Veelgestelde vragen

Q&A - Veelgestelde vragen

Veelgestelde vragen

HAZOP (Hazard and Operability study)

Wat is HAZOP?

HAZOP worksheet

HAZOP is tegenwoordig min of meer de standaardmethode voor het identificeren en evalueren van procesafwijkingen die mogelijk kunnen leiden tot gevaarlijke of ongewenste situaties.

HAZOP staat voor Hazard and Operability. Dit is een gestructureerde en systematische brainstormtechniek en wordt ook wel gevaaridentificatie, storingsanalyse, veiligheidsstudie of HAZID (Hazard Identification) genoemd. De methode is afkomstig uit de chemische industrie en is in 1974 door Bert Lawley geïntroduceerd bij ICI. De werkwijze voor een HAZOP studie is in de standaard IEC 61882 vastgelegd.

De HAZOP methode werkt met gidswoorden voor de verschillende procesparameters (bijvoorbeeld: meer druk, minder temperatuur). Een multidisciplinair team probeert aan de hand van de gidswoorden binnen iedere node te bepalen welke afwijkingen kunnen leiden tot gevaren of ongewenste situaties.

Zie voor meer informatie: HAZOP

Wat zijn nodes / knooppunten?

HAZOP node

In de voorbereiding van een HAZOP studie wordt het te beschouwen proces of installatie onderverdeeld in verschillende studiedelen. Deze studiedelen worden ook wel nodes of knooppunten genoemd.
Per node wordt vastgesteld wat het doel (design intent) is van het specifieke deel van de installatie. Vervolgens wordt aan de hand van de parameter/gidswoord combinaties gekeken welke afwijkingen op kunnen treden en wat hier de mogelijk oorzaken en gevolgen van kunnen zijn. Daarbij wordt (plenair) de afwijking, de oorzaak en het mogelijke gevolg gedocumenteerd in de HAZOP werkbladen. Indien van toepassing worden aanwezige maatregelen (beveiligingen) vastgelegd en waar nodig worden aanbevelingen gedaan.

Wat zijn gidswoorden / trefwoorden?

De HAZOP methode werkt met gidswoorden in combinatie met verschillende trefwoorden (vaak procesparameters).
Per node wordt vastgesteld wat het doel (design intent) is van het specifieke deel van de installatie. Vervolgens wordt aan de hand van de parameter/gidswoord combinaties gekeken welke afwijkingen op kunnen treden (ten opzichte van normaal) en wat hier de mogelijk oorzaken en gevolgen van kunnen zijn. 

Voorbeelden van trefwoorden:
– Stroming / flow
– Druk
– Temperatuur
– Niveau
– Concentratie
– Compositie
– Hoeveelheid
– Roeren
– Stress / trillingen
– Onderhoud
– Utilities (perslucht, elektriciteit etc)
– Corrosie
– Erosie
etc.

Voorbeelden van gidswoorden:
– Geen
– Minder
– Meer
– Anders dan
– Omgekeerd
– Later
– Eerder
etc.

Door gidswoorden met trefwoorden te combineren, dan ontstaan er combinaties als:
– Stroming Geen
– Stroming Omgekeerd
– Temperatuur Meer (hogere temperatuur)
– Temperatuur Minder (lagere temperatuur)
– Compositie Anders dan (afwijkende samenstelling)
– Corrosie Meer
etc.

In een bepaald stukje installatie kan bijvoorbeeld ‘Stroming Geen’ ontstaan indien de pomp stopt (loopt vast, geen elektriciteit, uitgeschakeld, fout in aansturing etc.) of als er ergens een afsluiter (onbedoeld) gesloten wordt. Tijdens een HAZOP brainstormsessie wordt er dus gezocht naar mogelijke oorzaken die leiden tot ‘Stroming Geen’. Vervolgens dient er bepaald te worden wat de mogelijke gevolgen van de afwijkingen kunnen zijn.

Hoe ziet een HAZOP team eruit?

Wat zorgt er voor dat een HAZOP-studie kwalitatief goed wordt uitgevoerd? Niet de HAZOP-software of de grootte van het HAZOP-team. Een HAZOP-studie valt of staat bij de HAZOP-participanten die deel uitmaken van het HAZOP-team. Het is van groot belang dat er een multidisciplinair team samengesteld wordt.

