Safety Integrity Level en Performance Level bepaling G Schmitz.pdf · Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie Pagina II Revisie: A.e1,

Safety Integrity Level en Performance Level bepalin g Risicobeoordeling voor het ontwerp van automatische systemen met een

veiligheidsfunctie voor machines en procesinstallaties

G.D. Schmitz

Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie

Pagina II Revisie: A.e1, 27 september 2007

Safety Integrity Level en Performance Level bepaling Risicobeoordeling voor het ontwerp van automatische systemen met een

veiligheidsfunctie voor machines en procesinstallaties

Auteur: dhr. G.D. Schmitz Charlotte Ruysplantsoen 1 1705 NE Heerhugowaard [email protected]

Werkzaam bij: TripleM Consultants & Engineers Nijverheidsweg 27 2031 CN Haarlem www.triplem.nl [email protected]

Functie: Manager Industriële Automatisering / KAM Manager

Scriptie ten behoeve van de PHOV opleiding Hogere Veiligheidskunde:

Cursusgroep: U27

Mentor: dhr. H.F. Dolleman Handtekening:

Datum: 27 september 2007

Verklaring van openbaarheid: Op dit rapport is het auteursrecht van toepassing. Openbaar maken is toegestaan.


Pagina III Revisie: A.e1, 27 september 2007

Samenvatting

Momenteel staat de techniek om automatische systemen met een veiligheidsfunctie, beter bekend als de SIL techniek, volgens de normen IEC 61508, 61511, 62061 en ISO 13849 te ontwerpen, volop in de belangstelling. Door de vrij recente updates van de normen en een toenemende aandacht voor deze techniek, ook vanuit de controlerende overheid, bestaat er veel behoefte aan extern advies en ondersteuning. Dat geldt voor de uitvoering van risicobeoordelingen, het bepalen van het juiste SIL of PL niveau (de SIL/PL classificatie) als ook het ontwerp van een instrumenteel beveiligingssysteem volgens deze normen. Het is te verwachten dat toepassing van deze techniek voor procesinstallaties maar vooral ook voor machines in de nabije toekomst een sterke groei zal doormaken.

De huidige stand van zaken en ervaringen bij klanten zijn de redenen waardoor dit rapport tot stand is gekomen: - Onduidelijkheid en ontevreden gevoel bij klanten m.b.t. de risicoclassificering.

Onvolledige motivatie en onvoldoende klantbetrokkenheid leidt tot de veelgehoorde klacht dat het classificatieresultaat te zwaar is.

- Te technisch beoordeelde classificaties, veelal uitgevoerd door technici. Situatie-, gebruiker- en cultuurgerelateerde invloeden worden over het algemeen niet meegenomen.

- De laatste update van de PL (Performance Level) norm ISO 13849 en de SIL (Safety Integrity Level) normen IEC 61508, 61511 en 62061.

- De classificatie van veiligheidsfuncties van machines volgens de PL systematiek kan leiden tot een andere waardering dan volgens de SIL systematiek.

In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen van het SIL en PL van een zogenaamde Safety Instrumented Functie. Voor klanten van TripleM leidt het advies op basis van het resultaat van het onderzoek tot: - Risicoclassificatie passend bij de installatie en de gebruiker c.q. installatie-eigenaar. - Een correct veiligheidsniveau van machines en procesinstallaties. - Een goede onderbouwing van de classificatie met gerichte aanbevelingen, waardoor

begrip en acceptatie ontstaat voor het resultaat en de te nemen maatregelen.

Dit doel wordt bereikt door: - het uitwerken van risicografen voor het beoordelen van risico’s van

procesinstallaties en machines; - het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL

van een machine; - een handleiding uit te werken voor het correct toepassen van de risicografen.

Het resultaat komt voort uit ervaringen uit contacten met klanten, leveranciers van veiligheidsinstrumenten en externe adviseurs. Bestudering van de normen ISO 13849, IEC 61508, 61511 en 62061 en aanverwante normen. Onderzoek naar relevante literatuur. En ervaringen uit de eigen organisatie bij het uitvoeren van risicobeoordeelingswerkzaamheden en SIL/PL classificaties.

De belangrijkste conclusies en aanbevelingen zijn: - Het aanpassen van het ontwerp heeft de voorkeur boven het toepassen van een

instrumentele beveiliging. Beter een veilig ontworpen installatie dan beveiligd door aanvullende instrumentele maatregelen. Dit is een aandachtspunt in de ontwerpfase van machines en installaties.

- De kwaliteit van het bepalen van een PL of SIL wordt verbeterd door het toepassen van de in hoofdstuk 6 beschreven risicografen.


Pagina IV Revisie: A.e1, 27 september 2007

- Gebruik de gemodificeerde en gecombineerde risicograaf uit Bijlage H voor het bepalen van zowel een PL (ISO 13849) als een SIL (IEC62061). Dit om een eenduidig beoordelingsresultaat met een consistente onderbouwing te verkrijgen.

- Zorg voor acceptatie van het SIL of PL resultaat door klanten te betrekken bij de uitvoering van een SIL of PL bepaling.

- Een volledige rapportage met een goede onderbouwing van de SIL en PL bepalingen is essentieel.

De volgende acties worden geadviseerd om de kwaliteit van de SIL en PL bepalingen te borgen binnen de organisatie: - De bevindingen uit dit rapport dienen te worden verwerkt in de standaard rapportage

en het bijbehorende classificatiesheet. - De betrokken adviseurs op de hoogte brengen van de bevindingen uit dit rapport.


Pagina V Revisie: A.e1, 27 september 2007

Inhoudsopgave

1 Inleiding.......................................... .................................................................... 1 1.1 De organisatie TripleM Consultants & Engineers......................................................1

1.1.1 De positie van de auteur binnen TripleM......................................................2 1.1.2 Het profiel van de klanten van TripleM Industriële Veiligheid.......................2

1.2 Het doel en de doelgroep van het rapport.................................................................2 1.3 De aanpak van het onderzoek...................................................................................2 1.4 Leeswijzer..................................................................................................................3

2 Afbakening van het rapport en probleemstelling ..... ....................................... 4 2.1 Risicobeoordeling van machines en procesinstallaties .............................................4 2.2 Risicoreducerende maatregelen................................................................................5 2.3 Automatische systemen met een veiligheidsfunctie..................................................6 2.4 Specifieke normen voor het ontwerp van automatische systemen met een

veiligheidsfunctie .......................................................................................................7 2.5 Definitie van automatische veiligheidsfunctie en automatisch veiligheidssysteem...8 2.6 Risicobeoordeling en classificatie van een SIF; de doelstelling van dit rapport........9 2.7 Probleemstelling en het effect op een SIL of PL bepaling ......................................10

3 Wat is het wettelijk kader voor functionele veiligh eid .................................. 12 3.1 Veiligheidswetgeving ...............................................................................................12 3.2 Milieuwetgeving .......................................................................................................13 3.3 Economische schade ..............................................................................................13

4 Het belang van een gedegen risicobeoordeling van ee n SIF ....................... 15 4.1 Het effect van fouten tijdens het ontwerpproces van SIFs......................................15 4.2 De vereiste nauwkeurigheid van de risicograaf.......................................................16 4.3 Wie past een risicograaf toe ....................................................................................17

5 Het risico van een procesinstallatie versus het ris ico van een machine..... 19 5.1 De invloed van een machine op veiligheid ..............................................................19 5.2 De invloed van een procesinstallatie op veiligheid..................................................20 5.3 Verschil in risicografen voor de beoordeling van het veiligheidsrisico van machines

en procesinstallaties ................................................................................................20 5.4 Een machine met een procesrisico en een proces met een machinerisico ............21

6 Het bepalen van het Safety Integrity- of Performanc e Level met behulp van een risicograaf .................................... ............................................................. 22 6.1 Het toepassen van een risicograaf voor machines .................................................22

6.1.1 De keuze van de risicograaf .......................................................................22 6.1.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid....24 6.1.3 Bepaling van de kans op schade met een bepaalde ernst.........................25

6.2 De risicograaf voor procesinstallaties......................................................................28 6.2.1 De keuze van de risicograaf .......................................................................28 6.2.2 Bepaling van het effect, de ernst van de gevolgen voor de gezondheid....28 6.2.3 Bepaling van de kans op schade met een bepaalde ernst.........................29

7 Conclusies en aanbevelingen........................ ................................................. 32


Pagina VI Revisie: A.e1, 27 september 2007

8 Literatuur......................................... ................................................................. 35 8.1 Boeken.....................................................................................................................35 8.2 Artikelen...................................................................................................................35 8.3 Normen ....................................................................................................................35

9 Lijsten............................................ ................................................................... 36 9.1 Verklarende woordenlijst .........................................................................................36 9.2 Lijst met afkortingen ................................................................................................37

Bijlage A Relatie tussen Safety Instrumented Functions (SIFs) en andere

besturingsfuncties Bijlage B Registratie van ervaringen en stellingen van derden die een verkeerd beeld

geven van functional safety Bijlage C Risicograaf ISO 13849 Bijlage D Risicograaf IEC 62061 Bijlage E Risicograaf IEC 61511 Bijlage F Overzicht risicografen 61511, 62061 en 13849 Bijlage G Vergelijking risicobeoordeling volgens ISO 13849 en IEC 62061 Bijlage H Gemodificeerde en gecombineerde risicomatrix IEC 62061 en ISO 13849 Bijlage I Het effect van een onvolledig classificatierapport


Pagina 1 van 1 Revisie: A.e1, 27 september 2007

1 Inleiding

Vanuit met name de petrochemische- en chemische industrie zijn al vele jaren technieken bekend om automatische systemen met een veiligheidsfunctie te ontwerpen. De omvang van de schadelijke effecten voor de gezondheid van grote groepen mensen en enorme economische schade bij calamiteiten vormden de noodzaak om een hoge mate van betrouwbaarheid bij dergelijke systemen te realiseren.

De IEC ontwikkelde de basisnorm IEC 61508, inmiddels de meest bekende standaard om automatische systemen met een veiligheidsfunctie te ontwerpen. De laatste uitgave van deze norm is in 2002 geharmoniseerd als Nederlandse- (NEN) en Europese normstandaard (EN). In 2003 volgde de, van de IEC 61508 afgeleide, norm NEN-EN-IEC61511, specifiek gericht op de procesindustrie. De introductie van deze norm zorgde in Nederland voor verhoogde aandacht voor deze ontwerptechnieken bij diverse procesindustrieën. Inmiddels is de norm uitgegroeid tot een wereldwijd bekende en toegepaste standaard.

Behalve een aantal, vooral (petro)chemische, procesindustrieën worden de normen in Nederland nog niet overal toegepast. Er is wel veel behoefte aan informatie.

In 2005 werd de NEN-EN-IEC 62061 geïntroduceerd. Deze norm is ook afgeleid van de IEC 61508 en specifiek gericht op het ontwerpen van automatische systemen met een veiligheidsfunctie voor machines. Een jaar later, in 2006, wordt de norm NEN-EN-ISO 13849 geïntroduceerd. Deze norm, afkomstig van een normcommissie onder de ISO vlag, heeft dezelfde doelstelling als de IEC 62061.

Na harmonisering van beide machinenormen met de machinerichtlijn dringt ook de noodzaak bij machinebouwers door om de normen toe te passen.

Door de brede aandacht en wereldwijde toepassing van genoemde normen wordt tegenwoordig ook door veiligheids- en milieu-inspectiediensten van de overheid gevraagd om borging van de integriteit van beveiligingssystemen middels het toepassen van de normen.

1.1 De organisatie TripleM Consultants & Engineers

TripleM Consultants & Engineers B.V. (www.triplem.nl), kortweg TripleM, is een multidisciplinair ingenieursbureau met klanten voornamelijk binnen de industriële branches farmacie, proces, zware industrie en machinebouw. De activiteiten bestaan in hoofdlijn uit ontwerp en realisatie van procesinstallaties en machines. TripleM is opgericht in 1992, gevestigd in Haarlem en er werken circa 75 medewerkers. Vanaf april 2007 maakt TripleM deel uit van de Iv-Groep in Papendrecht (www.iv-groep.nl).

De diverse vakgerelateerde afdelingen van TripleM leverden al jaren veiligheidsadviesdiensten. Sinds enige tijd zijn deze diensten ondergebracht in de afdeling ‘Industriële Veiligheid’. De diensten van deze afdeling bestaan onder andere uit: veiligheid t.b.v. machine en installatieontwerp, werkplekveiligheid (bijvoorbeeld ook ATEX studies) en bouwplaatsveiligheid.

Belangrijke diensten in relatie met het kader van dit rapport is het uitvoeren van risicobeoordelingen van procesinstallaties (bijv. HAZOP studies) en machine-installaties, het classificeren van integriteitniveaus van veiligheidsfuncties (SIL en PL classificaties) alsmede het ontwerp en de verificatie van de instrumentele beveiligingssystemen. De uitkomst van dit rapport draagt bij aan de verdere ontwikkeling van deze diensten.



1.1.1 De positie van de auteur binnen TripleM

Als KAM manager ben ik verantwoordelijk voor het kwaliteitssysteem (ISO9001), de veiligheid van onze medewerkers en op bouwplaatsen (VCA**) en de naleving van milieueisen, m.n. van toepassing op bouwplaatsen. Als manager Industriële Veiligheid ben ik verantwoordelijk voor de uitvoering van onze veiligheidsadviesdiensten, specifieke veiligheidsgerelateerde projecten en de ontwikkeling en sturing van de afdeling Industriële Veiligheid.

1.1.2 Het profiel van de klanten van TripleM Indust riële Veiligheid

Het grootste percentage klanten van TripleM bestaat uit eigenaren van industriële proces- en machine-installaties. Veel van deze klanten hebben geen jarenlange ervaring met de ontwerpnormen voor systemen met een veiligheidsfunctie, zoals bijvoorbeeld het geval is bij een aantal (petro)chemische industrieën. Door de vrij recente updates van de normen en een toenemende aandacht voor de materie, ook vanuit de controlerende overheid, worden sommige van deze klanten geconfronteerd met de materie. Er bestaat veel behoefte aan extern advies en ondersteuning bij de uitvoering van risicobeoordelingen, het bepalen van het juiste SIL of PL niveau en het ontwerp van een SIS.

Sommige klanten worden geconfronteerd met kostbare aanpassingen aan hun installaties naar aanleiding van een SIL classificatie. Regelmatig laat de onderbouwing van de classificatie te wensen over. En soms wordt de classificatie ronduit slecht uitgevoerd of is onvoldoende toegespitst op de specifieke situatie.

1.2 Het doel en de doelgroep van het rapport

De primaire doelgroep waarvoor dit rapport is opgesteld, zijn de adviseurs en engineers uit de TripleM organisatie die betrokken zijn bij risicobeoordelingen voor het bepalen van het SIL of PL.

In dit rapport worden risicobeoordelingsinstrumenten uitgewerkt voor het bepalen van het SIL en PL van een Safety Instrumented Functie. Voor klanten van TripleM moet het advies op basis van het resultaat van het onderzoek leiden tot: - Risicoclassificatie passend bij de installatie en de gebruiker c.q. de installatie-

eigenaar. - Een correct veiligheidsniveau van machines en procesinstallaties. - Een goede onderbouwing van de classificatie met gerichte aanbevelingen,

waardoor begrip en acceptatie ontstaat voor het resultaat en de te nemen maatregelen.

Dit doel wordt bereikt door: - Het selecteren van één risicograaf voor het bepalen van zowel het SIL als het PL

van een machine. - Het uitwerken van risicografen voor het beoordelen van risico’s van

procesinstallaties en machines. - Een handleiding voor het correct toepassen van de risicografen.

