SIL (ontwerp)verificatie

SIL verificatie is het aantonen dat de betrouwbaarheid van instrumentele beveiligingen voldoet gaan de gestelde SIL eisen volgens de IEC 61511 en IEC 61508. Voor ieder afzonderlijk SIL 1/2/3 of 4 beveiliging dient een SIL verificatie uitgevoerd te worden. Hierbij worden de volgende items geverifieerd:
- Identificatie van de beveiliging – Bepalen welke componenten (sensoren, final elements, etc.) deel uitmaken van de beveiliging.
- Functionele eisen –De SIF moet het gevaarlijk/ongewenste scenario voorkomen en daarbij ook snel genoeg zijn.
- Onafhankelijk van andere ‘layers of protection’ – De SIF mag niet ondergebracht zijn in een proces regelsysteem De SIF is een ‘Independent Protection Layer’.
- Probabilistische eisen – De faalkans (PFD (Probability of Failure on Demand)) moet voldoende laag zijn. Voor SIL 1: PFD < 0,1.
- Architectuur eisen – Redundanties moeten mogelijk toegepast worden (met name bij SIL 3 en SIL 2 beveiligingen).
- Voorkomen van systematische fouten. Dat zijn o.a. ontwerpfouten, menselijke fouten, verstoringen door externe invloeden.
De relevante internationale norm voor instrumentele beveiligingen in de proces industrie is IEC 61511. In deze norm wordt gerefereerd aan de algemene SIL norm, IEC 61508. In IEC 61511 en IEC 61508 is aangegeven dat een gevarenidentificatie en een risicobepaling uitgevoerd moeten worden om te (kunnen) bepalen hoe een instrumentele beveiligingen het geïdentificeerde gevaar dient te voorkomen en hoe integer en betrouwbaar de instrumentele beveiliging moet worden uitgevoerd.
De integriteit van een instrumentele beveiliging wordt gedefinieerd door de zogenaamde ‘Safety Integrity Levels’ SIL 1, SIL 2, SIL 3 en SIL 4. De benodigde integriteit komt meestal vanuit een risicoanalyse (bijvoorbeeld LOPA of SIL classificatie). Voor sommige beveiligingen wordt het benodigde SIL niveau opgelegd vanuit regelgeving, hierbij valt te denken aan de Publicatiereeks Gevaarlijke Stoffen (bijvoorbeeld PGS 28, PGS 29, PGS 30 en PGS 33) en diverse IEC-normen.
De SIL normen geven ook aan welke activiteiten uitgevoerd moeten worden gedurende de ‘safety lifecycle’ van de instrumentele beveiligingen.
Integriteitseisen m.b.t. het ontwerp van instrumentele beveiligingen
Functionele eisen
- De beveiliging moet het potentiële gevaar wegnemen (dus de juiste sensoren en finale elements maken deel uit van de beveiliging).
- De instrumentele beveiliging is snel genoeg (‘binnen de process safety time’).
- Eventuele overbruggingen zijn juist geïmplementeerd.
Onafhankelijk
De instrumentele beveiliging is onafhankelijk van andere systemen (bv. de regeling).
Probabilistische eisen
De faalkans wordt meestal uitgedrukt als PFDavg (Probability of Failure on Demand). De PFDavg moet voldoende laag zijn.
Voor SIL 1: PFD < 10 -1
Voor SIL 2: PFD < 10 -2
Voor SIL 3: PFD < 10 -3
Voor SIL 4: PFD < 10 -4
De PFDavg dient berekend te worden voor elke SIL beveiliging. Bij redundante systemen wordt normaal gesproken een common cause factor van 10 tot 15% aangenomen (ref. SINTEF).
Onderstaande (simpele) formules kunnen gebruikt worden om de PFDavg te berekenen voor verschillende configuraties.

