Safety Integrity Level en Performance Level bepaling

Transcriptie

1 Safety Integrity Level en Performance Level bepaling Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie voor machines en procesinstallaties G.D. Schmitz

2 Safety Integrity Level en Performance Level bepaling Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie voor machines en procesinstallaties Auteur: Werkzaam bij: Functie: dhr. G.D. Schmitz Charlotte Ruysplantsoen NE Heerhugowaard [email protected] TripleM Consultants & Engineers Nijverheidsweg CN Haarlem [email protected] Manager Industriële Automatisering / KAM Manager Scriptie ten behoeve van de PHOV opleiding Hogere Veiligheidskunde: Cursusgroep: U27 Mentor: dhr. H.F. Dolleman Handtekening: Datum: 27 september 2007 Verklaring van openbaarheid: Op dit rapport is het auteursrecht van toepassing. Openbaar maken is toegestaan. Pagina II Revisie: A.e1, 27 september 2007

3 Samenvatting Momenteel staat de techniek om automatische systemen met, beter bekend als de SIL techniek, volgens de normen IEC 61508, 61511, en ISO te ontwerpen, volop in de belangstelling. Door de vrij recente updates van de normen en een toenemende aandacht voor deze techniek, ook vanuit de controlerende overheid, bestaat er veel behoefte aan extern advies en ondersteuning. Dat geldt voor de uitvoering van risicobeoordelingen, het bepalen van het juiste SIL of PL niveau (de SIL/PL classificatie) als ook het ontwerp van een instrumenteel beveiligingssysteem volgens deze normen. Het is te verwachten dat toepassing van deze techniek voor procesinstallaties maar vooral ook voor machines in de nabije toekomst een sterke groei zal doormaken. De huidige stand van zaken en ervaringen bij klanten zijn de redenen waardoor dit rapport tot stand is gekomen: - Onduidelijkheid en ontevreden gevoel bij klanten m.b.t. de risicoclassificering. Onvolledige motivatie en onvoldoende klantbetrokkenheid leidt tot de veelgehoorde klacht dat het classificatieresultaat te zwaar is. - Te technisch beoordeelde classificaties, veelal uitgevoerd door technici. Situatie-, gebruiker- en cultuurgerelateerde invloeden worden over het algemeen niet meegenomen. - De laatste update van de PL (Performance Level) norm ISO en de SIL (Safety Integrity Level) normen IEC 61508, en De classificatie van veiligheidsfuncties van machines volgens de PL systematiek kan leiden tot een andere waardering dan volgens de SIL systematiek. In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen van het SIL en PL van een zogenaamde Safety Instrumented Functie. Voor klanten van TripleM leidt het advies op basis van het resultaat van het onderzoek tot: - Risicoclassificatie passend bij de installatie en de gebruiker c.q. installatie-eigenaar. - Een correct veiligheidsniveau van machines en procesinstallaties. - Een goede onderbouwing van de classificatie met gerichte aanbevelingen, waardoor begrip en acceptatie ontstaat voor het resultaat en de te nemen maatregelen. Dit doel wordt bereikt door: - het uitwerken van risicografen voor het beoordelen van risico s van procesinstallaties en machines; - het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL van een machine; - een handleiding uit te werken voor het correct toepassen van de risicografen. Het resultaat komt voort uit ervaringen uit contacten met klanten, leveranciers van veiligheidsinstrumenten en externe adviseurs. Bestudering van de normen ISO 13849, IEC 61508, en en aanverwante normen. Onderzoek naar relevante literatuur. En ervaringen uit de eigen organisatie bij het uitvoeren van risicobeoordeelingswerkzaamheden en SIL/PL classificaties. De belangrijkste conclusies en aanbevelingen zijn: - Het aanpassen van het ontwerp heeft de voorkeur boven het toepassen van een instrumentele beveiliging. Beter een veilig ontworpen installatie dan beveiligd door aanvullende instrumentele maatregelen. Dit is een aandachtspunt in de ontwerpfase van machines en installaties. - De kwaliteit van het bepalen van een PL of SIL wordt verbeterd door het toepassen van de in hoofdstuk 6 beschreven risicografen. Pagina III Revisie: A.e1, 27 september 2007

4 - Gebruik de gemodificeerde en gecombineerde risicograaf uit Bijlage H voor het bepalen van zowel een PL (ISO 13849) als een SIL (IEC62061). Dit om een eenduidig beoordelingsresultaat met een consistente onderbouwing te verkrijgen. - Zorg voor acceptatie van het SIL of PL resultaat door klanten te betrekken bij de uitvoering van een SIL of PL bepaling. - Een volledige rapportage met een goede onderbouwing van de SIL en PL bepalingen is essentieel. De volgende acties worden geadviseerd om de kwaliteit van de SIL en PL bepalingen te borgen binnen de organisatie: - De bevindingen uit dit rapport dienen te worden verwerkt in de standaard rapportage en het bijbehorende classificatiesheet. - De betrokken adviseurs op de hoogte brengen van de bevindingen uit dit rapport. Pagina IV Revisie: A.e1, 27 september 2007

5 Inhoudsopgave 1 Inleiding De organisatie TripleM Consultants & Engineers De positie van de auteur binnen TripleM Het profiel van de klanten van TripleM Industriële Veiligheid Het doel en de doelgroep van het rapport De aanpak van het onderzoek Leeswijzer Afbakening van het rapport en probleemstelling Risicobeoordeling van machines en procesinstallaties Risicoreducerende maatregelen Automatische systemen met Specifieke normen voor het ontwerp van automatische systemen met een veiligheidsfunctie Definitie van automatische veiligheidsfunctie en automatisch veiligheidssysteem Risicobeoordeling en classificatie van een SIF; de doelstelling van dit rapport Probleemstelling en het effect op een SIL of PL bepaling Wat is het wettelijk kader voor functionele veiligheid Veiligheidswetgeving Milieuwetgeving Economische schade Het belang van een gedegen risicobeoordeling van een SIF Het effect van fouten tijdens het ontwerpproces van SIFs De vereiste nauwkeurigheid van de risicograaf Wie past een risicograaf toe Het risico van een procesinstallatie versus het risico van een machine De invloed van een machine op veiligheid De invloed van een procesinstallatie op veiligheid Verschil in risicografen voor de beoordeling van het veiligheidsrisico van machines en procesinstallaties Een machine met een procesrisico en een proces met een machinerisico Het bepalen van het Safety Integrity- of Performance Level met behulp van een risicograaf Het toepassen van een risicograaf voor machines De keuze van de risicograaf Bepaling van het effect, de ernst van de gevolgen voor de gezondheid Bepaling van de kans op schade met een bepaalde ernst De risicograaf voor procesinstallaties De keuze van de risicograaf Bepaling van het effect, de ernst van de gevolgen voor de gezondheid Bepaling van de kans op schade met een bepaalde ernst Conclusies en aanbevelingen Pagina V Revisie: A.e1, 27 september 2007

6 8 Literatuur Boeken Artikelen Normen Lijsten Verklarende woordenlijst Lijst met afkortingen...37 Bijlage A Relatie tussen Safety Instrumented Functions (SIFs) en andere besturingsfuncties Bijlage B Registratie van ervaringen en stellingen van derden die een verkeerd beeld geven van functional safety Bijlage C Risicograaf ISO Bijlage D Risicograaf IEC Bijlage E Risicograaf IEC Bijlage F Overzicht risicografen 61511, en Bijlage G Vergelijking risicobeoordeling volgens ISO en IEC Bijlage H Gemodificeerde en gecombineerde risicomatrix IEC en ISO Bijlage I Het effect van een onvolledig classificatierapport Pagina VI Revisie: A.e1, 27 september 2007

7 1 Inleiding Vanuit met name de petrochemische- en chemische industrie zijn al vele jaren technieken bekend om automatische systemen met te ontwerpen. De omvang van de schadelijke effecten voor de gezondheid van grote groepen mensen en enorme economische schade bij calamiteiten vormden de noodzaak om een hoge mate van betrouwbaarheid bij dergelijke systemen te realiseren. De IEC ontwikkelde de basisnorm IEC 61508, inmiddels de meest bekende standaard om automatische systemen met te ontwerpen. De laatste uitgave van deze norm is in 2002 geharmoniseerd als Nederlandse- (NEN) en Europese normstandaard (EN). In 2003 volgde de, van de IEC afgeleide, norm NEN-EN- IEC61511, specifiek gericht op de procesindustrie. De introductie van deze norm zorgde in Nederland voor verhoogde aandacht voor deze ontwerptechnieken bij diverse procesindustrieën. Inmiddels is de norm uitgegroeid tot een wereldwijd bekende en toegepaste standaard. Behalve een aantal, vooral (petro)chemische, procesindustrieën worden de normen in Nederland nog niet overal toegepast. Er is wel veel behoefte aan informatie. In 2005 werd de NEN-EN-IEC geïntroduceerd. Deze norm is ook afgeleid van de IEC en specifiek gericht op het ontwerpen van automatische systemen met voor machines. Een jaar later, in 2006, wordt de norm NEN-EN-ISO geïntroduceerd. Deze norm, afkomstig van een normcommissie onder de ISO vlag, heeft dezelfde doelstelling als de IEC Na harmonisering van beide machinenormen met de machinerichtlijn dringt ook de noodzaak bij machinebouwers door om de normen toe te passen. Door de brede aandacht en wereldwijde toepassing van genoemde normen wordt tegenwoordig ook door veiligheids- en milieu-inspectiediensten van de overheid gevraagd om borging van de integriteit van beveiligingssystemen middels het toepassen van de normen. 1.1 De organisatie TripleM Consultants & Engineers TripleM Consultants & Engineers B.V. ( kortweg TripleM, is een multidisciplinair ingenieursbureau met klanten voornamelijk binnen de industriële branches farmacie, proces, zware industrie en machinebouw. De activiteiten bestaan in hoofdlijn uit ontwerp en realisatie van procesinstallaties en machines. TripleM is opgericht in 1992, gevestigd in Haarlem en er werken circa 75 medewerkers. Vanaf april 2007 maakt TripleM deel uit van de Iv-Groep in Papendrecht ( De diverse vakgerelateerde afdelingen van TripleM leverden al jaren veiligheidsadviesdiensten. Sinds enige tijd zijn deze diensten ondergebracht in de afdeling Industriële Veiligheid. De diensten van deze afdeling bestaan onder andere uit: veiligheid t.b.v. machine en installatieontwerp, werkplekveiligheid (bijvoorbeeld ook ATEX studies) en bouwplaatsveiligheid. Belangrijke diensten in relatie met het kader van dit rapport is het uitvoeren van risicobeoordelingen van procesinstallaties (bijv. HAZOP studies) en machineinstallaties, het classificeren van integriteitniveaus van veiligheidsfuncties (SIL en PL classificaties) alsmede het ontwerp en de verificatie van de instrumentele beveiligingssystemen. De uitkomst van dit rapport draagt bij aan de verdere ontwikkeling van deze diensten. Pagina 1 van 1 Revisie: A.e1, 27 september 2007

8 1.1.1 De positie van de auteur binnen TripleM Als KAM manager ben ik verantwoordelijk voor het kwaliteitssysteem (ISO9001), de veiligheid van onze medewerkers en op bouwplaatsen (VCA**) en de naleving van milieueisen, m.n. van toepassing op bouwplaatsen. Als manager Industriële Veiligheid ben ik verantwoordelijk voor de uitvoering van onze veiligheidsadviesdiensten, specifieke veiligheidsgerelateerde projecten en de ontwikkeling en sturing van de afdeling Industriële Veiligheid Het profiel van de klanten van TripleM Industriële Veiligheid Het grootste percentage klanten van TripleM bestaat uit eigenaren van industriële proces- en machine-installaties. Veel van deze klanten hebben geen jarenlange ervaring met de ontwerpnormen voor systemen met, zoals bijvoorbeeld het geval is bij een aantal (petro)chemische industrieën. Door de vrij recente updates van de normen en een toenemende aandacht voor de materie, ook vanuit de controlerende overheid, worden sommige van deze klanten geconfronteerd met de materie. Er bestaat veel behoefte aan extern advies en ondersteuning bij de uitvoering van risicobeoordelingen, het bepalen van het juiste SIL of PL niveau en het ontwerp van een SIS. Sommige klanten worden geconfronteerd met kostbare aanpassingen aan hun installaties naar aanleiding van een SIL classificatie. Regelmatig laat de onderbouwing van de classificatie te wensen over. En soms wordt de classificatie ronduit slecht uitgevoerd of is onvoldoende toegespitst op de specifieke situatie. 1.2 Het doel en de doelgroep van het rapport De primaire doelgroep waarvoor dit rapport is opgesteld, zijn de adviseurs en engineers uit de TripleM organisatie die betrokken zijn bij risicobeoordelingen voor het bepalen van het SIL of PL. In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen van het SIL en PL van een Safety Instrumented Functie. Voor klanten van TripleM moet het advies op basis van het resultaat van het onderzoek leiden tot: - Risicoclassificatie passend bij de installatie en de gebruiker c.q. de installatieeigenaar. - Een correct veiligheidsniveau van machines en procesinstallaties. - Een goede onderbouwing van de classificatie met gerichte aanbevelingen, waardoor begrip en acceptatie ontstaat voor het resultaat en de te nemen maatregelen. Dit doel wordt bereikt door: - Het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL van een machine. - Het uitwerken van risicografen voor het beoordelen van risico s van procesinstallaties en machines. - Een handleiding voor het correct toepassen van de risicografen. 1.3 De aanpak van het onderzoek Het onderzoek bestaat uit de volgende fasen: 1. Basiskennis opdoen: Het bestuderen van de direct gerelateerde normen: ISO 13849, IEC 61508, en Onderzoek naar relevante literatuur. 2. Inventariseren van ervaringen: Pagina 2 van 2 Revisie: A.e1, 27 september 2007

9 Er zijn gesprekken gevoerd met de volgende bronnen om ervaringen met de uitvoering van risicobeoordelingen te inventariseren: klanten, leveranciers van veiligheidscomponenten, externe adviseurs en leden van de NVVK werkgroep WESP. Daarnaast zijn de ervaringen van collega s en uit projecten van de eigen organisatie meegenomen. 3. Verzamelen en analyseren van oplossingsgerichte data: Inventarisatie en studie van, aan het onderwerp, gerelateerde normen. Bruikbare ervaringen uit de literatuurstudie inventariseren. De meeste gesprekken zijn gevoerd door de auteur zelf. Een enkel gesprek met een adviseur is door een collega gevoerd in het kader van een machinebeveiligingsproject. Alle studies zijn uitgevoerd door de auteur. 1.4 Leeswijzer In HOOFDSTUK 2 wordt relatief veel aandacht besteed aan het ontwerpproces voor risicoreducerende maatregelen. Duidelijk wordt wat de plek is van de risicobeoordeling om het SIL of PL van een SIF te bepalen. Tevens wordt aangegeven wat de relatie van deze risicobeoordeling is tot de risicobeoordeling van een machine of procesinstallatie. Van toepassing zijnde normen en definities worden toegelicht. Dit hoofdstuk geeft de minder geïnformeerde lezer een basiskennis die nodig is om het rapport te kunnen begrijpen. Uiteindelijk wordt de specifieke probleemstelling toegelicht. HOOFDSTUK 3 laat zien hoe functionele veiligheid binnen de Nederlandse veiligheidswetgeving een rol kan spelen. Tevens wordt de relatie met milieuwetgeving en economische effecten kort toegelicht. HOOFDSTUK 4 gaat in op het nut en de noodzaak van een gedegen risicobeoordeling van een SIF. Het verschil in het effect van een waardeoordeel tussen de risicobeoordeling van een SIF en die van een machine of procesinstallatie wordt toegelicht. Evenals het effect van de achtergrond van degene die een risicograaf toepast. In HOOFDSTUK 5 wordt het verschil tussen risico s van machines van procesinstallaties toegelicht. Bij combinaties van machines en procesinstallaties is het van belang om de juiste norm te selecteren voor het ontwerpen van een specifiek SIS. In HOOFDSTUK 6 wordt een risicograaf voor het bepalen van zowel het SIL als het PL voor machines vastgesteld. Vervolgens is een uitgebreide toelichting op het gebruik van zowel de machine- als de procesrisicograaf uitgewerkt. Pagina 3 van 3 Revisie: A.e1, 27 september 2007

