Produkter » Hvad er Functional Safety - 2

Medium_piper-alpha-oil-rig-web

SIL-TÜV Functional Safety

Functional Safety er en systematisk måde at betragte sikkerhedsniveauet i sit procesanlæg, identificere risici for mennesker, materiel og miljø, beregne og anskueliggøre hvilke tiltag man kan gøre for at imødegå denne risiko.

Dette er en fortsættelse af  den korte introduktionsartikel vi bragte i Insa Nyt nr. 65.

Functional Safety tager udgangspunkt
i standarderne:

IEC 61508

IEC 61511

Begge standarder beskriver, hvorledes du bør/kan angribe sikkerhedsmæssige problemstillinger i enten opbygningen af udstyr, der anvendes i sikkerhedskredsløbet, eller hvordan du finder ud af, hvilke behov dit procesanlæg fordrer. Functional Safety handler først og fremmest om at skabe sikkerhed i procesanlægget. For at gøre det, vil det første skridt være at definere, hvad sikkerhed er.

 Vil dette være en acceptabel risiko for dig

Figur 1. Vil dette være en acceptabel risiko for dig, i forhold til målet!

Risiko

For at forstå denne definition er det vigtigt at få defineret, hvad en risiko er. Dette er den komplicerede del af at skabe et sikkert procesanlæg, både for dem som skal planlægge og bygge anlæg, og dem der skal forsøge at lovgive. Risiko er et yderst relativt begreb, der har forskellige betydninger rundt om i verden. Betinget af kultur, religion og traditioner. Selv for det enkelte menneske er der stor forskel på, hvad der er en uacceptabel risiko. Fig. 1.

Virksomhedens risikoprofil

Da risiko delvist er et relativt begreb, er hele forudsætningen for, at man kan bruge principperne i Functional Safety, at virksomheden beskriver sin risiko profil. Man skal sætte tal på, hvilke risici man kan leve med.

Man kan som leder af en virksomhed ikke bare affærdige dette ansvar med at sige, at vi ikke accepterer nogen risiko. Der er altid en risiko, der er faktisk kun en sikkerhed for, at vi alle har en begrænset levetid.

Til at hjælpe med at sætte tal på en acceptabel risiko, vil man kunne drage fordel af statistisk materiale, som sætter tal på risici ved forskellige aktiviteter. Vi sætter vurderingen og risikoen ind i en begrebsverden, alle kan forholde sig til.

Ud fra nedenstående skema kan man se nogle talmæssige udtryk for risikoen ved forskellige aktiviteter, som vi alle kan forholde os til, dermed kan vi også sætte tal på hvilket risikoniveau, vi kan acceptere. Vil det f.eks være acceptabelt, at det skal være lige så farligt at opholde sig i procesanlægget, som at køre på motorcykel, så er risikoprofilen 2 x 10-2 eller 2/100.

Normalt vil man vælge et niveau mellem 5 x 10-4 – 2 x 10-6, fordi det meget godt afspejler den normale ”risiko”, der er ved at leve i den vestlige verden.

 

Hvad er det vi skal beskytte

Når vi har en proces eller en fabrik, så indeholder den en del aspekter, som vi bør/ skal tage hensyn til i vores sikkerhedsvurdering.

- Menneskeliv

- Miljø

- Virksomhedens aktiver

- Kvaliteten af det produkt vi producerer

- Virksomhedens image.

Figur 3.

Hvad omhandler sikkerhedsbegrebet?

Vi kigger på alle processer og identificerer de situationer, som har en betydelig konsekvens, og sammenholder den med hvor tit denne ”demand” opstår. Der opnås en viden som forsøgt vist på figur 3, og hermed vil der evt. opstå et krav om risikoreduktion for at opnå den acceptable risiko, vi havde bestemt tidligere.

Kravene om risikoreduktion vil blive imødegået efter følgende guidelines.

Man vil følge en 4-trins raket, figur 4. Først vil man se på sit design, så vil man lave mekanisk beskyttelse,  dernæst vil man forsøge at inddæmme ulykken, og hvis intet andet er nok, vil man installere et sikkerhedssystem.

Figur 4.

Hvordan griber vi det an?

IEC 61508/61511 beskriver 5 vigtige hovedpunkter, som man bør gennemgå. Vi vil i denne artikel ikke komme ind på detaljerne, men blot konstatere, at hvis man følger disse hovedpunkter, vil man have gjort et systematisk arbejde for at forhindre ulykker i procesanlægget.

  1. Sikkerhedssystemets livscyklus
  2. ”Pipe to Pipe”
  3. Den kvantitative sikkerhedsvurdering
  4. Hardware fejltolerance
  5. Funktional safety management system

Vi vil nøjes med at kikke på, hvad vi rent praktisk gør, og beskrive et par af de vigtige begreber, vi arbejder med. Figur 5.

 

Figur 5.