Een team kan bijvoorbeeld bestaan uit:
– Ervaren operator die de praktijk goed kent,
– Procestechnoloog die alle ins en outs kent van zijn proces,
– Onderhouds engineer met kennis en ervaring van de materialen, pompen, appendages etc. van zijn installatie.
– Veiligheidskundige met kennis van de toegepaste stoffen, weet heeft van eventuele incidenten, contacten onderhoud met de overheid,
– Automatiserings engineer die weet hoe automatische regelingen functioneren,
– Aangevuld met kundige engineers uit andere disciplines.

Uiteraard mag een kundige en ervaren voorzitter niet ontbreken. Hij moet het evenwicht bewaren tussen ongestoord brainstormen en voortgang maken, de juiste detaillering realiseren en samen met het HAZOP-team potentiële gevaren opsporen en onderbuikgevoelens objectiveren.

Is een HAZOP verplicht?

Bedrijven die vallen onder het Besluit Risico’s Zware Ongevallen (BRZO) of de regeling Aanvullende Risico-Inventarisatie en -Evaluatie (ARIE) zijn verplicht een Veiligheidsbeheerssysteem (VBS) te hebben.
Één van de VBS-elementen is ‘De identificatie van de gevaren en de beoordeling van de risico’s van zware ongevallen‘. Hiertoe dient een bedrijf de de risico’s bij het werken met gevaarlijke installaties periodiek te inventariseren en te evalueren. 

Deze risico-identificatie kan uitgevoerd worden middels een HAZOP-studie, waarbij de risicobeoordeling bijvoorbeeld met behulp van LOPA uitgevoerd kan worden. Dergelijke veiligheidsstudies dienen tenminste eens per vijf jaar geactualiseerd te worden.

Hoe ziet een HAZOP-sessie eruit?

Aan de hand van de ontwerptekeningen (P&ID’s), bepaalde nodes en de parameter/gidswoord combinaties wordt er tijdens de HAZOP gezocht naar afwijkingen die tot gevaarlijke en/of ongewenste situaties kunnen leiden. Hierbij kan onder ander gesproken worden van Loss Of Containment scenario’s.

Per node wordt vastgesteld wat het doel (design intent) is van het specifieke deel van de installatie. Vervolgens wordt aan de hand van de parameter/gidswoord combinaties gekeken welke afwijkingen op kunnen treden en wat hier de mogelijk oorzaken en gevolgen van kunnen zijn. Daarbij wordt (plenair) de afwijking, de oorzaak en het mogelijke gevolg gedocumenteerd in de HAZOP werkbladen. Indien van toepassing worden aanwezige maatregelen (beveiligingen) vastgelegd en waar nodig worden aanbevelingen gedaan.

Het ligt voor de hand om tijdens een HAZOP studie ook de risico’s van de geïdentificeerde scenario’s te beoordelen (bijvoorbeeld met LOPA). Het uitvoeren van een risicobeoordeling bepaalt de noodzaak voor (verdere) beveiligingen en de noodzakelijke betrouwbaarheid ervan.

De resultaten van de HAZOP-sessies worden gepresenteerd in een rapport waarin de werkbladen en een lijst met aanbevelingen zijn opgenomen.

Hoe moet ik een HAZOP voorbereiden?

Voor het uitvoeren van een goede HAZOP is een goede voorbereiding van belang. Hierbij zijn onderstaande punten van belang:
– Stel de scope van de HAZOP vast. Bijvoorbeeld een nieuwe installatie / project of een periodieke HAZOP.
– Stel een multidisciplinair HAZOP-team samen.
– Bepaal de HAZOP voorzitter.
– Zorg voor as-built of ready for construction ontwerptekeningen (P&ID’s)
– Verdeel de te HAZOP’en installatie in studiedelen (nodes).
– Bepaal de relevante parameters zoals: stroming, druk, temperatuur, niveau, etc.
– Bepaal de relevante gidswoorden zoals: meer, minder, omgekeerd, hoog, laag, etc.
– Zorg ervoor dat belangrijke informatie goed en snel toegankelijk is tijdens de HAZOP. Denk hierbij aan informatie m.b.t.. chemicaliën (Chemiekaarten en SDS’en), incidentrapportages, informatie m.b.t. procesautomatisering, foto’s van de installatie, ontwerpgegevens, etc.

Wat is een cyclische HAZOP of HAZOP review?

Een eenmalige HAZOP studie is (slechts) een ‘momentopname’. In de loop van de tijd worden modificaties doorgevoerd en vinden incidenten plaats en worden nieuwe inzichten gevormd. Na een aantal jaren staat de HAZOP studie van de betreffende procesinstallatie weer op de agenda. Dit wordt wel ‘cyclisch HAZOP-pen’ of ‘HAZOP review’ genoemd. Hierbij wordt de HAZOP-studie van een bepaalde installatie opnieuw bekeken. Ook cyclisch HAZOP-pen is een team activiteit.
Zie ook cyclisch HAZOP’pen.

