SIL staat voor Safety Integrity Level en toetst de functionele veiligheid van instrumentele beveiligingen in productie en procesinstallaties. De vereiste betrouwbaarheid hangt samen met de mate van risico.
Het domein van SIL (Safety Integrity Level) staat bol van de afkortingen en begrippen, en is mede daardoor weinig transparant. Toch moet u uw HIPS (High Integrity Protection System), ook wel SIS (Safety Instrumented System) genoemd, van tijd tot tijd controleren op het correct functioneren binnen de van tevoren vastgestelde toleranties. Het gaat hierbij in principe niet om een eenvoudige maintenance handeling, maar om het behoud van het SIL certificaat dat u, als het goed is, bij het desbetreffende systeem heeft ontvangen na de initiële installatie en start-up van het systeem.
De noodzaak voor intrinsieke veiligheid (intrinsiek = in zichzelf) op de industriële werkplek is waarschijnlijk voor het eerst daadwerkelijk aangetoond en toegepast in de mijnen. De Engelsman Sir Humphrey Davy verbeterde de veiligheid in de mijnen door het gebruik van een elektrische booglamp voor mijnwerkers te promoten en zodoende de tot dan toe gebruikelijke kaarsverlichting, met alle voor de hand liggende risico’s van open vuur in een mijngang, uit te bannen. Omdat deze booglamp te kostbaar was, heeft Davy rond 1815 gezorgd voor de introductie van de olie gestookte ‘Davy safety lamp’, die tot ver in de twintigste eeuw in gebruik is geweest. Kortom, een apparaat dat een risicoreductie heeft bewerkstelligd bij de kolenwinning.
Door de ‘uitvinding’ en de opkomst van elektrische energie en apparatuur in de negentiende eeuw, werd de roep om standaardisering steeds groter. In Amerika werd reeds in 1884 het Institute of Electrical & Electronics Engineers (IEEE, voorheen AIEE) opgericht. In 1906 werd in Londen de International Electrotechnical Committee (IEC) opgericht, die inmiddels in Genève is gevestigd. In 1916 volgde het Nederlandse Normalisatie Instituut (NNI). Het NNI beheert en publiceert inmiddels de NEderlandse Norm (NEN).
Om de absolute noodzaak te verduidelijken van regelmatige, functionele controle en correct onderhoud van een SIL gecertificeerd systeem, is enig inzicht in de totstandkoming van een SIL-certificatie gewenst. Als u na uw risicoanalyse van de installatie, ook wel HAZOP (HAZard OPerability) genoemd, tot de conclusie komt dat een gedeelte van de installatie of het proces een verhoogd risico geeft voor mens of milieu, zal dit risico moeten worden teruggebracht tot een acceptabel niveau. SIL gaat over ‘risk reduction’ tot een toelaatbaar of ‘tolerable’ niveau. Aangezien risico’s praktisch gezien niet tot nul kunnen worden teruggebracht, komen we zodoende terecht bij het begrip risicoreductie en ALARP (As Low As Reasonable Practicable).
Ook risicoreductie kent zijn limieten. Een risicoreductie wordt disproportioneel wanneer het praktisch gezien onuitvoerbaar of onredelijk wordt om het te implementeren. Denk maar aan een spoorwegovergang waarvan uit risicoreductie overwegingen de slagbomen 24 uur per dag gesloten zijn. Een dergelijke aanpak heeft geen zin en schiet zijn doel voorbij. De conclusies luiden dus als volgt: ‘zero risk’ is onhaalbaar, ‘safety’ voor mens en milieu moet worden ingebed in het design en ‘non-tolerable risks’ moet worden verlaagd naar een aanvaardbaar niveau. Wanneer een aanvaardbaar risico-niveau, volgens de van toepassing zijnde normen, niet kan worden bereikt, zelfs niet na risicoreducerende maatregelen middels een SIS, dan is er iets mis met het design van het proces en/of de installatie. Dit betekent terug naar de ‘tekentafel’, met hoogstwaarschijnlijk een tussenstop aan tafel bij de financieel directeur.
Intrinsieke of inherente veiligheid van apparatuur, zoals bij de Davy safety lamp of in gehele systemen door ‘Safety by Design’ of ‘Prevention by Design’, is tegenwoordig vrijwel overal doorgevoerd en vaak vastgelegd in standaarden en normen. Waar het SIL betreft, is de methodologie vastgelegd in de IEC 61508 en IEC 61511. Let wel, de IEC doet aan standaardisatie, niet aan wetgeving.
Echter, de Arbeidsomstandighedenwet (Arbowet) geeft na enig doorzoeken en juist interpreteren wel degelijk enige aanknopingspunten. In verschillende artikelen van de Arbowet wordt gesproken over risico-inventarisatie en risicobeperkende maatregelen die een werkgever dient te nemen ter bescherming van werknemers. Tevens worden ‘audits’ en beoordelingen geëist, die op hun beurt weer keurig gedocumenteerd dienen te worden. De Arbowet is op zijn beurt gekoppeld aan Europese regelgeving. De Europese regelgeving spreekt onder andere over ‘te beveiligen omstandigheden’. Kortom, er zijn genoeg handvatten voor de controlerende instanties om organisaties het een en ander te verwijten wanneer een calamiteit heeft plaatsgevonden. Het voorkomen van calamiteiten is dus het credo.
