SIL in de procesindustrie

De functionele veiligheid speelt een centrale rol bij alle installaties die u voor de productie-industrie bouwt. In de chemische industrie gelden daarvoor bijzonder hoge eisen om mens en milieu te beschermen. Het ontwerp van een veiligheidscircuit dat aan de normen voldoet, is geen peulenschil. Dat kan het best worden gerealiseerd met doordachte constructieprincipes en betrouwbare SIL-gegevens, waarmee berekeningen kunnen worden uitgevoerd. Wij bezorgen u graag alle data die u nodig heeft voor uw risicoanalyse en ondersteunen u met de implementatie van onze geteste componenten en redundante systemen.

Safety Integrity Level (SIL)

Om te voorkomen dat een systeem in een noodsituatie een gevaar voor mens en milieu wordt, moet u het systematisch gericht op functionele veiligheid ontwerpen. Met name in de chemische procesindustrie zijn SIL-voorschriften daarom het belangrijkste criterium voor de installatiebouw.

SIL staat voor Safety Integrity Level ofwel veiligheidsintegriteitsniveau. SIL is de internationale meetlat, waarmee men de functionele veiligheid van een systeem classificeert. Er zijn vier niveaus: oplopend van SIL1 tot SIL4, dat vanwege het grootste risico de strengste maatregelen vereist. Concreet betekent dit: u voert op basis van de faalkans van de componenten eennauwkeurige risicoanalyse uit, neemt maatregelen om de resterende risico's te minimaliseren, kiest geschikte apparaten en garandeert ten slotte dat de SIL-functies bij terugkerende controles goed werken.

SIL-veiligheidsnormen

De SIL-classificatie is gebaseerd op twee internationale normen: IEC 61508 en IEC 61511.

IEC 61508 („Functionele veiligheid van elektrischer/elektronische/programmeerbare elektronische systemen“) is de basisnorm. Daarin worden de risicoanalyse en de maatregelen voor het ontwerp van veiligheidsfuncties besproken. Ook worden de eisen voor afzonderlijke componenten van een veiligheidscircuit genoemd. Daartoe behoren sensoren zoals druk-, temperatuur- en vulpeilmeters of de analyse- en uitvoereenheid alsmede geautomatiseerde armaturen.

IEC 61511 („Functionele veiligheid – Veiligheidssystemen voor de procesindustrie“) geldt specifiek voor de procesautomatisering. Dit betreft hoofzakelijk low-demand-toepassingen met lagere eisen, die in de praktijk normaal zijn. IEC 61511 bevat onder andere de keuzecriteria voor sensoren en actoren bijvoorbeeld qua bedrijfsbetrouwbaarheid.

SIL-procedure in vier stappen

Als fabrikant of gebruiker van een installatie die medewerkers, omwonenden of het milieu in gevaar zou kunnen brengen, moet u het risico zo klein mogelijk houden. Daarvoor schrijven de IEC-normen 61508 en 61511 vier hoofdstappen voor:

1. Risicobeschrijving en -analyse: Eerst bepaalt u de faalkans van alle componenten, van sensoren via besturingen tot actoren – en dat voor de gehele levensduur van de installatie.

2. Bepalen en uitvoeren van de maatregelen: U bepaalt en implementeert passende maatregelen om het restrisico te minimaliseren.

3. Gebruik van geschikte apparaten: Voorwaarde voor een succesvolle test van het SIL-circuit van uw installatie zijn onderdelen en modules die voor het betreffende niveau geschikt en, indien nodig, gecertificeerd zijn.

