Berekeningen om te komen tot de SIL-waarde van een veiligheidssysteem zijn niet eenvoudig, maar soms wordt het ook wel onnodig moeilijk uitgelegd. Het valt ook niet mee om de relevante normen op dit front te ontcijferen. In enkele artikelen probeer ik uit te leggen hoe aan de betrouwbaarheid van een SIL-systeem kan worden gerekend. In het eerste deel worden de oorsprong en de basis uitgelegd. In dit artikel gaan we verder in op enkele speciale variabelen zoals FIT, SFF, DC, HFT en de relatie tussen betrouwbaarheid en beschikbaarheid.

In deel 1 is de faalkans van een wasmachine beschreven als de gemiddelde tijd waarna de unit faalt, ofwel de MTBF. Bij wasmachine A was dit 12,3 jaar. Vervolgens is nog aangegeven dat het falen voor SIL wordt aangeduid als gevaarlijk en ongedetecteerd. De faalkans, λdu, is dus gelijk aan één gedeeld door de MTBFdu. Voor wasmachine A is dit dus 1/12,3 = 0,0813 keer per jaar. In uren omgerekend: 12,3 jaar (x 8760) is gelijk aan 107.748 uur. Eén gedeeld door dat aantal is 9,28 x 10-6 keer falen per uur. Als tweede voorbeeld werd de druktransmitter gegeven met een MTBFdu van 25 jaar. De λdu (in uren) is één gedeeld door (25 x 8760) is 4,566 x 10-6 aantal keer falen per uur. Tegenwoordig wordt de faalkans steeds meer in de eenheid FIT uitgedrukt. FIT staat voor Failure In Time en is gedefinieerd als het aantal keer falen in één miljard uur, ofwel 109 uur. Dus de genoemde druktransmitter heeft een faalkans van 4566 FIT (4,566 x 10-6 maal 109).

De faalkans is een gemiddelde waarde als vast getal gedurende een bepaalde periode van het “leven” van een element, product of apparaat. Het is belangrijk dat de technologie en werking van het element “stabiel” en uitontwikkeld is. Apparaten van geheel nieuwe technologie geven een redelijk grote onzekerheid over de kans van falen. Deze wordt vooral veroorzaakt door de nieuwigheid, de onbekendheid met techniek en gedrag. De invloed van de praktische omstandigheid waarin het apparaat wordt gebruikt is nog niet bekend. Wat is het effect van de variatie van temperatuur, druk, trilling, vochtigheid et cetera, op de werking. Aan de andere kant gaan producten die lang in bedrijf zijn op een gegeven moment door veroudering en slijtage een stijging van de faalkans geven. Deze beide invloeden op faalkans, nieuwigheid in het begin en veroudering aan het eind, worden in de zogenaamde badkuipkromme weergegeven. In het begin daalt de faalkans tot een bepaald minimum. Vervolgens blijft dit een relatief lange tijd ongeveer constant waarna na verloop van tijd deze weer begint te stijgen.

Wat betekent dit getal? Als λdu groot is ten opzichte van de andere faalgetallen, dan is de SFF klein. Het aandeel van de belangrijkste foutwaarde voor SIL is dus groot. Als daarentegen de waarde van λdu nul is, dan is de SFF maximaal, namelijk 1. Alles faalt veilig, maar dat komt niet voor. Daarmee is te stellen dat de SFF-waarde een indicator is voor de mate van betrouwbaarheid. Bij de keuze van apparatuur voor SIL-functies dient hiermee rekening te worden gehouden. Het beïnvloedt namelijk de mate van vereiste hardware fault tolerance. Deze term wordt verderop in dit artikel uitgelegd.

Het is eenvoudig te berekenen dat de PFD-waarde sterk daalt bij gelijke faalkans en testinterval. In het voorbeeld van de druktransmitter met 25 jaar MTBFdu en één jaar testinterval is de PFDavg bij 1oo1: 0,02. En de PFDavg bij 1oo2 is 0,00053. Reken dit maar eens na.

We moeten ons wel realiseren dat in dit voorbeeld de redundantie alleen is ingevoerd voor de sensor. Datzelfde zou je ook kunnen doen voor het final element, het ventiel. Alleen wordt de voting dan bepaald door de procestechnische samenstelling, de zogenaamde “hookup”. Als voor dit vat de veiligheidsfunctie is dat een ontlaatventiel wordt opengestuurd, dan dien je de twee kleppen parallel te installeren om de 1oo2 functie te bereiken. De veiligheidsplc stuurt beide ventielen tegelijk aan. Is afsluiten de veiligheidsfunctie dan moeten ze in serie worden gemonteerd om 1oo2 te hebben.

