Safety Integrity Level Analyse
Veiligheid is uitermate belangrijk voor complexe installaties. Het SIL-niveau is een maat voor de bedrijfszekerheid van een functionele veiligheid. Een SIL analyse is een goede manier om vast te stellen of aanwezige functionele veiligheden voldoende veiligheid en risicoreductie garanderen. Een SIL assessment in de industriële sector wordt inmiddels steeds meer toegepast. Een SIL assessment bestaat uit drie hoofdbestanddelen:
- Analyseren van de mogelijke risico’s / ongewenste gebeurtenissen;
- SIL-classificatie: vaststellen welk veiligheidsniveau vereist is om de risico’s te beheersen;
- SIL-verificatie: vaststellen of het ontwerp of de uitvoering van de functionele veiligheid de vereiste veiligheid biedt.
1. Inleiding
Veiligheid wordt een steeds belangrijker aspect in industriële omgevingen. Een SIL analyse (Safety Integrity Level) is een goede manier om vast te stellen of aanwezige functionele veiligheden voldoende veiligheid en risicoreductie garanderen. Een SIL assessment wordt in de industriële sector inmiddels steeds meer toegepast. De norm EN-IEC 61508 legt de eisen vast waaraan functionele veiligheden moeten voldoen en de werkwijzen die gevolgd kunnen worden om een SIL analyse uit te voeren. De norm EN-IEC 61508 is een algemene norm over functionele veiligheid. De normen EN-IEC 62061 (machineveiligheid) en EN-IEC 61511 (procesveiligheid) zijn daarvan afgeleid en bieden een concretere invulling.
2. Wat is functionele veiligheid?
Veiligheid is in essentie gevrijwaard blijven van onacceptabele risico’s zoals lichamelijk letsel en andere gezondheidseffecten, direct danwel indirect.
Veiligheid in industriële omgevingen kan uit veel onderdelen bestaan. Te denken valt aan een goede procesbesturing, preventieve maatregelen ter voorkoming van ongelukken, noodmaatregelen indien zich een incident voordoet, evacuatieprocedures etc. Al deze verschillende typen maatregelen vormen samen een aantal ‘layers of defence’, ook wel ’layers of protection’ genoemd. Doelstelling daarvan is om risico’s vooraf te voorkomen en/of bij optreden te beheersen. Dit zijn daarom in feite allemaal risicoreducerende maatregelen.
Een wat formele definitie van functionele veiligheid luidt als volgt: functionele veiligheid is dat deel van de totale veiligheid dat afhangt van geautomatiseerde systemen, waarin het systeem op basis van inputwaarden op een bepaalde manier reageert.
Twee voorbeelden:
- Een drukbeveiliging die bij een te hoge temperatuur in een verbrandingsketel aanspreekt, waardoor kleppen in de gastoevoerleiding worden gesloten, is een functionele veiligheid
- Een temperatuurbeveiliging in de windingen van een elektromotor die bij een hoge temperatuur de motor uitschakelt ter voorkoming van oververhitting is een functionele veiligheid. Isolatiemateriaal om oververhitting te voorkomen daarentegen is geen functionele veiligheid.
3. Aanpak SIL-analyse
Een SIL analyse bestaat uit drie hoofdbestanddelen:
- Risicoanalyse: analyseren van de mogelijke risico’s / ongewenste gebeurtenissen. Deze moeten uiteraard zoveel mogelijk voorkomen worden met veiligheidsmaatregelen. In de risicoanalyse stel je (kwalitatief) vast of een functionele veiligheid nodig is.
- SIL-classificatie: vaststellen welk veiligheidsniveau vereist is om de risico’s te beheersen, waarbij uiteraard geldt: hoe groter het risico, hoe hoger het vereiste SIL-niveau. In de SIL-classificatie stel je dus vast wat het vereist betrouwbaarheidsniveau van de functionele veiligheid is.
- SIL-verificatie: vaststellen of het ontwerp van de functionele veiligheid de vereiste veiligheid biedt.
4. Risicoanalyse
De eerste stap is het analyseren van de mogelijke risico’s/ongewenste gebeurtenissen. In de risicoanalyse stel je (kwalitatief) vast of een functionele veiligheid nodig is.
Veelal start dit met een fysieke en functionele decompositie van een fabriek, machine of proces. Met behulp van gebruikelijke analysetechnieken als een HAZOP of FMECA kunnen vervolgens afwijkingen in kaart gebracht worden van de normale procesvoering. Dit resulteert in een lijst met ongewenste gebeurtenissen/risico’s.
Naast de HAZOP en FMECA analyses zijn er ook diverse normen waarin voor processen of installaties binnen de scope van de betreffende norm een lijst met standaard ‘hazardous situations’ is opgenomen. Vaak zijn dan ook de te nemen maatregelen al voorgeschreven. Eén daarvan kan het voorschrijven van een functionele veiligheid zijn. Het is dan allereerst van belang om te beoordelen in hoeverre de standaard ‘hazardous situations’ ook relevant zijn in de concrete situatie die geanalyseerd wordt.
5. SIL-classificatie
De risicoanalyse heeft geleid tot een inventarisatie van risico’s c.q. ‘hazardous situations’. De essentie van de SIL-classificatie is vaststellen welk veiligheidsniveau vereist is om de risico’s te beheersen. Hoe groter het risico, hoe hoger het vereiste SIL-niveau. Er zijn vier niveau’s: SIL 1 t/m SIL 4, waarbij SIL 1 het laagste en SIL 4 de hoogste mate van risicoreductie met zich meebrengt. Naarmate het SIL-niveau hoger wordt neemt de eis aan de beschikbaarheid van de functionele veiligheid toe. Voor veiligheden die relatief weinig worden aangesproken gelden bijvoorbeeld de volgende eisen aan de beschikbaarheid:
- SIL 1: 90% (1 negen)
- SIL 2: 99% (2 negens)
- SIL 3: 99,9% (3 negens)
- SIL 4: 99,99% (4 negens)
Ten behoeve van de SIL-classificatie worden inschattingen gemaakt van aspecten als de kans van optreden van een ongewenste gebeurtenis, de ernst van de gevolgen van deze ongewenste gebeurtenis, de mate van blootstelling aan het risico en de vermijdbaarheid ervan.
Met behulp van een risicograaf kan vervolgens vastgesteld woren welk SIL-niveau vereist is. Een risicograaf is bij voorkeur beleid, bijvoorbeeld in de vorm van een beslisboom, ten aanzien van welk SIL-niveau vereist is voor een veiligheidsvoorziening, hierbij rekeninghoudend met de inschattingen van kans, gevolg, blootstelling en vermijdbaarheid. De normen 61508/61511 bevatten ook enkele voorbeeld-risicograven. In onderstaande figuur is een voorbeeld risicograaf gegeven.
6. SIL-verificatie
In de SIL-verificatie wordt tenslotte vastgesteld of het ontwerp van de functionele veiligheid de vereiste veiligheid biedt. En wanneer het om reeds bestaande installaties en veiligheden gaat, of de daadwerkelijk uitvoeringsvorm voldoet aan de vereiste SIL-classificatie.
Daartoe is belangrijk dat de werking van een functionele veiligheid in kaart wordt gebracht. Functionele veiligheden zijn meestal opgebouwd volgens het principe sensor-logica-actuator. Er wordt dan in kaart gebracht welke componenten een functie vervullen in de veiligheid. Na het inventariseren van de faalgegevens van de componenten kan dan de beschikbaarheid van de functionele veiligheid worden bepaald. Waarna tenslotte bepaald kan worden of dit voldoet aan de vereiste SIL-classificatie.