen.
De faalfrequentie van een component is als gevolg van kinderziektes in het begin hoog. Deze daalt na
verloop van tijd bij normaal gebruik en stijgt daarna als gevolg van o.a. slijtage. De faafrequentiecurve ziet
er dan als volgt uit:
• Figuur 6 Badkuipcurve
De faalkans λ is nu als volgt gedefinieerd:
λ tot = falen van een component per tijdseenheid
λ tot bestaat uit de volgende delen:
λ safe = faalkans van componenten die leiden tot een veilige toestand
λ dangerous = faalkans van componenten die leiden tot een gevaarlijke toestand
Hieruit volgt dus:
λ tot = λ safe + λ dangerous
Deze verschillende faalkansen kunnen weer worden onderverdeeld in λ d= gedetecteerde
faalkansen(detected) en λ u = ongedetecteerde faalkansen (undetected).
De faalkansen kunnen nu als volgt grafisch worden ingedeeld:
6/16
• Figuur 7 Faalkansverdeling
Het aandeel (fraction) van de faalkansen die een veilige toestand opleveren wordt nu SFF (Safe Failure
Fraction) genoemd en wordt dus:
SFF = Σ λ safe / (Σ λ safe + Σ λ dangerous)
De λ s wordt in het Engels ook wel STR (Spurious Trip Rate) genoemd.
STR is een maat voor de beschikbaarheid naar operationaliteit
De faalkans classificatie met de gebruikelijke Engelse termen volgens IEC61508 ziet er als volgt uit:
• Figuur 8 Faalkansverdeling
λ is moeilijk te verkrijgen van fabrikanten. Vaak bouwen bedrijven een (reliability) database op met eigen
gegevens.
Ook wordt de term MTBF gebruikt, d.i. Mean Time Between Failure MTBF = 1 / λ � λ = 1 / MTBF
7/16
Possible Failure on Demand (PFD)
Vaak wordt gebruik gemaakt van de term PFD (Possible Failure on Demand) d.i. de kans dat een
systeem dat ontworpen is om een ongeval tegen te gaan, zal falen op het moment dat juist een aanspraak op de preventieve functie wordt gedaan. PFD is dus een maat voor de
veiligheidsbeschikbaarheid. De relatie tussen λ en PFD is als volgt:
• Figuur 9 PFD verdeling
Hierbij wordt faalfrequentie λ du gebruikt en deze wordt als constant verondersteld ( wat vaak niet het geval is).
De kans op falen neemt dus exponentieel toe in de tijd.
In de praktijk wordt de gemiddelde PFD gebruikt .De meest eenvoudige formule van de gemiddelde
PFD (PFD avg) is als volgt gedefinieerd (bij 1oo1 schakeling)
λ DU = 1/ MTTF DU
λ du = niet-gedetecteerde onveilige faalfrequentie TI = tijdsinterval tussen twee manuele tests.
MTTF =Mean Time To Failure
In de literatuur wordt ook vaak de term β gebruikt. β is de common cause failure factor en is een maat
voor de graad van wederzijdse verstoring van componenten, dus het optreden van fouten en falingen met een gemeenschappelijke oorzaak.Deze factor werkt door in de PFD berekening maar wordt hier
weggelaten. Deze kan men optimaliseren door wederzijdse beïnvloeding te vermijden of de gevolgen
ervan te beperken, door: scheiding van systeemcomponenten (bv. verschillende transmissiepaden), diversiteit van componenten (bv. verschillende meetprincipes of merken, verschillende
programmeertalen) en voldoende training
De relatie tussen het SIL-nivo en de gemiddelde PFD ziet er nu als volgt uit:
8/16
• Figuur 10 SIL als functie van PFD
Vaak wordt ook de term RRF gebruikt = 1 / PFD gem ; d.i. de Risk Reduction Factor.
Voor alle SIF’s in een SIS ziet de (gemiddelde) PFD er als volgt uit (zie ook fig.11 ) :
PFD sis= Σ PFD 1 + Σ PFD 2 + Σ PFD 3 + Σ PFD 4 + Σ PFD 5
PFD 1 = PFD sensor (van een specifieke SIF) PFD 2 = PFD input kaart (van een specifieke SIF)
PFD 3 = PFD logic system (van een specifieke SIF) PFD 4 = PFD output kaart (van een specifieke SIF)
PFD 5 = PFD actuator (van een specifieke SIF) Dit ziet er grafisch als volgt uit:
• Figuur 11 PFD verdeling van een SIS
Is nu de totale PFD bekend dan kan de SIL classificatie worden bepaald middels fig.10.
9/16
Hardware fout tolerantie (HFT):
Een SIS of een gedeelte van een SIS wordt fout-tolerant genoemd als het z’n safety functie blijft uitvoeren ondanks de aanwezigheid van een of meer falende componenten.