Er kleven een paar nadelen aan redundantie. De meest voor de hand liggende is dat het duur is. Je moet in plaats van één, twee apparaten aanschaffen, installeren, onderhouden en testen. Een ander wezenlijk nadeel is dat de kans op ongewenst falen van de SIF toeneemt. Aangezien de elementen van een veiligheidskring altijd in een fail-safe-modus worden toegepast, zal bij falen van een van de elementen het proces worden afgeschakeld. Of in ons voorbeeld zal het vat ongepland opengezet worden, waardoor het proces gestopt wordt. Het proces, of de procesinstallatie, wordt daardoor minder “beschikbaar”. Dus met redundantie wordt de betrouwbaarheid van de veiligheidsfunctie verhoogd en tegelijk wordt de beschikbaarheid van de installatie verlaagd. Wat kunnen we daartegen doen?

Als de twee drukopnemers worden gebruikt in een 2oo2 in plaats van een 1oo2 mode dan wordt de betrouwbaarheid weliswaar minder, maar de beschikbaarheid neemt toe. In een 2oo2 mode namelijk, zal de plc pas een veiligheidsfunctie “doorzetten” naar het ventiel als beide sensoren een hoge waarde aangeven. Twee-van-twee moeten hoog zijn. Dus als een van de twee

faalt, zal de plc de trip niet uitvoeren. Dat is een mooie eigenschap. Echter, de betrouwbaarheid is lager dan 1oo1, namelijk PFDavg = λdu x Ti

Om nu toch beide voordelen te hebben, dus zowel een hogere betrouwbaarheid als een hogere beschikbaarheid, kan 2oo3 voting worden toegepast. Dat betekent wel dat drie apparaten moeten worden geïnstalleerd. De 2oo3 voting heeft een betrouwbaarheid die ongeveer gelijk is aan de 1oo2 opzet, en tegelijk een beschikbaarheid die in de buurt ligt van de 2oo2 mode. Veel bedrijven maken, vaak voor kritische loops, gebruik van deze configuratie. De formules van de verschillende configuraties staan in tabel 1.

Configuratie|PFD|PFD mét PST

1oo2 = 1 out of 2 = Eén van twee instrumenten moet ‘hoog’ zijn om het systeem te activeren. Verdere verklaring zie de tekst.

Tabel 1 - Formules voor de berekening van PFDavg voor verschillende vormen van redundantie en voor het gebruik van deeltesten zoals PST (zie verder in dit artikel)

Bij het toepassen van redundantie wordt gebruik gemaakt van meerdere hardwarecomponenten voor dezelfde functie. Dus bij 1oo3 worden drie apparaten gebruikt. Als een van die apparaten faalt, zal de veiligheidsfunctie nog steeds intact blijven. Zelfs als er twee falen, behoudt de kring zijn functie. Pas bij het falen van de derde zal de veiligheid in gevaar komen. Hieruit blijkt dat er in dit geval twee stuks hardware mogen falen zonder dat het systeem faalt. Men spreekt dan van een fouttolerantie van de hardware van twee, in het Engels een HFT van 2. Het is in te zien dat een 1oo2 mode of voting een HFT heeft van 1. Bij een 1oo1 voting faalt de veiligheidsfunctie direct als één apparaat faalt. De HFT is dan nul.

In de SIL-norm voor de procesindustrie, NEN-EN-IEC 61511, worden eisen gesteld aan de HFT-waarde op basis van het SIL-niveau. Naarmate de SIL (en dus het risico) toeneemt wordt ook een hogere HFT-waarde vereist. Dus de keuze van het aantal apparaten of elementen dat gebruikt mag worden is niet vrij, maar moet op basis van deze norm gebeuren. Overigens mag ook gebruik worden gemaakt van de “moedernorm” van SIL, NEN-EN-IEC 61508. In de pas uitgebrachte tweede editie van de eerstgenoemde norm is een foutje geslopen in de tabel (6) met de HFT-voorwaarden. De juiste tabel is hieronder gegeven.