Zoals u weet heeft elk apparaat in principe de nare eigenschap om wel eens te falen. Of het nu gaat om een fietsbel, of om bijvoorbeeld een druktransmitter voor overdrukbeveiliging. Met andere woorden, ‘het ding’ weigert correct of besluit in het geheel niet te functioneren wanneer we dat verwachten of dringend nodig hebben, en het gebruik van krachttermen of een hamer is niet meer van deze tijd. De enige juiste oplossing is voor uw toepassing een voldoende betrouwbaar apparaat, of een samenstelling van apparaten, te kiezen. Desalniettemin heeft ook het allerbeste apparaat een bepaald risico om te falen. De kans op dat potentiële falen willen we uiteraard reduceren tot een acceptabel niveau, ook wel Risk Reduction Factor (RRF) genoemd. De waarschijnlijkheid van dat falen kan worden vastgelegd in een betrouwbaarheidsgetal, in onze industrie de Probability of Faillure on Demand genoemd, beter bekend als PFD.
Na wat rekenwerk, waarbij onder andere gebruik wordt gemaakt van de PFD getallen, komt men tot een SIL-niveau wat overeenstemt met de door u gewenste risicoreductie. U doet het helemaal goed als u zowel tijdens het ontwerp als na installatie van uw SIS, een Notified Body (NoBo) inschakelt om een en ander te laten certificeren. Dit resulteert in een ‘certificate of compliance’.
Eenmaal geïnstalleerd zal, om het bereikte SIL-niveau te behouden, het SIS van tijd tot tijd moeten worden getest op functionaliteit. De interval van deze test is niet vrijblijvend. Integendeel, bij de berekening en vaststelling van het SIL-niveau is rekening gehouden met een minimum eis voor deze test interval. Is bijvoorbeeld bij de berekening en vaststelling uw SIL-3 systeem uitgegaan van een testinterval van eens per zes maanden, en u test slechts eenmaal per jaar, dan is de kans groot dat dientengevolge uw systeem als SIL-2 in de boeken komt te staan. Kortom, SIL-behoud is nauw verweven met het juiste onderhoud op het juiste moment.
Ook wanneer een van de componenten faalt en moet worden vervangen, zal dat één op één moeten gebeuren. Als de desbetreffende component wordt vervangen door een ander model of merk, zal opnieuw de totale PFD moeten worden vastgesteld, en het daaruit volgende het SIL-niveau. SIS systemen worden nogal eens toegepast in overdrukbeveiliging waar een in noodgevallen afblazend systeem door middel van bijvoorbeeld PSV’s (Pressure Safety Valves) ongewenst of praktisch niet haalbaar is. Om de verwarring omtrent afkortingen nog maar eens te vergroten, worden deze systemen HIPPS genoemd, wat staat voor High Integrity Pressure Protection System. De valve (vaak een ball of gate valve) dient het leidingwerk van lagere drukklasse te beschermen tegen overdruk afkomstig van de upstream zijde van de klep. De gehele loop van ‘pipe-to-pipe’ moet voldoen aan de PFD eisen en daarmee het gewenste risicoreductieniveau haalbaar maken. Om de vereiste risicoreductie te bewerkstelligen, zullen in de praktijk vaak twee of drie druktransmitters parallel moeten worden gemonteerd, en wellicht twee ‘valves’ kort achter elkaar in serie met meerdere solenoids.
Van het gehele systeem zal een logboek moeten worden aangelegd, waarin belangrijke onderdelen moeten worden opgenomen. Te denken valt hierbij aan een systeembeschrijving en een schema, aan een procesbeschrijving en P&ID’s, aan een joben bedieningsinstructie, aan een testprocedure (inclusief bindende testinterval), aan een instrument range en trip setting list, aan aanbevolen en op voorraad te hebben spare parts, aan een lektestprocedure voor de valve (bubble tight), aan bedradingschema’s, softwareschema’s c.q. programmering, aan een SIL-verificatie rapport, aan een SIL ‘certificate of compliance’ al dan niet verstrekt door de NoBo, aan certificaten van alle onderdelen en materialen, aan alle van toepassing zijnde nationale en internationale normen en standaarden, en aan een dynamic simulation and reliability report. Ook van elke test en eventuele reparatieof onderhoudswerkzaamheden moet het resultaat worden vastgelegd en bewaard in het logboek.
Het behoud van het SIL-niveau hangt sterk samen met de discipline die men kan opbrengen om testen onderhoudswerkzaamheden uit te voeren volgens de in het logboek voorschreven procedures of Job Instruction. Uit ervaring weet ik dat ‘techneuten’ vaak niet de beste administrateurs zijn. Toch zullen in dit geval de logboeken nauwgezet moeten worden bijgehouden. Binnen een bedrijf wordt hiervoor gewoonlijk een medewerker benoemd die hiervoor verantwoordelijk is.