De SFF wordt gebruikt om (hardware) fout tolerantie van een subsysteem te bepalen. Er zijn twee type subsystemen: type A ( bijvoorbeeld transmitters) hierbij kunnen voor alle elementen de mogelijke
faalkansen worden bepaald ; voor type B (bijvoorbeeld logic solvers in PLC’s) kunnen voor alle elementen
niet alle mogelijke faalkansen worden bepaald. De HFT zelf kent ook weer drie klassen, te weten 0,1 en 2. De volgende tabellen zijn nu van toepassing:
• Figuur 12 HFT type A
• Figuur 13 HFT type B
Betrouwbaarheid en beschikbaarheid:
De betrouwbaarheid van een systeem kan worden gedefinieerd als de waarschijnlijkheid (kans) dat het z’n functie succesvol uitvoert voor een bepaalde tijdsperiode. Voor een SIF houdt in dat de
beschikbaarheid van een systeem (of functie) kan worden gedefinieerd als de waarschijnlijkheid (kans) dat het z’n functie succesvol uitvoert gedurende de test interval. Indien er geen reparatie
plaatsvindt gedurende de test interval wordt zodoende: betrouwbaarheid = beschikbaarheid.
10/16
Hardware architectuur:
Sensoren en PLC’s kunnen volgens verschillende systemen – ook wel architecturen genoemd- worden opgebouwd. Afhankelijk van de opbouw kan de λd en λs toenemen of afnemen . Afhankelijk van of
men over een systeem met hogere veiligheid en/of een hogere redundantie wil beschikken kan gekozen worden uit verschillende configuraties. Het systeem in een SIF dat de inputs inleest, een
algoritme uitvoert en de output(s) naar een veilige toestand kan sturen heet logic solver. Zie hiervoor
de volgende beschrijving van safety PLC’s.De architectuur voor sensoren heet logic voting. De volgende architecturen worden behandeld: 1oo1, 1oo2, 2oo2 en 2oo3. In fig. 14 zijn A en B
transmitters en/of schakelaars. In de middelste kolom wordt de architectuur aangegeven in de rechterkolom staat de PFD avg.
1oo1
1oo2
2o02
2003
• Figuur 14 Voting systemen
11/16
In de volgende grafieken wordt de λd en λs aangegeven t.o.v. de gebruikte sensor architectuur.
• Figuur 15 λd tov schakeling
• Figuur 16 λs tov schakeling
Een 1oo1 kan een eenvoudige emergency stop zijn of een enkelvoudige sensor. Door de redundantie
te verhogen van 1oo1 naar 1oo2 wordt λd verlaagd maar λs wordt verhoogd. Bij een 2oo2 schakeling wordt de redundantie dus ook verhoogd maar de λd wordt verdubbeld omdat als 1 systeem faalt het
parallelle systeem altijd stand-by blijft staan en zodoende een gevaarlijke trip niet wordt gesignaleerd. Het verhogen van de redundantie hoeft dus de veiligheid niet te verhogen. Het 2oo3 is dus de meest
optimale redundante configuratie waarbij λd en λs beide worden verlaagd en dus ook de PFD.
12/16
Toepassingen:
Safety PLC:
De opbouw van een PLC systeem is te vinden in fig.11. Fail safe PLC’s worden toegepast vanwege de verhoogde veiligheid en beschikbaarheid van de
hardware. De HFT zoals beschreven in figuur 13 is aanzienlijk hoger als bij normale PLC’s. Om deze
verhoogde HFT te bereiken wordt gebruik gemaakt van redundante voedingen en redundante interne communicatiebussen. Eenvoudige safety PLC’s hebben een 1oo1D uitvoering, d.w.z. de I/O is
enkelvoudig uitgevoerd en de CPU redundant. De I/O en CPU worden middels speciale diagnose hardware gechecked op juiste werking. De D staat dus voor Diagnose hardware. Safety PLC’s kunnen
ook 1oo2D worden uitgevoerd hierbij is de I/O ook redundant uitgevoerd. Zodoende kunnen deze PLC’s in SIS’s worden toegepast tot SIL3. Om nog een hogere HFT te bereiken kunnen nog meer I/O
en CPU’s parallel worden geschakeld. Een 1oo2D systeem is in de volgende figuur aangegeven:
• Figuur 17 1oo2D PLC opbouw
Een burner management system (BMS) is vanwege de hoge SIL classificatie voor brander en boiler
meestal met een fail safe PLC uitgevoerd.
Vergelijking relais/PLC systemen:
De volgende tabel geeft een vergelijking tussen de prestaties van relais’ en PLC systemen
Type: Voordeel: Nadeel MTBF (jaar) RRF
Relais systeem Lage kosten, veel
gebruikt, geen
software, hoge snelheid
Herprogrammeren
(nieuwe
hardware), geen diagnose
31 10000 (SIL3)
Normale PLC Flexibel, modulair, testmogelijkheden
Software afhankelijk ,
common cause
failure mogelijk , duur
32 (met hot back-up CPU*)
240 (SIL2)
Safety PLC Hoge fout
tolerantie, zelf diagnose,
redundante CPU I/O mogelijk
Duur > 50.000 > 100000 (SIL4)
13/16
Voor MTBF en RRF zijn max. Mogelijke waardes gegeven.
