Industriële procesbeveiliging steeds belangrijker
Veiligheid wordt een steeds belangrijker aspect in industriële omgevingen. Procesveiligheid richt zich op het beheersen van risico´s die ontstaan door het vrijkomen van gevaarlijke stoffen of bijvoorbeeld door ontstaan van explosies. Om het aantal procesincidenten te beperken is het van groot belang dat bedrijven de nodige competentie en ervaring in huis hebben om de (chemische) processen zo veilig mogelijk te maken en de mogelijke risico´s in de processen te kunnen inschatten aan de hand van diverse technieken en standaarden. Een van die standaarden is SIL, Safety Integrity Level.
Voor GEFA producten met SIL classificatie klik hier
Safety Integrity Level
Indien alle niet-procesbeveiligingen uitvallen, blijft er een restrisico over dat door de procesbeveiliging afgedekt dient te worden. Het Safety Integrity Level (SIL) is een maat voor dit restrisico. Het SIL-niveau bepaalt de betrouwbaarheid die de procesbeveiliging moet hebben.
Het SIL geeft hiermee aan in hoeverre de eindgebruiker kan verwachten dat het betreffende instrumentatie veilig werkt, en dat het, in het geval van een falen, op een veilige manier faalt. De bepaling van Safety Integrity Levels is vastgelegd in de standaarden IEC 61508 en IEC 61511.
In het verleden werd ook wel gebruik gemaakt van de Duitse Anforderungsklasse (AK), die was vastgelegd in de Duitse DIN-standaard DIN 19250. Hoewel de SIL-klassen Europese standaard zijn, kan men de AK-klassen nog tegenkomen.
Individuele componenten kunnen alleen als onderdeel van de beveiligingsloop gecertificeerd worden, een losstaand instrument kan geen SIL-waardering hebben. De betrouwbaarheid van de hele loop wordt bepaald door de zwakste component.
Vastleggen van het gewenste veiligheidsniveau
Het startpunt bij het bepalen van de SIL is het vastleggen van het gewenste veiligheidsniveau. Dit veiligheidsniveau geeft aan welke combinaties van kansen en effecten bij het optreden van procesafwijkingen aanvaardbaar zijn en welke niet. Wat aanvaardbaar is kan wettelijk bepaald zijn, bijvoorbeeld in de ATEX-richtlijnen en het Besluit bedrijfsbrandweren. Het komt voor dat bedrijven, boven de wettelijke eisen, andere drijfveren hebben om zichzelf strengere eisen op te leggen aan het veiligheidsniveau. Drijfveren kunnen zijn milieu, veiligheid, financieel en reputatie.
Om het veiligheidsniveau te bepalen wordt een risicomatrix gebruikt. De meest gebruikelijke matrix is opgenomen in IEC 61508, de risicografiek zoals onderstaand afgebeeld. In IEC 61508 wordt onderscheid gemaakt in letselrisico’s voor werknemers of derden (bijvoorbeeld omwonenden) en milieurisico’s. Sommige bedrijven hebben daarnaast ook aanvaardbaarheidscriteria voor productie-/leveringsuitval, economische schade en reputatieschade gedefinieerd.
De onderstaande figuur toont een risicografiek. Voor specifieke apparatuur kunnen verschillende risicografieken gevonden worden in Europese nomen of richtlijnen. Het gestippelde blok beschrijft de voorwaarden waaronder de gevaarlijke gebeurtenis kan voorkomen. Het blok met doorgetrokken lijn geeft de kans aan dat een ongewenste gebeurtenis voorkomt. Wanneer deze kans groter is, worden hogere eisen gesteld aan de procesbeveiliging.
In bovenstaande figuur staat C voor consequentie, gevolg, en wordt uitgedrukt in het aantal sterfgevallen of zware verwondingen waarvan het waarschijnlijk is dat die voortkomen uit de gevaarlijke gebeurtenis.
F staat voor bezettingsgraad, de kans dat iemand aanwezig is in het blootgestelde gebied wanneer de gevaarlijke gebeurtenis plaatsvindt. P is de kans dat blootgestelde personen in staat zijn het gevaarlijke gevolg, dat ontstaat wanneer de veiligheidsinstrumenten falen nadat hier een beroep op wordt gedaan, te ontwijken. W is het aantal keren dat de gevaarlijke gebeurtenis zou voorkomen in afwezigheid van het veiligheidsinstrument. X is de nummering van het pad en heeft geen verdere betekenis.
Uit de figuur blijkt, dat wanneer de kans dat een gebeurtenis voorkomt kleiner is, er ook een lager SIL-niveau van de beveiliging noodzakelijk is om de kans op het voorkomen van een ongewenste gebeurtenis op een aanvaardbaar niveau te brengen. Andersom, een grotere kans met grotere gevolgen, vereist een hoger SIL-niveau. Bij BRZO-bedrijven zal vaak de in het PBZO-document opgenomen risicomatrix toegepast worden. Wanneer een bedrijf zowel zijn eigen risicomatrix uit het PBZO-document als de risicograaf uit IEC 61508 gebruikt, moet helderheid over de geldigheid van de verschillende risicobeoordelingscriteria gegeven worden. Het is dus ook mogelijk dat bedrijven de risicograaf als basis hanteren voor de beoordeling van risico’s van zware ongevallen en deze opnemen in het PBZO-document. Op deze manier gebruiken zij SIL niet alleen voor instrumentele beveiligingen maar ook voor het bepalen van het benodigde veiligheidsniveau van de overige veiligheidsmaatregelen en -voorzieningen Line of Defence (LOD’s).