Risicoanalyse / risicobeoordeling

Wat is LOPA?

LOPA (Layer of Protection Analysis)

LOPA staat voor Layer of Protection Analysis en is verreweg de meest gebruikte methode voor risicoanalyses binnen de (chemische) industrie. LOPA is een simpele en kwantitatieve risicoanalyse methode om risico’s te analyseren en te beoordelen. Binnen LOPA staat het beheersen van risico’s centraal. Veelal is een gevarenidentificatie (bijvoorbeeld een HAZOP-studie) het uitgangspunt van een LOPA.

Een fout of falend onderdeel in de procesinstallatie (het ‘initiating event’) kan leiden tot een incident. Hierbij kan gedacht worden aan falen van de regeling, falen van het seal van een pomp of een menselijke fout (bv. na onderhoud vergeten een afsluiter weer open te zetten). Dit falen kan leiden tot een Loss of Containment scenario. Zowel de oorzaak als het gevolg zijn (als het goed is) beschreven in het HAZOP-rapport.

Van het ‘initiating event’ wordt de waarschijnlijkheid van optreden ingeschat. De ernst van de gevolgen van het incident moet bepaald worden. Vervolgens moet het bedrijf bepaald hebben welk restrisico zij acceptabel vindt. Deze informatie is bv. te ontlenen aan de risicomatrix van het bedrijf.

Risico reducerende voorzieningen worden geïnventariseerd of bepaald. Dat kunnen zogenaamde ‘Layers of Protection’ zijn (bv. een veerveiligheid of een SIL-beveiliging), maar ook andere factoren kunnen risicoreductie geven zoals een beperkte aanwezigheid van mensen in het effectgebied van de Loss of Containment. Op eenvoudige wijze wordt vervolgens berekend en getoetst of de (uiteindelijke) incidentfrequentie voldoende laag is.

Zie voor meer informatie: LOPA

Wat is een risicomatrix?

LOPA (Layer of Protection Analysis) met risicomatrix.

De formule Risico = Kans * Effect kan grafisch in twee dimensies worden uitgedrukt. Hierdoor ontstaat een risicomatrix met enerzijds de kans (hoe vaak komt iets voor?) en anderzijds het effect (hoe erg is het?).
Vaak wordt met behulp van kleurtjes of getallen aangegeven wat het resulterende risico is. Bijvoorbeeld groen voor een acceptabel risico en rood voor een onacceptabel risico.
De risicomatrix kan goed gebruikt worden in combinatie met de LOPA-methodiek om risico’s te beoordelen.

Wat is SIL classificatie?

SIL classificatie is het bepalen van het risico om vervolgens de gewenste betrouwbaarheid van een instrumentele beveiliging te kunnen definiëren.

SIL classificatie kan onder andere worden uitgevoerd middels de risicograaf of via de LOPA methodiek.

Wat is een risicograaf?

Risk graph - Risk analysis method

Met behulp van een risicograaf kan een risicoanalyse of SIL classificatie uitgevoerd worden. Er bestaan verschillende soorten risicografen; bijvoorbeeld met het oog op veiligheid, milieu-impact, onderhoud aan installaties.
Door middel van verschillende parameters wordt het risico bepaald. Veelgebruikte parameters zijn:
C – Ernst van de gevolgen
F – Aanwezigheid van mensen in effectgebied
P – Mogelijkheid om aan gevaar te ontsnappen
W – Kans op voorkomen

Wat is ALARP / ALARA

LOPA (Layer of Protection Analysis) met risicomatrix.

ALARP staat voor As Low As Reasonably Practicable (zo laag als redelijkerwijze uitvoerbaar is)
ALARA staat voor As Low As Reasonably Achievable (zo laag als redelijkerwijze haalbaar is).

Het ALARP-principe wordt vaak gezien als een risico dat tussen acceptabel en onacceptabel in zit. Het restrisico moet verkleind worden voor zover redelijkerwijs mogelijk is. Hierbij wordt vaak een kosten/baten afweging gemaakt: de kosten die gemoeid zijn met het verder verkleinen van het risico moeten in hoge mate in verhouding staan ​​tot het behaalde voordeel.

Het ALARP-principe wordt door bedrijven op verschillende manier ingevuld. Vaak bestaan er interne richtlijnen die aangeven hoe men met ALARP om dient te gaan; bijvoorbeeld door een kosten/baten-analyse uit te voeren.