1.3 De aanpak van het onderzoek

Het onderzoek bestaat uit de volgende fasen: 1. Basiskennis opdoen:

Het bestuderen van de direct gerelateerde normen: ISO 13849, IEC 61508, 61511 en 62061. Onderzoek naar relevante literatuur.

2. Inventariseren van ervaringen:



Er zijn gesprekken gevoerd met de volgende bronnen om ervaringen met de uitvoering van risicobeoordelingen te inventariseren: klanten, leveranciers van veiligheidscomponenten, externe adviseurs en leden van de NVVK werkgroep WESP. Daarnaast zijn de ervaringen van collega’s en uit projecten van de eigen organisatie meegenomen.

3. Verzamelen en analyseren van oplossingsgerichte data: Inventarisatie en studie van, aan het onderwerp, gerelateerde normen. Bruikbare ervaringen uit de literatuurstudie inventariseren.

De meeste gesprekken zijn gevoerd door de auteur zelf. Een enkel gesprek met een adviseur is door een collega gevoerd in het kader van een machinebeveiligingsproject.

Alle studies zijn uitgevoerd door de auteur.

1.4 Leeswijzer

In HOOFDSTUK 2 wordt relatief veel aandacht besteed aan het ontwerpproces voor risicoreducerende maatregelen. Duidelijk wordt wat de plek is van de risicobeoordeling om het SIL of PL van een SIF te bepalen. Tevens wordt aangegeven wat de relatie van deze risicobeoordeling is tot de risicobeoordeling van een machine of procesinstallatie. Van toepassing zijnde normen en definities worden toegelicht. Dit hoofdstuk geeft de minder geïnformeerde lezer een basiskennis die nodig is om het rapport te kunnen begrijpen. Uiteindelijk wordt de specifieke probleemstelling toegelicht.

HOOFDSTUK 3 laat zien hoe functionele veiligheid binnen de Nederlandse veiligheidswetgeving een rol kan spelen. Tevens wordt de relatie met milieuwetgeving en economische effecten kort toegelicht.

HOOFDSTUK 4 gaat in op het nut en de noodzaak van een gedegen risicobeoordeling van een SIF. Het verschil in het effect van een waardeoordeel tussen de risicobeoordeling van een SIF en die van een machine of procesinstallatie wordt toegelicht. Evenals het effect van de achtergrond van degene die een risicograaf toepast.

In HOOFDSTUK 5 wordt het verschil tussen risico’s van machines van procesinstallaties toegelicht. Bij combinaties van machines en procesinstallaties is het van belang om de juiste norm te selecteren voor het ontwerpen van een specifiek SIS.

In HOOFDSTUK 6 wordt een risicograaf voor het bepalen van zowel het SIL als het PL voor machines vastgesteld. Vervolgens is een uitgebreide toelichting op het gebruik van zowel de machine- als de procesrisicograaf uitgewerkt.



2 Afbakening van het rapport en probleemstelling

Vanuit de diverse wetgeving wordt de eis gesteld om risico’s te inventariseren, evalueren en risicobeperkende maatregelen te nemen. Dat geldt ook voor de risico’s bij het toepassen van arbeidsmiddelen als machines en procesinstallaties (zie ook H3).

Figuur 1 laat een model zien van een risicoreductieproces voor arbeidsmiddelen, bestaande uit een risicobeoordeling en het nemen van risicoreducerende maatregelen.

- bepaling grenzen van machine / proces- identificatie van de gevaren- inschatting van het risico

Risico analyse

- beoordeling risicoanalyse- besluitvorming noodzaak tot risicoreductie

Risico evaluatie

Risicobeoordeling

Risicoreducerende maatregelenHet ontwerpen van maatregelen om voldoende reductie van het risico te bereiken (ALARP).

Validatie risicoreductieBeoordeling of de maatregelen de gewenste risicoreductie tot gevolg hebben.

Ont

wer

ppro

ces

risic

ored

ucer

ende

maa

treg

elen

Figuur 1 Ontwerpproces risicoreducerende maatregele n

2.1 Risicobeoordeling van machines en procesinstall aties

Voor het uitvoeren van een risicobeoordeling van machines of procesinstallaties worden diverse tools toegepast. Voorbeelden van dergelijke tools zijn: • HAZOP – Hazard & Operability Study (procesinstallaties) • FME(C)A – Failure Mode and Effects (and Criticality) Analysis (machines) • What-If analyse • NEN1050 • Checklist machinerichtlijn

Bij het uitvoeren van een risicobeoordeling is het noodzakelijk om rekening te houden met de veiligheid van de machine/installatie gedurende alle fasen van zijn levensduur, inclusief fabricage, transport, installatie en ontmantelen. Dat geldt ook voor de diverse gebruiksstadia, zoals: opstart, schoonmaken, onderhoud, storingzoeken, en dergelijke.

Het besluit om een specifieke risicoreducerende maatregel te nemen is een resultaat van de risicobeoordeling.



2.2 Risicoreducerende maatregelen

Het nemen van risicoreducerende maatregelen kan, op basis van effectiviteit, in twee mogelijkheden worden ingedeeld: • inherent veilige maatregelen – preventieve maatregelen, voorkomen van het

gevaar • beschermende maatregelen – beheersing van het risico en controleren van de

effecten

Bij inherent veilige maatregelen worden de gevaren weggenomen of de risico’s afdoende verkleind door het wijzigen van het ontwerp, zonder gebruik te maken van beschermende maatregelen. Anders gezegd: de machine of installatie wordt dusdanig gewijzigd dat het gevaar niet meer bestaat of het risico tot een acceptabel niveau is teruggedrongen. Extra beschermende maatregelen kunnen bij falen of bij aanspreken het proces verstoren. Of er ontstaat en risicovolle situatie door falende veiligheidsmaatregelen. Hierdoor hebben inherent veilige maatregelen de eerste keus.

Een voorbeeld: de druk in een drukvat kan bij een verstoring van het proces dusdanig oplopen dat het drukvat openbarst. Als beschermende maatregel zouden beveiligingen kunnen worden toegepast om de druk te bewaken, te regelen of eventueel af te blazen. Als inherente beveiliging kan de ontwerpdruk van het vat dusdanig worden gekozen dat deze te allen tijde bestand is tegen de maximaal voorkomende procesdruk.

Een andere inherent veilige oplossing kan wellicht gevonden worden in een andere procesvoering (mogelijk zelfs gebruik van andere grondstoffen of fysische waarden), zodat de procesdruk niet kan oplopen tot boven de ontwerpdruk van het vat.

Inherent veilige maatregelen hebben vaak principiële ontwerpwijzigingen tot gevolg. Het is daarom van belang om in een vroegtijdig ontwerpstadium van procesinstallatie of machine een risicobeoordeling uit te voeren. Het is niet uitzonderlijk om in de ontwerpfase op meerdere momenten een risicobeoordeling uit te voeren.

Door invoering van de RI&E in de Arbo-wet worden momenteel van veel bestaande procesinstallaties risicobeoordelingen, vaak een HAZOP studie, uitgevoerd. Van veel van deze installaties is nooit eerder een risicobeoordeling uitgevoerd. Door de invoering van de machinerichtlijn, al in 1995, geldt dit in mindere mate voor machines. Voor inherente veiligheidsmaatregelen wordt bij bestaande installaties nauwelijks gekozen. Argumenten hiervoor zijn de hoge kosten die principiële proceswijzigingen met zich meebrengen en het wijzigen van registraties van gevalideerde procesvoeringen (geldt met name in de farmaceutische industrie en in mindere mate in de voedingsmiddelenindustrie).

Het zogenaamde ‘layer of protection’ model uit Figuur 2 geeft een beeld van de mogelijkheden van beschermende maatregelen . In het model zijn de volgende

De ervaring leert dat in de ontwerpfase onvoldoende aandacht is voor het nemen van inherent veilige maatregelen. Oorzaken hiervoor zijn: - Een risico-analyse wordt in een te laat stadium uitgevoerd - Er is onvoldoende aandacht voor inherent veilige alternatieven De procesengineering is gedaan, de procesflow is bekend en de equipment in grote lijnen bepaald. Om in dit stadium een stap terug te gaan en aan de basis van het procesontwerp te sleutelen blijkt nog geen normale gang van zaken te zijn. Er wordt te vanzelfsprekend gekozen voor aanvullende beschermende maatregelen. Voor bestaande procesinstallaties zijn principiële wijzigingen zo goed als niet bespreekbaar. Machinebouwers kiezen eerder voor inherent veilige maatregelen. Vaak omdat extra aangebrachte veiligheidmaatregelen ook extra kosten met zich meebrengen. Meer aandacht voor inherent veilige maatregelen in het risico-analyse en –reductietraject is wenselijk.



niveau’s van beveiligen herkenbaar met betrekking tot het nemen van beschermende maatregelen: • Beheersing van de risico’s

1. Proces/machine regelingen en beveiligingen (bijvoorbeeld procesregelingen en automatische systemen met een veiligheidsfunctie)

• Controleren van de effecten 2. Beperken van het risico (bijvoorbeeld noodstop en drukaflaatsysteem) 3. Repressieve maatregelen (blussysteem, noodplan)

COMMUNITY EMERGENCY RESPONSEEmergency broadcasting

PLANT EMERGENCY RESPONSEEvacuation procedures

MITIGATIONMechanical mitigation system

Safety instrumented control systemsSafety instrumented mitigation systems

Operator supervision

PREVENTIONMechanical protection system

Process alarms with operator corrective action

Safety instrumented control systemSafety instrumented prevention system

CONTROL and MONITORINGBasic control systems

Monitoring systems (process alarms)Operator supervision

PROCES

CONTROLEREN EFFECTEN

BEHEERSEN RISICO”S

Figuur 2 - Layers of Protection model

2.3 Automatische systemen met een veiligheidsfuncti e

Zowel op het niveau van beheersing van de risico’s als het controleren van effecten bevinden zich de automatische systemen met een veiligheidsfunctie in de volgende protection layers: - Control and monitoring - Prevention - Mitigation

De flowchart uit Bijlage A laat de veiligheidsfuncties uit de verschillende protection layers zien in relatie tot andere besturingsfuncties.

Het gaat hierbij om automatische beveiligingssystemen die ingrijpen in een proces of een machine wanneer de mogelijkheid tot het optreden van een gevaar ontstaat. Het risico dat dit gevaar werkelijk optreedt wordt hiermee tot een aanvaardbaar niveau beperkt. Of om systemen die ingrijpen als een calamiteit werkelijk optreed en daarmee het schade-effect kunnen beperken.

Automatisch beveiligingssysteem is een zeer breed begrip. Enkele voorbeelden van dergelijke beveiligingsystemen kunnen zijn: - Elektromechanische onderdelen – bijvoorbeeld een deurcontact dat een motorrelais

van een machine uitschakelt. - Elektronische, niet programmeerbare, apparatuur - Een flowmeting die een afsluiter

aanstuurt. - Programmeerbare elektronica – bijvoorbeeld een geavanceerd

temperatuurmeetsysteem dat op meerder plaatsen in een vat de temperatuur meet, aangesloten op een veiligheidsbesturingssysteem. Afhankelijk van verschillende meetresultaten worden beveiligingsafsluiters en een pomp aangestuurd.



Bovenstaande voorbeelden laten zien dat automatische beveiligingssystemen uit eenvoudige direct geschakelde relaissystemen kunnen bestaan tot geavanceerde, computergestuurde systemen. In de basis bestaan echter alle systemen uit de onderdelen uit Figuur 3.

2.4 Specifieke normen voor het ontwerp van automati sche systemen met een veiligheidsfunctie

Voor het ontwerpen van automatische beveiligingssystemen zijn normen ontwikkeld vanuit de IEC en de ISO, als aangegeven in onderstaand overzicht:

IEC ISO

Procesinstallaties Machines

ISO

61511

61508

62061 13849

Figuur 4 - Overzicht normen voor het ontwerp van sy stemen met een veiligheidsfunctie

Van de IEC komt de norm 61508-1 t/m 7 (Functional safety of electrical /electronic / programmable electronic safety-related systems) [Norm 7] als basis voor de ontwikkeling en toepassing van alle elektrische/elektronische systemen (electrical / electronic / programmable electronic systems) die een veiligheidsfunctie uitvoeren. Deze uitgebreide norm richt zich ook op de ontwikkelaars van veiligheidsapparatuur en veiligheidssoftware.

Vanuit de 61508 zijn twee, beter hanteerbare, normen afgeleid, t.w.: • 61511-1 t/m 3 (Functional safety - Safety instrumented systems for the process

industry sector) [Norm 8], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor procesinstallaties.

• 62061 (Safety of machinery – Functional safety of safety-related electrical, electronic and programmable electronic control systems) [Norm 9], specifiek bedoeld voor het ontwerpen van veiligheidssystemen voor machines.

Input device

Opnemer,schakelaar,

sensor,instrument.

Logic solver

PLC,relaiskast,

besturingssysteem.

Final elements

Ventiel,motorrelais,

afsluiter.

TT TC

Figuur 3 - Automatisch veiligheidssysteem bestaande uit één veiligheidsfunctie



• Van de ISO komt de norm 13849-1 en 2 (Safety of machinery - Safety-related parts of control systems) [Norm 4, Norm 5], bedoeld voor het ontwerpen van veiligheidssystemen voor machines.

De norm ISO 13849 heeft een vergelijkbare doelstelling als de norm IEC 62061. De nieuwere 13849 verwijst ook naar de 61508 / 62061 normen. Een belangrijk verschil in doelstelling is dat de IEC normen zich richten op elektrische/elektronische systemen terwijl de 13849 een breder kader heeft waaronder ook pneumatische- en hydraulische systemen. Verder wijken de toegepaste systematieken uit beide normen van elkaar af.

Alle normen zijn geharmoniseerd met de Nederlandse en Europese normen (NEN en EN). De beide machinegerelateerde normen zijn geharmoniseerd met de Europese Machinerichtlijn (zie ook hoofdstuk 3, wettelijk kader).

Tot voor kort werd de norm NEN-EN 954 (Veiligheid van machines - Onderdelen van besturingssystemen met een veiligheidsfunctie) algemeen toegepast voor het ontwerpen van een automatische veiligheidsfunctie met een machinetoepassing. De daarin voorkomende veiligheidscategorieën (B, 1 t/m 4) komen nog veel voor als aanduiding op componenten en worden in de praktijk nog wel toegepast. Deze norm is inmiddels vervallen en is vervangen door de NEN-EN-ISO 13849. In dit rapport zal derhalve geen aandacht aan de NEN 954 meer worden besteed.

2.5 Definitie van automatische veiligheidsfunctie e n automatisch veiligheidssysteem

Voor het juiste begrip is het van belang om een duidelijke definitie vast te stellen van de volgende twee begrippen: • Automatische veiligheidsfunctie • Automatisch veiligheidssysteem

De automatische veiligheidsfunctie is de functionaliteit die omschrijft hoe een bepaald vastgesteld risico wordt gereduceerd. De automatische veiligheidsfunctie wordt uitgevoerd door een automatisch veiligheidsysteem, ofwel de techniek die de functie uitvoert. Het automatische veiligheidssysteem bestaat is opgebouwd conform het schema van Figuur 3.

In de normen uit de 61508 familie worden er verschillende definities gebruikt voor vergelijkbare veiligheidsfuncties: - 61511 Safety Instrumented Function (SIF)

safety function with a specified safety integrity level which is necessary to achieve functional safety and which can be either a safety instrumented protection function or a safety instrumented control function.

- 62061 Safety-Related Control Function (SRCF) control function implemented by a SRECS with a specified integrity level that is intended to maintain the safe condition of the machine or prevent an immediate increase of the risk(s).