4. Terugkerende controle: De exploitant controleert met vastgelegde tussenpozen of de veiligheidsfuncties goed werken.

1. Risicobeschrijving en -analyse

Welke gevaren worden door mijn installatie veroorzaakt? Deze vraag moet worden beantwoord door elke ingenieur van een procestechnische installatie in de chemische industrie. Voor de beantwoording daarvan kan een zgn. risicograaf worden gebruikt, die de vier in IEC 61508 en 61511 vastgestelde parameters combineert tot een beslissingsboom:

1. Schadeomvang (S): hoe ernstig zijn de in te schatten gevolgen?

2. Waarschijnlijke frequentie en blootstelling (F): hoe vaak en lang zijn personen in de gevarenzone aanwezig?

3. Voorkomen/beheersen van gevaren (P): kan ik de gebeurtenis voorkomen of beperken?

4. Waarschijnlijkheid (W): hoe vaak moet ik rekening houden met een gebeurtenis?

De ervaring in de praktijk leert dat veiligheidsrelevante risico's meestal in details en vaak pas tijdens het gebruik duidelijk worden. Een systematische analyse kan dergelijke zwakke plekken al bij het ontwerp blootleggen. Wij ondersteunen u bij de normconforme risicoanalyse en laten u zien wat Festo in uw geval qua functionele veiligheid kan bieden – met complete systeemoplossingen, doordachte automatiseringsconcepten of met losse componenten. U kunt ons graag al in deze fase om advies vragen.

2. Bepalen en uitvoeren van maatregelen

Uit de systematische risicoanalyse van uw installatie blijkt ook welke factoren leiden tot hogere SIL-eisen. Vele daarvan, zoals de productielocatie, staan vast. Andere kunnen worden verdraaid zoals afstelschroeven.

Ten eerste moet vanzelfsprekend de faalkans worden beoordeeld. Vooral door storingsgevoelige onderdelen en redundant ontworpen systemen kunt u de beschikbaarheid en betrouwbaarheid duidelijk verhogen. Afhankelijk van het proces kunnen zelfs oplossingen zinvol zijn waarbij losse componenten tijdens het bedrijf kunnen worden getest en vervangen.

De bouwkundige veiligheidsmaatregelen – bijvoorbeeld door overdruksystemen – zijn afhankelijk van de concrete productiesituatie. In principe moet worden nagedacht over de manier waarop de processen met de minst mogelijke risico's kunnen worden ontworpen. Daarbij kan men ook denken aan bouwkundige (voorzorgs)maatregelen zoals ontluchtingsystemen, overvulbeveiligingen (bijvoorbeeld bij zuurtanks) of betonommantelingen (bij explosiegevaar).

Ook is het raadzaam om beproefde en bewezen apparaten en componenten te kiezen, die een lange en betrouwbaar stabiel gebruiksduur van de installatie garanderen. Bijvoorbeeld temperatuurbestendige, zuurongevoelige en tegen corrosie beschermden materialen. Bovendien hebben wij voor bijna alle afzonderlijke processen normconforme oplossingen ontwikkeld die zich in de chemische en elektrochemische industrie hebben bewezen: van het ventieleiland met geïntegreerde uitschakeling tot aan de zeer veilige 2003-aansturing.

3. Geschikte apparaten

Nadat het SIL-niveau is vastgelegd, moet vanzelfsprekend het ontwerp van het SIL-circuit in alle opzichten dit niveau bieden. Met andere woorden: als ingenieur hebt u apparaten en componenten met het vereiste SIL-niveau nodig. En daarvoor zijn bewijzen nodig:

  • Fabrikantenverklaring: Tot en met SIL2 beoordelen de fabrikanten hun apparaten zelf. Bij SIL1 voert een onafhankelijke persoon de technische beoordeling uit, bij een SIL2-classificatie is dat een onafhankelijke afdeling.
  • Certificaat: Vanaf SIL 3 moet elk apparaat dat u in het veiligheidscircuit gebruikt, door een onafhankelijke instantie volgens 61508 zijn gecertificeerd. In Duitsland zijn dat bijvoorbeeld TÜV of Exida.

U kunt alle SIL-certificaten en fabrikantenverklaringen voor onze producten vinden door het producttype of onderdeelnummer in het zoekveld in te voeren, en op de gedetailleerde productsite onder "Downloads en Media".