Architectuur eisen
Voor met name de hogere SIL niveaus moet redundantie (Hardware Fault Tolerance (HFT)) worden toegepast. De architectuur eisen volgens IEC 61511 zijn als volgt:
SIL | Demand mode | Minimum HFT | Toe te passen configuratie |
---|---|---|---|
1 | low/high/continuous | 0 | Enkelvoudig |
2 | low | 0 | Enkelvoudig |
2 | high/continuous | 1 | 1oo2 of 2oo3 configuratie |
3 | low/high/continuous | 1 | 1oo2 of 2oo3 configuratie |
4 | low/high/continuous | 2 | 1oo3 configuratie |
De bovenstaande tabel mag toegepast worden wanneer de instrumenten/componenten zogenaamde ‘prior use’ zijn. Dat houdt in dat de opdrachtgever ervaring heeft met (het goede functioneren van) deze instrumenten en dit ook heeft vastgelegd. Referentie: IEC 61511 paragraaf 11.5. IEC 61511 geeft aan dat ook de architectuur methodiek van IEC 61508 toegepast mag worden.
IEC 61508, route 1H
Een instrument/component wordt beschouwd als ‘type A’ als (samengevat) de faalgegevens betrouwbaar zijn. In de praktijk betreft dat meestal ‘simpele’ instrumenten/componenten zonder microprocessoren. De overige instrumenten /componenten worden als ‘Type B’ beschouwd. De Safe Failure Fraction (afk. SFF) geeft de verhouding aan tussen veilige en gevaarlijke maar gedetecteerde fouten en alle fouten van dat instrument/component.
Type A instrumenten
Safe Failure Fraction (SFF) | HFT=0 | HFT=1 | HFT=2 |
---|---|---|---|
Safe Failure Fraction < 60% | SIL 1 | SIL 2 | SIL 3 |
60% < SFF < 90% | SIL 2 | SIL 3 | SIL 4 |
90% < SFF < 99% | SIL 3 | SIL 4 | SIL 4 |
Safe Failure Fraction > 99% | SIL 3 | SIL 4 | SIL 4 |
Type B instrumenten
Safe Failure Fraction (SFF) | HFT=0 | HFT=1 | HFT=2 |
---|---|---|---|
Safe Failure Fraction < 60% | – | SIL 1 | SIL 2 |
60% < SFF < 90% | SIL 1 | SIL 2 | SIL 3 |
90% < SFF < 99% | SIL 2 | SIL 3 | SIL 4 |
Safe Failure Fraction > 99% | SIL 3 | SIL 4 | SIL 4 |
IEC 61508, route 2H
Route 2 H is gebaseerd op component/instrument betrouwbaarheid dat is gebaseerd op gedetailleerde analyse van de feedback van eindgebruikers. Route 2H kan gebruikt worden bij het SIL certificeren van een component/instrument.
Eisen m.b.t. systematische fouten
Fouten treden op door verouderingsprocessen. De norm noemt dit soort fouten ‘Random Hardware Failures’. Alle overige fouten worden ‘Systematic failures’ genoemd. Voorbeelden van systematische fouten: Fouten tijdens het productieproces van een instrument, de engineer heeft een verkeerd type sensor gespecificeerd, een programmeerfout, extreme omgevingscondities (b.v. hoge/lage temperatuur, trillingen), elektromagnetische straling.
In IEC 61511 is aangegeven dat door het toepassen van ‘prior use’ componenten/instrumenten, het optreden van systematische fouten van die componenten/instrumenten acceptabel laag is (in combinatie met competente engineers).
IEC 61508 focust o.a. ook op een kwaliteitssysteem m.b.t. het productieproces van instrumenten/componenten. Een hierbij gebruikte term is de ‘Systematic Capability’ (afk. SC). Als een beveiliging moet voldoen aan de eisen van SIL 2, dan moeten de componenten in principe minimaal voldoen aan SC-2.
Ook voor HIPPS systemen (High-integrity pressure protection system) is het noodzakelijk om een verificatie uit te voeren.