Een automatisch veiligheidssysteem kan uit een of meerdere veiligheidsfuncties bestaan. Ook voor het veiligheidssysteem zijn weer verschillende definities in de 61508 familie normen: - 61511 Safety Instrumented System (SIS)

instrumented system used to implement one or more safety instrumented functions. A SIS is composed of any combination of sensor(s), logic solver(s), and final element(s).



- 62061 Safety-Related Electrical Control System electrical control system of a machine whose failure can result in an immediate increase of the risk(s)

De norm 13849 maakt geen specifiek verschil tussen een veiligheidsfunctie en een veiligheidssysteem en definieert het veiligheidssysteem als volgt: - 13849 Safety-related part of a control system (SRP/CS)

part of a control system that responds to safety related input signals and generates safety related output signals.

N.B.: Er wordt in dit rapport gekozen voor het gebruik van de afkortingen SIF voor de automatische veiligheidsfuncties en SIS voor het automatische veiligheidssysteem, uit de norm 61511. Ook als het gaat om de normen 62061 en 13849.

Het schema uit Bijlage A geeft de relatie weer tussen verschillende vormen van Safety Instrumented Functions (SIFs) en andere controlfuncties.

2.6 Risicobeoordeling en classificatie van een SIF; de doelstelling van dit rapport

Een belangrijk uitgangspunt bij het ontwerpen van een SIS is de eis die gesteld wordt aan de kans op falen van een SIF. Aan een SIF wordt een hoge mate van beschikbaarheid gesteld. Wanneer de beveiliging nodig is moet hij ook werken. Tabel 1 geeft de beschikbaarheideis aan voor SIFs die werken in de zogenaamde continuous of high demand mode.

Bijvoorbeeld in een SIF met een PL d / SIL 2 classificatie mag tussen de 0 en maximaal 1141 jaar niet meer dan 1x een fout optreden die leidt tot een gevaarlijke situatie. In een installatie met 1000 SIFs met dezelfde klasse ‘mag’ er jaarlijks dan bij maximaal 9 SIFs een gevaarlijke situatie ontstaan door niet goed functioneren van de SIF!

Hiermee worden belangrijke eisen gesteld aan het ontwerp van het SIS en de kwaliteit van de gebruikte componenten.

ISO 13849 PL

IEC 61511 / 62061 SIL

Target frequency of dangerous failures to perform the safety instrumented function (per hour)

Target average number of years between dangerous failures of a SIF

a Geen overeenkomst

≥ 10–5 to < 10–4 ~ 1,1 - 11

b 1 ≥ 3 x 10–6 to < 10–5 ~ 11 - 38

c 1 ≥ 10–6 to < 3 x 10–6 ~ 38 - 114

d 2 ≥ 10–7 to < 10–6 ~ 114 - 1141

e 3 ≥ 10–8 to < 10–7

Geen overeenkomst

4 ≥ 10–9 to < 10–8 ~ 11415 - 114155

Tabel 1 - PL en SIL levels - frequency of dangerous failures of the SIF in continuous mode of operation



Zowel de ISO als IEC gerelateerde normen kennen een aantal beschikbaarheidniveaus, afhankelijk van de norm genaamd: - ISO 13849 : PL – Performance Level - IEC 61511 / 62061 : SIL – Safety Integrity Level

Het is afhankelijk van het risico dat de SIF beveiligt welk PL of SIL niveau moet worden toegepast. Hoe groter het risico, des te kleiner de kans op falen van de SIF.

Middels een gedetailleerde risicobeoordeling van het te reduceren risico wordt het PL of SIL niveau van een SIF bepaald. De drie normen stellen elk een eigen systematiek voor het uitvoeren van een risicobeoordeling voor.

In dit rapport wordt de systematiek uitgewerkt die gebruikt gaat worden door TripleM bij het advies aan haar klanten.

2.7 Probleemstelling en het effect op een SIL of PL bepaling

Rond het bepalen van een SIL of PL niveau bestaan een aantal meningen, interpretaties, misverstanden die de kwaliteit van de bepaling geen goed doen.

In deze paragraaf een inventarisatie van ervaringen die kunnen leiden tot een verkeerde toepassing van de normen of onvoldoende acceptatie bij de eindgebruiker.

In Bijlage B zijn uitspraken, stellingen en bevindingen opgetekend die voortkomen uit gesprekken met klanten, leveranciers en adviseurs, alsmede ervaringen die TripleM medewerkers vanuit hun werk hebben opgedaan.

Ervaringen

• Risicobeoordelingen t.b.v. een SIL / PL bepaling worden vaak door technici uitgevoerd. De voorbeeldsystemen uit de normen worden vrij abstract opgevolgd. Situatie-, gebruiker- en cultuurgerelateerde invloeden worden over het algemeen niet of onvoldoende meegewogen.

• Het resultaat van een SIL / PL beoordeling bestaat uit een getal. Vastlegging van de analyse met motivatie wordt niet, of onvoldoende uitgevoerd. Het ontbreken van een goede onderbouwing van de SIL / PL bepaling geeft terugkerende discussie over de hoogte van het bepaalde SIL / PL niveau. Het kan leiden tot slechte acceptatie bij klanten of een onjuist ontwerp van het SIS (Bijlage I geeft hiervan een voorbeeld).

• Hele machines en installaties of delen daarvan worden geclassificeerd met een SIL of PL niveau; bijvoorbeeld de zogenaamde ‘klasse 2 machine’. Komt helaas te vaak voor. Een SIL / PL niveau kan alleen toegekend worden aan een enkele SIF! In deze gevallen richt men zich vaak teveel op het effect van een calamiteit en is de waarschijnlijkheid van voorkomen onderbelicht of wordt in het geheel niet beschouwd. Het effect is dan vaak het zwaarste geval dat een installatie(deel) kan veroorzaken.

• Er zijn twee verschillende normen met verschillende tools om het SIL en het PL van een machine-SIF te bepalen. De norm 13849-1 koppelt de niveaus uit beide normen aan elkaar middels een tabel (zie Tabel 1). Een risicobeoordeling uitgevoerd volgens het systeem van 13849 kan een andere waardering geven dan uitgevoerd volgens 62061. Bijlage G geeft hiervan een voorbeeld.

• De kans van optreden van een gevaarlijke situatie wordt door sommige adviseurs onvoldoende meegenomen bij ernstige effecten. Zoals bijvoorbeeld de volgende



mening: gevaar op verlies van een hand mag niet lager geclassificeerd worden dan SIL 2. Een dergelijke stelling wordt door de systematiek van zowel de SIL als de PL norm gevoed. Echter de kans van optreden is een belangrijke factor voor het bepalen van het risico. Hoofdstuk 6 besteedt hieraan aandacht.

• Onderzoeken worden uitgevoerd door Arbo-diensten, machine fabrikanten, leveranciers van veiligheidscomponenten of gespecialiseerde adviesbureaus. Er ontstaat soms twijfel aan de deskundigheid of de (on)afhankelijkheid van de diverse adviseurs. Naar mijn mening mede veroorzaakt door onvoldoende deugdelijk uitgevoerde risicobeoordelingen.

De effecten van bovenstaande ervaringen kunnen zijn: - Onvoldoende veilig ontwerp van machines/installaties (te laag SIL/PL level

bepaald). - Er worden te zware (te dure) veiligheidsmaatregelen toegepast (te hoog SIL/PL

level bepaald), waardoor de klant geconfronteerd werd met zeer ingrijpende wijzigingen (kosten v.s. baten niet in verhouding).

- Door verkeerde of onvoldoende onderbouwing kan een verkeerd ontworpen SIS ontstaan.

- Onbegrip bij installatie-eigenaren door een onvoldoende duidelijke motivatie van de risico’s.

- Onvoldoende onderbouwing van de beoordeling, waardoor twijfel ontstaat over de nut en noodzaak van aanpassing van de installatie. Soms worden beveiligingsmaatregelen hierdoor niet meer uitgevoerd.

- Door het niet meenemen van organisatorische en culturele invloeden kan er onvoldoende aandacht ontstaan voor de invloed hiervan op de risico’s van het gebruik van machines en installaties. Bijvoorbeeld de noodzaak voor goede training m.b.t. het gebruik en de risico’s en het inzetten van personeel met voldoende niveau. Dat zou zelfs kunnen leiden tot een minder zwaar uitgevoerde beveiliging!



3 Wat is het wettelijk kader voor functionele veili gheid

In dit hoofdstuk wordt het wettelijke kader rond functionele veiligheid toegelicht. Hoewel de scope van dit rapport zich beperkt tot veiligheidsaspecten, ook een korte toelichting op milieuwetgeving en economische belangen.

3.1 Veiligheidswetgeving

Het doel van functionele veiligheid is het beperken van veiligheidsrisico’s van machines en procesinstallaties. In diverse wetgeving worden veiligheidseisen gesteld aan het veilig kunnen gebruiken en de mogelijke effecten van genoemde apparatuur. In hoofdlijn zijn drie typen veiligheidswetgeving te onderscheiden: 1. Wetgeving met betrekking tot externe veiligheid - (bescherming omgeving,

verantwoordelijkheid ondernemer). 2. Arbowetgeving – (bescherming werknemers, verantwoordelijkheid ondernemer). 3. Wetgeving met betrekking tot productveiligheid – (bescherming gebruikers,

verantwoordelijkheid fabrikant).

Externe veiligheid

Een definitie voor externe veiligheid is: de kans om buiten een inrichting te overlijden als rechtstreeks gevolg van een ongewoon voorval binnen die inrichting waarbij een gevaarlijke stof betrokken is (Bevi).

Het BRZO besluit stelt de volgende eis: Artikel 5.1: Degene die een inrichting drijft, treft alle maatregelen die nodig zijn om zware ongevallen te voorkomen en de gevolgen daarvan voor mens en milieu te beperken.

In het kader van deze wetgeving wordt van de verantwoordelijke verwacht dat de risico’s van zijn bedrijfsvoering in kaart worden gebracht en maatregelen worden genomen om de gevolgen tot een acceptabel minimum te beperken. Het toepassen van functionele veiligheidssystemen behoort tot de maatregelen die in dit kader genomen kunnen worden.

De aard van externe veiligheid is het beschermen van mens en milieu buiten de inrichting. Ongevallen waarvan de effecten buiten de grenzen van een inrichting gevolgen hebben, mogen niet veroorzaakt kunnen worden door een machine, zoals bedoeld binnen het kader van de machinenormen ISO 13849 en IEC62061. Externe veiligheid is derhalve gericht op procesinstallaties (zie ook hoofdstuk 5 voor het verschil tussen machine en procesinstallatie).

Arbowetgeving

Arbowetgeving richt zich op de bescherming van medewerkers en aanwezigen binnen een inrichting.

Het arbobesluit vermeld veiligheidseisen aan apparatuur en installaties. Met name in de volgende hoofdstukken: • HOOFDSTUK 3: INRICHTING ARBEIDSPLAATSEN

Artikel 3.2 Algemene vereisten: Arbeidsplaatsen zijn veilig toegankelijk en kunnen veilig worden verlaten. Ze worden zodanig ontworpen, gebouwd, uitgerust, in bedrijf gesteld, gebruikt en onderhouden, dat gevaar voor de veiligheid en de gezondheid van de werknemers zoveel mogelijk is voorkomen.

• HOOFDSTUK 7 ARBEIDSMIDDELEN EN SPECIFIEKE WERKZAAMHEDEN Stelt in diverse artikelen eisen aan de veiligheid van het arbeidsmiddel voor de werknemer en het toepassen van beveiligingsinrichtingen.



In de arbobeleidsregels horende bij Hoofdstuk 7 wordt direct verwezen naar de norm NEN 1050:

Beleidsregel 7.3 –4 Inventarisatie en evaluatie van gevaren van arbeidsmiddelen. Voor machines en vergelijkbare arbeidsmiddelen wordt aan het gestelde in artikel 7.3, eerste lid, van het Arbeidsomstandighedenbesluit voldaan indien de risico-inventarisatie en -evaluatie is uitgevoerd volgens NEN-EN 1050:1997 "Veiligheid van machines. Principes voor de risicobeoordeling"

Het toepassen van functionele veiligheidssystemen behoort tot de maatregelen die getroffen kunnen worden om risico’s op arbeidsplaatsen en aan arbeidsmiddelen te reduceren. Uitvoering conform de normen draagt bij aan een acceptabel veiligheidsniveau.

Productveiligheidswetgeving

Ten aanzien van productveiligheid worden aan fabrikanten eisen gesteld. In Nederland zijn deze eisen opgenomen in het warenwetbesluit. Specifieke eisen worden genoemd in de Europese machinerichtlijn (warenwetbesluit machines, Machinery Directive 98/37/EC). Ook de machinerichtlijn stelt dat fabrikanten een risicoanalyse uitvoeren en bij het ontwerp en de constructie rekening houden met deze analyse. De fabrikant is verplicht de benodigde veiligheidsmaatregelen te nemen.

De machine gerichte normen ISO 13849-1 en de IEC 62061 zijn geharmoniseerd met de machine richtlijn. Wanneer deze normen worden toegepast voor het ontwerpen van een SIS kan men ervan uit gaan te voldoen aan de machinerichtlijn.

3.2 Milieuwetgeving

Het in paragraaf veiligheidswetgeving genoemde BRZO besluit stelt ook milieueisen. Daarnaast stelt de overheid in milieuvergunningen specifieke eisen aan bedrijven ten aanzien van het voorkomen van milieuschade bij calamiteiten.

Net als bij veiligheidsrisico’s kunnen bepaalde milieurisico’s veroorzaakt door storingen in proces- en machine-installaties worden beheerst door het toepassen van functionele veiligheidssystemen. Met name de procesgerelateerde IEC 61511 norm geeft een beoordelingsystematiek om een SIL voor milieurisico’s te bepalen.

Het komt al voor dat milieuhandhavende overheidsinstanties vragen naar beveiligingssystemen ontworpen volgens de IEC 61508 / 61511 normen.

3.3 Economische schade

Bedrijven kunnen eisen stellen om risico’s voor economische schade te beperken. Economische schade kan veroorzaakt worden door: - Schade en verlies aan productie, producten en productie-installaties - Beschikbaarheid van installaties - Imagoschade als gevolg van calamiteiten

De normen 62061 (machines) en 61511 (proces industrie) zijn beiden afgeleid van de 61508. De machinegerelateerde norm 62061 is geharmoniseerd met de machinerichtlijn en de procesgerelateerde 61511 niet. Uit H1 artikel 1 - 2a van de machinerichtlijn valt af te leiden dat ook op procesinstallaties de machinerichtlijn van toepassing is. Hoewel het toepassen van de norm 61511 voor het ontwerpen van SIFs voor een procesinstallatie een juiste keuze is leidt dit niet tot conformiteit met de machinerichtlijn. Een hiaat in de harmonisatielijst van de machinerichtlijn? Zie ook H5 voor het verschil tussen een machine en een procesinstallatie.



Daarnaast kunnen verzekeringsmaatschappijen eisen om maatregelen te nemen om schade te voorkomen.

En net als bij veiligheidsrisico’s en milieurisico’s kan schade veroorzaakt door storingen in proces- en machine-installaties worden beheerst door het toepassen van functionele veiligheidssystemen.



