SIF SIS Design
Als de SIF is ontworpen (SIF Design) moet vervolgens worden geverifieerd (SIL verificatie) of de combinatie van álle componenten in die SIF (Sensor-Logic Solver-Final Element) het beoogde resultaat haalt. Hierbij wordt ook rekening gehouden met de beperkingen van de hardware (faalcijfers) en architectural constraints. De bepaling van de faalcijfers ligt vast in de norm IEC 61508 (Functionele veiligheid van besturingssystemen). Architectural Constraints houdt in de toepassing van redundancyom hiervoor te compenseren (Hardware Fault Tolerance) (HFT).
Hardware Fault Tolerance heeft te maken met het aantal fouten dat het systeem kan hebben, zonder dat de SIF zijn functie verliest.
Binnen de HFT bestaan twee waardes:
- HFT Dangerous is het aantal fouten waarbij het systeem nog veilig is.
- HFT Safe is het aantal fouten waarbij het systeem nog beschikbaar is.
In de norm IEC 61511 (SIS voor Process Industry) is bepaald hoeveel de HFT Dangerous waarde moet zijn (0, 1 of 2) en is bepaald met hoeveel fouten het systeem nog veilig is. Hoe hoger het SIL level, des te hoger is de vereiste HFT Dangerous waarde.
De vereiste HFT Safe ligt niet vast in de norm, maar is afhankelijk van hoe hoog men de beschikbaarheid van een installatie wil hebben.
De HFT Dangerous tolerantie die meer veiligheid geeft is 1oo2 (spreek uit: “One out of One”),1oo3, 1oo4 etc. Zie dit als twee of meer transmitters waarbij één van de twee of meer transmitters een trip veroorzaakt of twee of meer FAIL Close kleppen in serieschakeling.
De HFT Safe tolerantie die meer betrouwbaarheid/beschikbaarheid geeft is 2oo2, 3oo3, 4oo4 etc., zie dit als twee of meer transmitters waarbij twee of meer transmitters pas een trip veroorzaakt of twee of meer FAIL Close kleppen in parallelle schakeling.
De HFT Dangerous tolerantie en de HFT Safe tolerantie die zowel meer veiligheid als meer betrouwbaarheid/beschikbaarheid geeft is 2oo3, 2oo4, 3oo4, etc
SIS
SIS (Safety Instrumented System) is een onafhankelijke elektronische beveiligingslaag bóvenop het besturingssysteem (DCS) van de plant. Dit kan met relais worden uitgevoerd, maar tegenwoordig wordt een SIS meestal uitgevoerd als Programmable Electronic System (PES) zoals een Programmable Logic Controller (PLC). Een SIS bevat vrijwel altijd meerdere SIF’s en die SIF’s kunnen verschillende SIL niveaus hebben. Wel is in norm vastgelegd hoe het systeem moet zijn voor de verschillende SIL levels. Een SIL 2 Safety Instrumented Function (SIF) mag dus niet worden geïmplementeerd in een SIL 1 beveiligingssysteem.
De PES (PLC) systemen maakt het bouwen van SIS een stuk makkelijker en flexibeler dan vroeger, maar introduceert een nieuw risico omdat deze systemen gevoeliger zijn voor het binnendringen van buitenaf door cyberaanvallen.
Er is een separate norm voor Cyber Security (IEC 62433) om o.a. indringen van buitenaf te voorkomen. Vanuit de IEC 61511 wordt verwezen naar alinea’s uit de IEC 62433 en andersom.
Wil je meer weten over SIF/ SIS Design en wat pro6com hierin kan betekenen voor jouw plant?
Veelgestelde vragen over SIF SIS Design
Een Safety Instrumented Function (SIF) is een specifieke veiligheidsfunctie die een proces automatisch naar een veilige toestand brengt wanneer een vooraf bepaalde grens wordt overschreden.
Een Safety Instrumented System (SIS) is het systeem waarin één of meerdere van deze veiligheidsfuncties zijn geïmplementeerd.
In de praktijk betekent dit dat een SIS bestaat uit verschillende componenten zoals sensoren, logische besturing en actuatoren die samen één of meerdere SIF’s uitvoeren. Het ontwerp van deze functies bepaalt uiteindelijk hoe betrouwbaar en effectief het veiligheidssysteem kan ingrijpen wanneer dat nodig is.