Er zijn ook bedrijven die een zwart-wit benadering kiezen en geen gebruik maken van het ALARP-principe. Hierbij is een restrisico simpelweg acceptabel of niet acceptabel. Afhankelijk van het bepaalde restrisico wordt soms de prioriteit van eventuele actieopvolging bepaald.

Instrumentele beveiligingen (SIL / SIF / SIS)

Wat is SIL?

SIL staat voor Safety Integrity Level. Dit geeft aan aan welke integriteitseisen een instrumentele beveiliging dient te voldoen. Deze beveiligingen worden ook wel Safety Instrumented Functions (afgekort SIFs) genoemd.

De standaarden, IEC 61511 and IEC 61508, definiëren de criteria voor SIFs. Een SIF moet geschikt zijn voor het doel om het geïdentificeerde gevaar te voorkomen. Het integriteitsniveau van een SIF, gedefinieerd als SIL 1, 2, 3 of 4, zorgt voor risicovermindering. Het SIL niveau volgt uit de risicobeoordeling, bijvoorbeeld de LOPA of de SIL classificatie.

De technische integriteit van een SIF is afhankelijk van:
– Onafhankelijkheid van de SIF;
– Eisen aan de architectuur van de sensoren, de logic solver en de final elements;
– Probabilistische randvoorwaarden van de SIF (gemiddelde probability of failure on demand, PFDavg).

Door middel van een SIL verificatie wordt gecontroleerd of de gewenste integriteit van een beveiliging (SIL 1 t/m SIL 4) gehaald wordt.

Hoe bereken ik de PFD van een SIF?

Consiltator - PFD calculator - PFD berekeningstool

De PFD kan berekend worden door middel van diverse methoden. Voorbeelden hiervan zijn
– cause consequence analysis;
– reliability block diagrams;
– fault-tree analysis;
– Markov models;
– Petri nets models.

Daarnaast zijn er ‘simpele’ formules beschikbaar waarmee voor simpele configuraties de PFD bepaald kan worden.
Equations to calculate PFD.
Consiltant BV heeft de PFD Consiltator ontwikkeld, een Excel gebaseerde PFD berekeningstool om PFDavg te berekenen.

Wat is een SIF?

SIF tag

SIF staat voor Safety Instrumented Function en is onderdeel van het Safety Instrumented System (SIS). Een SIS kan uit meerder functies / beveiligingen (SIFs) bestaan.

Een SIF is een specifieke functie met als doel om het risico op een specifiek gevaar te verminderen. De functie zorgt ervoor dat een (industrieel) proces naar een veilige staat gebracht wordt wanneer bepaalde condities (parameters) geschonden worden.

De integriteit van een SIF wordt gedefinieerd met het Safety Integrity Level (SIL) als SIL 1, 2, 3 of 4. Het SIL niveau volgt uit de risicobeoordeling, bijvoorbeeld de LOPA of de SIL classificatie.

Wat is een SIS?

SIS staat voor Safety Instrumented System. Dit systeem, bestaande uit een combinatie van hardware en software, dient er voor te zorgen dat een bepaald proces of installatie binnen veilige grenzen te houden.

Een SIS kan uit meerder instrumentele beveiligingen bestaan, de zogenaamde SIFs (Safety Instrumented Functions). Elke SIF is een specifieke functie met als doel om het risico op een specifiek gevaar te verminderen. De functie zorgt ervoor dat een (industrieel) proces naar een veilige staat gebracht wordt wanneer bepaalde condities (parameters) geschonden worden.

De integriteit van een SIF wordt gedefinieerd met het Safety Integrity Level (SIL) als SIL 1, 2, 3 of 4. Het SIL niveau volgt uit de risicobeoordeling, bijvoorbeeld de LOPA of de SIL classificatie.

Wat is een Safety Requirement Specification (SRS)?

Safety Requirement Specification (SRS) template

Een Safety Requirement Specification (SRS) is een document waarin de ontwerpeisen van instrumentele beveiligingen vastgelegd wordt. De IEC 61511-norm specificeert de algemene vereisten voor een SRS.

De SRS moet de functionele en integriteitsvereisten voor elke Safety Instrumented Function (SIF) bevatten. De SRS kan worden gezien als het belangrijkste referentiedocument, waarna het ontwerp, de installatie, de validatie en de werking van het systeem moeten volgen.

In dit document wordt vastgelegd wat de beveiliging moet doen, tegen welk scenario de beveiliging beschermt, aan welke eisen de beveiliging moet voldoen, hoe de beveiliging is opgebouwd (sensoren, final elements etc.), hoe deze getest kan worden etc.