Safety integrity requirements

specification - 32%Operation - 3%

Maintenance - 12%

Modification - 20%

Functional requirements

specification - 12%

Installation and commissioning -

6%

Design and implementation -

15%

4 Het belang van een gedegen risicobeoordeling van een SIF

Al in 1995 publiceerde de Britse HSE een onderzoek naar oorzaken van incidenten met industriële installaties en het aandeel van niet goed functionerende besturingssystemen aan deze incidenten [Boek 1]. Hoewel er onvoldoende incidenten zijn onderzocht, slechts 34, om harde conclusies te trekken, geeft het onderzoek wel een indicatie met betrekking tot het effect van besturingssystemen op de veiligheid. Een andere kanttekening is dat er sinds 1995 meer aandacht voor het ontwerpen van SIFs is ontstaan waardoor een recent uitgevoerd onderzoek ongetwijfeld gunstiger cijfers zal geven aan het effect van besturingssystemen. Onderstaand het resultaat van het uitgevoerde HSE onderzoek:

Wat opvalt aan het resultaat van het onderzoek is dat 12% van de incidenten het gevolg zijn van niet- of verkeerd gespecificeerde functionaliteit van besturingssystemen met een veiligheidsfunctie. Bij maar liefst 32% van de incidenten zijn geen of onjuiste eisen aan de betrouwbaarheid van de functies gesteld. Vertaald naar de huidige tijd en de terminologie uit dit rapport betekend dit dat in maar liefst 32% van de incidenten de risicobeoordeling van SIFs en de bepaling van het juiste SIL of PL niveau niet of niet juist is gespecificeerd!

4.1 Het effect van fouten tijdens het ontwerpproces van SIFs

In het ontwerpproces van SIFs, zoals beschreven in het risicobeoordelingsproces, zoals beschreven in hoofdstuk 2, zijn de volgende fasen te onderscheiden:

1. Risicoanalyse / Risico evaluatie effect fout groot 2. Risicobeoordeling SIF / bepaling SIL of PL 3. Ontwerp SIF / SIS effect fout kleiner

Ad. 1 Tijdens de risicoanalyse (bijvoorbeeld een HAZOP studie) worden gevaren geïdentificeerd en risico’s daarvan ingeschat. Bij het in kaart brengen van gevaren van machines en processen is de kans dat een gevaarscenario over het hoofd wordt gezien reëel. Hiervan vindt dan ook geen risico-evaluatie plaats en zal geen reducerende maatregel worden genomen.

Een systematische aanpak met meerdere, ter zake kundige, personen met verschillende achtergrond kan een nauwkeurige inventarisatie van risico’s opleveren.

Figuur 5 – Resultaat HSE onderzoek – Out of control



Nog meer nauwkeurigheid wordt verkregen door de risicoanalyse te herhalen. Bijvoorbeeld in verschillende fasen van het ontwerpproces. Minder gestructureerde methoden zoals bijvoorbeeld een ‘what-if analyse’ of een ‘FMEA’ geven meer kans op het niet signaleren van risico’s.

De kans op herstel van een ‘vergeten risico’ is in principe alleen mogelijk bij een herhaalde analyse. Het effect kan zijn dat gevaarlijke situaties onbekend en onbeveiligd blijven, hetgeen kan leiden tot ernstige ongevallen.

Ad. 2 Het bepalen van een SIL of PL niveau vereist een gedegen risicobeoordeling. Een verkeerd bepaald SIL / PL leidt tot over- of onderbeveiliging.

Bij een te hoog SIL / PL zal het SIS ontwerp een lagere foutgevoeligheid hebben dan de aard van de beveiliging vereist. Vooral bij complexe SIFs, waarbij bijvoorbeeld gebruik gemaakt wordt van geavanceerde meetapparatuur of productspecifieke afsluiters kan dit leiden tot hoge extra kosten. Overbeveiliging (of het gevoel van) is de oorzaak van wantrouwen bij eindgebruikers met een hoge verantwoordelijkheid voor kostenreductie.

Bij een te laag bepaald SIL / PL zal het SIS ontwerp mogelijk gevoeliger voor fouten zijn dan de aard van de beveiliging vereist. Dit kan leiden tot situaties waarbij de beveiliging niet werkt wanneer nodig. Gevaarlijke situaties kunnen ontstaan die niet of te laat worden opgemerkt.

De kans op correctie van een verkeerd SIL / PL is relatief klein. De risicobeoordeling zal opnieuw uitgevoerd moeten worden. In de praktijk wordt dat niet gedaan tenzij er aanleiding voor is. Bijvoorbeeld bij een foutsituatie of incident waarbij de oorzaak onderzocht wordt.

Ad. 3 Het ontwerp van een SIF met bijbehorend SIS is een technisch ontwerp proces. De eisen die aan het SIF zijn gesteld liggen vast in het SIL en PL en de functies zijn bepaald in de risicobeoordeling. Ontwerpfouten, zoals bijvoorbeeld verkeerde lay-out keuzes of rekenfouten, kunnen leiden tot een ontwerp dat niet voldoet aan de eisen.

Er volgt echter een validatie van het SIS, waarbij bepaald wordt of het ontworpen SIS voldoet aan de eisen van de SIF. Hierdoor ontstaat een hoge mate van foutcorrectie.

4.2 De vereiste nauwkeurigheid van de risicograaf

Voor de beoordeling van risico’s voor het bepalen van het SIL of PL staan in de betreffende normen [Norm 8, Norm 9 en Norm 4] systemen omschreven die ook wel risicografen worden genoemd. Dergelijke systemen worden ook gebruikt voor het beoordelen van risico’s bij een RI&E (volgens Arbo-wet artikel 5) of bijvoorbeeld een HAZOP studie. Andere voorbeelden van risicografen die worden toegepast zijn bijvoorbeeld de risicograaf die beschreven wordt in de NEN 1050 [Norm 1], het model van Fine & Kinney of de in het verleden veel toegepaste NEN 954.

Al deze risicografen hebben als doel om een waardeoordeel te geven aan een bepaald risico. De toepassing van het waardeoordeel verschilt echter. Bij een RI&E of een risico analyse als een HAZOP studie of FMEA kan met behulp van een risicograaf een prioriteit aan het risico worden gegeven. Deze prioriteit wordt gebruikt om te bepalen welke risico’s het eerste worden aangepakt en binnen welk tijdspad. Een

Regelmatig worden er HAZOP studies uitgevoerd op installaties waar al eerder een risicobeoordeling is gedaan, bijvoorbeeld na wijzigingen aan de installatie. Hierbij komt het ook regelmatig voor dat risico’s worden geregistreerd die eerder niet zijn gevonden. Ook bij scenario’s die niet door de wijziging van de installatie zijn ontstaan!



onnauwkeurige toepassing van de risicograaf heeft tot mogelijk gevolg dat een verkeerde prioriteit aan het risico wordt gegeven. Uiteindelijk zullen ook de lagere prioriteiten worden aangepakt, waardoor deze fout zicht in de tijd automatisch herstelt. Alleen bij de laagste risico’s bestaat de kans dat door een verkeerde risicograafbeoordeling besloten wordt om het risico als aanvaardbaar te bestempelen en geen maatregelen meer te nemen.

De risicografen uit de normen 61511, 62061 en 13849 geven een waardeoordeel aan het risico, vertaald in een SIL of PL. Een verkeerd toegepaste risicograaf kan hier leiden tot te hoge of te lage betrouwbaarheidseisen aan de SIF. Het gevolg is een verkeerd ontworpen SIS. De effecten hiervan staan vermeld in paragraaf 4.1. Zoals reeds gemeld is de kans op herstel van deze fouten niet groot.

De effecten van fouten bij het toepassen van een risicograaf voor het bepalen van een SIL of PL zijn groter zijn en de kans van herstel veel kleiner dan bij risicografen toegepast bij prioriteitsbepaling van risico’s uit een RI&E. Daarom moeten deze risicografen nauwkeurig worden toegepast.

4.3 Wie past een risicograaf toe

Het ontwerpen van een SIF maakt meestal deel uit van een technisch ontwerptraject bij nieuwbouw of renovatie van machines en procesinstallaties. In deze omgeving wordt het SIL of PL bepaald door technici. Technici zijn vooral gewend te werken met absolute gegevens, het verwerken van feiten en vastgestelde ervaringen. Waar onduidelijkheid bestaat, ontstaat de neiging afspraken vast te leggen, bijvoorbeeld in normen.

Het bepalen van een SIL of PL met behulp van een risicograaf is een kwalitatieve risicobeoordeling. Bij een dergelijke kwalitatieve risicobeoordeling worden relatieve waarden gebruikt, zoals bijvoorbeeld: licht, zwaar, mogelijk, waarschijnlijk, meestal onmogelijk. Bij het toepassen van deze waarden zijn vaak interpretatieverschillen te zien. Ellenlange discussies of een bepaalde gebeurtenis zelden of waarschijnlijk optreedt, volgen. Uit onzekerheid worden de keuzes vaak te zwaar aangezet. De kans op een te zwaar bepaalde SIL of PL is dan ook groter dan een te licht bepaalde. Bijlage F geeft een overzicht van de beoordelingscriteria van de drie risicografen uit de normen.

Om in de waarschijnlijkheidsbepalingen ook nog eens de effecten veroorzaakt door het niveau van personeel, training en opleiding of de cultuur van een bedrijf mee te nemen vereist begeleiding door een veiligheidskundige. In de praktijk worden dergelijke effecten niet of nauwelijks meegenomen.

Om de risicografen bruikbaar te maken voor technici worden absolute waarden toegepast en verklarende voorbeelden opgenomen in de normen. Met name de IEC normen 61511 en 62061 geven dergelijke informatie. De risicograaf uit de ISO 13849 geeft geen absolute waarden mee en een minimale toelichting. Deze risicograaf biedt het minste houvast voor technici.

Het toepassen van absolute waarden kan als nadeel met zich meebrengen dat de context waarin de gebeurtenis plaatsvindt uit het oog verloren wordt. Bijvoorbeeld of een scenario korter of langer dan 10 minuten duurt geeft een verschil in waardebepaling (Fr – risicograaf 62061). Het moge duidelijk zijn dat deze 10 minuten meer een maat is voor het verschil tussen kortdurende en langdurende scenario’s. met een grijs gebied rond de 10 minuten.

Een risicograaf met weinig absolute metingen geeft de veiligheidskundige ruimte om in een team ter zake kundigen te komen met een objectieve risicobeoordeling, passend



bij het scenario. Als de juiste personen niet voorhanden zijn kan beter gekozen worden voor een meer sturende risicograaf met absolute meetwaarden of een toelichting die de keuzes beperkt. Met de in dit rapport geselecteerde risicografen en toelichting in het rapport moet een technisch team een goede SIL of PL bepaling kunnen uitvoeren.



5 Het risico van een procesinstallatie versus het r isico van een machine

Er wordt in de normen voor automatische systemen met een veiligheidsfunctie onderscheid gemaakt tussen machines en procesinstallaties. Uit Figuur 4 blijkt dat de normen ISO13849 en IEC 62061 bedoeld zijn voor machines. De norm IEC 61511 heeft dezelfde doelstelling maar dan voor procesinstallaties.

Voor het toepassen van de juiste normen is het van belang de specifieke verschillen tussen machines en procesinstallaties met betrekking tot de veiligheidsrisico’s te onderkennen.

5.1 De invloed van een machine op veiligheid

Een definitie van een machine is volgens de machinerichtlijn:

Machine: - een samenstel van onderling verbonden onderdelen of organen waarvan er ten minste één kan bewegen, alsmede, in voorkomend geval, van aandrijfmechanismen, bedienings- en vermogensschakelingen enz. die in hun samenhang bestemd zijn voor een bepaalde toepassing, met name voor de verwerking, de bewerking, de verplaatsing en de verpakking van een materiaal.

Een binnen het kader van dit rapport bruikbare eenvoudige definitie van een machine is de volgende:

Een machine is een mechanisme dat een vorm van beweging of energie in een andere vorm van beweging of energie kan omzetten.

Typische mogelijke machine-eigenschappen die van invloed zijn op het veiligheidsrisico zijn: - Draaiende of anders bewegende onderdelen, - Grote snelheden - Grote krachten - Scherpe delen - Hete delen

Typische machinegevaren zijn: - Beknellen van ledematen - Afrukken van ledematen - Snijden aan machinedelen - Branden aan hete oppervlakken - Geraakt worden door wegspringende onderdelen van product of machine - Elektrocutie - Brand

Door het continu functioneren van de machine of het machineproces zijn gevaren constant of met een relatief hoge frequentie aanwezig. Gevaren ontstaan zodra beveiligingsfuncties niet (meer) aanwezig zijn. In veel gevallen zijn de gevaren bekend en de risico’s voorspelbaar. In mindere mate is er sprake van het ontstaan van risico’s veroorzaakt door onvoorspelbare storingen. Machine SIFs functioneren daarom vooral in een zogenaamde ‘continuous- of high demand mode of operation’ .

De gevaareffecten hebben vooral betrekking op personen die direct aan de machine werken of in de directe nabijheid van de machine aanwezig zijn. Machinerisico’s die groepen personen treffen mogen niet beveiligd worden door een enkele SIF. Reductie van het groepsrisico door inherente veiligheidsmaatregelen is hier meer op zijn plaats.



Vaak is het gevaareffect een direct gevolg van een handeling van een persoon en treft het deze persoon zelf.

Door voorkomende bewegingen op hoge snelheden is het beperken van schade bij een optredend effect minder goed mogelijk. Ontsnappen aan het gevaar is dan alleen mogelijk door in te grijpen voordat het gevaar werkelijk optreed.

5.2 De invloed van een procesinstallatie op veiligh eid

Er zijn vele definities van een proces te geven. Een definitie binnen het kader van dit rapport die heel duidelijk het verschil maakt met een machine is de volgende:

Procesinstallaties zijn installaties die grondstoffen omzetten in halffabrikaten of eindproducten door middel van chemische of fysische bewerkingen.

Typische mogelijke proceseigenschappen die van invloed zijn op de veiligheid: - Verwerking van stoffen met chemische eigenschappen - Ontstaan van reacties door het bewerken van stoffen - Giftige dampen - Explosie - Brand

Typische procesgevaren zijn: - Vrijkomen van giftige, bijtende, brandbare stoffen of dampen - Vergiftiging - Verstikking - Verbranding - Brandgevaar - Explosiegevaar

Gevaren kunnen ontstaan door (ver)storingen in het proces. Dergelijke gevaren mogen niet met een grote frequentie of continu aanwezig zijn. Door onbekende of onverwachte verstoringen in het proces zijn niet alle gevaren voorspelbaar. Proces SIFs functioneren vooral in een zogenaamde ‘low demand mode of operation’.

De gevaareffecten kunnen betrekking hebben op personen die in de nabijheid van de installatie aanwezig zijn, maar ook op grote gebieden rond een fabriek (bijvoorbeeld een gifgaswolk die een heel woongebied bereikt). Externe veiligheid kan dan ook van toepassing zijn op procesinstallaties.

Mogelijk kan escalatie van het gevaar worden voorkomen door het tijdig ingrijpen in de procesvoering. Ook kan er voldoende tijd zijn tussen het signaleren van een storing en het optreden van de gevaarlijke situatie, waardoor ontsnappen aan het gevaar (evacuatie van groepen) mogelijk is.

5.3 Verschil in risicografen voor de beoordeling va n het veiligheidsrisico van machines en procesinstallatie s

Paragraaf 5.1 en 5.2 laten het verschil zien tussen het mogelijk effect van een machine-incident een proces-incident; samengevat:

Machine: enkel persoon, vooral risico voor beschadiging ledematen Proces: groepsrisico mogelijk, risico voor aantasting lichaamsfuncties door

bijvoorbeeld vergiftiging, verstikking of verbranding.

Verschillen in mogelijkheid van optreden gevaar:

Machine: continu aanwezig en ontstaat bij wegvallen beveiliging (high demand mode), kleine kans om te ontsnappen of het effect te beperken.



Proces: heeft een lage frequentie van optreden (soms jaren) en ontstaat na (ver)storing van het proces (low demand mode), mogelijk voldoende tijd om te ontsnappen aan het effect, de schade te beperken of zelfs het gevaar te voorkomen.

Door de verschillen tussen machines en procesinstallaties is het noodzakelijk om voor de risicobeoordeling van de SIFs verschillende risicografen toe te passen. Bijlage C en Bijlage D laten risicografen zien die vooral gericht zijn op de specifieke machine risico’s. Bijlage E is een risicograaf voor procesinstallaties.