Het ontwerpen van een Safety Instrumented Function wordt relevant wanneer uit een risicoanalyse blijkt dat aanvullende instrumentele bescherming nodig is om een procesrisico te beheersen.
Dat gebeurt vaak nadat in eerdere analyses is vastgesteld dat bestaande beschermlagen onvoldoende risicoreductie bieden. Vervolgens wordt bepaald welke veiligheidsfunctie nodig is om het restrisico te verlagen en hoe deze functie technisch moet worden gerealiseerd.
Het ontwerp van de SIF beschrijft daarbij hoe de functie moet reageren op procesafwijkingen en hoe deze veilig en betrouwbaar in het proces wordt geïntegreerd.
Bij het ontwerpen van een Safety Instrumented Function wordt gekeken naar meerdere technische en operationele aspecten.
Belangrijke aandachtspunten zijn bijvoorbeeld:
-
de keuze van sensoren en meetprincipes
-
de logica waarmee de veiligheidsfunctie wordt aangestuurd
-
de betrouwbaarheid van componenten
-
de responstijd van de veiligheidsfunctie
-
de interactie met het proces en andere beschermlagen
Een goed ontwerp zorgt ervoor dat de veiligheidsfunctie niet alleen betrouwbaar is, maar ook goed aansluit op de dynamiek van het proces.
De betrouwbaarheid van een veiligheidsfunctie hangt niet alleen af van het ontwerp, maar ook van hoe de functie wordt beheerd gedurende de levensduur van een installatie.
Belangrijke factoren daarbij zijn onder andere:
-
duidelijke engineeringdocumentatie
-
consistente implementatie in besturingssystemen
-
regelmatige tests van de veiligheidsfunctie
-
correct beheer van wijzigingen in installaties
Wanneer deze elementen goed zijn ingericht, blijft de veiligheidsfunctie betrouwbaar functioneren en kan worden aangetoond dat het systeem nog steeds voldoet aan de oorspronkelijke veiligheidsdoelstellingen.
In de praktijk ontstaan problemen vaak wanneer de verschillende stappen in het ontwerpproces niet goed op elkaar aansluiten.
Bijvoorbeeld wanneer:
-
ontwerpdocumentatie niet overeenkomt met de implementatie in het Safety Instrumented System (SIS)
-
procescondities veranderen zonder dat de veiligheidsfunctie wordt aangepast
-
aannames uit eerdere studies niet goed worden vertaald naar engineering
Daarom is het belangrijk dat SIF-ontwerp niet los wordt uitgevoerd, maar onderdeel is van een consistente procesveiligheidsstrategie.
Pro6com ondersteunt organisaties bij het ontwerpen en beoordelen van Safety Instrumented Functions binnen industriële installaties.
Daarbij kijken we naar de volledige samenhang tussen risicoanalyse, engineering en operationele praktijk. Onze ondersteuning kan onder andere bestaan uit:
-
het vertalen van risicoanalyses naar veiligheidsfuncties
-
het ontwerpen van logica en beschermlagen
-
het beoordelen van bestaande veiligheidsfuncties
-
het verbeteren van documentatie en lifecyclebeheer
Door deze integrale aanpak zorgen we dat veiligheidsfuncties niet alleen technisch correct zijn ontworpen, maar ook goed aansluiten op de praktijk van de installatie.
Een SIF is pas nodig wanneer uit de risicoanalyse blijkt dat de bestaande beschermlagen onvoldoende zijn om het risico tot een aanvaardbaar niveau terug te brengen.
Daar gaat meestal een duidelijke denkstap aan vooraf:
eerst identificeer je de scenario’s, vervolgens bepaal je welke beschermlagen al aanwezig zijn, en daarna beoordeel je of er aanvullende risicoreductie nodig is. Pas dan kom je uit bij de vraag of een SIF nodig is, en zo ja: met welk veiligheidsintegriteitsniveau.
In de praktijk zien we dat hier veel winst te behalen is. Soms worden SIF’s te snel toegevoegd, terwijl in andere gevallen juist te veel wordt vertrouwd op maatregelen die in werkelijkheid niet sterk genoeg zijn. Een goede functionele veiligheidsanalyse voorkomt beide.