10 Ontwerpproces risicoreducerende maatregelen Risicobeoordeling voor het ontwerp van automatische systemen met 2 Afbakening van het rapport en probleemstelling Vanuit de diverse wetgeving wordt de eis gesteld om risico s te inventariseren, evalueren en risicobeperkende maatregelen te nemen. Dat geldt ook voor de risico s bij het toepassen van arbeidsmiddelen als machines en procesinstallaties (zie ook H3). Figuur 1 laat een model zien van een risicoreductieproces voor arbeidsmiddelen, bestaande uit een risicobeoordeling en het nemen van risicoreducerende maatregelen. Risicobeoordeling Risico analyse - bepaling grenzen van machine / proces - identificatie van de gevaren - inschatting van het risico Risico evaluatie - beoordeling risicoanalyse - besluitvorming noodzaak tot risicoreductie Risicoreducerende maatregelen Het ontwerpen van maatregelen om voldoende reductie van het risico te bereiken (ALARP). Validatie risicoreductie Beoordeling of de maatregelen de gewenste risicoreductie tot gevolg hebben. Figuur 1 Ontwerpproces risicoreducerende maatregelen 2.1 Risicobeoordeling van machines en procesinstallaties Voor het uitvoeren van een risicobeoordeling van machines of procesinstallaties worden diverse tools toegepast. Voorbeelden van dergelijke tools zijn: HAZOP Hazard & Operability Study (procesinstallaties) FME(C)A Failure Mode and Effects (and Criticality) Analysis (machines) What-If analyse NEN1050 Checklist machinerichtlijn Bij het uitvoeren van een risicobeoordeling is het noodzakelijk om rekening te houden met de veiligheid van de machine/installatie gedurende alle fasen van zijn levensduur, inclusief fabricage, transport, installatie en ontmantelen. Dat geldt ook voor de diverse gebruiksstadia, zoals: opstart, schoonmaken, onderhoud, storingzoeken, en dergelijke. Het besluit om een specifieke risicoreducerende maatregel te nemen is een resultaat van de risicobeoordeling. Pagina 4 van 4 Revisie: A.e1, 27 september 2007

11 2.2 Risicoreducerende maatregelen Het nemen van risicoreducerende maatregelen kan, op basis van effectiviteit, in twee mogelijkheden worden ingedeeld: inherent veilige maatregelen preventieve maatregelen, voorkomen van het gevaar beschermende maatregelen beheersing van het risico en controleren van de effecten Bij inherent veilige maatregelen worden de gevaren weggenomen of de risico s afdoende verkleind door het wijzigen van het ontwerp, zonder gebruik te maken van beschermende maatregelen. Anders gezegd: de machine of installatie wordt dusdanig gewijzigd dat het gevaar niet meer bestaat of het risico tot een acceptabel niveau is teruggedrongen. Extra beschermende maatregelen kunnen bij falen of bij aanspreken het proces verstoren. Of er ontstaat en risicovolle situatie door falende veiligheidsmaatregelen. Hierdoor hebben inherent veilige maatregelen de eerste keus. Een voorbeeld: de druk in een drukvat kan bij een verstoring van het proces dusdanig oplopen dat het drukvat openbarst. Als beschermende maatregel zouden beveiligingen kunnen worden toegepast om de druk te bewaken, te regelen of eventueel af te blazen. Als inherente beveiliging kan de ontwerpdruk van het vat dusdanig worden gekozen dat deze te allen tijde bestand is tegen de maximaal voorkomende procesdruk. Een andere inherent veilige oplossing kan wellicht gevonden worden in een andere procesvoering (mogelijk zelfs gebruik van andere grondstoffen of fysische waarden), zodat de procesdruk niet kan oplopen tot boven de ontwerpdruk van het vat. Inherent veilige maatregelen hebben vaak principiële ontwerpwijzigingen tot gevolg. Het is daarom van belang om in een vroegtijdig ontwerpstadium van procesinstallatie of machine een risicobeoordeling uit te voeren. Het is niet uitzonderlijk om in de ontwerpfase op meerdere momenten een risicobeoordeling uit te voeren. Door invoering van de RI&E in de Arbo-wet worden momenteel van veel bestaande procesinstallaties risicobeoordelingen, vaak een HAZOP studie, uitgevoerd. Van veel van deze installaties is nooit eerder een risicobeoordeling uitgevoerd. Door de invoering van de machinerichtlijn, al in 1995, geldt dit in mindere mate voor machines. Voor inherente veiligheidsmaatregelen wordt bij bestaande installaties nauwelijks gekozen. Argumenten hiervoor zijn de hoge kosten die principiële proceswijzigingen met zich meebrengen en het wijzigen van registraties van gevalideerde procesvoeringen (geldt met name in de farmaceutische industrie en in mindere mate in de voedingsmiddelenindustrie). De ervaring leert dat in de ontwerpfase onvoldoende aandacht is voor het nemen van inherent veilige maatregelen. Oorzaken hiervoor zijn: - Een risico-analyse wordt in een te laat stadium uitgevoerd - Er is onvoldoende aandacht voor inherent veilige alternatieven De procesengineering is gedaan, de procesflow is bekend en de equipment in grote lijnen bepaald. Om in dit stadium een stap terug te gaan en aan de basis van het procesontwerp te sleutelen blijkt nog geen normale gang van zaken te zijn. Er wordt te vanzelfsprekend gekozen voor aanvullende beschermende maatregelen. Voor bestaande procesinstallaties zijn principiële wijzigingen zo goed als niet bespreekbaar. Machinebouwers kiezen eerder voor inherent veilige maatregelen. Vaak omdat extra aangebrachte veiligheidmaatregelen ook extra kosten met zich meebrengen. Meer aandacht voor inherent veilige maatregelen in het risico-analyse en reductietraject is wenselijk. Het zogenaamde layer of protection model uit Figuur 2 geeft een beeld van de mogelijkheden van beschermende maatregelen. In het model zijn de volgende Pagina 5 van 5 Revisie: A.e1, 27 september 2007

12 niveau s van beveiligen herkenbaar met betrekking tot het nemen van beschermende maatregelen: Beheersing van de risico s 1. Proces/machine regelingen en beveiligingen (bijvoorbeeld procesregelingen en automatische systemen met ) Controleren van de effecten 2. Beperken van het risico (bijvoorbeeld noodstop en drukaflaatsysteem) 3. Repressieve maatregelen (blussysteem, noodplan) COMMUNITY EMERGENCY RESPONSE Emergency broadcasting PLANT EMERGENCY RESPONSE Evacuation procedures MITIGATION Mechanical mitigation system Safety instrumented control systems Safety instrumented mitigation systems Operator supervision CONTROLEREN EFFECTEN PREVENTION Mechanical protection system Process alarms with operator corrective action Safety instrumented control system Safety instrumented prevention system CONTROL and MONITORING Basic control systems Monitoring systems (process alarms) Operator supervision BEHEERSEN RISICO S PROCES Figuur 2 - Layers of Protection model 2.3 Automatische systemen met Zowel op het niveau van beheersing van de risico s als het controleren van effecten bevinden zich de automatische systemen met in de volgende protection layers: - Control and monitoring - Prevention - Mitigation De flowchart uit Bijlage A laat de veiligheidsfuncties uit de verschillende protection layers zien in relatie tot andere besturingsfuncties. Het gaat hierbij om automatische beveiligingssystemen die ingrijpen in een proces of een machine wanneer de mogelijkheid tot het optreden van een gevaar ontstaat. Het risico dat dit gevaar werkelijk optreedt wordt hiermee tot een aanvaardbaar niveau beperkt. Of om systemen die ingrijpen als een calamiteit werkelijk optreed en daarmee het schade-effect kunnen beperken. Automatisch beveiligingssysteem is een zeer breed begrip. Enkele voorbeelden van dergelijke beveiligingsystemen kunnen zijn: - Elektromechanische onderdelen bijvoorbeeld een deurcontact dat een motorrelais van een machine uitschakelt. - Elektronische, niet programmeerbare, apparatuur - Een flowmeting die een afsluiter aanstuurt. - Programmeerbare elektronica bijvoorbeeld een geavanceerd temperatuurmeetsysteem dat op meerder plaatsen in een vat de temperatuur meet, aangesloten op een veiligheidsbesturingssysteem. Afhankelijk van verschillende meetresultaten worden beveiligingsafsluiters en een pomp aangestuurd. Pagina 6 van 6 Revisie: A.e1, 27 september 2007

13 Bovenstaande voorbeelden laten zien dat automatische beveiligingssystemen uit eenvoudige direct geschakelde relaissystemen kunnen bestaan tot geavanceerde, computergestuurde systemen. In de basis bestaan echter alle systemen uit de onderdelen uit Figuur 3. Input device Opnemer, schakelaar, sensor, instrument. Logic solver PLC, relaiskast, besturingssysteem. Final elements Ventiel, motorrelais, afsluiter. TT TC Figuur 3 - Automatisch veiligheidssysteem bestaande uit één veiligheidsfunctie 2.4 Specifieke normen voor het ontwerp van automatische systemen met Voor het ontwerpen van automatische beveiligingssystemen zijn normen ontwikkeld vanuit de IEC en de ISO, als aangegeven in onderstaand overzicht: IEC ISO Procesinstallaties Machines Figuur 4 - Overzicht normen voor het ontwerp van systemen met Van de IEC komt de norm t/m 7 (Functional safety of electrical /electronic / programmable electronic safety-related systems) [Norm 7] als basis voor de ontwikkeling en toepassing van alle elektrische/elektronische systemen (electrical / electronic / programmable electronic systems) die uitvoeren. Deze uitgebreide norm richt zich ook op de ontwikkelaars van veiligheidsapparatuur en veiligheidssoftware. Vanuit de zijn twee, beter hanteerbare, normen afgeleid, t.w.: t/m 3 (Functional safety - Safety instrumented systems for the process industry sector) [Norm 8], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor procesinstallaties (Safety of machinery Functional safety of safety-related electrical, electronic and programmable electronic control systems) [Norm 9], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor machines. Pagina 7 van 7 Revisie: A.e1, 27 september 2007

14 Van de ISO komt de norm en 2 (Safety of machinery - Safety-related parts of control systems) [Norm 4, Norm 5], bedoeld voor het ontwerpen van veiligheidssystemen voor machines. De norm ISO heeft een vergelijkbare doelstelling als de norm IEC De nieuwere verwijst ook naar de / normen. Een belangrijk verschil in doelstelling is dat de IEC normen zich richten op elektrische/elektronische systemen terwijl de een breder kader heeft waaronder ook pneumatische- en hydraulische systemen. Verder wijken de toegepaste systematieken uit beide normen van elkaar af. Alle normen zijn geharmoniseerd met de Nederlandse en Europese normen (NEN en EN). De beide machinegerelateerde normen zijn geharmoniseerd met de Europese Machinerichtlijn (zie ook hoofdstuk 3, wettelijk kader). Tot voor kort werd de norm NEN-EN 954 (Veiligheid van machines - Onderdelen van besturingssystemen met ) algemeen toegepast voor het ontwerpen van een automatische veiligheidsfunctie met een machinetoepassing. De daarin voorkomende veiligheidscategorieën (B, 1 t/m 4) komen nog veel voor als aanduiding op componenten en worden in de praktijk nog wel toegepast. Deze norm is inmiddels vervallen en is vervangen door de NEN-EN-ISO In dit rapport zal derhalve geen aandacht aan de NEN 954 meer worden besteed. 2.5 Definitie van automatische veiligheidsfunctie en automatisch veiligheidssysteem Voor het juiste begrip is het van belang om een duidelijke definitie vast te stellen van de volgende twee begrippen: Automatische veiligheidsfunctie Automatisch veiligheidssysteem De automatische veiligheidsfunctie is de functionaliteit die omschrijft hoe een bepaald vastgesteld risico wordt gereduceerd. De automatische veiligheidsfunctie wordt uitgevoerd door een automatisch veiligheidsysteem, ofwel de techniek die de functie uitvoert. Het automatische veiligheidssysteem bestaat is opgebouwd conform het schema van Figuur 3. In de normen uit de familie worden er verschillende definities gebruikt voor vergelijkbare veiligheidsfuncties: Safety Instrumented Function (SIF) safety function with a specified safety integrity level which is necessary to achieve functional safety and which can be either a safety instrumented protection function or a safety instrumented control function Safety-Related Control Function (SRCF) control function implemented by a SRECS with a specified integrity level that is intended to maintain the safe condition of the machine or prevent an immediate increase of the risk(s). Een automatisch veiligheidssysteem kan uit een of meerdere veiligheidsfuncties bestaan. Ook voor het veiligheidssysteem zijn weer verschillende definities in de familie normen: Safety Instrumented System (SIS) instrumented system used to implement one or more safety instrumented functions. A SIS is composed of any combination of sensor(s), logic solver(s), and final element(s). Pagina 8 van 8 Revisie: A.e1, 27 september 2007