Vi vil arbejde med en tilgang, hvor vi kikker ”pipe to pipe”, dvs ét sikkerhedsloop ad gangen. Dette komplette sikkerhedsloop kaldes en SIF. Ud fra en risikoanalyse findes et tal for risikoreduktion, hvilket vil give et SIL niveau for det undersøgte loop. Altså for en given SIF vil en target SIL blive bestemt. Figur 6.

Figur 6.

Target SIL indikerer den maximale gennemsnitlige sandsynlighed for “Failure on Demand” (PFDavg) som en SIF må have. Beregninger skal vise, at den specifikke SIF møder target SIL niveau (SIL opnået _>  SIL target).

Så meget om teorien bag. Standarderne beskriver 5 forskellige metoder til at bestemme SIL niveauet på sin SIF. Figur 7.


Figur 7.

Beregningsmetode

For at give en ide om begreberne, kan vi kikke på Risk Matrix. Der er ikke noget krav om at bruge en bestemt metode i forhold til sin branche. Det står virksomheden frit for at vælge det, som passer bedst til ens situation. Se figur 8.

Figur 8. Risk Matrix.

Dette skema læses, ved at man tager en beslutning om hvilke menneskelige konsekvenser, hvilken økonomisk konsekvens og hvilken miljøeffekt der er. Worst Case bestemmer udgangspunktet, herefter bestemmer man, hvor tit denne situation kan opstå. I de farvede bokse vil man kunne aflæse hvilket SIL niveau, man bør beskytte sit procesanlæg med for at undgå denne situation

Den almindelige regel er, at kommer man frem til et SIL4 niveau, må man kraftigt overveje om ens proces-design ikke skal være meget anderledes, eller om man overhovedet skal bygge sit anlæg. SIL3 bør også give anledning til bekymring, uden det skal afholde én fra fortsætte, med den viden at det vil blive omkostningsfuldt at beskytte sin proces. Insatech kan i samarbejde med Yokogawa tilbyde løsninger til beskyttelse, helt op til SIL 4 niveau.

Beregningseksempel

Når man har bestemt sit SIL niveau, så kan man gå i gang med at beregne hvor meget proces udstyr, der skal til for at overholde sit SIL niveau. Vi vil i denne artikel prøve at give et forsimplet eksempel på ,at vælge en tryktransmitter i en SIF. Samme procedure skal gøres for alle komponenter, der indgår i SIF’en, og dernæst skal der laves et samlet tjek på, at man overholder SIL niveauet ved at beregne PFDavg for hele SIF.

Vi laver et tænkt eksempel, hvor vi har et tryk i en tank, der kan blive for højt. Hvis trykket bliver over 60 barg, kan tanken eksplodere, og der kan være mennesker omkring den. Vi har bestemt SIL niveauet til SIL 3.

For at imødegå denne situation, vil vi måle trykket og styre en ventil til at lukke. Men alt udstyr er ikke fejlsikkert. For at være sikker på at kunne måle trykket, bliver vi nød til at finde ud af, hvad der skal til for at sikre, at vi ikke har en hardwarefejl i forhold til den risikoreduktion, vi har brug for (SIL3).

I sikkerhedsmanualen, specifikationerne eller på diverse internetsider vil man kunne finde værdier for et instruments fejltolerance. Dette er udtrykt i en SFF værdi. For Yokogawas tryktransmitter EJA430 er det 94,6%. Den er ifølge producenten et SIL3 instrument.

SIL i hele sikkerhedsloopet

Man må bare ikke tro, at fordi man har købt et SIL3 instrument, så har man en SIL3 kreds. Det er hele kæden, der skal være under SIL3 niveauet. Husk altid at læse hele manualen, nogen gange forbruger instrumentets eller ventilens usikkerhedsbudget hele SIL3 niveauets usikkerhedsbudget. Dermed er der ikke plads til de andre komponenter. I andre tilfælde sætter producenten begrænsninger op for, hvor denne SIL rating gælder, måske i et bestemt temperaturområde. Derfor: læs altid manualen.

EJX430 havde altså en SFF værdi på 94,6%, og vi havde en SIL3 kreds. En tryktransmitter er ikke en simpel kreds, derfor skal vi kikke på tabel 3, figur 9. Ved at aflæse feltet 90-99% og gå ud til SIL3 kan vi konstatere, at der kræves en hardware fejltolerance på 1, hvilket vil sige 2 målinger, eller med andre ord en 1oo2 måling.

Figur 9.

Som en lille note kan vi sige, at rigtig mange tryktransmittere ligger med en SFF værdi under 90%. De vil som oftest kræve en hardware fejltolerance på 2 => 1oo3. Derfor skal man i sikkerhedskredse ikke altid gå efter den billigste komponent, den kan være den dyreste løsning!

Samme procedure skal gennemføres for alle de andre komponenter.

Dette var en kort forklaring på nogle af begreberne i et stort og interessant emne. Skulle det have vakt jeres nysgerrighed, må I meget gerne kontakte Insatech for yderligere informationer.

 I næste nummer tager vi fat i nogle af de andre værktøjer, der skal hjælpe os igennem en sikkerhedsvudering, som bla. Hazop.