SIL verificatie

SIL (ontwerp)verificatie

Schematische weergave van een instrumentele beveiliging (HIPPS) ten behoeve van SIL verificatie.
Schematische weergave van een instrumentele beveiliging (HIPPS)

SIL verificatie is het aantonen dat de betrouwbaarheid van instrumentele beveiligingen voldoet gaan de gestelde SIL eisen volgens de IEC 61511 en IEC 61508. Voor ieder afzonderlijk SIL 1/2/3 of 4 beveiliging dient een SIL verificatie uitgevoerd te worden. Hierbij worden de volgende items geverifieerd:

  • Identificatie van de beveiliging – Bepalen welke componenten (sensoren, final elements, etc.) deel uitmaken van de beveiliging.
  • Functionele eisen –De SIF moet het gevaarlijk/ongewenste scenario voorkomen en daarbij ook snel genoeg zijn.
  • Onafhankelijk van andere ‘layers of protection’ – De SIF mag niet ondergebracht zijn in een proces regelsysteem De SIF is een ‘Independent Protection Layer’.
  • Probabilistische eisen – De faalkans (PFD (Probability of Failure on Demand)) moet voldoende laag zijn. Voor SIL 1: PFD < 0,1.
  • Architectuur eisen – Redundanties moeten mogelijk toegepast worden (met name bij SIL 3 en SIL 2 beveiligingen).
  • Voorkomen van systematische fouten. Dat zijn o.a. ontwerpfouten, menselijke fouten, verstoringen door externe invloeden.

De relevante internationale norm voor instrumentele beveiligingen in de proces industrie is IEC 61511. In deze norm wordt gerefereerd aan de algemene SIL norm, IEC 61508. In IEC 61511 en IEC 61508 is aangegeven dat een gevarenidentificatie en een risicobepaling uitgevoerd moeten worden om te (kunnen) bepalen hoe een instrumentele beveiligingen het geïdentificeerde gevaar dient te voorkomen en hoe integer en betrouwbaar de instrumentele beveiliging moet worden uitgevoerd.

De integriteit van een instrumentele beveiliging wordt gedefinieerd door de zogenaamde ‘Safety Integrity Levels’ SIL 1, SIL 2, SIL 3 en SIL 4. De SIL normen geven ook aan welke activiteiten uitgevoerd moeten worden gedurende de ‘safety lifecycle’ van de instrumentele beveiligingen.

Integriteitseisen m.b.t. het ontwerp van instrumentele beveiligingen

Functionele eisen

  • De beveiliging moet het potentiële gevaar wegnemen (dus de juiste sensoren en finale elements maken deel uit van de beveiliging).
  • De instrumentele beveiliging is snel genoeg (‘binnen de process safety time’).
  • Eventuele overbruggingen zijn juist geïmplementeerd.

Onafhankelijk

De instrumentele beveiliging is onafhankelijk van andere systemen (bv. de regeling).

Probabilistische eisen

De faalkans wordt meestal uitgedrukt als PFDavg (Probability of Failure on Demand). De PFDavg voldoende laag zijn.
Voor SIL 1:                  PFD < 10 -1
Voor SIL 2:                  PFD < 10 -2
Voor SIL 3:                  PFD < 10 -3
Voor SIL 4:                  PFD < 10 -4

De PFDavg dient berekend te worden voor elke SIL beveiliging. Bij redundante systemen wordt normaal gesproken een common cause factor van 10 tot 15% aangenomen (ref. SINTEF).

Onderstaande (simpele) formules kunnen gebruikt worden om de PFDavg te berekenen voor verschillende configuraties.

Formules uit de IEC-61508 om de PFDavg te berekenen ten behoeve van SIL verificatie.

Architectuur eisen

Voor met name de hogere SIL niveaus moet redundantie (Hardware Fault Tolerance (HFT)) worden toegepast. De architectuur eisen volgens IEC 61511 zijn als volgt:

SILDemand modeMinimum HFTToe te passen configuratie
1low/high/continuous0Enkelvoudig
2low0Enkelvoudig
2high/continuous11oo2 of 2oo3 configuratie
3low/high/continuous11oo2 of 2oo3 configuratie
4low/high/continuous21oo3 configuratie

De bovenstaande tabel mag toegepast worden wanneer de instrumenten/componenten zogenaamde ‘prior use’ zijn. Dat houdt in dat de opdrachtgever ervaring heeft met (het goede functioneren van) deze instrumenten en dit ook heeft vastgelegd. Referentie: IEC 61511 paragraaf 11.5. IEC 61511 geeft aan dat ook de architectuur methodiek van IEC 61508 toegepast mag worden.

IEC 61508, route 1H

Een instrument/component wordt beschouwd als ‘type A’ als (samengevat) de faalgegevens betrouwbaar zijn. In de praktijk betreft dat meestal ‘simpele’ instrumenten/componenten zonder microprocessoren.  De overige instrumenten /componenten worden als ‘Type B’ beschouwd. De Safe Failure Fraction (afk. SFF) geeft de verhouding aan tussen veilige en gevaarlijke maar gedetecteerde fouten en alle fouten van dat instrument/component.

Type A instrumenten

Safe Failure Fraction (SFF)HFT=0HFT=1HFT=2
Safe Failure Fraction < 60%SIL 1SIL 2SIL 3
60% < SFF < 90%SIL 2SIL 3SIL 4
90% < SFF < 99%SIL 3SIL 4SIL 4
Safe Failure Fraction > 99%SIL 3SIL 4SIL 4

Type B instrumenten

Safe Failure Fraction (SFF)HFT=0HFT=1HFT=2
Safe Failure Fraction < 60%SIL 1SIL 2
60% < SFF < 90%SIL 1SIL 2SIL 3
90% < SFF < 99%SIL 2SIL 3SIL 4
Safe Failure Fraction > 99%SIL 3SIL 4SIL 4

IEC 61508, route 2H

Route 2 H is gebaseerd op component/instrument betrouwbaarheid dat is gebaseerd op gedetailleerde analyse van de feedback van eindgebruikers. Route 2H  kan gebruikt worden bij het SIL certificeren van een component/instrument.

Eisen m.b.t. systematische fouten

Fouten treden op door verouderingsprocessen. De norm noemt dit soort fouten ‘Random Hardware Failures’. Alle overige fouten worden ‘Systematic failures’ genoemd. Voorbeelden van systematische fouten: Fouten tijdens het productieproces van een instrument, de engineer heeft een verkeerd type sensor gespecificeerd, een programmeerfout, extreme omgevingscondities (b.v. hoge/lage temperatuur, trillingen), elektromagnetische straling.

In IEC 61511 is aangegeven dat door het toepassen van ‘prior use’ componenten/instrumenten, het optreden van systematische fouten van die componenten/instrumenten acceptabel laag is (in combinatie met competente engineers).

IEC 61508 focust o.a. ook op een kwaliteitssysteem m.b.t. het productieproces van instrumenten/componenten. Een hierbij gebruikte term is de ‘Systematic Capability’ (afk. SC). Als een beveiliging moet voldoen aan de eisen van SIL 2, dan moeten de componenten in principe minimaal voldoen aan SC-2.

Ook voor HIPPS systemen (High-integrity pressure protection system) is het noodzakelijk om een verificatie uit te voeren.