4. Terugkerende controle

Met regelmatige tussenpozen moeten de veiligheidsfuncties van uw installatie worden gecontroleerd. Dat is niet alleen vereist volgens de wettelijke voorschriften in de (Duitse) bedrijfsveiligheidsverordening of voorschriften ter voorkoming van ongevallen, maar soms ook volgens de lokale regelgeving. De terugkerende SIL-controle moet vooral persoonlijk letsel en materiële schade voorkomen, dient echter ook voor de betrouwbaarheid van het systeem, omdat zo ongeplande stilstand wordt voorkomen. Ten slotte worden ingenieurs juridisch beschermd: bij schade kan met deze controles worden bewezen dat de storing niet door een gebrekkig(e) apparaat of constructie is veroorzaakt.

De controleperioden bepaalt de exploitant zelf. De gevarenanalyse is o.a. gebaseerd op de veiligheidsparameters van de afzonderlijke SIL-componenten. Qua constructie kunnen daarom duurzame oplossingen, die in een noodsituatie zonder bedrijfsonderbreking kunnen worden vervangen, duidelijke voordelen bieden. Graag geven wij u actueel advies over onze producten.

SIL-FAQ: vragen en antwoorden

Wat betekenen de afkortingen in het SIL-certificaat?

Productinformatiebladen, certificaten en modelberekeningen over functionele veiligheid bevatten diverse kengetallen en begrippen. Hieronder vindt u de afkortingen en begrippen die voor de SIL-berekening het belangrijkst zijn:

  • λ (faalpercentage), met de volgende onderscheidingen: S voor het totaalpercentage van veilig falen, SD voor het percentage veilig, gedetecteerd falen, D voor het totaalpercentage van gevaarlijk falen, DD voor het percentage gevaarlijk, gedetecteerd falen.

  • Apparaattypen: A is de afkorting voor een apparaat waarbij het faalgedrag van alle gebruikte onderdelen en het storingsgedrag voldoende zijn bepaald, bijv. door bedrijfservaring. Apparaattype B betekent daarentegen dat het faalgedrag van ten minste één gebruikt onderdeel en het storingsgedrag onvoldoende zijn bepaald.

  • HFT (Hardware Failure Tolerance): het vermogen om de vereiste functie bij storingen en afwijkingen te blijven uitvoeren. Bij HFT0 kan één storing leiden tot verlies van de veiligheidsfunctie (bijvoorbeeld bij 1oo1-schakelingen). Bij HFT1 ontstaat een veiligheidsverlies pas wanneer ten minste twee storingen gelijktijdig optreden (bijvoorbeeld bij 1oo2-schakelingen). Bij HFT2 zouden tegelijkertijd ten minste drie storingen moeten optreden (bijvoorbeeld bij 1oo3-schakelingen).

  • High Demand: een bedrijfsmodus die frequente of continue activering van het veiligheidssysteem vereist. Het systeem wordt continu of vaker dan één keer jaar geactiveerd.

  • Low Demand: een bedrijfsmodus waarbij het veiligheidssysteem weinig moet worden geactiveerd. Het systeem mag niet vaker dan één keer per jaar geactiveerd.

  • MTBF (Mean Time Between Failure): de gemiddelde tijd tussen twee opeenvolgende storingen.

  • PFD (Probability of Failure on Demand): de waarschijnlijkheid dat een veiligheidsfunctie faalt bij lage activering (< 10 activeringen/jaar) = Low Demand.

  • PFH (Probability of Failure per Hour): de waarschijnlijkheid dat een veiligheidsfunctie faalt bij continue activering (> 10 activeringen/jaar) = High Demand.

  • SFF (Safe Failure Fraction): het percentage veilige storingen van het totaal aantal storingen.

Waaruit bestaat een veiligheidssysteem?


Meestal bestaat een SIL-circuit uit drie componenten:

  • sensoren (bijvoorbeeld druk-, temperatuur- en vulpeilmeters);
  • analyse- en uitvoereenheid (bijvoorbeeld veiligheid-PLC);
  • geautomatiseerde armatuur bestaande uit magneetventiel, aandrijving en armatuur.

