SIL, průmysl procesní techniky

Funkční bezpečnost hraje ústřední roli ve všech zařízeních, která vytváříte pro průmysl procesní techniky. V chemickém průmyslu platí zvláště vysoké požadavky na ochranu lidí a životního prostředí. Návrh standardizovaného bezpečnostního obvodu není v žádném případě triviální. Této úlohy lze nejlépe dosáhnout pečlivým dodržením principů návrhu a spolehlivými údaji SIL, které lze použít pro výpočty. Rádi Vám poskytneme potřebné údaje pro posuzování rizik a také Vám pomůžeme při realizaci prostřednictvím osvědčených součástí a redundantních systémů.

Safety Integrity Level (SIL)

Aby systém v případě nouze neohrožoval lidi a životní prostředí, musíte jej systematicky navrhovat s ohledem na funkční bezpečnost. Zejména v chemickém průmyslu procesní techniky jsou proto specifikace SIL ústředním kritériem pro konstrukci zařízení.

SIL znamená Safety Integrity Level, v češtině: úroveň bezpečnostních požadavků. SIL je mezinárodní veličina, která se používá ke klasifikaci funkční bezpečnosti systému. Jsou čtyři úrovně, od SIL1 až po SIL4, které vyžaduje nejpřísnější opatření pro největší rizika. Konkrétně to znamená: Určíte přesné hodnocení rizika z pravděpodobnost selhání součástí, přijmete opatření k minimalizaci zbytkového rizika, vyberete vhodná zařízení a konečně opakovanými testy zajistíte, aby byly zachovány funkce SIL.

Bezpečnostní normy SIL

Klasifikace SIL se řídí dvěma mezinárodními normami: IEC 61508 a IEC 61511.

IEC 61508 („Funkční bezpečnost elektrických / elektronických / programovatelných elektronických systémů“) je základní normou. Popisuje posouzení rizik a opatření pro návrh příslušných bezpečnostních funkcí. Obsahuje také požadavky na jednotlivé komponenty bezpečnostního obvodu. Patří mezi ně snímače, jako jsou měřidla tlaku, teploty a hladiny nebo vyhodnocovací a výstupní jednotky či automatizované armatury.

Norma IEC 61511 („Funkční bezpečnost - bezpečnostní systémy pro průmysl procesní techniky“) platí konkrétně pro automatizaci procesní techniky. Jedná se zejména o aplikace s nízkými požadavky "Low Demand", které jsou v praxi pravidlem. V normě IEC 61511 najdete mimo jiné kritéria výběru čidel a akčních členů, například z hlediska provozní spolehlivosti.

Postup SIL ve čtyřech krocích

Jako zřizovatel nebo provozovatel zařízení, které by mohlo ohrozit zaměstnance, obyvatele nebo životní prostředí, musíte udržovat riziko co nejnižší. Normy IEC 61508 a 61511 k tomu předepisují čtyři základní kroky:

1. Definice a vyhodnocení rizika: Nejprve určíte příslušné pravděpodobnosti selhání všech komponent, od čidla přes řízení až po pohon - po celou dobu životnosti systému.

2. Stanovení a implementace opatření: Definujete a implementujete vhodná opatření k minimalizaci zbytkového rizika.

3. Použití vhodných zařízení: Předpokladem úspěšného testu obvodu SIL Vašeho systému jsou komponenty a sestavy, které jsou vhodné pro příslušnou úroveň a v případě potřeby certifikovány.

4. Opakovaná kontrola: Provozovatel ve stanovených intervalech kontroluje správné zachování bezpečnostních funkcí.

1. Definice a hodnocení rizik

Jaký potenciál nebezpečí představuje můj systém? Tuto otázku si musí položit každý konstruktér technologického zařízení v chemickém průmyslu. Na tyto otázky pomáhá odpovědět graf rizik, který v souladu s normami IEC 61508 a 61511 kombinuje čtyři definované parametry do rozhodovacího stromu:

1. Rozsah škod (S): Jak závažné jsou předvídatelné následky?

2. Pravděpodobnost přítomnosti (F): Jak často a jak dlouho se lidé zdržují v nebezpečné zóně?

3. Eliminace/prevence nebezpečí (P): Mohu události zabránit nebo ji omezit?

4. Pravděpodobnost výskytu (W): Jak často musím očekávat nehodu?

Praktické zkušenosti ukazují, že bezpečnostní rizika spočívají obvykle v detailech a často se projeví až během provozu. Systematická analýza může takové slabé stránky identifikovat už ve fázi projektování. S hodnocením rizik Vám pomůžeme v souladu se směrnicemi a ukážeme Vám, co můžemepro funkční bezpečnost ve vašem případě udělat - ať už prostřednictvím kompletních celků, promyšlených koncepcí automatizace nebo s jednotlivými komponenty. Už v této fázi nás můžete přizvat ke konzultaci.

2. Stanovení opatření a jejich provádění

Systematické hodnocení rizik Vašeho systému také ukazuje, které faktory zvyšují požadavky SIL. Některé z nich, například umístění výrobního provozu, jsou dány. Jiné lze změnit a situaci ovlivnit.