15 Safety-Related Electrical Control System electrical control system of a machine whose failure can result in an immediate increase of the risk(s) De norm maakt geen specifiek verschil tussen en een veiligheidssysteem en definieert het veiligheidssysteem als volgt: Safety-related part of a control system (SRP/CS) part of a control system that responds to safety related input signals and generates safety related output signals. N.B.: Er wordt in dit rapport gekozen voor het gebruik van de afkortingen SIF voor de automatische veiligheidsfuncties en SIS voor het automatische veiligheidssysteem, uit de norm Ook als het gaat om de normen en Het schema uit Bijlage A geeft de relatie weer tussen verschillende vormen van Safety Instrumented Functions (SIFs) en andere controlfuncties. 2.6 Risicobeoordeling en classificatie van een SIF; de doelstelling van dit rapport Een belangrijk uitgangspunt bij het ontwerpen van een SIS is de eis die gesteld wordt aan de kans op falen van een SIF. Aan een SIF wordt een hoge mate van beschikbaarheid gesteld. Wanneer de beveiliging nodig is moet hij ook werken. Tabel 1 geeft de beschikbaarheideis aan voor SIFs die werken in de zogenaamde continuous of high demand mode. Bijvoorbeeld in een SIF met een PL d / SIL 2 classificatie mag tussen de 0 en maximaal 1141 jaar niet meer dan 1x een fout optreden die leidt tot een gevaarlijke situatie. In een installatie met 1000 SIFs met dezelfde klasse mag er jaarlijks dan bij maximaal 9 SIFs een gevaarlijke situatie ontstaan door niet goed functioneren van de SIF! Hiermee worden belangrijke eisen gesteld aan het ontwerp van het SIS en de kwaliteit van de gebruikte componenten. ISO PL a IEC / SIL Geen overeenkomst Target frequency of dangerous failures to perform the safety instrumented function (per hour) Target average number of years between dangerous failures of a SIF 10 5 to < 10 4 ~ 1,1-11 b 1 3 x 10 6 to < 10 5 ~ c to < 3 x 10 6 ~ d to < 10 6 ~ e to < 10 7 Geen overeenkomst to < 10 8 ~ Tabel 1 - PL en SIL levels - frequency of dangerous failures of the SIF in continuous mode of operation Pagina 9 van 9 Revisie: A.e1, 27 september 2007

16 Zowel de ISO als IEC gerelateerde normen kennen een aantal beschikbaarheidniveaus, afhankelijk van de norm genaamd: - ISO : PL Performance Level - IEC / : SIL Safety Integrity Level Het is afhankelijk van het risico dat de SIF beveiligt welk PL of SIL niveau moet worden toegepast. Hoe groter het risico, des te kleiner de kans op falen van de SIF. Middels een gedetailleerde risicobeoordeling van het te reduceren risico wordt het PL of SIL niveau van een SIF bepaald. De drie normen stellen elk een eigen systematiek voor het uitvoeren van een risicobeoordeling voor. In dit rapport wordt de systematiek uitgewerkt die gebruikt gaat worden door TripleM bij het advies aan haar klanten. 2.7 Probleemstelling en het effect op een SIL of PL bepaling Rond het bepalen van een SIL of PL niveau bestaan een aantal meningen, interpretaties, misverstanden die de kwaliteit van de bepaling geen goed doen. In deze paragraaf een inventarisatie van ervaringen die kunnen leiden tot een verkeerde toepassing van de normen of onvoldoende acceptatie bij de eindgebruiker. In Bijlage B zijn uitspraken, stellingen en bevindingen opgetekend die voortkomen uit gesprekken met klanten, leveranciers en adviseurs, alsmede ervaringen die TripleM medewerkers vanuit hun werk hebben opgedaan. Ervaringen Risicobeoordelingen t.b.v. een SIL / PL bepaling worden vaak door technici uitgevoerd. De voorbeeldsystemen uit de normen worden vrij abstract opgevolgd. Situatie-, gebruiker- en cultuurgerelateerde invloeden worden over het algemeen niet of onvoldoende meegewogen. Het resultaat van een SIL / PL beoordeling bestaat uit een getal. Vastlegging van de analyse met motivatie wordt niet, of onvoldoende uitgevoerd. Het ontbreken van een goede onderbouwing van de SIL / PL bepaling geeft terugkerende discussie over de hoogte van het bepaalde SIL / PL niveau. Het kan leiden tot slechte acceptatie bij klanten of een onjuist ontwerp van het SIS (Bijlage I geeft hiervan een voorbeeld). Hele machines en installaties of delen daarvan worden geclassificeerd met een SIL of PL niveau; bijvoorbeeld de zogenaamde klasse 2 machine. Komt helaas te vaak voor. Een SIL / PL niveau kan alleen toegekend worden aan een enkele SIF! In deze gevallen richt men zich vaak teveel op het effect van een calamiteit en is de waarschijnlijkheid van voorkomen onderbelicht of wordt in het geheel niet beschouwd. Het effect is dan vaak het zwaarste geval dat een installatie(deel) kan veroorzaken. Er zijn twee verschillende normen met verschillende tools om het SIL en het PL van een machine-sif te bepalen. De norm koppelt de niveaus uit beide normen aan elkaar middels een tabel (zie Tabel 1). Een risicobeoordeling uitgevoerd volgens het systeem van kan een andere waardering geven dan uitgevoerd volgens Bijlage G geeft hiervan een voorbeeld. De kans van optreden van een gevaarlijke situatie wordt door sommige adviseurs onvoldoende meegenomen bij ernstige effecten. Zoals bijvoorbeeld de volgende Pagina 10 van 10 Revisie: A.e1, 27 september 2007

17 mening: gevaar op verlies van een hand mag niet lager geclassificeerd worden dan SIL 2. Een dergelijke stelling wordt door de systematiek van zowel de SIL als de PL norm gevoed. Echter de kans van optreden is een belangrijke factor voor het bepalen van het risico. Hoofdstuk 6 besteedt hieraan aandacht. Onderzoeken worden uitgevoerd door Arbo-diensten, machine fabrikanten, leveranciers van veiligheidscomponenten of gespecialiseerde adviesbureaus. Er ontstaat soms twijfel aan de deskundigheid of de (on)afhankelijkheid van de diverse adviseurs. Naar mijn mening mede veroorzaakt door onvoldoende deugdelijk uitgevoerde risicobeoordelingen. De effecten van bovenstaande ervaringen kunnen zijn: - Onvoldoende veilig ontwerp van machines/installaties (te laag SIL/PL level bepaald). - Er worden te zware (te dure) veiligheidsmaatregelen toegepast (te hoog SIL/PL level bepaald), waardoor de klant geconfronteerd werd met zeer ingrijpende wijzigingen (kosten v.s. baten niet in verhouding). - Door verkeerde of onvoldoende onderbouwing kan een verkeerd ontworpen SIS ontstaan. - Onbegrip bij installatie-eigenaren door een onvoldoende duidelijke motivatie van de risico s. - Onvoldoende onderbouwing van de beoordeling, waardoor twijfel ontstaat over de nut en noodzaak van aanpassing van de installatie. Soms worden beveiligingsmaatregelen hierdoor niet meer uitgevoerd. - Door het niet meenemen van organisatorische en culturele invloeden kan er onvoldoende aandacht ontstaan voor de invloed hiervan op de risico s van het gebruik van machines en installaties. Bijvoorbeeld de noodzaak voor goede training m.b.t. het gebruik en de risico s en het inzetten van personeel met voldoende niveau. Dat zou zelfs kunnen leiden tot een minder zwaar uitgevoerde beveiliging! Pagina 11 van 11 Revisie: A.e1, 27 september 2007

18 3 Wat is het wettelijk kader voor functionele veiligheid In dit hoofdstuk wordt het wettelijke kader rond functionele veiligheid toegelicht. Hoewel de scope van dit rapport zich beperkt tot veiligheidsaspecten, ook een korte toelichting op milieuwetgeving en economische belangen. 3.1 Veiligheidswetgeving Het doel van functionele veiligheid is het beperken van veiligheidsrisico s van machines en procesinstallaties. In diverse wetgeving worden veiligheidseisen gesteld aan het veilig kunnen gebruiken en de mogelijke effecten van genoemde apparatuur. In hoofdlijn zijn drie typen veiligheidswetgeving te onderscheiden: 1. Wetgeving met betrekking tot externe veiligheid - (bescherming omgeving, verantwoordelijkheid ondernemer). 2. Arbowetgeving (bescherming werknemers, verantwoordelijkheid ondernemer). 3. Wetgeving met betrekking tot productveiligheid (bescherming gebruikers, verantwoordelijkheid fabrikant). Externe veiligheid Een definitie voor externe veiligheid is: de kans om buiten een inrichting te overlijden als rechtstreeks gevolg van een ongewoon voorval binnen die inrichting waarbij een gevaarlijke stof betrokken is (Bevi). Het BRZO besluit stelt de volgende eis: Artikel 5.1: Degene die een inrichting drijft, treft alle maatregelen die nodig zijn om zware ongevallen te voorkomen en de gevolgen daarvan voor mens en milieu te beperken. In het kader van deze wetgeving wordt van de verantwoordelijke verwacht dat de risico s van zijn bedrijfsvoering in kaart worden gebracht en maatregelen worden genomen om de gevolgen tot een acceptabel minimum te beperken. Het toepassen van functionele veiligheidssystemen behoort tot de maatregelen die in dit kader genomen kunnen worden. De aard van externe veiligheid is het beschermen van mens en milieu buiten de inrichting. Ongevallen waarvan de effecten buiten de grenzen van een inrichting gevolgen hebben, mogen niet veroorzaakt kunnen worden door een machine, zoals bedoeld binnen het kader van de machinenormen ISO en IEC Externe veiligheid is derhalve gericht op procesinstallaties (zie ook hoofdstuk 5 voor het verschil tussen machine en procesinstallatie). Arbowetgeving Arbowetgeving richt zich op de bescherming van medewerkers en aanwezigen binnen een inrichting. Het arbobesluit vermeld veiligheidseisen aan apparatuur en installaties. Met name in de volgende hoofdstukken: HOOFDSTUK 3: INRICHTING ARBEIDSPLAATSEN Artikel 3.2 Algemene vereisten: Arbeidsplaatsen zijn veilig toegankelijk en kunnen veilig worden verlaten. Ze worden zodanig ontworpen, gebouwd, uitgerust, in bedrijf gesteld, gebruikt en onderhouden, dat gevaar voor de veiligheid en de gezondheid van de werknemers zoveel mogelijk is voorkomen. HOOFDSTUK 7 ARBEIDSMIDDELEN EN SPECIFIEKE WERKZAAMHEDEN Stelt in diverse artikelen eisen aan de veiligheid van het arbeidsmiddel voor de werknemer en het toepassen van beveiligingsinrichtingen. Pagina 12 van 12 Revisie: A.e1, 27 september 2007

19 In de arbobeleidsregels horende bij Hoofdstuk 7 wordt direct verwezen naar de norm NEN 1050: Beleidsregel Inventarisatie en evaluatie van gevaren van arbeidsmiddelen. Voor machines en vergelijkbare arbeidsmiddelen wordt aan het gestelde in artikel 7.3, eerste lid, van het Arbeidsomstandighedenbesluit voldaan indien de risico-inventarisatie en - evaluatie is uitgevoerd volgens NEN-EN 1050:1997 "Veiligheid van machines. Principes voor de risicobeoordeling" Het toepassen van functionele veiligheidssystemen behoort tot de maatregelen die getroffen kunnen worden om risico s op arbeidsplaatsen en aan arbeidsmiddelen te reduceren. Uitvoering conform de normen draagt bij aan een acceptabel veiligheidsniveau. Productveiligheidswetgeving Ten aanzien van productveiligheid worden aan fabrikanten eisen gesteld. In Nederland zijn deze eisen opgenomen in het warenwetbesluit. Specifieke eisen worden genoemd in de Europese machinerichtlijn (warenwetbesluit machines, Machinery Directive 98/37/EC). Ook de machinerichtlijn stelt dat fabrikanten een risicoanalyse uitvoeren en bij het ontwerp en de constructie rekening houden met deze analyse. De fabrikant is verplicht de benodigde veiligheidsmaatregelen te nemen. De machine gerichte normen ISO en de IEC zijn geharmoniseerd met de machine richtlijn. Wanneer deze normen worden toegepast voor het ontwerpen van een SIS kan men ervan uit gaan te voldoen aan de machinerichtlijn. 3.2 Milieuwetgeving Het in paragraaf veiligheidswetgeving genoemde BRZO besluit stelt ook milieueisen. Daarnaast stelt de overheid in milieuvergunningen specifieke eisen aan bedrijven ten aanzien van het voorkomen van milieuschade bij calamiteiten. Net als bij veiligheidsrisico s kunnen bepaalde milieurisico s veroorzaakt door storingen in proces- en machine-installaties worden beheerst door het toepassen van functionele veiligheidssystemen. Met name de procesgerelateerde IEC norm geeft een beoordelingsystematiek om een SIL voor milieurisico s te bepalen. Het komt al voor dat milieuhandhavende overheidsinstanties vragen naar beveiligingssystemen ontworpen volgens de IEC / normen. 3.3 Economische schade De normen (machines) en (proces industrie) zijn beiden afgeleid van de De machinegerelateerde norm is geharmoniseerd met de machinerichtlijn en de procesgerelateerde niet. Uit H1 artikel 1-2a van de machinerichtlijn valt af te leiden dat ook op procesinstallaties de machinerichtlijn van toepassing is. Hoewel het toepassen van de norm voor het ontwerpen van SIFs voor een procesinstallatie een juiste keuze is leidt dit niet tot conformiteit met de machinerichtlijn. Een hiaat in de harmonisatielijst van de machinerichtlijn? Zie ook H5 voor het verschil tussen een machine en een procesinstallatie. Bedrijven kunnen eisen stellen om risico s voor economische schade te beperken. Economische schade kan veroorzaakt worden door: - Schade en verlies aan productie, producten en productie-installaties - Beschikbaarheid van installaties - Imagoschade als gevolg van calamiteiten Pagina 13 van 13 Revisie: A.e1, 27 september 2007

20 Daarnaast kunnen verzekeringsmaatschappijen eisen om maatregelen te nemen om schade te voorkomen. En net als bij veiligheidsrisico s en milieurisico s kan schade veroorzaakt door storingen in proces- en machine-installaties worden beheerst door het toepassen van functionele veiligheidssystemen. Pagina 14 van 14 Revisie: A.e1, 27 september 2007

21 4 Het belang van een gedegen risicobeoordeling van een SIF Al in 1995 publiceerde de Britse HSE een onderzoek naar oorzaken van incidenten met industriële installaties en het aandeel van niet goed functionerende besturingssystemen aan deze incidenten [Boek 1]. Hoewel er onvoldoende incidenten zijn onderzocht, slechts 34, om harde conclusies te trekken, geeft het onderzoek wel een indicatie met betrekking tot het effect van besturingssystemen op de veiligheid. Een andere kanttekening is dat er sinds 1995 meer aandacht voor het ontwerpen van SIFs is ontstaan waardoor een recent uitgevoerd onderzoek ongetwijfeld gunstiger cijfers zal geven aan het effect van besturingssystemen. Onderstaand het resultaat van het uitgevoerde HSE onderzoek: Modification - 20% Functional requirements specification - 12% Maintenance - 12% Operation - 3% Installation and commissioning - 6% Design and implementation - 15% Safety integrity requirements specification - 32% Figuur 5 Resultaat HSE onderzoek Out of control Wat opvalt aan het resultaat van het onderzoek is dat 12% van de incidenten het gevolg zijn van niet- of verkeerd gespecificeerde functionaliteit van besturingssystemen met. Bij maar liefst 32% van de incidenten zijn geen of onjuiste eisen aan de betrouwbaarheid van de functies gesteld. Vertaald naar de huidige tijd en de terminologie uit dit rapport betekend dit dat in maar liefst 32% van de incidenten de risicobeoordeling van SIFs en de bepaling van het juiste SIL of PL niveau niet of niet juist is gespecificeerd! 4.1 Het effect van fouten tijdens het ontwerpproces van SIFs In het ontwerpproces van SIFs, zoals beschreven in het risicobeoordelingsproces, zoals beschreven in hoofdstuk 2, zijn de volgende fasen te onderscheiden: 1. Risicoanalyse / Risico evaluatie effect fout groot 2. Risicobeoordeling SIF / bepaling SIL of PL 3. Ontwerp SIF / SIS effect fout kleiner Ad. 1 Tijdens de risicoanalyse (bijvoorbeeld een HAZOP studie) worden gevaren geïdentificeerd en risico s daarvan ingeschat. Bij het in kaart brengen van gevaren van machines en processen is de kans dat een gevaarscenario over het hoofd wordt gezien reëel. Hiervan vindt dan ook geen risico-evaluatie plaats en zal geen reducerende maatregel worden genomen. Een systematische aanpak met meerdere, ter zake kundige, personen met verschillende achtergrond kan een nauwkeurige inventarisatie van risico s opleveren. Pagina 15 van 15 Revisie: A.e1, 27 september 2007