5.4 Een machine met een procesrisico en een proces met een machinerisico

In de praktijk komen regelmatig combinaties van machines en procesinstallaties voor als het de veiligheidsrisico’s betreft.

Bijvoorbeeld de volgende verpakkingsmachine-installatie:

De installatie bestaat uit typische machines die flessen vloeistof uitvullen en het inpakken ervan in dozen afhandelen. De bewerkingen en de risico’s van deze installatie zijn typerend voor een machine. De vloeistof die in de vulmachine wordt uitgevuld heeft een laag vlampunt en is explosief. Verstoringen in het vulproces kunnen leiden tot het ontstaan van explosieve dampen met een explosie tot gevolg. Het ontstaan van dit gevaar en de effecten (explosie met een groot gevolggebied en mogelijk meerdere slachtoffers) zijn typerend voor een proces.

Of dit voorbeeld van een procesinstallatie:

In een productieproces voor injectievloeistof wordt handmatig een poedervormige grondstof toegevoegd via een stortkabinet. De bewerking en de risico’s van de installatie zijn typerend voor een proces. Diverse stoffen worden gemengd, een chemische reactie vindt plaats. Het vloeistofmengsel is toxisch. Direct onder het stortkabinet bevindt zich een roterende zeef die de poederdeeltjes tot een bepaalde grootte reduceert waarna het poeder in de vloeistof wordt geïnjecteerd. Het storten van het poeder in het stortkabinet is een typische machinehandeling. Om de zeef te inspecteren kan het stortrooster worden opgelicht. De operator kan bij de roterende zeef komen. De zeef roteert met grote snelheid en de zeefmessen zijn zeer scherp. Verlies van een vinger is mogelijk bij inspectie van een roterende zeef.

Het is belangrijk om bij dergelijke combinatie–installaties de SIFs van het machinedeel en het procesdeel te onderscheiden en de juiste bijpassende norm toe te passen.

Wellicht minder herkenbaar is het voorbeeld van een procesinstallatie met een monsternamepunt waar, in een bepaalde procesfase, vloeistof bijna het kookpunt bereikt. De situatie is tijdens deze procesfase gedurende enkele uren continu aanwezig. Indien een monster wordt genomen in deze fase is de kans op verbranding van de handen zeer groot. Het aftappen tijdens de hete fase wordt geblokkeerd door een temperatuurmeting gekoppeld aan een automatische afsluiter. Dit is een ‘high demand’ situatie zonder groepseffect. Voor het beoordelen van het risico van een dergelijke ‘high demand’ situatie is de procesrisicograaf niet geschikt. De machine risicograaf biedt ook in dit voorbeeld uitkomst.

Voor het bepalen van het SIL of PL van de SIFs voor de machine en het ontwerp van het SIS worden de normen13849 of 62061 toegepast. Voor het procesgedeelte de norm 61511.

Het voordeel van toepassing van de IEC normen 62061 en 61511 is dat voor het ontwerp en de verificatie van het SIS van zowel de machine als het procesdeel vergelijkbare, op de IEC 61508 gebaseerde, technieken worden gebruikt.



6 Het bepalen van het Safety Integrity- of Performa nce Level met behulp van een risicograaf

De risicografen uit de normen maken allemaal gebruik van de definitie risico, als functie van het effect dat een gevaar kan veroorzaken en de kans dat dit effect ook werkelijk optreedt:

Risico = effect van het gevaar x kans van optreden

Weergegeven in de grafiek van Figuur 6.

Middels de risicograaf worden het effect van het gevaar en de kans dat het effect optreedt bepaald. De resultante bepaalt de vereiste minimum risicoreductiefactor die de SIF moet realiseren. Weergegeven als het zogenaamde SIL of PL van de SIF.

Een groot risico (ernstige gevolgen en een grote kans van optreden), het donkerrode gebied in Figuur 6, mag niet middels een enkele SIF worden beveiligd. Het ontwerp dan dusdanig wijzigen dat dit risico niet voor kan komen.

Bij een klein risico (lichte gevolgen en een kleine kans van optreden), het witte/lichtrode gebied, is het wellicht niet nodig om te beveiligen of kan een SIF worden ontworpen zonder specifieke risicoreductieeisen.

In de praktijk heeft men de meeste moeite met het bepalen van de kans van optreden van een gevaareffect. Het meest kritisch te bepalen risico wordt daarom gevormd door een ernstig effect met een kleine kans van optreden. Mogelijk kan een lagere SIL/PL bepaald worden door de kans lager in te schalen. In dat geval dient de kans van optreden nauwkeurig te worden bepaald. Een verkeerde bepaling kan nare gevolgen hebben.

6.1 Het toepassen van een risicograaf voor machines

6.1.1 De keuze van de risicograaf

Voor machines kan worden gekozen uit twee normen: IEC 62061 of IEC 13849. Beide normen hebben een eigen risicograaf (Bijlage C en Bijlage D). Tabel 4 uit de norm 13849-1 geeft de overeenkomst tussen de Performance Levels uit de norm en de Safety Integrity Levels uit de normenfamilie 61508 weer:

Figuur 6 - Risico



PL SIL Average probability of a dangerous Failure per Hour 1/h

a Geen overeenkomst ≥ 10–5 to < 10–4

b 1 ≥ 3 x 10–6 to < 10–5

c 1 ≥ 10–6 to < 3 x 10–6

d 2 ≥ 10–7 to < 10–6

e 3 ≥ 10–8 to < 10–7

Tabel 2 - Overeenkomst PL en SIL

Met deze tabel zijn de resultaten van de risicobeoordeling van beide normen aan elkaar gekoppeld. De risicografen uit beide normen zouden dan tot hetzelfde resultaat moeten leiden. In Bijlage G is een risicobeoordeling uitgewerkt voor een machine SIF met gebruik van de risicograaf uit de norm ISO 13849 en vervolgens nogmaals met de risicograaf uit de norm IEC 62061. De uitkomst is niet gelijk. De PL is c (SIL 1) terwijl de SIL op 2 (PL d) uitkomt. Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte mogelijkheid in de ISO 13849 risicograaf om de kans van voorkomen en het beperken van het effect te bepalen.

Om verschil te voorkomen is het van belang om één r isicograaf te gebruiken, voor het bepalen van zowel de SIL en de PL van een SIF.

In Figuur 7 is te zien dat bij de PL het zwaartepunt bij het effect ligt. De kansinvloed is veel beperkter. Dit wordt mede veroorzaakt doordat de PL maar twee effectgradaties kent: reversible injury en irreversible injury. De effect (injury)-keuze is eenvoudig. De kansbepaling is beperkt en relatief eenvoudig (zie ook Bijlage C). Het resultaat is een relatief eenvoudig toe te passen risicograaf. De mogelijkheden om het risico ook afhankelijk te laten zijn van menselijke invloeden als bijvoorbeeld training, niveau en gedrag zijn te beperkt bij de PL risicograaf. Het gevolg kan zijn een onacceptabel lage beveiliging voor het gevaar van reversibele verwonding of een onnodig zware beveiliging bij gevaar voor irreversibele verwonding.

De SIL risicograaf laat vooral in het veel voorkomende effectgebied van serieuze verwondingen (Se 2 en 3) een brede range van SIL klassen zien. Dat houdt in dat de werkelijke SIL mede bepaald wordt door de ‘kans van voorkomen’ parameters. Dat geeft meer mogelijkheden om een nauwkeurig afgestemd SIL te bepalen.

Zowel voor het bepalen van het PL als het SIL van een machine is het advies te kiezen voor de risicograaf uit de IEC 62061 norm (Bijlage D).

De volgende kanttekeningen zijn te maken bij de IEC 62061 risicograaf: - De risicograaf maakt het mogelijk het hoogste risico (Cl 14-15 in combinatie met Se

4) te beveiligen met een enkele SIF (SIL3). Het heeft echter de voorkeur bij een

Figuur 7 – PL en SIL afhankelijkheid van het effect

PL

edc !ba

InjuryReversable Irreversable

Dea

d, lo

sing

ey

e, a

rm

321

SIL Firs

t aid

Med

ical

pr

actit

ione

r

Bro

ken

limbs

, lo

sing

fing

er1a

62061 1 2 3 4

SIL PL

13849 S1 S2



dergelijk hoog risico het machineontwerp aan te passen, waardoor het risico afneemt of niet middels een SIF beveiligd wordt.

- Bij het zwaarste effect in combinatie met een zeer lage kans van optreden van dit effect wordt nog steeds een SIF met een SIL2 toegepast. Bij een dergelijke lage effectkans kan de SIF naar een SIL1 niveau. Dit vereist wel een nauwkeurige inschatting van de lage effectkans.

Het resultaat is samengevat in een gemodificeerde IEC 61062 risicograaf waarin opgenomen de PL. Deze risicograaf is toepasbaar bij de risicobeoordeling van machines voor zowel de SIL als de PL bepaling. In Bijlage H is deze risicograaf opgenomen.

6.1.2 Bepaling van het effect, de ernst van de gevo lgen voor de gezondheid

De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen voor de gezondheid (Se-Severity factor):

Se Herstel-tijd:

Arbeids-geschikt na herstel: Toelichting:

1 Reversibel Eerste hulp noodzakelijk

Geen 100% Lichte verwondingen, waarbij na eerste hulp behandeling het werk weer kan hervatten. Bijvoorbeeld: snee, schaafwond, lichte kneuzing, e.d.

2 Reversibel Behandeling noodzakelijk

Kort (tot max. enkele weken)

100% Zwaardere verwondingen waarbij behandeling door een arts noodzakelijk is of waarbij het werk pas na enige hersteltijd (ziektewet) hervat kan worden. Bijvoorbeeld: diepe wond, kneuzing, verrekte of gescheurde pees, gebroken vinger.

3 Irreversibel Gebroken ledematen, verlies vinger(s)

Langer 100% Zware verwondingen en verlies ledematen, waarbij het na hersteltijd, mogelijk is om hetzelfde werk te hervatten. Bijvoorbeeld het verlies van een vinger of zwaardere botbreuken.

4 Irreversibel dood, verlies arm / oog e.d.

n.v.t. Lang (revali-datie)

< 100% 100%

Dood of zware verwondingen waarna het niet mogelijk is om, na herstel, het werk met dezelfde productiviteit te hervatten. Of waarna een langdurig revalidatietraject volgt. Verlies van een duim, hand, oog, voet, ernstige brandwonden.

Tabel 3 - Se - ernst van de gevolgen van een gevaar

Toelichting:

De norm belicht de ernst van de gevolgen vooral vanuit een zakelijk perspectief, met als basis hoe snel en hoe volledig is de persoon weer productief.

Een verwonding waarbij het werk alleen direct kan worden hervat door het aanbieden van aangepast werk valt onder de zwaardere verwondingen (Se 2).



Kleine littekens zijn weliswaar irreversibel maar geven geen nadelige bijeffecten (cosmetische effecten worden niet beschouwd) en worden als reversibel gekenmerkt (Se 1 of 2). Bij bijvoorbeeld brandwonden kunnen ernstige littekens ontstaan. In deze situatie kan het herstel van verwonding en littekens langdurig zijn (Se 4).

Kanttekeningen:

De volgende situaties zijn persoonsafhankelijk en worden niet beschouwd bij het bepalen van de Se - factor. In voorkomende gevallen kunnen deze situaties een rol spelen. Mogelijk door schadeclaims van betreffende personen.

De kwaliteit van het leven van de persoon zelf blijft buiten beschouwing. Bijvoorbeeld het verlies van een pink heeft geen gevolgen voor bepaald werk dat de persoon verricht en hij zal na een niet al te lange hersteltijd 100% arbeidsgeschikt zijn (Se 3). Echter zijn grote passie, pianospelen, kan hij zonder pink niet meer met dezelfde kwaliteit uitvoeren dan voorheen (vergelijkbaar met Se 4).

Psychische schade veroorzaakt door de schokkende ervaring van een ongeluk (een trauma) kan leiden tot arbeidsongeschiktheid met een lange hersteltijd of zelfs blijvende arbeidsongeschiktheid. De persoon die zijn collega een zwaar machineongeluk ziet krijgen kan een langere hersteltijd hebben dan de getroffene zelf!

6.1.3 Bepaling van de kans op schade met een bepaal de ernst

De kans dat schade voor de gezondheid met een bepaalde ernst ook daadwerkelijk optreed is afhankelijk van de volgende drie factoren: - frequentie en duur van de blootstelling (Fr – frequency) - mogelijkheid van optreden van een gevaarlijke gebeurtenis (Pr - probability) - mogelijkheid om de schade te voorkomen of te beperken (Av – avoiding)

Fr - frequentie en duur van de blootstelling

Het inschatten van de frequentie en de duur van de blootstelling kan worden gedaan door met de volgende aspecten rekening te houden: - Waarom ben je er - De noodzaak van het verblijf in de gevaarlijke zone (denk niet

alleen aan normale bedrijfsvoering, maar ook aan onderhoud, reparatie, storing, e.d.).

- Wat doe je er - De aard van de werkzaamheden in de gevaarlijke zone (bijvoorbeeld toevoegen van materiaal, verwijderen van een afgekeurd product).

Vervolgens kan de frequentie en de tijdsduur van het scenario worden bepaald en de Fr-factor worden vastgesteld met behulp van Tabel 4:

Fr - Frequentie en duur van het scenario

duur > 10 min

duur <= 10 min freq. scenario

5 5 <= 1 h

5 4 > 1h tot <= 1 dag

4 3 > 1 dag tot <= 2 weken

3 2 > 2 weken tot <= 1 jaar

2 1 > 1 jaar

Tabel 4 - Se - frequentie en duur van het scenario



Toelichting:

De frequentie is de gemiddelde tijd tussen de keren dat men aanwezig is in de gevaarlijke zone.

Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in een specifieke zone is het aan te bevelen om een taak risico analyse van de werkzaamheden uit te voeren.

Pr - mogelijkheid van optreden van een gevaarlijke gebeurtenis

De mogelijkheid van optreden van een gevaarlijke gebeurtenis wordt bepaald door: - De voorspelbaarheid van het gedrag van de machine. Een belangrijke factor hierbij

is de betrouwbaarheid van de componenten, of - de mogelijk te verwachten menselijke handelingen die kunnen leiden tot een

gevaarlijke situatie.

De Pr-factor kan worden bepaald met Tabel 5:

Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis

Pr

Voorspelbaarheid machinegedrag; Betrouwbaarheid componenten (mits falen een gevaarlijke situatie veroorzaakt)

Mogelijkheid van menselijke handelingen die kunnen leiden tot een gevaarlijke situatie.

1 Verwaarloosbaar Soort component faalt niet of falen kan niet leiden tot gevaar.

Niet mogelijk.

2 Zelden Het is niet te verwachten dat soort component zal falen.

Niet te verwachten.

3 Mogelijk Soort component kan falen. Is mogelijk.

4 Waarschijnlijk Soort component zal waarschijnlijk falen.

Is te verwachten.

5 Erg hoog Soort component niet geschikt voor applicatie. Zal na verloop van tijd zeker falen.

Erg groot.

Tabel 5 - Pr - mogelijkheid van optreden gevaar

De volgende aandachtspunten die van invloed kunnen zijn op het menselijk handelen: - Stress / vermoeidheid – veroorzaakt door werkdruk of specifieke

taakeigenschappen (Pr ≥ 3). - Kennis machinegedrag – Het machinegedrag is onvoldoende in kaart gebracht (Pr ≥ 3).

- Training – personeel is onvoldoende op de hoogte van de mogelijke gevaren (Pr ≥ 3). Alleen bij training met periodieke herhaling en door toetsing geverifieerde kennis is een Pr < 3 mogelijk.

