Instrumentele Beveiligingen

Instrumentele Beveiligingen

Men spreekt van “functionele veiligheid” wanneer de veiligheid afhankelijk is van de juiste werking van een geautomatiseerde systeem, bestaande uit  elektrische (E), elektronische (E) en/of programmeerbaar elektronische (PE) componenten (afgekort: E/E/PE-systeem). Functionele veiligheid wordt bereikt als het proces in een veilige toestand komt als gevolg van het inkomen van een instrumentele beveiliging.

Instrumentele beveiligingen worden toegepast om reden van veiligheid maar ook om het milieu te beschermen of om equipmentschade en derving te voorkomen. Als ondanks een zo goed mogelijk procesontwerp, besturingssysteem en operator bewaking het proces in een gevaarlijke toestand komt is ingrijpen van een procesbeveiliging, ofwel instrumentele beveiliging (SIS = Safety Instrumented System) nodig.

Onafhankelijke beschermingslagen

Een instrumenteel beveiligingssysteem (SIS) verzorgt functies voor het bereiken of behouden van een veilige staat van het proces wanneer dreigende onacceptabele of gevaarlijke procescondities worden gedetecteerd. Het SIS werkt gescheiden en onafhankelijk van de reguliere procesbesturingssystemen maar zijn samengesteld uit vergelijkbare elementen. Een instrumenteel veiligheidssysteem (SIS) kan uit drie delen bestaan:

  1. sensor (drukmeting);
  2. logic solver (rekenblok);
  3. eindelement (klep).

De sensor dient om de procescondities te detecteren. De logic solver (ofwel rekenblok) ontvangt de signalen van de sensor, neemt beslissingen gebaseerd op deze signalen en verandert de outputsignalen op basis van de van tevoren gedefinieerde logica. Het signaal van de logic solver veroorzaakt dat het eindelement (bijvoorbeeld een klep) ingrijpt in het proces, om een veilige staat te bereiken.

De IEC-61508 en IEC-61511 normen stellen eisen aan de instrumentele beveiligingen. Volgens deze normen moet een risico gebaseerde aanpak toegepast worden. Hoe hoger het risico des te betrouwbaarder dient de beveiliging te zijn. Hierbij zijn de overige (niet instrumentele) beveiligingen ook van belang. Een SIL analyse is een goede manier om vast te stellen of aanwezige functionele veiligheden voldoende veiligheid en risicoreductie garanderen. Een SIL assessment in de industriële sector wordt inmiddels steeds meer toegepast. Een SIL assessment bestaat uit drie hoofdbestanddelen:

  • Analyseren van de mogelijke risico’s / ongewenste gebeurtenissen.
  • SIL-classificatie: vaststellen welk veiligheidsniveau vereist is om de risico’s te beheersen.
  • SIL-verificatie: vaststellen of het ontwerp of de uitvoering van de functionele veiligheid de vereiste veiligheid biedt.

Voor meer informatie over SIL assessments, zie de daarvoor bestemde site.

Begrip Fail-Safe.
Afsluiters die deel uitmaken van het veiligheidssysteem worden meestal fail-safe uitgevoerd. Dit houdt in dat de afsluiter naar een veilige situatie gaat wanneer de aansturing wegvalt, bijvoorbeeld door een (tijdelijke) stop in de energietoevoer of wanneer de luchtdruk (bij luchtdrukgestuurde afsluiters) wegvalt. In het algemeen geldt dat de fail-safe positie van afsluiters ervoor zorgt dat geen energie (reactant, verwarmingsmedium) meer naar het systeem toegevoerd wordt, dat de toevoer van koelmedium geopend wordt en dat bij een mogelijke drukopbouw bij een ingesloten systeem deze druk veilig afgevoerd wordt naar verwerkings- of opvangsystemen (blow-down naar fakkel, dumpvat etc.).

SIL gecertificeerde componenten.
Onderdelen moeten gecertificeerd ( of “proven in use”) zijn om aan te tonen aan welk SIL-niveau het voldoet. Deze certificering moet zijn uitgevoerd door een erkend bureau zoals KEMA of Lloyds. De SIL-verificatie dient te geschieden door een gecertificeerde functional safety engineer.

Indien met de afzonderlijke onderdelen het gewenste SIL-niveau niet bereikt wordt, kan besloten worden om de onderdelen dubbel uit te voeren, waardoor de failure on demand (= faalkans bij aanspraak) statistisch daalt. Opnemers zijn doorgaans niet boven het niveau SIL 2 verkrijgbaar, waardoor deze zonodig dubbel of zelfs driedubbel worden uitgevoerd. Logic solvers zijn beschikbaar in hoge SIL-niveaus tot zelfs SIL 4. Hierdoor is het mogelijk een logic solver toe te passen die voldoet aan het gewenste SIL-niveau. Eindelementen voldoen vaak maximaal aan SIL 2. Om een hoger niveau te bereiken moet deze dubbel worden uitgevoerd. Indien een afsluiter gesloten moet worden, wordt deze dubbel in serie uitgevoerd, zodat bij falen van één van de kleppen de andere alsnog voor afsluiting van de leiding zorgt. Indien een afvoer geopend moet worden, wordt de afsluiter parallel uitgevoerd, zodat bij falen van een afsluiter via de andere afgevoerd kan worden.

Overige aspecten.

  • Safety life cycle: zorg voor het functioneren van de SIS vanaf de basic engineering fase, gedurende het gebruik in de commissioning, productie, onderhoud tot en met buiten gebruik stellen.
  • Functionele eisen: ontwerp, het gebruik, overbruggingen, onderhoud, startup procedure, kalibraties, dynamiek in het proces;
  • Periodieke activiteiten: testen, onderhoud, kalibraties, evaluaties, implementeren van verbeteringen.
  • Managementactiviteiten waarborgen: bekwaamheid personeel, planning, etc.
  • Documentatie: vastleggen en controleren van relevante informatie gedurende de hele Safety Lifecycle;
  • Overall safety lifecycle of IEC 61508 [39]

Safety Lifecycle, volgens IEC-61511

Let op:
Uit onderzoek is gebleken dat veel ongevallen gebeuren door verkeerd omgaan met de techniek: een slechte specificatie van de (instrumentele) beveiligingen of onzorgvuldig geïmplementeerde modificaties. Er dient gewerkt dient te worden volgens een kwaliteitssysteem met juiste procedures, tijdens de gehele lifecycle van de beveiliging.

SRCM levert een gecertificeerde Functional Safety Engineer (TÜV Rheinland ).

Wij kunnen u helpen om te voldoen aan de IEC-61511 norm.