22 Nog meer nauwkeurigheid wordt verkregen door de risicoanalyse te herhalen. Bijvoorbeeld in verschillende fasen van het ontwerpproces. Minder gestructureerde methoden zoals bijvoorbeeld een what-if analyse of een FMEA geven meer kans op het niet signaleren van risico s. De kans op herstel van een vergeten risico is in principe alleen mogelijk bij een herhaalde analyse. Het effect kan zijn dat gevaarlijke situaties onbekend en onbeveiligd blijven, hetgeen kan leiden tot ernstige ongevallen. Ad. 2 Het bepalen van een SIL of PL niveau vereist een gedegen risicobeoordeling. Een verkeerd bepaald SIL / PL leidt tot over- of onderbeveiliging. Bij een te hoog SIL / PL zal het SIS ontwerp een lagere foutgevoeligheid hebben dan de aard van de beveiliging vereist. Vooral bij complexe SIFs, waarbij bijvoorbeeld gebruik gemaakt wordt van geavanceerde meetapparatuur of productspecifieke afsluiters kan dit leiden tot hoge extra kosten. Overbeveiliging (of het gevoel van) is de oorzaak van wantrouwen bij eindgebruikers met een hoge verantwoordelijkheid voor kostenreductie. Bij een te laag bepaald SIL / PL zal het SIS ontwerp mogelijk gevoeliger voor fouten zijn dan de aard van de beveiliging vereist. Dit kan leiden tot situaties waarbij de beveiliging niet werkt wanneer nodig. Gevaarlijke situaties kunnen ontstaan die niet of te laat worden opgemerkt. De kans op correctie van een verkeerd SIL / PL is relatief klein. De risicobeoordeling zal opnieuw uitgevoerd moeten worden. In de praktijk wordt dat niet gedaan tenzij er aanleiding voor is. Bijvoorbeeld bij een foutsituatie of incident waarbij de oorzaak onderzocht wordt. Ad. 3 Het ontwerp van een SIF met bijbehorend SIS is een technisch ontwerp proces. De eisen die aan het SIF zijn gesteld liggen vast in het SIL en PL en de functies zijn bepaald in de risicobeoordeling. Ontwerpfouten, zoals bijvoorbeeld verkeerde lay-out keuzes of rekenfouten, kunnen leiden tot een ontwerp dat niet voldoet aan de eisen. Er volgt echter een validatie van het SIS, waarbij bepaald wordt of het ontworpen SIS voldoet aan de eisen van de SIF. Hierdoor ontstaat een hoge mate van foutcorrectie. 4.2 De vereiste nauwkeurigheid van de risicograaf Regelmatig worden er HAZOP studies uitgevoerd op installaties waar al eerder een risicobeoordeling is gedaan, bijvoorbeeld na wijzigingen aan de installatie. Hierbij komt het ook regelmatig voor dat risico s worden geregistreerd die eerder niet zijn gevonden. Ook bij scenario s die niet door de wijziging van de installatie zijn ontstaan! Voor de beoordeling van risico s voor het bepalen van het SIL of PL staan in de betreffende normen [Norm 8, Norm 9 en Norm 4] systemen omschreven die ook wel risicografen worden genoemd. Dergelijke systemen worden ook gebruikt voor het beoordelen van risico s bij een RI&E (volgens Arbo-wet artikel 5) of bijvoorbeeld een HAZOP studie. Andere voorbeelden van risicografen die worden toegepast zijn bijvoorbeeld de risicograaf die beschreven wordt in de NEN 1050 [Norm 1], het model van Fine & Kinney of de in het verleden veel toegepaste NEN 954. Al deze risicografen hebben als doel om een waardeoordeel te geven aan een bepaald risico. De toepassing van het waardeoordeel verschilt echter. Bij een RI&E of een risico analyse als een HAZOP studie of FMEA kan met behulp van een risicograaf een prioriteit aan het risico worden gegeven. Deze prioriteit wordt gebruikt om te bepalen welke risico s het eerste worden aangepakt en binnen welk tijdspad. Een Pagina 16 van 16 Revisie: A.e1, 27 september 2007

23 onnauwkeurige toepassing van de risicograaf heeft tot mogelijk gevolg dat een verkeerde prioriteit aan het risico wordt gegeven. Uiteindelijk zullen ook de lagere prioriteiten worden aangepakt, waardoor deze fout zicht in de tijd automatisch herstelt. Alleen bij de laagste risico s bestaat de kans dat door een verkeerde risicograafbeoordeling besloten wordt om het risico als aanvaardbaar te bestempelen en geen maatregelen meer te nemen. De risicografen uit de normen 61511, en geven een waardeoordeel aan het risico, vertaald in een SIL of PL. Een verkeerd toegepaste risicograaf kan hier leiden tot te hoge of te lage betrouwbaarheidseisen aan de SIF. Het gevolg is een verkeerd ontworpen SIS. De effecten hiervan staan vermeld in paragraaf 4.1. Zoals reeds gemeld is de kans op herstel van deze fouten niet groot. De effecten van fouten bij het toepassen van een risicograaf voor het bepalen van een SIL of PL zijn groter zijn en de kans van herstel veel kleiner dan bij risicografen toegepast bij prioriteitsbepaling van risico s uit een RI&E. Daarom moeten deze risicografen nauwkeurig worden toegepast. 4.3 Wie past een risicograaf toe Het ontwerpen van een SIF maakt meestal deel uit van een technisch ontwerptraject bij nieuwbouw of renovatie van machines en procesinstallaties. In deze omgeving wordt het SIL of PL bepaald door technici. Technici zijn vooral gewend te werken met absolute gegevens, het verwerken van feiten en vastgestelde ervaringen. Waar onduidelijkheid bestaat, ontstaat de neiging afspraken vast te leggen, bijvoorbeeld in normen. Het bepalen van een SIL of PL met behulp van een risicograaf is een kwalitatieve risicobeoordeling. Bij een dergelijke kwalitatieve risicobeoordeling worden relatieve waarden gebruikt, zoals bijvoorbeeld: licht, zwaar, mogelijk, waarschijnlijk, meestal onmogelijk. Bij het toepassen van deze waarden zijn vaak interpretatieverschillen te zien. Ellenlange discussies of een bepaalde gebeurtenis zelden of waarschijnlijk optreedt, volgen. Uit onzekerheid worden de keuzes vaak te zwaar aangezet. De kans op een te zwaar bepaalde SIL of PL is dan ook groter dan een te licht bepaalde. Bijlage F geeft een overzicht van de beoordelingscriteria van de drie risicografen uit de normen. Om in de waarschijnlijkheidsbepalingen ook nog eens de effecten veroorzaakt door het niveau van personeel, training en opleiding of de cultuur van een bedrijf mee te nemen vereist begeleiding door een veiligheidskundige. In de praktijk worden dergelijke effecten niet of nauwelijks meegenomen. Om de risicografen bruikbaar te maken voor technici worden absolute waarden toegepast en verklarende voorbeelden opgenomen in de normen. Met name de IEC normen en geven dergelijke informatie. De risicograaf uit de ISO geeft geen absolute waarden mee en een minimale toelichting. Deze risicograaf biedt het minste houvast voor technici. Het toepassen van absolute waarden kan als nadeel met zich meebrengen dat de context waarin de gebeurtenis plaatsvindt uit het oog verloren wordt. Bijvoorbeeld of een scenario korter of langer dan 10 minuten duurt geeft een verschil in waardebepaling (Fr risicograaf 62061). Het moge duidelijk zijn dat deze 10 minuten meer een maat is voor het verschil tussen kortdurende en langdurende scenario s. met een grijs gebied rond de 10 minuten. Een risicograaf met weinig absolute metingen geeft de veiligheidskundige ruimte om in een team ter zake kundigen te komen met een objectieve risicobeoordeling, passend Pagina 17 van 17 Revisie: A.e1, 27 september 2007

24 bij het scenario. Als de juiste personen niet voorhanden zijn kan beter gekozen worden voor een meer sturende risicograaf met absolute meetwaarden of een toelichting die de keuzes beperkt. Met de in dit rapport geselecteerde risicografen en toelichting in het rapport moet een technisch team een goede SIL of PL bepaling kunnen uitvoeren. Pagina 18 van 18 Revisie: A.e1, 27 september 2007

25 5 Het risico van een procesinstallatie versus het risico van een machine Er wordt in de normen voor automatische systemen met onderscheid gemaakt tussen machines en procesinstallaties. Uit Figuur 4 blijkt dat de normen ISO13849 en IEC bedoeld zijn voor machines. De norm IEC heeft dezelfde doelstelling maar dan voor procesinstallaties. Voor het toepassen van de juiste normen is het van belang de specifieke verschillen tussen machines en procesinstallaties met betrekking tot de veiligheidsrisico s te onderkennen. 5.1 De invloed van een machine op veiligheid Een definitie van een machine is volgens de machinerichtlijn: Machine: - een samenstel van onderling verbonden onderdelen of organen waarvan er ten minste één kan bewegen, alsmede, in voorkomend geval, van aandrijfmechanismen, bedienings- en vermogensschakelingen enz. die in hun samenhang bestemd zijn voor een bepaalde toepassing, met name voor de verwerking, de bewerking, de verplaatsing en de verpakking van een materiaal. Een binnen het kader van dit rapport bruikbare eenvoudige definitie van een machine is de volgende: Een machine is een mechanisme dat een vorm van beweging of energie in een andere vorm van beweging of energie kan omzetten. Typische mogelijke machine-eigenschappen die van invloed zijn op het veiligheidsrisico zijn: - Draaiende of anders bewegende onderdelen, - Grote snelheden - Grote krachten - Scherpe delen - Hete delen Typische machinegevaren zijn: - Beknellen van ledematen - Afrukken van ledematen - Snijden aan machinedelen - Branden aan hete oppervlakken - Geraakt worden door wegspringende onderdelen van product of machine - Elektrocutie - Brand Door het continu functioneren van de machine of het machineproces zijn gevaren constant of met een relatief hoge frequentie aanwezig. Gevaren ontstaan zodra beveiligingsfuncties niet (meer) aanwezig zijn. In veel gevallen zijn de gevaren bekend en de risico s voorspelbaar. In mindere mate is er sprake van het ontstaan van risico s veroorzaakt door onvoorspelbare storingen. Machine SIFs functioneren daarom vooral in een zogenaamde continuous- of high demand mode of operation. De gevaareffecten hebben vooral betrekking op personen die direct aan de machine werken of in de directe nabijheid van de machine aanwezig zijn. Machinerisico s die groepen personen treffen mogen niet beveiligd worden door een enkele SIF. Reductie van het groepsrisico door inherente veiligheidsmaatregelen is hier meer op zijn plaats. Pagina 19 van 19 Revisie: A.e1, 27 september 2007

26 Vaak is het gevaareffect een direct gevolg van een handeling van een persoon en treft het deze persoon zelf. Door voorkomende bewegingen op hoge snelheden is het beperken van schade bij een optredend effect minder goed mogelijk. Ontsnappen aan het gevaar is dan alleen mogelijk door in te grijpen voordat het gevaar werkelijk optreed. 5.2 De invloed van een procesinstallatie op veiligheid Er zijn vele definities van een proces te geven. Een definitie binnen het kader van dit rapport die heel duidelijk het verschil maakt met een machine is de volgende: Procesinstallaties zijn installaties die grondstoffen omzetten in halffabrikaten of eindproducten door middel van chemische of fysische bewerkingen. Typische mogelijke proceseigenschappen die van invloed zijn op de veiligheid: - Verwerking van stoffen met chemische eigenschappen - Ontstaan van reacties door het bewerken van stoffen - Giftige dampen - Explosie - Brand Typische procesgevaren zijn: - Vrijkomen van giftige, bijtende, brandbare stoffen of dampen - Vergiftiging - Verstikking - Verbranding - Brandgevaar - Explosiegevaar Gevaren kunnen ontstaan door (ver)storingen in het proces. Dergelijke gevaren mogen niet met een grote frequentie of continu aanwezig zijn. Door onbekende of onverwachte verstoringen in het proces zijn niet alle gevaren voorspelbaar. Proces SIFs functioneren vooral in een zogenaamde low demand mode of operation. De gevaareffecten kunnen betrekking hebben op personen die in de nabijheid van de installatie aanwezig zijn, maar ook op grote gebieden rond een fabriek (bijvoorbeeld een gifgaswolk die een heel woongebied bereikt). Externe veiligheid kan dan ook van toepassing zijn op procesinstallaties. Mogelijk kan escalatie van het gevaar worden voorkomen door het tijdig ingrijpen in de procesvoering. Ook kan er voldoende tijd zijn tussen het signaleren van een storing en het optreden van de gevaarlijke situatie, waardoor ontsnappen aan het gevaar (evacuatie van groepen) mogelijk is. 5.3 Verschil in risicografen voor de beoordeling van het veiligheidsrisico van machines en procesinstallaties Paragraaf 5.1 en 5.2 laten het verschil zien tussen het mogelijk effect van een machine-incident een proces-incident; samengevat: Machine: enkel persoon, vooral risico voor beschadiging ledematen Proces: groepsrisico mogelijk, risico voor aantasting lichaamsfuncties door bijvoorbeeld vergiftiging, verstikking of verbranding. Verschillen in mogelijkheid van optreden gevaar: Machine: continu aanwezig en ontstaat bij wegvallen beveiliging (high demand mode), kleine kans om te ontsnappen of het effect te beperken. Pagina 20 van 20 Revisie: A.e1, 27 september 2007