Je logické nejprve se podívat na pravděpodobnost selhání. Především můžete výrazně zvýšit disponibilitu a spolehlivost pomocí součástí odolných chybám a redundantních systémů. V závislosti na procesu mohou dokonce dávat smysl užitečná řešení, při nichž lze během provozu jednotlivé komponenty kontrolovat a vyměňovat je.

Použitá konstrukční bezpečnostní opatření - například prostřednictvím zařízení pro odlehčení tlaku - závisejí v jednotlivých případech na konkrétní výrobě. V zásadě lze zvážit, jak lze procesy navrhnout s co nejmenším rizikem. Rovněž jsou zde zahrnuta strukturální opatření a preventivní opatření, jako je odvětrání, ochrana proti přeplnění (např. u nádrží na kyselinu) nebo betonový plášť (pokud existuje nebezpečí výbuchu).

Rovněž je vhodné zvolit zařízení a komponenty, které byly vyzkoušeny a testovány v provozu, což zaručuje dlouhou a spolehlivě stabilní dobu chodu zařízení. Patří sem také materiály odolné teplotám, kyselinám a chráněné proti korozi. Kromě toho jsme vyvinuli řešení vyhovující standardům pro téměř všechny jednotlivé procesy, které se osvědčily v chemickém a elektrochemickém průmyslu: od ventilového terminálu s integrovaným vypnutím až po vysoce spolehlivé ovládání 2oo3.

3. Vhodná zařízení

Z definice úrovně integrity bezpečnosti také vyplývá, že návrh obvodu SIL musí dosáhnout této úrovně ve všech jednotlivých částech. To znamená: jako konstruktér potřebujete zařízení a komponenty s požadovanou úrovní SIL. To je potřeba prokázat:

  • Prohlášení výrobce: až do SIL2 si výrobci hodnotí svá zařízení sami. V případě SIL1 posuzuje techniku nezávislá osoba, v případě klasifikace SIL2 je to nezávislé oddělení.
  • Certifikát: od SIL 3 musí být každé zařízení, které používáte v bezpečnostním obvodu, certifikováno nezávislou institucí v souladu s normou IEC 61508. Například v Německu jsou to organizace TÜV nebo Exida.

Veškeré certifikáty SIL a prohlášení výrobce pro naše výrobky najdete po zadání typu výrobku nebo objednávacího čísla do vyhledávacího pole výše a na stránce podrobností k výrobku v části „Stahování a média“.

4. Periodické zkoušky

Bezpečnostní funkce Vašeho systému musí být pravidelně kontrolovány. To vyžadují zákonná nařízení bezpečnosti práce nebo předpisy pro prevenci úrazů; mohou platit také místní právní úpravy. Periiodický test SIL je primárně určen k prevenci úrazů, škod na majetku či životním prostředí, ale také slouží k zajištění spolehlivosti systému jako prevence neplánovaných prostojů a v neposlední řadě právní bezpečnosti techniků: V případě škod mohou testy prokázat, že porucha nebyla způsobena vadou zařízení nebo konstrukční vadou.

Testovací intervaly určuje sám provozovatel. Posouzení rizik probíhá mimo jiné podle bezpečnostních parametrů jednotlivých součástí SIL. Po konstrukční stránce mohou být velkou výhodou trvalá řešení, která lze v případě potřeby vyměnit bez přerušení provozu. Rádi Vám k našim výrobkům poskytneme časová doporučení.

SIL FAQ: dotazy a odpovědi

Co znamenají zkratky v certifikátu SIL?

Datové listy výrobků, certifikáty a modelové výpočty pro funkční bezpečnost používají řadu parametrů a pojmů. Zde jsou ty nejdůležitější pro výpočet SIL:

  • λ (četnost poruch), platí zde následující přiřazení: S pro celkový podíl bezpečných poruch, SD pro podíl bezpečných, detekovatelných poruch, SU pro podíl bezpečných, nezjistitelných poruch, D pro celkový podíl nebezpečných poruch, DD pro podíl nebezpečných, zjistitelných poruch a DU pro podíl nebezpečných, nezjistitelných poruch.

  • Typy zařízení: A je zkratka pro zařízení, ve kterém je dostatečně určeno chování při poruše všech použitých součástí a chování při poruše, např. na základě provozních zkušeností. Typ zařízení B na druhé straně znamená, že chování při poruše alespoň jedné použité součásti a chování v případě poruchy nejsou dostatečně určeny.

  • HFT (tolerance selhání hardwaru): schopnost pokračovat v požadované funkci v případě poruch a odchylek. U HFT0 může jediná chyba vést ke ztrátě bezpečnostní funkce (např. u zapojení 1oo1). U HFT1 dochází ke ztrátě bezpečnosti pouze v případě, že dojde k nejméně dvěma chybám současně (např. u zapojení 1oo2). U HFT2 by musely nastat nejméně tři chyby současně (například u zapojení 1oo3).