- Gedrag – Personeel schat risico’s onvoldoende in of gaat er makkelijk mee om (Pr ≥ 4). De veiligheidscultuur is onvoldoende; geen actief veiligheidsbeleid: te weinig aandacht bij management voor veiligheid, management voert geen corrigerende maatregelen (Pr ≥ 4).

- Complexe machine – de machine is complex, risico’s zijn niet goed te overzien, er gebeuren meerdere dingen tegelijk waardoor personeel afgeleid kan worden van het gevaar (Pr ≥ 3).



Toelichting:

Normaal functioneren van een machine is voorspelbaar machinegedrag. Door falen van componenten kan de machine niet te voorspellen gevaarlijk gedrag vertonen. Wanneer het normaal functioneren van de machine niet volledig in kaart is gebracht of bedienend personeel onvoldoende is geïnformeerd kan normaal machinegedrag onvoorspelbaar zijn. Bijvoorbeeld onverwacht inschakelen van machinedelen bij een opstartprocedure.

Let op! Ook het product dat door de machine wordt verwerkt kan leiden tot niet voorspelbare gevaarlijke situaties. Bijvoorbeeld het blik dat verpakt moet worden en vastloopt in de verpakkingsmachine. Een situatie die kan ontstaan door beschadigingen aan, of afwijkende specificaties van het blik. Een ander voorbeeld zijn wegschietende delen van werkstukken in een bewerkingsmachine. Te verwerken producten en materialen worden ook als component be schouwd!

Ook bij niet falende componenten kunnen situaties bestaan waarbij menselijk handelen kan leiden tot verwondingen. Bijvoorbeeld normaal functionerende machines, waarbij een hand in een draaiend deel wordt gestoken.

Om goed inzicht te verkrijgen van de handelingen aan een bepaalde machine of in een specifieke zone is het ook voor de Pr-factor aan te bevelen om een taak risico analyse van de werkzaamheden uit te voeren.

Machinefabrikanten die machines bouwen voor onbekende gebruikers (in principe alle seriematig gebouwde machines) kunnen geen rekening houden met de specifieke oorzaken van menselijk falen. Indien menselijk falen tot een gevaarlijke situatie kan leiden moeten deze fabrikanten een Pr ≥ 4 aanhouden.

Av - mogelijkheid om de schade te voorkomen of te b eperken

De mogelijkheid om de schade te voorkomen of te beperken is afhankelijk van de volgende factoren: - Het ontwerp van de machine, waardoor de mogelijkheid ontstaat om gevaar tijdig te

signaleren en te ontwijken. - Menselijke eigenschappen. Herkent men het gevaar, zodat tijdig ingrijpen mogelijk

is.

Tabel 6 geeft de mogelijke Av-factoren weer:

Av - mogelijkheid voorkomen of beperken van schade

Av Machineontwerp: Menselijke factoren:

1 Mogelijk Lage snelheid, herkenbaarheid gevaar, voldoende ruimte

Kennis van, of ervaring met de gevaren.

3 In bijzondere gevallen mogelijk

Lage snelheid, herkenbaarheid gevaar, obstakels in vluchtroute, of Alarmsignalering in combinatie met voldoende tijd.

Onvoldoende kennis van of ervaring met de gevaren.

5 Onmogelijk Hoge snelheid, gevaar niet herkenbaar of niet zichtbaar, geen vluchtruimte.

Tabel 6 - Av - mogelijkheid voorkomen of beperken schade



Factoren met betrekking tot het ontwerp van de machine: - Snelheid waarmee een gevaarlijke situatie tot schade leidt of de snelheid waarmee

een gevaarlijke situatie ontstaat. Plotseling optreden: Av=3, snel optreden: Av=5, langzaam optreden met voldoende tijd om situatie in te schatten en weg te komen: Av=1.

- Weg kunnen komen . Voldoende ruimte om tijdig weg te komen van het gevaar: Av=1. Obstakels in de vluchtroute: Av=3. Nauwe of gesloten ruimten: Av=5.

- De herkenbaarheid van het gevaar. Niet zichtbare en gevaarlijke objecten zoals bijvoorbeeld hete oppervlakten, scherpe snijdende onderdelen: Av=5. Indien deze objecten duidelijk herkenbaar zijn als gevaarobject en zichtbaar: Av=1. De aanwezigheid van duidelijke waarschuwingssignalen of markeringen: Av=1.

- Alarmsignalering . Wanneer alarmsignalering wordt toegepast bij optredend gevaar in combinatie met voldoende tijd en ruimte: Av=3.

Menselijke factoren: - Kennis van de gevaren . Personeel dat getraind is in het herkennen van de

gevaren van de machine: Av=1. Indien dit niet het geval is: Av=3. Dit - Ervaring : Personeel dat ruime kennis en ervaring heeft in de bediening van de

machine en de herkenning van de gevaren: Av=1. Indien niet Av=3.

6.2 De risicograaf voor procesinstallaties

6.2.1 De keuze van de risicograaf

In hoofdstuk 5 is het verschil tussen een machine en een procesinstallatie beschreven en de noodzaak om voor SIFs van procesinstallaties op een andere wijze de risico’s te beoordelen. De IEC 61511 is de norm die specifiek voor procesinstallaties wordt toegepast. In Bijlage E is de risicograaf van deze norm opgenomen.

6.2.2 Bepaling van het effect, de ernst van de gevo lgen voor de gezondheid

Het bepalen van het effect van een procescalamiteit is gebaseerd op het groepsrisico. Het is niet de ernst van het effect op een persoon maar de hoeveelheid doden of zwaar gewonden dat de ernst bepaald.

De norm kent de volgende gradaties voor het bepalen van de ernst van de gevolgen (C - consequence factor):

C - Ernst van de gevolgen

CA Verwonding

CB Zwaar gewonde / dode

Groepseffect range 0,01 tot 0,1

CC Meerdere doden / zwaar gewonden

Groepseffect range > 0,1 tot 1,0

CD Veel doden / zwaar gewonden

Groepseffect range > 1,0

Tabel 7 - C - ernst van de gevolgen van een gevaarlijke gebeurt enis

De groepseffect-range wordt bepaald door het aantal personen dat in het getroffen gebied aanwezig is, dat blootgesteld wordt aan het gevaar en de hoeveelheid brandbaar of toxisch materiaal dat vrijkomt in het getroffen gebied:



Groepseffect range = aantal personen x V

Vermenigvuldigingsfactor V voor de hoeveelheid vrijgekomen brandbaar of toxisch materiaal: - V = 0,01 Beperkte hoeveelheid brandbaar of toxisch materiaal - V = 0,1 Grote hoeveelheid brandbaar of toxisch materiaal - V = 0,5 Grote hoeveelheid brandbaar materiaal met een groot risico om vlam te

vatten of zeer toxisch materiaal - V = 1 Explosie of flashfire, instantaan vrijkomen van grote hoeveelheid toxisch

materiaal.

Voorbeeld: In een hal waar gemiddeld 5 personen werken ontsnapt voldoende hoeveelheid van een toxisch gas om de hal te vullen. Groepseffect range = 5 x 0,1 = 0,5 (Ernst factor: CC).

6.2.3 Bepaling van de kans op schade met een bepaal de ernst

De kans dat schade voor de gezondheid van personen ook daadwerkelijk optreedt is afhankelijk van de volgende drie factoren: - De mogelijke aanwezigheid van personen in het gebied dat getroffen kan worden bij

een calamiteit (F). - De mogelijkheid om te ontsnappen aan het gevaar (P). - De frequentie waarmee de gevaarlijke situatie optreedt (W).

F – mogelijke aanwezigheid van personen

De kans dat personen aanwezig zijn in het calamiteitgebied op het moment van optreden van een calamiteit wordt bepaald aan de hand van de relatieve tijdsduur dat personen aanwezig zijn in hetzelfde gebied bij een normale situatie. Volgens Tabel 8:

F - Aanwezigheid van mensen

FA Nauwelijks tot frequent aanwezig < 0,1 x duur werkperiode

FB Frequent tot permanent aanwezig ≥ 0,1 x duur werkperiode

Tabel 8 - F - aanwezigheid van mensen

Voorbeeld 1: Een normale werkdag duurt 8 uur: 0,1 x 8 = 48 minuten. Wanneer gemiddeld korter dan 48 minuten (ongeveer een uur) per dag personen in het calamiteitgebied aanwezig zijn: FA, anders FB. Bij een continubedrijf geldt een werkdag van 24 uur met een gemiddelde aanwezigheidstijd van 144 minuten (ongeveer 2,5 uur).

Voorbeeld 2:Indien de aanwezigheid van personen wisselt per dag of per periode kan een langere periode worden beschouwd. Bijvoorbeeld: Bij een continu productieperiode van 1 week = 168 uur x 0,1 =17 uur. Als in dit geval gemiddeld korter dan 17 uur per week personen in het calamiteitgebied aanwezig zijn geldt FA.

Toelichting:

Als het calamiteitgebied een gebied bestrijkt waarvan de aanwezigheid van personen niet duidelijk is, geldt factor FB.

Bij een calamiteitgebied dat zich uitstrekt buiten de bedrijfsgrenzen geldt factor FB.



Als calamiteiten dusdanig van aard zijn dat ze de aandacht van personen kunnen trekken, geldt factor FB. Bijvoorbeeld een bepaald geluid waar geen afschrikkende werking vanuit gaat, waardoor personen naar de calamiteitplek toegaan.

Indien de mogelijkheid bestaat dat een calamiteit ontstaat terwijl onderhoudspersoneel een storing onderzoekt geldt factor FB.

P - de mogelijkheid om te ontsnappen aan het gevaar

De mogelijkheid om te ontsnappen aan het gevaar als het SIS faalt wordt bepaald aan de hand van Tabel 9:

P - Mogelijkheid tot ontsnappen aan gevaar

PA Mogelijk Als aan de volgende voorwaarden is voldaan: - Er is een systeem aanwezig dat waarschuwt als het SIS faalt. - Er zijn voorzieningen aanwezig die het mogelijk maken om het

gevaar te voorkomen of het mogelijk maken alle aanwezige personen te evacueren.

- De tijd tussen waarschuwen en het optreden van een gevaar moet ruim toereikend zijn om die acties te nemen die nodig zijn om het gevaar te voorkomen of alle aanwezige personen te evacueren.

PB Meestal onmogelijk Als niet aan alle eisen van PA kan worden voldaan.

Tabel 9 - P - mogelijkheid tot ontsnappen aan het gevaar

Toelichting:

De genoemde voorzieningen mogen procedurele voorzieningen zijn. Voorwaarde is dat de procedures vastgelegd zijn, getest zijn en goed functioneren en dat alle betrokkenen op de hoogte zijn.

W - De frequentie waarmee de gevaarlijke situatie o ptreedt.

De frequentie wordt bepaald door het aantal keer dat een gevaarlijke gebeurtenis optreed als deze niet door een SIF wordt beveiligd; volgens Tabel 10:

W - Frequentie van optreden gevaarlijke gebeurtenis

W1 Minder vaak dan eens per 10 jaar Onderbouwen

W2 Eens per 1 tot 10 jaar Standaard keuze

W3 Vaker dan eens per jaar Ongewenst voor gevaren met klasse CC en CD.

Tabel 10 - W - frequentie van optreden van een gevaarlijke geb eurtenis

Toelichting:

Als de frequency factor W1 wordt gekozen moet aannemelijk worden gemaakt dat gevaarlijke gebeurtenissen minder vaak dan eens per 10 jaar voorkomen. Een geschikte methode hiervoor is een foutenboomanalyse van alle mogelijke bronnen die kunnen leiden tot de gevaarlijke gebeurtenis.



De aard van het gevaar maakt een hoge frequentie van voorkomen zeer onwenselijk. De procesrisicograaf is dan ook niet geschikt voor fouten met een hoge frequentie van voorkomen. Bij gevaren van klasse CC en CD met een hoge frequentie dienen oplossingen gezocht te worden die de frequentie van voorkomen verlagen.



7 Conclusies en aanbevelingen

Uit ervaringen met klanten komt naar voren dat er kritisch wordt geoordeeld over het nut van de SIL of PL bepaling van SIFs in hun machines of procesinstallaties. Besef van de noodzaak voor een goede beveiliging is er over het algemeen wel. Echter de noodzaak om een ontwerptraject voor instrumentele beveiligingen in te zetten volgens de betreffende normen vereist een andere visie m.b.t. het begrip beveiligingsloops. Sentimenten als bijvoorbeeld: ‘vroeger deden we het altijd zo’ spelen hier bijvoorbeeld een rol.

Scepsis kan te maken hebben met onvoldoende acceptatie van het resultaat van de beoordeling en de gevolgen voor de aanpassingen van de installatie, m.n. de kosten ervan.

Oorzaken van een slechte acceptatie zijn: a. De kwaliteit van het uitgevoerde risico-onderzoek laat soms te wensen over. b. De klant is onvoldoende betrokken in het risicobeoordelingsproces. c. Slechte rapportage van de eindresultaten met onvoldoende onderbouwing.

Ad. a. Bij het toepassen van een risicograaf als tool om een SIL of PL te bepalen is het belangrijk dat de juiste waarden worden gegeven aan de beoordelingsonderwerpen van de risicograaf. Hoofdstuk 6 geeft voor zowel de machinerisicograaf als de procesrisicograaf een goede handleiding.

Als ondersteuning bij het beoordelen van operatorhandelingen, die van invloed kunnen zijn op het risico, is het aan te bevelen om een taakrisicoanalyse op te stellen van de werkzaamheden van de operator.

Ad. b. Het is gebleken dat er classificatierapporten zijn opgesteld door individuele adviseurs. De kans is groot dat een kwalitatieve risicobeoordeling uitgevoerd door één persoon een te eenzijdig beeld van de problematiek schetst, mogelijk zelfs teveel beïnvloed door vooroordelen. Daarnaast is het voor een externe adviseur ondoenlijk een volledig beeld van de situatie ter plaatse en de menselijke handelingen te hebben.

De kracht van een goede kwalitatieve risicobeoordeling, wat een SIL of PL bepaling in feite is, is de uitvoering door een team van ter zake kundigen. De samenstelling van een dergelijk team is afhankelijk van de te beveiligen situatie. De volgende kennis kan van belang zijn: - proceskennis (procestechnoloog, proces engineer) - machinekennis (ontwerper machine) - kennis van het werken met de installatie (proces- of machineoperator,

storingsmonteur, onderhoudsmonteur) - ontwerpkennis (instrumentatie engineer, elektrotechnisch engineer,

werktuigbouwkundig engineer, ....) Het is aan te bevelen om een dergelijk team te sturen door een procesbegeleider (voorzitter) met ervaring met dergelijke beoordelingsprocessen.

Een belangrijk effect van participatie in een team door medewerkers van de klant, is een hoge mate van acceptatie van het bepaalde SIL of PL niveau en bewustzijn van de noodzaak van de SIF. Daarnaast dragen klant-eigen medewerkers bij aan een klanten situatiespecifiek beoordelingsresultaat.

Ad. c. Het is van belang een volledige rapportage op te stellen van de SIL of PL bepaling van een SIF. Een goede onderbouwing van de keuzes die gemaakt zijn om het effect en de kans van optreden te beoordelen zijn opgenomen in de rapportage. Deze informatie is onontbeerlijk bij wijzigingen aan de machine of het proces of bij een controlebeoordeling in een later stadium.



Daarnaast is een schets van de te beveiligen situatie van belang voor het ontwerpen van een SIS. Een constructeur heeft naast het bepaalde SIL of PL ook een goed beeld van de te beveiligen situatie nodig om een effectief SIS te ontwerpen. In Bijlage I is een praktijkvoorbeeld uitgewerkt van een misverstand dat ontstaat na onvolledige informatie rond de SIF functionaliteit.

