SIL w automatyzacji procesów

Bezpieczeństwo funkcjonalne odgrywa kluczową rolę we wszystkich instalacjach budowanych przez Państwa dla przemysłu procesowego. W przemyśle chemicznym obowiązują szczególnie wysokie wymagania w zakresie ochrony ludzi i środowiska. Zaprojektowanie systemu bezpieczeństwa zgodnego z normą nie jest bynajmniej trywialne. Zadanie to najlepiej wykonać stosując rozważne zasady projektowania i wiarygodne dane SIL, na podstawie których można dokonać obliczeń. Chętnie udostępnimy Państwu dane niezbędne do oceny ryzyka, a także wesprzemy Państwa w realizacji dzięki naszym sprawdzonym w praktyce komponentom i redundantnym systemom.

Safety Integrity Level (SIL)

Aby zagwarantować, że system nie będzie stanowił zagrożenia dla ludzi i środowiska w sytuacjach awaryjnych, należy systematycznie projektować go pod kątem bezpieczeństwa funkcjonalnego. Szczególnie w przemyśle chemicznym, specyfikacje SIL są głównym kryterium przy projektowaniu instalacji.

SIL to skrót od Safety Integrity Level. SIL jest międzynarodową metryką używaną do klasyfikacji bezpieczeństwa funkcjonalnego systemu. Istnieją cztery takie poziomy, od SIL1 do SIL4, który wymaga najbardziej rygorystycznych środków w przypadku najwyższego ryzyka. Konkretnie oznacza to, że należy określić dokładną ocenę ryzyka na podstawie prawdopodobieństwa awarii komponentów, podjąć środki w celu zminimalizowania ryzyka szczątkowego, wybrać odpowiednie urządzenia i wreszcie zapewnić prawidłową zgodność z funkcjami SIL w testach powtarzalnych.

SIL - Normy bezpieczeństwa

Klasyfikacja SIL jest zgodna z dwoma międzynarodowymi standardami: IEC 61508 i IEC 61511.

Norma IEC 61508 ("Bezpieczeństwo funkcjonalne systemów elektrycznych/elektronicznych/programowalnych systemów elektronicznych") jest normą podstawową. Opisano w niej ocenę ryzyka i środki służące do zaprojektowania odpowiednich funkcji bezpieczeństwa. Dlatego zawiera ona również wymagania dla poszczególnych elementów obwodu bezpieczeństwa. Należą do nich czujniki takie jak ciśnieniomierze, mierniki temperatury i poziomu lub jednostki analizujące i wyjściowe, jak również zautomatyzowana armatura.

Norma IEC 61511 ("Functional safety – safety instrumented systems for the process industry sector") dotyczy w szczególności automatyki procesowej. W tym przypadku chodzi głównie o aplikacje o małym zagrożeniu i niższych wymaganiach, które w praktyce są regułą. W normie IEC 61511 można znaleźć między innymi kryteria doboru czujników i elementów wykonawczych, na przykład pod względem niezawodności działania.

Procedura SIL w czterech krokach

Jako instalator lub operator systemu, który może zagrażać pracownikom, mieszkańcom lub środowisku, musisz zadbać o to, aby ryzyko było jak najmniejsze. Normy IEC 61508 i 61511 zalecają cztery zasadnicze kroki w tym kierunku:

1. Definicja i ocena ryzyka: Najpierw należy określić odpowiednie prawdopodobieństwo awarii wszystkich komponentów - od czujnika, przez układ sterowania, po siłownik - w całym okresie eksploatacji systemu.

2. Określenie i wdrożenie środków: Określenie i wdrożenie odpowiednich środków w celu zminimalizowania ryzyka szczątkowego.

3. Użycie odpowiedniego sprzętu: Warunkiem wstępnym pomyślnego przeprowadzenia testów obwodów SIL w Państwa zakładzie są komponenty i zespoły, które są odpowiednie dla danego poziomu i jeśli to wymagane, certyfikowane .