Een SRS is een multidisciplinair document dat uiteindelijk door de Instrument / Control Engineer kan worden gebruikt om een Safety Instrumented System te ontwerpen.

Consiltant heeft een SRS Template beschikbaar gesteld.

Wat is een SIL verificatie?

Schematic Safety Instrumented System (SIS) or Instrumented Safeguard

SIL verificatie of soms SIL ontwerpverificatie is het toetsen van de betrouwbaarheid van instrumentele beveiligingen. Voor ieder afzonderlijk SIL 1/2/3 of 4 beveiliging dient een SIL verificatie uitgevoerd te worden, in overeenstemming met de IEC 61511 en IEC 61508 normen. Een duidelijk omschreven SRS document is hierbij vaak het vertrekpunt. Dit omvat ook verificaties voor HIPPS systemen (High-integrity pressure protection system).

Wat is een SIF validatie / uitvoeringsverificatie?

Een SIF is een Safety Instrumented Function, ofwel een instrumentele beveiliging. Bij een SIF uitvoeringsverificatie of SIF validatie is het doel om zeker te stellen dat beveiligingen juist gerealiseerd zijn.  Aantoonbaar zal moeten worden dat beveiligingen zijn gerealiseerd volgens de uitgangspunten en gestelde eisen, waarbij gerefereerd kan worden naar de SRS en de SIL ontwerpverificatie. Verder is de kwaliteit van de testprocedures en de competentie van personeel erg van belang.

Wat zijn de IEC 61508 / IEC 61511?

IEC 61508 is de algemene SIL norm en wordt o.a. gebruikt door de leveranciers van beveiligingscomponenten (sensoren, logic solvers, final elements).
IEC 61511 is de SIL norm voor (en van) de proces industrie. Met name dus voor de bedrijven die instrumentele beveiligingen hebben en engineeringbureau’s.

Overige

Wat is een Functional Safety Assessment (FSA)?

Functional Safety Life-cycles volgens IEC 61511

De IEC 61511 schrijft voor dat er op bepaalde momenten binnen een functional safety project diverse Functional Safety Assessments (FSA) gehouden dienen te worden.

Op diverse momenten binnen de safety life-cycle kan een Functional Safety Assessment (FSA) uitgevoerd worden. Er zijn 5 FSA stages gedefinieerd; FSA 1 t/m FSA 5. Een FSA is een controle of een activiteit correct is uitgevoerd. Of zoals het in de IEC 61511 is omschreven:
Investigation, based on evidence, to judge the functional safety achieved by one or more SIS and/or other protection layers.

Een ‘FSA stage 1’ wordt uitgevoerd nadat de SRS-sen gereed zijn. Een ‘FSA stage 2’ nadat het ontwerp van de instrumentele beveiligingen gereed is.

Wat is een Functional Safety Management Systeem?

SIL 4 Functional Safety Management (FSM) certificate

Indien er instrumentele beveiligingen toepast worden in een installatie die moeten voldoen aan de SIL-normen (IEC 61508 / IEC 61511), dan is een Functional Safety Management Systeem (FSM) noodzakelijk. Hierin worden onder andere processen, systemen en procedures omschreven die gebruikt worden bij het ontwerp, de realisatie en het onderhoud van instrumentele beveiligingen. Maar ook competentie van betrokken personeel is erg belangrijk.

Wat is een HIPPS?

Schematic HIPPS overview

HIPPS staat voor High-integrity pressure protection system. Dit is een onafhankelijke instrumentele beveiliging die overdruk in een systeem voorkomt.

Qua opbouw is een HIPPS vaak zeer eenvoudig. In geval van een te hoge druk sluit het één of meerdere (pneumatisch of hydraulisch aangedreven) afsluiters. Vaak moet een HIPPS voldoen aan de eisen van SIL 2 of SIL 3.

Wat is een FMEA of FMECA?

FMEA (Failure Mode Effect Analysis) of soms FMECA (Failure Mode, Effects and Criticality Analysis) is een brainstorm analyse techniek, waarbij een systeem, machine, apparaat of installatie wordt onderverdeeld in afzonderlijke elementen. Van ieder element wordt bepaald hoe het kan falen, wat de oorzaken en de gevolgen zijn en hoe erg de gevolgen zijn. Tevens worden de preventieve/correcties acties geïnventariseerd.

Staat uw vraag er niet bij of wilt u meer informatie over een bepaald onderwerp? Neem contact met ons op.