Functional Safety er en systematisk måde at betragte sikkerhedsniveauet i sit procesanlæg, set ud fra styringen af processen, identificere risikoer for mennesker, materiel og miljø, beregne og anskueliggøre hvilke tiltag, man kan gøre for at imødegå denne risiko.
Baggrunden for at man begyndte at arbejde med Functional Safety og instrumented safety systems var den store ulykke på offshore platformen Piper Alpha i 1988. Herefter har man arbejdet på internationale standarder for opbygning af sikkerhedssystemer, og efter flere store ulykker og flere standarder, er man kommet frem til standarderne IEC 61508 og IEC 61511. Dette er nu en international anerkendt standard, i USA kaldes standarden ISA84 men den har samme indhold som IEC61511.
Begge standarder beskriver, hvorledes du bør / kan angribe sikkerhedsmæssige problemstillinger i enten opbygningen af udstyr, der anvendes i sikkerhedskredsløbet, eller hvordan du finder ud af, hvilke behov dit procesanlæg fordrer. Functional Safety handler først og fremmest om at skabe sikkerhed i procesanlægget. For at gøre det, vil det første skridt være at definere, hvad sikkerhed er.
Hvad er sikkerhed?
Sikkerhed er frihed for uacceptabel risiko
Hvad er så risiko ?
For at forstå denne definition er det vigtigt at få defineret, hvad en risiko er. Dette er den komplicerede del af at skabe et sikkert procesanlæg, både for dem som skal planlægge og bygge anlæg, og dem der skal forsøge at lovgive. Risiko er et yderst relativt begreb, der har forskellige betydninger rundt om i verden og er for eksempel betinget af kultur, religion og traditioner. Selv for det enkelte menneske er der stor forskel på, hvad der er en uacceptabel risiko. Se figur 1.
Figur 1: Vil dette være en acceptabel risiko for dig, i forhold til målet?
IEC 61508 og IEC 61511 giver både producenter af udstyr til sikkerhed og ejere af procesanlæg en guideline til godt ingeniør designpraksis, når man arbejder med procesanlæg. Men konklusionen er, at sikkerhed i procesanlæg starter med at få fastlagt, hvad der er en acceptabel risiko. Dette kan kun gøres ved en overordnet beslutning fra ejeren af procesanlægget, og i enkelte tilfælde i samarbejde med myndighederne.
Virksomhedens risikoprofil
Da risiko delvist er et relativt begreb, er hele forudsætningen for, at man kan bruge principperne i Functional Safety, at virksomheden beskriver sin risiko profil. Man skal sætte tal på, hvilke risici man kan leve med.
Man kan som leder af en virksomhed ikke bare affærdige dette ansvar med at sige, at vi ikke accepterer nogen risiko. Der er altid en risiko, der er faktisk kun en sikkerhed for, at vi alle har en begrænset levetid.
Til at hjælpe med at sætte tal på en acceptabel risiko, vil man kunne drage fordel af statistisk materiale, som sætter tal på risici ved forskellige aktiviteter. Vi sætter vurderingen og risikoen ind i en begrebsverden, alle kan forholde sig til.
Ud fra nedenstående skema kan man se nogle talmæssige udtryk for risikoen ved forskellige aktiviteter, som vi alle kan forholde os til, dermed kan vi også sætte tal på hvilket risikoniveau, vi kan acceptere. Vil det f.eks være acceptabelt, at det skal være lige så farligt at opholde sig i procesanlægget, som at køre på motorcykel, så er risikoprofilen 2 x 10-2 eller 2 / 100.
Normalt vil man vælge et niveau mellem 5 x 10-4 – 2 x 10-6, fordi det meget godt afspejler den normale ”risiko”, der er ved at leve i den vestlige verden.
Figur 2
Hvad er det vi skal beskytte
Når vi har en proces eller en fabrik, så indeholder den en del aspekter, som vi bør / skal tage hensyn til i vores sikkerhedsvurdering:
- Menneskeliv
- Miljø
- Virksomhedens aktiver
- Kvaliteten af det produkt vi producerer
- Virksomhedens image
Hvad omhandler sikkerhedsbegrebet?
Vi kigger på alle processer og identificerer de situationer, som har en betydelig konsekvens, og sammenholder den med, hvor tit denne ”demand” opstår. Der opnås en viden, som er forsøgt vist på figur 3, og hermed vil der eventuelt opstå et krav om risikoreduktion for at opnå den acceptable risiko, vi havde bestemt tidligere.
Figur 3
Kravene om risikoreduktion vil blive imødegået efter følgende guidelines.
Man vil følge en 4-trins raket, se figur 4. Først vil man se på sit design, så vil man lave mekanisk beskyttelse, dernæst vil man forsøge at inddæmme ulykken, og hvis intet andet er nok, vil man installere et sikkerhedssystem.
Figur 4
Hvordan griber vi det an?
IEC 61508 / 61511 beskriver 5 vigtige hovedpunkter, som man bør gennemgå. Vi vil i denne artikel ikke komme ind på detaljerne, men blot konstatere, at hvis man følger disse hovedpunkter, vil man have gjort et systematisk arbejde for at forhindre ulykker i procesanlægget.
- Functional safety management system
- Klarlægningen af processens livscyklus ud fra et sikkerhedsperspektiv
- ”Pipe to pipe” fremgangsmåde
- kvalitativ sikkerhedsvurderinger
- Undersystemers arkitektur.
Vi vil nøjes med at kikke på, hvad vi rent praktisk gør, og beskrive et par af de vigtige begreber, vi arbejder med. Figur 5.