En uiteindelijk kan de rapportage gebruikt worden om aan derden te presenteren wat de gevonden resultaten zijn en hoe deze tot stand zijn gekomen.

Proces versus machine

Een belangrijke constatering is het verschil tussen machines en procesinstallaties en de toepassing van de juiste bijpassende norm. Voor machines zijn de normen ISO 13849 en IEC 62061 van toepassing om een SIS te ontwerpen. Voor procesinstallaties de norm IEC 61511. Echter bij machines kunnen risico’s voorkomen die vallen binnen het kader waarin de procesnorm 61511 van toepassing is. In dat geval geldt het advies om voor die risico’s de procesnorm toe te passen om het SIL niveau van de SIF te bepalen en het SIS te ontwerpen.

Bij procesinstallaties is de kans reëel aanwezig dat er ook risico’s voorkomen die vallen binnen het kader van de machinenormen 62061 of 13849. Ook hier het advies om voor die risico’s de machinenormen toe te passen om het SIL of PL niveau van de SIF te bepalen en het SIS te ontwerpen.

Wanneer zowel machine- als procesgerelateerde risico’s voorkomen verdient het aanbeveling om de norm IEC 61062 toe te passen voor het ontwerp van het machinegerelateerde SIS, boven het toepassen van de norm ISO 13849. Het gebruik van de IEC 62061 heeft namelijk als voordeel dat het ontwerp van het SIS voor zowel de machinerisico’s als die van de procesrisico’s op dezelfde basis berust, namelijk de norm IEC 61508. De technieken en de terminologie voor machine- en procesdeel zijn vergelijkbaar.

De risicografen

Het toepassen van de risicograaf uit de norm ISO 13849 (PL) kan tot een ander gewenst beschikbaarheidsniveau leiden dan het toepassen van de risicograaf uit de norm IEC 62061 (SIL). Om een eenduidig beoordelingsresultaat te verkrijgen met een consistente onderbouwing moet worden gekozen voor één systeem voor het bepalen van zowel het PL als het SIL.

De risicograaf uit de norm IEC 62061 biedt meer mogelijkheden om de waarschijnlijkheid van optreden van een gevaarseffect te bepalen. Dit maakt het onder andere beter mogelijk om klantspecifieke situaties mee te laten wegen. Voor het bepalen van zowel het SIL als het PL wordt gekozen voor deze risicograaf.

In de oorspronkelijke IEC 62061 risicograaf is het grootste risico begrensd op een SIL2 als laagste gewenst niveau. Door een goede risicobeoordeling uit te voeren met aandacht voor een mogelijk zeer lage waarschijnlijkheid van optreden van een gevaarseffect kan dit niveau worden teruggebracht naar SIL 1.

In Bijlage H is de gemodificeerde en gecombineerde risicograaf opgenomen.

Voor het bepalen van het SIL van een procesinstallatie kan de risicograaf uit de norm IEC 61511 worden toegepast. Risico’s met een hoge frequentie voor calamiteiten uit de zwaarste categorieën CC en CD dienen te worden vermeden. Ontwerpwijzigingen die de frequentie van voorkomen omlaag brengen hebben veruit de voorkeur boven het toepassen van SIFs.



Cultuur en gedrag

Bij machinerisico’s heeft het impulsief handelen door een persoon een grotere invloed op het risico dan bij procesrisico’s. Onveilig gedrag van personen bij machinerisico’s kan leiden tot ongelukken, vaak bij de persoon zelf.

Onveilig gedrag van procesoperators zou kunnen leiden tot een verhoogd procesrisico met mogelijk schadelijke gevolgen voor grotere groepen personen. In dergelijke situaties kunnen de herstelmogelijkheden ongelukken voorkomen.

Een slechte veiligheidscultuur kan bij machines leiden tot onveilige situaties door bijvoorbeeld slecht onderhoud van veiligheidsfuncties en gedrag van personeel. Bij procesinstallaties is het ontbreken van procedures en training voor het voorkomen van calamiteiten een voorbeeld van een slechte veiligheidscultuur. Bijvoorbeeld procedures voor risicoscenario’s en ontruiming.

Machinebouwers die seriematig machines bouwen voor een ‘onbekende’ gebruiker kunnen geen rekening houden met risicoverlaging door gedrag- en cultuurinvloeden.

Diverse aanbevelingen

De keuze voor een SIF om een risicoreductie te bereiken mag niet te snel genomen worden. Het heeft de voorkeur om het ontwerp dusdanig aan te passen dat het risico voldoende gereduceerd wordt zonder aanvullende maatregelen als een SIF. Voer daarom bij een nieuw ontwerp van een procesinstallatie of machine al in een vroegtijdig stadium (conceptfase) een risicobeoordeling uit.

Bij nieuw ontworpen installaties en machines is er geen praktijkervaring die gebruikt kan worden bij het bepalen van specifieke risico’s. Het is daarom aan te bevelen om enige tijd na ingebruikname de risicobeoordeling van het proces of de machine (bijv. HAZOP, FMEA) en die van de SIFs (SIL of PL) nog eens te herhalen.



8 Literatuur

8.1 Boeken

Boek 1 HSE, Out of Control, Why control systems go wrong and how to prevent failure, HSE - Health and Safety Executive 2003 (Second Edition, first published 1995).

Boek 2 Ed Marszal and Eric Scharpf, Safety Integrity Level Selection, ISA – The Instrumentation, Systems and Automation Society 2002.

Boek 3 W.M. Goble and H. Cheddie, safety Instrumented Systems Verification, ISA – The Instrumentation, Systems and Automation Society 2005.

Boek 4 Josef Börcsök, Functional Safety – Basic Principles of Safety-related Systems, Hütig Verlag Heidelberg 2007.

8.2 Artikelen

Art. 1 IEC, Functional safety and IEC 61508, IEC september 2005.

Art. 2 Jansen, SIL: Machineveiligheid volgens de NEN-EN-IEC 62061, TNO SSC 13 oktober 2006.

8.3 Normen

Norm 1 NEN-EN 1050, Veiligheid van machines - Principes voor de risicobeoordeling, 1997.

Norm 2 NEN-EN-ISO 12100-1, Veiligheid van machines - Basisbegrippen, algemene ontwerpbeginselen - Deel 1: Basisterminologie, methodologie, 2003.

Norm 3 NEN-EN-ISO 12100-2, Veiligheid van machines - Basisbegrippen, algemene ontwerpbeginselen - Deel 2:Technische beginselen, 2003.

Norm 4 NEN-EN-ISO 13849-1, Safety of machinery - Safety-related parts of control systems - Part 1: General principles for design, 2006.

Norm 5 NEN-EN-ISO 13849-2, Safety of machinery — Safety-related parts of control systems - Part 2: Validation, 2003.

Norm 6 NEN-EN-ISO 14121-1, Safety of machinery - Risk assessment - Part 1: Principles, 2005 (ontwerpnorm).

Norm 7 NEN-EN-IEC 61508, Functional safety of electrical /electronic / programmable electronic safety-related systems – Parts 1-7, 2002.

Norm 8 NEN-EN-IEC 61511-1, Functional safety - Safety instrumented systems for the process industry sector - Part 1: Framework, definitions, system, hardware and software requirements, 2005.

Norm 9 NEN-EN-IEC 62061, Safety of machinery – Functional safety of safety-related electrical, electronic and programmable electronic control systems, 2005.



9 Lijsten

9.1 Verklarende woordenlijst

Functionele veiligheid – Het deel van de machine of procesinstallatie waarvan het veilig functioneren afhankelijk is van het correct functioneren van de geïnstalleerde veiligheidssystemen.

Externe veiligheid – Kans om buiten een inrichting te overlijden als rechtstreeks gevolg van een ongewoon voorval binnen die inrichting waarbij een gevaarlijke stof betrokken is (Besluit externe veiligheid inrichtingen, artikel 2-1e).

Dangerous failure – Failure which has the potential to put the safety instrumented system in a hazardous or failto-function state.

Mode of operation: • Demand mode (low demand mode) – Safety instrumented function where a

specified action (for example, closing of a valve) is taken in response to process conditions or other demands. In the event of a dangerous failure of the safety instrumented function a potential hazard only occurs in the event of a failure in the process / machine or the control system.

• Continuous mode (high demand mode) – Safety instrumented function where in the event of a dangerous failure of the safety instrumented function a potential hazard will occur without further failure unless action is taken to prevent it.

Reversibel (UK: Reversible) – Omkeerbaar; herstelbaar. Wordt gebruikt bij het bepalen van de ernst van de gevolgen voor de gezondheid van een bepaald gevaar. Reversibele effecten genezen volledig, zonder bijverschijnselen.

Irreversibel (UK: Irreversible) – Onomkeerbaar; herstelt niet volledig of met bijverschijnselen. Wordt gebruikt bij het bepalen van de ernst van de gevolgen voor de gezondheid van een bepaald gevaar. Irreversibele effecten genezen niet volledig of met nadelige bijverschijnselen.

Safety Integrity – Average probability of a safety instrumented system satisfactorily performing the required safety instrumented functions under all the stated conditions within a stated period of time.

Safety Integrity Level – Discrete level (one out of a possible four) for specifying the safety integrity requirements of the safety instrumented functions, where safety integrity level four has the highest level of safety integrity and safety integrity level one has the lowest.



9.2 Lijst met afkortingen

ALARP As low as reasonably practicable; (ALARA - As low as reasonably achievable) The ALARP principle recommends that risks be reduced “so far as is reasonably practicable,” or to a level which is “As Low As Reasonably Practicable”.

Bevi Besluit Externe Veiligheid Inrichtingen – 2004 (Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer).

BRZO Besluit risico’s zware ongevallen - 1999 (Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer).

CEN European Committee for Standardization

EN Europese Norm

HSE Health and Safety Executive (Britse veiligheid- en gezondheidsorganisatie vergelijkbaar met de Arbeidsinspectie)

IEC International Electrotechnical Commission

ISO International Organization for Standardization

NEN Nederlandse Norm

NEN Nederlands Normalisatie Instituut

PL Performance Level

SIL Safety Integrity Level

SIF Safety instrumented function Safety function with a specified safety integrity level which is necessary to achieve functional safety and which can be either a safety instrumented protection function or a safety instrumented control function. N.B.: Tevens de gekozen afkorting voor automatische veiligheidsfuncties in dit rapport.

SIS Safety Instrumented System Instrumented system used to implement one or more safety instrumented functions. An SIS is composed of any combination of sensor (s), logic solver (s), and final elements(s). N.B.: Tevens de gekozen afkorting voor automatische veiligheidssystemen in dit rapport.

SRCF Safety-Related Control Function Control function implemented by a SRECS with a specified integrity level that is intended to maintain the safe condition of the machine or prevent an immediate increase of the risk(s).

SRECS Safety-Related Electrical Control System Electrical control system of a machine whose failure can result in an immediate increase of the risk(s).

SRP/CS Safety-related part of a control system Part of a control system that responds to safety related input signals and generates safety related output signals.


Bijlage A-1/1 Revisie: A.e1, 27 september 2007

Bijlage A Relatie tussen Safety Instrumented Functi ons (SIFs) en andere besturingsfuncties

Relatie Safety Instrumented Functions (SIFs) en andere functies volgens IEC 61511-1 [Norm 8].

Is it anInstrumented

Function?

Safetyrelated?

Othermeans of

riskreduction.

Notrelevant

SafetyInstrumented

Function?

Mode?

Basic processControl and/or assetProtection function.

SafetyInstrumented

ControlFunction.

Safety instrumentedProtection function.

Type?

SafetyInstrumentedPreventionFunction.

SafetyInstrumented

Mitigationfunction.

No

DemandContinuous

Yes

Yes Yes

No

No

Prevention Mitigation

Start


Bijlage B-1/1 Revisie: A.e1, 27 september 2007

Bijlage B Registratie van ervaringen en stellingen van derden die een verkeerd beeld geven van functional safety

In deze bijlage een opsomming van meningen, stellingen en bevindingen die een verkeerd beeld geven aan het nut en de noodzaak van een goede risicobeoordeling met een bijpassend SIS ontwerp.

Onderstaande stellingen en ervaringen komen voort uit gesprekken met klanten, leveranciers en adviseurs alsmede ervaringen die TripleM medewerkers vanuit hun werk hebben opgedaan.

De klant:

...... ‘Ik weet het niet hoor. We moeten instrumentatie vervangen n.a.v. een zogenaamde SIL classificatie. Het heeft altijd zo gewerkt. Kost allemaal veel geld en levert niets extra op’.

Als de classificatie goed is uitgevoerd en het ontwerp van het SIS voldoet, dan levert dat wel degelijk een reductie van het risico op. Een serieuze verificatie van het bestaande veiligheidssysteem kan voorkomen dat onnodig instrumentatie moet worden vervangen.

De klant:

...... ‘Ik ben het niet eens met de SIL classificatie. Niet onderbouwd en volgens mij te zwaar ingeschat’.

Het betrekken van de klant bij het uitvoeren van de risicobeoordeling en een goede onderbouwing van het gezamenlijk vastgestelde risicoreductieniveau verhoogt de acceptatie van het resultaat.

Het resultaat:

...... Het rapport laat een machine-installatie zien met nauwkeurig omschreven functionaliteit. Een aantal scenario’s zijn uitgewerkt. Deze scenario’s zijn niet op specifieke veiligheidsfuncties gebaseerd, maar op machinedelen, met meerdere onafhankelijke oorzaken. Op basis daarvan is een veiligheidsklasse bepaald voor een vijftal zones van de machine. Alle toe te passen, nader te bepalen veiligheidsfuncties, moeten aan die klasse voldoen.

De afzonderlijke veiligheidsfuncties zijn niet in kaart gebracht. Er is geen risicobeoordeling per veiligheidsfunctie uitgevoerd. En het ontbreekt aan een onderbouwing van de gevonden resultaten. Een dergelijk rapport is niet bruikbaar om een SIS te ontwerpen.

De adviseur:

...... ‘Het effect kan het verlies van een of meerder vingers zijn. Lager dan een SIL 2 kan de klassenindeling niet worden’.

Een dergelijk standpunt wordt door adviseurs nog wel eens ingenomen. Bij een te zwaar effect wordt de waarschijnlijkheid van optreden onvoldoende uitgewerkt. De normen worstelen hier ook mee. De ISO 13849 kent alleen niet herstelbare effecten, voor het verlies van een vinger of de dood gelijk. Hierdoor komen de kleinere irreversibele effecten wat zwaar geclassificeerd uit.l De norm 62061 geeft een minimum van SIL 2 voor de zwaarste categorie effecten. Echter bij een zorgvuldig



uitgevoerde waarschijnlijkheidsanalyse zou een lagere beveiligingsklasse best te motiveren kunnen zijn.

De klant:

...... ‘SIL geldt alleen op componentniveau. Een beveiligingsloop kan je er niet mee bepalen’.

Dit is de omgekeerde wereld. Nergens in de normen wordt een SIL of PL gekoppeld aan een instrument. Uitdrukkelijk wordt de veiligheidsfunctie (SIF) geclassificeerd. Van het gehele SIS, bestaande uit alle componenten die nodig zijn om aan de SIF eisen te voldoen, wordt geverifieerd of deze aan de classificatie eis voldoet. De reactie van deze klant blijkt veroorzaakt te zijn door een fabrikant met de volgende stelling.

De fabrikant:

...... ‘Onze niveauopnemer is geschikt voor SIL klasse 3. Dat hebben we zelfs laten certificeren’.