4. Kontrola okresowa: Operator w określonych odstępach czasu sprawdza prawidłowość działania funkcji bezpieczeństwa.

1. Definicja i ocena ryzyka

Jakie potencjalne zagrożenia stwarza mój system? Jest to pytanie, które musi sobie zadać każdy inżynier instalacji procesowej w przemyśle chemicznym. W znalezieniu odpowiedzi może pomóc graf ryzyka, który łączy cztery zdefiniowane parametry w drzewo decyzyjne zgodnie z normami IEC 61508 i 61511:

1. Ciężkość urazów (S): Jak poważne są przewidywalne konsekwencje?

2. Częstość narażenia na zagrożenie (F): Jak często i jak długo ludzie pozostają w strefie zagrożenia?

3. Możliwość uniknięcia zagrożenia (P): Czy mogę zapobiec zdarzeniu lub je ograniczyć?

4. Prawdopodobieństwo wystąpienia zagrożenia (W): Jak często należy spodziewać się wystąpienia danego zagrożenia?

Doświadczenie praktyczne pokazuje, że zagrożenia dla bezpieczeństwa dotyczą głównie szczegółów i często wychodzą na jaw dopiero podczas eksploatacji. Takie słabe punkty można zidentyfikować, przeprowadzając systematyczną analizę już na etapie planowania. W Festo oferujemy wsparcie w postaci ocen ryzyka zgodnych z normami oraz rozwiązań w zakresie bezpieczeństwa funkcjonalnego dostosowanych do potrzeb klienta, zarówno w postaci kompletnych rozwiązań systemowych, starannie przemyślanych koncepcji automatyki, jak i pojedynczych komponentów. Zapraszamy do konsultacji z nami już na tym etapie.

2. Określenie środków ochronnych i ich wdrożenie

Systematyczna ocena ryzyka w zakładzie pokazuje również, które czynniki wpływają na podwyższenie wymagań SIL. Niektóre z nich są stałe, na przykład miejsce produkcji. Inne to czynniki, które można zmienić.

Pierwszą rzeczą, na którą należy zwrócić uwagę, jest prawdopodobieństwo wystąpienia awarii. Dostępność i niezawodność można znacznie zwiększyć, koncentrując się przede wszystkim na komponentach odpornych na błędy i systemach redundantnych. W zależności od procesu przydatne mogą być nawet rozwiązania, które umożliwiają testowanie i wymianę poszczególnych elementów podczas pracy.

Strukturalne środki bezpieczeństwa - takie jak ciśnieniowe systemy odciążeniowe - zależą w każdym przypadku od specyfiki produkcji. Zasadniczo można rozważyć, w jaki sposób zaprojektować procesy, aby były obarczone jak najmniejszym ryzykiem. W rozważaniach należy uwzględnić środki konstrukcyjne i zapobiegawcze, np. wyciągi, zabezpieczenia przed przepełnieniem (np. w przypadku zbiorników z kwasem) lub betonową obudowę (w przypadku zagrożenia wybuchem).

Zaleca się również wybór urządzeń i komponentów o sprawdzonej wydajności, które zagwarantują długi i niezawodny okres eksploatacji systemu. Obejmuje to materiały odporne na temperaturę, kwasoodporne i zabezpieczone przed korozją. Ponadto opracowaliśmy zgodne ze standardami rozwiązania dla niemal wszystkich procesów indywidualnych, które sprawdziły się w przemyśle chemicznym i elektrochemicznym - od wysp zaworowych ze zintegrowanym odcięciem po wysoce niezawodne sterowanie 2oo3.

3. Odpowiednie urządzenia

Z definicji poziomu nienaruszalności bezpieczeństwa wynika również, że projekt obwodu SIL musi osiągnąć ten poziom we wszystkich poszczególnych częściach. Oznacza to, że jako inżynier potrzebujesz urządzeń i komponentów o odpowiednim poziomie SIL. Musisz być w stanie to udokumentować:

  • Deklaracja producenta: producenci sami oceniają swoje urządzenia do poziomu SIL2. W przypadku SIL1 ocenę techniczną przeprowadza niezależna osoba, a w przypadku klasyfikacji SIL2 - niezależny dział.
  • Certyfikat: dla SIL3 i wyższych, każde urządzenie stosowane w obwodzie bezpieczeństwa musi być certyfikowane przez niezależną instytucję zgodnie z IEC 61508. W Niemczech może to być na przykład Niemiecki Urząd Kontroli Technicznej (TÜV) lub Exida.

Wszystkie certyfikaty SIL i deklaracje producenta dla naszych produktów można znaleźć wpisując typ produktu lub numer części w wyszukiwarce powyżej oraz na stronie produktu w zakładce "Pliki do pobrania i media".