  • High Demand: provozní režim s vysokými požadavky nebo trvalými požadavky na bezpečnostní systém. Pracuje nepřetržitě nebo je vyžadován více než jednou ročně.

  • Low Demand: provozní režim s nízkými požadavky na bezpečnostní systém. Nesmí být vyžadován více než jednou ročně.

  • MTBF (střední doba mezi poruchami): průměrná doba mezi dvěma po sobě následujícími poruchami.

  • PFD (Probability of Failure on Demand): pravděpodobnost selhání bezpečnostní funkce při nízkém počtu požadavků (<10 požadavků/rok) = Low Demand.

  • PFH (Probability of Failure per Hour): pravděpodobnost selhání bezpečnostní funkce při nepřetržitém používání (> 10 požadavků/rok) = High Demand.

  • SFF (Safe Failure Fraction): podíl bezpečných chyb na celkovém počtu chyb.

Z čeho se skládá bezpečnostní systém?


Zpravidla se obvod SIL skládá ze tří segmentů:

  • čidla (např. manometry, teploměry a hladinoměry)
  • vyhodnocovací a výstupní jednotka (např. bezpečnostní PLC)
  • automatizovaná armatura obsahující elektromagnetický ventil, pohon a armaturu.

Jak jsou PFD/PFH distribuovány do subsystémů?

Rozdělení pravděpodobností poruch mezi subsystémy bezpečnostní funkce je v jednokanálových systémech následující - největší váha se klade na poruchovost SD u akčních členů.

SIL Safety integrated system

Kde jsou hodnoty pro výpočet SIL?

Všechny pravděpodobnosti selhání, které potřebujete pro výpočet SIL, najdete v prohlášeních nebo certifikátech od výrobce (zvýrazněno modře). Z toho můžete vypočítat celkovou pravděpodobnost selhání (hodnoty zvýrazněné šedě) v závislosti na SIL.

Výpočet SIL

Kdy jsou vyžadovány certifikáty?

Čím vyšší je požadovaná úroveň bezpečnosti systému, tím vyšší nároky to také klade na nezávislost orgánu, který hodnotí funkční bezpečnost. Podle IEC 61511 jsou prohlášení výrobce až do SIL2 zcela dostačující. Od SIL3 je vyžadován certifikát od nezávislé organizace, třeba TÜV nebo Exida.

Safety Integrity Level - hodnotící orgán

SIL 1 - nezávislá osoba

SIL 2 - nezávislé oddělení

SIL 3 - nezávislá organizace

SIL 4 - nezávislá organizace

Kde jsou certifikáty SIL?

Certifikáty SIL a prohlášení výrobce SIL pro výrobky Festo najdete na stránce podrobností k příslušnému výrobku v části „Stahování a média“, kategorie „Certifikáty“.

Jak mohu ovládat akční členy redundantně?

SIL

Jaká řešení redundance SIL má společnost Festo?

SIL: redundantní ventilový blok

Poskytneme Vám ten správný redundantní řídicí systém pro každý bezpečnostní požadavek:

Redundantní blok NAMUR (1oo2, 2oo2): blok NAMUR umožňuje instalaci dvou elektromagnetických ventilů s připojovacím schématem NAMUR, které jsou redundantně propojeny přes rozhraní NAMUR. Bloky jsou k dispozici s funkcí fail-safe (1oo2) nebo se zvýšenou disponibilitou (2oo2). Blok můžete přes rozhraní upevnit přímo na otočný pohon. Je také možná samostatná instalace s příslušným potrubím.

Redundantní řadové ventily (1oo2, 2oo2): u těchto kompaktních systémů používáme osvědčenou technologii ventilů VOFD. Ventil je zapojen redundantně a zajišťuje pro automatizované armatury redundantní funkci fail-safe (1oo2) nebo zvýšenou disponibilitu (2oo2). Ventil s povlakem Ematal splňuje nejvyšší bezpečnostní standardy v procesní technice a vydrží i ty nejnáročnější podmínky prostředí.

Kombinovaný ventilový blok (2oo3): Systém 2oo3 kombinuje obě technologie a poskytuje tak maximální bezpečnost a disponibilitu. Tento ventilový blok je samostatná varianta, která se připojuje do Vašeho zařízení. Vestavěné standardní ventily jsou definovány rozhraním NAMUR podle VDI/VDE 3845 a montují se na blok. To znamená: blok se instaluje jen jednou, mění se pouze ventily na rozhraní podle životnosti/plánované bezpečnostní životnosti. U tohoto systému můžete navíc obejít obtokem funkce čtyř ventilů, abyste mohla během provozu probíhat údržba. Ukazatele tlaku namontované přímo na bloku Vám přehledně a spolehlivě signalizují, zda je na ventilu tlak.

Kdo by to měl vědět?

Než se rozhodnete pro Festo, neváhejte získat názory svých odborníků. Naše navrhovaná řešení a příklady aplikací můžete snadno předat: tímto odkazem