SIL berekening is afhankelijk van hele SIF ; dus sensor , logic solver en final element. * = een hot back-up CPU kan de werking van oorspronkelijke CPU direct overnemen ; er zijn dus twee
CPU’s.
Tegenwoordig zijn er ook relais’ te koop met met een verlaagde PFD die dus zijn toe te passen in een
SIF.
Fail safe transmitter:
Om in een SIF met SIL2 te kunnen functioneren moet de sensor van de transmitter redundant zijn
uitgevoerd, moet de architectuur van de hardware redundant zijn uitgevoerd, moet er een diagnose circuit aanwezig zijn en moet de output fail safe zijn. Er zijn dus twee sensor circuits die
onafhankelijke signalen genereren die worden gevalideerd door de microprocessor door ze met elkaar te vergelijken. Wijkt de vergelijking te ver af dan wordt de output ‘ge-up of ge-downscaled’
afhankelijk van de fail safe toestand die het proces vereist. Een interne diagnose circuit checked de interne digitale variabelen en de juiste werking van het geheugen. Het uitgaande 4-20mA wordt ook
gecontroleerd met de verwachte gecalculeerde waarde. Een enkele SIL2 transmitter kan twee
redundant geschakelde conventionele transmitters in een SIL2 SIF vervangen. Twee redundant geschakelde SIL2 transmitters kunnen in een SIL3 SIF worden toegepast. Hiervoor dient uiteraard
altijd wel weer de totale PFD van de SIF te worden berekend. De transmitter architectuur is in fig.18 aangegeven. De huidige smart transmitters hebben verhoogde diagnose mgelijkheden en digitale
communicatie mogelijkheden, hierdoor hoeven ze nog niet geschikt te zijn voor failsafe applicaties.
• Figuur 18 Fail safe transmitter opbouw
14/16
Partial stroke testing:
Shut/off kleppen blijven in een proces meestal in de open positie staan. Vaak blijven deze kleppen
‘hangen’ net op het moment dat ze dicht moeten worden gestuurd. Dit veroorzaakt een onveilige toestand. Er moet dus regelmatig worden getest of de kleppen open-dicht kunnen worden gestuurd.
Als deze kleppen onderdeel zijn van een SIF kunnen ze tijdens de periodieke test worden gechecked. Dit gebeurt echter vaak 1x per jaar. Uit testen is gebleken dat de PFD van deze SIF voornamelijk
wordt bepaald door de on/off klep. Door de klep vaker te testen kan de PFD worden verlaagd. Bij
onderstaande loop in fig.19 is bij PFD berekening gebleken dat deze ongeschikt is om in een SIL3 SIF te worden toegepast omdat de kleppen de PFD sterk verhogen. Er zou dus een derde klep moeten
worden toegepast om SIL3 niveau te halen omdat zodoende een 1oo3 klepaansturing wordt verkregen wat een gunstige invloed heeft op de PFD. Door de kleppen vaker te testen kan de PFD ook
worden verbeterd omdat de TI dan wordt verlaagd waardoor geen derde klep nodig is. Dit kan gebeuren middels zgn. Partial stroke testing ; zodoende wordt de klep enigszins gesloten zonder een
volledige dicht-slag aan te gaan. Dit verifieert dat de klep goed functioneert zonder invloed te hebben
op het proces waardoor de PFD wordt verlaagd.
• Figuur 19 Partial stroke test configuratie
Deze partial stroke testing kan worden geïntegreerd in een intelligente standsteller die tegenwoordig te koop zijn. De volledige partial stroke test procedure wordt dus afgehandeld door de standsteller,
zodoende hoeft het overkoepelende automatiseringssysteem niet te worden belast. Een vier-draads SIS standsteller systeem ziet er nu als volgt uit:
• Figuur 20 Partial stroke test configuratie
De SIF voor de aansturing van de on/off klep bestaat nu dus ook uit een magneetventiel die de lucht afsluit en een standsteller die het output signaal naar 0 stuurt. Zodoende wordt een 1oo2 systeem
verkregen wat de PFD weer verlaagd.
15/16
Tegenwoordig zijn er ook intelligente klepstandstellers beschikbaar voor directe analoge aansturing
van een regelklep met een verhoogde SIL classificatie. Er zijn ook shut-off kleppen beschikbaar die
een dusdanig lage PFD hebben dat ze in een SIF (tot SIL3) kunnen worden toegepast.
PFD/SIL berekening (m.b.v. software):
Tegenwoordig is er software beschikbaar voor het doorrekenen van complete SIS systemen waarbij voor meerdere SIF’s een PFD/SIL calculatie kan worden gemaakt. Bekende programma’s zijn
ondermeer: SIFpro, SILver en SILence. Het Amerikaanse instituut Exida heeft veel programmatuur ontwikkeld. Een instantie die veel betrouwbaarheid- en PFD-data beschikbaar heeft is OREDA, d.i.
Offshore Reliability Data. In de volgende figuren 21-23 zijn enkele berekeningen aangegeven.
• Figuur 21 PFD/SIL berekening
• Figuur 22 PFD/SIL berekening
16/16
• Figuur 23 PFD/SIL berekening