4. Kontrola okresowa

W regularnych odstępach czasu należy sprawdzać funkcje bezpieczeństwa systemu. Wymagają tego jedynie przepisy prawne z rozporządzenia o bezpieczeństwie pracy lub przepisy o zapobieganiu wypadkom; w pewnych okolicznościach obowiązują również lokalne przepisy prawne. Głównym celem powtarzających się badań SIL jest zapobieganie obrażeniom ciała, uszkodzeniom mienia i środowiska, ale także zapewnienie niezawodności systemu poprzez zapobieganie nieplanowanym przestojom oraz, co nie mniej ważne, zapewnienie bezpieczeństwa prawnego inżynierom. W przypadku wystąpienia szkody, testy te mogą udowodnić, że nieprawidłowe działanie nie zostało spowodowane wadami urządzenia lub projektu.

Częstotliwość przeglądów jest ustalana przez użytkownika. Ocenę ryzyka przeprowadza się m.in. na podstawie parametrów bezpieczeństwa poszczególnych elementów SIL. Z punktu widzenia projektowania bardzo korzystne może być posiadanie trwałych rozwiązań, które w razie potrzeby można wymienić bez przerywania pracy. Chętnie udzielimy Państwu rekomendacji dotyczących naszych produktów.

SIL-FAQ: Pytania i odpowiedzi

Co oznaczają kody na certyfikacie SIL?

W kartach danych produktu, certyfikatach i modelach obliczeniowych dotyczących bezpieczeństwa funkcjonalnego używa się wielu kluczowych liczb i terminów. Oto najważniejsze z nich przy obliczaniu SIL:

  • λ (wskaźnik awaryjności ), stosuje się następujące klasyfikacje: S - ogólny wskaźnik bezpiecznych uszkodzeń; SD - wskaźnik bezpiecznych, wykrytych uszkodzeń; SU - wskaźnik bezpiecznych, niewykrytych uszkodzeń; D - ogólny wskaźnik niebezpiecznych uszkodzeń; DD - wskaźnik niebezpiecznych, wykrytych uszkodzeń; DU - wskaźnik niebezpiecznych, niewykrytych uszkodzeń.

  • Typy urządzeń: A jest skrótem oznaczającym urządzenie, w którym zachowanie się wszystkich użytych elementów w przypadku awarii oraz zachowanie przy usterkach zostało dostatecznie określone, np. na podstawie doświadczenia eksploatacyjnego. Z kolei typ urządzenia B oznacza, że nie określono w wystarczającym stopniu zachowania się w przypadku awarii co najmniej jednego z zastosowanych komponentów oraz zachowania się w przypadku wystąpienia usterki.

  • HFT (Hardware Failure Tolerance): zdolność do kontynuowania wykonywania wymaganej funkcji w przypadku wystąpienia błędów i odchyleń. W przypadku HFT0 pojedynczy błąd może doprowadzić do utraty funkcji bezpieczeństwa (np. w obwodach 1oo1). W przypadku HFT1 utrata bezpieczeństwa występuje tylko wtedy, gdy jednocześnie wystąpią co najmniej dwa błędy (np. w obwodach 1oo2). W przypadku HFT2 muszą wystąpić jednocześnie co najmniej trzy usterki (np. w obwodach 1oo3).

  • High Demand (Wysokie zapotrzebowanie): tryb pracy z wysoką częstotliwością żądań lub ciągłymi żądaniami aktywacji systemu bezpieczeństwa. Działa on w sposób ciągły lub jego aktywacja jest wymagana częściej niż raz w roku.

  • Low Demand (Niskie zapotrzebowanie): tryb pracy z niską częstotliwością żądań aktywacji systemu bezpieczeństwa. Tryb ten nie może być aktywowany częściej niż raz w roku.

  • MTBF (Mean Time Between Failure): średni czas pomiędzy dwoma kolejnymi awariami.

  • PFD (Probability of Failure on Demand): prawdopodobieństwo awarii funkcji bezpieczeństwa przy niskim poziomie zapotrzebowania (< 10 zapotrzebowań/rok) = Low Demand.

  • PFH (Probability of Failure per Hour): prawdopodobieństwo awarii funkcji bezpieczeństwa przy pracy ciągłej (> 10 zapotrzebowań/rok) = High Demand.

  • SFF (Safe Failure Fraction): udział bezpiecznych awarii w całkowitej liczbie awarii.

Co składa się na system bezpieczeństwa?


Z reguły obwód SIL składa się z trzech segmentów:

  • Czujniki (np. czujniki ciśnienia, temperatury i poziomu)
  • Jednostka obliczeniowa i wyjściowa (np. sterownik PLC bezpieczeństwa)
  • Zautomatyzowany zespół zaworu procesowego zawierający zawór elektromagnetyczny, siłownik i zawór procesowy

Jaki jest rozkład PFD/PFH dla podsystemów?