Hoe zijn PFD/PFH over de subsystemen verdeeld?

De verdeling van de faalkansen over de subsystemen van een veiligheidsfunctie is bij 1-kanaalssystemen als volgt – de grootste nadruk ligt op het SD-faalpercentage van de actoren.

SIL Safety Integrated System

Waar kan ik de waarden voor de SIL-berekening vinden?

Alle faalkansen die u voor de SIL‐berekening nodig hebt, vindt u in de fabrikantenverklaringen resp. certificaten (blauwe achtergrond). Daarmee kunt u de totale faalkans berekenen (waarden met grijze achtergrond), volgens de SIL.

SIL-berekening

Wanneer zijn certificaten vereist?

Het hoger het vereiste veiligheidsniveau van een installatie, des te hoger zijn de eisen die de norm stelt ook aan de onafhankelijkheid van degene die de functionele veiligheid beoordeelt. Volgens IEC 61511 zijn tot en met SIL2 fabrikantenverklaringen voldoende. Vanaf SIL3 is het certificaat van een onafhankelijke organisatie zoals TÜV of Exida vereist.

Safety Integrity Level - beoordeling door:

SIL 1 - onafhankelijk persoon

SIL 2 - onafhankelijke afdeling

SIL 3 - onafhankelijke organisatie

SIL 4 - onafhankelijke organisatie

Waar kan ik de SIL-certificaten vinden?

De SIL‐certificaten en SIL‐fabrikantenverklaringen voor Festo-producten vindt u op de betreffende gedetailleerde productsite onder "Downloads en Media", categorie "Certificaten".

Hoe kan ik actoren redundant aansturen?

SIL

Welke redundante SIL-oplossingen heeft Festo?

SIL: redundant ventielblok

Festo biedt u voor elke veiligheidseis de passende redundante aansturing:

Redundant NAMUR-blok (1oo2, 2oo2): Het NAMUR-blok maakt de installatie mogelijk van twee magneetventielen met NAMUR-aansluitschema, die via de NAMUR-interface redundant zijn geschakeld. De blokken zijn verkrijgbaar met failsafe-functie (1oo2) of met hogere beschikbaarheid (2oo2). Via de interface kunt u het blok direct op zwaaiaandrijvingen monteren. Ook een aparte installatie met bijbehorende leidingen is mogelijk.

Redundante Inline-ventielen (1oo2, 2oo2): Bij deze compacte systemen maakt Festo gebruik van de bewezen VOFD-ventieltechniek. Het ventiel is redundant geschakeld en garandeert bij geautomatiseerde armaturen een redundante failsafe-functie (1oo2) of hogere beschikbaarheid (2oo2). Door de Ematal-coating beschikt u over een ventiel dat voldoet aan de hoogste veiligheidsnormen in de procestechniek en bestand is tegen de ruwste gebruiksomstandigheden.

Gecombineerd ventielblok (2oo3): Het 2oo3-systeem combineert beide technologieën en biedt zo maximale veiligheid en beschikbaarheid. Dit ventielblok is een Inline-variant, die in een leiding van uw installatie wordt gemonteerd. De gemonteerde standaardventielen zijn via de NAMUR-interface volgens VDI/VDE 3845 gekoppeld en op het blok gemonteerd. Dit betekent: het blok wordt eenmalig geïnstalleerd, alleen de ventielen worden via de interface volgens het Service Life/Safety Lifecycle Plan vervangen. Bovendien u bij dit systeem de functies van de vier ventielen d.m.v. een bypass omzeilen, zodat het onderhoud tijdens het bedrijf kan plaatsvinden. De direct op het blok gemonteerde drukaanduidingen geven betrouwbaar en direct aan of een ventiel onder druk staat.

Wie moet dit weten?

Raadpleeg gerust uw specialisten voordat u voor Festo kiest. Onze voorgestelde oplossingen en toepassingsvoorbeelden kunt u eenvoudig doorsturen:met deze link.