De toepasbare of de toegepaste HFT is te halen uit de voting door van het tweede cijfer het eerste af te trekken. Dus bij 2oo3 voting is de HFT 3 - 2 = 1. En bij 2oo2 is de HFT 2 - 2 = 0.

Eerder schreef ik al over de diverse foutvormen die zich bij apparatuur openbaren. Als bij een niveaudetector een draadje breekt, dan wordt dat door de plc opgemerkt.

Met moderne smart instrumenten is de fabrikant in staat om steeds meer fouten die in het instrument optreden, te detecteren. De DC-factor wordt daarmee dus groter. Bij het testen van veiligheidsapparatuur moet de gebruiker de test zodanig uitvoeren dat alle gevaarlijke en ondetecteerbare fouten, de fouten die dus bijdragen aan λdu, zichtbaar gemaakt worden. Dát moet de focus zijn van de testfunctie. Het uitgangspunt van de norm is de zogenaamde “proof test”. Die omvat het feitelijk zodanig veranderen van het proces dat de veiligheidsfunctie wordt aangesproken. Als dat, volgens de specificaties van de SIF, correct plaatsvindt, dan kan gesteld worden dat de veiligheidsfunctie goed werkt. En daarmee dat alle λdu-fouten zijn gecontroleerd. De dekkingsgraad van deze test is dus 100%. Als een veiligheidsventiel getest wordt door de klep slechts over een deel van de volledige slag te laten bewegen, is niet de volledige functie gecontroleerd. In ieder geval is aangetoond dat de klep zal bewegen, maar niet dat deze ook 100% zal bewegen. Deze vorm van “deeltesten” van een ventiel is voor de beschikbaarheid van het proces wel aantrekkelijk. Bij een sluitende klep hoeft het proces namelijk niet te worden stilgelegd. Dit wordt de “partial stroke test” genoemd, veelal aangegeven door PST.

Bij de berekening van de PFDavg moet dus gecorrigeerd worden voor dit incompleet testen. Bekend moet zijn wat het aandeel is van λdu wat wel en wat niet “gezien” wordt bij de PST. Ik noem dit de PSTDC, de diagnostische dekkingsgraad van de PST.

De norm stelt dat deze vorm van deeltesten mag worden uitgevoerd, maar het mag de volledige prooftest niet vervangen. Dat betekent dat er tussentijdse “deeltesten” worden gedaan en regelmatig, over een langere periode verspreid, een volledige test uitgevoerd moet worden. In dat geval zijn er dus twee testintervallen, de Tpst en de Ti.

Sommige leveranciers van ventielen geven een PSTDC van 60%. Het interval van de PST zou 3 maanden kunnen zijn en het interval van de volledige test bijvoorbeeld 2 jaar. Bij een ventiel met een MTBFdu van 10 jaar is de λdu de omgekeerde waarde, dus 0,1. De PFDavg is dan ( 0,5 x 0,6 x 0,1 x 0,25 ) + ( 0,5 x 0,4 x 0,1 x 2 ) = 0,0475

Met beide artikelen heb ik inzicht gegeven in de veiligheidsberekeningen, ook wel SIL-verificatie genoemd. Let wel, er zijn meerdere detailvariabelen en andere rekenmodellen, want faalkansberekening is gebaseerd op statistiek, maar voor het algehele inzicht is hier een goede basis gelegd.

In de normontwikkeling wordt voortdurend gewerkt aan verbetering van de toepassing van SIL. Ook met het Nederlandse SIL-Platform wordt regelmatig stilgestaan bij de juiste invulling van SIL-verificatie, en de vele andere aspecten van het goed toepassen van SIL voor verhoging van de procesveiligheid.

Er zijn eindgebruikers die minder of niet enthousiast zijn over het gebruik van de PST. In het artikel Testen van veiligheidskleppen is daarover geschreven.

De verlaten fabriek van Union Carbide in Bhopal die sinds deze catastrofe in 1984 onaangeroerd is gebleven. SIL is een middel om de kans op dit soort incidenten te verlagen.

Blijf op de hoogte van het laatste IA-nieuws en ontvang tweewekelijks een e-mail.

In deze editie onder andere: ‘Techniek promoten’, ‘Verschuivende polen’ en ‘ATEX, alles duidelijk?’

Bent u nog niet bekend met Automatie | PMA? Vraag dan hier uw proefabonnement aan en ontvang 2 gratis proefnummers.

© 2022 Automatie | PMA. All rights reserved.