Let op: het is niet de bedoeling om de risicograaf in omgekeerde volgorde te gebruiken. Uit het SIL niveau van een beveiliging mogen geen eisen aan de werking van niet instrumentele veiligheidsmaatregelen afgeleid worden. Dit zou namelijk ertoe kunnen leiden dat bijvoorbeeld minder hoge eisen aan de opleiding en ervaring van bedieningspersoneel gesteld zouden kunnen worden, omdat het proces toch al voorzien is van een heel betrouwbare instrumentele beveiliging.
De risicomatrix of de risicograaf wordt naast iedere voorzienbare procesafwijking gehouden om te beoordelen of er toereikende veiligheidsmaatregelen (Lines of Defence, LOD) genomen zijn om een aanvaardbaar risico te bereiken. Een LOD kan een instrumentele procesbeveiliging zijn, maar ook niet-instrumentele maatregelen kunnen worden ingezet. Er zijn verschillende analysemethodieken geschikt om procesafwijkingen systematisch op te sporen en de werking van LODs te beoordelen:
* What-lf study;
* Process Hazards Analysis (PHA) of Hazard and Operability study (HAZOP);
* Failure Mode Effect (Criticality) Analysis (FME(C)A);
* Layers of Protection Analysis (LOPA);
LOPA helpt om consistente keuzes te maken over de geschiktheid van de bestaande of voorgestelde beveiligingen tegen een risicoscenario. De LOPA is specifiek toegesneden voor toepassing bij het bepalen van SIL. De studie wordt soms ook in aansluiting op een van de andere studies uitgevoerd. Dat is echter niet altijd zinvol. Middels een LOPA wordt het risico geëvalueerd in volgorde van grootte van de geselecteerde veiligheidsscenario’s. Hierin wordt opgesomd welke oorzaken kunnen leiden tot een onveilige situatie. De LOPA is gelimiteerd tot evalueren van een enkelvoudig oorzaak-gevolg paar als scenario. Er zijn vijf basisstappen in LOPA:
1. identificeer de scenario’s;
2. selecteer een veiligheidsscenario;
3. identificeer de basisoorzaak van het scenario en bepaal frequentie van de startgebeurtenis (gebeurtenissen per jaar);
4. identificeer de Independent Protection Layers (IPL) en bereken de kans op Probability of Failure on Demand van elke IPL;
5. bereken het risico van het scenario.
Op basis van de scenario’s wordt bepaald welke LOD’s aanwezig zijn of nog genomen moeten worden om een acceptabele situatie te bereiken. Als het risico onaanvaardbaar is dan dient het gereduceerd te worden door procesbeveiligingen (Safety Related System, SRS). Er zijn twee soorten SRS:
1. niet instrumentele beveiligingen (non-Safety Instrumented Systems); en
2. instrumentele beveiligingen (Safety Instrumented Systems).
Instrumentele beveiligingen worden pas in overweging genomen nadat alle niet-instrumentele beveiligingen zijn beoordeeld. Een SIL wordt alleen voor instrumentele beveiligingen vastgelegd, hoewel steeds vaker aan niet-instrumentele beveiligingen een SIL wordt toegekend om zo deze vorm van beveiligen te kunnen kwantificeren. Bij instrumentele beveiligingen beschrijft de SIL de betrouwbaarheid waarmee de instrumentele beveiliging het restrisico moet reduceren om tot een aanvaardbaar risico te komen. De vereiste betrouwbaarheid (SIL) wordt uitgedrukt in Probabilitiy of Failure on Demand (PFD). PFD is de kans dat een instrumenteel beveiligingsloop niet in staat is om de vereiste functies uit te voeren, wanneer hier een beroep op wordt gedaan.
Wanneer de vereiste SIL is bepaald zou dit betrokken moeten worden bij het ontwerp van de installatie. De instrumentele beveiligingsloop bestaande uit meetopnemer, processor (logic solver), regelapparatuur en de tussenliggende signaallijnen zal zodanig vormgegeven moeten worden dat hij als geheel aan de vereiste PFD kan voldoen.
De te onderscheiden SIL-klassen worden genoemd in de volgende tabel:
Te zien is dat een hoger SIL aangeeft dat een lagere PFD vereist is. Dit kan betekenen dat hogere eisen aan het systeem en aan de procesbeveiliging worden gesteld, of dat meer procesbeveiligingen nodig zijn om het gewenste SIL te bereiken.
BRON: Kennisdocument ”Industriele procesbeveiligingen” in opdracht van IPO Programmaleidersoverleg Externe Veiligheid.
Voor GEFA producten met SIL classificatie klik hier