27 Proces: heeft een lage frequentie van optreden (soms jaren) en ontstaat na (ver)storing van het proces (low demand mode), mogelijk voldoende tijd om te ontsnappen aan het effect, de schade te beperken of zelfs het gevaar te voorkomen. Door de verschillen tussen machines en procesinstallaties is het noodzakelijk om voor de risicobeoordeling van de SIFs verschillende risicografen toe te passen. Bijlage C en Bijlage D laten risicografen zien die vooral gericht zijn op de specifieke machine risico s. Bijlage E is een risicograaf voor procesinstallaties. 5.4 Een machine met een procesrisico en een proces met een machinerisico In de praktijk komen regelmatig combinaties van machines en procesinstallaties voor als het de veiligheidsrisico s betreft. Bijvoorbeeld de volgende verpakkingsmachine-installatie: De installatie bestaat uit typische machines die flessen vloeistof uitvullen en het inpakken ervan in dozen afhandelen. De bewerkingen en de risico s van deze installatie zijn typerend voor een machine. De vloeistof die in de vulmachine wordt uitgevuld heeft een laag vlampunt en is explosief. Verstoringen in het vulproces kunnen leiden tot het ontstaan van explosieve dampen met een explosie tot gevolg. Het ontstaan van dit gevaar en de effecten (explosie met een groot gevolggebied en mogelijk meerdere slachtoffers) zijn typerend voor een proces. Of dit voorbeeld van een procesinstallatie: In een productieproces voor injectievloeistof wordt handmatig een poedervormige grondstof toegevoegd via een stortkabinet. De bewerking en de risico s van de installatie zijn typerend voor een proces. Diverse stoffen worden gemengd, een chemische reactie vindt plaats. Het vloeistofmengsel is toxisch. Direct onder het stortkabinet bevindt zich een roterende zeef die de poederdeeltjes tot een bepaalde grootte reduceert waarna het poeder in de vloeistof wordt geïnjecteerd. Het storten van het poeder in het stortkabinet is een typische machinehandeling. Om de zeef te inspecteren kan het stortrooster worden opgelicht. De operator kan bij de roterende zeef komen. De zeef roteert met grote snelheid en de zeefmessen zijn zeer scherp. Verlies van een vinger is mogelijk bij inspectie van een roterende zeef. Het is belangrijk om bij dergelijke combinatie installaties de SIFs van het machinedeel en het procesdeel te onderscheiden en de juiste bijpassende norm toe te passen. Wellicht minder herkenbaar is het voorbeeld van een procesinstallatie met een monsternamepunt waar, in een bepaalde procesfase, vloeistof bijna het kookpunt bereikt. De situatie is tijdens deze procesfase gedurende enkele uren continu aanwezig. Indien een monster wordt genomen in deze fase is de kans op verbranding van de handen zeer groot. Het aftappen tijdens de hete fase wordt geblokkeerd door een temperatuurmeting gekoppeld aan een automatische afsluiter. Dit is een high demand situatie zonder groepseffect. Voor het beoordelen van het risico van een dergelijke high demand situatie is de procesrisicograaf niet geschikt. De machine risicograaf biedt ook in dit voorbeeld uitkomst. Voor het bepalen van het SIL of PL van de SIFs voor de machine en het ontwerp van het SIS worden de normen13849 of toegepast. Voor het procesgedeelte de norm Het voordeel van toepassing van de IEC normen en is dat voor het ontwerp en de verificatie van het SIS van zowel de machine als het procesdeel vergelijkbare, op de IEC gebaseerde, technieken worden gebruikt. Pagina 21 van 21 Revisie: A.e1, 27 september 2007

28 6 Het bepalen van het Safety Integrity- of Performance Level met behulp van een risicograaf De risicografen uit de normen maken allemaal gebruik van de definitie risico, als functie van het effect dat een gevaar kan veroorzaken en de kans dat dit effect ook werkelijk optreedt: Risico = effect van het gevaar x kans van optreden Weergegeven in de grafiek van Figuur 6. Middels de risicograaf worden het effect van het gevaar en de kans dat het effect optreedt bepaald. De resultante bepaalt de vereiste minimum risicoreductiefactor die de SIF moet realiseren. Weergegeven als het zogenaamde SIL of PL van de SIF. Een groot risico (ernstige gevolgen en een grote kans van optreden), het donkerrode gebied in Figuur 6, mag niet middels een enkele SIF worden beveiligd. Het ontwerp dan dusdanig wijzigen dat dit risico niet voor kan komen. Bij een klein risico (lichte gevolgen en een kleine kans van optreden), het witte/lichtrode gebied, is het wellicht niet nodig om te beveiligen of kan een SIF worden ontworpen zonder specifieke risicoreductieeisen. In de praktijk heeft men de meeste moeite met het bepalen van de kans van optreden van een gevaareffect. Het meest kritisch te bepalen risico wordt daarom gevormd door een ernstig effect met een kleine kans van optreden. Mogelijk kan een lagere SIL/PL bepaald worden door de kans lager in te schalen. In dat geval dient de kans van optreden nauwkeurig te worden bepaald. Een verkeerde bepaling kan nare gevolgen hebben. 6.1 Het toepassen van een risicograaf voor machines De keuze van de risicograaf Figuur 6 - Risico Voor machines kan worden gekozen uit twee normen: IEC of IEC Beide normen hebben een eigen risicograaf (Bijlage C en Bijlage D). Tabel 4 uit de norm geeft de overeenkomst tussen de Performance Levels uit de norm en de Safety Integrity Levels uit de normenfamilie weer: Pagina 22 van 22 Revisie: A.e1, 27 september 2007

29 PL SIL Average probability of a dangerous Failure per Hour 1/h a Geen overeenkomst 10 5 to < 10 4 b 1 3 x 10 6 to < 10 5 c to < 3 x 10 6 d to < 10 6 e to < 10 7 Tabel 2 - Overeenkomst PL en SIL Met deze tabel zijn de resultaten van de risicobeoordeling van beide normen aan elkaar gekoppeld. De risicografen uit beide normen zouden dan tot hetzelfde resultaat moeten leiden. In Bijlage G is een risicobeoordeling uitgewerkt voor een machine SIF met gebruik van de risicograaf uit de norm ISO en vervolgens nogmaals met de risicograaf uit de norm IEC De uitkomst is niet gelijk. De PL is c (SIL 1) terwijl de SIL op 2 (PL d) uitkomt. Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte mogelijkheid in de ISO risicograaf om de kans van voorkomen en het beperken van het effect te bepalen. Om verschil te voorkomen is het van belang om één risicograaf te gebruiken, voor het bepalen van zowel de SIL en de PL van een SIF. In Figuur 7 is te zien dat bij de PL het zwaartepunt bij het effect ligt. De kansinvloed is veel beperkter. Dit wordt mede veroorzaakt doordat de PL maar twee effectgradaties kent: reversible injury en irreversible injury. De effect (injury)-keuze is eenvoudig. De kansbepaling is beperkt en relatief eenvoudig (zie ook Bijlage C). Het resultaat is een relatief eenvoudig toe te passen risicograaf. De mogelijkheden om het risico ook afhankelijk te laten zijn van menselijke invloeden als bijvoorbeeld training, niveau en gedrag zijn te beperkt bij de PL risicograaf. Het gevolg kan zijn een onacceptabel lage beveiliging voor het gevaar van reversibele verwonding of een onnodig zware beveiliging bij gevaar voor irreversibele verwonding. De SIL risicograaf laat vooral in het veel Figuur 7 PL en SIL afhankelijkheid van het effect voorkomende effectgebied van serieuze verwondingen (Se 2 en 3) een brede range van SIL klassen zien. Dat houdt in dat de werkelijke SIL mede bepaald wordt door de kans van voorkomen parameters. Dat geeft meer mogelijkheden om een nauwkeurig afgestemd SIL te bepalen. Zowel voor het bepalen van het PL als het SIL van een machine is het advies te kiezen voor de risicograaf uit de IEC norm (Bijlage D). De volgende kanttekeningen zijn te maken bij de IEC risicograaf: - De risicograaf maakt het mogelijk het hoogste risico (Cl in combinatie met Se 4) te beveiligen met een enkele SIF (SIL3). Het heeft echter de voorkeur bij een PL e 3 d 2 c 1! b a SIL 1 a Injury Reversable Irreversable First aid Medical practitioner Broken limbs, losing finger Dead, losing eye, arm S1 S2 SIL PL Pagina 23 van 23 Revisie: A.e1, 27 september 2007

30 dergelijk hoog risico het machineontwerp aan te passen, waardoor het risico afneemt of niet middels een SIF beveiligd wordt. - Bij het zwaarste effect in combinatie met een zeer lage kans van optreden van dit effect wordt nog steeds een SIF met een SIL2 toegepast. Bij een dergelijke lage effectkans kan de SIF naar een SIL1 niveau. Dit vereist wel een nauwkeurige inschatting van de lage effectkans. Het resultaat is samengevat in een gemodificeerde IEC risicograaf waarin opgenomen de PL. Deze risicograaf is toepasbaar bij de risicobeoordeling van machines voor zowel de SIL als de PL bepaling. In Bijlage H is deze risicograaf opgenomen Bepaling van het effect, de ernst van de gevolgen voor de gezondheid De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen voor de gezondheid (Se-Severity factor): Se 1 Reversibel Eerste hulp noodzakelijk 2 Reversibel Behandeling noodzakelijk 3 Irreversibel Gebroken ledematen, verlies vinger(s) 4 Irreversibel dood, verlies arm / oog e.d. Hersteltijd: Arbeidsgeschikt na herstel: Toelichting: Geen 100% Lichte verwondingen, waarbij na eerste hulp behandeling het werk weer kan hervatten. Bijvoorbeeld: snee, schaafwond, lichte kneuzing, e.d. Kort (tot max. enkele weken) 100% Zwaardere verwondingen waarbij behandeling door een arts noodzakelijk is of waarbij het werk pas na enige hersteltijd (ziektewet) hervat kan worden. Bijvoorbeeld: diepe wond, kneuzing, verrekte of gescheurde pees, gebroken vinger. Langer 100% Zware verwondingen en verlies ledematen, waarbij het na hersteltijd, mogelijk is om hetzelfde werk te hervatten. Bijvoorbeeld het verlies van een vinger of zwaardere botbreuken. n.v.t. Lang (revalidatie) < 100% 100% Dood of zware verwondingen waarna het niet mogelijk is om, na herstel, het werk met dezelfde productiviteit te hervatten. Of waarna een langdurig revalidatietraject volgt. Verlies van een duim, hand, oog, voet, ernstige brandwonden. Tabel 3 - Se - ernst van de gevolgen van een gevaar Toelichting: De norm belicht de ernst van de gevolgen vooral vanuit een zakelijk perspectief, met als basis hoe snel en hoe volledig is de persoon weer productief. Een verwonding waarbij het werk alleen direct kan worden hervat door het aanbieden van aangepast werk valt onder de zwaardere verwondingen (Se 2). Pagina 24 van 24 Revisie: A.e1, 27 september 2007

31 Kleine littekens zijn weliswaar irreversibel maar geven geen nadelige bijeffecten (cosmetische effecten worden niet beschouwd) en worden als reversibel gekenmerkt (Se 1 of 2). Bij bijvoorbeeld brandwonden kunnen ernstige littekens ontstaan. In deze situatie kan het herstel van verwonding en littekens langdurig zijn (Se 4). Kanttekeningen: De volgende situaties zijn persoonsafhankelijk en worden niet beschouwd bij het bepalen van de Se - factor. In voorkomende gevallen kunnen deze situaties een rol spelen. Mogelijk door schadeclaims van betreffende personen. De kwaliteit van het leven van de persoon zelf blijft buiten beschouwing. Bijvoorbeeld het verlies van een pink heeft geen gevolgen voor bepaald werk dat de persoon verricht en hij zal na een niet al te lange hersteltijd 100% arbeidsgeschikt zijn (Se 3). Echter zijn grote passie, pianospelen, kan hij zonder pink niet meer met dezelfde kwaliteit uitvoeren dan voorheen (vergelijkbaar met Se 4). Psychische schade veroorzaakt door de schokkende ervaring van een ongeluk (een trauma) kan leiden tot arbeidsongeschiktheid met een lange hersteltijd of zelfs blijvende arbeidsongeschiktheid. De persoon die zijn collega een zwaar machineongeluk ziet krijgen kan een langere hersteltijd hebben dan de getroffene zelf! Bepaling van de kans op schade met een bepaalde ernst De kans dat schade voor de gezondheid met een bepaalde ernst ook daadwerkelijk optreed is afhankelijk van de volgende drie factoren: - frequentie en duur van de blootstelling (Fr frequency) - mogelijkheid van optreden van een gevaarlijke gebeurtenis (Pr - probability) - mogelijkheid om de schade te voorkomen of te beperken (Av avoiding) Fr - frequentie en duur van de blootstelling Het inschatten van de frequentie en de duur van de blootstelling kan worden gedaan door met de volgende aspecten rekening te houden: - Waarom ben je er - De noodzaak van het verblijf in de gevaarlijke zone (denk niet alleen aan normale bedrijfsvoering, maar ook aan onderhoud, reparatie, storing, e.d.). - Wat doe je er - De aard van de werkzaamheden in de gevaarlijke zone (bijvoorbeeld toevoegen van materiaal, verwijderen van een afgekeurd product). Vervolgens kan de frequentie en de tijdsduur van het scenario worden bepaald en de Fr-factor worden vastgesteld met behulp van Tabel 4: Fr - Frequentie en duur van het scenario duur > 10 min duur <= 10 min freq. scenario 5 5 <= 1 h 5 4 > 1h tot <= 1 dag 4 3 > 1 dag tot <= 2 weken 3 2 > 2 weken tot <= 1 jaar 2 1 > 1 jaar Tabel 4 - Se - frequentie en duur van het scenario Pagina 25 van 25 Revisie: A.e1, 27 september 2007

32 Toelichting: De frequentie is de gemiddelde tijd tussen de keren dat men aanwezig is in de gevaarlijke zone. Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in een specifieke zone is het aan te bevelen om een taak risico analyse van de werkzaamheden uit te voeren. Pr - mogelijkheid van optreden van een gevaarlijke gebeurtenis De mogelijkheid van optreden van een gevaarlijke gebeurtenis wordt bepaald door: - De voorspelbaarheid van het gedrag van de machine. Een belangrijke factor hierbij is de betrouwbaarheid van de componenten, of - de mogelijk te verwachten menselijke handelingen die kunnen leiden tot een gevaarlijke situatie. De Pr-factor kan worden bepaald met Tabel 5: Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis Pr Voorspelbaarheid machinegedrag; Betrouwbaarheid componenten (mits falen een gevaarlijke situatie veroorzaakt) 1 Verwaarloosbaar Soort component faalt niet of falen kan niet leiden tot gevaar. 2 Zelden Het is niet te verwachten dat soort component zal falen. Mogelijkheid van menselijke handelingen die kunnen leiden tot een gevaarlijke situatie. Niet mogelijk. Niet te verwachten. 3 Mogelijk Soort component kan falen. Is mogelijk. 4 Waarschijnlijk Soort component zal waarschijnlijk falen. 5 Erg hoog Soort component niet geschikt voor applicatie. Zal na verloop van tijd zeker falen. Tabel 5 - Pr - mogelijkheid van optreden gevaar Is te verwachten. Erg groot. De volgende aandachtspunten die van invloed kunnen zijn op het menselijk handelen: - Stress / vermoeidheid veroorzaakt door werkdruk of specifieke taakeigenschappen (Pr 3). - Kennis machinegedrag Het machinegedrag is onvoldoende in kaart gebracht (Pr 3). - Training personeel is onvoldoende op de hoogte van de mogelijke gevaren (Pr 3). Alleen bij training met periodieke herhaling en door toetsing geverifieerde kennis is een Pr < 3 mogelijk. - Gedrag Personeel schat risico s onvoldoende in of gaat er makkelijk mee om (Pr 4). De veiligheidscultuur is onvoldoende; geen actief veiligheidsbeleid: te weinig aandacht bij management voor veiligheid, management voert geen corrigerende maatregelen (Pr 4). - Complexe machine de machine is complex, risico s zijn niet goed te overzien, er gebeuren meerdere dingen tegelijk waardoor personeel afgeleid kan worden van het gevaar (Pr 3). Pagina 26 van 26 Revisie: A.e1, 27 september 2007