Dat komt voor. Zoals al eerder gezegd geldt een SIL klasse voor de gehele beveiligingsloop (SIS) en niet voor een enkel instrument. De fabrikant bedoelt dat zijn instrument voldoet aan een foutgevoeligheid die valt in de range behorend bij een SIL 3. De fabrikant kan niets zeggen over conformiteit van de gehele SIS waarin zijn instrument is opgenomen. Het kan zelfs zo zijn dat de foutgevoeligheid van zijn instrument zo hoog uitvalt binnen de SIL 3 range, dat het redelijkerwijs niet mogelijk is om met de benodigde andere instrumenten een SIS te ontwerpen dat nog voldoet aan de SIL 3 eis.

De klant:

...... ‘Er staat nergens in de wet dat ik een SIL classificatie moet uitvoeren’.

Dat klopt in principe. Wel wordt vanuit wetgeving gevraagd om op een effectieve manier risico’s te reduceren tot een acceptabel niveau. De wetgever kan vragen aan te tonen hoe dat geregeld is. De SIL en PL normen geven de tools om risicoreductieeisen vast te stellen en het technisch ontwerp hierop af te stemmen. Door het volgens deze normen ontwerpen van een veiligheidssysteem wordt voldaan aan de wettelijke eis. Met de bijbehorende registratie van het risicobeoordeling en ontwerptraject kan dit vervolgens worden aangetoond.

De procesengineer van een BRZO plichtig bedrijf:

...... ‘SIL, PL allemaal overdreven. Wij gaan hier pragmatisch mee om. Gewoon een extra afsluiter plaatsen is veilig genoeg. En de niveauopnemer dubbel uitvoeren. Doen we al jaren zo, daar hoef ik geen risicoanalyse voor uit te voeren en moeilijke berekeningen te maken’.

Deze engineer kan niet aantonen dat zijn veiligheidsloop voldoende veilig is. Mogelijk is het veiligheidsrisico nog steeds onacceptabel hoog. Mogelijk is de situatie te zwaar beveiligd en kan de extra apparatuur de beschikbaarheid van de installatie verlagen.

Het resultaat:

...... Naar aanleiding van een HAZOP studie wordt door een adviseur een rapport uitgewerkt met een risicoclassificatie conform NEN 954-1 voor de in de HAZOP voorgestelde SIFs. Onderbouwing van de classificatie ontbreekt.



De klant met zijn adviseur:

...... ‘Er is een SIL 3 classificatie bepaald. Waarom? Dat is niet gedocumenteerd’.

Zonder goede onderbouwing van een SIL of PL kan het wel eens lastig worden om een goed passend SIS te ontwerpen. Dergelijke rapportages geven ook voeding aan de slechte acceptatie bij klanten voor het maken van kosten voor het uitvoeren van een SIS.

De klant:

...... ‘We doen een SIL classificatie. Een HAZOP is dan niet meer nodig’.

Een HAZOP dient ervoor om risico’s in een proces te inventariseren en evalueren. De SIL classificatie dient ervoor om van de gevonden risico’s, waarvoor een SIF wordt toegepast om het risico te reduceren, een risicoreductieniveau voor de SIF te bepalen. Zonder HAZOP of andere vorm van risico inventarisatie zijn er geen risico’s om een SIL classificatie op uit te voeren.

De klant:

...... ‘Tijdens de HAZOP bepalen we de SIL classificatie’.

In principe is dat mogelijk, maar heeft niet de voorkeur. Tijdens de SIL classificatie wordt meer in detail gekeken naar de specifieke risico’s die beveiligd moeten worden door de bepaalde SIF. Houd er rekening mee dat er voor de SIL mogelijk andere teamleden nodig zijn dan voor de HAZOP. Zorg voor voldoende aandacht aan de SIL classificatie. Tevens is een aparte rapportage van de SIL classificatie noodzakelijk. Voor omvangrijke installaties is het efficiënter om de HAZOP eerst af te maken en de SIL classificatie apart uit te voeren.


Bijlage C-1/1 Revisie: A.e1, 27 september 2007

Bijlage C Risicograaf ISO 13849

Ernst van de gevolgen

S1 Reversibel, licht

S2 Irreversibel, zwaar of dood

Mogelijkheid voorkomen of beperken van schade

P1 Mogelijk onder bepaalde voorwaarden

P2 Nauwelijks mogelijk

Frequentie en/of blootstelling aan gevaar

F1 Zelden tot minder vaak en/of blootstellingtijd is kort

F2 Frequent tot continu en/of blootstellingtijd is lang


Bijlage D-1/1 Revisie: A.e1, 27 september 2007

Bijlage D Risicograaf IEC 62061

Cl = Fr + Pr + Av

Se - Ernst van de gevolgen

1 Reversibel: eerste hulp noodzakelijk

2 Reversibel: behandeling noodzakelijk

3 Irreversibel: gebroken ledematen, verlies vinger(s)

4 Irreversibel: dood, verlies arm / oog e.d.

Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis

1 Verwaarloosbaar

2 Zelden

3 Mogelijk

4 Waarschijnlijk

5 Erg hoog

Av - mogelijkheid voorkomen of beperken van schade

1 Mogelijk

3 In bijzondere gevallen mogelijk

5 Onmogelijk

Fr - Frequentie en duur van scenario

duur > 10 min

duur ≤ 10 min

freq. Scenario

5 5 ≤ 1 uur

5 4 > 1uur tot <= 1 dag

4 3 > 1 dag tot <= 2 weken

3 2 > 2 weken tot <= 1 jaar

2 1 > 1 jaar


Bijlage E-1/1 Revisie: A.e1, 27 september 2007

Bijlage E Risicograaf IEC 61511

C - Ernst van de gevolgen

CA Lichte verwonding

CB Zwaar gewonde / dode

CC Meerdere doden / zwaar gewonden

CD Veel doden / zwaar gewonden

F - Aanwezigheid van mensen

FA Nauwelijks tot frequent aanwezig

FB Frequent tot permanent aanwezig

P - Mogelijkheid tot ontsnappen aan gevaar

PA Mogelijk

PB Meestal onmogelijk

W - Frequentie van scenario

W1 Minder vaak dan eens per 10 jaar Onderbouwen

W2 Eens per 1 tot 10 jaar Standaard keuze

W3 Vaker dan eens per jaar Ongewenst voor gevaren met klasse CC en CD.


Bijlage F-1/1 Revisie: A.e1, 27 september 2007

Bijlage F Overzicht risicografen 61511, 62061 en 13 849


Bijlage G-1/1 Revisie: A.e1, 27 september 2007

Bijlage G Vergelijking risicobeoordeling volgens IS O 13849 en IEC 62061

De machine:

In een installatie die een poedermengsel verwerkt tot een granulaat staat een zeefmolen om poederdeeltjes te verkleinen en te zeven.

De machine wordt bediend door ervaren en getrainde procesoperators. Het gevaar van de machine is bekend bij de operators.

Gemiddeld 3x per dag gaat het inspectieluik van de zeefmolen open om te controleren of het product niet aankoekt aan de molen. De controle duurt maximaal enkele minuten. Binnen een armlengte kan de molen geraakt worden. De molen draait met hoge snelheid in de zeef rond. Vingers kunnen worden gegrepen met verlies van vingers en zelfs een deel van de hand.

Beveiliging:

Het inspectieluik is niet beveiligd. Als het geopend wordt draait de zeefmolen door. De operators hebben de instructie om de zeefmolen eerst af te schakelen alvorens de molen te inspecteren.

Risicobeoordeling:

Om het luik te kunnen beveiligen met een SIF wordt het PL bepaald met behulp van de risicograaf uit de norm ISO 13849 (Bijlage C) en vervolgens het SIL bepaald met behulp van de risicograaf uit de norm IEC 62061 (Bijlage D).

ISO 13849

S Ernst S2 Vingers en deel van de hand / deel arm kan afgerukt worden - irreversibel

F Frequentie en/of blootstelling aan gevaar

F1 Cyclische handeling met een gemiddelde frequentie. Tijdsduur van handeling is kort. Het is niet nodig om arm in het apparaat te steken.

P Mogelijkheid voorkomen of beperken schade

P1 Voorkomen gevaar mogelijk - hand hoeft niet in het gat gestoken te worden: alleen kijken. Operators zijn getraind en ervaren. Er is een grote kans om het gevaar te voorkomen.

Resultaat PL c

IEC 62061

Se Ernst 4 Significant irreversibel – mogelijk verlies meerdere vingers en zelfs deel van de hand, waardoor het gebruik van de hand gelimiteerd wordt.

Fr Frequentie en duur scenario

4 3x per werkdag korter dan 10 minuten


Bijlage G-2/2 Revisie: A.e1, 27 september 2007

Pr Mogelijkheid van

optreden gevaarlijke gebeurtenis

2 Rarely - Omdat alleen gekeken moet worden en niet met de arm in het gat hoeft te worden gewerkt is de kans dat iemand zijn arm in het gat steekt erg klein. Omdat het niet ondenkbaar is dat in een reactie men snel iets uit de zeef grijpt mag hier niet gekozen worden voor ‘niet mogelijk’ maar voor ‘niet te verwachten’.

Av Mogelijkheid voorkomen of beperken van schade

1 Voorkomen gevaar mogelijk - hand hoeft niet in het gat gestoken te worden; alleen kijken. Operators zijn getraind en ervaren. Gevaar is zichtbaar en herkenbaar. Het is goed mogelijk om het gevaar te voorkomen.

Cl Waarschijnlijkheids-klasse

7 = Fr + Pr + Av

Resultaat SIL 2

Volgens onderstaande tabel uit de norm ISO 13849 stelt een PL c classificatie lagere beschikbaarheideisen aan de SIF dan een SIL 2 classificatie.

PL SIL Average probability of a dangerous Failure per Hour 1/h

a Geen overeenkomst ≥ 10–5 to < 10–4

b 1 ≥ 3 x 10–6 to < 10–5

c 1 ≥ 10–6 to < 3 x 10–6

d 2 ≥ 10–7 to < 10–6

e 3 ≥ 10–8 to < 10–7

In dit voorbeeld stelt de beoordeling met de ISO 13849 risicograaf dus lagere eisen aan de SIF dan de beoordeling met de IEC 62061 risicograaf .

Dit verschil in uitkomst wordt voornamelijk veroorzaakt door de beperkte mogelijkheid in de ISO 13849 risicograaf om de kans van voorkomen en het beperken van het effect te bepalen.


Bijlage H-1/1 Revisie: A.e1, 27 september 2007

Bijlage H Gemodificeerde en gecombineerde risicomat rix IEC 62061 en ISO 13849

3 4 5 6 7 8 9 10 11 12 13 14 15

4

3

2

1

4

3 PL b

2 PL b

1

PL e

PL d

PL a PL c

1384

9

PL c PL d PL e

PL a PL c

PL a PL c PL d

SIL 2

SIL a SIL 1

6206

1

SIL 1

SIL a SIL 1

SIL a SIL 1 SIL 2 SIL 3

SIL 2 SIL 3

Cl - waarschijnlijkheid optreden letsel

Se - ernst letsel

Zeer laag Laag Mogelijk Hoog Zeer hoog

Cl = Fr + Pr + Av

Se - Ernst van de gevolgen 1 Reversibel: eerste hulp noodzakelijk 2 Reversibel: behandeling noodzakelijk 3 Irreversibel: gebroken ledematen, verlies vinger(s) 4 Irreversibel: dood, verlies arm / oog e.d. Pr - Mogelijkheid van optreden van een gevaarlijke gebeurtenis 1 Verwaarloosbaar 2 Zelden 3 Mogelijk 4 Waarschijnlijk 5 Erg hoog Av - mogelijkheid voorkomen of beperken van schade 1 Mogelijk 3 In bijzondere gevallen mogelijk 5 Onmogelijk Fr - Frequentie en duur van scenario

duur > 10 min

duur <= 10 min freq. Scenario

5 5 <= 1 h 5 4 > 1h to <= 1 day 4 3 > 1 day to <= 2 weeks 3 2 > 2 weeks to <= 1 year 2 1 > 1 year

- beveiligen middels een enkele SIF is niet acceptabel SIL a - geen specifieke betrouwbaarheidseisen gesteld


Bijlage I-1/1 Revisie: A.e1, 27 september 2007

Bijlage I Het effect van een onvolledig classificat ierapport

Onderstaand SIL classificatierapport wordt in het bestek voor de automatisering van een proces/machine-installatie meegeleverd. Van de installatie wordt de besturing geheel gerenoveerd. De constructeur moet een SIS ontwerpen voor onderstaande situatie:

Scenario Hamermolen M-204 loopt te vol water en loopt daardoor vast.

Oorzaak Bij snelheidsverhoging draaisluis A-203/204 of door te nat product loopt het product niet door het filter bij de Hamermolen.

Effect Hamermolen M-204 moet open worden gemaakt door operator en worden leeggemaakt. Leeghalen bij draaiende hamermolen kan letsel aan hand en vingers veroorzaken.

SIL Classificatie

Fr- Frequentie en tijdsduur van gebeurtenis

Schoonmaken duurt ca 60 min. Gebeurtenis treed 2/3 keer per jaar op 3

Pr - Mogelijkheid van optreden v/e gevaarlijke gebeurtenis

Lock out/Tag out procedure van toepassing. Gebeurtenis mogelijk bij niet (juist) uitvoeren van procedure.

2

Av - Mogelijkheid voorkomen of beperken van schade

Bij handen in draaiende molen steken is voorkomen/beperken letsel niet meer mogelijk. 5

Cl - Consequentieklasse

10

Se - Ernst van de gevolgen voor personen

Irreversibel: verlies vinger(s), (deel) hand. 3

SIL 1

Opmerkingen N3/1; In nieuwe systeem wordt het moeilijker om teveel water te doseren vanwege de nieuwe automatisering.

De constructeur maakt zich een voorstelling van de situatie op basis het SIL classificatierapport en ontwerpt de volgende beveiligingsloop: • Aansturing van motorschakelaar via veiligheidsrelais. • Dubbel uitgevoerde veiligheidsschakelaar op het betreffende luik van de

hamermolen. • Het luik wordt voorzien van een automatische vergrendeling, vrijgegeven wanneer

de motor is uitgeschakeld.

De constructeur gaat ervan uit dat in de huidige situatie de molen middels een makkelijk te openen luik (bijvoorbeeld scharnierend en voorzien van een mechanische vergrendeling) benaderd kan worden. Vanuit het feit dat het luik snel geopend kan worden en de motor wel direct afgeschakeld wordt maar niet direct tot stilstand komt, wordt een automatisch bediende vergrendeling ontworpen.


Bijlage I-2/2 Revisie: A.e1, 27 september 2007

In werkelijkheid is het luik van de hamermolen met 12 bouten rondom vastgeschroefd. Bij een dubbele detectie van de bouten aan weerszijden van het luik, kan de molen ruimschoots tot stilstand komen voordat het luik kan worden geopend. Een automatisch bediende vergrendeling is niet nodig en vanwege de constructie van het luik zelfs niet toepasbaar.

Uit het SIL classificatie formulier is in het geheel niet op te maken hoe de hamermolen moet worden opengemaakt. Met een korte omschrijving van de constructie had het formulier voldoende duidelijkheid kunnen verschaffen.

De constructeur heeft de ontbrekende informatie automatisch zelf aangevuld en als feitelijke gegevens beschouwd. Uit navraag bij de constructeur bleek dat deze zich geen moment heeft afgevraagd of de toegang tot de molen mogelijk anders was uitgevoerd! Aanvullende vragen omtrent de constructie zijn dan ook niet gesteld.

Aanvullende informatie over hoe de operator de hamermolen openmaakt is waarschijnlijk wel besproken tijdens de classificatiesessie maar niet vastgelegd.

Documents

Safety Integrity Level en Performance Level bepaling G Schmitz.pdf · Risicobeoordeling voor het ontwerp van automatische systemen met een veiligheidsfunctie Pagina II Revisie: A.e1,