SIL-classificatie en verificatie

SIL classificatie en verificatie.

De betekenis van SIL

De afkorting SIL staat voor ‘Safety Integrity Level’. Indien alle niet-procesbeveiligingen uitvallen, blijft er een restrisico over dat door de procesbeveiliging (instrumentele beveiliging) afgedekt dient te worden. Het Safety Integrity Level is een maat voor dit restrisico. Het SIL-niveau bepaalt de betrouwbaarheid die de procesbeveiliging moet hebben. De classificatie wordt weergegeven in 4 verschillende levels, SIL 1 t/m SIL 4.

Het Safety Integrity Level geeft hiermee aan in hoeverre de eindgebruiker kan verwachten dat het betreffende instrumentatie veilig werkt, en dat het, in het geval van een falen, op een veilige manier faalt. De bepaling van Safety Integrity Levels is vastgelegd in de standaarden IEC 61508 en IEC 61511. Transmitters en meet- en controlesystemen zijn voorbeelden van instrumenten die onderdeel kunnen zijn van een systeem dat gecertificeerd kan worden volgens de SIL-criteria. Een SIL gecertificeerd systeem geeft dus aan dat het systeem de beoogde veiligheidsfuncties correct uitvoert.Ter verduidelijking wordt er verwezen naar onderstaande tabel, waarin de verschillende SIL-levels zijn uitgewerkt.

SIL classificatie en verificatie

Voor een SIL classificatie en verificatie worden de volgende stappen doorlopen:

Stap 1: Risicobeoordeling.
Hierbij worden de mogelijke risico’s en ongewenste gebeurtenissen geanalyseerd. Veelal gebeurt dit met een HAZOP en/of LOPA studie. Indien er aanvullende (instrumentele) beveiligingen nodig zijn, dan kan daarvan een SIL classificatie uitgevoerd worden.

Stap 2: SIL-classificatie.
Wanneer er aanvullende risicoreducerende maatregelen moeten worden genomen, dan kan gekozen worden voor een instrumentele beveiliging. Hiervan dient dan de te behalen risicoreductie ofwel betrouwbaarheid vastgesteld te worden. Dit wordt uitgedrukt in een Safety Integrity Level (SIL). Er zijn vier niveau’s: SIL 1 t/m SIL 4, waarbij SIL 1 het laagste en SIL 4 de hoogste mate van risicoreductie met zich meebrengt. Naarmate het SIL-niveau hoger wordt neemt de eis aan de beschikbaarheid van de functionele veiligheid toe. De SIL-classificatie wordt gewoonlijk toegepast voor afdekken van risico’s op gebied van veiligheid, milieu en soms voor financiën.

Stap 3: Aanpassen proces of toewijzen extra beveiligingen
Risico’s kunnen gereduceerd worden door het proces aan te passen (inherent beveiligen heeft de voorkeur) of door het aanbrengen van mechanische en/of instrumentele beveiligingen. Bij het ontwerp moet aandacht zijn voor de volgende zaken:

  • Houdt de procesbeveiliging volledig gescheiden van de regeling, dus zowel de meter, de logic solver als het eindelement. Dit voorkomt dat bij failure on demand van één van de onderdelen zowel de regeling als de beveiliging onterecht niet ingrijpt.
  • Identieke apparaten kunnen dezelfde ontwerpfout (common mode failure) hebben. Voorkom dit door de regeling en de beveiliging niet uit te rusten met dezelfde soort meting of afhankelijk te maken van dezelfde energievoeding. Een common mode failure kan voorkomen worden door beveiliging en regeling uit te rusten met een meting gebaseerd op een ander principe of anders aangedreven, bijvoorbeeld door de beveiliging pneumatisch aan te drijven en de regeling elektrisch.
  • Plaats de meting van de regeling en van de beveiliging op afzonderlijke meetleidingen. Dit voorkomt een meetfout door verstopping van de leiding.
  • Stel de beveiliging zodanig in, dat ongewenst ingrijpen wordt voorkomen. Bijvoorbeeld in het geval dat de druk regelmatig kort boven de ingestelde waarde komt en vanzelf weer daalt, kan ongewenst ingegrepen worden door de procesbeveiliging. In dit geval kan bijvoorbeeld overwogen worden de instelling aan te passen.
  • Houdt bij het ontwerp rekening met wat er gebeurt met het proces nadat deze is stopgezet. Bijvoorbeeld nadat de verwarming is uitgezet kan de temperatuur nog verder oplopen door reacties in het proces.

Stap 4: SIL-verificatie.
Als er een instrumentele beveiliging is ontworpen, dient er geverifieerd te worden of deze voldoet aan eisen zoals vermeld in de IEC-61508 of IEC-61511.Hierbij wordt getoetst of het ontwerp van functionele veiligheid de vereiste bescherming biedt. Indien dit het geval is kan hiervoor een certificering worden afgegeven.

  • De beveiliging moet functioneel voldoen.
  • De beveiliging dient onafhankelijk van het regelsysteem te zijn.
  • De beveiliging moet voldoen aan architectuur eisen (redundantie).
  • De faalkans op aanspraak dient voldoende laag zijn, met in acht nemen van het periodiek testen.
  • Voor de SIL klasse dient aan alle bovenstaande eisen voldaan te worden.

Bij de SIL-verificatie wordt eveneens beoordeeld of aan de veiligheidseisen wordt voldaan, zoals vastgelegd in de SRS (Safety Requirement Specification). De veiligheidseisen (SRS: 61511-1, 10.3.1) moeten bijvoorbeeld de volgende onderdelen bevatten:

  • Een beschrijving van de safety instrumented function.
  • Een definitie van de veilige toestand van het proces.\
  • De responsietijd voor een safety instrumented function om een proces in een veilige toestand te brengen.
  • De wijze van bedrijfsvoering (op afroep/continu).
  • Uitschakelen (of in sommige gevallen, bekrachtigen) om het proces stil te leggen.
  • De eisen voor het resetten van de SIS na een shutdown.
  • De eisen aan de software.
  • De omgevingsomstandigheden (temperatuur, EMC, schokken, trillingen, elektrostatische ontlading).
  • Common cause (beta factor) gegevens.
  • Tijdsduur van de verificatiebeproeving
  • Gemiddelde tijd nodig om te repareren (MTTR).
  • Etc.

Voor aanvullende informatie zie ook de SRCM pagina over Functional Safety.

SRCM levert een gecertificeerde Functional Safety Engineer (TÜV Rheinland ).

Wij kunnen u helpen bij de SIL classificatie en verificatie volgens de IEC-61508 en IEC-61511 normen.