33 Toelichting: Normaal functioneren van een machine is voorspelbaar machinegedrag. Door falen van componenten kan de machine niet te voorspellen gevaarlijk gedrag vertonen. Wanneer het normaal functioneren van de machine niet volledig in kaart is gebracht of bedienend personeel onvoldoende is geïnformeerd kan normaal machinegedrag onvoorspelbaar zijn. Bijvoorbeeld onverwacht inschakelen van machinedelen bij een opstartprocedure. Let op! Ook het product dat door de machine wordt verwerkt kan leiden tot niet voorspelbare gevaarlijke situaties. Bijvoorbeeld het blik dat verpakt moet worden en vastloopt in de verpakkingsmachine. Een situatie die kan ontstaan door beschadigingen aan, of afwijkende specificaties van het blik. Een ander voorbeeld zijn wegschietende delen van werkstukken in een bewerkingsmachine. Te verwerken producten en materialen worden ook als component beschouwd! Ook bij niet falende componenten kunnen situaties bestaan waarbij menselijk handelen kan leiden tot verwondingen. Bijvoorbeeld normaal functionerende machines, waarbij een hand in een draaiend deel wordt gestoken. Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in een specifieke zone is het ook voor de Pr-factor aan te bevelen om een taak risico analyse van de werkzaamheden uit te voeren. Machinefabrikanten die machines bouwen voor onbekende gebruikers (in principe alle seriematig gebouwde machines) kunnen geen rekening houden met de specifieke oorzaken van menselijk falen. Indien menselijk falen tot een gevaarlijke situatie kan leiden moeten deze fabrikanten een Pr 4 aanhouden. Av - mogelijkheid om de schade te voorkomen of te beperken De mogelijkheid om de schade te voorkomen of te beperken is afhankelijk van de volgende factoren: - Het ontwerp van de machine, waardoor de mogelijkheid ontstaat om gevaar tijdig te signaleren en te ontwijken. - Menselijke eigenschappen. Herkent men het gevaar, zodat tijdig ingrijpen mogelijk is. Tabel 6 geeft de mogelijke Av-factoren weer: Av - mogelijkheid voorkomen of beperken van schade Av Machineontwerp: Menselijke factoren: 1 Mogelijk Lage snelheid, herkenbaarheid gevaar, voldoende ruimte 3 In bijzondere gevallen mogelijk Lage snelheid, herkenbaarheid gevaar, obstakels in vluchtroute, of Alarmsignalering in combinatie met voldoende tijd. 5 Onmogelijk Hoge snelheid, gevaar niet herkenbaar of niet zichtbaar, geen vluchtruimte. Tabel 6 - Av - mogelijkheid voorkomen of beperken schade Kennis van, of ervaring met de gevaren. Onvoldoende kennis van of ervaring met de gevaren. Pagina 27 van 27 Revisie: A.e1, 27 september 2007

34 Factoren met betrekking tot het ontwerp van de machine: - Snelheid waarmee een gevaarlijke situatie tot schade leidt of de snelheid waarmee een gevaarlijke situatie ontstaat. Plotseling optreden: Av=3, snel optreden: Av=5, langzaam optreden met voldoende tijd om situatie in te schatten en weg te komen: Av=1. - Weg kunnen komen. Voldoende ruimte om tijdig weg te komen van het gevaar: Av=1. Obstakels in de vluchtroute: Av=3. Nauwe of gesloten ruimten: Av=5. - De herkenbaarheid van het gevaar. Niet zichtbare en gevaarlijke objecten zoals bijvoorbeeld hete oppervlakten, scherpe snijdende onderdelen: Av=5. Indien deze objecten duidelijk herkenbaar zijn als gevaarobject en zichtbaar: Av=1. De aanwezigheid van duidelijke waarschuwingssignalen of markeringen: Av=1. - Alarmsignalering. Wanneer alarmsignalering wordt toegepast bij optredend gevaar in combinatie met voldoende tijd en ruimte: Av=3. Menselijke factoren: - Kennis van de gevaren. Personeel dat getraind is in het herkennen van de gevaren van de machine: Av=1. Indien dit niet het geval is: Av=3. Dit - Ervaring: Personeel dat ruime kennis en ervaring heeft in de bediening van de machine en de herkenning van de gevaren: Av=1. Indien niet Av= De risicograaf voor procesinstallaties De keuze van de risicograaf In hoofdstuk 5 is het verschil tussen een machine en een procesinstallatie beschreven en de noodzaak om voor SIFs van procesinstallaties op een andere wijze de risico s te beoordelen. De IEC is de norm die specifiek voor procesinstallaties wordt toegepast. In Bijlage E is de risicograaf van deze norm opgenomen Bepaling van het effect, de ernst van de gevolgen voor de gezondheid Het bepalen van het effect van een procescalamiteit is gebaseerd op het groepsrisico. Het is niet de ernst van het effect op een persoon maar de hoeveelheid doden of zwaar gewonden dat de ernst bepaald. De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen (C - consequence factor): C - Ernst van de gevolgen CA Verwonding CB Zwaar gewonde / dode CC Meerdere doden / zwaar gewonden CD Veel doden / zwaar gewonden Groepseffect range 0,01 tot 0,1 Groepseffect range > 0,1 tot 1,0 Groepseffect range > 1,0 Tabel 7 - C - ernst van de gevolgen van een gevaarlijke gebeurtenis De groepseffect-range wordt bepaald door het aantal personen dat in het getroffen gebied aanwezig is, dat blootgesteld wordt aan het gevaar en de hoeveelheid brandbaar of toxisch materiaal dat vrijkomt in het getroffen gebied: Pagina 28 van 28 Revisie: A.e1, 27 september 2007

35 Groepseffect range = aantal personen x V Vermenigvuldigingsfactor V voor de hoeveelheid vrijgekomen brandbaar of toxisch materiaal: - V = 0,01 Beperkte hoeveelheid brandbaar of toxisch materiaal - V = 0,1 Grote hoeveelheid brandbaar of toxisch materiaal - V = 0,5 Grote hoeveelheid brandbaar materiaal met een groot risico om vlam te vatten of zeer toxisch materiaal - V = 1 Explosie of flashfire, instantaan vrijkomen van grote hoeveelheid toxisch materiaal. Voorbeeld: In een hal waar gemiddeld 5 personen werken ontsnapt voldoende hoeveelheid van een toxisch gas om de hal te vullen. Groepseffect range = 5 x 0,1 = 0,5 (Ernst factor: CC) Bepaling van de kans op schade met een bepaalde ernst De kans dat schade voor de gezondheid van personen ook daadwerkelijk optreedt is afhankelijk van de volgende drie factoren: - De mogelijke aanwezigheid van personen in het gebied dat getroffen kan worden bij een calamiteit (F). - De mogelijkheid om te ontsnappen aan het gevaar (P). - De frequentie waarmee de gevaarlijke situatie optreedt (W). F mogelijke aanwezigheid van personen De kans dat personen aanwezig zijn in het calamiteitgebied op het moment van optreden van een calamiteit wordt bepaald aan de hand van de relatieve tijdsduur dat personen aanwezig zijn in hetzelfde gebied bij een normale situatie. Volgens Tabel 8: F - Aanwezigheid van mensen FA Nauwelijks tot frequent aanwezig FB Frequent tot permanent aanwezig < 0,1 x duur werkperiode 0,1 x duur werkperiode Tabel 8 - F - aanwezigheid van mensen Voorbeeld 1: Een normale werkdag duurt 8 uur: 0,1 x 8 = 48 minuten. Wanneer gemiddeld korter dan 48 minuten (ongeveer een uur) per dag personen in het calamiteitgebied aanwezig zijn: FA, anders FB. Bij een continubedrijf geldt een werkdag van 24 uur met een gemiddelde aanwezigheidstijd van 144 minuten (ongeveer 2,5 uur). Voorbeeld 2:Indien de aanwezigheid van personen wisselt per dag of per periode kan een langere periode worden beschouwd. Bijvoorbeeld: Bij een continu productieperiode van 1 week = 168 uur x 0,1 =17 uur. Als in dit geval gemiddeld korter dan 17 uur per week personen in het calamiteitgebied aanwezig zijn geldt FA. Toelichting: Als het calamiteitgebied een gebied bestrijkt waarvan de aanwezigheid van personen niet duidelijk is, geldt factor FB. Bij een calamiteitgebied dat zich uitstrekt buiten de bedrijfsgrenzen geldt factor FB. Pagina 29 van 29 Revisie: A.e1, 27 september 2007

36 Als calamiteiten dusdanig van aard zijn dat ze de aandacht van personen kunnen trekken, geldt factor FB. Bijvoorbeeld een bepaald geluid waar geen afschrikkende werking vanuit gaat, waardoor personen naar de calamiteitplek toegaan. Indien de mogelijkheid bestaat dat een calamiteit ontstaat terwijl onderhoudspersoneel een storing onderzoekt geldt factor FB. P - de mogelijkheid om te ontsnappen aan het gevaar De mogelijkheid om te ontsnappen aan het gevaar als het SIS faalt wordt bepaald aan de hand van Tabel 9: P - Mogelijkheid tot ontsnappen aan gevaar PA Mogelijk Als aan de volgende voorwaarden is voldaan: - Er is een systeem aanwezig dat waarschuwt als het SIS faalt. - Er zijn voorzieningen aanwezig die het mogelijk maken om het gevaar te voorkomen of het mogelijk maken alle aanwezige personen te evacueren. - De tijd tussen waarschuwen en het optreden van een gevaar moet ruim toereikend zijn om die acties te nemen die nodig zijn om het gevaar te voorkomen of alle aanwezige personen te evacueren. PB Meestal onmogelijk Als niet aan alle eisen van PA kan worden voldaan. Tabel 9 - P - mogelijkheid tot ontsnappen aan het gevaar Toelichting: De genoemde voorzieningen mogen procedurele voorzieningen zijn. Voorwaarde is dat de procedures vastgelegd zijn, getest zijn en goed functioneren en dat alle betrokkenen op de hoogte zijn. W - De frequentie waarmee de gevaarlijke situatie optreedt. De frequentie wordt bepaald door het aantal keer dat een gevaarlijke gebeurtenis optreed als deze niet door een SIF wordt beveiligd; volgens Tabel 10: W - Frequentie van optreden gevaarlijke gebeurtenis W1 Minder vaak dan eens per 10 jaar Onderbouwen W2 Eens per 1 tot 10 jaar Standaard keuze W3 Vaker dan eens per jaar Ongewenst voor gevaren met klasse CC en CD. Tabel 10 - W - frequentie van optreden van een gevaarlijke gebeurtenis Toelichting: Als de frequency factor W1 wordt gekozen moet aannemelijk worden gemaakt dat gevaarlijke gebeurtenissen minder vaak dan eens per 10 jaar voorkomen. Een geschikte methode hiervoor is een foutenboomanalyse van alle mogelijke bronnen die kunnen leiden tot de gevaarlijke gebeurtenis. Pagina 30 van 30 Revisie: A.e1, 27 september 2007

37 De aard van het gevaar maakt een hoge frequentie van voorkomen zeer onwenselijk. De procesrisicograaf is dan ook niet geschikt voor fouten met een hoge frequentie van voorkomen. Bij gevaren van klasse CC en CD met een hoge frequentie dienen oplossingen gezocht te worden die de frequentie van voorkomen verlagen. Pagina 31 van 31 Revisie: A.e1, 27 september 2007

38 7 Conclusies en aanbevelingen Uit ervaringen met klanten komt naar voren dat er kritisch wordt geoordeeld over het nut van de SIL of PL bepaling van SIFs in hun machines of procesinstallaties. Besef van de noodzaak voor een goede beveiliging is er over het algemeen wel. Echter de noodzaak om een ontwerptraject voor instrumentele beveiligingen in te zetten volgens de betreffende normen vereist een andere visie m.b.t. het begrip beveiligingsloops. Sentimenten als bijvoorbeeld: vroeger deden we het altijd zo spelen hier bijvoorbeeld een rol. Scepsis kan te maken hebben met onvoldoende acceptatie van het resultaat van de beoordeling en de gevolgen voor de aanpassingen van de installatie, m.n. de kosten ervan. Oorzaken van een slechte acceptatie zijn: a. De kwaliteit van het uitgevoerde risico-onderzoek laat soms te wensen over. b. De klant is onvoldoende betrokken in het risicobeoordelingsproces. c. Slechte rapportage van de eindresultaten met onvoldoende onderbouwing. Ad. a. Bij het toepassen van een risicograaf als tool om een SIL of PL te bepalen is het belangrijk dat de juiste waarden worden gegeven aan de beoordelingsonderwerpen van de risicograaf. Hoofdstuk 6 geeft voor zowel de machinerisicograaf als de procesrisicograaf een goede handleiding. Als ondersteuning bij het beoordelen van operatorhandelingen, die van invloed kunnen zijn op het risico, is het aan te bevelen om een taakrisicoanalyse op te stellen van de werkzaamheden van de operator. Ad. b. Het is gebleken dat er classificatierapporten zijn opgesteld door individuele adviseurs. De kans is groot dat een kwalitatieve risicobeoordeling uitgevoerd door één persoon een te eenzijdig beeld van de problematiek schetst, mogelijk zelfs teveel beïnvloed door vooroordelen. Daarnaast is het voor een externe adviseur ondoenlijk een volledig beeld van de situatie ter plaatse en de menselijke handelingen te hebben. De kracht van een goede kwalitatieve risicobeoordeling, wat een SIL of PL bepaling in feite is, is de uitvoering door een team van ter zake kundigen. De samenstelling van een dergelijk team is afhankelijk van de te beveiligen situatie. De volgende kennis kan van belang zijn: - proceskennis (procestechnoloog, proces engineer) - machinekennis (ontwerper machine) - kennis van het werken met de installatie (proces- of machineoperator, storingsmonteur, onderhoudsmonteur) - ontwerpkennis (instrumentatie engineer, elektrotechnisch engineer, werktuigbouwkundig engineer,...) Het is aan te bevelen om een dergelijk team te sturen door een procesbegeleider (voorzitter) met ervaring met dergelijke beoordelingsprocessen. Een belangrijk effect van participatie in een team door medewerkers van de klant, is een hoge mate van acceptatie van het bepaalde SIL of PL niveau en bewustzijn van de noodzaak van de SIF. Daarnaast dragen klant-eigen medewerkers bij aan een klanten situatiespecifiek beoordelingsresultaat. Ad. c. Het is van belang een volledige rapportage op te stellen van de SIL of PL bepaling van een SIF. Een goede onderbouwing van de keuzes die gemaakt zijn om het effect en de kans van optreden te beoordelen zijn opgenomen in de rapportage. Deze informatie is onontbeerlijk bij wijzigingen aan de machine of het proces of bij een controlebeoordeling in een later stadium. Pagina 32 van 32 Revisie: A.e1, 27 september 2007