Figur 5
Vi vil arbejde med en tilgang, hvor vi kigger på ”pipe to pipe”, det vil sige ét sikkerhedsloop ad gangen. Dette komplette sikkerhedsloop kaldes en SIF (Safety Instrumented Function). Ud fra en risikoanalyse findes et tal for risikoreduktion, hvilket vil give et SIL niveau for det undersøgte loop. Altså for en given SIF vil en target SIL blive bestemt. Figur 6.
Figur 6
Target SIL indikerer den maximale gennemsnitlige sandsynlighed for “Failure on Demand” (PFDavg) som en SIF må have. Beregninger skal vise, at den specifikke SIF møder target SIL niveau (SIL opnået => SIL target).
Så meget om teorien bag. Standarderne beskriver 5 forskellige metoder til at bestemme SIL niveauet på sin SIF. Figur 7.
Figur 7
Beregningsmetode
For at give en ide om begreberne, kan vi kikke på Risk Matrix. Der er ikke noget krav om at bruge en bestemt metode i forhold til sin branche. Det står virksomheden frit for at vælge det, som passer bedst til ens situation. Se figur 8.
Figur 8: Risk matrix
Dette skema læses, ved at man tager en beslutning om hvilke menneskelige konsekvenser, hvilken økonomisk konsekvens og hvilken miljøeffekt der er. Worst Case bestemmer udgangspunktet, herefter bestemmer man, hvor tit denne situation kan opstå. I de farvede bokse vil man kunne aflæse hvilket SIL niveau, man bør beskytte sit procesanlæg med for at undgå denne situation
Den almindelige regel er, at kommer man frem til et SIL4 niveau, må man kraftigt overveje om ens proces-design ikke skal være meget anderledes, eller om man overhovedet skal bygge sit anlæg. SIL3 bør også give anledning til bekymring, uden det skal afholde én fra fortsætte, med den viden at det vil blive omkostningsfuldt at beskytte sin proces. Insatech kan, i samarbejde med nogle af vores leverandører, tilbyde løsninger til beskyttelse helt op til SIL 4 niveau.
Beregningseksempel
Når man har bestemt sit SIL niveau, så kan man gå i gang med at beregne hvor meget procesudstyr, der skal til for at overholde sit SIL niveau. Vi vil i denne artikel prøve at give et forsimplet eksempel på, at vælge en tryktransmitter i en SIF. Samme procedure skal gøres for alle komponenter, der indgår i SIF’en, og dernæst skal der laves et samlet tjek på, at man overholder SIL niveauet ved at beregne PFDavg for hele SIF.
Vi laver et tænkt eksempel, hvor vi har et tryk i en tank, der kan blive for højt. Hvis trykket bliver over 60 bar(g), kan tanken eksplodere, og der kan være mennesker omkring den. Vi har bestemt SIL niveauet til SIL 3.
For at imødegå denne situation, vil vi måle trykket og styre en ventil til at lukke. Men alt udstyr er ikke fejlsikkert. For at være sikker på at kunne måle trykket, bliver vi nød til at finde ud af, hvad der skal til for at sikre, at vi ikke har en hardwarefejl i forhold til den risikoreduktion, vi har brug for (SIL3).
Figur 9
I sikkerhedsmanualen, specifikationerne eller på diverse internetsider vil man kunne finde værdier for et instruments fejltolerance. Dette er udtrykt i en SFF (Safe Failure Fraction) værdi. For en af Yokogawas tryktransmitter er det 94,6 % og den er ifølge producenten et SIL3 instrument.
SIL i hele sikkerhedsloopet
Man må bare ikke tro, at fordi man har købt et SIL3 instrument, så har man en SIL3 kreds. Det er hele kæden, der skal være under SIL3 niveauet. Husk altid at læse hele manualen, nogen gange forbruger instrumentets eller ventilens usikkerhedsbudget hele SIL3 niveauets usikkerhedsbudget. Dermed er der ikke plads til de andre komponenter. I andre tilfælde sætter producenten begrænsninger op for, hvor denne SIL rating gælder, måske i et bestemt temperaturområde. Derfor: læs altid manualen.
Figur 10
Tryktransmitteren havde altså en SFF værdi på 94,6 %, og vi havde en SIL3 kreds. En tryktransmitter er ikke en simpel kreds, derfor skal vi kikke på tabel 3, figur 11. Ved at aflæse feltet 90 - 99 % og gå ud til SIL3 kan vi konstatere, at der kræves en hardware fejltolerance på 1, hvilket vil sige 2 målinger, eller med andre ord en 1002 måling.
Figur 11
Som en lille note kan vi sige, at rigtig mange tryktransmittere ligger med en SFF værdi under 90 %. De vil som oftest kræve en hardware fejltolerance på 2 => 1003. Derfor skal man i sikkerhedskredse ikke altid gå efter det billigste komponent, det kan være den dyreste løsning!
Samme procedure skal gennemføres for alle de andre komponenter.
Dette var en kort forklaring på nogle af begreberne i et stort og interessant emne. Skulle det have vakt jeres nysgerrighed, må I meget gerne kontakte Insatech for yderligere informationer.
Uddannelsesmuligheder
I samarbejde med TÜV Rheinland udbyder Insatech introduktionskursus i Functional Safety til alle, der arbejder på et procesanlæg og et uddannelsesforløb til dem, der skal designe sikkerhedssystemerne. Her kan man blive TÜV certificeret FS engineer.
Figur 12: Grafisk IEC 61511-1 livscyklus.