Een van de eisen die wordt gesteld aan een SIS waarin een afsluiter of klep is opgenomen, is de reactie en sluitingstijd van de klep (valve). Aangezien deze waarschijnlijk lange tijd in een open stand heeft gestaan en wellicht enigszins vervuild is geraakt door het doorstromende medium, bestaat het risico van ‘plakken’ en daarmee van een trage reactie. Houd daarom tijdens het design een ruime marge aan waar het gaat om deze sluitingstijd. Hierbij is de ‘torque’ (kracht) van de actuator belangrijk.
Wanneer meerdere (wederom in het voorbeeld van de HIPPS) druktransmitters worden toegepast om de vereiste PFD te bewerkstelligen (in een 2 out of 3 configuratie), zullen die ongetwijfeld van een verschillend fabrikaat en type moeten zijn. Dit om de ‘common cause’ factor (in de fault-tree analysis vermeld als Bèta) zo laag mogelijk te houden. Dit is een situatie die zo moet blijven! Mocht een van de transmitters falen en vervangen moeten worden, dan moet dat geschieden door een volledig identiek instrument. Zelfde fabrikaat, type en range. Zo niet, dan installeert u onderdelen in het SIS die niet overeenkomen met het ‘certificate of compliance’ aan u verstrekt door de NoBo, waardoor dit certificaat in principe niet meer geldig is. Maar ook al installeert u, volledig volgens de regels, de juiste transmitter ter vervanging van de defecte, alle gegevens (datasheet) van de nieuwe transmitter moeten worden opgenomen in het logboek.
Dit voorbeeld geldt in principe voor alle componenten in het SIS, zoals solenoids, actuator, barriers, I/O kaarten van de logic-solver (PLC) en zeker ook voor de eventuele software. Zodra een noodzakelijke wijziging in de software is doorgevoerd, zal de gehele software functionaliteit moeten worden getest en opnieuw gecertificeerd moeten worden, voordat deze wordt geladen in de logic solver. Kortom, hoewel het allemaal redelijk simpel en logisch lijkt, apparatuur waarvoor de regels niet zo strikt zijn als voor een SIL gecertificeerd systeem, lijkt soms als twee druppels water op de apparatuur die in een SIS wordt gebruikt, waardoor je al snel geneigd bent om in dezelfde werkmethodes te vervallen. Dit moet voorkomen worden door duidelijke jobinstructies die de vereiste specifieke behandeling van het SIS aangeeft. Soms helpt alleen nog maar een hangslot, waarvan de sleutel wordt beheerd door de SIS-verantwoordelijke binnen de organisatie.
De maatschappelijke trend naar almaar hogere risicoreductie zal ook doorwerken in de procestechniek. Technisch gesproken is hier de ‘kip en het ei’ vraag wel op los te laten. Is het de techniek die de vraag volgt? Of andersom, is het juist de vraag die de techniek aanstuurt? Ik denk dat allebei juist is. Wanneer commercieel interessant, zal er vraag ‘gegenereerd’ worden naar een nieuw te ontwikkelen product, wat dan weer een stimulans kan zijn voor nieuwe of verdere ontwikkelingen.
De procesindustrie vraagt steeds vaker om producten en toepassingen waarvan een steeds grotere betrouwbaarheid en nauwkeurigheid wordt verlangd. Is het niet uit overwegingen van risicoreductie, dan is het wel uit kostenbesparing op bijvoorbeeld onderhoud. Belangrijk bij zowel de trend als de ontwikkeling in deze is dat de leverancier c.q. fabrikant goed blijft luisteren naar de (potentiële) klant. Minstens even belangrijk is dat de klant de regelgeving en de markt volgt en zich op de hoogte blijft stellen van beschikbare technieken en apparatuur die wellicht toepasbaar zijn in het bedrijf om de betrouwbaarheid van het proces te optimaliseren en de risicoreductie te brengen op het niveau van ALARP (of misschien net een beetje meer…). Ik hoop dat u na het lezen van dit hoofdstuk het periodiek onderhoud eens onder de loep neemt van systemen die mede de veiligheid in uw bedrijf moeten bewerkstelligen en borgen. Uiteindelijk blijkt de zwakste schakel vaak de ‘human factor’.
Interessante organisaties/websites in Nederland:
International Instrument Users’ Association WIB
FHI
Industriekalender
Lees ook:
SIL staat voor Safety Integrity Level en toetst de functionele veiligheid van instrumentele beveiligingen in productie en procesinstallaties. De vereiste betrouwbaarheid hangt samen met de mate van risico.
IndustrieVandaag is een onafhankelijk platform met het laatste nieuws over de procesindustrie, industrial processing, productie industrie, maakindustrie en elektronica industrie.
Neem contact met ons op:
Tel +31 (0)23 737 07 63
Email via contactpagina