39 Daarnaast is een schets van de te beveiligen situatie van belang voor het ontwerpen van een SIS. Een constructeur heeft naast het bepaalde SIL of PL ook een goed beeld van de te beveiligen situatie nodig om een effectief SIS te ontwerpen. In Bijlage I is een praktijkvoorbeeld uitgewerkt van een misverstand dat ontstaat na onvolledige informatie rond de SIF functionaliteit. En uiteindelijk kan de rapportage gebruikt worden om aan derden te presenteren wat de gevonden resultaten zijn en hoe deze tot stand zijn gekomen. Proces versus machine Een belangrijke constatering is het verschil tussen machines en procesinstallaties en de toepassing van de juiste bijpassende norm. Voor machines zijn de normen ISO en IEC van toepassing om een SIS te ontwerpen. Voor procesinstallaties de norm IEC Echter bij machines kunnen risico s voorkomen die vallen binnen het kader waarin de procesnorm van toepassing is. In dat geval geldt het advies om voor die risico s de procesnorm toe te passen om het SIL niveau van de SIF te bepalen en het SIS te ontwerpen. Bij procesinstallaties is de kans reëel aanwezig dat er ook risico s voorkomen die vallen binnen het kader van de machinenormen of Ook hier het advies om voor die risico s de machinenormen toe te passen om het SIL of PL niveau van de SIF te bepalen en het SIS te ontwerpen. Wanneer zowel machine- als procesgerelateerde risico s voorkomen verdient het aanbeveling om de norm IEC toe te passen voor het ontwerp van het machinegerelateerde SIS, boven het toepassen van de norm ISO Het gebruik van de IEC heeft namelijk als voordeel dat het ontwerp van het SIS voor zowel de machinerisico s als die van de procesrisico s op dezelfde basis berust, namelijk de norm IEC De technieken en de terminologie voor machine- en procesdeel zijn vergelijkbaar. De risicografen Het toepassen van de risicograaf uit de norm ISO (PL) kan tot een ander gewenst beschikbaarheidsniveau leiden dan het toepassen van de risicograaf uit de norm IEC (SIL). Om een eenduidig beoordelingsresultaat te verkrijgen met een consistente onderbouwing moet worden gekozen voor één systeem voor het bepalen van zowel het PL als het SIL. De risicograaf uit de norm IEC biedt meer mogelijkheden om de waarschijnlijkheid van optreden van een gevaarseffect te bepalen. Dit maakt het onder andere beter mogelijk om klantspecifieke situaties mee te laten wegen. Voor het bepalen van zowel het SIL als het PL wordt gekozen voor deze risicograaf. In de oorspronkelijke IEC risicograaf is het grootste risico begrensd op een SIL2 als laagste gewenst niveau. Door een goede risicobeoordeling uit te voeren met aandacht voor een mogelijk zeer lage waarschijnlijkheid van optreden van een gevaarseffect kan dit niveau worden teruggebracht naar SIL 1. In Bijlage H is de gemodificeerde en gecombineerde risicograaf opgenomen. Voor het bepalen van het SIL van een procesinstallatie kan de risicograaf uit de norm IEC worden toegepast. Risico s met een hoge frequentie voor calamiteiten uit de zwaarste categorieën CC en CD dienen te worden vermeden. Ontwerpwijzigingen die de frequentie van voorkomen omlaag brengen hebben veruit de voorkeur boven het toepassen van SIFs. Pagina 33 van 33 Revisie: A.e1, 27 september 2007

40 Cultuur en gedrag Bij machinerisico s heeft het impulsief handelen door een persoon een grotere invloed op het risico dan bij procesrisico s. Onveilig gedrag van personen bij machinerisico s kan leiden tot ongelukken, vaak bij de persoon zelf. Onveilig gedrag van procesoperators zou kunnen leiden tot een verhoogd procesrisico met mogelijk schadelijke gevolgen voor grotere groepen personen. In dergelijke situaties kunnen de herstelmogelijkheden ongelukken voorkomen. Een slechte veiligheidscultuur kan bij machines leiden tot onveilige situaties door bijvoorbeeld slecht onderhoud van veiligheidsfuncties en gedrag van personeel. Bij procesinstallaties is het ontbreken van procedures en training voor het voorkomen van calamiteiten een voorbeeld van een slechte veiligheidscultuur. Bijvoorbeeld procedures voor risicoscenario s en ontruiming. Machinebouwers die seriematig machines bouwen voor een onbekende gebruiker kunnen geen rekening houden met risicoverlaging door gedrag- en cultuurinvloeden. Diverse aanbevelingen De keuze voor een SIF om een risicoreductie te bereiken mag niet te snel genomen worden. Het heeft de voorkeur om het ontwerp dusdanig aan te passen dat het risico voldoende gereduceerd wordt zonder aanvullende maatregelen als een SIF. Voer daarom bij een nieuw ontwerp van een procesinstallatie of machine al in een vroegtijdig stadium (conceptfase) een risicobeoordeling uit. Bij nieuw ontworpen installaties en machines is er geen praktijkervaring die gebruikt kan worden bij het bepalen van specifieke risico s. Het is daarom aan te bevelen om enige tijd na ingebruikname de risicobeoordeling van het proces of de machine (bijv. HAZOP, FMEA) en die van de SIFs (SIL of PL) nog eens te herhalen. Pagina 34 van 34 Revisie: A.e1, 27 september 2007

41 8 Literatuur 8.1 Boeken Boek 1 Boek 2 Boek 3 Boek Artikelen HSE, Out of Control, Why control systems go wrong and how to prevent failure, HSE - Health and Safety Executive 2003 (Second Edition, first published 1995). Ed Marszal and Eric Scharpf, Safety Integrity Level Selection, ISA The Instrumentation, Systems and Automation Society W.M. Goble and H. Cheddie, safety Instrumented Systems Verification, ISA The Instrumentation, Systems and Automation Society Josef Börcsök, Functional Safety Basic Principles of Safety-related Systems, Hütig Verlag Heidelberg Art. 1 IEC, Functional safety and IEC 61508, IEC september Art Normen Norm 1 Norm 2 Norm 3 Norm 4 Norm 5 Jansen, SIL: Machineveiligheid volgens de NEN-EN-IEC 62061, TNO SSC 13 oktober NEN-EN 1050, Veiligheid van machines - Principes voor de risicobeoordeling, NEN-EN-ISO , Veiligheid van machines - Basisbegrippen, algemene ontwerpbeginselen - Deel 1: Basisterminologie, methodologie, NEN-EN-ISO , Veiligheid van machines - Basisbegrippen, algemene ontwerpbeginselen - Deel 2:Technische beginselen, NEN-EN-ISO , Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design, NEN-EN-ISO , Safety of machinery Safety-related parts of control systems - Part 2: Validation, Norm 6 NEN-EN-ISO , Safety of machinery - Risk assessment - Part 1: Principles, 2005 (ontwerpnorm). Norm 7 NEN-EN-IEC 61508, Functional safety of electrical /electronic / programmable electronic safety-related systems Parts 1-7, Norm 8 Norm 9 NEN-EN-IEC , Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements, NEN-EN-IEC 62061, Safety of machinery Functional safety of safetyrelated electrical, electronic and programmable electronic control systems, Pagina 35 van 35 Revisie: A.e1, 27 september 2007

42 9 Lijsten 9.1 Verklarende woordenlijst Functionele veiligheid Het deel van de machine of procesinstallatie waarvan het veilig functioneren afhankelijk is van het correct functioneren van de geïnstalleerde veiligheidssystemen. Externe veiligheid Kans om buiten een inrichting te overlijden als rechtstreeks gevolg van een ongewoon voorval binnen die inrichting waarbij een gevaarlijke stof betrokken is (Besluit externe veiligheid inrichtingen, artikel 2-1e). Dangerous failure Failure which has the potential to put the safety instrumented system in a hazardous or failto-function state. Mode of operation: Demand mode (low demand mode) Safety instrumented function where a specified action (for example, closing of a valve) is taken in response to process conditions or other demands. In the event of a dangerous failure of the safety instrumented function a potential hazard only occurs in the event of a failure in the process / machine or the control system. Continuous mode (high demand mode) Safety instrumented function where in the event of a dangerous failure of the safety instrumented function a potential hazard will occur without further failure unless action is taken to prevent it. Reversibel (UK: Reversible) Omkeerbaar; herstelbaar. Wordt gebruikt bij het bepalen van de ernst van de gevolgen voor de gezondheid van een bepaald gevaar. Reversibele effecten genezen volledig, zonder bijverschijnselen. Irreversibel (UK: Irreversible) Onomkeerbaar; herstelt niet volledig of met bijverschijnselen. Wordt gebruikt bij het bepalen van de ernst van de gevolgen voor de gezondheid van een bepaald gevaar. Irreversibele effecten genezen niet volledig of met nadelige bijverschijnselen. Safety Integrity Average probability of a safety instrumented system satisfactorily performing the required safety instrumented functions under all the stated conditions within a stated period of time. Safety Integrity Level Discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety instrumented functions, where safety integrity level four has the highest level of safety integrity and safety integrity level one has the lowest. Pagina 36 van 36 Revisie: A.e1, 27 september 2007

43 9.2 Lijst met afkortingen ALARP Bevi BRZO CEN EN HSE IEC ISO NEN NEN PL SIL SIF SIS SRCF SRECS SRP/CS As low as reasonably practicable; (ALARA - As low as reasonably achievable) The ALARP principle recommends that risks be reduced so far as is reasonably practicable, or to a level which is As Low As Reasonably Practicable. Besluit Externe Veiligheid Inrichtingen 2004 (Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer). Besluit risico s zware ongevallen (Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer). European Committee for Standardization Europese Norm Health and Safety Executive (Britse veiligheid- en gezondheidsorganisatie vergelijkbaar met de Arbeidsinspectie) International Electrotechnical Commission International Organization for Standardization Nederlandse Norm Nederlands Normalisatie Instituut Performance Level Safety Integrity Level Safety instrumented function Safety function with a specified safety integrity level which is necessary to achieve functional safety and which can be either a safety instrumented protection function or a safety instrumented control function. N.B.: Tevens de gekozen afkorting voor automatische veiligheidsfuncties in dit rapport. Safety Instrumented System Instrumented system used to implement one or more safety instrumented functions. An SIS is composed of any combination of sensor (s), logic solver (s), and final elements(s). N.B.: Tevens de gekozen afkorting voor automatische veiligheidssystemen in dit rapport. Safety-Related Control Function Control function implemented by a SRECS with a specified integrity level that is intended to maintain the safe condition of the machine or prevent an immediate increase of the risk(s). Safety-Related Electrical Control System Electrical control system of a machine whose failure can result in an immediate increase of the risk(s). Safety-related part of a control system Part of a control system that responds to safety related input signals and generates safety related output signals. Pagina 37 van 37 Revisie: A.e1, 27 september 2007

44 Bijlage A Relatie tussen Safety Instrumented Functions (SIFs) en andere besturingsfuncties Start No Is it an Instrumented Function? Yes Yes Safety related? No No Safety Instrumented Function? Yes Not relevant Continuous Mode? Demand Safety instrumented Protection function. Prevention Type? Mitigation Other means of risk reduction. Basic process Control and/or asset Protection function. Safety Instrumented Control Function. Safety Instrumented Prevention Function. Safety Instrumented Mitigation function. Relatie Safety Instrumented Functions (SIFs) en andere functies volgens IEC [Norm 8]. Bijlage A-1/1 Revisie: A.e1, 27 september 2007

45 Bijlage B Registratie van ervaringen en stellingen van derden die een verkeerd beeld geven van functional safety In deze bijlage een opsomming van meningen, stellingen en bevindingen die een verkeerd beeld geven aan het nut en de noodzaak van een goede risicobeoordeling met een bijpassend SIS ontwerp. Onderstaande stellingen en ervaringen komen voort uit gesprekken met klanten, leveranciers en adviseurs alsmede ervaringen die TripleM medewerkers vanuit hun werk hebben opgedaan. De klant:... Ik weet het niet hoor. We moeten instrumentatie vervangen n.a.v. een zogenaamde SIL classificatie. Het heeft altijd zo gewerkt. Kost allemaal veel geld en levert niets extra op. Als de classificatie goed is uitgevoerd en het ontwerp van het SIS voldoet, dan levert dat wel degelijk een reductie van het risico op. Een serieuze verificatie van het bestaande veiligheidssysteem kan voorkomen dat onnodig instrumentatie moet worden vervangen. De klant:... Ik ben het niet eens met de SIL classificatie. Niet onderbouwd en volgens mij te zwaar ingeschat. Het betrekken van de klant bij het uitvoeren van de risicobeoordeling en een goede onderbouwing van het gezamenlijk vastgestelde risicoreductieniveau verhoogt de acceptatie van het resultaat. Het resultaat:... Het rapport laat een machine-installatie zien met nauwkeurig omschreven functionaliteit. Een aantal scenario s zijn uitgewerkt. Deze scenario s zijn niet op specifieke veiligheidsfuncties gebaseerd, maar op machinedelen, met meerdere onafhankelijke oorzaken. Op basis daarvan is een veiligheidsklasse bepaald voor een vijftal zones van de machine. Alle toe te passen, nader te bepalen veiligheidsfuncties, moeten aan die klasse voldoen. De afzonderlijke veiligheidsfuncties zijn niet in kaart gebracht. Er is geen risicobeoordeling per veiligheidsfunctie uitgevoerd. En het ontbreekt aan een onderbouwing van de gevonden resultaten. Een dergelijk rapport is niet bruikbaar om een SIS te ontwerpen. De adviseur:... Het effect kan het verlies van een of meerder vingers zijn. Lager dan een SIL 2 kan de klassenindeling niet worden. Een dergelijk standpunt wordt door adviseurs nog wel eens ingenomen. Bij een te zwaar effect wordt de waarschijnlijkheid van optreden onvoldoende uitgewerkt. De normen worstelen hier ook mee. De ISO kent alleen niet herstelbare effecten, voor het verlies van een vinger of de dood gelijk. Hierdoor komen de kleinere irreversibele effecten wat zwaar geclassificeerd uit.l De norm geeft een minimum van SIL 2 voor de zwaarste categorie effecten. Echter bij een zorgvuldig Bijlage B-1/1 Revisie: A.e1, 27 september 2007