W przypadku systemów jednokanałowych rozkład prawdopodobieństwa awarii dla podsystemów funkcji bezpieczeństwa jest następujący: największą wagę przypisuje się współczynnikowi awarii SD siłowników.

SIL Safety integrated system

Gdzie można znaleźć wartości do obliczeń SIL?

Wszystkie prawdopodobieństwa awarii, które są potrzebne do obliczenia SIL można znaleźć w deklaracjach lub certyfikatach producenta (zaznaczone na niebiesko). Można je wykorzystać do obliczenia całkowitego prawdopodobieństwa wystąpienia awarii (wartości zaznaczone na szaro) zgodnie z SIL.

SIL-Obliczenia

Kiedy wymagane są certyfikaty?

Im wyższy jest wymagany poziom bezpieczeństwa systemu, tym wyższe są wymagania normy dotyczące niezależności jednostki oceniającej bezpieczeństwo funkcjonalne. Zgodnie z normą IEC 61511, deklaracje producenta są całkowicie wystarczające do poziomu SIL2. W przypadku SIL3 i wyższych certyfikat musi być wydany przez niezależną organizację, taką jak TÜV lub Exida.

Safety Integrity Level - jednostka oceniająca

SIL 1 - niezależna osoba

SIL 2 - niezależny dział

SIL 3 - niezależna organizacja

SIL 4 - niezależna organizacja

Gdzie znajdują się certyfikaty SIL?

Certyfikaty SIL i deklaracje producenta SIL dla produktów Festo można znaleźć na odpowiedniej stronie produktu w sekcji "Pliki do pobrania i media", kategoria "Certyfikaty".

Jak można sterować napędami w sposób redundantny?

SIL

Jakie rozwiązania w zakresie redundancji SIL oferuje Festo?

SIL: redundantny blok zaworowy

Festo oferuje odpowiednie sterowanie redundantne spełniające wszystkie wymagania w zakresie bezpieczeństwa:

Redundantny blok NAMUR (1oo2, 2oo2): Blok NAMUR umożliwia instalację dwóch zaworów elektromagnetycznych z układem przyłączy NAMUR, które są połączone redundantnie poprzez interfejs NAMUR. Bloki są dostępne w wersji z funkcją fail-safe (1oo2) lub z podwyższoną dostępnością (2oo2). Blok można zamontować bezpośrednio na napędach ćwierćobrotowych za pomocą interfejsu NAMUR. Możliwa jest również oddzielna instalacja z wykorzystaniem przewodów pneumatycznych.

Redundantne zawory inline(1oo2, 2oo2): W tych kompaktowych systemach Festo wykorzystuje sprawdzoną technologię zaworów VOFD. Zawór jest w wersji redundantnej i zapewnia redundantną funkcję awaryjną (1oo2) lub zwiększoną dostępność (2oo2) dla zautomatyzowanych zaworów procesowych. Dzięki powłoce Ematal zawory te spełniają najwyższe standardy bezpieczeństwa w automatyzacji procesów i są odporne na najtrudniejsze warunki otoczenia.

Kombinowany blok zaworowy (2oo3): System 2oo3 łączy w sobie obie technologie i dzięki temu zapewnia maksymalne bezpieczeństwo i dostępność. Ten blok zaworowy jest wariantem typu in-line, zintegrowanym z systemem. Zainstalowane zawory standardowe są definiowane i montowane na bloku za pomocą interfejsu NAMUR zgodnie z normą VDI/VDE 3845. Oznacza to, że blok jest instalowany raz, a jedynie zawory są wymieniane za pośrednictwem interfejsu zgodnie z planem cyklu eksploatacyjnego/bezpieczeństwa. W tym systemie można również pominąć funkcje czterech zaworów, tak aby konserwacja mogła być przeprowadzana podczas pracy. Wskaźniki ciśnienia zamontowane bezpośrednio na bloku zaworowym zawsze niezawodnie i szybko informują, czy zawór jest pod ciśnieniem.

Czy ktoś jeszcze powinien o tym usłyszeć?

Skonsultuj się ze specjalistami, aby dowiedzieć się, co Festo może Ci zaoferować. Wystarczy podzielić się naszymi zalecanymi rozwiązaniami i przykładami zastosowań, korzystając z tego linku. .