46 uitgevoerde waarschijnlijkheidsanalyse zou een lagere beveiligingsklasse best te motiveren kunnen zijn. De klant:... SIL geldt alleen op componentniveau. Een beveiligingsloop kan je er niet mee bepalen. Dit is de omgekeerde wereld. Nergens in de normen wordt een SIL of PL gekoppeld aan een instrument. Uitdrukkelijk wordt de veiligheidsfunctie (SIF) geclassificeerd. Van het gehele SIS, bestaande uit alle componenten die nodig zijn om aan de SIF eisen te voldoen, wordt geverifieerd of deze aan de classificatie eis voldoet. De reactie van deze klant blijkt veroorzaakt te zijn door een fabrikant met de volgende stelling. De fabrikant:... Onze niveauopnemer is geschikt voor SIL klasse 3. Dat hebben we zelfs laten certificeren. Dat komt voor. Zoals al eerder gezegd geldt een SIL klasse voor de gehele beveiligingsloop (SIS) en niet voor een enkel instrument. De fabrikant bedoelt dat zijn instrument voldoet aan een foutgevoeligheid die valt in de range behorend bij een SIL 3. De fabrikant kan niets zeggen over conformiteit van de gehele SIS waarin zijn instrument is opgenomen. Het kan zelfs zo zijn dat de foutgevoeligheid van zijn instrument zo hoog uitvalt binnen de SIL 3 range, dat het redelijkerwijs niet mogelijk is om met de benodigde andere instrumenten een SIS te ontwerpen dat nog voldoet aan de SIL 3 eis. De klant:... Er staat nergens in de wet dat ik een SIL classificatie moet uitvoeren. Dat klopt in principe. Wel wordt vanuit wetgeving gevraagd om op een effectieve manier risico s te reduceren tot een acceptabel niveau. De wetgever kan vragen aan te tonen hoe dat geregeld is. De SIL en PL normen geven de tools om risicoreductieeisen vast te stellen en het technisch ontwerp hierop af te stemmen. Door het volgens deze normen ontwerpen van een veiligheidssysteem wordt voldaan aan de wettelijke eis. Met de bijbehorende registratie van het risicobeoordeling en ontwerptraject kan dit vervolgens worden aangetoond. De procesengineer van een BRZO plichtig bedrijf:... SIL, PL allemaal overdreven. Wij gaan hier pragmatisch mee om. Gewoon een extra afsluiter plaatsen is veilig genoeg. En de niveauopnemer dubbel uitvoeren. Doen we al jaren zo, daar hoef ik geen risicoanalyse voor uit te voeren en moeilijke berekeningen te maken. Deze engineer kan niet aantonen dat zijn veiligheidsloop voldoende veilig is. Mogelijk is het veiligheidsrisico nog steeds onacceptabel hoog. Mogelijk is de situatie te zwaar beveiligd en kan de extra apparatuur de beschikbaarheid van de installatie verlagen. Het resultaat:... Naar aanleiding van een HAZOP studie wordt door een adviseur een rapport uitgewerkt met een risicoclassificatie conform NEN voor de in de HAZOP voorgestelde SIFs. Onderbouwing van de classificatie ontbreekt. Bijlage B-2/2 Revisie: A.e1, 27 september 2007

47 De klant met zijn adviseur:... Er is een SIL 3 classificatie bepaald. Waarom? Dat is niet gedocumenteerd. Zonder goede onderbouwing van een SIL of PL kan het wel eens lastig worden om een goed passend SIS te ontwerpen. Dergelijke rapportages geven ook voeding aan de slechte acceptatie bij klanten voor het maken van kosten voor het uitvoeren van een SIS. De klant:... We doen een SIL classificatie. Een HAZOP is dan niet meer nodig. Een HAZOP dient ervoor om risico s in een proces te inventariseren en evalueren. De SIL classificatie dient ervoor om van de gevonden risico s, waarvoor een SIF wordt toegepast om het risico te reduceren, een risicoreductieniveau voor de SIF te bepalen. Zonder HAZOP of andere vorm van risico inventarisatie zijn er geen risico s om een SIL classificatie op uit te voeren. De klant:... Tijdens de HAZOP bepalen we de SIL classificatie. In principe is dat mogelijk, maar heeft niet de voorkeur. Tijdens de SIL classificatie wordt meer in detail gekeken naar de specifieke risico s die beveiligd moeten worden door de bepaalde SIF. Houd er rekening mee dat er voor de SIL mogelijk andere teamleden nodig zijn dan voor de HAZOP. Zorg voor voldoende aandacht aan de SIL classificatie. Tevens is een aparte rapportage van de SIL classificatie noodzakelijk. Voor omvangrijke installaties is het efficiënter om de HAZOP eerst af te maken en de SIL classificatie apart uit te voeren. Bijlage B-3/3 Revisie: A.e1, 27 september 2007

48 Bijlage C Risicograaf ISO Ernst van de gevolgen S1 Reversibel, licht S2 Irreversibel, zwaar of dood Mogelijkheid voorkomen of beperken van schade P1 Mogelijk onder bepaalde voorwaarden P2 Nauwelijks mogelijk Frequentie en/of blootstelling aan gevaar F1 Zelden tot minder vaak en/of blootstellingtijd is kort F2 Frequent tot continu en/of blootstellingtijd is lang Bijlage C-1/1 Revisie: A.e1, 27 september 2007

49 Bijlage D Risicograaf IEC Cl = Fr + Pr + Av Se - Ernst van de gevolgen 1 Reversibel: eerste hulp noodzakelijk 2 Reversibel: behandeling noodzakelijk 3 Irreversibel: gebroken ledematen, verlies vinger(s) 4 Irreversibel: dood, verlies arm / oog e.d. Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis 1 Verwaarloosbaar 2 Zelden 3 Mogelijk 4 Waarschijnlijk 5 Erg hoog Av - mogelijkheid voorkomen of beperken van schade 1 Mogelijk 3 In bijzondere gevallen mogelijk 5 Onmogelijk Fr - Frequentie en duur van scenario duur > 10 min duur 10 min uur freq. Scenario 5 4 > 1uur tot <= 1 dag 4 3 > 1 dag tot <= 2 weken 3 2 > 2 weken tot <= 1 jaar 2 1 > 1 jaar Bijlage D-1/1 Revisie: A.e1, 27 september 2007

50 Bijlage E Risicograaf IEC C - Ernst van de gevolgen CA Lichte verwonding CB Zwaar gewonde / dode CC Meerdere doden / zwaar gewonden CD Veel doden / zwaar gewonden F - Aanwezigheid van mensen FA Nauwelijks tot frequent aanwezig FB Frequent tot permanent aanwezig P - Mogelijkheid tot ontsnappen aan gevaar PA Mogelijk PB Meestal onmogelijk W - Frequentie van scenario W1 Minder vaak dan eens per 10 jaar W2 Eens per 1 tot 10 jaar W3 Vaker dan eens per jaar Onderbouwen Standaard keuze Ongewenst voor gevaren met klasse CC en CD. Bijlage E-1/1 Revisie: A.e1, 27 september 2007

51 Bijlage F Overzicht risicografen 61511, en Bijlage F-1/1 Revisie: A.e1, 27 september 2007

52 Bijlage G Vergelijking risicobeoordeling volgens ISO en IEC De machine: In een installatie die een poedermengsel verwerkt tot een granulaat staat een zeefmolen om poederdeeltjes te verkleinen en te zeven. De machine wordt bediend door ervaren en getrainde procesoperators. Het gevaar van de machine is bekend bij de operators. Gemiddeld 3x per dag gaat het inspectieluik van de zeefmolen open om te controleren of het product niet aankoekt aan de molen. De controle duurt maximaal enkele minuten. Binnen een armlengte kan de molen geraakt worden. De molen draait met hoge snelheid in de zeef rond. Vingers kunnen worden gegrepen met verlies van vingers en zelfs een deel van de hand. Beveiliging: Het inspectieluik is niet beveiligd. Als het geopend wordt draait de zeefmolen door. De operators hebben de instructie om de zeefmolen eerst af te schakelen alvorens de molen te inspecteren. Risicobeoordeling: Om het luik te kunnen beveiligen met een SIF wordt het PL bepaald met behulp van de risicograaf uit de norm ISO (Bijlage C) en vervolgens het SIL bepaald met behulp van de risicograaf uit de norm IEC (Bijlage D). ISO S Ernst S2 Vingers en deel van de hand / deel arm kan afgerukt worden - irreversibel F P Frequentie en/of blootstelling aan gevaar Mogelijkheid voorkomen of beperken schade F1 P1 Resultaat PL c Cyclische handeling met een gemiddelde frequentie. Tijdsduur van handeling is kort. Het is niet nodig om arm in het apparaat te steken. Voorkomen gevaar mogelijk - hand hoeft niet in het gat gestoken te worden: alleen kijken. Operators zijn getraind en ervaren. Er is een grote kans om het gevaar te voorkomen. IEC Se Ernst 4 Significant irreversibel mogelijk verlies meerdere vingers en zelfs deel van de hand, waardoor het gebruik van de hand gelimiteerd wordt. Fr Frequentie en duur scenario 4 3x per werkdag korter dan 10 minuten Bijlage G-1/1 Revisie: A.e1, 27 september 2007

53 Pr Av Cl Mogelijkheid van optreden gevaarlijke gebeurtenis Mogelijkheid voorkomen of beperken van schade Waarschijnlijkheidsklasse Resultaat SIL 2 2 Rarely - Omdat alleen gekeken moet worden en niet met de arm in het gat hoeft te worden gewerkt is de kans dat iemand zijn arm in het gat steekt erg klein. Omdat het niet ondenkbaar is dat in een reactie men snel iets uit de zeef grijpt mag hier niet gekozen worden voor niet mogelijk maar voor niet te verwachten. 1 Voorkomen gevaar mogelijk - hand hoeft niet in het gat gestoken te worden; alleen kijken. Operators zijn getraind en ervaren. Gevaar is zichtbaar en herkenbaar. Het is goed mogelijk om het gevaar te voorkomen. 7 = Fr + Pr + Av Volgens onderstaande tabel uit de norm ISO stelt een PL c classificatie lagere beschikbaarheideisen aan de SIF dan een SIL 2 classificatie. PL SIL Average probability of a dangerous Failure per Hour 1/h a Geen overeenkomst 10 5 to < 10 4 b 1 3 x 10 6 to < 10 5 c to < 3 x 10 6 d to < 10 6 e to < 10 7 In dit voorbeeld stelt de beoordeling met de ISO risicograaf dus lagere eisen aan de SIF dan de beoordeling met de IEC risicograaf. Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte mogelijkheid in de ISO risicograaf om de kans van voorkomen en het beperken van het effect te bepalen. Bijlage G-2/2 Revisie: A.e1, 27 september 2007

54 Bijlage H Gemodificeerde en gecombineerde risicomatrix IEC en ISO Se - ernst letsel Cl - waarschijnlijkheid optreden letsel Zeer laag Laag Mogelijk Hoog Zeer hoog SIL 1 SIL 2 SIL 3 SIL a SIL 1 SIL 2 SIL 3 SIL a SIL 1 SIL 2 SIL a SIL PL c PL d PL e 3 PL a PL b PL c PL d 2 PL a PL b PL c 1 PL a PL e PL d PL c Cl = Fr + Pr + Av SIL a - beveiligen middels een enkele SIF is niet acceptabel - geen specifieke betrouwbaarheidseisen gesteld Se - Ernst van de gevolgen 1 Reversibel: eerste hulp noodzakelijk 2 Reversibel: behandeling noodzakelijk 3 Irreversibel: gebroken ledematen, verlies vinger(s) 4 Irreversibel: dood, verlies arm / oog e.d. Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis 1 Verwaarloosbaar 2 Zelden 3 Mogelijk 4 Waarschijnlijk 5 Erg hoog Av - mogelijkheid voorkomen of beperken van schade 1 Mogelijk 3 In bijzondere gevallen mogelijk 5 Onmogelijk Fr - Frequentie en duur van scenario duur > 10 min duur <= 10 min freq. Scenario 5 5 <= 1 h 5 4 > 1h to <= 1 day 4 3 > 1 day to <= 2 weeks 3 2 > 2 weeks to <= 1 year 2 1 > 1 year Bijlage H-1/1 Revisie: A.e1, 27 september 2007

55 Bijlage I Het effect van een onvolledig classificatierapport Onderstaand SIL classificatierapport wordt in het bestek voor de automatisering van een proces/machine-installatie meegeleverd. Van de installatie wordt de besturing geheel gerenoveerd. De constructeur moet een SIS ontwerpen voor onderstaande situatie: Scenario Oorzaak Effect Fr- Frequentie en tijdsduur van gebeurtenis Pr - Mogelijkheid van optreden v/e gevaarlijke gebeurtenis Av - Mogelijkheid voorkomen of beperken van schade Cl - Consequentieklasse Se - Ernst van de gevolgen voor personen Hamermolen M-204 loopt te vol water en loopt daardoor vast. Bij snelheidsverhoging draaisluis A-203/204 of door te nat product loopt het product niet door het filter bij de Hamermolen. Hamermolen M-204 moet open worden gemaakt door operator en worden leeggemaakt. Leeghalen bij draaiende hamermolen kan letsel aan hand en vingers veroorzaken. SIL Classificatie Schoonmaken duurt ca 60 min. Gebeurtenis treed 2/3 keer per jaar op 3 Lock out/tag out procedure van toepassing. Gebeurtenis mogelijk bij niet (juist) uitvoeren van procedure. Bij handen in draaiende molen steken is voorkomen/beperken letsel niet meer mogelijk. 5 Irreversibel: verlies vinger(s), (deel) hand SIL 1 Opmerkingen N3/1; In nieuwe systeem wordt het moeilijker om teveel water te doseren vanwege de nieuwe automatisering. De constructeur maakt zich een voorstelling van de situatie op basis het SIL classificatierapport en ontwerpt de volgende beveiligingsloop: Aansturing van motorschakelaar via veiligheidsrelais. Dubbel uitgevoerde veiligheidsschakelaar op het betreffende luik van de hamermolen. Het luik wordt voorzien van een automatische vergrendeling, vrijgegeven wanneer de motor is uitgeschakeld. De constructeur gaat ervan uit dat in de huidige situatie de molen middels een makkelijk te openen luik (bijvoorbeeld scharnierend en voorzien van een mechanische vergrendeling) benaderd kan worden. Vanuit het feit dat het luik snel geopend kan worden en de motor wel direct afgeschakeld wordt maar niet direct tot stilstand komt, wordt een automatisch bediende vergrendeling ontworpen. Bijlage I-1/1 Revisie: A.e1, 27 september 2007

56 In werkelijkheid is het luik van de hamermolen met 12 bouten rondom vastgeschroefd. Bij een dubbele detectie van de bouten aan weerszijden van het luik, kan de molen ruimschoots tot stilstand komen voordat het luik kan worden geopend. Een automatisch bediende vergrendeling is niet nodig en vanwege de constructie van het luik zelfs niet toepasbaar. Uit het SIL classificatie formulier is in het geheel niet op te maken hoe de hamermolen moet worden opengemaakt. Met een korte omschrijving van de constructie had het formulier voldoende duidelijkheid kunnen verschaffen. De constructeur heeft de ontbrekende informatie automatisch zelf aangevuld en als feitelijke gegevens beschouwd. Uit navraag bij de constructeur bleek dat deze zich geen moment heeft afgevraagd of de toegang tot de molen mogelijk anders was uitgevoerd! Aanvullende vragen omtrent de constructie zijn dan ook niet gesteld. Aanvullende informatie over hoe de operator de hamermolen openmaakt is waarschijnlijk wel besproken tijdens de classificatiesessie maar niet vastgelegd. Bijlage I-2/2 Revisie: A.e1, 27 september 2007